Данный вирус, по-видимому, является родоначальником группы. Его
название связано с тем, что в зараженной им системе при определен-
ных условиях начинается падение букв с верхних строк экрана
вниз, сопровождаемое негромким звуком, напоминающим шорох, и бло-
кировкой клавиатуры. Длина вируса 1701 (6А5h). Формально вирус RС-
1701 -- файловый резидентный вирус, поражающий файлы типа СОМ. Фун-
кционирует на версиях MS DOS, начиная с 2.0 (в теле вируса имеется
проверка). Распространяется как на PC/XT, так и на PC/AT. Страте-
гия заражения -- при запуске файлов на выполнение. Файлы заражаются
однократно. Максимальная длина заражаемого файла составляет 63803
(F93Bh) байта.
Подобно вирусу С-648, при заражении RС-1701 дописывается в конец
программы и одновременно вставляет в первые три байта COM-файла
команду перехода на тело вируса. При этом размер файла увеличива-
ется на 1701 байт, дата создания файла и атрибуты файла не меняют-
ся. Так же, как и вирус С-648, вирус RC-1701 не проверяет, нахо-
дится ли заражаемая программа (которая загружается на выполнение)
на защищенной дискете или нет, и пытается выполнить запись на за-
щищенную от записи дискету. При этом операционная система выдает
сообщение:

Write protect error writing device <лог.имя.устр.>
Abort, Retry, Ignore, Fail?

Этот эффект можно использовать для обнаружения данного и некото-
рых других резидентных вирусов, поскольку на зараженной ими машине
попытка загрузить программу с защищенной дискеты всегда приводит к
выдаче указанного выше сообщения. В то же время, как уже указыва-
лось, это сообщение часто воспринимается неопытными пользователями
не как предупреждение о попытке выполнить какие-то несанкциониро-
ванные действия, а как просьба снять защитную наклейку.
Механизм функционирования данного вируса существенно отличается
от С-648. В частности, для того, чтобы различать зараженные и
незараженные файлы используетсял не время создания, а первые три
байта файла. Кроме того, вирус по BIOS определяет фирму-изготови-
тель для того, чтобы в случае, если таковой является IBM, сразу
передать управление зараженной программе, не проявляя никаких при-
знаков активности (латентная фаза). Возможно, разработчик опасался
санкций со стороны такой могущественной фирмы, как IBM. Однако при

программировании указанной проверки допущена ошибка, и вирус зара-
жает и ПЭВМ фирмы IBM.
При запуске зараженной программы RС-1701 сначала проверяет, име-
ется ли уже резидентная копия данного вируса с помощью подфункции
FF прерывания 21-4B (не используемой в версиях MS DOS 3.3 и ни-
же). Если нет, вирус инсталлируется в младших адресах свободной
оперативной памяти, перехватывая прерывания 1Ch, 21h и 28h. В ре-
зультате, при запуске любой программы вирус получает управление,
проверяет, является ли запускаемая программа зараженной, и если
нет, то заражает данную программу на диске. В процессе заражения
файла вирус создает в памяти свою копию, кодирует ее и дописывает
в конец заражаемого файла. Затем у файла изменяются первые 3 байта
(организуется переход на начало тела вируса).
При выполнении зараженной программы управление командой JMP
(Е9h) передается на начало вируса. Первыми командами вирус узнает
длину исходного файла и раскодирует свое тело. Затем вирус восста-
навливает измененные им при заражении файла первые три байта про-
граммы, проверяет, заражен компьютер или нет, и если не заражен,
то посредством манипуляций с MCB, PSP и 2 раза копируя себя, оста-
ется резидентным в памяти. Чтобы по окончании работы программы-ви-
русоносителя резидентная часть вируса не была удалена из памяти,
данный вирус выполняет достаточно тонкую операцию, заключающуюся в
сдвиге загруженной программы в область старших адресов, записи се-
бя на освободившееся место и соответствующей корректировки систем-
ных блоков.
Демонстрационный эффект привязан к часам, причем условие запуска
выбрано так, что он проявляется в основном на машинах типа XT, при
установленной дате. На AT визуальный эффект в обычных условиях не
наблюдается, хотя вирус успешно размножается. По некоторым данным,
он возникает при установке даты на третий квартал 1988 г. В ука-
занных случаях, если загружается файл COMMAND.COM и он отмечен как
зараженный, то вирус демаскируется, демонстрируя свое присутствие
с помощью эффекта падающих букв на экране монитора. Сеансы опа-
дания букв происходят через определенные интервалы времени. В про-
цессе падения букв клавиатура блокируется и работать с компьютером
становится невозможно до полного опадания букв на экране. При этом
падение каждой буквы сопровождается характерным звуком, напоминаю-
щим шорох. На неспециалистов эта шутка часто производит впечат-
ление аппаратной неисправности.
Никаких других несанкционированных действий вирус не выполняет,
поэтому в целом его деятельность можно было бы охарактеризовать
как мелкое хулиганство, если бы не одно обстоятельство. При зара-
жении некоторых системных программ, используемых преимущественно в
AUTOEXEC.BAT, он может вызывать блокировку загрузки MS DOS. Эта
блокировка, в частности, возникает на ПЭВМ ЕС-1840 при заражении
обычно включаемой в AUTOEXEC.BAT программы E1840.COM (EDISK.COM),
обеспечивающей разделение одного физического диска на два логиче-
ских, по 360К каждый (А и С на одном дисководе, B и D на другом).
Этот эффект не был предусмотрен разработчиком вируса, что, впро-
чем, не освобождает его от ответственности. Вместе с тем, ситуация
с EС-1840 может служить наглядной иллюстрацией того факта, что при
заражении системных программ любой вирус может создавать опасные
побочные эффекты. Поэтому любые компьютерные вирусы следует немед-
ленно удалять, как только они появились, даже если путем анализа
или из надежных источников установлено, что никаких разрушительных
действий они не выполняют.
Резидентная часть вируса легко обнаруживается путем просмотра
списка резидентных программ (с помощью утилит MAP, SMAP, MMAP и
т.д.). Как видно из приводимой ниже карты памяти, в списке загру-
женных программ появляется дополнительная строка, описывающая без-
ымянную программу, не имеющую имени родителя.
Вирус RC-1701 является одним из первых вирусов, в которых пред-
приняты определенные усилия, направленные на усложнение процесса
его дизассемблирования. В частности, основная часть тела вируса
шифруется с помощью операции исключающее ИЛИ. Поэтому непосред-
ственное дизассемблирование зараженной программы пакетным дизас-
семблером полной информации о структуре вируса не дает. Ключ шиф-
ровки зависит от длины файла, поэтому два зараженных файла разной
длины не имеют общих подстрок, за исключением начала инсталлятора.
По той же причине текстовых строк тело вируса не содержит.
Исторические замечания. Данный вирус появился в Западной Европе
в первой половине 1988 г. (см., например, статью [50]). Об этом
также свидетельствуют даты создания версий программы SERUM. Вирус
также распространялся на вирусной дискете В.Бончева в файле
V1700.COM, датированном 16 января 1989 г.
В СССР впервые был выделен в конце 1988 г. в Институте приклад-
ной математики имени М.В.Келдыша АН СССР. B Киеве появился в нача-
ле 1989 г. Одним из первых этот вирус исследовал Е.Ю.Портной, ко-
торый самостоятельно разработал фаг для этого вируса, работающий
как постпроцессор протокола детектора Ладыгина. Средства защиты
появились примерно одновременно с вирусом, поэтому существенного
вреда вирус не нанес.
В Киеве первым фагом для данного вируса была австрийская про-
грамма SERUM3, которая может также работать и в режиме детектора.
Среди отечественных программ, использовавшихся на начальной стадии
борьбы с вирусом, следует отметить детектор Ладыгина (ИПМ АН СССР)
VIRUS_D1.
Неформальные названия. Данный вирус имеет порядка десятка нефор-
мальных названий. Среди них отметим следующие: Falling Letters
(Падающие буквы), LetterFall (Буквопад), Rash (Сыпучка), вирус
падающих букв, 1701, Letters (буквы -- О.Котик), Слезы капали.
SCAN называет данный вирус 1701/1704 Virus -- Version B [170X].
Программные средства защиты. Общие средства защиты достаточно
эффективны против данного вируса. В частности, попытки записи ви-
руса в запускаемый СОМ-файл детектируются всеми имеющимися фильт-
рами. Фильтр ANTI4US2 не срабатывает на попытку вируса стать рези-
дентным, поскольку вирус предварительно перехватывает прерывание
21. При использовании системы управления доступом к винчестеру
(Disk Manager, Advanced Disk Manager и т.д.) вирус не в состоянии
попасть в разделы винчестера, для которых установлен статус READ
ONLY. Однако при этом становится невозможным вызов программ с за-
щищенной дискеты или раздела винчестера.
Специальные средства защиты от данного вируса принципиально мо-
гут включать детектор, фаг для резидентной части, резидентный и
пакетный фаги для зараженных файлов, активную и пассивную вакцину.
Детектор может быть создан только на основе поиска начальных 16
байтов вируса, поскольку остальная часть вируса шифруется и раз-
вертывается уже в процессе выполнения.
В настоящее время все сопровождаемые полидетекторы и полифаги
обрабатывают программы, зараженные данным вирусом. Автор рекомен-
дует компактную и удобную программу AIDSTEST Д.Н.Лозинского.

Фрагмент дампа программы MORE.COM,
зараженной вирусом RC-1701

000: E90E009090909090 9090909090909090 ................

+------------------------ J-сигнатура
| (программа раскодировки)
|
010:|01FA8BECE800005B 81EB31012EF6872A .......[..1....*
020: 0101740F8DB74D01 BC82063134312446 ..t...M....141$F
030: 4C75F8

+--------------- закодированная часть
| тела вируса
|
3A575901DE 4243CC634242DEDE Lu.:WY..BC.cBB..
040: A23236062FCF3672 24DF3EBC2CDF362E .26./.6r$.>.,.6.
050: 3212361732290FB7 43289D1602020EE7 2.6.2)..C(......
060: 8233363632322E26 2222262602237126 .36622.&&&.#q&
070: 6D3A36363332DF2B 3F13464676507A5D m:6632.+?.FFvPz]
080: C86338529B9A46AE A2F9274D01A38022 .c8R..F...'M...
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
Пример карты памяти зараженного компьютера. В приводимой ниже
карте памяти резидентная часть вируса занимает последнюю строку
(1E1E) таблицы резидентных программ. Ее длина, указанная в графе
bytes, не соответствует действительной. Перехватываемые прерыва-
ния также не указаны.

Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- -- ------ ------------------
(1A66) DOS N/A 3 5504
(1B4E) E1840 DOS 2 1280
(1BA0) QUICK DOS 2 512
(1BC2) KBMNA DOS 2 480 16
(1BE2) DOSEDIT DOS 2 2032
(1C62) BDS1 DOS 2 7056 00 08 09 13 1A
(1E1E) N/A N/A 1 64

5.1.2. Вирус RС-1704 (Cascade-B -- Буквопад-Б)

Данный штамм отличается от исходного исправленной ошибкой, свя-
занной с проверкой фирмы -- изготовителя BIOS. Других особенностей,
по-видимому, не имеет. Детектируется полидетектором SCAN. Длина
штамма 1704 (6A8h) байтов.

Иерусалимская группа получила свое название с связи с тем, что
один из представителей этой группы был обнаружен в конце 1987 г.
студентом Иерусалимского университета. Вирус существует в несколь-
ких разновидностях (штаммах), отличающихся по своим размерам, дей-
ствиям и типам заражаемых файлов. Из них наиболее распространенным
является версия, которая в пятницу, приходящуюся на 13 число, уда-
ляет все запускаемые файлы. Другими словами, если в этот день
файл, содержащий исполняемую программу, запускается на выполнение
на зараженной машине, вирус удаляет его с диска и при попытке по-
вторного выполнения этой программы MS DOS сообщит, что соответст-
вующий файл не найден. Большинство представителей этой группы за-
ражают COM-файлы, размещая свое тело в начале, а не в конце, как
большинство других групп вирусов.

Вирус RСЕ-1813 получил название Black Friday -- Черная пятница,
поскольку, если 13 число месяца приходится на пятницу, то он уда-
ляет все запускаемые файлы. Впервые обнаружен в Израиле, поэтому
другим распространенным названием вируса является Israeli Virus --
Израильский вирус. Формально вирус RСЕ-1813 является резидентным
файловым вирусом, поражающим как СОМ-, так и ЕХЕ-файлы.

Работоспособен на версиях, начиная с 2.0, как на PC XT, так и на
PC AT.
При выполнении зараженной программы вирус вначале проверяет на-
личие своей копии в памяти компьютера. Если она есть, то управле-
ние передается зараженной программе. Если ее нет, то вирус инстал-
лируется, выполняя следующие действия: 1) запоминает в своем теле
значения байтов памяти с адресами 003FCh-003FEh; 2) размещает по
указанным адресам программу копирования и передает ей управление;
3) программа копирования перемещает тело вируса в самые младшие
адреса, выделенные для основной программы (при этом вирус в COM-
программе копируется сам в себя, а в EXE-программе стирает часть
кода основной программы), и возвращает управление в копию вируса;
4) восстанавливает старое содержимое байтов памяти с адресами
003FCh-003FEh; 5) определяет имя основной программы и функцией
EXEC (21-4Bh) запускает ее на выполнение (т.е. в памяти компьютера
в этот момент находятся 2 копии основной программы); 6) по оконча-
нии работы программы вирус освобождает лишнюю память и остается
резидентным в памяти (с помощью прерывания 21-31h). Использование
для постановки в резидент прерывания 21-31h означает, что вирус
виден по карте памяти (см. ниже). Из нее видно, что после загрузки
в память вирус перехватывает прерывания 08 и 21. После того, как
вирус RСЕ-1813 стал резидентным, он пытается заразить каждый запу-
скаемый файл, за исключением файлов с именем COMMAND.COM.
Файлы типа СОМ поражаются данным вирусом однократно, при этом
дата их создания не меняется, а длина увеличивается на 1813 бай-
тов. В инфицированной программе тело вируса размещается в начале
файла, поскольку при заражении COM-файла вирус выделяет область
памяти (с помощью int 21h, ah=48h), в которую копирует сначала
свое тело, а затем зараженный файл. Полученный образ зараженного
файла записывается на диск с добавление 5-байтового поля (обычно
это поле содержит MsDos, однако имеются штаммы с другим содержа-
нием), используемого вирусом в качестве признака зараженности COM-
файлов. Ограничений на длину файлов нет, поэтому вирус уничтожает
COM-файлы, длина которых после заражения превысит 64K. Вирус не
заражает COMMAND.COM, определяя его по имени файла.
ЕХЕ-файлы (включая оверлейные) поражаются многократно, порой
разрастаясь до невероятных размеров, достигающих предельно допу-
стимого для данной машины размера (например, Norton Commander мо-
жет достичь размера в несколько сот килобайт). Дата создания не
изменяется, а длина при каждом заражении увеличивается на 1808 --
1823 байта. Тело вируса размещается обычно в конце файла, однако в
случае, если поражаемый EXE-файл имеет неверную длину в заголовке
(это имеет место, например, в ряде программ, использующих часть
своего файла в качестве буфера на диске для хранения промежуточных
данных), то вирус размещается в середине. Такой эффект наблюдается
для FOXBASE, QC и ряда других больших программ, использующих часть
своего дискового файла в качестве буфера или неявного оверлея. При
изменении заголовка файла вирус записывает в поле контрольной
суммы значение 1984h.
Фаза проявления наступает через некоторое время после того, как
вирус стал резидентным (это время зависит от тактовой частоты ЭВМ
и для обычных РС/ХТ с тактовой частотой 4.77 Мгц составляет поряд-
ка 40 мин.) и зависит от даты и дня недели. В обычный день, не
приходящийся на пятницу, совпадающую с 13 числом, проявление дан-
ного вируса состоит в замедлении работы ЭВМ. При этом выдача любой
команды, например DIR, приводит к медленному выползанию строк на
экран. Этот эффект основан на том, что вирус перехватывает преры-
вание от таймера (8h) и при каждом прерывании 8h выполняет цикл из
нескольких тысяч команд. Обычно через некоторое время после начала
стадии проявления действия вируса приводят к зависанию MS DOS с
сообщением Stack overflow. Вторым визуальным эффектом является
вырывание кусков изображения с появлением на экране черного окна в
левом нижнем углу экрана (вирус выполняет скроллинг части экрана).
Если текущий день недели -- пятница, а текущее число -- 13, то ста-
дия проявления меняется: в такие дни вирус не заражает собой все
запускаемые файлы, а просто удаляет их с диска. Таким образом, при
попытке запустить программу на выполнение, MS DOS выдает сообщение
о том, что файл не найден. В результате будут уничтожены все фай-
лы, которые пользователь пытается запускать, пытаясь выяснить, что
происходит с компьютером. Поэтому непреложным правилом поведения
пользователей должно стать следующее: при возникновении каких-то
аномалий необходимо перегрузиться с защищенной дискеты и уже после
этого пытаться анализировать, что произошло с компьютером. Как уже
отмечалось, из-за ошибки в тексте вируса при заражении как COM-,
так и EXE-файлов, имеющих размер, дающий при увеличении на 1808 --
1821 байтов величину, превосходящую 64К, 128К и т.д., заражаемая
программа необратимо портится, перезаписываясь в начале.
Исторические замечания. Вирус RСE-1813 появился в Израиле в на-
чале 1988 г. В СССР обнаружен в ноябре 1988 г. в одном из москов-
ских кооперативов. Первый детектор был, по-видимому, разработан в
Институте программных систем (Переславль-Залесский), однако эта
программа до Киева не дошла. По результатам анкеты, проведенной
автором на апрельском семинаре, этот вирус был обнаружен в 10 ор-
ганизациях из 50 участников семинара, принявших участие в анкети-
ровании. Поскольку создание средств защиты несколько запоздало (в
Киеве эпидемия началась приблизительно в апреле, а средства защиты
появились примерно в июне), вирус распространился довольно широко
и нанес определенный ущерб: десятки, если не сотни тысяч часов бы-
ли потеряны на восстановление и перезапись зараженных программ.
Первыми использовавшимися в киевской практике детекторами для
этого вируса были DOCTOR А.А.Чижова и ANTIDOS киевской разработки.
Первые фаги, использовавшиеся в Киеве для борьбы с этим вирусом,
были разработаны А.А.Чижовым (DOCTOR1) и Л.И.Обуховым (FAG1813 --
август 1989 г.). Программа FAG1813, распространявшаяся как
SHAREWARE по цене 1 рубль за копию (см.СП 1-1), работала устойчи-
во, однако не могла рекурсивно обрабатывать подкаталоги (впрочем,
программа очень мала (1808 байтов)). Для рекурсивной обработки
подкаталогов использовалась с RUNTREE. Кроме того, Л.И.Обуховым
была разработана резидентная вакцина VAC1813R, а позднее VAC1813Q.
Вакцина содержит обработчик неиспользуемого в MS DOS прерывания
Е0, используемого вирусом для определения, имеется ли в оператив-
ной памяти копия вируса или нет. Если этот обработчик возвращает
значение 3, то вирус считает, что он уже является резидентным и
загрузку собственной копии в список резидентных программ не выпол-
няет. Данная вакцина является первым отечественным продуктом тако-
го типа и позволяет, в частности, работать на зараженной машине
без дезактивации всех зараженных файлов. Версия VAC1813Q выдает
предупреждающее сообщение всякий раз, когда делается попытка запу-
стить зараженную программу. Таким образом, она является одновре-
менно резидентным детектором для данного типа вируса. Позднее
В.В.Пономаренко была разработана поливакцина NEATVAC (СП 2-7).
Зарубежные программы появились в СССР несколько позднее. Первой
из них была программа FAG_SU, разработанная Joe Ratcatcher & Anre
Molnar.
Неформальные названия. Данный вирус имеет более десятка нефор-
мальных названий. Среди них: Hebrew University, PLO (ООП), Black
Hole (Черная дыра), Вирус замедления, Time (Время -- О.Котик). По-
лидетектор SCAN называет данный вирус Jerusalem Virus Version B
[Jeru].
Методы и программные средства защиты. В настоящее время все по-
лифаги и полидетекторы распознают этот вид вируса. Однако почти
все из указанных программ не обрабатывают случай, когда вирус на-
ходится в середине файла. Поэтому результаты их работы необходимо
контролировать с помощью контекстного поиска по всему диску. В по-
следних версиях полифага DOCTOR введен новый ключ, задающий расши-
ренную обработку файлов. В этом случае проводится полный просмотр
файлов. Поскольку для каждого зараженного СОМ-файла вирус в конце
дописывает признак зараженности, который состоит из 5 байтов, со-
держащих слово MsDos, можно реализовать пассивное вакцинирование
СОМ-файлов от этого типа вирусов. Для этой цели применима, напри-
мер, команда COPY, если заготовить слово MsDos в отдельном файле,
а затем конкатенировать COM-файлы с этим файлом.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1813

+---------------- команда обхода области данных
| (дрозофила перемещена в конец файла - см. ниже)
+-----+
0000:|E9920073554D7344 6F7300018F250000 ...sUMsDos...%..
0010: 001000D800AD0F5C 06FD1856059D1007 .......\...V....
0020: 7E00000000000000 0000000000000000 ~...............
0030: 000E258000000080 000E255C000E256C ..%.......%\..%l
0040: 000E250004FABA29 0053A1000000004D ..%....).S.....M
0050: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0060: 078419C50077171E 0000009090909090 .....w..........
0070: 0500200021001B01 00021000707D0100 .. .!.......p}..
0080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
0090: 0000000000
+--------- J-сигнатура
|
0095 |FCB4E0 CD2180FCE0731680 .........!...s..
00A0: FC037211B4DDBF00 01BE100703F72E8B ..r.............
00B0: 8D1100CD218CC805 10008ED0BC000750 ....!..........P
00C0: B8C50050CBFC062E 8C0631002E8C0639 ...P......1....9
00D0: 002E8C063D002E8C 0641008CC0051000 ....=....A......
00E0: 2E010649002E0106 4500B4E0CD2180FC ...I....E....!..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
05E0: 1B00B82425CD2107 1F5F5E5A595B589D ...$%.!.._^ZY[X.
05F0: 2EFF2E1700000000 0000000000000000 ................
0600: 4D9D100010383133 522E434F4D000122 M....813R.COM..
0610: E9920073554D7344 6F7300018F250000 ...sUMsDos...%..
0620: 001000D800AD0F5C 06FD1856059D1007 .......\...V....
0630: 7E00000000000000 0000000000000000 ~...............
0640: 000E258000000080 000E255C000E256C ..%.......%\..%l
0650: 000E250004FABA29 0053A1000000004D ..%....).S.....M
0660: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0670: 078419C50077171E 0000009090909090 .....w..........
0680: 0500200021001B01 00021000707D0100 .. .!.......p}..
0690: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
06A0: 0000000000FCB4E0 CD2180FCE0731680 .........!...s..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
+------------------------ тело дрозофилы
|
0710:|9090909090909090 9090909090909090 ................
0720:|4D73446F73 MsDos
+----------+
+---------------- признак зараженности COM-файла

Пример карты памяти зараженного компьютера. В приводимой ниже
карте памяти резидентная часть вируса занимает последнюю строку
(1CD0) таблицы резидентных программ. Перехватываемые прерывания
соответствуют действительности.

Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- -- ------ -----------------
(19A6) DOS N/A 2 3536
(1A8E) E1840 DOS 2 1280
(1AE0) RELEASE DOS 2 3552 27
(1BC0) GRAPHICS DOS 2 1088 05
(1C06) QUICK DOS 2 544 09
(1C2A) KBMNA DOS 2 512 16
(1C4C) DOSEDIT DOS 2 2064
(1CD0) N/A DOS 1 1824 08 21

Данный штамм получил название Sunday -- воскресенье, поскольку в
этот день недели вирус удаляет все запускаемые файлы. Формально
вирус RСЕ-1636 является резидентным файловым вирусом, поражающим
как СОМ-файлы, так и ЕХЕ-файлы. Вирус не проверяет версию MS DOS,
на которой функционирует. Работоспособен на версиях, начиная с 2.0
как на PC XT, так и на PC AT.
При выполнении зараженной программы вирус вначале проверяет на-
личие своей копии в памяти компьютера, аналогично тому, как это
делает вирус RCE-1813. Затем вирус инсталлируется и перехватывает
прерывания 21 и 8. Механизм размножения вируса стандартен -- пере-
хват прерывания 21-4B и заражение каждой подходящей запускаемой на
выполнение программы, за исключением файла с именем COMMAND.COM.
Ограничений на длину файлов нет, поэтому вирус уничтожает COM-фай-
лы, длина которых после заражения превысит 64K. Вирус не заражает
файлы с именем COMMAND.COM.
Файлы типа СОМ поражаются данным вирусом однократно, при этом
дата их создания не меняется, а длина увеличивается на 1636 бай-
тов. В инфицированной программе тело вируса размещается в начале
файла. Со смещением 184h от начала зараженного файла расположена
текстовая строка COMMAND.COM, а со смещением 351h -- текст сообще-
ния, выдаваемого вирусом на экран:

Today is SunDay! Why do you work so hard?
All work and no play make you a dull boy!
Come on ! Let's go out and have some fun!$
(Сегодня воскресенье! Зачем работать так напряженно ?
Постоянная работа без игр делает Вас занудой !
Пошли ! Давай выйдем из дому и развлечемся !)

В конец зараженного СОМ-файла записывается пятибайтовое поле
(обычно это поле содержит C8h, F7h, E1h, EEh, E7h, однако возможны
штаммы с другим содержанием). Указанное поле используется вирусом
в качестве признака зараженности COM-файлов.
EXE-файлы заражаются однократно. Контроль зараженности по тому
же пятибайтовому полю. При заражении EXE-файлов вирус дописывает
свое тело в конец программы и исправляет заголовок EXE-файла, за-
поминая некоторые поля. Как и RCE-1813, вирус записывает, вместо
контрольной суммы, число 1984. При этом оригинальное значение
контрольной суммы теряется. В конец зараженного файла дописываются
упомянутые выше 5 байт.
Как уже указывалось, данный вирус имеет стадию проявления, на-
ступающую в воскресенье. В этот день вирус не заражает собой все
запускаемые файлы, а, как и RCE-1813, удаляет их с диска. Перехва-
тывая прерывание от таймера (INT 8), вирус отсчитывает один час от
начала режима удаления запускаемых файлов и выводит приведенное
выше сообщение. Вирус имеет несколько штаммов, в одном из которых
в этом месте допущена ошибка и данная ветвь кода никогда не выпол-
няется. Аналогично вирусу RCE-1813, возможна запись вируса в сере-
дину расширенных EXE-файлов.
Исторические замечания. Вирус RСE-1636 появился в конце 1988 --
начале 1989 г. в США. В СССР обнаружен к марте 1990 в Ленинграде и
Киеве, а чуть позднее в Москве. Первым отечественным полифагом для
данного вируса был, по-видимому, AIDSTEST (версии, начиная с апре-
ля 1990), обнаруживают и уничтожают этот штамм. Анализ кода позво-
ляет предположить, что автор использовал в качестве основы для его
написания вирус RCE-1813.
Неформальные названия. Полидетектор SCAN называет данный штамм
Sunday Virus [Sunday].
Методы и программные средства защиты. См. прил.1.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1636

000: E992000131C8F7E1 EEE70001F51E0000 ....1...........
010: 002200AA00DF0F60 02FD125605C61090 ......`...V....
020: 7E00000000000000 0000000000004506 ~.............E.
030: 10E02B8000000080 00E02B5C00E02B6C ..+.......+\..+l
040: 00E01B80006C3E12 00D33900F006004D .....l>...9....M
050: 5AC4017500000020 003906FFFF160E5D Z..u... .9.....]
060: 068419C400160E1E 000000909090CD20 ...............
070: 050020008814A579 0002100060E30000 .. ....y....`...
080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
090: 0000000000

+------ начало инсталлятора
|
|FCB4FF CD2180FCFF731580 .........!...s..
0A0: FC047210B4DDBF00 01BE5F0603F72E8B ..r......._.....
0B0: 4D11CD218CC80510 008ED0BC5D0650B8 M..!........].P.
0C0: C40050CBFC062E8C 0631002E8C063900 ..P......1....9.
0D0: 2E8C063D002E8C06 41008CC00510002E ...=....A.......
0E0: 010649002E010645 00B4FFCD2180FC04 ..I....E....!...
0F0: 7510072E8E164500 2E8B2643002EFF2E u.....E...&C....
100: 470033C08EC0BBFC 03268B072EA34B00 G.3......&....K.
... .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. ..
240: 1F00907E5E5B582E FF0E1F002EFF2E13 ...~^[X.........
250: 00546F6461792069 732053756E446179 .Today is SunDay
260: 212057687920646F 20796F7520776F72 ! Why do you wor
270: 6B20736F20686172 643F0A0D416C6C20 k so hard?..All
280: 20776F726B20616E 64206E6F20706C61 work and no pla
290: 79206D616B652079 6F7520612064756C y make you a dul
2A0: 6C20626F79210A0D 436F6D65206F6E20 l boy!..Come on
2B0: 21204C6574277320 676F206F75742061 ! Let's go out a
2C0: 6E64206861766520 736F6D652066756E nd have some fun
2D0: 21249C80FCFF7505 B800049DCF80FCDD !$....u.........
2E0: 740E3D004B7503EB 35909D2EFF2E1700 t.=.Ku..5.......
2F0: 5858B800012EA30A 00582EA30C00F3A4 XX.......X......
... .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. ..
5D0: 1FC51680002E8B0E 7200B80143CD218D ........r...C.!.
5E0: 161B00B82425CD21 071F5F5E5A595B58 ....$%.!.._^ZY[X
5F0: 9D2EFF2E1700FC03 0000000000000000 ................
600: 0000000000000000 0000000000000000 ................
610: 0000000000000000 0000000000000000 ................
620: 0000000000000000 00002C0825460008 ..........,.%F..
630: 250825C60716026C 1540003CFC04000D %.%....l.@.<....
640: C97E9300010702D4 00F51E55C8556CFE .~.........U.Ul.
650: B98B00803EEB54A2 4C80003E00435690 ....>.T.L..>.CV.
660: 9090909090909090 9090909090909090 ................
670: 9090909090909090 90909090909090CD ................
680: 20C8F7E1EEE7 ......
+--------+
+----------- признак зараженности файла

Воронежская подгруппа включает в настоящее время три вируса: RC-
529, RC-600 и RCE-1600, по-видимому, принадлежащие одному (отече-
ственному !) автору.

5.2.3.1. Вирус RC-529
(Peterburg -- Петербург, Пакость-1)
Формально данный вирус можно отнести к резидентным файловым
вирусам, заражающим файлы с расширением COM. Не проверяет версию
операционной системы, но использует имя программы, которое зано-
сится в Environment версии MS DOS не ниже 3.0. При запуске
зараженной программы инсталлируется, перехватывая прерывание 21.
Заражает только COM-файлы при их выполнении. Определяет тип
программы по расширению имени, из-за чего EXE-программы, имеющие
расширение COM, после заражения теряют работоспособность.
Работоспособность таких программ восстанавливается после
применения соответствующего фага. Подобно остальным вирусам иеру-
салимской группы, при заражении COM-файлов записывается в начало,
переписывая старое начало в конец файла. Уровень программирования
выдает начинающего: основная часть логики некритично заимствована
из вируса RСE-1813.
Исторические сведения. Впервые обнаружен в Ленинграде весной
1989 г. Автору был передан Д.Н.Лозинским. Первым фагом для данного
вируса был, по-видимому, AIDSTEST.
Неформальные названия. Помимо приведенных выше неизвестны. Поли-
детектором SCAN не детектируется.
Методы и программные средства защиты. См. прил.1.

Фрагмент дампа программы DUMY1744,зараженной вирусом RC-529

000: B815CA8B361B01BF 00018B0E1D018B1E ....6...........
010: 1901CD21FF361F01 C30101D007110247 ...!.6.........G
020: 017900C0010400C4 014D001102EA00FB .y.......M......
030: 020100FC02010000 0080000E255C000E ............%\..
040: 256C000E25CA01A1 1D0105140190A305 %l..%...........
050: 0303061D01050001 A30D038BE0050F00 ................
... .. .. .. .. .. .. .. .. .. .. .. .. ..
1B0: 15B8004233D28BCA CD21720AFEC68B0E ...B3....!r.....
1C0: 1D01B440CD21B801 578B0E07038B1609 ...@.!..W.......
1D0: 03CD21B43ECD21B8 01438B0E0B038E5E ..!.>.!..C.....^
1E0: 028B5600CD212EC5 160103B82425CD21 ..V..!......$%.!
1F0: 8BE55A1F5B5807C3 B003CFC3C35C06FD ..Z.[X.......\..
200: 1856059D10250336 0021002000360664 .V...%.6.!. .6.d
210: 0090909090909090 9090909090909090 ................
220: 9090909090909090 9090909090909090 ................
*** следующие строки идентичны предыдущей ***
8E0: 90 .

имеется (NEATVAC). Файлы заражаются при загрузке в память для вы-
полнения (прерывание 21-4Bh).
Заражаются файлы типа СОМ, даже если они имеют расширение ЕХЕ.
Дата и время создания зараженного файла не изменяются, а длина
увеличивается на 600 байтов. Минимальная длина заражаемых файлов
составляет 600 байтов (258h), а максимальная 60 000 байтов
(EA60h). Не заражаются файлы, содержащие в первых двух байтах зна-
чение, превышающее EF60h, а также файлы с атрибутом READ ONLY. Ви-
рус не заражает COMMAND.COM. Файлы заражаются однократно, при этом
дата их создания не меняется, а длина увеличивается на 600 байтов.
В инфицированной программе тело вируса размещается в начале файла.
Перехватывает прерывание 21h.
Вирус шифрует часть своего тела (50 байтов, начиная с 16 байта
от начала). Первые 600 байт заражаемой программы (участок, перено-
симый в конец файла) с также шифруются с помощью операции XOR 0BBh
и переносятся в конец файла. На их место помещается тело вируса
(тоже частично закодированное -- 50 байтов, начиная с 17-го -- XOR
0DDh).
Фаза проявления у данного вируса отсутствует. При попытке запу-
ска программы из оболочек типа NC на зараженной машине, если
COMMAND.COM находится на защищенном от записи диске, происходит
выпадение в DOS. При попытке заражения файлов, расположенных на
защищенной от записи дискете, иногда (не всегда) появляется стан-
дартное сообщение Abort, Retry.... Это связано с ошибкой в под-
программе обработки прерывания 24h.
Исторические замечания. По-видимому, вирус имеет отечественное
происхождение, поскольку в теле вируса имеется зашифрованная стро-
ка Oleynikoz S., 1990. Вирус RСE-600 появился в СССР в начале
1990 г. Обнаружен А.Сессой в Днепропетровске в середине апреля
1990г. Значительного распространения вирус не получил. Из полифа-
гов, распространяемых бесплатно, первым был, по видимому, -V
Е.Касперского (СП 2-7).
Неформальные названия. Помимо приведенного выше иногда
используется название 600 и Oleynikoz.
Программные средства защиты. Для борьбы с вирусом годятся имею-
щиеся контекстные детекторы и резидентные программы. В качестве
фага рекомендуется использовать -V Е.Касперского или Aidstest.

Фрагмент дампа дрозофилы, зараженной вирусом RC-600
(обратите внимание, что байты 90h перекодированы в BBh)

000: BE1001B932008A24 80F4DD882446E2F6 ....2..$....$F..
010: 697610FCE08888A8 DE3453DD5115F0DC iv.......4S.Q...
020: DD530566DEDDE356 DAF05DDDE354DAD3 .S.f...V..]..T..
030: C266DFDD56DAF05D DD54DA531D62DDDD .f..V..].T.S.b..
040: 63DD00B90008F3A4 8BD0EB2E90FB80FC c...............
050: AB7504B85555CF50 FEC43D004C587515 .u..UU.P..=.LXu.
060: 9C50535152565706 1EE99E001F075F5E .PSQRVW......._^
070: 5A595B589DEA1C02 BC128EDAB82135CD ZY[X.........!5.
080: 213E891E76013E8C 0678013E891E4202 !>..v.>..x.>..B.
090: 3E8C0644021E8CC0 8ED88BD31F8D164D >..D...........M
0A0: 01B82125CD210E1F 1E07BED401B90001 ..!%.!..........
0B0: BBEC018B3F83FF00 7502CD2057BBEE01 ....?...u.. W...
0C0: 8B0701C781C70001 FC57F3A45F588B0E .........W.._X..
0D0: EE0157C30500018B F0BF0001FC8A0434 ..W............4
0E0: BB88054647E2F6B8 000150C360025802 ...FG.....P.`.X.
0F0: 5605E00F55767F63 7473717560004934 V...Uv.ctsqu`.I4
100: 362B23232A000000 00CF8BDA1E52060E 6+##*........R..
... .. .. .. .. .. .. .. .. .. .. .. .. ..
240: 0300E927FEB8003E CD218B1EF0018E06 ...'...>.!......
250: F201B82425CD21C3 3820818089928E82 ...$%.!.8 ......
260: 0290BB05AEBA9531 AF0FB9769AFD594D .......1...v..YM
270: 01BBBB769BB1B626 2935299B2F3B3230 ...v...&)5)./;20
280: 9B2A353F3E2B3D33 299B39332B282A9B .*5?>+=3).93+(*.
290: ED8D8B8B9B9B9B93 E9F89B8D8B8B929A ................
2A0: BBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBB ................
*** последующие строки идентичны предыдущей ***
4A0: 3F3033363B9B2C33 2A293538359B2F3B ?036;.,3*)585./;
4B0: 32303B9B969B8D8B 20;.....

Фрагмент дампа вируса

000: 8CD80E1F50E80000 5B81EB080153B4AB ....P...[....S..
010: CD213D55557503E9 D0008CC02D01008E .!=UUu......-...
020: D8BB03003E8B072D EA003E8907061FBB ....>..-..>.....
030: 02003E8B072DEA00 3E89078EC0BF0001 ..>..-..>.......
040: BE00015B5301DE0E 1FB9A406F3A48BD0 ...[S...........
050: EB74909CFB80FCAB 7505B855559DCF3D .t......u..UU..=
060: 003D754050535152 565706B9410030C0 .=u@PSQRVW..A.0.
070: 8BFA1E07F2AE83EF 048BF7560E07B904 ...........V....
080: 00BF8902F3A683F9 0075045EEB0D90BF .........u.^....
090: 8C02B904005EF3A6 83F900075F5E5A59 .....^......_^ZY
... .. .. .. .. .. .. .. .. .. .. .. .. ..
0A0: 5B58740950FEC43D 004C587513505351 [Xt.P..=.LXu.PSQ
0B0: 525657061EE91F01 1F075F5E5A595B58 RVW......._^ZY[X
0C0: 9DEA60142B028EDA B82135CD213E891E ..`.+....!5.!>..
0D0: C2013E8C06C4013E 891E75033E8C0677 ..>....>..u.>..w
0E0: 038D165301B82125 CD215ABBB00201D3 ...S..!%.!Z.....
0F0: 2E803F0074411F8C D80E1F8BCA5F0750 ..?.tA......._.P
170: FC8A0434BB880546 47E2F6B800015B50 ...4...FG.....[P
180: C3F7854006CC7DE5 1145584565786555 ...@..}..EXEexeU
190: 767F637473717560 566F726F6E657A68 v.ctsqu`Voronezh
1A0: 2C3139393020322E 3031B430CD213C00 ,1990 2.01.0.!<.
1B0: 0100081A00110300 000000002A390000 ............*9..
... .. .. .. .. .. .. .. .. .. .. .. .. ..
5B0: 595B53BA4007CD21 B80042BA0000B900 Y[S.@..!..B.....
5C0: 00CD21BB1001BE83 028B0CBA0001B440 ..!............@
5D0: 5B53CD215B5A5953 B80157CD218B16D4 [S.![ZYS..W.!...
5E0: 028E1ED202B80143 2E8B0ED002CD210E .......C......!.
5F0: 1F5BE80300E9C0FA B8003ECD218B1E85 .[........>.!...
600: 028E068702B82425 CD21C3558BEC1EB8 ......$%.!.U....
610: 01438B16D4028E1E D20231C9CD217306 .C........1..!s.
620: 1F5D58E945FF368B 5E04B8003ECD21B8 .]X.E.6.^...>.!.
630: 023DFA9C2EFF1EC2 011F368946045DC3 .=........6.F.].

Как уже указывалось, вирусы иерусалимской группы относятся к од-
ним из самых распространенных. Среди них следует отметить первоап-
рельскую подгруппу, а также вирус FU MANCHU. В настоящее время эти
вирусы в СССР еще не выделены. Некоторые сведения о них приводятся
в прил. 3.

5.3. Группа TP-вирусов

Данная группа резидентных вирусов имеет болгарское происхожде-
ние. По данным В.Бончева, они написаны техно-крысой из софийского
вуза ВМЕИ им. В.И.Ленина (теперь Технический университет). В нее
входит 12 отличающихся друг от друга, но несомненно принадлежащих
одному автору штаммов. Вирусы разработаны в конце 1988 -- начале
1989 г. Впервые эти штаммы были описаны В.Бончевым ( окончившим,
кстати, ВМЕИ им. В.И.Ленина в 1984 г.), который, по его собствен-
ному признанию, знаком с написавшей их техно-крысой. Об этом, так-
же, свидетельствуют и некоторые факты. Во-первых, в статье [ ]
В.Бончев утверждает, что заражение EXE-файла несколько сложнее,
чем COM- файла, но возможно, хотя на самом деле сложность зараже-
ния COM- и EXE- файлов примерно равны. И, действительно, первые
штаммы вирусов данной группы заражают EXE-файл специальным, более
сложным способом, основанным на предварительной переделке EXE-фай-
ла в COM- файл. Во-вторых, бросается в глаза подробность, с кото-
рой в [14] описаны технические решения, использованные в ряде
штаммов этой группы, причем само описание ведется с характерной
скорее для разработчика, чем для исследователя, точки зрения. В
первой статье, где упомянуты вирусы данной группы [КВ.3-4'89], уже
указана такая тонкая подробность, как вытеснение старшими
штаммами группы штаммов с меньшими номерами в зараженных файлах,
хотя в самой статье упоминаются только вирусы подгруппы VACSINE,
для которых вытеснение имеет место лишь в оперативной памяти. В
третьих, в статье [13] указывается, что автором создан и фаг для
этой группы вирусов, а единственным известным болгарским полифагом
для данной группы является программа TP48CLS В.Бончева т.е. неиск-
лючено, что алгоритм выкусывания был предоставлен В.Бончеву са-
мим автором этих вирусов.
По оценке большинства исследователей, вирусы написаны специалис-
том высокой квалификации. Ни один из вирусов этой группы не ориен-
тирован на нанесение вреда данным или программам на зараженном им
компьютере. Для большинства представителей этой группы отличитель-
ным признаком является строка F47Ah в начале тела вируса за кото-
рой следует номер штамма. При этом, кроме версии TP-45 (Yankee
Doodle-2D), указанная строка повторяется в конце тела вируса, т.е.
в конце зараженного им файла, что позволяет быстро определить вер-
сию заразившего тот или иной файл вируса путем просмотра дампа па-
мяти. Как видно из приводимых ниже дампов, байт F4h расположен со
смещением 4 от конца, а байт 7Ah -- со смещением 3. Следующий за
этой парой байтов (F4h, 7Ah) байт и определяет номер штамма. Штам-
мы, входящие в данную группу можно разделить на три подгруппы.
1) Подгруппа VACSINA (TP-4, TP-5 и TP-16). Это первые представи-
тели данной группы, разработанные примерно в конце 1988 г. Все они
содержат строку VACSINA, выполняют преобразование EXE-файлов в
COM-файлы в два этапа и не заражают файлов размером больше 64К.
2) Подгруппа музыкальной перезагрузки (ТР-24 и TР-25). Штаммы,
входящие в данную подгруппу, играют мелодию Yankee Doodle Dendy
при перезагрузке. Ограничение на размер заражаемых EXE-файлов со-
храняется.
3) Подгруппа музыкальных самоедов (TP-33, TP-34, TP-38, TP-39,
TP-41, TP-44 и TP-45). Штаммы, входящие в данную подгруппу
разработаны примернов марте-апреле 1989 г. Они играют указанную
выше мелодию в 17 часов, а начиная с TP-38 обладают средствами об-
хода резидентных фильтров и защиты от трассировки на зараженной
машине. Размер заражаемых EXE-файлов не ограничен, а заражение
ведется общепринятым способом.
В первом приближении динамика изменений свойств данной группы
вирусов может быть представлена следующим образом (изложение бази-
руется на материалах, предоставленных Д.Н.Лозинским): до версии
TP-05 при заражении портится дата создания файла; до TP-09 включи-
тельно при заражении COM-файла требуется, чтобы первой командой
программы была JMP (т.е. файл начинался с кода E9).
До TP-16 заражение EXE программ произходит в два этапа. На
первом этапе EXE-программа трансформируется в COM-формат, путем
дописывния специального псевдозагрузчика размером 132 байта,
присоединяющегося по типу вируса, но лишенного способности к
самостоятельному размножению. Следует отметить, что преобразование
EXE-файла в COM-файл, выполняемое вирусом, отличается от
преобразования, выполняемого утилитой EXE2COM и, тем самым,
представляет некоторый самостоятельный интерес. На втором этапе
получившийся агрегат заражается как обычный COM-файл (полифаг
AIDSTEST распознает такой агрегат и помечает его в протоколе как
(FL)).
Следующие версии, включая TP-34, также преобразуют файлы типа
EXE в файлы типа COM, однако делают это в один прием. По-видимому,
штаммов от TP-16 до TP-24 вообще не существует. Начиная с версии
TP-35 EXE-программы сохраняют свой формат, причем во всех заражае-
мых модулях со смещением 12h от начала стоит расстояние до начала
вируса, деленное на 16. Одновременно в начале вируса дублируется
сигнатура F47A и номер версии. Версия TP-45 при заражении EXE-про-
граммы в конец файла эту информацию не пишет. С версии TP-24 раз-
множение не обнаруживается резидентными антивирусными программами,
следящими за записью в программные файлы, поскольку вирус передает
управление непосредственно в BIOS, обходя сторожей. С версии TP-33
вирусы принимают меры защиты от трассировки. В предыдущей главе
описан нерезидентный вирус E-1961, называемый SCAN Yankee Doodle
Short длиной 1961 байт, однако с данной группой его объединяет
только общность играемой мелодии.
Для данного семейства вирусов просматривается прямая аналогия с
описанной выше игрой Animal, хотя конструктивная цель в данном
случае отсутствует. Номер версии вируса используется данным виру-
сом для идентификации себя в оперативной памяти и возвращается ре-
зидентными частями вируса при выполнении прерывания 21-C500 для
версий 19h, 21h, 22h или 21-C600 для версий 26h, 29h, 2Сh. При
этом, если запускать поочередно файлы, зараженные вирусами разных
версий в порядке возрастания версий, то в оперативной памяти будет
создана как бы цепочка резидентных вирусов, причем при запуске не-
зараженной программы она будет инфицирована версией вируса с наи-
большим номером. Если же начать загружать зараженные программы в
порядке убывания версии вируса, то версии с меньшими номерами не
будут становиться резидентными. Используя эту идею, В. Пономаренко
создал резидентную поливакцину NEATVAC (СП 2-7), позволяющую бло-
кировать заражение оперативной памяти данным вирусом.
Кроме того, и это существенно усиливает аналогию с игрой Animal,
резидентный вирус, входящий в подгруппу самоедов, при попытке за-
ражения некоторой программы не только контролирует, заражена уже
эта программа или нет, но и определяет номер версии, если програм-
ма уже заражена одним из вирусов данной группы. Дальнейшие дейст-
вия вируса зависят от того, больше этот номер версии его собствен-
ного номера или нет. Если программа заражена вирусом с меньшим но-
мером, то вирус заменит эту версию на свою, предварительно выку-
сив старую. Поскольку вирус при этом проверяет только последние
байты файла, можно вакцинировать файл от большинства вирусов этой
группы, дописав в конец строку F4 7A FF 00.
Полидетектор SCAN называет представителей данной группы вирусов
Vacsina virus [Vacs] или Yankee Doodle Virus [Doodle], причем
ранние (до 66) версии SCAN часто выдают для зараженного файла оба
имени одновременно, что обычно не означает заражения модуля двумя
вирусами, а связано с несовершенством используемых в нем сигнатур.

Данная подгруппа получила свое название в связи с тем, что все
входящие в нее штаммы содержат строку VACSINA. Заражаются как
COM-, так и EXE-файлы, причем максимальная длина зараженных файлов
не превышает 64К. Заражение файлов происходит при запуске на вы-
полнение соответствующих программ. При заражении вирусы данной
подгруппы дописывают свое тело в конец COM- и EXE-файлов. Штаммы
подгруппы работоспособны на любой версии MS DOS. Проверка номера
версии в теле вируса не выполняется. Перехватывают прерывание 21h.
Заражаются только COM-файлы, имеющие размер мeнее 63К и начинаю-
щиеся с команды перехода (первый байт файла должен содержать E9h).
Дата создания и атрибуты остаются неизменными. Заражение выполня-
ется однократно. При заражении вирус дописывает тело в конец фай-
ла, вставляя в первые три байта команду перехода на начало вируса.
Длина зараженного файла увеличивается до значения, кратного 16,
поэтому при лечении недостаточно укорачивать файл на стандартную
величину -- исходная длина файла должна быть извлечена из тела ви-
руса. В конце тела вируса хранятся байты F4h, 7Ah, по которым ви-
рус определяет, что данный СOM-файл уже заражен.
Как уже отмечалось, заражение EXE-файлов выполняется данной
группой очень своеобразно: в заголовок заражаемого EXE-файла запи-
сывается команда перехода на тело вируса (в данном случае тело
представляет собой часть вируса размером 132 (84h), обеспечивающую
загрузку EXE-файлов, т.е. по сути выполняет функции системного за-
грузчика). Таким образом, вирус переделывает зараженный EXE-файл в
COM-файл. Этот псевдозагрузчик EXE-файлов обеспечивает настройку
загруженного в память файла и передачу на него управления. Для ле-
чения такого файла достаточно восстановить первые три байта с уче-
том первоначальной длины файла и укоротить файл на 132 байта. EXE-
файлы, требующие не всю свободную память системы (не равна FFFF
переменная MaxMem в заголовке), данным вирусом не заражаются. Кро-
ме того, вирус не заражает файлы, размер которых больше 64К или
размер которых превысил бы 64К при заражении. Поскольку после за-
ражения EXE-файл фактически превращается в COM-файл, возможно его
вторичное заражение вирусом, уже как файла типа COM.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1206

100 E9C90A9090909090 9090909090909090 ................
110 9090909090909090 9090909090909090 ................
*** Далее следуют строки, идентичные предыдущей ***
810 9090909090909090 9090909090C31A90 ................
820 4D07004B00000000 0000000000000000 M..K............
830 60020B105605AB0E 2000050090909090 `...V... .......
840 9090C31A00564143 53494E4120202020 .....VACSINA
850 0000800000000000 7C1137A80040C200 ........|.7..@..
860 460A000000000000 0020202020202020 F........
870 2020202020202020 2020202020E80000 ...
880 5B508CC00510008B 0E0E0103C8894FFB [P............O.
890 8B0E160103C8894F F78B0E1001894FF9 .......O......O.
8A0 8B0E1401894FF58B 3E18018B160801B1 .....O..>.......
8B0 04D3E28B0E0601E3 1726C5B5000183C7 .........&......
8C0 048CDD26032E0801 03E88EDD0104E2E9 ...&............
8D0 0E1FBF00018BF281 C600018BCB2BCEF3 .............+..
8E0 A458FA8E57FB8B67 F9FBFF6FF5B003CF .X..W..g...o....
8F0 9C3D004B74069D2E FF2E0000061E5557 .=.Kt.........UW
900 56525153508BECB8 2435CD212E8C0606 VRQSP...$5.!....
910 002E891E04000E1F BABD00B82425CD21 ............$%.!
920 0E1FBA1400B40FCD 21B800438E5E0E8B ........!..C.^..
930 5606CD217303E9DA 012E890E0800B801 V..!s...........
940 4380E1FECD217303 E9C801B8023D8E5E C....!s......=.^
950 0E8B5606CD217303 E9A8012EA30A008B ..V..!s.........
960 D80E1FBA0C00B906 00B43FCD2172193D ..........?.!r.=
970 060075142E813E0C 004D5A7503E9B501 ..u...>..MZu....
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
C80 2E8B162C004A8EC2 268C0E0100B82135 ...,.J..&.....!5
C90 53CD21368C060200 36891E00005BB821 S.!6....6....[.!
CA0 258CD28EDABAC000 CD21B800008EC026 %........!.....&
CB0 C706C5007F3926C6 06C700058CC88ED8 ....9&.........
CC0 B41ABA5000CD212E 8B47FBE94EFF1F07 ...P..!..G..N...
CD0 0502F47A0500 ...z..
+----+
сигнатура

Пример карты памяти зараженного компьютера
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- -- ------ -----------------
(1111) DOS N/A 2 3536
(17E8) DOSEDIT DOS 2 2016 21
(11F9) DOSEDIT DOS 2 2032
(127B) BETA DOS 2 4064
(137B) N/A DOS 1 3808 03 43
(146A) N/A DOS 1 928 10
(14A5) N/A DOS 1 1264
(14F5) N/A DOS 1 912 09
(152F) N/A DOS 1 736 16 2F
(155E) N/A DOS 1 560
(1582) N/A DOS 1 3296
(1651) N/A DOS 1 5280 17
(0007) N/A N/A 1 1200

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1212

000: E969089090909090 9090909090909090 .i..............
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
4C0: 4D07004B00000000 0000000000000000 M..K............
4D0: 5C06FD1856059D10 2000050090909090 \...V... .......
4E0: 9090909005564143 53494E4120202020 .....VACSINA
4F0: 0000800000000000 7011C3900240C200 ........p....@..
500: D009000000000000 0020202020202020 .........
510: 2020202020202020 2020202020E80000 ...
520: 5B508CC00510008B 0E0E0103C8894FFB [P............O.
530: 8B0E160103C8894F F78B0E1001894FF9 .......O......O.
540: 8B0E1401894FF58B 3E18018B160801B1 .....O..>.......
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
920: 5B2E8C0E36002E8B 162C004A8EC2268C [...6....,.J..&.
930: 0E0100B8213553CD 21368C0602003689 ....!5S.!6....6.
940: 1E00005BB821258C D28EDABAC000CD21 ...[.!%........!
950: B800008EC026C706 C5007F3926C606C7 .....&.....9&...
960: 00048CC88ED8B41A BA5000CD212E8B47 .........P..!..G
970: FBE948FFC0040301 F47A0400 ..H......z..
+--------+
сигнатура

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1339

000: E94D099090909090 9090909090909090 .M..............
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
540: 4D08005300000000 0000000000000000 M..S............
550: 5C06FD1856059D10 20000500AE002100 \...V... .....!.
560: 9090909090909090 9090909090900056 ...............V
570: 414353494E412020 2020000080000000 ACSINA ......
580: 00009C11FB750140 C200460A00000000 .....u.@..F .....
590: 0000002020202020 2020202020202020 ...
5A0: 20202020202020E8 00005B508CC00510 ...[P....
5B0: 008B0E0E0103C889 4FFB8B0E160103C8 ........O.......
5C0: 894FF78B0E100189 4FF98B0E1401894F .O......O......O
5D0: F58B3E18018B1608 01B104D3E28B0E06 ..>.............
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
A40: 00005BB821258CD2 8EDABACA00CD21B8 ..[.!%........!.
A50: 00008EC026C706C5 007F3926C606C700 ....&.....9&....
A60: 108CC88ED8B41ABA 5000CD212E8B47FB ........P..!..G.
A70: E92DFF40050301F4 7A10E9 .-.@....z ..
+-----+
сигнатура

Штаммы, входящие в данную группу, имеют характерную фазу прояв-
ления: в зараженной ими системе попытка перезагрузки MS DOS с по-
мощью комбинации нажатий клавиш CTRL-ALT-DEL вызывает в начале
звучание мелодии Янки дудль денди. Звучание продолжается пример-
но 20 с., а затем происходит нормальная перезагрузка системы.

5.3.2.1. Вирус RСE-1805 (ТP-25, Yankee Doodle-19 --
Янки дудль-19, Музыкальная перезагрузка)
Вирус RСE-1805 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Заражение файлов проис-

ходит при запуске на выполнение соответствующих программ. Заражает
COMMAND.COM. Вирус работоспособен на любой версии MS DOS.
При запуске зараженной программы данный вирус сначала проверяет,
имеется ли уже резидентный вирус, по описанной выше схеме, единой
для данной группы. При этой проверке возвращается номер версии ре-
зидентного вируса, если он есть в оперативной памяти. Если номер
версии резидентного вируса меньше, чем номер версии вируса в зара-
женной программе или вирус в оперативной памяти отсутствует, то
старшая версия вируса из зараженной программы становится резидент-
ной и перехватывает прерывания 09 и 21.
Заражение выполняется при запуске программы на выполнение.
Получив управление по прерыванию 21-4B вирус проверяет, является
ли запускаемая программа зараженной, и если нет, то заражает дан-
ную программу на диске. При этом вирус изменяет первые 14 байтов
зараженной программы и дописывает в конце программы собственное
тело. Определение зараженности программы основано на считывании
последних 8 байтов зараженной программы. Подобно вирусу RC-1701,
RCE-1805 не проверяет, загружается ли файл с защищенной дискеты
или нет.
Зараженные файлы увеличиваются в размере на 1805-1820 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно.
Фаза проявления была описана выше. Никаких других несанкциониро-
ванных действий, кроме проигрывания мелодии при нажатии клавиш
CTRL-ALT-DEL, вирус не выполняет.
Резидентная часть вируса обнаруживается путем просмотра списка
резидентных программ (с помощью утилит MAP, SMAP, MMAP и т.д.).
При этом видна подозрительная дополнительная программа, не имею-
щая ни имени, ни родителя и имеющая размер 1792 байт. При этом в
графе Hooked vectors не указано ни одного перехваченного преры-
вания, что, конечно же, не соответствует действительности. Вирус
обращается к 21 прерыванию непосредственно, а не с помощью команды
INT, что обеспечивает обход простейших фильтров типа VIRBLK.
Исторические замечания. Данный вирус был обнаружен в Киеве в
июле 1989 г. Одним из первых этот вирус исследовали В.Е.Еременко и
Е.Ю.Портной, которые самостоятельно разработали фаг для этого ви-
руса в сентябре 1989 г. Первым попавшим в Киев фагом против данно-
го вируса была программа VDEATH. В настоящее время вирус
практически полностью уничтожен.
Программные средства защиты. Рекомендуемые полифаги приведены в
табл.1. Вирус содержит примитивные средства защиты против трасси-
ровки и обхода резидентных средств защиты. В частности, попытки
записи вируса в запускаемый файл не обнаруживаются ни VIRBLK, ни
ANTI4US2. Фильтр ANTI4US2 не срабатывает на попытку вируса стать
резидентным. При использовании Advanced Disk Manager вирус не в
состоянии попасть в разделы винчестера, для которых установлен
статус READ ONLY. Однако при этом блокируется вызов программ.
Имеется резидентная вакцина (NEATVAC).

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1805

000: E9B5079090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
400: 4D08007000000000 0000000000000000 M..p............
410: 050EC32B60142602 5605E3281101FB2A ...+`.&.V..(...*
420: 2000050006052100 000000010C909090 .....!.........
430: 9090909090909090 909090FF2E10009C ................
440: FA2EFF1E1400C353 502E8B1E2200B445 .......SP.....E
450: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r....>......X
460: 5BC3B003CF50E460 3C53752EB402CD16 [....P.`,..r..........
490: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
4A0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
4B0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
... .. .. .. .. .. .. .. .. .. .. .. ..
5F0: B900008BD18B1E22 00E843FE72E583FA .........C.r...
600: 0075E03D200076DB 3D1DF09073D5A305 .u.= .v.=...s...
610: 07B80042B900008B D18B1E2200E81FFE ...B...........
620: 72C1BA2D00B90E00 B43FE812FE72B43D r..-.....?...r.=
630: 0E0075AF813E2D00 4D5A740B813E2D00 ..u..>-.MZt..>-.
... .. .. .. .. .. .. .. .. .. .. .. .. AA0:
C400DC00C400AE00 A400AE00C400DC00 ................
AB0: F600DC00AE00DC00 F6000601DC00C400 ................
AC0: 0601F60025010601 0601FFFF19191919 ....%...........
AD0: 1919191919191919 3232191919191919 ........22......
AE0: 1919191919193232 1A191A1919191919 ......22........
AF0: 1A191A1919191E1A 191A191919191E19 ................
B00: 1919193232000493 91F47A1990 ...22.....z..

Фрагмент дампа программы DUMY.COM,
зараженной вирусом RCE-1760

000: E9B8039090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: 4D08006D00000000 0000000000000000 M..m............
040: 3903981460146402 56059D10E6049A11 9...`.d.V.......
050: 2000050045002100 000000012F909090 ...E.!...../...
060: 9090909090909090 909090FF2E10009C ................
070: FA2EFF1E1400C353 502E8B1E2200B445 .......SP.....E
080: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r....>......X
090: 5BC3B003CF50E460 3C53752EB402CD16 [....P.`,..r..........
0C0: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
0D0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
0E0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
0F0: 9DFBF9CA0200B819 002EF6062B000275 ............+..u
... .. .. .. .. .. .. .. .. .. .. .. ..
630: C4E6615F5A5958C3 8B3C83FFFF74113E ..a_ZYX..<...t.>
640: 8A5E002AC92AFFE8 C2FF83C6024575E8 .^.*.*.......Eu.
650: C3BE2B06BD9F06E8 DEFFC30601060125 ..+............%
660: 0149010601490125 01C4000601060125 .I...I.%.......%
670: 0149010601060106 010601250149015D .I.........%.I.]
680: 01490125010601F6 00C400DC00F60006 .I.%............
690: 010601DC00F600DC 00AE00DC00F60006 ................
6A0: 01DC00C400DC00C4 00AE00A400AE00C4 ................
6B0: 00DC00F600DC00AE 00DC00F6000601DC ................
6C0: 00C4000601F60025 0106010601FFFF19 .......%........
6D0: 1919191919191919 1919193232191919 ...........22...
6E0: 1919191919191919 1932321A191A1919 .........22.....
6F0: 1919191A191A1919 191E1A191A191919 ................
700: 191E191919193232 30009391F47A1890 ......220....z..
+----+
сигнатура

В данную подгруппу входят наиболее совершенные штаммы данной
группы вирусов. По-видимому, все представители данной группы игра-
ют в 17.00 мелодию Янки Дудль Денди, поэтому их иногда называют
Five o'clock (Пять часов). Штаммы, входящие в данную подгруппу
увеличивают свои функциональные возможности, с возрастанием номера
версии. Стиль написания вируса создает впечатление перекодировки с
языка высокого уровня. Возможно, прототип был предварительно напи-
сан на Турбо Паскале, отсюда и название TP. Для структуры этой
подгруппы характерно наличие многочисленных подпрограмм и активное
использование стека. При анализе дампов программ, зараженных штам-
мами данной подгруппы, обращает на себя внимание тот факт, что все
они содержат группы повторяющихся символов с кодом 05. Поэтому для
контекстного поиска зараженных файлов можно использовать строку,
состоящую из восьми повторений символа с шестнадцатиричным кодом
05.
Начиная со штамма RCE-2661 (ТР-38) в них применяется защита от
обнаружения фильтрами, перехватывающими прерывание 21. Примененный
прием основан на выполнении трассировки программ, сидящих на 21
прерывании до попадания в оригинальный обработчик MS DOS, и за-
поминании соответствующего адреса. Кроме того, именно с этого
штамма наблюдается эффект самоизлечения зараженной программы,
при попытке трассировки ее на зараженной вирусом машине.
Среди данной подгруппы впервые встречается попытка реализовать
модификацию одного вируса другим вирусом. Начиная со штамма ТР-42,
вирус проверяет, заражен ли компьютер, на котором он распространя-
ется вирусом Bx1-1C (Пинг-понг). Если да, то выполняется модифика-
ция вируса Bx1-1C в памяти таким образом, что в код вируса вводит-
ся специальный счетчик, инициализируемый значением 255. После за-
ражения дискеты вирус уменьшает счетчик на единицу и при достиже-
нии счетчиком значения нуль перестает размножаться. Кроме того,
начиная со штамма TP-44, мелодия играется не каждый раз при дости-
жении часами значения 17.00, а с вероятностью приблизительно 1/8,
что несколько затрудняет обнаружение вируса.
Наиболее распространенным представителем этой группы является
штамм RCE-2885 (Five o'clock; TP-44), с которого мы и начнем опи-
сание представителей данной группы.

ражении EXE- файлов не контролируется. В конце зараженного EXE-
файла четырехбайтовая сигнатура отсутствует.
При инсталляции вирус узнает длину исходного файла, восстанавли-
вает истинный стартовый адрес программы и проверяет наличие своей
копии в памяти компьютера. Если компьютер не заражен или заражен
более ранней версией вируса, то RCE-2885 копирует себя в область
памяти либо сразу за телом программы, либо выделенную функцией
ALLOC (21-48h) и, манипулируя с MCB, остается резидентным в памя-
ти, перехватывая прерывания 21h, 1Ch и 09h.
Вирус RCE-2885 проверяет, загружается ли файл с защищенной дис-
кеты или нет. Поэтому он не препятствует загрузке любого СОМ-файла
с защищенной дискеты. Резидентная часть вируса не обнаруживается
путем просмотра списка резидентных программ (с помощью утилит MAP,
SMAP, MMAP и т.д.). При этом вирус не детектируется программой
RELEASE, а попытка запустить RELEASE на зараженной машине приводит
к выдаче сообщения о том, что RELEASE не может стать резидентным.
Вирус обходит контроль резидентных фильтров, следящих за записью в
программные файлы.
Фаза проявления данного вируса состоит в проигрывании с вероят-
ностью 1/8 мелодии Янки Дудль (Yankee Doodle) в 17 часов (точ-
нее, в 16:59:53). Никаких разрушений или манипулирований с данными
вирус не выполняет.
При попытке дизассемблирования дизассемблером Sourcer, а также
трассировке на зараженной машине, наблюдается эффект самоизлече-
ния файлов. Этот достаточно экзотический эффект достигается за
счет контроля прерываний 1h и 3h при получении управления по пре-
рыванию 1Ch. По умолчанию процедуры обработки этих прерываний со-
стоят из одной команды возврата. При загрузке программы, перехва-
тывающей данные прерывания (программа трассировки или дизассемблер
типа SOURCER), вирус устанавливает для указанных прерываний собст-
венные процедуры обработки. Последние проверяют, не произошли ли
эти прерывания из кодового сегмента, в котором расположена рези-
дентная часть вируса, и если да, запускают подпрограмму восстанов-
ления кода вируса, тем самым отключая программу трассировки.
Другими словами контроль прерываний 1 и 3 состоит в том, что, пока
процедуры обработки этих прерываний состоят из одной команды воз-
врата из прерывания, никаких действий вирусом не производится, но
стоит Вам загрузить программу, модифицирующую адреса обработчика
данных прерываний (например, отладчик), как вирус установит для
них собственные процедуры обработки. Основной целью перехвата уп-
равления при обработке прерываний 1h и 3h является проверка, не
произошли ли эти прерывания из кодового сегмента, равного сегменту
загрузки в память резидентного вируса. Если это так, то кто-то пы-
тается посмотреть работу вируса под отладчиком, и в ответ на это
вызывается специальная процедура восстановления кода вируса, чем
прерывается работа отладчика.
Аналогичным образом реализовано самоизлечение загружаемых в
трассировщик зараженных файлов: резидентная часть вируса отслежи-
вает момент загрузки программы в память без исполнения (21-4Bh,
AH=03), и проверяет, загружают в память зараженную программу или
нет. В последнем случае запускается подпрограмма выкусывания ви-
руса. Как уже указывалось, при заражении файлов, зараженных пред-
ыдущими версиями вируса, выполняется сначала выкусывание, а за-
тем заражение данным штаммом.
Исторические замечания. Впервые вирус был описан В.Бончевым под
названием TP-44. Данный вирус был обнаружен в Киеве в сентябре
1989 г. Первым фагом для данного вируса были программы RVC и RVE.
(для COM- и EXE-файлов, соответственно). В настоящее время данные
программы представляют только исторический интерес.
Неформальные названия. Помимо приведенных в заголовке,
используются следующие названия: Янки Дудль, Музыкальный, Летучий
Голландец, TP-44.

Программные средства защиты. Простейшие средства защиты недоста-
точно эффективны против данного вируса. В частности, попытки запи-
си вируса в запускаемый файл не обнаруживаются ни VIRBLK, ни
ANTI4US2. Эффективна защита на уровне дискового драйвера (Advanced
Disk Manager, Dcache и т.д.). Как уже указывалось, вирус содержит
средства защиты против трассировки. Для контроля работы детекторов
можно использовать поиск строки 0505050505050505h.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-2885

100 E90E089090909090 9090909090909090 ................
110 9090040090909090 9090909090909090 ................
120 9090909090909090 9090909090909090 ................
130 9090909090909090 909090C37A3D0000 ............z=..
140 F47A2C0000003C00 BE0A909090909090 .z,...<.........
150 9090909090909090 9090909090909090 ................
160 9090909090909090 9090601479026014 ..........`.y.`.
170 790256058C4253FF 00F00500B6643B13 y.V..BS......d;.
180 DE006A002E833ED4 065C0770002E833E ..j...>..\.p...>
190 D4065C0770000000 2101000100016901 ..\.p...!.....i.
1A0 0000100000010002 CF02C711C711E60F ................
1B0 280EC711280EE60F C417C711C711E60F (...(...........
1C0 280EC711C711C711 C711E60F280E590D (...........(.Y.
1D0 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
1E0 C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
1F0 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
200 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
210 C417C711EF12E60F C711C711FFFF0505 ................
220 0505050505050505 0505090905050505 ................
230 0505050505050505 0909050505050505 ................
240 0505050505050505 0605050505050505 ................
250 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
+----- начало инсталлятора вируса
V
911 E800005B81EBD4 072EC6875C00FFFC ....[.......\...
920 2E80BF5B00007418 BE0A0003F3BF0001 ...[..t.........
930 B92000F3A40E2EFF B76400061E50EB13 . .......d...P..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
B60 3146F826A10A0031 46FA26A10C003146 1F.&...1F.&...1F
B70 FC26A10E003146FE EB118BC1B908008D .&...1F.........
B80 76F033FFF336A58B C8EB0349EB9BD1EA v.3..6.....I....
B90 7202EB868BE55DC3 558BEC1E8E5E048E r.....].U....^..
BA0 460633DB268B0731 0783C30283FB1072 F.3.&..1.......r
BB0 F3FF4604FF4606FF 4E0875E01F5DC355 ..F..F..N.u..].U
BC0 8BEC1EB30133F633 C98B7E08037E0A4F .....3.3..~..~.O
BD0 8EDFD02CD1D14F3B 7E0873F40BC97411 ...,..O;~.s...t.
BE0 51FF7606FF7604E8 EBFE83C4068ED830 Q.v..v.........0
BF0 1C4683FE1072D0D0 E373CA1F5DC387DB .F...r...s..]...
C00 88CB8A998F38E7CD A19B3EEF86C89783 .....8....>.....
C10 5234BE8C2129B1F9 C19B120409F34501 R4..!)........E.
C20 931DB0B9C6010692 375049E8D5719722 ........7PI..q.
C30 A6E64C50BE2A23BE 441DA1A66BA0E006 ..LP.*#.D...k...
C40 AA1AF62AC0022F75 99060F5B97023E64 ...*../u...[..>d
C50 7DC8506608C4FA92 8E64751BA61BB932 }.Pf.....du....2
C60 BD0B3E616DE0C4B9 29CA9C170821EAEE ..>am...)....!..
C70 7E85B1632AC37171 2CA0F28B590DF9D5 ~..c*.qq,...Y...
C80 00F47A2C00 ..z,.
+----+
сигнатура

Фрагмент дампа дрозофилы, зараженной вирусом RCE-2680

0100 E99F069090909090 9090909090909090 ................
0110 9090909090909090 9090909090909090 ................
0120 9090909090909090 9090909090909090 ................
0130 9090909090909090 90909090909090C3 ................
0140 4D0800AF00000000 0000000000000000 M...............
0150 6002FD1660147402 5605631353FF00F0 `...`.t.V.c.S...
0160 20000500BB916A13 0000C60052002EC6 .....j.....R...
0170 5C077000558B5C07 7000010001909090 \.p.U.\.p.......
0180 9090909090909090 90909087DB87DB90 ................
0190 6402C711C711E60F 280EC711280EE60F d.......(...(...
01A0 C417C711C711E60F 280EC711C711C711 ........(.......
01B0 C711E60F280E590D 280EE60FC711EF12 ....(.Y.(.......
01C0 C4172C15EF12C711 C7112C15EF122C15 ..,.......,...,.
01D0 C51A2C15EF12C711 2C15C4172C15C417 ..,.....,...,...
01E0 C51A671CC51AC417 2C15EF122C15C51A ..g.....,...,...
01F0 2C15EF12C7112C15 C417C711EF12E60F ,.....,.........
0200 C711C711FFFF0505 0505050505050505 ................
0210 0505090905050505 0505050505050505 ................
0220 0909050505050505 0505050505050505 ................
0230 0605050505050505 0605050505090950 ...............P
0240 53B800008EC026C4 1C895D028C450426 S.....&...]..E.&
0250 803FCF740A268B07 890526C707CD1C5B .?.t.&....&....[
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
+---- начало инсталлятора вируса
V
07A2 E800005B81EB 65065053BB2100F8 C....[..e.PS.!..
07B0 B803C5CD215B7223 83FCF0721E2E8B97 ....![r#...r....
07C0 0300428CD903D18E C28BF38BFEB9780A ..B...........x.
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
0B90 4390CFD2EF3B32E9 5F393E674E4B471B C....;2._9>gNKG.
0BA0 D22B7A58EC6C90D9 E60A21B50D5FB446 .+zX.l....!.._.F
0BB0 40009391F47A2190 @....z!.
+----+
сигнатура

Фрагмент дампа дрозофилы, зараженной вирусом RCE-2568

0100 E98F069090909090 9090909090909090 ................
0110 9090909090909090 9090909090909090 ................
0120 9090909090909090 9090909090909090 ................
0130 9090909090909090 90909090909090C3 ................

... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
+---- начало инсталлятора вируса
V
0792 E800005B81EB 55065053BB2200F8 C....[..U.PS."..
07A0 B803C5CD215B7203 E9AE00598CC88ED8 ....![r....Y....
07B0 8EC02E8A87070A2E A200018BC18B8F02 ................
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
0AF0 B7C5961AA5A87868 F4411F709A6E58DE ......xh.A.p.nX.
0B00 FDBACD6400466F1B 9488E612AFB1F895 ...d.Fo.........
0B10 46A9D1AE675742D9 6A5B8E0E1F21D50A F...gWB.j[...!..
0B20 4FFC427B17B1F9F2 684532D06EF9DDA4 O.B{....hE2.n...
0B30 DC014D1AFC655125 DD88256102BD0D0C ..M..eQ%..%a....
0B40 40009391F47A2290 @....z".
+----+
сигнатура

5.3.3.4. Вирус RCE-2756
(ТР-38, Yankee Doodle-26 -- Янки дудль-26)
В данном штамме добавлена логика, обеспечивающая обход фильтров,
перехватывающих прерывание 21. Примененный прием основан на выпол-
нении трассировки программ, "сидящих" на 21 прерывании до попада-
ния в "оригинальный" обработчик MS DOS и запоминании соответствую-
щего адреса. Кроме того, именно с этой версии наблюдается эффект
"самоизлечения" зараженной программы при попытке трассировки ее на
зараженной вирусом машине.
Исторические замечания. Данный вирус распространялся на вирусной
дискете В.Бончева в файле TP38VIR.COM, датированном 28 февраля
1989 г.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-2756

100 E9DB079090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
120 9090909090909090 9090909090909090 ................
130 9090909090909090 90909090909090C3 ................
140 F47A260000004000 400A909090909090 .z&...@.@.......
150 9090909090909090 9090909090909090 ................
160 9090909090909090 9090720EA0196014 ..........r...`.
170 74025605D656E008 A01920000500FABB t.V..V.... .....
180 28140000DC006800 2EA35C07700087EC (.....h...\.p...
190 5C07700001000101 87DB87DB87DB87DB \.p.............
1A0 1000000100028102 C711C711E60F280E ..............(.
1B0 C711280EE60FC417 C711C711E60F280E ..(...........(.
1C0 C711C711C711C711 E60F280E590D280E ..........(.Y.(.
1D0 E60FC711EF12C417 2C15EF12C711C711 ........,.......
1E0 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
1F0 C4172C15C417C51A 671CC51AC4172C15 ..,.....g.....,.
200 EF122C15C51A2C15 EF12C7112C15C417 ..,...,.....,...
210 C711EF12E60FC711 C711FFFF05050505 ................
220 0505050505050505 0909050505050505 ................
230 0505050505050909 0505050505050505 ................
240 0505050505050605 0505050505050605 ................
250 0505050909505333 C08EC026C41C895D .....PS3...&...]
260 028C450426803FCF 740A268B07890526 ..E.&.?.t.&....&
270 C707CD1C5B58C356 57BE0400BF4800E8 ....[X.VW....H..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
начало инсталлятора вируса ----+
V
8DE E800 ..U..t...R.QC...
8E0 005B81EBA107FC2E 80BF5600007418BE .[........V..t..
8F0 0A0003F3BF0001B9 2000F3A40E2EFFB7 ........ .......
.. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
BC0 F0435C6B7478F6AE 05B22AD44954519F .C\ktx....*.ITQ.
BD0 DD99113FEAE02D2E 6DCC95C81233C43E ...?..-.m....3.>
BE0 5A2B8B33E11C3E88 C4806AC3DEFF6F33 Z+.3..>...j...o3
BF0 44223341E9BC133D CA1B92C402A0D2FD D3A...=........
C00 |F47A2600 .z&.
+-----+
сигнатура

Фрагмент дампа дрозофилы, зараженной вирусом RCE-2901

000: E906089090909090 9090909090909090 ................
010: 9090030090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: F47A2D0000003000 C60A909090909090 .z-...0.........
040: 9090909090909090 9090909090909090 ................
050: 9090909090909090 9090390398146014 ..........9...`.
060: 640256059D1053FF 00F0050045002100 d.V...S.....E.!.
070: DE006A009A87014A 9F5C0770009C2E8F ..j....J.\.p....
080: 06775C0770000000 2001000100013F01 .w\.p... .....?.
090: 0000100000010002 CF02C711C711E60F ................
0A0: 280EC711280EE60F C417C711C711E60F (...(...........
0B0: 280EC711C711C711 C711E60F280E590D (...........(.Y.
0C0: 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
0D0: C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
0E0: 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
0F0: 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
100: C417C711EF12E60F C711C711FFFF0505 ................
110: 0505050505050505 0505090905050505 ................
120: 0505050505050505 0909050505050505 ................
130: 0505050505050505 0605050505050505 ................
140: 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
150: 05EA007C0000FC33 C08EC0BE2A7DBF4C ...|...3....*}.L
160: 00A5A52683061304 02EA007C00008B04 ...&.......|....
170: 2DBC0072093D0800 9072038904C3B809 -..r.=...r......
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
7A0: 06525153508B0E3C 008B163E00B80157 .RQSP..<...>...W
7B0: E8D9FBB43EE8D4FB 8A0E580080F12080 ....>.....X... .
7C0: E13FF6C1217411B8 01431E32ED8A0E58 .?..!t...C.2...X
7D0: 00C55604E8BAFB1F B824251EC5163200 ..V......$%...2.
7E0: E8AEFB1F8A165D00 B80133E8A3FB585B ......]...3...X[
7F0: 595A075DF9C359BA 00022E80BF5A0000 YZ.]..Y......Z..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
B40: F2DB996A6A37B0CE B3FBC50E2CD85FC4 ...jj7......,._.
B50: 4C99CE00A228B8B9 339F6B8B59C09A66 L....(..3.k.Y..f
B60: DBDB30252E0A0049 34C355356A362F79 ..0%...I4.U5j6/y
B70: 2B8E340D1D0D0629 F94636B8AD18F6AA +.4....).F6.....
B80: 00F47A2D00 ..z-.
+----+
B-сигнатура

5.3.3.6. Вирус RCE-2932
(ТР-41, Yankee Doodle-29 -- Янки дудль-29)
Разрушение или модификация данных в вирусе не предусмотрена.
Длина вируса составляет 2932 (B74h) байт. Заражаются COM-файлы
длиной от 20h до F247h байт и EXE-файлы любой длины. Код вируса
практически полностью совпадает с кодом RCE-2885. Отличия от по-
следнего сводятся к тому, что в 17.00 мелодия играется всегда.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-2932

000: E92F089090909090 9090909090909090 ./..............
010: 9090030090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: F47A290000003000 EE0A909090909090 .z)...0.........
040: 9090909090909090 9090909090909090 ................
050: 9090909090909090 9090390398146014 ..........9...`.
060: 640256059D1053FF 00F0200005004500 d.V...S... ...E.
070: 210000001701DC00 72D0DF04555C0770 !.......r...U\.p
080: 0089BFCE1B975C07 7000010001000101 ......\.p.......
090: 0000100000010002 B302C711C711E60F ................
0A0: 280EC711280EE60F C417C711C711E60F (...(...........
0B0: 280EC711C711C711 C711E60F280E590D (...........(.Y.
0C0: 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
0D0: C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
0E0: 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
0F0: 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
100: C417C711EF12E60F C711C711FFFF0505 ................
110: 0505050505050505 0505090905050505 ................
120: 0505050505050505 0909050505050505 ................
130: 0505050505050505 0605050505050505 ................
140: 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
150: 05EA007C0000FC33 C08EC0BE2A7DBF4C ...|...3....*}.L
160: 00A5A52683061304 02EA007C0000561E ...&.......|..V.
... .. .. .. .. .. .. .. .. .. .. .. ..
1E0: EC9C061E53500E1F E8E4FF8CC8394608 ....SP.......9F.
1F0: 74358E5E0883BF02 0029752081BF0000 t5.^.....)u ....
200: F47A751881BF0800 EE0A75108CD8D1EB .zu.......u.....
210: D1EBD1EBD1EB03C3 8ED8EB0B836E0205 .............n..
220: 585B1F079D5DCBE8 F8008B460AFE065B X[...].....F...[
230: 00A900017507FF4E 06FE0E5B0025FFFE ....u..N...[.%..
... .. .. .. .. .. .. .. .. .. .. .. ..
B60: 419EBF488A06A7BA 0A8993557831908F A..H.......Ux1..
B70: B0BAA467FDFB369D F825859828EEBB8E ...g..6..%..(...
B80: A4276E3D35E3DC9E 472D3C7C5AE5D407 .'n=5...G-<|Z...
B90: 805C01401F4CBCFC 3DC3E86DA14C4554 .\.@.L..=..m.LET
BA0: F47A2900 .z).
+-----+
сигнатура

Группа Avenger является одной из наиболее опасных групп вирусов.
В настоящее время включает два вируса: RCE-1800 (Dark Avenger) и
RCE-02000 (Bontchev). Предположительно оба вируса болгарской раз-
работки. Код вирусов этой группы свидетельствует о глубоком знании
разработчиком MS DOS. В них используется ряд нетривиальных методов
маскировки и обхода простейших резидентных сторожей.

5.4.1. Вирус RCE-1800
(Dark Avenger -- Черный мститель; Eddie -- Эдди)

Вирус RCE-1800 получил свое название в связи с тем, что в теле
вируса содержатся две достаточно длинные текстовые строки:
1. Eddie lives...somewhere in time (в начале вируса, т.е. сра-
зу после конца зараженного СOM-файла).
2. This program was written in the city of Sofia © 1988-89
Dark Avenger.
Формально RCE-1800 является файловым резидентным вирусом, пора-
жающим как файлы типа СОМ, так и файлы типа EXE. Это первый
попавший в СССР вирус, стратегия размножения которого
предусматривает заражение программ не только при их выполнении, но
и при других операциях доступа к соответствующим файлам. Поэтому,
при отсутствии противодействия, RCE-1800 размножается гораздо быс-
трее ранее рассмотренных вирусов. Помимо заражения при запуске
программ на выполнение, файлы заражаются при создании, переимено-
вании, открытии и закрытии (прерывания 21-4Bh, 21-3Ch, 21-5Bh, 21-
56h, 21-3Dh, 21-2h). Такая стратегия размножения делает этот вирус
весьма опасным, поскольку, если в зараженной системе запустить
программу, систематически просматривающую файлы во всех подкатало-
гах (например, ревизор), то большая часть СOM- и EXE-файлов будет
в результате заражена.
При запуске зараженной программы вирус сначала проверяет наличие
в оперативной памяти своей копии. При этом копия проверяется пол-
ностью и в случае обнаружения изменений с этого места в память за-
писывается исходный код вируса. Это существенно затрудняет нейтра-
лизацию вируса в оперативной памяти. Если вирус не нашел в опера-
тивной памяти своей копии, то он загружается в верхнюю область си-
стемной памяти, а затем резервирует для себя участок памяти путем
манипуляций с MCB и используя функции MS DOS (выделения, освобож-
дения и изменения размеров выделенной памяти). При загрузке в
старшие адреса памяти вирус затирает транзитную часть COMMAND.COM.
Поэтому при первой же команде с консоли транзитная часть вызывает-
ся повторно, что и приводит к ее заражению.
На фазе инсталляции вирус определяет расположение в ПЗУ обработ-
чика прерывания 13h как для дискеты, так и для жесткого диска. Все
необходимые сведения для этой цели он берет из векторов 40h и 41h,
где содержатся, соответственно, адрес обработчика прерывания 13h
в ПЗУ и адрес таблицы параметров для винчестера. Алгоритм опреде-
ления адреса прерывания 13 в ПЗУ, используемый вирусом не универ-
сален и он работает не для всех типов IBM-совместимых компьютеров.
Помимо прерывания 13h, вирус перехватывает прерывания 21h и 27h.
Прерывание 21h используется стандартным образом (отслеживаются
приведенные выше подфункции), а прерыванием 27h вирус пользуется
для того, чтобы проверять, не изменился ли вектор 21h, и при необ-
ходимости восстанавливать его.
Вирус работоспособен на версиях 3.х и 4.х MS DOS. Проверка номе-
ра версии в теле вируса не выполняется.
Зараженные COM-файлы увеличиваются в размере на 1800 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно. При заражении вирус дописывает свое тело в
конец файла, вставляя в первые три байта команду перехода на нача-
ло вируса. Выравнивание на границу параграфа для COM-файлов не вы-
полняется. Инфицируются COM-файлы длиной от 1775 (6Fh) до 63148
(F6ACh) байтов. В силу сказанного выше, COMMAND.COM является наи-
более подверженной заражению данным вирусом программой. Для версии
3.3 зараженный COMMAND.COM имеет размер 27107 байтов (если его
первоначальный размер был 25307 байтов). Очевидно, что при зараже-
нии не имеет значения, где расположен командный процессор, лишь бы
диск был доступен для записи.
Заражение EXE-файлов выполняется стандартно, за исключением то-
го, что вирус не сохраняет в своем теле исходной длины заражаемого
файла. Однако восстановление длины программы все же возможно, по-
скольку вирус запоминает в теле некоторый байт. При заражении EXE-
файлов вирус дописывается в конец файла с выравниванием на границу
параграфа (т.е. приращение длины колеблется в диапазоне 1800..1815
байтов). Инфицируются EXE-файлы длиной больше 1775 (6Fh) байтов.
Помимо COM- и EXE-файлов, вирус иногда заражает файлы данных.
Это свойство характерно не только для данного вируса, но и для лю-
бого вируса, который заражает открываемые файлы. Зараженные таким
образом файлы данных можно лечить обычным фагом, указав соответст-
вующее расширение.
Фаза проявления данного вируса связана с разрушением
опеределенных секторов винчестера и наступает после определенного
количества инсталляций вируса (запусков первой зараженной програм-
мы после перезагрузки системы, в ходе которых он становится рези-
дентным). При зараженном COMMAND.COM количество инсталляций равно
количеству перезагрузок машины после заражения. Вирус ведет
счетчик инсталляций в байте со смещением 0Аh (10) бутсектора. Чте-
ние бутсектора выполняется с помощью прерывания 25h, что возможно
только для ОС, не поддерживающей диски размером более 32M. Сразу
после очередной инсталляции вирус анализирует 2 байта (8-й и 10-й)
бутсектора диска, с которого была запущена зараженная программа.
Десятый байт используется в качестве счетчика, который вирус уве-
личивает на 1 при каждой инсталляции, сохраняя увеличенное значе-
ние в том же байте. При каждой 16-ой инсталляции он уничтожает со-
держимое одного из секторов винчестера (номер, по-видимому, выби-
рается случайно и зависит от значения 8-го байта бутсектора), за-
писывая туда первые 512 байтов своего тела. При этом первые байты
запорченного сектора будут содержать фразу Eddie
lives...somewhere in time, что позволяет выявить все уничтоженные
сектора глобальным контекстным поиском по диску. При заражении
файлов или уничтожении секторов вирус использует прерывание 13
напрямую -- управление передается в ПЗУ, минуя текущий обработчик
прерывания. Это позволяет обходить проверки резидентных сторожей.
Вирус предпринимает ряд мер по маскировке своего наличия в опе-
ративной памяти. При старте любой программы вирус помечает про-
граммный сегмент как последний и становится невидимым для этой
программы, по окончании работы программы вирус помечает программ-
ный сегмент как не последний. При завершении программы вирус вос-
станавливает первоначальное значение прерывания 21h, если оно было
изменено программой. Вирус вставляет себя первым в цепочку про-
грамм, получающих управление по прерыванию 21h, а в дальнейшем не
позволяет программам встать раньше него в указанном списке. Этот
метод всплытия позволяет обойти простейшие резидентные сторожа.
Вирус обходит контроль программ, следящих за прерыванием 13h, оп-
ределяя значение этого вектора при инсталляции и в дальнейшем на-
прямую обращаясь по соответствующему адресу .
Исторические замечания. Впервые вирус описал В.Бончев [13]. Если
исходить из приведенной выше строки, то RCE-1800 имеет болгарское
происхождение и написан в первой половине 1989 г. В Киеве появился
вместе с компьютерами, приобретенными у одного из московских коо-
перативов в сентябре 1989 г. Одним из первых этот вирус выделил
В.О.Ткаченко. Фактически данный вирус был первым вирусом, который
мог уничтожать информацию в базах данных, а не только выполняемые
файлы, и ряд организаций серьезно пострадали в результате повреж-
дения вирусом их баз данных. Первые фаги для данного вируса не
проверяли его наличие в оперативной памяти, поэтому наблюдались
случаи, когда при запуске фага при резидентном вирусе фаг обнару-
живал зараженный файл, выкусывал вирус, а при закрытии файла он
снова оказывался зараженным. Более того, при запуске детектора или
ревизора, не проверявших наличие вируса в оперативной памяти, за-
ражались все проверявшиеся файлы, которые еще не были заражены.
Поэтому основной особенностью борьбы с данным вирусом являлось бы-
строе распространение понимания необходимости нейтрализации рези-
дентного вируса у разработчиков фагов и не менее быстрое понимание
необходимости проводить лечение, только загрузившись с эталон-
ной, защищенной от записи дискеты, у пользователей. В силу особой
опасности заражения данным вирусом многие организации перешли на
сплошной входной контроль поступающего программного обеспечения.
В Москве получил распространение штамм вируса, в котором сообще-
ние Eddie lives somewere in time заменено на B O R O D A мстит
во времени.
Неформальные названия. Полидетектор SCAN называет данный вирус
Dark Avenger virus [Dav]. Помимо приведенных в заголовке,
используются названия Avenger (Мститель), Sofia (София), Diana
(Диана). Последнее название связано с тем, что в теле вируса со-
держится строка Diana P.
Программные средства защиты. См. прил.1. Выявление поврежденных
файлов можно выполнить с помощью глобального контекстного поиска
по диску, обеспечиваемого, например, PCTools. Любые действия по
анализу содержимого диска следует выполнять только при условии
предварительной загрузки операционной системы с эталонной, защи-
щенной по записи, дискеты. При исследовании вируса автор пренебрег
этим правилом, запустив после заражения COMMAND.COM программу под-
счета контрольных сумм и анализа каталогов на винчестере. В ре-
зультате, оставаясь резидентным, вирус последовательно заразил по-
рядка 50 COM- и EXE-файлов. Исходя из этого, легко представить се-
бе последствия прогона батареи фагов на зараженной машине.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1800

000: E955079090909090 9090909090909090 .U..............
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
6F0: 4564646965206C69 7665732E2E2E736F Eddie lives...so
700: 6D65776865726520 696E2074696D6521 mewhere in time!
710: 00009023121E8CC3 83C3102E039CFF06 ...#............
720: 2E899C53002E8B9C FD062E899C51008C ...S.........Q..
730: C383C3102E039C03 078ED32E8BA40107 ................
740: EA00000000BF0001 81C60507A4A58B26 ...............&
750: 060033DB53FF64F5 E800005E81EE6B00 ..3.S.d....^..k.
760: FC2E81BC05074D5A 740EFA8BE681C408 ......MZt.......
770: 08FB3B26060073CD 5006561E8BFE33C0 ..;&..s.P.V...3.
780: 508ED8C4064C002E 8984F4062E8C84F6 P....L..........
... .. .. .. .. .. .. .. .. .. .. .. ..
D50: 164F072E8C1E5107 33DB8EDBC7068400 .O....Q.3.......
D60: EE028C0E86005A5B 581FC35053B462E8 ......Z[X..PS.b.
D70: 72FD8CC8484B8EDB F9131E03003BD872 r...HK.......;.r
D80: F55B58C3A15B07BA 1000F7E2C3546869 .[X..[.......Thi
D90: 732070726F677261 6D20776173207772 s program was wr
DA0: 697474656E20696E 2074686520636974 itten in the cit
DB0: 79206F6620536F66 6961202843292031 y of Sofia © 1
DC0: 3938382D38392044 61726B204176656E 988-89 Dark Aven
DD0: 6765720080FC0375 0F80FA807305EAC8 ger....u....s...
DE0: 0EFD18EAC80EFD18 EAC80EFD18000121 ...............!
DF0: 0090909090909090 ........

Вирус RCE-2000 получил свое название в связи с тем, что в теле
вируса содержатся две достаточно длинные текстовые строки:
1. Zopy me -- I want to travel (в начале вируса, т.е. сразу по-
сле конца зараженной программы).
2. © 1989 by Vesselin Bontchev (в конце тела вируса, т.е. в
последнем блоке зараженного файла).
По некоторым данным, вирус вызывает зависание MS DOS при запу-
ске программм, содержащих строку © 1989 by Vesselin Bontchev.
В теле вируса имеется также строка Диана П. (в альтернативной
кодировке). Данный вирус является довольно сильно доработанным
штаммом RCE-1800 и является первым попавшем в СССР вирусом,
маскирующем приращение длины зараженных файлов. Маскировка
основана на том, что вирус помечает зараженные файлы, проставляя
значение 62 с. в дате создания файла, как вирусы венской группы
(С-648) и при считывании. Контролируя функции MS DOS типа
FindFirst и FindNext, используемые при просмотре оглавления
командой DIR, вирус вычитает 2000 из значения поля длины таких
элементов оглавления, тем самым маскируя увеличение длины
зараженных файлов. Следует отметить, что оболочки типа Norton
Commander самостоятельно интерпретируют содержимое секторов с
каталогами, не используя указанных выше функций DOS. Для них этот
метод маскировки не действует.
Помимо маскироки увеличения длины зараженных файлов, вирус ис-
пользуется ряд недокументированных прерываний, что позволяет обхо-
дить слежение за прерываниями 13 и 26. Зараженные COM-файлы увели-
чиваются в размере точно на 2000 байтов, причем дата их создания и
атрибуты остаются неизменными. Заражение выполняется однократно.
При заражении вирус дописывает свое тело в конец файла, вставляя в
первые три байта команду перехода на начало вируса. Выравнивание
на границу параграфа для COM-файлов не выполняется. Инфицируются
COM-файлы длиной от 1959 байтов.
Заражение EXE-файлов характерно тем, что, несмотря на то, что
вирус выполняет выравнивание всего тела на границу параграфа, при-
ращение искусственно поддерживается постоянным и равным 2000 бай-
тов. Инфицируются EXE-файлы длиной больше 2000 байтов.
Стадия проявления, как и у вируса RCE-1800, состоит в уничтоже-
нии отдельных секторов диска (в них записывается нулевой сектор
текущего диска). Если на диске имеются файлы, иммунизированные от
вируса C-648, и имеющие длину менее 2000 байтов, то для таких
файлов вирус показывает сумашедшее значение длины.
Исторические замечания. Вирус обнаружен в Москве в апреле 1990
г. Автором вируса, по-видимому, является техно-крыса, скрывающаяся
под псевдонимом Dark Avenger. Первым данный вирус исследовал
Д.Н.Лозинский. Обработка RCE-02000 включена в AIDSTEST в апреле
1990 г. (начиная с версии 29 от 18.04.90).
Неформальные названия. Полидетектор SCAN называет данный вирус
V2000. Кроме приведенных в заголовке, используют еще название
Диана П. (в теле вируса содержится строка Диана П.).
Программные средства защиты. Данный вирус детектируется полиде-
тектором SCAN. Рекомендуемые фаги приведены в прил.1. Выявление
поврежденных вирусом файлов можно выполнить с помощью глобального
контекстного поиска по диску, обеспечиваемого, например, PCTools.
Любые действия по анализу содержимого диска следует выполнять
только при условии предварительной загрузки операционной системы с
эталонной, защищенной по записи, дискеты.

Фрагмент дампа программы DUMY2008.COM,
зараженной вирусом RCE-02000

000: E935089090909090 9090909090909090 .5..............
010: 9090909090909090 9090909090909090 ................
... .. .. .. .. .. .. .. .. .. .. .. ..
7D0: 909090909090C31A 5A6F7079206D6520 ........Zopy me
7E0: 2D20492077616E74 20746F2074726176 - I want to trav
7F0: 656C000090511381 C6B5078CC383C310 el...Q..........
800: 2E035C022E899C96 F82E8B1C2E899C94 ..\.............
810: F88CC383C3102E03 5C068ED32E8B6404 ........\.....d.
820: EA00000000BF0001 81C6BD07A4A58B26 ...............&
830: 060033DB53FF64F5 E800005E81EE6300 ..3.S.d....^..c.
840: FC2EF69489072E81 BCBD074D5A740EFA ...........MZt..
850: 8BE681C4C008FB3B 26060073C8500656 .......;&..s.P.V
860: 1E8BFE33C0508ED8 C5164C00B430CD21 ...3.P....L..0.!
870: 2E8884120886C43D 1E03720CB413CD2F .......=..r..../
880: 1E52B413CD2F5A1F 2E8994A7072E8C9C .R.../Z.........
... .. .. .. .. .. .. .. .. .. .. .. ..
F00: 268B0E06002BFFBE 8907ACF2AE750D51 &....+.......u.Q
F10: 57B91100F3A65F59 75EDEBE4C6061308 W....._Yu.......
F20: 00EBC6E8AAFDB451 CD212BFF8BC74B13 .......Q.!+...K.
F30: D88EDB8B4503803D 5A72F43B7D0175A9 ....E..=Zr.;}.u.
F40: 438EC33D00107203 B80010B103D3E08B C..=..r.........
F50: C8F3ABEB94286329 2031393839206279 .....© 1989 by
F60: 2056657373656C69 6E20426F6E746368 Vesselin Bontch
F70: 65762E0080FC0375 0F80FA807305EA59 ev.....u....s..Y
F80: EC00F0EA26AF00F0 EA75013E140001A3 ....&....u.>....
F90: 1490909090E90201 84A8A0ADA0208F2E ............. ..
FA0: 00558BECFF76069D .U...v..

Вирус RCE-1277 является очередным вирусом, разработанным в Бол-
гарии, и получил свое название в связи с тем, что в теле вируса
содержатся достаточно длинные текстовые строки:

Hello, I'm Murphy.
Nice to meet you friend.
I'm written since Nov/Dec.
Copywrite ©1989 by Lubo & Ian, Sofia, USM Laboratory.

Формально вирус RCE-1277 -- файловый резидентный вирус, поражаю-
щий как файлы типа СОМ, так и файлы типа EXE. Заражение происходит
как при запуске программ на выполнение, так и при открытии файлов
(21-3В, 21-4B, 21-6C). Вирус дописывает свое тело в конец файла.
Заражает командный процессор, если он не имеет атрибута READ
ONLY . Пораженный COMMAND.COM имеет размер 27107 байтов (если его
первоначальный размер был 25307 байтов). При этом не имеет значе-
ния, где расположен командный процессор. Это связано с тем, что
вирус при инсталляции затирает часть копии командного процессора.
В результате он вызывается с диска, в процессе чего и происходит
заражение. Файлы, имеющие атрибут READ ONLY, вирус не заражает.
Проверка номера версии в теле вируса не выполняется. Тип файла оп-
ределяется вирусом правильно, независимо от используемого расшире-
ния. Зараженные COM-файлы увеличиваются в размере на 1277 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно. При заражении вирус дописывает свое тело в
конец файла, вставляя в первые три байта команду перехода на нача-
ло вируса. Выравнивания на границу параграфа для COM-файлов не вы-
полняется. Инфицируются COM-файлы длиной свыше 1277 (6Fh) байтов.
Заражение EXE-файлов выполняется путем дописывания тела вируса в
конец файла без предварительного выравнивания тела на границу па-
раграфа.
При выполнении зараженной программы вирус проверяет наличие
своей копии в памяти и, если не находит, то становится резидентным
(используя манипуляции с MCB).
Через некоторое время после того, как вирус стал резидентным, в
динамике начинает раздаваться довольно неприятный высокочастотный
свист частотой около 12 Кгц.
В целом вирус производит впечатление не до конца отлаженного. В
частности, при попытке заражения защищенной от записи дискеты вы-
дается стандартное сообщение Abort, Retry т Это связано с ошиб-
кой в обработчике прерывания 24h. По мнению Д.Н.Лозинского, заме-
тен плагиат из RCE-1800, причем без достаточного понимания функций
копируемых фрагментов.
Исторические замечания. Первое зарубежное описание данного
вируса приведено в списке П.Хоффман. По-видимому, RCE-1277 имеет
болгарское происхождение и написан сравнительно недавно (но-
ябрь/декабрь 1989 г.?). В Киеве первым вирус обнаружил А.Л.Шехов-
цов (июнь 1990). Несколько позднее он был независимо выявлен в
Москве.
Неформальные названия. Помимо приведенного в заголовке, неизве-
стны.
Программные средства защиты. Детектирование возможно по приводи-
мым в прил.1 сигнатурам. Из программ, распространяемых бесплатно,
в качестве фага можно применять -V Е.Касперского или NEAFAG В.По-
номаренко.

Фрагмент дампа дрозофилы, зараженной вирусом RCE-1277

000: E9FD079090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
7F0: 090909090909090 9090909090909090 ................
+--- псевдоначало инсталлятора (первый переход)
+-----+
800:|E97E039090909090 9090909090909090 .~..............
810: 9090909090909090 9090900000000060 ...............`
820: 00F1042100000004 00050EC32B5605E3 ...!........+V..
830: 287A0F70007A0F70 002048656C6C6F2C (z.p.z.p. Hello,
840: 2049276D204D7572 7068792E204E6963 I'm Murphy. Nic
850: 6520746F206D6565 7420796F75206672 e to meet you fr
860: 69656E642E204927 6D20777269747465 iend. I'm writte
870: 6E2073696E636520 4E6F762F4465632E n since Nov/Dec.
880: 20436F7079777269 7465202863293139 Copywrite ©19
890: 3839206279204C75 626F20262049616E 89 by Lubo & Ian
8A0: 2C20536F6669612C 2055534D204C6162 , Sofia, USM Lab
8B0: 6F7261746F72792E 20E88F023D594B75 oratory. ...=YKu
8C0: 09558BEC836606FE 5DCF80FC4B74123D .U...f..]...Kt.=
8D0: 003D740D3D006C75 0580FB007403E9A5 .=t.=.lu....t...
8E0: 00061E5756555251 5350E8C9013D006C ...WVURQSP...=.l
8F0: 75028BD6B980008B F2468A040AC0E0F9 u........F......
900: 83EE02813C4F4D74 12813C58457403EB ......U.uG...
... .. .. .. .. .. .. .. .. .. .. .. ..
CB0: 8600FBFE0E7B045E 2E81BC7EFC4D5A75 .....{.^...~.MZu
CC0: 1D1F2E8B849AFC2E 8B9C98FC0E592BC8 .............Y+.
CD0: 03CB512EFFB496FC 1E07E895FECB582E ..Q...........X.
CE0: 8B847EFC2EA30001 2E8B8480FC2EA302 ..~.............
CF0: 01B80001500E1F1E 07E876FEC3 ....P.....v..

Данная группа включает два вируса, которые при заражении опера-
тивной памяти размещают свое тело во второй половине таблицы пре-
рываний. Очевидно, что такое размещение накладывает жесткие огра-
ничения на размер вируса и выполняемые функции. Из-за ограничения
длины возможно заражение только одного типа файлов (обычно типа
СОМ) с записью вируса в хвост файла.

5.6.1. Вирус RC-492 (sI)

Неформальное название sI связано с тем, что со смещением 3 от
начала зараженной программы стоят байты sI, служащие для
опознания вирусом зараженных им программ. Формально, данный вирус
является резидентным файловым вирусом, заражающим COM-файлы при
запуске их на выполнение. Код вируса содержит много ошибок и не-
точностей. Длина вируса 492 байта (1ECh). Вирус работоспособен
только на компьютерах серии AT. Это связано с наличием команд, от-
сутствующих в микропроцессоре 8088/8086. Проверка версии MS DOS в
теле вируса отсутствует. Зависимости работоспособности вируса от
версии MS DOS не обнаружено.
Стратегия заражения -- при запуске файлов на выполнение. Файлы
заражаются однократно. При заражении выполняется выравнивание на
границу параграфа. Максимальная длина заражаемого файла не прове-
ряется, поэтому вирус уничтожает файлы, длина которых после зара-
жения превысит 64К. Как уже указывалось, в качестве признака зара-
женности файла, вирус использует приведенную выше строку sI. При
запуске зараженной программы вирус ищет в главном каталоге диска С
файл с именем COMMAND.COM и, если он будет найден, пытается его
заразить.
При заражении RС-492 дописывается в конец программы и одновре-
менно вставляет в первые три байта COM-файла команду перехода на
тело вируса. При этом размер файла увеличивается на 492 + байты
выравнивания (в качестве байтов выравнивания вирус вставляет ну-
ли). Из-за ошибки в теле вируса файлы с длиной, кратной 16, зара-
жаются с вставкой 16 нулей для выравнивания. Дата создания файла
изменяется на дату заражения до тех пор, пока количество запусков
с момента заражения не станет равным 256. Длина исходной программы
вирусом не сохраняется. Атрибуты файла не проверяются, поэтому ви-
рус не заражает файлы с атрибутами READ-ONLY. Вирус RC-492 не про-
веряет, находится заражаемая программа (которая загружается на вы-
полнение) на защищенной дискете или нет, и пытается выполнить за-
пись на защищенную от записи дискету. При этом операционная систе-
ма выдает сообщение:

Write protect error writing device <лог.имя.устр.>
Abort, Retry, Ignore, Fail?

Вирус использует гибридную стратегию заражения, в которой
сочетаются методы, характерные для нерезидентного вируса с
методами, характерными для резидентного вируса. Как уже отмеча-
лось, получив управление, вирус сначала пытается заразить файл
COMMAND.COM в корневом каталоге -- стратегия, характерная в основ-
ном для нерезидентных вирусов. Вместе с тем, став резидентным, ви-
рус перехватывает прерывание 1С и 21 и заражает программы, запу-
скаемые на выполнение.
Отличительной особенностью данного вируса является то, что в
оперативной памяти его тело располагается в области второй полови-
ны векторов прерываний (0000:200h -- 0000:03FFh). Это может приво-
дить к зависанию компьютера при инсталляции вируса, если к этому
моменту одна из резидентных программ использует какой-нибудь из
затираемых векторов прерываний.
При запуске зараженной программы RС-492 сначала проверяет с по-
мощью прерывания 21-35, имеется ли уже резидентная копия данного
вируса (по значению адреса обработчика прерывания 1С). Если усло-
вие зараженности оперативной памяти выполнено, то вирус передает
управление зараженной программе, в противном случае он приступает
к поиску и заражению COMMAND.COM в главном каталоге диска С. Затем
вирус становится резидентным и перехватывает прерывания 1Ch и 21h.
В результате при запуске любой программы вирус получает управле-
ние, проверяет, является ли запускаемая программа зараженной, и
если нет, то заражает данную программу на диске. У зараженного
файла изменены значения первых 6 байтов (организуется переход на
начало тела и признак зараженности файла).
Фаза проявления данного вируса в настоящее время еще не ясна.
Есть основания считать, что прерывание 1Ch используется вирусом
для выбора момента уничтожения информации в выбираемых случайным
образом последовательных секторах диска С (похоже, записывается
четное число секторов -- 2,4,6). В указанные сектора записывается
информация из оперативной памяти компьютера. По мнению Д.Н.Лозин-
ского, есть надежда, что данный фрагмент содержит ошибку и такой
момент никогда не наступает. Код вируса RC-492 не содержит при-
емов, затрудняющих дизассемблирование и анализ программы.
Исторические замечания. Данный вирус появился в СССР в июле 1990
г. Впервые был выделен автором в ВЦ АН СССР (Moсква) 19 июля 1990
г. и, независимо, Д.Н.Лозинским. B Киеве не отмечался. Первыми
фагами для данного вируса были -V (Е. Касперского) и NEATFAG (В.
Пономарентко).
Неформальные названия. sI (строка sI расположена со смещением
3 от начала зараженной программы)
Программные средства защиты. Доступные версии полидетектора
SCAN (до 66, включительно) данный вирус не обнаруживают. Фаги см.
прил.1. При использовании системы управления доступом к винчестеру
(Disk Manager, Advanced Disk Manager и т.д.) вирус не в состоянии
попасть в разделы винчестера, для которых установлен статус READ
ONLY. Однако при этом становится невозможным вызов программ с за-
щищенной дискеты или раздела винчестера. Специальные средства за-
щиты от данного вируса принципиально могут включать детектор, фаг
для резидентной части, резидентный и пакетный фаги для зараженных
файлов и активную (резидентную) вакцину.

Фрагмент дампа программы DUMY16.COM,
зараженной вирусом RC-492

000: E91D007349FF9090 90909090909090C3 ...sI...........
010: 0000000000000000 0000000000000000 ................
020: 2E8B1E010183C303 B104D3EB8CD803C3 ................
030: 8ED82EA1B001A38C 02BE6F01BF0001FC ..........o.....
040: B90600F3A4B81C35 CD2181FB45027508 .......5.!..E.u.
050: 0E0E1F07680001C3 B810008EC0B90002 ....h...........
060: BF00018BF7F3A406 1EBA7501E835001F ..........u..5..
070: B81C25BA4502CD21 B82135CD21891E8E ..%.E..!.!5.!...
080: 028C069002BA9202 B82125CD21EBC190 .........!%.!...
090: 9090909090433A5C 434F4D4D414E442E .....C:\COMMAND.
0A0: 434F4D00B43DB002 CD215B1F537303E9 COM..=...![.Ss..
0B0: 91008BD8B43FB906 00BA6F01CD21727F .....?....o..!r.
0C0: 813E720173497455 813E6F014D5A746F .>r.sItU.>o.MZto
0D0: B80242B90000BA00 00CD2172628BC883 ..B.......!rb...
0E0: C90F83E902890E25 0283C1032BC8BA2A .......%....+..*
0F0: 02B440CD217248B4 40B9EC01BA0001CD ..@.!rH.@.......
100: 21CC3CB80042B900 00BA0000CD21722F !.<..B.......!r/
... .. .. .. .. .. .. .. .. .. .. .. ..
1E0: 040083EF018BF7BF 8301ACE86CFFAE74 ............l..t
1F0: 03EB0B90E2F41F5A 521E0EE8A6FE1F5A .......ZR......Z
200: 075D5F5E595B582E FF2E8E02 .]_^Y[X.....

Неформальное название данного вируса связано с тем, что в теле
вируса имеются текстовые строки v2 © Flu Systems ® и
LoveChild in reward for software sealing. Формально RC-488 явля-
ется файловым резидентным вирусом, заражающим COM-файлы. Длина ви-
руса 488 (1E8h) байтов совпадает с приращением при заражении. Фай-
лы заражаются однократно. Командный процессор заражается как обыч-
ный COM-файл.
При заражении COM-файлов вирус дописывает себя в конец, изменяя
первые четыре байта. Файлы заражаются при их загрузке в память,
при открытии и создании (21-3C, 21-3D, 21-4B и 21-5B). При зараже-
нии длина файлов не проверяется.
При инсталляции записывает свое тело во вторую половину таблицы
векторов прерываний, начиная с адреса 0000:01E0h. Проверяет версию
операционной cистемы. Для версии 3.3 умеет определять истинные
адреса 21 и 13 прерываний. Для получения управления по 21 прерыва-
нию использует сплайсинг. Обработка 13 прерывания сводится к заме-
не адреса его обработчика на первоначальное значение, что отруба-
ет сторожа, следящие за этим прерыванием, как, впрочем, и драйве-
ры типа 800, обеспечивающие нестандартные форматы записи на диске-
ты.
Фаза проявления наступает при определенных значениях счетчика
времени. При этом вирус либо уничтожает файлы, либо создает вместо
файла подкаталог с таким же именем. Кроме того, вирус может моди-
фицировать COM-файлы таким образом, что их запуск вызовет стирание
секторов винчестера (стирается вся информация, расположенная на
всех секторах, соответствующих 0-3 головкам записи/чтения).
Исторические замечания. Судя по текстовым строкам, RC-488 имеет
зарубежное происхождение, однако в доступной автору версии списка
П.Хоффман, датированном 10.10.90, описание этого вируса отсутству-
ет. В СССР появился примерно в августе 1990 г. Автору был пере-
дан Е.Касперским. B Киеве не отмечался.
Неформальные названия. Помимо приведенных выше, неизвестны.
Программные средства защиты. Полифаг Aidstest, начиная с версии
45. Детектирование возможно по сигнатурам, приведенным в прил.1.

Фрагмент дампа дрозофилы, зараженной вирусом RC-488

000: FBE9F200B402B207 CD21CD2000000000 .........!. ....
010: 0000000000000000 0000000000000000 ................
*** далее следуют строки, идентичные предыдущей ***
0E0: 7632202863292046 6C75205379737465 v2 © Flu Syste
0F0: 6D732028522933C0 8EC0E800005E8BEE ms ®3......^..
100: BFE001FC26813D76 32744881EE1D00B9 ....&.=v2tH.....
110: E801F3A4B430CD21 3D031E7527BE7000 .....0.!=..u'.p.
120: 8EDEBEB400BF4C00 A5A5B80312CD2F26 ......L......./&
130: 8C1EC803BE6014C6 04EA8C4403C74401 .....`.....D..D.
140: CD02EB0F061FBE84 00A5A58C44FEC744 ............D..D
150: FCCD028CC88EC08E D8BF00018BF581C6 ................
160: 6E00A5A533C083EF 04FFE790909090FB n...3...........
170: E90000B003CFB901 00BA80038BD9B810 ................
180: 03CD13FECE79F7B6 03FEC5EBF14C6F76 .....y.......Lov
190: 654368696C642069 6E20726577617264 eChild in reward
1A0: 20666F7220736F66 7477617265207365 for software se
1B0: 616C696E672E2EF6 066C0407750A1F5A aling....l..u..Z
1C0: 595B58B441E9FD00 E9EE0088132EFF0E Y[X.A...........
1D0: CB027803E9EE002E FF06CB0280FC4075 ..x...........@u
1E0: 24578BFA813D4D5A 751A2EF6066C0406 $W...=MZu....l..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
2B0: B440CD215BB43ECD 212EC706CB02FFFF .@.![.>.!.......
2C0: 1F5A595B58EA6714 0000 .ZY[X.g...

ВВС США впервые использовали в боевых
условиях свой секретный истребитель-
бомбардировщик F-117A Стелс. Новый
самолет, невидимый для радаров,
участвовал в бомбардировке в Панаме
перед высадкой там в среду американ-
ских войск.
ТАСС, 24 декабря 1989 г.

Как и другие продукты человеческой деятельности, компьютерные
вирусы претерпевают определенную эволюцию, которая в значительной
степени облегчается тем, что в течении значительного отрезка вре-
мени среда их размножения (MS DOS) остается практически неизмен-
ной. Если попытаться квантовать наблюдаемые непрерывные эволюцион-
ные изменения, то можно говорить о поколениях компьютерных виру-
сов.
Понятие поколения компьютерного вируса связано, в основном, с
механизмом размножения и методами маскировки. Наблюдаемый cейчас в
ряде публикаций акцент на проявлениях того или иного вируса явля-
ется неверным: по сути вирус можно разделить на две достаточно не-
зависимые части: компоненту размножения и компоненту проявления.
При этом именно характеристики компоненты размножения являются ос-
новными и определяют место конкретного вируса в эволюционной це-
почке. В то же время популярная пресса акцентирует внимание на
компоненте проявления, что видно хотя бы из распространенности не-
формальных названий типа Тринадцатая пятница, День Колумба, Воск-
ресенье, Пинг-Понг и т.д. Если провести аналогию с авиацией, то
компонента размножения соответствует самому летательному аппарату,
а компонента проявления -- полезной нагрузке. Очевидно, что один и
тот же самолет может доставлять и бомбы и листовки.
Компонента размножения должна обеспечить две основные функции:
получить управление с тем, чтобы обеспечить репликацию вируса; из-
бежать обнаружения, чтобы выжить и выполнить предыдущий пункт.

Важность этих двух функций изменяется в ходе эволюции. На первом
этапе эволюции вирусов основной является репликация. При этом воп-
росам маскировки либо вообще не уделялось внимание, либо они носи-
ли несистематический характер и были направлены на маскировку од-
ного или двух изменений, возникающих в зараженной программе или
системе. Этому этапу эволюции соответствует первое поколение виру-
сов -- вирусы, не рассчитанные на преодоление антивирусных средств.
С распространением антивирусных средств вопросы маскировки стали
основными, и вирусу для того, чтобы выжить, важно как можно дольше
остаться незамеченным. В связи с этим основные усилия при разра-
ботке стали направляться именно на маскировку. В результате маски-
ровка приобрела комплексный характер и соответствующие вирусы мож-
но условно относить к новому поколению вирусов, получившему назва-
ние стелс-вирусов. Действия по маскировке можно условно классифи-
цировать на следующие категории: a (automodification) -- автомоди-
фикация инсталлятора с целью затруднить обнаружение детекторами,
основанными на контекстном поиске; с (cipher) -- шифровка части
программы, исключая часть инсталлятора; d (antiDebugging
tricks) -- защита от трассировки; e (enter point) -- сохранение
точки входа в EXE-программах; f (fag) -- самоизлечивается при по-
пытке просмотра зараженной программы при резидентном вирусе;
h (hook) -- не обнаруживается сторожами типа FluShot+, контролирую-
щими состояние векторов прерывания; i (increment) -- имплантация
тела в программу без увеличения размеров файла; j (jump) -- cохра-
нение первого перехода в COM-файлах; l (length) -- маскировка уве-
личения длины зараженных файлов, путем подмены значения соответст-
вующего поля элемента оглавления при операциях FindFirst и
FindNext (21-11h и 21-12h) с предварительным вычитанием длины ви-
руса (при этом утилиты, которые не используют указанные функции
DOS, работая с каталогами непосредственно (например Norton
Commander), будут показывать увеличенную длину, а команда DIR --
уменьшенную); m (memory map) -- не обнаруживается системными сред-
ствами просмотра списка резидентных программ; о (overlay) -- сег-
ментация тела вируса на несколько подгружаемых частей; р
(polyinfection) -- заражение как файлов, так и исполняемых систем-
ных блоков (бутсектор, MBR); r (redirection) -- перехват и модифи-
кация дисковых операций с целью скрыть изменения в исполняемых
блоках (бутсектор, MBR); s (space) -- корректировка резидентным ви-
русом общего объема свободной памяти на диске с целью скрыть его
изменение в результате заражения вирусом программ; t (text) -- шиф-
ровка текстовых сообщений.
Здесь приведены только приемы, которые уже были использованы в
том или ином существующем вирусе, однако могут существовать и дру-
гие эффективные приемы маскировки. Конечно, граница между указан-
ными двумя поколениями условна и некоторые исследователи относят к
стелс-вирусам любой вирус, который использует хотя бы два из при-
веденных выше методов маскировки. Автору кажется, что критерий
должен быть несколько жестче. Ниже приведены описания двух виру-
сов, которые, по мнению автора, можно отнести к новому поколению.

Данный вирус принято считать первым стелс-вирусом. RCE-04096 был
разработан, по-видимому, в Израиле в конце 1989 г. Название Фро-
до связано с тем, что вирус содержит бутсектор в своем коде, хотя
он никогда не записывает свое тело в бутсектор. При записи этого
бутсектора в бутсектор дискеты и попытке загрузки выдается пла-
катный текст
FRODO
LIVES
(Фродо живет или Фродо жив), выполненный буквами 8*5,
состоящими из символов псевдографики. По данным П.Хоффман, 22 сен-
тября это день рождения героев известной сказочной трилогии
Дж.Р.Толкиена Властелин колец (Lord Of The Rings) -- Бильбо и
Фродо Баггинов (Bilbo and Frodo Baggin) [Толкиен83].
Формально данный вирус относится к файловым резидентным вирусам.
Заражает как COM-, так и EXE-файлы (включая оверлеи) при запуске
на выполнение или закрытии файла (функции 21-4B или 21-3E). Файлы
заражаются однократно. В качестве признака заражения используется
значение поля года даты создания файла. Для зараженных файлов ви-
рус изменяет поле года создания файла, увеличивая его на сто, на-
пример с 1990 до 2090. В дальнейшем это значение используется для
определения зараженности файла. Возможно заражение файлов, содер-
жащих данные. Приращение длины при заражении всегда равно 4096
байт, что объясняет такие неформальные названия, как 4096 и 4K.
Заражает COM-файлы длиной до 61440 (F000h) байт. При заражении
изменяет первые шесть байт файла. Выполняется выравнивание до па-
раграфа. При этом приращение длины файла равно ровно 4096 байт.
Командный процессор заражается как обычный COM-файл.
Заражаемые EXE-файлы могут иметь любую длину. При заражении из-
меняется заголовок. Тело вируса дописывается в хвост файла. Длина
зараженного EXE-файла увеличивается ровно на 4096 байт.
При инсталляции находит по COMSPEC и заражает COMMAND.COM. Затем
загружает себя в старшие адреса памяти, уменьшая размер на 6К. При
этом, возможно, каким-то образом маскирует уменьшение системной
памяти на 6К. Для определения положения обработчиков 13 и 21 пре-
рываний вирус проходит при инсталляции соответствующую часть кода
с флагом трассировки (как музыкальные самоеды). Для получения уп-
равления по 21 прерыванию вирус использует сплайсинг (врезку в
обработчик прерывания). Это первый вирус, использующий сплайсинг
для получения управления по прерыванию 21.
Тело вируса располагается в оперативной памяти в старших адре-
сах. Память резервируется путем манипуляций с MCB. В дальнейшем
положение тела может измениться: вирус способен перемещать свое
тело в область младших адресов. RCE-04096 обрабатывает порядка 20
(двадцати !) функций MS DOS (Create, FindFirst, FindNext, Read,
Write, Lseek, Open, Close, Exec и некоторые другие).
При наличии вируса в оперативной памяти приращение длины зара-
женных файлов маскируется и не видно при просмотре оглавления ко-
мандой DIR. Этот эффект обеспечен за счет перехвата операций, ис-
пользуемых командой DIR для считывания элементов каталога и вычи-
тания 4К из длины зараженных файлов. Первым такой метод маскировки
был использован в вирусе RCE-02000. Более того RCE-04096 маскиру-
ет и изменение заголовка.
Любая попытка доступа к зараженному файлу, за исключением выпол-
нения на зараженной машине ведет к выкусыванию тела вируса из
зараженного файла. Например, при чтении зараженного файла или за-
грузке его в память, вирус подставляет файл в незараженном виде.
При открытии файла для записи вирус выкусывает свое тело из за-
раженного файла (поскольку запись в файл может повредить тело ви-
руса или загнать его в середину файла), а затем снова заражает
при закрытии.
Описанный механизм обеспечивает обход детектирования заражения с
помощью ревизоров. Таким образом, данный вирус является первым ви-
русом, обходящим данный класс антивирусных программ. Если при ко-
пировании выполняемого файла создается файл с расширением, не ис-
пользуемым для исполняемых файлов (COM, EXE, BIN, SYS и т.д.), то
вирус выкусывает свое тело при копировании.
При кодировании вируса использованы достаточно сложные приемы,
затрудняющие трассировку. Из-за ошибки при кодировании вирус по-
вреждает некоторые файлы при заражении: после заражения не обнов-
ляет информацию в заголовке файла. При запуске таких файлов MS DOS
выдает диагностическое сообщение ERROR in EXE File. Такие по-
вреждения можно устранить запустив CHKDSK/F, а затем соответствую-

щий фаг. Как уже отмечалось, вирус иногда заражает файлы данных.
Они могут быть восстановлены с помощью соответствующего фага.
Фаза проявления в имеющихся экземплярах вируса стерта в связи с
недостаточным размером памяти, отведенным под стек. Учитывая нали-
чие в теле вируса загрузчика, выдающего сообщение Фродо жив, ло-
гично предположить, что она связана с записью в бутсектор этого
загрузчика. В результате первая же перезагрузка приведет к выдаче
на экран приведенного выше сообщения. Однако реально после 22 сен-
тября 1990 запуск любой зараженной программы вызывает зависание
операционной системы (вирус зацикливается), создавая впечатление
машинной неисправности. По данным П.Хоффман вирус также медленно
сращивает файлы на диске. Для этой цели вирус манипулирует FAT,
изменяя количество свободных секторов. Пользователь, использующий
команду CHKDSK/F, обнаруживает, что файлы имеют потерянные класте-
ры или кластеры, принадлежащие двум файлам одновременно. Это про-
явление выглядит как машинная неисправность.
Все авторы публикаций, включающих описание данного вируса, схо-
дятся в том, что вирус написан техно-крысой, хорошо знающей внут-
ренности операционной системы и алгоритмы работы антивирусных
программ. Странно, что программист такого уровня не нашел ничего
лучшего для приложения собственных способностей, как написание ви-
руса.
Исторические замечания. Вирус RCE-4096 был обнаружен в Израиле в
октябре 1989 г. В СССР обнаружен Д.Н.Лозинским в августе 1990 г.
Существует штамм 4096-B, аналогичный описанному, но использующий
шифровку своего тела.
Неформальные названия. Среди неформальных названий следует
отметить следующие: 4096, 4K, 100 Years virus ( 100 лет), Century
virus (столетие), Hiding (Прячущийся), IDF Virus (ИДФ-вирус),
Stealth Virus (Стелс вирус).
Методы и программные средства защиты. Данный вирус диагностиру-
ется полидетектором SCAN. Для визуального обнаружения можно ис-
пользовать год создания файла (у зараженных файлов увеличен на
100). Для этой цели можно просмотреть оглавление с помощью Turbo
C++ (единственная известная автору оболочка, показывающая год
создания файла полностью) или дамп кластеров с каталогами с по-
мощью Norton Utilities (в DIR и в Norton Commander видны только
две последние цифры года). Рекомендуемые фаги приведены в прил.1.
При отсутствии фага для выкусывания можно использовать упоминав-
шийся эффект, связанный с тем, что при копировании выполняемого
файла в файл с расширением, отличным от исполняемых (COM, EXE,
BIN, SYS и т.д.) резидентный вирус выполняет выкусывание своего
тела из файла. Для этой цели при резидентном вирусе можно свернуть
зараженные файлы в архив, а затем после перезагрузки с защищенной
дискеты, содержащей эталонную операционную систему, скопировать их
обратно. Другим вариантом является копирование с переименованием
расширения, например EXE в TTT, а COM в YYY.
Неясно, является ли увеличение года достаточным признаком зара-
женности файла, или вирус проверяет еще какие-то поля. Если этот
признак достаточен, то возможна пассивная вакцинация файлов путем
увеличения значения года создания на 100, как это делалось с се-
кундами создания файла при вакцинации от вируса C-648. Кроме того,
возможно создание резидентной вакцины, обеспечивающей увеличение
значения поля года при считывании элемента каталога.

Данный вирус имеет размер, совпадающий с типичным размером сек-
тора в MS DOS и использует специальный метод размножения, напоми-
нающий метод размножения бутовых вирусов. Вирус содержит текстовую
строку 666 в конце тела, поэтому его иногда называют 666. В коде
вируса используется ряд недокументированных функций MS DOS. Фор-
мально RC-0-512 представляет первый сегментированный резидентный
файловый вирус. В нем используется несовершенство распределения
дисковой памяти в MS DOS: размер кластера обычно превышает размер
сектора как минимум в два раза и поэтому можно использовать неза-
полненные хвосты в последнем секторе для хранения части тела ви-
руса (модификация первых команд остается обязательной, иначе вирус
не сможет получить управления). Фактически эту схему можно рас-
сматривать как попытку перенесения схемы бутового вируса на файло-
вый вирус. Как известно, бутовый вирус, в отличие от файлового,
сегментирован и состоит из головы и хвоста. Голова находится в
бутсекторе, а хвост храниться где-то в другом месте и его загрузка
выполняется головой. Аналогично вирус RC-0-512 рассматривает пер-
вый сектор COM-файла как бутсектор и заменяет его своим телом, а
хвост, представляющий собой оригинальный первый сектор зараженной
программы, прячет в неиспользуемый сектор последнего кластера.
Очевидно, что вирус может заражать на дискете только те файлы, у
которых второй сектор последнего кластера полностью свободен. На
винчестере возможно заражение большинства COM-файлов, так как раз-
мер кластера значительно больше и один свободный сектор имеется
практически всегда.
При заражении RC-0-512 записывает себя в первый сектор заражае-
мого COM-файла, предварительно переписав оригинальный первый
сектор в один из незаполненных секторов последнего кластера, зани-
маемого файлов, если таковой имеется. Отсюда следует, что заражен-
ные файлы, скопированные с помощью команды COPY MS DOS (а она ко-
пирует файл побайтово в соответствии с указанной в элементе
каталога длиной), будут неработоспособны, а находящийся в них ви-
рус -- работоспособным.
Подобно специфическому механизму заражения, вирус использует не-
обычный механизм инсталляции в оперативной памяти: для хранения
собственного тела вирус откусывает первый буфер буферного пула
MS DOS, переставляя указатель на первый буфер так, чтобы он указы-
вал на второй буфер. Таким образом, определить его наличие в памя-
ти без полного сканирования оперативной памяти можно только, если
знаешь где искать. Этот факт свидетельствует о том, что оптимиза-
ция просмотра оперативной памяти в контекстных детекторах и поли-
фагах является неверным шагом и может ухудшить качество
детектирования.
Как и в других вирусах группы DARK AVENGER, заражение происходит
как при открытии, так и при выполнении файла. Заражаются файлы,
первые две буквы расширения которых CO. При копировании заража-
ются как копия, так и оригинал.
Вирус заражает COMMAND.COM. Поскольку при перезагрузке системы
командный процессор загружается в память до появления в ней рези-
дентного вируса, то вирус инсталлируется, а затем подгружает недо-
стающую часть командного процессора из свободного сектора послед-
него кластера.
Исторические замечания. Вирус RC-0-512, по-видимому, разработан
в Болгарии техно-крысой, называющей себя Dark Avenger. Он был об-
наружен студентом-программистом Василем Никодимовым в ноябре 1989
г. в Институте математики (София). Сведения о нем опубликованы в
статье В.Бончева в номере 1-2 за 1990 журнала Компютър за вас. В
СССР обнаружен практически одновременно в Москве и Киеве в начале
сентября 1990 г.
Методы и программные средства защиты. Данный вирус диагностиру-
ется полидетектором SCAN и любым контекстным детектором, содержа-
щим соответствующую сигнатуру. Возможность создания резидентной
вакцины неясна. Рекомендуемые полифаги приведены в прил.1. В связи
с используемым механизмом заражения, при его создании возникает
проблема с определением, хранится ли в соответствующем секторе по-
следнего кластера оригинальная голова COM-файла (первые 512 байтов
программы) или файл был скопирован и там теперь просто мусор. В
последнем случае восстановление приведет к записи мусора на место
тела вируса. Неясно также, что произойдет при оптимизации диска,
содержащего зараженные файлы, с помощью утилиты NCC, СОМPRESS и
т.д.

Неформальное название данного вируса связано с тем, что в начале
любой зараженной данным вирусом программы после 3-байтовой команды
перехода на тело вируса расположена 12-байтовая текстовая строка
Attention !. После этой строки стоит байт 1Ah. Формально RC-394
является файловым резидентным вирусом заражающим COM-файлы при за-
пуске их на выполнение (прерывание 21-4B). Длина вируса (394 бай-
та) совпадает с приращением зараженных файлов. Это один из самых
маленьких резидентных вирусов, из располагающих свое тело в стар-
ших адресах оперативной памяти.
Вирус заражает COM-файлы длиной от 786 (312h) до 64921 (FD99h)
байт. При заражении тело вируса дописывается в конец файла и изме-
няет первые 16 байт, как было указано выше. Если заражаемый файл
был защищен атрибутом READ-ONLY, то перед заражением вирус снимает
этот атрибут и не восстанавливает его после заражения.
При инсталляции записывает свое тело в старшие адреса оператив-
ной памяти. Перехватывает прерывания 21 и 24. Последнее прерывание
перехватывается не совсем корректно, что может приводить к зависа-
нию системы. Характерным проявлением вируса является включение мо-
тора дисковода А, при попытке заражения файлов на защищенной дис-
кете, вставленной в дисковод B.
Исторические замечания. Вирус, по-видимому, разработан на Запа-
де. В СССР обнаружен Д.Н.Лозинским в августе 1990 г.
Методы и программные средства защиты. Рекомендуемые фаги
приведены в прил.1. Детектирование возможно по приведенным в
прил.1 сигнатурам.

Фрагмент дампа дрозофилы, зараженной вирусом RC-394

0000: E90E10415454454E 54494F4E2020211A ...ATTENTION !.
0000: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
1000: 00CD209090909090 9090909090909090 .. .............
1010: 90E8F9002000C514 C01D9C50535152BB .... ......PSQR.
1020: 030031C9E2FEB00C BAF203EE31C9E2FE ..1.........1...
1030: BAF203B01CEE4B75 E95A595B589DB003 ......Ku.ZY[X...
1040: CF5053515257561E 0680FC4B740D071F .PSQRWV....Kt...
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
10F0: 58050D00A3010052 31C931D2B80042CD X......R1.1...B.
1100: 2159B440CD21B43E CD21E941FFFA5A81 !Y.@.!.>.!.A..Z.
1110: EA1300BB7901A102 005031C9518ED99D ....y....P1.Q...
1120: 39061504750253CB 581E0E1F1EC7C11A 9...u.S.X.......
1130: 0029C8A30200508C C929C8498ED9A303 .)....P..).I....
1140: 00581F8EC08BF231 FFC7C18901F3A4BE .X.....1........
1150: 00018BF9B91000F3 A41F0653BB84008B ...........S....
1160: 07C707400026A315 008B47028C470226 ...@.&....G..G.&
1170: A317008C0615040E 07CBB910008BF2BF ................
1180: 0001061F1E57F3A4 FBCB .....W....

6.1. Общие замечания

Многие из упоминаемых в зарубежной литературе файловых вирусов
пока в СССР выделены не были. В прил.3 приводятся собранные
автором сведения о таких вирусах, а последующих подразделах
сведения о наиболее важных их этих вирусов, опубликованные в
литературе. Большинство из этих вирусов диагностируется
полидетектором SCAN.
К сожалению, в условиях характерной для СССР информационной
изоляции доступа к оперативной информации по вирусам,
распространяющейся по таким сетям как BITNET, автор не имеет,
поэтому приводимые сведения неполны, а в ряде случаев и неточны.
Наиболее полной на сегодняшний день информацией, доступной автору,
является созданный Патрицией М. Хоффман (Patricia M.Hoffman) файл
VIRUS INFORMATION SUMMARY (версия от 10.08.90). Этот файл
опубликован в СП 2-8. Другими источниками является документация к
полидетекторам SCAN СП 2-7 и TNTVIRUS СП 2-8. Следует отметить,
что качество подготовки документации к программе SCAN, как,
впрочем и самой программы, вряд ли может быть оценено выше, чем
удовлетворительное: в ней приводятся ряд неверных сведений об
известных автору вирусах. Документация к TNTVIRUS более подробна,
однако сравнение со списком П.Хоффман свидетельствует о наличии
определенной связи между этими двумя документами, хотя ссылка на
П.Хоффман в документации отсутствует.

6.2. Новые стелс-вирусы

Последнее время наблюдается появление новых вирусов, при
разработке которых приняты изощренные меры по маскировке своего
присутствия на зараженной машине. Описываемые ниже вирусы основаны
на RCE-04096 и, возможно, принадлежат тому же автору.

Неформальное название данного вируса связано с тем, что иногда в
теле зараженных программ встречается строка FISH FI. Кроме того,
проматривая оперативную память при резидентном вирусе можно
обнаружить имена некоторых рыб. Формально вирус представляет собой
резидентный файловый вирус, заражающий как COM-, так и EXE-файлы.
Вирус заражает COMMAND.COM. Подобно некоторым бутовым вирусам RCE-
03584 переживает теплую перезагрузку, перехватывая комбинацию
нажатий Ctrl-Alt-Del.
При выполнении зараженной программы, вирус проверяет свое
наличие в памяти и, если отсутствует, то инсталлируется в младших
адресах оперативной памяти. При этом, если прерывание 13 не
перехвачено другой программой, то вирус перехватывает это
прерывание и резервирует 8192 байта. Если прерывание 13 уже
перехвачено, то вирус резервирует только 4096 байт памяти и черех
некоторый, случайный интервал времени инициирует теплую
перезагрузку в процессе которой заражает COMMAND.COM и
перехватывает 13 прерывание.
Будучи резидентным, вирус заражает все открываемые COM- и EXE-
файлы. При этом длина зараженных файлов увеличивается на 3584
байта, однако это увеличение при резидентном вирусе маскируется.
При запуске программы CHKDSK на зараженной машине диагностируются
ошибки в распределении файлов. Если при этом CHKDSK запущена с
ключем /F, то попытки исправления ведут к потере кластеров и
сращиванию файлов.
Проявление вируса связано с тем, что он замедляет запись в
видеопамять и на инфицированных машинах заметно мерцание экрана
дисплея. Другие проявления вируса неизвестны, хотя вирус проверяет
равен ли текущий год 1991. Подобно вирусу RCE-04096 данный вирус
не обнаруживается ревизорами, запущенными на зараженной системе.
Вирус также обходит сторожа, следящие операциями записи на диск.
Кроме того, вирус постоянно перекодирует себя в оперативной
памяти.
Исторические замечания. Данный вирус является существенно
переработанной модификацией вирус RCE-04096 и был выделен в мае
1990 г. К моменту выделения он был достаточно распространен в
Западной Европе. Предполагается, что он был разработан в Западной
Германии. В СССР не выделен. Приводимые сведения базируются, в
основном, на списке П.Хоффман.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66 (см. СП 2-7).

6.2.2. Вирус Mother Fish (Whale)

Данный вирус является наиболее сложным и изощренным из известных
стелс-вирусов. Размер кода достигает 9К. Это приблизительно 6 тыс
строк исходного текста, т.е. от нескольких месяцев до года упорной
работы. Вирус написан программистом, знакомым с непосредственным
программированием входящих в состав IBM/PC контроллеров, в
частности контролллера прерываний 8259 и контроллера 8255,
управляющего периферийными устройствами. Вирус зашифрован и имеет
самомодифицирующийся инсталлятор. Это делает детектирование
достаточно сложной задачей, хотя Scan вроде бы успешно с ней
справляется.
Исторические замечания. Данный вирус, по-видимому, является
развитием предыдущего. Обнаружен примерно в июле-августе 1990 г. в
Западной Европе, а также в Болгарии. В СССР не выделен. Приводимые
сведения базируются, в основном, на материалах Virus forum FIDO
NET.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версий, датированных августом 1990
г.

6.3. Болгарская серия

Как уже указывалось, Болгария пока является сновным поставщиком
файловых вирусов для СССР. Поэтому сведения о появишихся там
файловых вирусах представляют особый интерес.