6.3.1.1. Вирус RCE-0651 (Eddie-3 - Эдди-3)
Вирус уменьшает системную память на 688 байтов. Уменьшение
системной памяти маскируется. Заражаются программы длиной более
651 байтов. Заражение происходит при запуске файлов на выполнение.
Увеличение длины маскируется при резидентном вирусе.
Инфицированные файлы содержат строку Eddie Lives. в конце
инфицированного файла. Побочным эффектом вируса является появление
потерянных кластеров при проверке целостности файловой системы
командой CHKDSK /F
Неформальные названия. Eddie 3, Stealth Virus.
Исторические замечания. Вирус был обнаружен в Болгарии в апреле
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман. По-видимому разработан в Софии техно-крысой
называющей себя Dark Avenger.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66.

6.3.1.2. Вирус RC-800 (800, Live after Death - Жизнь после смерти)
Неформальное название связано с тем, что вирус содержит
текстовую строку Live after Death, хотя она не видна при
просмотре дампа (вирус шифрует собственное тело при заражении).
Формально RC-800 - резидентный файловый вирус, заражающий файлы
при запуске их на выполнение, но не заражающий COMMAND.COM.
Шифрует собственное тело. При запуске зараженной программы вирус
инталлируется в старших адресах памяти, уменьшая системную память
на 16К (очевидно по принципу гулять, так гулять), используя
старшие 8192 байта. Перехватывает прерывание 2A. Файлы заражаются
при запуске на выполнение. Зараженные файлы заражаются повторно,
причем каждый раз длина учеличивается на 800 байтов. Минимальная
длина заражаемые файлов - 1K, однако файлы большие 800 байтов
также заражаются выборочно. Имеется штамм заражающий файлы как при
выполнении, так и при открытиии. Этот штамм уменьшает системную
память ровно на 8192 байта.
Исторические замечания. Вирус был обнаружен в Болгарии в мае
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман. По-видимому, разработан в Софии техно-
крысой, называющей себя Dark Avenger.
Неформальные названия.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.

6.3.1.3. Вирус RCE-1024
Данные вирус, по видимому является более ранней версией RCE-
2000. Формально данный вирус является резидентным. файловым
вирусом, заражающим как COM- так и EXE-файлы. При запуске
зараженной програмы вирус проверяет значения ряда прерываний,
включая 1 и 3. Если прерывания 1 и 3 перехвачены, то вирус не
инсталлируется в оперативной памяти, а запускает программу
вирусоноситель и после ее окончания вызывает зависание системы.
Если указанные прерывания свободны, то вирус инсталлируется,
уменьшая значения свободной памяти на 1072 байта и перехватывая
ряд прерываний Являясь резидентным вирус заражает каждую
выполняемую программу имеющую длину больше 1024 байта. Увеличение
длины маскируется при резидентном вирусе. Вирус дописывается в
конец зараженных файлов. Файлы заражаются однократно. В конце
зараженных файлов имеется строка '7106286813'. Вирус, по видимому,
не имеет стадии проявления.
Исторические замечания. Вирус был обнаружен в Болгарии в мае
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман.По-видимому разработан в Софии техно-крысой
называющей себя Dark Avenger. По ряду признаков его можно считать
предшественником RCE-02000.
Неформальные названия.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66.

6.3.2. Вирус RC-1701p (Phoenix - Феникс)

Несмотря на идентичную длину вирус не связан с группой Буквопад.
Формально данный вирус представляет собой файловый резидентных
вирус, заражающий COM-файлы и имеющий специальный механизм
инфицирования COMMAND.COM. Инсталллируется в старшие адреса
свободной памяти, резервируя 8192 байта. Перехватывает прерывание
2A. Ищет в корневом каталоге текущего диска COMMAND.COM и заражает
его не увеличивая длины (тело вируса записывается в область с
нулевыми байтами. Затем выполняет ту же операцию на диске С (на
случай, если текущий диск является электронным). Заражает COM-
файлы, увеличивая их длину на 1701 байт. Проверка файла на
зараженность выполняется некорректно, поэтому вирус может повторно
заражать один и тот же файл, каждый раз увеличивая длину на 1701
байт. Инфицируются файлы как при выполнении, так и при открытиии.
При попытке выполнить утилиту CHKDSK на зараженной системе
инициируется теплая перезагрузка системы. Использует сложный метод
шифровки тела, включая самомодификацию инсталлятора, поэтому
детекторы основанные на поиске контексных строк не в состоянии
обнаружить данный вирус. Имеет ряд штаммов.
Исторические замечания. Вирус был обнаружен в Болгарии в июле
1990. На Запад был передан В.Бончевым. Приводимые сведения
основаны на описании П.Хоффман. По-видимому, разработан в Софии.
Неформальные названия. V1701New, P1
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.

6.4.1. Вирус RCE-2064 (Wolfman)

Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталллируется, резервируя в младших адресах свободной памяти два
блока памяти один размером 68032, а другой - 4544 байта. Таким
оразом общий размер свободной памяти уменьшается на 72640 байтов.
Вирус перехватывает прерывания 09, 10, 16, 21, 2F, ED и F5.
Заражает программы при выполнении файла. Минимальная длина
заражаемой программы - 2064 байта. при заражении COM-файлов тело
вируса дописывается в начало файла, а при заражении EXE-файлов в
конец. Проявления вируса неизвестны.
Исторические замечания. Вирус был обнаружен на Тайване в июле
1990. Приводимые сведения основаны на описании П.Хоффман. По-
видимому, разработан в Тайбее.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.

6.4.2. Вирус C-743 (Taiwan-2)

Формально данный вирус является нерезидентным файловым вирусом,
заражающим COMMAND.COM. При выполнении зараженной программы вирус
предпринимает попытку заразить три COM-файла. поиск начинается не
с текущего каталога, а с корневого каталога диска С. Заражение
выполняется путем дописывания кода вируса в начало файла. При этом
первые743 байта программы переписываются в конец. Из-за ошибки в
коде вируса при заражении программ, меньших 743 байта зараженная
програма будет всегда иметь длину 1486 байтов. Фаза проявления
наступает на восьмой день любого месяца. В этот день при запуске
любой зараженной программы вирус выполняет попытку записи первых
160 секторов на дисках С и D, начиная с сектора 0.
Исторические замечания. Вирус был обнаружен на Тайване в январе
1990. Приводимые сведения основаны на описании П.Хоффман. По-
видимому, разработан в Тайбее.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.

Неформальное название отражает порядковый номер поступления
вирусов с Тайваня к сотрудникам Макафи (первыми двуми были
Дисккилллер и C-743 (Taiwan-2)). По своей структуре вирус не
связан с вирусом С-743. При запуске зараженной программы вирус
инсталлируется в нижние адреса свободной оперативной памяти
резервируя 3152 байта. Перехватывает прерывание 21. Являясь
резидентным, заражает все исполняемые программы. По данным
П.Хоффман COM-файлы увеличиваются на 2900 байтов, а EXE-файлы на
2900-2908 (скорее 2900-2915). Заражаются и оверлейные файлы.
Проявления неизвестны.
Исторические замечания. Вирус был обнаружен на Тайване в июне
1990. Приводимые сведения основаны на описании П.Хоффман.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.

6.4.4. Вирус RCE-4096 (Plastique)

Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Не заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталлируется, резервируя в младших адресах свободной памяти 5120
байтов. Вирус перехватывает прерывания 08, 09, 13, 21 и ED.
Заражает программы при выполнении и открытии файла. Длина
зараженных файлов увеличивается на 4096 байтов. Проявления вируса
неизвестны.
Исторические сведения. Вирус обнаружен в июле 1990 г. на Тайване
и, по-видимому, разработан там же. Имеется ранний неотлаженный
штамм - RCE-3012 (Plastique)
Неформальные названия. Plastique-B, Plastique 5.21, Plastic
Bomb,
Средства обнаружения и защиты. Детектируется Scan (версии 66+).

6.5. Некоторые ископаемые файловые вирусы

Ряд вирусов, ранее весьма распространенных на Западе, в
настоящее время практически полностью уничтожен и сведения о них
представляют, в основном, исторический интерес. Впрочем последняя
фраза не совсем корректна, поскольку необходимо помнить, что любой
компьютерный вирус практически безсмертен и может
реанимироваться из архивов через несколько лет после того как о
нем все забыли.

Название вируса связано с тем, что он впервые был обнаружен в
университете Lehigh (США) в ноябре 1987 г. В настоящее время
вирус, по-видимому, относится к ископаемым и представляет лишь
исторический интерес как один из первых файловых вирусов, а также
как первый (и один из немногих) вирус, специализированный на
заражении определенного файла. Формально вирус RC-0-346 является
файловым резидентным вирусом, распространяющимся через файл
COMMAND.COM (командный процессор MS DOS). Иногда данный вирус
называют системным вирусом, акцентируя внимание на том, что он
заражает только командный процессор. По мнению автора, такое
название неоправданно, так как хотя командный процессор и является
неотъемлемой частью операционной системы, его выбор, в отличие от
распространенного мнения, произволен. Конечно стандартный
командный процессор, поставляемый с MS DOS (COMMAND.COM) и
является наиболее распространенным, однако он не является
единственным используемым. Например, ряд фирм, включая Хьюллет
Паккард, поставляют свои версии MS DOS c диалоговым командным
процессором, и пользователи этих машин никогда не сталкивались с
COMMAND.COM и характерным приглашением C:\. Кроме того, учитывая
весьма низкое качество написания COMMAND.COM (а в четвертой версии
MS DOS он не только плохо написан, но и еще страдает от
ожирения, т.к. его размер вырос более чем на 10К без
существенного увеличения функциональных возможностей)
квалифицированные пользователи часто заменяют его на командный
процессор 4DOS фирмы J.P. Software. Поэтому выбор COMMAND.COM как
среды обитания вируса ничем принципиально не отличается от
выбора, скажем, Norton Commander или другой распространенной
программы.
Вирус имплантирует свое тело в область памяти, используемую
COMMAND.COM для стека и изменяет первые байты зараженного
COMMAND.COM таким образом, чтобы первым получить управление после
его загрузки. Поэтому длина зараженного COMMAND.COM не отличается
от длины нормального. При запуске командного процессора вирус
получает управление и становится резидентным, перехватывая
прерывание 21. При возникновении прерывания 21, вирус
перехватывает запросы выполнить программу и найти первый файл.
При обработке этих запросов вирус сначала определяет, содержит ли
диск COMMAND.COM. Если да, то он заражает COMMAND.COM диска, к
которому идет обращение, и увеличивает спецциальный счетчик. Если
винчестер отсутствует, то счетчик хранится в оперативной памяти,
иначе у записывается на диск. Таким образом, перезагрузка
сбрасывает счетчик на ПЭВМ без винчестера, в то время как на ПЭВМ
с винчестером значение счетчика сохраняется. При достижении
счетчиком значения 4 вирус, используя прерывание 26, обнуляет
первые 32 сектора того диска, с которого он был загружен.
Обнаружение данного вируса упрощается в связи с тем, что при
заражении вирус изменяет дату создания файла. Кроме того, вирус не
проверяет, защищен диск от записи или нет и не снимает атрибут
READ ONLY. Поэтому, если COMMAND.COM имеет этот атрибут, то вирус
в него не попадет (не исключено, что в некоторых штаммах данного
вируса эти недостатки устранены).
Исторические замечания. Данный вирус является одним из первых
вирусов-вандалов. Он был обнаружен в студенческими консультатами
Вычислительного центра Лехайского университета (Lehigh university,
Bethlehem, США) в ноябре 1987 г.[Wyk89]. Они обратили внимание,
что начиная с 18.10.87 пользователи начали в массовом порядке
возвращать выданные им дискеты, заявляя что они дефектны. Хотя в
условиях интенсивной эксплуатации дискеты характерной для
университета последние иногда становятся сбойными из-за
физического износа, плохо отрегулированного дисковода или
попадания грязи, скорость возврата дискет нарастала настолько
заметно, что было решено проанализировать ситуацию. В результате и
был выявлен Лехайский вирус. Фактически это первый файловый вирус,
распространение которого приняло характер эпидемии. Возможно
существуют два штамма, один не увеличивает длину зараженного
COMMAND.COM, а другой увеличивает ее на 20 байт. В СССР явно не
отмечался. Излагаемые сведения опираются на информацию в
зарубежных печатных изданиях.
Методы и программные средства защиты. Данный вирус
диагностируется полидетектором SCAN. Вирус ищет файл с командным
процесором по имени, а не по COMSPEC, поэтому изменение имени
командного процессора защищает командный процессор от заражения.
Как уже указывалось, базисная версия вируса не сбрасывает атрибут
READ ONLY, поэтому если командный процессор защищен этим
атрибутом, то он заражаться не будет. Поскольку вирус является
резидентным возможно создание резидентной вакцины. Вместо
использования фага проще переписать командный процессор заново с
дистрибутивной копии операционной системы.

Вирус представляет интерес как представитель класса вирусов,
направленных на модификацию данных. Он использует достаточно
изощренную схему изменения DBF-файлов, причем при резидентном
вирусе внесенные изменения маскируются. Формально вирус dBASE
является резидентным файловым вирусом, который перехватывает
прерывание 21 и ждет попытки открытия файла с расширением DBF. При
этом вирус запоминает управляющий блок файла (file handle) и
текущую длину файла с расширением DBF. Любая последующая операция
по записи в этот файл искажается вирусом таким образом, что первые
два байта записываемого блока меняются местами. При последующих
операциях чтения вирус восстанавливает первоначальное положение
этих байтов, так что до тех пор, пока вирус является резидентным,
вся информация читается правильно. Через 90 дней вирус разрушает
FAT. При восстановлениии с архивных копий пользователь
обнаруживает, что данные в них искажены. Вирус dBASE создает
специальный файл с атрибутом HIDDEN, называемый BUG.DAT, в котором
хранится информация о том, какие записи файла (записывается
смещение в байтах) имеют переставленные байты. Для каждого
каталога, содержащего DBF-файлы, создается свой скрытый файл
BUG.DAT.
Исторические замечания. Данный вирус описан в 1989 г. в журнале
BYTE в статье Р.Гринберга [Greenberg89]. В СССР случаи заражения
не отмечались.
Методы и программные средства защиты. При работе с файлом
BUG.DAT вирус не проверяет установку атрибута READ ONLY. Поэтому,
если создать искуственный файл с таким атрибутом, то вирус не
сможет записать в него информацию и тем самым повредить DBF-файлы.

6.5.3. Screen Virus - экранный вирус

Данный вирус также является резидентным и, как и вирус dBASE,
выполняет перестановки байтов. Он перехватывает прерывание от
таймера и каждые несколько минут, начиная со случайной позиции
последовательно сканирует память видеоадаптера. Если вирус находит
четыре последовательные цифры, то он переставляет местами две из
них. Вирус повторно-заражает СОМ-файлы. При первом запуске
зараженной программы инсталлятор вируса перед тем, как сделать код
вируса резидентным, заражает все подходящие файлы в текущем
каталоге, включая и файл, содержащий запускаемую программу, если
последняя находится в текущем каталоге.
Исторические замечания. Данный вирус описан в 1989 г. в журнале
BYTE в статье Р.Гринберга [Greenberg89].
Методы и программные средства защиты. Вирус содержит ASCII-
строку InFeCt (с указанным сочетанием больших и маленьких букв).
Непоредственно перед этой строкой располаются четыре байта
оригинальной программы, замененные вирусом. Эти байты можно
вручную переставить в начало программы или написать
соответствующий фаг.

Данная группа, по видимому, является историческим
предшественником иерусалимской группы и, возможно, принадлежит
тому же автору. В нее входят вирусы RC-897 и RE-1488.

6.5.4.1. Вирус RC-897
(SURIV 1 - Сурив 1, April First - Первое апреля)
Резидентный файловый вирус, заражающий COM-файлы при запуске их
на выполнние. При заражении очередного файла выдает на экран
сообщение
YOU HAVE A VIRUS. а первого апреля выдает сообщение
HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS
(1 апреля ха-ха-ха. У Вас вирус) и вызывает зависание системы.
Исторические замечания. Вирус разработан в Израиле в 1987 году и
относится к ранним представителям иерусалимской группы.
Методы и программные средства защиты. Данный вирус
диагностируется полидетектором SCAN. Выкусывается полифагом
CLEANUP, а также полифагом Antivir (версия 3.0 1988),
разработанным D.Hoppenrath.

6.5.4.2. Вирус RE-1488 (SURIV 2 - Сурив 2,
April First - Первое апреля, Jerusalem D - Иерусалим Д)
Штамм, заражающий EXE-файлы. Проявляется 1 апреля и после
определенного времени работы на компьютере, выдавая сообщение
HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS.
(1 апреля ха-ха-ха. У Вас вирус)
При этом зависание системы приводит к потере информации при
редактировании или других аналогичных работах.
Исторические замечания. Вирус разработан в Израиле в 1987 году и
относится к ранним представителям иерусалимской группы.

Методы и программные средства защиты. Данный вирус
диагностируется полидетектором SCAN. Выкусывается полифагом
CLEANUP, а также полифагом Antivir (версия 3.0 1988),
разработанным D.Hoppenrath.

6.5.5. Группа Datacrime (Дейтакрайм)

Данная группа появилась в США в 1989 г. В настоящее время
состоит из трех штаммов длиной 1168 (Datacrime), 1280 (Datacrime-
II) и 1514 (Datacrime-IIb) байтов. При этом первые два штамма
заражают только файлы типа COM, а штамм Datacrime-IIb - как файлы
типа COM, так и файлы типа EXE. Стадия проявления для данного
вируса наступает ежегодно после 12 октября (день открытия Америки,
День Колумба). Перед поиском файла-жертвы, вирус проверяет текущую
дату. Если дата больше 12 октября и компьютер имеет винчестер, то
вирус дешифрует и выдает на экран сообщение:
DATACRIME VIRUS
RELEASED: 1 MARCH 1989
При этом вирус форматирует первые восемь дорожек нулевого
цилиндра диска С, уничтожая MBR, бутсектор, FAT и главный каталог.
После этого вирус зацикливается, выдавая в этом бесконечном цикле
символ BELL (звуковой сигнал). Это еще раз подчеркивает
необходимость резервирования первых треков при каждой загрузке в
специальный файл, расположенный в фиксированном месте диска или
использования для этой цели программы MIRROR из пакета PC SHELL.
По данным H.J.Highland [158], который до 1990 г. был главным
редактором журнала Computers & Security, автор вируса предпринял
некоторые меры маскировки. Вирусы, входящие в данную группу, не
заражают файлы, седьмой символ имени которых равен D, и в
частности, файл COMMAND.COM. Как уже указывалось, содержащееся в
теле вируса текстовое сообщение шифруется с помощью команды XOR.
Дешифровка выполняется непосредственно перед выдачей сообщения на
экран, т.е. перед срабатыванием троянской компоненты. При поиске
зараженных файлов вирус просматривает корневой каталог и все
подкаталоги винчестера. Если файлов-жертв там не обнаружено, то
выполняется просмотр диска A, а затем диска B.

6.5.5.2. Вирус E-1280 (Datacrime B - Дейтакрайм B, 1280, Columbus
Day - День Колумба)
Штамм, заражающий только файлы типа EXE и способный
форматировать винчестер с контроллерами типа RLL или MFM.

6.5.5.3. Вирус СE-1514
(Datacrime II - Дейтакрайм, 1514, Columbus Day - День Колумба)
Штамм, заражающий как COM-, так и EXE-файлы. Тело вируса
зашифровано. В отличие от предыдущего не пытается форматировать
винчестер.

6.5.5.4. Вирус СE-1917 (Datacrime IIB - Дейтакрайм IIB , 1917,
Columbus Day - День Колумба)
Штамм, обнаруженный в ноябре 1989 года. Пытается форматировать
диск в любой день после 12 октября, кроме понедельника. Метод
шифровки тела изменен.

Мы рождены, чтоб сказку сделать былью...
Из популярной песни 30-х годов

6.6.1. Вирус Cookie, Cookie Monster - Печенье

Данная легенда основана на демонстрационном вирусе,
действительно существовавшем на компьютерах с микропроцессором
8080 или Apple II. Или, возможно, вирус полностью уничтожен и
относится к ископаемым вирусам. Название данного вируса связано
с персонажем популярной в США детской телевизионной программы
SESAME STREET. Проявление этого вируса связано с выдачей на экран
сообщения
I WANT COOKIE
(я хочу печенья)
Только ввод с клавиатуры слова COOKIE позволяет продолжить
работу с программой. Вводом тайного пароля OREO можно усыпить
вирус на несколько недель. В некоторых вариантах легенды вирус
стирает файлы при неправильном ответе или слишком длительной
задержке с ответом.
Исторические замечания. В файле П.Хоффман не описан.
Методы и программные средства защиты. Как ни странно, но для
данного вируса имеется фаг (может быть, это шутка) - вирус
диагностируется и выкусывается полифагом Antivir (версия 3.0
1988), разработанным D.Hoppenrath.

6.6.2. Вирус, заражающий обьектные библиотеки

Автором легенды является А.А.Чижов. В статье [Чижов88] он
неосторожно высказал собственную идею о вирусе, внедряющемся в
библиотеку обьектных модулей компилятора. Соответствующий текст
представляет исторический интерес:
3. Вирус в обьектной библиотеке. Вирус, прикрепленный к
обьектной библиотеке какого-либо компилятора, - наиболее
изощренный вид вируса. Такой вирус автоматически внедряется в
любую программу, составленную программистом, работающим с
зараженной библиотекой.
Внедряется вирус в библиотеку следующим способом. В обьектную
библиотеку добавляется модуль, содержащий в себе вирус,
оформленный в виде подпрограммы. Затем в модуль, который должен
получать управление от Дос в сформированной программе, всавляется
вызов подпрограммы, содержащей вирус. При этом корректируется
таблица глобальных имен, используемых в бибилиотеке. При
компоновке какой-либо программы модуль с вирусом автоматически
подключается к программе и всегда будет запускаться при ее
запуске...

Данная легенда стала неотъемлемой частью программистского
фольклора. Попытку придать этой легенде статус научного факта
предпринял Ю.Н.Основский. В брошюре [Основский90] написано
буквально следующее:
Вирусы, вызывающие аварию аппаратного обеспечения ЭВМ,
представляются наиболее опасными из всех классов вирусов. Если
после срабатывания вируса из классов, описанных выше, самым
серьезным последствием является гибель всей информации на
носителях, то срабатывание вируса, вызывающего аварию аппаратного
обеспечения ЭВМ, кроме логического разрушения информации, вызывает
еще и физическую поломку машины.
К счастью, автор не сталкивался еще с такими вирусами лицом к
лицу (т.е. на своем персональном компьютере), однако наблюдал
результаты срабатывания одного из таких вирусов на машине своих
коллег. Этот вирус заставил операционную систему обращаться к
жесткому диску с резонансной частотой блока его головок. Как
результат - падение блока головок на вращающийся диск,
заклинивание диска с повреждением всех его поверхностей и,
естественно, разрушением информации. Для восстановления
работоспособности машины пришлось покупать новый жесткий диск.
Далее автор приводит еще более интересные сведения:
Однако можно с достаточной степенью уверенности утверждать, что
распространение этого типа вирусов не грозит пользователям
персональных ЭВМ с жесткими дисками производства стран у членов
СЭВ только в том случае, если жесткие диски собраны в этих
странах. При использовании готовых фирменных жестких дисков
проникший на машину вирус может сработать, так как для определения
резонансной частоты диска необходимо точно знать его физические
параметры. Поэтому опасность срабатывания подобного вируса грозит
только тем пользователям, машины которых оснащены фирменными
жесткими дисками. Автору удалось установить (естественно, не путем
эксперимента), что эти вирусы существуют в настоящее время только
для двух типов фирменных жестких дисков: SeaGate и Amstrad.
К сожалению, как будет ясно из дальнейшего изло- жения,
благодаря богатой фантазии Ю.Н.Основскому удалось установить
(естественно, не путем эксперимента) не только это.

6.6.4. Вирус в сетевом драйвере

Источником данной легенды является все та же статья [Чижов88].
Приведем соответствующую цитату.
Возможно создание вируса, внедряемого в сетевой драйвер. Такой
вирус переносит себя по сети на другой компьютер. Возможность
перенесения по сети, конечно, зависит от вида сети - один вирус
обычно может заражать только сеть одного вида с однотипными
драйверами обслуживания сети.
Самый простой способ переноса такого вируса - передача по сети
нового варианта сетевого драйвера. Для этого необходимо, чтобы
зараженный драйвер вызвал от незараженного абонента сетевой
драйвер (или его часть), добавил в него вирус и передал обратно.
При последующем запуске сетевого драйвера будет запущен уже новый
зараженный драйвер.
Процесс заражения сопровождается довольно большими передачами по
сети, поэтому вирус может быть обнаружен за счет не только
изменения размера сетевого драйвера или его контрольной суммы, но
и обнаружения лишних передач по сети.

Эта легенда принадлежит, по видимому, Ю.Н.Основскому, который
пишет:
...Автору известен только один случай заражения сетевым
вирусом, когда появление вируса на одной из концевых машин сети
вызвало немедленное заражение головной машины сети, а за ней - и
всех остальных концевых машин.
Этот вирус длиной 2231 байт распространялся через прерывание DOS
21H (выполнение функций DOS, номера функций 5EH, 5FH). Вирус
заражал .СОМ и .EXE-файлы, увеличивая их длину. Несмотря на то,
что в течение нескольких дней никаких внешних проявлений вируса не
замечалось, было решено полностью очистить все машины от вируса.
Лишь на одной машине, исключенной из сети, вирус был обезврежен в
операционной ситеме, но с исследовательскими целями оставлен в
ряде программ пользователей. В результате исследования выяснилось
следующее:
- вирус и в отстутсвии сети способен заражать операционную
систему, причем не только ее командный процессор, который
поражается сразу, но и скрытые системные файлы, которые поражаются
в самом конце инкубационного периода;
- инкубационный период вируса составляет около месяца, после
чего на машине происходит ядерный взрыв (это название предложено
автором на основании анализа пораженного вирусом жесткого диска
после срабатывания). Дело в том, что характер поражения напоминает
след ядерного взрыва: чем ближе к FAT-таблице, которая является
как бы эпицентром жесткого диска, тем больше разрушенных
векторов в логических кластерах);
Ну и так далее. Если рассматривать данное описание как
спецификацию, то она, к сожалению, представляется вполне
реализуемой, если, конечно, отбросить проколы типа поражения
скрытых системных файлов в конце инкубационного периода. Более
того, напрашивается сравнение с вирусом C-1260v (прил.3), который
фактически основан на аналогичной спецификации. Здесь, пожалуй,
четче всего видна опасность фантазирования на вирусную тематику.
Не случайно, по некоторым данным, разведслужбы специально
анализируют издаваемые детективы на предмет возможного
использования приводимых сюжетных ходов в реальных операциях, а
после просмотра жестокого фильма отмечается возрастание числа
опасных преступлений, близких по схеме к событиям на экране.

6.6.6. Вирусы, поражающие скрытые системные файлы.

Данная легенда, по видимому, принадлежит А.А.Чижову. В уже
упоминавшейся статье [Чижов88] он пишет:
Вряд ли вирус может внедриться в загрузчик, так как загрузчик
должен размещаться в одном секторе диска емкостью 512 байт. В
загрузчике практически нет свободного места.
Другое дело - скрытые файлы ДОС. Вирус может прикрепиться к
любому из этих файлов, при этом его дальнейшее поведение может
быть различным. Само прикрепление происходит просто - вирус может
дописать себя в конец одного из файлов. при запуске каждого из
скрытых файлов управление передается на начало файла, в котором
стоит команда перехода на инициатор соответствующей части ДОС,
вместо которой вирус может поставить переход на свое начало, а
после настройки запустить инициатор ДОС. Наиболее действенным
может быть прикрепление ко второму скрытому файлу -
IBMDOS.COM(MSDOS.SYS), так как, во-первых, в конце первого файла
находится конфигуратор системы, обрабатывающий файл CONFIG.SYS,
что мешает прикреплению вируса, во-вторых, в момент запуска
первого скрытого файла ДОС еще не функционирует. В момент же
запуска второго скрытого файла ДОС уже частично функционирует,
полностью сформированы драйверы ввода-вывода.
То, что А.А.Чижов описал как одну из возможностей, пытаясь одним
из первых самостоятельно проанализировать возможные пути
инфицирования MS DOS (и ошибаясь в данном случае), Ю.Н.Основский
преподносит нам как факт, имеющий место на начало 1990 г.:
Поражение скрытых системных файлов приводит к заражению всей
операционной системы ЭВМ, а если ЭВМ включена в состав локальной
вычислительной сети, то возможен переход вируса на любую другую
машину сети, в том числе и на головную.
Правда, обычно заражение скрытых системных файлов довольно легко
распознается, так как одна из первых же перезагрузок пораженной
операционной системы приводит к срабатыванию вируса и, как
правило, к потере информации на носителе (ничего себе легкое
распознавание ! - БНН). Отметим, что большинство вирусов,
заражающих скрытые системные файлы, относятся к классам вирусов,
либо повреждающих системные области дисков, либо форматирующих
диски..
Опыт автора показывает, что в случае поражения обычными
файловыми вирусами (резидентные вирусы, заражающие файлы при
открытии заражают указанные системные файлы при их копировании)
скрытых файлов операционная система становится неработоспособной.
Специальных вирусов, рассчитанных именно на заражение скрытых
файлов, в настоящее время не существует (возможно, потому, что
слишком мала инфицирующая способность такого вируса - меньше чем у
бутового). Единственный специализированный вирус, заражающий
командный процессор (Lеhigh), по данным П.Хофман, можно считать
практически уничтоженным. В нашу страну он пока не попадал.

В настоящее время можно выделить четыре группы бутовых вирусов:
итальянскую, пакистанскую, новозеландскую и индийскую.

7.1. Итальянская группа

Итальянская группа представляет собой бутовые вирусы,
демонстрирующие интересный визуальный эффект: во время работы
пользователя ни с того ни с сего на экране появляется хаотически
движущееся на экране светлое пятно (мячик). Первым и наиболее
распространенным представителем этой группы является вирус Bx1-1C,
на примере которого мы и рассмотрим эту группу.

7.1.1. Вирус Bx1-1C (Ping-Pong - Пинг-понг;
Italian Bouncing - Итальянский попрыгунчик)

Неформальные названия данного вируса связаны с тем, что вирус
визуально проявляется в виде светлого ромбика на экране дисплея,
двигающегося в случайном направлении и отражающегося от символов
псевдографики. Формально данный вирус относится к резидентным
бутовым вирусам типа Вx1: он заражает как дискеты, так и
винчестер, а его хвост расположен в одном кластере, помеченном как
сбойный, как на дискетах, так и на винчестере.
Дамп головы и хвоста вируса приведены ниже. Как уже указывалось,
инфицируются любые дискеты, а не только системные. Оригинальный
бутсектор находится во втором секторе сбойного класера, что
позволяет использовать его при восстановлении с помощью Norton
Utilities или PC Tools. Длина вируса составляет 1536 (600h) байт.
Перехватывает прерывания 10h и 13h. Когда происходит загрузка с
зараженного диска, сначала считывается голова вируса, которая
размещается по адресу 0000:7C00 и управление передается на начало
вируса. Вирус определяет объем памяти компьютера (слово по адресу
0040:0013) и уменьшает его значение на 2, резервируя место
размером 2K под свою копию. Затем вирус копирует себя в
зарезервированную область, передает туда управление, ищет свою
вторую часть на диске, дописывает к себе свое продолжение и
считывает оригинальный бутсектор (второй сектор псевдосбойного
кластера с хвостом вируса) в память по адресу 0000:7C00. Затем
вирус перехватывает прерывание 13h с тем, чтобы контролировать
обращения к диску и запускает стандартный системный загрузчик (
передавая управление на адрес 0000:7C00), который, в свою очередь,
загружает IBMIO.COM и IBMDOS.COM (или IO.SYS и MSDOS.SYS), т.е.
происходит стандартная загрузка системы. В дальнейшем, в процесс
работы пользователя на ЭВМ, вирус активируется всякий раз, когда
выполняется операция чтения с дискеты. Получив управление, вирус
анализирует, относится ли оно к дискете или к винчестеру. Если это
прерывание относится к дискете, то сначала вирус проверяет,
заражена уже данная дискета или нет. Для этой цели считывается
бутсектор и проверяются его содержимое. Если дискета еще не
заражена, то вирус заражает дискету, а затем обрабатывает команду
READ. В случае, если дискета уже заражена, вирус сразу переходит к

обработке команды READ; так же он поступает в случае, если дискета
защищена от записи.
Заражение выполняется следующим образом. Сначала вирус копирует
оригинальный бутсектор в оперативную память. Затем вирус ищет
свободный кластер, который он может пометить как сбойный. Если ни
одного свободного кластера на дискете нет, то заражения не
происходит. Если подходящий кластер найден, то вирус копирует туда
оригинальный бутсектор и свoй хвост (в первый сектор кластера
записывается хвост, а во второй сектор - оригинальный бутсектор).
Для того чтобы занятый вирусом кластер не был использован MS DOS
при создании нового файла, вирус помечает этот кластер как
сбойный. И, наконец, вирус записывает свою голову в бутсектор
заражаемого диска, предварительно записав в ней номер кластера,
содержащего хвост вируса. Заражение дискет происходит стандартным
образом: при обращении к дискете. Заражаемые дискеты должны иметь
512 сектора и 2 сектора в кластере. При заражении винчестера вирус
анализирует в MBR таблицу разделов (Partition Table) и определяет
положение бутсектора на винчестере.
Стадия проявления у данного вируса наступает через случайный
промежуток времени, варьирующийся от десятков минут до десятков
часов. Условия активизации точно автору не известны. Как уже
указывалось, стадия проявления заключается в появлении на экране
светлого ромбика(знак 07h ASCII), который хаотически движется по
диагоналям, отражающегоcя от границ экрана и символов
псевдографики. При этом не имеет значения тип установленного
адаптера. Ромбик беспрепятственно проходит сквозь обычные символы;
однако в некоторых случаях он изменяет цвет символа или заменяет
символ собой, искажая в последнем случае содержимое экрана. При
редактировании это совсем не безобидные изменения, поскольку при
записи в память искажения сохраняются. Поэтому можно исказить
редактируемый текст, работая на зараженной машине.
Если экран находится в графическом режиме, то движущийся ромбик
изменяет цвет полей, через которые он проходит. Для некоторых игр
это приводит к быстрому окрашиванию экрана в черный цвет, что
делает невозможным продолжение игры. Как уже указывалось изменение
цвета наблюдается и в текстовом режиме, когда ромбик, проходя
сквозь символ, также меняет его цвет. Это часто наблюдается со
стандартной подсказкой DOS.
В теле вируса имеется экзотическая команда, которую выполняет
микропроцессор 8086/8088 и не выполняет микропроцессор 80286.
Поэтому вирус работоспособен только на машинах класса XT. При
попытке загрузиться с зараженной дискеты на IBM PC/AT система
зависает.
Исторические замечания. Данный вирус появился на Западе примерно
в конце 1987 г. В СССР появился в конце 1988 г. (в Киеве в начале
1989 г.). Поскольку вирус достаточно распространен в соцстранах,
то он, несомненно, попадал в СССР неоднократно с различными
программными средствами. Первым и достаточно удачным фагом для
этого вируса, появившимся в Киеве, была зарубежная программа PNCL,
см. СП 1-1. Поскольку данный вирус является одним из самых
распространенных бутовых вирусов, имеются многочисленные штаммы.
Неформальные названия. Для данного вируса существует порядка
десятка неформальных названий. Среди них: Bouncing Dot - Танцующий
зайчик; Bouncing Ball - Прыгающий мячик; Italian Bouncing -
Итальянский попрыгунчик; Ball - Мячик, Vera Cruz - Вера Круз,
Italian - Итальянский. Полидетектор SCAN опознает этот вирус как
Ping Pong Virus - Version B [Ping].
Методы и программные средства защиты. Вирус можно
идентифицировать путем визуального просмотра содержимого
бутсектора (использовать Norton Utilities удобнее чем PCTools).
При проверке полученных дискет удобнее всего сравнивать первые три
байта (J-сигнатуру) дампа. Norton Utilitis (NU), которая выдает
FAT в полуинтерпретированном виде и позволяет сразу определить
номер кластера, помеченного как сбойный, что облегчает его поиск и
анализ. Как уже указывалось, вирус хранит содержимое нормального
бутсектора во втором секторе своего сбойного кластера. Поэтому
можно дезинфицировать зараженные дискеты, переписывая второй
сектор сбойного кластера в бутсектор. Эту операцию можно
выполнить, например, с помощью Norton Utilities. Затем необходимо
исправить в FAT сбойный кластер на FFF (тем самым он становится
потерянным) и превратить его в файл, запустив утилиту CHKDSK с
параметром /F, и наконец, удалить полученный файл с тем, чтобы
бывший сбойный кластер попал в пул свободных кластеров. Имеется
также специальная утилита для удаления сбойный секторов. Полифаг
AIDSTEST и другие сопровождаемые полифаги распознают и уничтожают
этот вируса, предварительно нейтрализуя его в памяти. Тем не менее
лучше выполнять эту операцию, загрузивщись с защищенной от записи
эталонной MS DOS. Возможно вакцинирование дискеты от данного
вируса, однако оно существенного значения не имеет, поскольку при
минимальных мерах предосторожности (обязательное использование при
копировании программ с дискет защитных наклеек, контроль
бутсектора), распространения этого вируса, как и любого, бутового
вируса можно избежать.

Дамп головы вируса Bx1-1C

000: EB1C90504320546F 6F6C730002020100 ...PC Tools.....
010: 027000D002FD0200 09000200000033C0 .p............3.
020: 8ED0BC007C8ED8A1 13042D0200A31304 ....|.....-.....
030: B106D3E02DC0078E C0BE007C8BFEB900 ....-......|....
040: 01F3A58EC80E1FE8 000032E4CD138026 ..........2....&
... .. .. .. .. .. .. .. .. . . . . . . . .
120: F77DFE5A595B5807 1FEA1B0300C8B801 .}.ZY[X.........
130: 02B600B90100E88A FFF606F87D807423 ............}.t#
140: BEBE81B90400807C 0401740C807C0404 .......|..t..|..
150: 740683C610E2EFC3 8B148B4C02B80102 t..........L....
160: E860FFBE0280BF02 7CB91C00F3A4813E .`......|......>
170: FC8157137515803E FB8100730DA1F581 ..W.u..>...s....
180: A3F57D8B36F981E9 0801C3813E0B8000 ..}.6.......>...
190: 0275F7803E0D8002 72F08B0E0E80A010 .u..>...r.......
1A0: 8098F726168003C8 B82000F726118005 ...&..... ..&...
1B0: FF01BB0002F7F303 C8890EF57DA1137C ............}..|
1C0: 2B06F57D8A1E0D7C 33D232FFF7F3408B +..}...|3.2...@.
1D0: F88026F77DFB3DF0 0F7605800EF77D04 ..&.}.=..v....}.
1E0: BE01008B1E0E7C4B 891EF37DC606B27E ......|K...}...~
1F0: FEEB0D01000C0001 00240200571355AA .........$..W.U.

Хвост вируса, записанный в псевдосбойном кластере

000: FF06F37D8B1EF37D 8006B27E02E88DFE ...}...}...~....
010: EB39B80300F606F7 7D04740140F7E6D1 .9......}.t.@...
020: E82A26B27E8BD881 FBFF0173D38B9700 .*&.~......s....
030: 80F606F77D04750D B104F7C601007402 ....}.u.......t.
040: D3EA80E60FF7C2FF FF7406463BF776C2 .........t.F;.v.
050: C3BAF7FFF606F77D 04750D80E60FB104 .......}.u......
060: F7C601007402D3E2 099700808B1EF37D ....t..........}
... .. .. .. .. .. .. .. .. . . . . . . . .

В данном штамме имеются изменения, вносимые вирусами подгруппы
музыкальных самоедов. Изменения состоят в введении счетчика,
увеличивающегося на единицу при каждом заражении. При достижении
счетчиком значения 255 вирус теряет способность к дальнейшему
размножению.
Исторические замечания. Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
Неформальные названия. Помимо приведенного выше, отсутствуют.
Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.

7.1.3. Штамм Bx1-1C-с
(Hacked Ping-Pong - Искромсанный пинг-понг)

Данный штамм является версией оригинального вируса, в котором
непосредственно в загрузочном модуле сделаны изменения,
направленные на стирание первых секторов диска при нажатии клавиши
Scroll Lock. Из-за ошибок при коррректировании загрузочного модуля
по живому данный штамм только размножается. Впрочем возможно
имеется и доработанная версия.
Исторические замечания. Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
Неформальные названия. Помимо приведенного выше, отсутствуют.
Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.

7.1.4. Штамм Bx1-1C-d
(Double Ping-pong - двойной пинг-понг)

Данный штамм отличается от предыдущего наличием двух движущихся
светлых пятен.

7.2. Пакистанская группа

Представители пакистанской группы вирусов отличаются тем, что
они не заражают винчестер, заражая только дискеты. Первым
представителем этой группы является вирус Dx3-E9.

Please Insert a Bootable disk
Then Type [Return]

Хотя размер вируса достигает 3К, менее половины кода вируса
действительно выполняется. Часть кода похоже не получает
управления ни при каких обстоятельствах и, возможно, вставлена для
затруднения дисассемблирования и анализа.
Исторические замечания. Оригинальная версия вируса Dx3-E9
является первым бутовым вирусом для MS DOS, получившим массовое
распространение и была выявлена в США в октябре 1987 г., где она
вызвала своего настоящую эпидемию. Название Brain связано с тем,
что он присваивает имя Brain любой зараженной дискете. Это один из
немногих вирусов, для которых установлены авторы: Basit Farood
Alvi (19 лет) и Bruder Amgad (23 года) из Лахора (Пакистан).
Поэтому иногда этот вирус называют Душманские мозги. П.Хофман
отмечает наличие ряда штаммов:
1. Brain-B/Hard Disk Brain/Houston Virus - штамм заражающий
винчестер;
2. Brain-C - доработанный штамм Brain-B, в котором метка ©
Brain удалена;
3. Clone Virus - доработанный штамм Brain-C, в котором опять
восстановлена оригинальная метка;
4. Clone-B - наиболее опасный штамм - версия Clone Virus
модифицированная так, что она уничтожает FAT винчестера после
5.05.92.
Рассматриваемый сингапурский штамм Dx3-E9 был первым штаммом
BRAIN, обнаруженным в СССР. Его выделил А.Сесса в Днепропетровске
в начале сентября 1989 г. на дистрибутивных дискетах с пакетами
Dr. Halo III и GeniScan Edit, входивших в поставочный пакет
сканера фирмы Genius. По данным А.Сессы вирус попал в
Днепропетровск вместе с компьютерами, привезенными из Тайваня на
компьютерную ярмарку.

Первым детектором для данного вируса был полидетекторор SCAN, а
первым фагом - программа NOBRAIN. Как детектор, так и фаг были
известны до появления вируса (распространялись через СОФТПАНОРАМУ
в сентябре-октябре 1989 года).
Неформальные названия. Помимо приведнного в заголовке,
используется название Brain-88 - Душманские мозги-88.
Методы и программные средства защиты. Рекомандуемые полифаги
приведены в прил.2. Как уже указывалось, вирус нельзя
идентифицировать путем визуального просмотра содержимого
бутсектора, например, с помощью PCTools, на зараженной машине; его
можно определить, только загрузившись с системной защищенной
дискеты. Поскольку вирус размещает в соответствующих байтах
бутсектора свою подпись, можно вручную вакцинировать дискеты,
исправляя соответствующие байты бутсектора.

Бутсектор, зараженный вирусом Brain

000: FAE94A0134120102 0600010020202000 ..J.4....... .
010: 2020202020205765 6C636F6D6520746F Welcome to
020: 207468652044756E 67656F6E20202020 the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028432920313938 3820426173697420 © 1988 Basit
060: 2620416D6A616420 2870767429204C74 & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020 d.
080: 20425241494E2043 4F4D505554455220 BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49 SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41 ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020 IQBAL TOWN
0C0: 2020202020202020 20204C61686F7265 Lahore
0D0: 2C50616B69737461 6E2E2050683A2034 ,Pakistan. Ph: 4
0E0: 33303739312C2034 34333234382E2056 30791, 443248. V
0F0: 6572202853696E67 61706F7265292020 er (Singapore)
100: 426577617265206F 6620746869732022 Beware of this
110: 7669727573222E20 49742077696C6C20 virus. It will
120: 7472616E73666572 20746F206D696C6C transfer to mill
130: 696F6E206F662044 69736B6574746573 ion of Diskettes
140: 2E2E2E2E20242340 2524402121208CC8 .... $#@%$@!! ..
... .. .. .. .. .. .. .. .. . . . . . . . .

Фрагменты дампа хвоста вируса Brain,
расположенного в псевдосбойных кластерах 55 - 57

+----- начало оригиналь-
| ного бутсектора
000: EB349049424D4D53 332E330002020100 .4.IBMMS3.3.....
010: 027000D002FD0200 0900020000000000 .p..............
020: 0000000000000000 0000000000000012 ................
030: 000000000100FA33 C08ED0BC007C1607 .......3.....|..
040: BB780036C5371E56 1653BF2B7CB90B00 .x.6.7.V.S.+|...
050: FCAC26803D007403 268A05AA8AC4E2F1 ..&.=.t.&.......
060: 061F894702C7072B 7CFBCD137267A010 ...G...+|...rg..
... .. .. .. .. .. .. .. .. . . . . . . . .
150: 1A7C88162A7CA339 7CC3B4028B16397C .|..*|.9|.....9|
160: B106D2E60A363B7C 8BCA86E98A16FD7D .....6;|.......}
170: 8A362A7CCD13C30D 0A4E6F6E2D537973 .6*|.....Non-Sys
180: 74656D206469736B 206F72206469736B tem disk or disk
190: 206572726F720D0A 5265706C61636520 error..Replace
1A0: 616E642073747269 6B6520616E79206B and strike any k
1B0: 6579207768656E20 72656164790D0A00 ey when ready...
1C0: 0D0A4469736B2042 6F6F74206661696C ..Disk Boot fail
1D0: 7572650D0A004942 4D42494F2020434F ure...IBMBIO CO
1E0: 4D49424D444F5320 20434F4D00000000 MIBMDOS COM....
1F0: 0000000000000000 00000000000055AA ..............U.
... .. .. .. .. .. .. .. .. . . . . . . . .
00: EB26202843292031 3938382042617369 .& © 1988 Basi
210: 74202620416D6A61 6420287076742920 t & Amjad (pvt)
220: 4C74642E00040100 2EC60625021F33C0 Ltd........%..3.
... .. .. .. .. .. .. .. .. . . . . . . . .
340: 0000000000000000 0000000000000000 ................
350: EB25900300202843 2920313938382042 .%... © 1988 B
360: 6173697420262041 6D6A616420287076 asit & Amjad (pv
370: 7429204C746420E8 AD00A1BE063DFDFF t) Ltd ......=..
... .. .. .. .. .. .. .. .. . . . . . . . .
490: 036B000303BE0E01 000101E0D89DD7E0 .k..............
4A0: 9F8D989F8EE02028 432920427261696E ...... © Brain
4B0: 2024E8DB00720A57 E81F005F7203E8D7 $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643 ..............FC
... .. .. .. .. .. .. .. .. . . . . . . . .

+----- еще одна копия
| оригинального
| бутсектора
6B0: 09C606090000FE06 0B00C3647461EB34 ...........dta.4
6C0: 9049424D4D53332E 3300020201000270 .IBMMS3.3......p
6D0: 00D002FD02000900 0200000000000000 ................
6E0: 0000000000000000 0000000000120000 ................

820: D2E60A363B7C8BCA 86E98A16FD7D8A36 ...6;|.......}.6
830: 2A7CCD13C30D0A4E 6F6E2D5379737465 *|.....Non-Syste
840: 6D206469736B206F 72206469736B2065 m disk or disk e
850: 72726F720D0A5265 706C61636520616E rror..Replace an
860: 6420737472696B65 20616E79206B6579 d strike any key
870: 207768656E207265 6164790D0A000D0A when ready.....
880: 4469736B20426F6F 74206661696C7572 Disk Boot failur
890: 650D0A0049424D42 494F2020434F4D49 e...IBMBIO COMI
8A0: 424D444F53202043 4F4D000000000000 BMDOS COM......
8B0: 0000000000000000 0000000055AA0000 ............U...
8C0: 0000000000000000 0000000000000000 ................

*** следующие строки идентичны предыдущей ***

AB0: 0000000000000000 000000000000FDFF ................
AC0: FF03400005600007 800009A0000BC000 ..@..`..........
AD0: 0DE0000F00011120 0113400115600117 ....... ..@..`..
AE0: 800119A0011BC001 1DE0011F00022120 ..............!
AF0: 0223400225600227 800229A0022BC002 .#@.%`.'..)..+..
B00: 2DE0022F00033120 0333F0FF00000000 -../..1 .3......
B10: 70FFF77FFF000000 0000000000000000 p..............
B20: 0000000000000000 0000000000000000 ................

*** следующие строки идентичны предыдущей ***

BF0: 0000000000000000 0000000000000000 ................

Оригинальная версия Brain в СССР, по видимому, не отмечалась.
Приводимый ниже фрагмент бутсектора воспроизводится по статье
[149].
Исторические замечания. Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
Неформальные названия.
Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.

Голова вируса BRAIN
(видна только на незараженной вирусом машине)

000: FAE94A0134120102 2700010000000020 ъщJ
4
'

010: 2020202020205765 6C636F6D6520746F Welcome to
020: 207468652044756E 67656F6E20202020 the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028632920313938 3620426173697420 © 1986 Basit
060: 2620416D6A616420 2870767429204C74 & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020 d.
080: 20425241494E2043 4F4D505554455220 BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49 SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41 ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020 IQBAL TOWN
0C0: 2020202020202020 2020204C41484F52 LAHOR
0D0: 452D50414B495354 414E2E2E50484F4E E-PAKISTAN..PHON
0F0: 45203A3433303739 312C343433323438 E :430791,443248
100: 2C3238303533302E 2020202020202020 ,280530.
110: 2020426577617265 206F662074686973 Beware of this
120: 2056495255532E2E 2E2E2E436F6E7461 VIRUS.....Conta
130: 637420757320666F 722076616363696E ct us for vaccin
... .. .. .. .. .. .. .. .. . . . . . . . .

7.2.3. Штамм Dx3-E9 (Ashar - Ашар)

Данный штамм отличается от предыдущего тем, что помимо дискет,
он заражает и винчестер. Содержит модифицированное по отношению к
предыдущему вирусу текстовое сообщение VIRUS_SHOE RECORD, v9.0.
Dedicated to the dynamic memories of millions of virus who are no
longer with us today. Последнее, как и в предыдущем случае, не
видно при просмотре бутсектора на зараженной машине. Используемое
неформальное название связано с строкой © ashar, которая
обычно содержится в теле вируса со смещением 04A6h.
Исторические замечания. Данный штамм описан П.Хофман в версии от
10.08.90. Широко распространен в США. Имеется версия 9.1, которая
в отличие от рассматриваемой версии 9.0 не заражает винчестер. В
СССР выделен Д.H.Лозинским в начале 1990 года.
Неформальные названия. Помимо приведенного в заголовке,
используются названия Shoe_Virus, UIUC Virus
Методы и программные средства защиты.См. предыдущий штамм.

Дамп штамма Ashar

000: FAE94A0134120009 1700010000000000 ..J.4...........
010: 57656C636F6D6520 746F207468652020 Welcome to the
020: 44756E67656F6E20 2020202020202020 Dungeon
030: 2863292031393836 20427261696E1726 © 1986 Brain.&
040: 20416D6A61647320 2870767429204C74 Amjads (pvt) Lt
050: 6420202056495255 535F53484F452020 d VIRUS_SHOE
060: 5245434F52442020 2076392E30202020 RECORD v9.0
070: 4465646963617465 6420746F20746865 Dedicated to the
080: 2064796E616D6963 206D656D6F726965 dynamic memorie
090: 73206F66206D696C 6C696F6E73206F66 s of millions of
0A0: 2076697275732077 686F20617265206E virus who are n
0B0: 6F206C6F6E676572 2077697468207573 o longer with us
0C0: 20746F646179202D 205468616E6B7320 today - Thanks
0D0: 474F4F444E455353 2121202020202020 GOODNESS!!
0E0: 2042455741524520 4F46205448452065 BEWARE OF THE e
0F0: 722E2E5649525553 20203A205C746869 r..VIRUS : \thi
100: 732070726F677261 6D20697320636174 s program is cat
110: 6368696E67202020 20202070726F6772 ching progr
120: 616D20666F6C6C6F 7773206166746572 am follows after
130: 207468657365206D 657373656765732E these messeges.
140: 2E2E2E2E20242340 2524402121208CC8 .... $#@%$@!! ..
150: 8ED88ED0BC00F0FB A0067CA2097C8B0E ..........|..|..
160: 077C890E0A7CE857 00B90500BB007EE8 .|...|.W......~.
170: 2A00E84B0081C300 02E2F4A113042D07 *..K..........-.
180: 00A31304B106D3E0 8EC0BE007CBF0000 ............|...
190: B90410FCF3A406B8 000250CB5153B904 ..........P.QS..
... .. .. .. .. .. .. .. .. . . . . . . . .

Фрагменты дампа хвоста вируса,
расположенного в псевдосбойных кластерах 55 - 57

200: EB26286329203139 383620427261696E .&© 1986 Brain
210: 202620416D6A6164 7320287076742920 & Amjads (pvt)
220: 4C74642000040000 2EC60625021F33C0 Ltd .......%..3.
230: 8ED8A14C00A3B401 A14E00A3B601B876 ...L.....N.....v
240: 02A34C008CC8A34E 00B9040033C08EC0 ..L....N....3...
... .. .. .. .. .. .. .. .. . . . . . . . .
340: 0000000000000000 0000000000000000 ................
350: EB25900300202863 2920313938362042 .%... © 1986 B
360: 7261696E20262041 6D6A616473202870 rain & Amjads (p
370: 767429204C7464E8 AD00A1BE063DFDFF vt) Ltd......=..
... .. .. .. .. .. .. .. .. . . . . . . . .
490: 0363000303BE0E01 000101E0D89DD7E0 .c..............
4A0: 9F8D989F8EE02028 6329206173686172 ...... © ashar
4B0: 2024E8DB00720A57 E81F005F7203E8D7 $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643 ..............FC
... .. .. .. .. .. .. .. .. . . . . . . . .
+----- начало оригиналь-
| ного бутсектора
6B0: 09C606090000FE06 0B00C3647461EB34 ...........dta.4
6C0: 9049424D2020332E 3300020201000270 .IBM 3.3......p
6D0: 00D002FD02000900 0200000000000000 ................
6E0: 0000000000000000 0000000000120000 ................
... .. .. .. .. .. .. .. .. . . . . . . . .
830: 2A7CCD13C30D0A4E 6F6E2D5379737465 *|.....Non-Syste
840: 6D206469736B206F 72206469736B2065 m disk or disk e
850: 72726F720D0A5265 706C61636520616E rror..Replace an
860: 6420737472696B65 20616E79206B6579 d strike any key
870: 207768656E207265 6164790D0A000D0A when ready.....
880: 4469736B20426F6F 74206661696C7572 Disk Boot failur
890: 650D0A0049424D42 494F2020434F4D49 e...IBMBIO COMI
8A0: 424D444F53202043 4F4D000000000000 BMDOS COM......
8B0: 0000000000000000 0000000055AA0000 ............U...
... .. .. .. .. .. .. .. .. . . . . . . . .

Для данной группы характерно заражение MBR на винчестере и
минимальный хвост, размером в один сектор, содержащий только
оригинальный бутсектор (или MBR), который размещается не в
псевдосбойном кластере, а по определнному абсолютному адресу,
приходящемуся на начальные сектора диска.

7.3.1. Вирус M-05 (Stoned - Забалдевший)

Название данного вируса связано с тем, что при загрузке MS DOS с
вероятностью 1/8 на экран выдается сообщение Your PC is now
Stoned, после которого, с некоторой задержкой, возрастающей по
мере увеличения количества перезагрузок и сопровождающийся
характерным звуком выполняется нормальная загрузка. Голова вируса
вируса содержит строку LEGALISE MARIJUANA!. Хвост состоит только
из оригинального бутсектора.
Заражение дискет выполняется стандартным образом. При заражении
винчестера голова вируса записывается в не в бутсектор раздела С,
а в абсолютный начальный сектор диска, который на винчестере
содержит Partition Table (таблицу разделов диска).
Расположение хвоста вируса отличается для дискеты и винчестера.
На дискете хвост вируса расположен не в сбойном кластере, а в
секторе с абсолютным адресом (цилиндр/дорожка/сектор) 0/1/3 -
последнем секторе главного каталога дискеты. На винчестере хвост
располагается в свободный сектор с абсолютным адресом 0/0/7,
который представляет собой неиспользуемое пространство между MBR и
началом логического диска С.
При заражении дискеты проверок, занят ли указанный выше сектор
информацией или нет, вирус не выполняет. Поэтому на дискете,
содержащей в главном каталоге много мелких программ, возможно
уничтожение части каталога. В случае, если винчестер разбит более
чем на четыре логических раздела, содержимое записей PARTITION
TABLE всех разделов после четвертого после заражения теряется и
информация на них становится недоступной. Информацию об этих
разделах можно восстановить с помощью Norton Disk Doctor.
Исторические замечания. Вирус M-05 впервые был обнаружен в
Веллингтоне (Новая Зеландия) в начале 1988 г. По данным П.Хоффман
оригинальный вирус заражал только пятидюймовые дискеты 360K. С
этой точки зрения описанный выше вирус следует рассматривать как
штамм оригинального (Stoned-B). В нашей стране появился в конце
1989 года практически одновременно в нескольких городах. Имеется
несколько штаммов среди которых отметим штамм Stone Rostov,
описанный ниже, а также Stoned-C: штамм с удаленным сообщением;
Stoned-D : аналогичен описанному выше, однако способен заражать
дискеты типа HD (как трех, так и пятидюймовые).
Неформальные названия. Помимо приведенных выше встречаются
названия: Marijuana - Марихуана, Hawaii - Гаваи, New Zealand -
Новая Зеландия, San Diego - Сан Диего, Smithsonian. Полидетектор
SCAN называет данный вирус Stoned Virus [Stoned].
Методы и программные средства защиты. Рекомендуемые детекторы и
полифаги приведены в прил.2. Простейшим фагом для данного вируса
на дискете является команда SYS. Для незагружаемого диска можно
вручную стереть бутсектор.
Дамп бутсектора дискеты, зараженной вирусом M-05

000: EA0500C007E99900 0043A300F0E40040 .........C.....@
010: 9F007C00001E5080 FC02721780FC0473 ..|...P...r....s
020: 120AD2750E33C08E D8A03F04A8017503 ...u.3....?...u.
030: E80700581F2EFF2E 0900535152065657 ...X......SQR.VW
040: BE0400B801020E07 BB000233C98BD141 ...........3...A
050: 9C2EFF1E0900730E 33C09C2EFF1E0900 ......s.3.......
060: 4E75E0EB359033F6 BF0002FC0E1FAD3B Nu..5.3........;
... .. .. .. .. .. .. .. .. . . . . . . . .
170: 1F0E07BEBE03BFBE 01B94202F3A4B801 ..........B.....
180: 0333DBFEC1CD13EB C507596F75722050 .3........Your P
190: 43206973206E6F77 2053746F6E656421 C is now Stoned!
1A0: 070D0A0A004C4547 414C495345204D41 .....LEGALISE MA
1B0: 52494A55414E4121 0000000000000000 RIJUANA!........
1C0: 0000000000000000 0000000000000000 ................
1D0: 0000000000000000 0000000000000000 ................
1E0: 0000000000000000 0000000000000000 ................
1F0: 0000000000000000 0000000000000000 ................
Следует обратить внимание, что в конце зараженного бутсектора
отсутствует двухбайтовый признак загружаемого бутсектора 55h AAh.

Данный штамм практически идентичен базисной версии. Изменена
лишь часть кода, связанная с проявлением вируса: данный штамм не
содержит ни характерных текстовых строк ни кода, который выводит
их на дисплей. Вместо этого вставлен код, который при при загрузке
с зараженной дискеты с вероятностью 1/32 стирает на винчестере 8
секторов.

7.3.3. Вирус PrintScreen

Отличается адресом хранения хвоста на винчестере (1/3/13 вместо
0/0/7 как в оригинальной версии. При этом может уничтожить один из
секторов FAT.

7.4. Вирус Bx3-EB (Disk Killer - Диск-киллер)

Неформальное название данного вируса связано с содержащимися в
его теле текстовыми строками (см. ниже). Формально данный вирус
относится к бутовым вирусам типа Вx3, поскольку поражает как
дискеты, так и винчестер, причем на дискете хвост вируса
расположен в трех кластерах, помеченных как сбойные. Дамп
секторов, содержащих данный вирус, приведен ниже. Иногда из-за
ошибки в вирусе эти сектора отнимаются у некоторого файла, а не
берутся из свободного пространства и создается впечатение, что
файл заражен данным вирусом. Например автору был передан экземпляр
программы DISKCOPY, содержащей в хвосте тело данного вируса.
Вирус поражает и винчестер, однако размещает свой хвост не в
псевдосбойных кластерах, а в секторах, расположенных между MBR и
началом раздела С.
Процесс размножения стандартен. Данный вирус, как и большинство
бутовых вирусов, конфликтует с драйверами дискет, поддерживающих
нестандартные форматы (например, 720K). При этом либо система
зависает, либо выдается сообщение о делении на нуль.
Инфицированный диск содержит сообщение и часть кода вируса в
бутсекторе. Остальная часть вируса, включая копию оригинального
(т.е. незараженного) бутсектора, содержится в трех кластерах,
которые, как уже указывалось выше по разному рамещаются на дискете
и винчестере.
Фаза проявления данного вируса состоит в прописывании
определенным символом всего содержимого раздела С. Если винчестер
содержит несколько разделов, то остальные разделы остаются
нетронутыми (при использовании ADM). Вирус подсчитывает время
использования диска с момента заражения и активирусется после
достижения определнного значения (примерно 48 часов). Обычно это
означает 1-6 недель с момента заражения в зависимости от
интенсивности использования компьютера. Фаза проявления начинается
с выдачи сообщения, содержащегося в коде вируса.

Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/89
Warning!!
Don't turn off the power or remove the diskette while Disk
Killer is Processing!
PROCESSING
Now you can turn off the power. I wish you Luck!

Следует отметить, что в этот момент еще можно спасти часть
информации нажав на кнопку перезагрузки (теряются системные
блоки). Затем вирус кодирует сектора выполняя операцию XOR со
значениями 0AAAAh и 05555h. Как известно операция XOR обратима,
поэтому можно восстановить перекодированную информацию. Утилита
для этой цели находится в стадии разработки.
Исторические замечания. В теле вируса содержится дата 04.01.89
(по-видимому, в американском формате), которую можно
интерпретировать как дату создания вируса. По данным П.Хоффман был
выделен в Калифорнии в апреле 1989 г. и имеет тайванское
происхождение.В нашей стране вирус появился в начале 1990 года.
Неформальные названия. Полидетектор SCAN называет данный вирус
Disk Killer Virus [Killer]. Другими неформальными названиями,
помимо приведенных в заголовке являются Ogre - Людоед, Computer
Ogre, Disk Ogre.
Методы и программные средства защиты. Вирус можно
идентифицировать путем визуального просмотра содержимого
бутсектора, например, Norton Utilities. В качестве детектора может
использоваться полидетектор SCAN. Вместо фага можно использовать
команду SYS.

Дамп бутсектора, зараженного вирусом Bx3-EB

000: FAEB4F4D53444F53 332E330002020100 ..OMSDOS3.3.....
010: 027000D002FD0200 0900020000000000 .p..............
020: 0000000000000000 0000000000000012 ................
030: 000000000100FA33 C08ED0BC0000CB3C .......3.......<
040: B200AE0000007400 0000005500000000 ......t....U....
050: 55552EA11304B106 D3E08ED8813E3E00 UU...........>>.
060: CB3C75081E8D063B 0250FBCBB8007CB1 ....u....-......
060: 06D3E00E1F8EC0BE 007C33FFB90014FC .........|3.....
070: F3A406B8000450CB 32E4CD13720D33D2 ......P.2...r.3.
080: B92128BB007EB809 02CD13B83C7C50C3 .!(..~......<|P.
090: BE5F7DB9480032FF 8A04B40ECD1046E2 ._}.H.2.......F.
... .. .. .. .. .. .. .. .. . . . . . . . .
150: 0A36307C8BCA86E9 8B161E7CCD13C30D .60|.......|....
160: 0A4E6F6E2D537973 74656D206469736B .Non-System disk
170: 206F72206469736B 206572726F720D0A or disk error..
180: 5265706C61636520 616E642073747269 Replace and stri
190: 6B6520616E79206B 6579207768656E20 ke any key when
1A0: 72656164790D0A00 0D0A4469736B2042 ready.....Disk B
1B0: 6F6F74206661696C 7572650D0A004942 oot failure...IB
1C0: 4D42494F2020434F 4D49424D444F5320 MBIO COMIBMDOS
1D0: 20434F4D00000000 0000000000000000 COM............
1E0: 0000000000000000 0000000000000000 ................
1F0: 000000497A616B00 00000000000055AA ...Izak.......U.

7.6.1. Вирус WM-1F (Joshi - Джоши)

Название данного вируса связано с тем, что при загрузке MS DOS с
5 января любого года на экран выдается соообщение Type Happy
Birthday Joshi ! и компьютер ожидает ответа. Если ввести ответ
Happy Birthday Joshi то загрузка будет продолжена. По данным
Д.Н.Лозинского при программировании выдачи сообщения автор вируса
ориентировался только на цветной монитор.
Вирус WM-1F является наиболее скрытным и тщательно маскирующимся
из попавших в CCCР бутовых вирусов. Это единственный из попавших в
СССР вирусов, который переживает теплую перезагрузку. Заражает
как 360К, так и 1.2М дискеты, а также винчестер.
Заражает дискеты емкостью как 360К, так и 1.2М. При заражении
дискет, подобно вирусу D-29 (Den-Zuk), записывает хвост на
дополнительную дорожку (41 для 360К дискет, 81 для 1.2М дискет).
При заражении дискеты проверок, занят ли указанные сектора
информацией или нет, вирус не выполняет. Поэтому на дискете,
содержащей на 41 дорожке какую-то информацию (например замок
защиты от копирования), она будет уничтожена. Как обычно, для
заражения достаточно единственно обращения к дискете при
резидентном вирусе.
Похоже автор был знаком с особенностями формата 1.2M очень
слабо. Распознавание дискет 1.2M выполняется некорректно - с
помощью попытки чтения 17 сектора. Поэтому возможно распознавание
дискет 1.2М как 360 и вклеивание тела вируса в середину дискеты
с соответствующими последствиями.
Более того, при попытке разметить дискету 1.2M на зараженной
машине начинаются фокусы: из меню PC TOOLS этот формат может
пропасть, размеченные дискеты сбоят и т.д. Эта характерная
особенность данного вируса может служить достаточно надежным
признаком зараженности машины данным вирусом.
При заражении винчестера голова вируса записывается в не в
бутсектор раздела С, а в абсолютный начальный сектор диска,
который на винчестере содержит Partition Table (таблицу разделов
диска), т.е. аналогично вирусу M-05 (Stoned). При этом хвост
вируса располагается в восьми секторах начиная с абсолютного
адреса 0/0/2, т.е. сектора, следующего за MBR (как уже отмечалось,
обычно эти сектора представляют собой неиспользуемое пространство
между MBR и началом логического диска С). Из этих восьми секторов
6 заняты собственно хвостом вируса, следующий седьмой сектор -
пустой, а восьмой содержит оригинальный MBR. Как и при заражении
дискеты, при заражении винчестера вирус не проверяет содержимое
этих секторов при заражении винчестера. Такое поведение вируча
можно рассматривать как лишний аргумент в пользу использования
программы MIRROR в AUTOEXEC.BAT: если эти сектора содержат какую-
то важную информацию (как например, при использовании ADM), она
будет уничтожена, при загрузке машина зависнет и можно
восстановить эти сектора с помощью PCBACKUP. Если начальные
сектора периодически копируются на дискету с помощью Norton
Utilities, то их можно восстановить из соответствующего файла.
Впрочем помимо резервирования копии с помощью MIRROR некоторые
фаги умеют исправлять эту ошибку.
Зараженный MBR при резидентном вирусе не виден. Механизм
обеспечения данного эффекта уже описывался применильно к вирусу
BRAIN: вирус анализирует запросы к винчестру и перенаправляет
операцию чтения нулевого сектора на сектор, где хранится
спрятанная Partition Table.
В памяти вирус размещается в старших адресах, откусывая у MS
DOS 6 Кб. Вирус перехватывает прерывания 8, 9, 13 и 21 - почти как
какой-нибудь файловый вирус.
Как уже указывалось, отличительной особенностью данного вируса
является то, что он перехватывает прерывание от клавиатуры, что
позволяет этому вирусу выживать при теплой перезагрузке (с
помощью Ctrl-Alt-Del).
Исторические замечания. Вирус WM-1F впервые был обнаружен в
Индии в июне 1990 года. В нашей стране появился уже в июле. Автору
был передан Д.Н.Лозинским. По данным П.Хоффман, начиная с конца
1989 года в Индии активно разрабатываются бутовые вирусы и не
исключено, что подобно тому как Болгария является основным
поставщиком файловых вирусов для СССР, на ту же роль для бутовых
вирусов скоро сможет претендовать Индия.
Неформальные названия. Полидетектор SCAN называет данный вирус
Joshi. Среди других названий отметим Happy Birthday - С днем
рожденья.
Методы и программные средства защиты. Рекомендуемые детекторы и
полифаги приведены в прил.2. В частности, в качестве детектора для
данного типа вируса можно использовать полидетектор SCAN, а в
качестве фага - полифаг Е.Сусликова K32.COM. Следует отметить, что
начиная с версии 36 в полифаге AIDSTEST предусмотрена возможность
исправлять Partition Table даже в довольно сложных случаях.

Дамп MBR винчестера, зараженного вирусом WB-1F

000: EB1F90C007E99900 021B0300C8E40080 ................
010: 7F007C00001E5080 FC02721780FC0002 ..|...P...r.....
020: 80FA8CC88ED88ED0 BC00F0FBA11304B1 ................
030: 06D3E08EC0B80002 2D2100BF0000BE00 ........-!......
040: 7C03F003F8B97901 2BC8FCF3A675108C |.....y.+....u..
050: C00520008EC0BB00 000653B80100CBA1 .. .......S.....
060: 13042D0600A31304 B106D3E08EC0BE00 ..-.............
070: 7CBF0000B90002FC F3A48CC00520008E |............ ..
080: C0BB000006530E1F B402B0018A2E1E7C .....S.........|
090: 8A0E1F7CB6008A16 207C50B800B88ED8 ...|.... |P.....
0A0: 585053515206CD13 075A595B58731050 XPSQR....ZY[Xs.P
0B0: 53515206B400CD13 075A595B58EBE2FE SQR......ZY[X...
0C0: C181C300021E0E1F 508AC12A061F7C2C ........P..*..|,
0D0: 08581F72CCB80000 CB00000000000000 .X.r............
0E0: 0000000000000000 0000000000000000 ................
*** расположенные далее байты вирусом не меняются ***

Некоторые из упоминаемых в зарубежной литературе бутовых вирусов
пока в СССР выделены не были. В прил.4 приводятся собранные
автором сведения о таких вирусах. Интересно отметить, что если
файловые вирусы имеют, в основном западное происхожение, то
бутовые - восточное (Индия, Индонезия, Новая Зеландия, Пакистан,
Сингапур, Тайвань, Южная Корея). Учитывая, что из Индии,
Сингапура, Тайваня, Южной Кореи мы получаем основную массу
персональных компьютеров, шансы на быстрое появление этих вирусов
в нашей стране весьма высоки.

8.1. Смешанные бутово-файловые вирусы

Данный тип вирусов является попыткой увеличить выживаемость
бутовых вирусов при наличии средств входного контроля.
Действительно, поскольку бутовый вирус запускается до MS DOS, то
он может беспрепятственно стать резидентным, а затем уже пытаться
обходить средства слежения за операциями ввода/вывода. В то же
время размножение по типу файлового вируса создает значительно
лучшие шансы проникновения на новые компьютеры. Первой, хотя и
неполной, попыткой реализации вируса рассматриваемого типа можно
считать вирус Ghostballs

8.1.1. Вирус C-2351 (Ghostballs - Мячик призрака)

Данный вирус является комбинацией Венского вируса и Пинг-Понга.
Файловая часть вируса основана на С-648 и при запуске зараженной
программы заражает бутсектор дискеты или винчестера бутовой
частью, основанной на вирусе Bx1-1C, в которой сохранен визуальный
эффект двужущегося светлого пятна, однако отсутствует способность
к размножению. При этом, если бутсектор восстановлен каким-нибудь
фагом, то он повторно заражается при первом же запуске зараженной
программы.
Исторические сведения. Вирус был обнаружен в октябре 1989 г. в
Исландии известным исландским вирусологом Фридрихом Скуласоном
(Fridrik Skulason).
Неформальные названия: Ghost Boot, Ghost COM
Методы обнаружения и средства защиты. Средства обнаружения и
защиты. Детектируется Scan (версии 66+), Для удаления бутовой
части можно использовать команду SYS.

8.1.2. Вирус RCE-2560 (Virus-101)

Данный вирус является первым известным резидентным вирусом с
самомодифицирующимся инсталлятором и первым, заражающим наряду с
файлами, бутсектор. Вирус заражает файлы только на дискетах. Если
на дискете нет файла, который можно заразить, то он заражает
бутсектор.
Исторические сведения. Вирус написан Патриком Толме (Patrick
Toulme) в январе 1990 г. в качестве учебного пособия и автор
некоторое время распространял за плату исходный текст вируса.
Неформальные названия: Virus-101
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.

8.1.3. Вирус RC-1253 (AntiCad, V-1)

Данный вирус заражает как COM-файлы, так и бутсектор дискет и
MBR винчестера. При выполнении зараженной программы вирус
инсталллируется в младшие адреса свободной памяти и виден как
дополнительная резидентная программа, занимающая 2128 байтов
(общий размер системной памяти не изменяется) и перехватывающая
прерывания 08, 13, 21, 60. Затем вирус заражает MBR винчестера или
бутсектор дискеты в зависимости от конфигурации компьютера.
Являясь резидентным вирус заражает каждый выполняемый COM-файл,
дописываясь в конец файла и вставляяя в начало файла команду
перехода. Размер зараженных файлов увеличивается на 1253 байта.
При этом вирус не делает попытки скрыть это увеличение. Признаком
зараженности файла является строка V-1 (562D31), расположенная
с четвертого байта, сразу после команды перехода.
Если при резидентном вирусе выполняется доступ к дискете, то
бутсектор заражается вирусом. в частности, отформатированные на
зараженном компьютере дискеты уже заражены. Куда вирус прячет
хвост в настоящее время не известно.
При попытке загрузки с зараженной дискеты вирус инсталллируется
по типу бутвируса, уменьшая системную память на 77840 байтов.
Характерным проявлением данного вируса является неожиданные
попытки доступа к неативным флоппи дискам при форматировании.
Например, если форматируется дискета в дисководе А, то зажигается
лампоска в дисководе B. Фаза проявления заключается в уничтожении
соержимого дискеты или винчестера и наступает, по данным П.Хоффман
24 Декабря. Уничтоженная дискета имеет повторяющуюся структуру из
девяти сеторов.
Исторические сведения. Вирус обнаружен в августе 1990 г. в
Австрии и, по-видимому, там же и написан.
Неформальные названия: Помимо приведенных выше отсутстуют.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.

Неформальное название данного вируса связано с тем, что в теле
вируса имеются имеются текстовые строки ©Damage, Inc. и
ANTHRAX. Формально данный вирус относится с смешанным файлово-
бутовым резидентным вирусам. Заражает как COM-, так и EXE-файлы,
включая COMMAND.COM. Помимо этого заражает MBR винчестера и
бутсектор дискет.
При заражении файлов их длина увеличивается на 1040 - 1232
байтов. При выполнении зараженной программы вирус инсталлируется в
оперативной памяти, однако в отличие от большинства известных
вирусов не начинает заражать файлы немедленно. Только после того,
как некоторое наступает некоторое событие, по видимому связанное с
количеством введенных с кавиатуры символов, он начинает заражать
по одному файлу при каждом выполнении какой-нибудь программы. При
этом заражается не сама выполняемая программа, а другой файл
выбираемый вирусом для заражения сначала на диске С, начиная с
корневого каталога и далее по всему делеву каталогов, затем на
диске D и т.д.
Детали заражения дискет и бутсектора неясны.
Проявления вируса в настоящий момент неизвестны.
Исторические сведения. Вирус был выделен в Нидерландах в июле
1990 г. Он был загружен в несколько BBS с троянской копией
антивирусной программы USCAN.ZIP. Это третий в 1990 г. вирус,
распространявшийся с троянской копией антивирусной программы.
Первыми двумя были RCE-2100 (также распространялся с USCAN) и RCE-
1600 (распространялся с Aidstest). По видимому, вирус имеет
восточноевропейское (болгарское?) происхождение.
Неформальные названия: Помимо приведенных выше отсутстуют.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.

8.2. Бутовые вирусы восточного происхождения

8.2.1. Вирус Microbes

Конкретные сведения о вирусе практически отсутствуют. Заражает
как дискеты так и винчестер. При заражении PC/XT возможно
зависание системы.
Исторические сведения. Вирус был обнаружен в Бомбее (Индия в
июне 1990г.). Возможно, что этот вирус является историческим
предшественником Joshy и написан тем же автором.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.

8.2.2. Вирус AirCop

Заражает только 360К пятидюймовые дискеты. Уменьшает обьем
системной памяти на 1К. Перехватывает прерывание 13. Имеет
вырожденный хвост, состоящий только из оригинального бутсектора.
На зараженной дискете хвост расположен по адресу 1/39/9, т.е. в
последнем секторе дискеты. Зараженный бутсектор не содержит
стандартных текстовых сообщений, однако в самом конце имееется
строка Non-system... На большинстве клонов вирус выдает через
случайный интервал времени сообщение
Red State, Germ Offensive.
AIRCOP. однако на некоторых вместо выдачи сообщения выдается
сообщение о переполнении стека и система зависает.
Исторические сведения. Вирус обнаружен в июле 1990 г. в
Вашингтоне (США) и имеет тайванское происхождение.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.

8.2.3. Вирус Korea

Заражает только 360К пятидюймовые дискеты. Имеет вырожденный
хвост, состоящий только из оригинального бутсектора и записываемый
в 11 сектор дискеты (последний сектор FAT). При этом возможно
поврежедние части FAT. Других проявлений не имеет.
Исторические сведения. Вирус обнаружен в марте 1990 г. в Сеуле
(Южная Корея) и, по-видимому, разработан там же.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.

Заражает только 360К пятидюймовые дискеты. По видимому данный
вирус можно рассматривать как раннюю версию вируса Den Zuk.
Дискета, зараженная вирусом Ohio иммунизирована к заражению
вирусом Brain. В теле вируса имеются строки:
V I R U S
b y
The Hackers
Y C 1 E R P
D E N Z U K 0
Bandung 40254
Indonesia
© 1988, The Hackers Team....
Исторические сведения. Вирус обнаружен в июне 1988 г. в
Индонезии и, по-видимому, разработан там же.
Методы обнаружения и средства защиты. Детектируется Scan
(версии 66+). Для удаления можно использовать команду SYS.

8.3. Ископаемые бутовые вирусы

8.3.1. Вирус Alameda (Аламеда)

Вирус Alameda, подобно вирусу M-05 (Stoned), имеет вырожденный
хвост, который размещается на последнем треке дискеты по адресу
39/8/0. При этом этот кластер не отмечается как сбойный, оставаясь
доступным для распределения. Поэтому в случае перезаписи
содержимого этого кластера перезагрузка системы становится
невозможной. После загрузки вирус уменьшает доступную память на 1
К.
Отличительной особенностью данного вируса является то, что он
перехватывает прерывание от клавиатуры, что позволяет этому вирусу
выживать теплую перезагрузку (с помощью Ctrl-Alt-Del). Более
того данный вирус размножается не путем заражения всех дискет к
которым идет обращение, а только дискет, которые расположены в
дисководе в момент нажатия CTL-ALT-DEL. Заражаются только
пятидюймовые дискеты 360К.
Оригинальная версия вируса не содержала кода, ориентированного
на нанесение какого-либо ущерба, однако как любой вирус вызывала
ряд побочных эффектов. В частности, на некоторые машинах
зараженных этим вирусом нельзя запустить отдельные программы или
драйверы. В настоящее время известны штаммы, разрушающие бутсектор
дискет (штамм Alameda-C). Кроме того оригинальная версия
работоспособна только на PC XT, поскольку содержит команды,
отсутствующие в микропроцессоре 80286 и 80386. Более поздние
версии размножаются и на PC AT.
Исторические замечания. Один из первых бутовых вирусов. Впервые
обнаружен в США в 1988 году в Merritt College, Oakland,
California. По мнению сотрудников университета вирус написан
студентом из колледжа Peralta community college, входящим в данный
округ. В СССР не отмечался. Приводимые данные базируются на списке
П.Хоффман и статьях Макафи и Гринберга [200-201,131].
Неформальные названия. Merritt, Peking, Seoul, Yale.
Методы обнаружения и средства защиты. Данный вирус
диагностируется полидетектором SCAN.

8.3.2. Вирус Chaos (Хаос)

Неформальное название данного вируса связано с тем, что в теле
вируса имеются текстовые строки Welcome to the New Dungeon,
Chaos и Letz be cool guys. Формально данный вирус является
бутовым вирусом, заражающим как дискеты, так и винчестер. при
заражении перезаписывает оригинальный бутсектор не копируя его в
новое место.
Стадия проявления заключается в пометке всех свободных кластеров
как сбойные. Условия наступления стадии проявления неизвестны.
Исторические замечания. Обнаружен в декабре 1989 г. в Англии.
Джеймсом Беррри (James Berry). В СССР не отмечался. Приводимые
данные базируются на списке П.Хоффман.
Неформальные названия. Merritt, Peking, Seoul, Yale
Методы обнаружения и средства защиты. Данный вирус
диагностируется полидетектором SCAN.

8.4.1. Вирус Bxxx (Boot Killer - бут-киллер)

Данный вирус при каждой активизации переводит часть имеющихся
свободных кластеров в потерянные и тем самым уменьшает размер
доступного дискового пространства. Это пространство, естественно,
становится недоступным, если не использовать утилиту CHKDSK с
последующим удалением всех файлов с расширением CHK.
Вторым эффектом является форматизация первого трека диска.
Исторические замечания. Данный вирус был описан в статье [ ],
опубликованной в 1988 г. опубликованной в 1988 г.

Сетевые вирусы более точно называть не вирусами, а
репликаторами, поскольку они не заражают выполняемые программы, а
просто распространяются по сети от одной ЭВМ к другой. Буквальный
перевод соответствующего англоязычного термина Worm - червяк
представляется менее удачным, чем предлагаемый термин репликатор.
В свою очередь репликатор, подобно кассетной боеголовке, может
переносить с собой троянских коней и обычные вирусы. К счастью,
два наиболее известных случая создания таких вирусов не связаны с
потерей или разрушением данных.

9.1. Вирус Christmas Tree (Рождественская елка)

Рассматриваемый вирус появился в конце декабря 1987 г. в
западноевропейской сети EARN (European Academic Research Network)
и связанной с ней американской сети BitNet. Его название связано с
тем, что он рисовал на экране дисплея новогоднюю елку и затем
рассылал себя по всем адресам, найденным на зараженной машине.
Программа распространялась по сети с помощью электронной почты.
Вирус был написан на языке управления заданиями REXX операционной
системы VM/CMS. Фактически это единственный известный вирус,
написанный на языке управления заданиями, и этот факт
свидетельствует о мощности и гибкости REXX - несомненно лучшего из
множества языков управления заданиями для машин системы 360/370.
Автором программы был студент университета Clausthal-Zellerfeld
(ФРГ), который утверждал, что просто хотел поздравить своих
приятелей и не представлял, что университетская сеть подсоединена
к EARN. Поскольку программа распространялась в виде исходного
текста, автор предпринял определенные меры по маскировке,
продемонстрировав неплохое понимание человеческой психологии. В
частности, в начале программы стояли соблазнительные
комментарии:

/**********************/ /****************************/
/* LET THIS EXEC */ /* ЗАПУСТИТЕ ЭТОТ */
/* */ /* */
/* RUN */ /* EXEC-ФАЙЛ */
/* */ /* */
/* AND */ /* И */
/* */ /* */
/* ENJOY */ /* РАЗВЛЕКИТЕСЬ */
/* */ /* */
/* YOURSELF */ /* */
/**********************/ /****************************/

За ними следовал фрагмент, состоящий из стилизованного рисунка
новогодней елки и поздравления Счастливого Рождества и наилучшие
пожелания на следующий год, который, естественно, также не
вызывал особых подозрений:

'VMFCLEAR'
SAY ' * '
SAY ' * '
SAY ' *** '
SAY ' ***** '
SAY ' ******* '
SAY ' ********* '
SAY ' ************* A'
SAY ' ******* '
SAY ' *********** VERY'
SAY ' *************** '
SAY ' ******************* HAPPY'
SAY ' *********** '
SAY ' *************** CHRISTMAS'
SAY ' ******************* '
SAY ' *********************** AND'
SAY ' *************** '
SAY ' ******************* BEST WISHES'
SAY ' *********************** '
SAY ' *************************** FOR THE NEXT'
SAY ' ****** '
SAY ' ****** YEAR'
SAY ' ****** '

Для тех, кто еще сомневался, запускать ли программу или
посмотреть текст до конца, далее следовал еще один комментарий,
содержавший ненавязчивый совет о том, что просмотр этого файла
совсем не интересен, просто наберите команду CHRISTMAS и
посмотрите, что получится:
/* browsing this file is no fun at all
just type CHRISTMAS from cms */
И только после этого шел непосредственно текст репликатора,
лишенный, естественно, каких-то коммментариев.
Из ЕARN вирус, в процессе рассылки по обнаруженным им адресам,
попал в американскую сеть Bitnet. В свою очередь, сеть Bitnet
имеет связь с внутренней сетью компании IBM - Vnet. В этой сети
репликатор размножался особенно успешно, поскольку сеть состоит в
основном из машин и программного обеспечения фирмы IBM. Большие
списки рассылки у многих пользователей этой сети привели к ее
перегрузке и она была выключена. В течение двух дней, пока сеть
была выключена, вся электронная почта фирмы отлеживалась. Фирмой
IBM были выполнены модификации сети, затрудняющие повторение
подобных инцидентов.

Название данного вируса связано с тем, что его автором является
Роберт Моррис младший (Robert Morris), аспирант факультета
информатики Корнельского Университета (США). 2.10.88 он запустил
вирус в американскую национальную сеть Internet, ивинфицировав
большое количество компьютеров, подключенных к сети. Internet
объединяет машины университетских центров, частных фирм и
правительственных агенств, включая Национальное управление по
аэронавтике и исследованию космического пространства, а также
некоторые военные НИИ и лаборатории. Поскольку при
программировании автор допустил ошибку, вызвавшую превышение
скорости размножения и распространения по сравнению с задуманной,
вирус был достаточно быстро (в течении нескольких частов)
обнаружен. Тем не менее он успел заражить в общей сложности
порядка 6000 компьютеров из порядка 60000, подключенных к сети.
Вирус Морриса заражал только компьютеры типа SUN 3 и VAX,
которые использовали варианты ОС UNIX версии 4 BSD. В процессе
работы вирус оставлял необычные файлы в каталоге /usr/tmp на
некоторых машинах и странные сообщения в log-файлах некоторых
утилит, в частности, управляющей почтой утилиты SendMail. Для
своего распространения вирус использовал некоторые дефекты
стандартного программного обеспечения, установленного на многих
эксплуатирующих UNIX системах. Он также использовал механизм,
предназначенный для облегчения использования ресурсов удаленным
компьютерам для проведения вычислений, позволяющий запускать
задачу на удаленной машине. Вирус состоял из двух частей: главной
программы и программы, обеспечивающей его распространение. Главная
программа после запуска на очередной машине собирала информацию
относительно других машин в сети, с которыми данная ЭВМ имеет
связь. Она выполняла эту работу с помощью анализа конфигурационных
файлов и путем прогона системной утилиты, которая дает информацию
о текущем состоянии соединений в сети. Затем она использует
определенные недостатки программного обеспечения для пересылки
себя на другие машины.
Пересылка выполнялась специальной частью вируса, называемой
модулем распространения. Этот модуль представляет собой исходный
текст программы, состоящей из 99 строк на языке С, которые должны
быть откомпилированы и выполнены на удаленной машине. Для этого
исходный текст должен быть сначала передан очередной жертве
(используя способ, кратко описываемый ниже), а затем
откомпилирован и выполнен с тремя аргументами: сетевой адрес
инфицирующей машины (т.е. ЭВМ, с которой происходит заражение),
количество сетевых портов, которые нужно соединить с этой машиной
для передачи основных файлов вируса и магическое число, которое
использовалось как однократная проверка паспорта. Если
инфицирующая машина не получала в ответ от посланного ею модуля
распространения этого магического числа, она немедленно
отсоединялась от этой машины. Это, по-видимому, было сделано в
расчете на предотвращение попыток получения файлов вируса путем
имитации действий модуля распространения. В самом модуле
распространения были предприняты определенные усилия по
маскировке. Для этой цели он обнулял свою командную строку и
немедленно создавал собственную копию. Если в процессе пересылки
файлов с инфицирующей машины происходил сбой, то модуль
распространения сначала удалял все пересланные файлы, а лишь затем
возвращал управление.
Как уже указывалось, после запуска на очередной жертве модуль
распространения обеспечивал пересылку всех файлов вируса для машин
этого типа (SUN или VAX). Каждый файл представлял собой версию
вируса для определенной архитектуры ЭВМ. Кроме того, модуль
распространения обеспечивал получение еще одной своей копии для
рассылки по очередным сетевым адресам. Хотя в модуле
распространения предусматривалась пересылка до 20 файлов, только
три на самом деле пересылались данной версией вируса. Это породило
гипотезы о том, что Моррис планировал разработку более совершенной
версии и что эта версия могла пересылать другие командные файлы,
паспорта пользователей или, возможно, вирусы для конкретного типа
ЭВМ. После пересылки загрузочных модулей модуль распространения
обеспечивал их сборку с местной версией системной библиотеки.
Затем эти программы вызывались одна за другой и их действие
заключалось в попытке раскрыть пароли пользователей, работающих на
данной машине. Если это удавалось, то вирус рассылал модуль
распространения по всем адресам, найденным в списке
соответствующего взломанного абонента. Если ни один из методов
дешифровки паролей не срабатывал, то машина, породившая модуль
распространения, обеспечивала удаление с диска всех улик (т.е,
файлов, созданных в процессе работы вируса).
Общий объем вируса достигал 68К. На момент написания данного
материала это, по-видимому, самый большой из известных
компьютерных вирусов.
Исторические замечания. Вирус был разработан Роберт Моррис
младшим, аспирантом Корнельского университета, впоследствии
осужденным за это американским судом (некоторые сведения об этом
процессе приведены в гл.10). Роберт Моррис является сыном
ведущего ученого (chief scientist) американского национального
центра безопасности компьютеров (U.S. National Computer Security
Center) у отделения Нациoнального управления безопасности
(National Security Agency). Последнее специализируется на
глобальной телекоммуникационной разведке. Моррис-старший,
длительное время проработавший в Bell Laboraries, является одним
из разрабочиков игры Darvin у одному из первых экспериментов в
области саморазмножающихся программ. В дальнейшем, он участвовал в
разработке UNIX, в частности, системы парольной защиты.
Вирус был запущен в сеть приблизительно между 12 и 13 часами
2.10.88. Из-за ошибки, вызвавшей превышение скорости размножения и
распространения по сравнению с задуманной, в течение нескольких
часов (к концу дня) вирус заразил порядка 6000 компьютеров (данная
оценка основана на экстраполяции и не претендует на особенную
точность). Всего к сети Internet подключены более 60 000
компьютеров. Пораженные компьютеры были расположены на
значительной территории (Массачусетский технологический институт,
Калифорнийский университет в Беркли, университет в Пэдью,
Стенфордский университет и др.).
Наиболее заметным эффектом при распространении вируса, помимо
некоторых необычных сообщений операционной системы, была все же
непрерывно возраставшая загрузка пораженных вирусом машин. По
истечении некоторого времени отдельные компьютеры оказались
настолько загруженными распространением копий вируса, что не были
способны выполнять никакой полезной работы; некоторые компьютеры
исчерпали память для своппинга или таблицу текущих процессов и их
приходилось перегружать. Это существенно затруднило обмен
сообщениями и координацию работы по уничтожению вируса, поскольку,
судя по репортажам, большинство американских программистов
привыкло пользоваться электронной почтой. Задержки привели к
потере очень ценных сообщений, посланных пользователем, который,
по-видимому, знал детали работы вируса или они были сообщены ему
Моррисом, испугавшимся последствий своего эксперимента. Тем не
менее, сеть оставалась работоспособной и между программистами шел
интенсивный обмен сообщениями.
Утром 3 ноября персонал Калифорнийского университета в Беркли и
Массачусетского технологического института (МТИ) получили копии
вируса и начали его анализ. Общим опасением было, что к моменту,
когда будет изготовлено противоядие, системные файлы будут
изменены или разрушена некоторая информация. К пяти часам вечера 3
ноября группа исследователей в Университете в Беркли разработала
серию мер для прекращения его дальнейшего распространения.
Соответствующее сообщение было передано по сети, однако его
распространение было задержано нагрузкой, созданной
распространением вируса и отключением некоторых частей сети на
карантин. К 9 часам вечера другой простой и эффективный метод
борьбы с распространением вируса был найден в Университете Пэдью и
быстро распространен всем заинтересованным пользователям. К концу
суток с вирусом было покончено.
Дизассемблирование и реконструкция текста вируса представляла
собой достаточно сложную задачу, поскольку Моррисом были
предприняты специальные по ее затруднению, в частности, шифровка
текстовых строк. Основная часть работы была выполнена Марком
Эйчиным (Маrk Eichin), специалистом по дизассемблированию ROM,
который одновременно являлся и координатором работы других
программистов. Основная работа по реконструкции вируса была
завершена в субботу. Тогда же исследователями, после жарких
дискуссий, было принято решение не распространять восстановленный
исходный текст вируса и, в то же время, свободно распространять
информацию об алгоритмах, используемых данным вирусом. Это,
конечно, несет опасность, что они могут быть использованы для
написания новых вирусов, однако уровень знаний, требуемых для этой
цели, неизмеримо выше, чем умение перекомпилировать программу с
двумя или тремя измененными строчками.
На следующее утро, в пятницу 4 ноября в МТИ состоялась пресс-
конференция, на которой выступили ведущие участики охоты на
вирус. Во вторник, 8 ноября, в Балтиморе состоялась конференция
по вирусу Морриса, на которой подробно обсуждалась хронология
событий, предпринятые действия и детальный анализ функционирования
вируса. Кроме того, были обсуждены вопросы, касающиеся уроков
инцидента и подготовки к отражению новых атак.
Ниже приводятся представляющие исторический интерес сообщения,
которыми обменивались исследователи в ходе борьбы с вирусом. Эти
сообщения наглядно демонстрируют огромную ценность национальной
сети как инструмента оперативного обмена информацией между
исследователями.

Детекторы, рассчитанные на конкретные вирусы, также можно рас-
сматривать как специализированные программы-ревизоры, однако каче-
ство обеспечиваемого ими анализа вызывает сомнения и они должны
контролироваться другими методами, в частности, с помощью глобаль-
ного контекстного поиска. Следует отметить, что наиболее удобны
детекторы, обнаруживающие не один, а целый ряд распространенных
вирусов (полидетекторы). Имеется два основных типа полидетекторов:
с фиксированным набором сигнатур и переменным набором.
Детекторы с фиксированным набором сигнатур, в общем случае, эф-
фективнее полидетекторов с переменным набором. Обычно такие детек-
торы являются составной частью полифага. Однако имеется и чистый
полидетектор у SCAN. Текущая (на момент написания данной работы)
версия полидетектора SCAN детектирует более двухсот вирусов и их
разновидностей (имеется и резидентная версия, проверяющая файлы
при загрузке - SCANRES). Качество детектирования у невысокое (име-
ется много ложных срабатываний). Большинство используемых данным
полидетектором сигнатур приведено в прил.1 и 2.
Среди полидетекторов, входящих в полифаги, следует отметить де-
тектор, встроенный в полифаг TNTVIRUS. В отличие от полифага, яв-
ляющегося коммерческим продуктом, полидетектор входит в распрост-
раняемую бесплатно демонстрационную версию. Эта громоздкая (более
100К) программа имеет неплохой турбоинтерфейс и детектирует, по
данным его авторов (впрочем, вызывающих сомнения) более ста ви-
русов. Качество детектирования следует оценить как весьма среднее
(в большинстве случаев используется обычный контекстный поиск).
Многие из используемых сигнатур приведены в прил.1 и 2. За исклю-
чением интерфейса и количества сигнатур данный полидетектор усту-
пает аналогичным отечественным программам по количеству ложных
срабатываний и качеству распознавания наиболее распространенных в
нашей стране вирусов. Из полидетекторов, встроенных в отечествен-
ные полифаги наиболее интересен режим детектирования, обеспечивае-
мый полифагом Kxx Е.Н.Сусликова и полифагом AV И.Сысоева. Послед-
ний обнаруживает порядка 40 вирусов, являясь при этом самой ма-
ленькой (менее 20К) и быстрой программой такого рода. Как уже
указывалось, программы этого типа представляют наибольший интерес
как средство входного контроля нового программного обеспечения, в
особенности, поступающего без контрольных сумм.
Второй тип полидетекторов более интересен, поскольку фактически
представляет собой системные программы общего применения, которые
можно использовать не только для поиска вирусов, но и во всех
случаях, когда нужно найти все файлы, содержащие хотя бы одну из
заданной группы текстовых строк (ключевых слов). Набор строк для
поиска обычно задается в виде специального файла. Этот тип полиде-
текторов наиболее полезен при обнаружении какого-то нового, еще
неизвестного, вируса. Первое, что нужно сделать в этом случае -
это определить сигнатуру для поиска. Надежнее всего использовать
для этой цели трассировку зараженной программы с помощью отладчи-
ка. Определив сигнатуру, можно быстро выявить все зараженные про-
граммы, и тем самым, прекратить дальнейшее размножение вируса.
Имеется ряд программ этого типа (VL, VIRSCAN, NEADET). Например,
программа VL (прил.5) обеспечивает поиск в поддереве или файле до
50 строк длиной до 15 символов. Строки задаются пользователем в
текстовом или 16-ричном формате. Дамп программы, в которой найдена
строка, можно просмотреть на экране. Программа NEADET, написанная
И.В.Суворовым, позволяет использовать в качестве входных данных
приведенные в прил.1-4 таблицы и специальный алгоритм быстрого по-
иска строк. Дамп программы, в которой найдена строка, можно про-
смотреть на экране.

10.4.2.1. Использование Norton Utilities и PCTools
как универсальных детекторов вирусов
Как уже указывалось, обеспечиваемая PCTools и Norton Utilities
возможность выполнения контекстного поиска как по отдельным фай-
лам, так и по диску в целом, является полезным и надежным инстру-
ментом выявления зараженных файлов. В особенности полезна возмож-
ность выполнения глобального контекстного поиска по диску в целом.
При правильном выборе строки для контекстного поиска этот способ
является хотя и довольно медленным, но исключительно надежным ме-
тодом определения всех зараженных вирусом файлов. Следует отме-
тить, что Norton Utilities выполняет контекстный поиск примерно
вдвое быстрее, чем PCTools.

10.4.2.2. Поиск текстовых сигнатур
При поиске Т-сигнатур бывает полезна программа TS из версии 4.5
пакета утилит П.Нортона. Она позволяет искать заданный текст в
файле или по всему диску, например:
TS C:\*.COM vacsina /S /LOG
TS C:\*.EXE eddie /S /LOG
В программе можно использовать ряд ключей:
/LOG - печатать или выводить результаты в файл;
/S - просматривать также и подкаталоги;
/T - выводить только окончательные результаты;
/D - искать по всему диску (отменяет /S);
/E - искать по стертым файлам;
/CS - различать малые и большие буквы.

10.4.3. Методика применения фагов

Следует отметить, что программы-фаги, обеспечивающие возможность
восстановления исходного состояния программы, зараженной вирусом,
хотя и являются наиболее популярным типом антивирусных программ,
не являются основным средством защиты от вирусов. Наблюдаемое сей-
час повсеместная погоня за последними версиями фагов, не совсем
оправдана. Основные усилия должны быть направлены на предупрежде-
ние заражения (грамм профилактики стоит килограмма лекарств).
Отметим, что программы, которые мы для краткости называем фага-
ми, по сути представляют собой комбинацию типа детектор + фаг.
Поэтому при их работе возможны как ошибки, связанные с несовершен-
ством детектора, так и ошибки при выкусывании вируса из програм-
мы. Для фага неверное выкусывание вируса из зараженной программы
(больной умер на операционном столе) может быть обусловлено как
ложным срабатыванием детектора, так и недостаточным учетом возмож-
ных вариантов заражения программы. При этом фаг уничтожает работо-
способную программу (хотя с этим утверждением можно не соглашать-
ся, но по мнению автора зараженная программа все же лучше, чем ни-
какая). Поэтому, при применении фагов для файловых вирусов целесо-
образно разделять процесс диагностирования и процесс лечения.
Кроме того, распространяющиеся сейчас комплексные фаги на не-
сколько вирусов (полифаги) являются несколько менее удачной идеей,
чем полидетекторы, поскольку жесткая привязка фага к конкретному
встроенному детектору делает его заложником качества последне-
го, а отсутствие параметров настройки на вирус - чувствительным к
мутациям вируса, затрагивающим используемую сигнатуру. Единствен-
ным фагом, где была сделана попытка преодолеть этот недостаток,
является полифаг NEATFAG В.В.Пономаренко. В нем фаг на каждый ви-
рус выполнен в виде отдельного загружаемого модуля, что позволяет
добавлять модули, выкусывающие новые вирусы отдельно, без пере-
делки уже имеющейся части фага. Однако возможность замены или до-
бавления сигнатур в существующей версии NEATFAG отсутствует.
Процесс дезактивации рекомендуется разделить на ряд этапов c
тем, чтобы не повредить файловую систему во время ее выполнения.
Можно рекомендовать следующие этапы указанного процесса:
загрузиться с защищенной от записи дискеты, используя холодную
(кнопкой RESET или выключением питания), а не теплую (нажатием
клавиш CTRL-ALT-DEL) перезагрузку;
найти хотя бы одну зараженную программу с помощью батареи детек-
торов;
проверить правильность идентификации типа вируса, визуально про-
смотрев дамп зараженной программы;
составить список зараженных программ и распечатать этот список;
выгрузить зараженные программы на дискету и обработать их фагом;
проанализировать результаты выкусывания;
проверить работоспособность леченных программ и выгрузить их.
Если COMMAND.COM заражен, то используйте его размер и дамп для
определения типа вируса. Если нет, то поиск зараженной программы
можно выполнить разными способами, но обязательно перегрузившись с
защищенной дискеты. Если используется программа-ревизор и ведется
архив каталогов файловой системы, то целесообразно воспользоваться
им. Если нет, то проще всего использовать рекомендованную выше ба-
тарею полидетекторов (только перегрузившись с защищенной дискеты
!), с помощью которой возможно удастся определить зараженные или
хотя бы подозрительные файлы (некоторые детекторы используют для
этой цели эвристические приемы).
Составьте список зараженных программ с помощью детектора и про-
верьте его полноту глобальным контекстным поиском (см. ниже). Все
зараженные программы выгрузите на дискету, сделайте ее копию и
экспериментируйте только на ней. Если имеется возможность, то вы-
грузите из архива оригинальные копии программ на другую дискету
или на винчестер. После прогона фага опять распечатайте оглавле-
ние, сравните длины зараженного и вылеченного файлов и визуально
просмотрите дампы программ. Для тех программ, данные о длинах ко-
торых сохранились (например, в базе данных ревизора) или ориги-
нальные копии которых имеются в архиве, проверьте, правильно ли
восстановлена длина. Если такой возможности нет, то предварительно
проверьте работоспособность леченной программы, а только после
этого сгрузите ее обратно на винчестер. Помните, что фаг может за-
портить программу. И наконец, с помощью детектора и глобального
контекстного поиска проверьте полученные результаты: не осталось
ли на диске зараженных программ.
Следует отметить, что предложенные шаги в полном объеме необхо-
димы только при работе с новым, еще недостаточно изученным вирусом
или самодельным фагом (например, изготовленным по методике, опи-
санной во второй части данной работы). Для хорошо изученных виру-
сов, для которых существуют достаточно надежные и проверенные фа-
ги, большинство из этих шагов можно опустить.

Современные программы-сторожа СHECK21, -D1, -D2, -D3 и др. эф-
фективны против практически всех типов файловых вирусов. Другими
устаревшими, но все еще распространенными сторожами являются
MaceVaccine и ANTI4US2. Возможности этих программ уже не соответ-
ствуют уровню написания современных файловых вирусов, поэтому при-
менять их не рекомендуется. Использование сторожей обязательно при
первых запусках нового программного обеспечения, когда возможно не
только заражение вирусом, но и немедленное срабатывание троянской
компоненты.
Следует отметить, что непрерывные ответы на запросы, выдаваемые
сторожами, не только снижают эффективность работы, но и подрывают
саму обеспечиваемую ими защиту (это относится, прежде всего, к
устаревшим сторожам типа FluShot Plus, MaceVaccine, ANTI4US2).
Частая выдача запросов на разрешение тех или иных действий неиз-
бежно приводит к тому, что пользователь начинает отвечать на них
механически, тем самым сводя на нет обеспечиваемую ими степень за-
щиты. Современные сторожа должны иметь таблицу свойств програм-
мы, позволяющую блокировать выдачу запросов на разрешение тех или
иных операций от соответствующих программ. Например, если програм-
ма FORMAT пытается выполнять форматирование диска A, то запрос на
разрешение этого действия следует блокировать.
Степень обеспечиваемой сторожами защиты не стоит переоценивать.
Некоторые типы вирусов обходят сторожей, непосредственно обращаясь
к BIOS или используют сплайсинг для получения управления по преры-
ванию 21. Поэтому их применение должно сочетаться с применением
других средств защиты. Например, при использовании сторожей
VIRBLK, MaceVaccine, ANTI4US2, не контролирующих целостность сис-
темных файлов, в AUTOEXEC.BAT следует включить соответствующую
программу контроля (например, VACINE, СП 1-2).
Следует отметить, что сторожа могут интерферировать с резидент-
ными программами, а также вызывать срабатывание фагов, проверяющих
содержимое оперативной памяти. Последние часто принимают сторожа
за вирусы.

10.4.5. Методика использования ревизоров

Программы-ревизоры должны входить в арсенал каждого пользователя
и регулярно запускаться в каждом сеансе работы с ЭВМ. Существуют
два основных типа программ-ревизоров: пакетные (например, DLI) и
резидентные. Последние выполняют подсчет контрольных сумм на ле-
ту, т.е. при загрузке программ на выполнение. Несколько устарев-
ший сторож FluShot Plus очень полезен тем, что включает резидент-
ный ревизор, позволяющий на лету подсчитывать контрольную сумму
для загружаемых файлов. К сожалению, отдельного резидентного реви-
зора, обеспечивающего подсчет контрольной суммы на лету, перед
передачей файлу управления, пока нет.
Помимо специальных программ, в качестве ревизоров могут приме-
няться обычные программы сравнения файлов, например входящие в MS
DOS программы FC и COMP. Этот способ полезен для контроля целост-
ности наиболее важных файлов и предполагает наличие переименован-
ной и хорошо спрятанной эталонной копии, которую желательно раз-
мещать в защищенном от записи разделе винчестера.
Ревизоры являются единственным средством, позволяющим следить за
целостностью системных файлов и изменениями в используемых катало-
гах. Их использование особенно важно при работе на персональных
ЭВМ коллективного пользования, которые в СССР сейчас явно преоб-
ладают. В этих условиях важно, чтобы ревизор создавал файл, кото-
рый можно было бы записать на дискету или в собственный каталог, а
затем перед началом следующего сеанса работы, выявить произошедшие
изменения. Такое использование ревизоров должно сочетаться с то-
тальной проверкой целостности файлов, которую целесообразно про-
водить централизованно, не реже одного раза в день (например, при
включении ЭВМ), причем протоколы проверки целесообразно периоди-
чески печатать и сохранять в специальной папке.
Следует отметить, что получаемая с помощью ревизоров информация
существенно облегчает ориентировку в лабиринте каталогов и ново-
введениях среди трансляторов и используемых утилит. Поэтому их
нельзя рассматривать только в контексте защиты от вирусов - в на-
стоящее время они должны являться рабочим инструментом каждого
уважающего свой труд программиста.

10.4.6. Вакцинирование

Притворяясь, будто мы попали в расставленную
нам ловушку, мы проявляем поистине утонченную
хитрость, потому что обмануть человека легче
всего тогда, когда он хочет обмануть нас.
Франсуа де Ларошфуко

Как известно, вакцинирование домашних животных и человека, от-
крытое Л.Пастером, является одним из фундаментальных открытий 20
века. Учитывая аналогию между компьютерными и биологическими виру-
сами, следовало бы ожидать соответствующей эффективности киберне-
тических вакцин, которые изменяют среду функционирования вируса
таким образом, что он теряет способность к размножению. Однако на
сегодняшний день этот тип антивирусных программ особого распрост-
ранения не получил.
В настоящее время используются два основных типа вакцин: осно-
ванные на инактивированном теле вируса и основанные на имитации
действий, обеспечивающих положительный ответ на проверку вирусом в
запускаемой программе инсталлированной в памяти копии. Инактивиро-
ванная вакцина может быть получена из тела вируса гораздо быстрее,
чем написан соответствующий фаг. Поэтому этот тип вакцин можно ре-
комендовать как временную меру после обнаружения какого-то нового
вируса. Недостатком такого подхода является необходимость рабочего
знания языка ассемблера. Первая вакцина, основанная на инактивиро-
ванном вирусе, была разработана Л.И.Обуховым для вируса RCE-1813
(СП 1-2) и применялась в Киеве при борьбе с эпидемией указанного
вируса. Наиболее мощная поливакцина была разработана студентом
КИИГА В.В.Пономаренко (СП 2-7) и получила название NEATVAC. Суще-
ствующая версия NEATVAC обеспечивает защиту от более чем десятка
резидентных вирусов и особенно удобна для вузовских машинных за-
лов, где чаще обычного приходится сталкиваться с зараженными про-
граммами. В то же время вакцины, как и любые дополнительные рези-
дентные программы, не лишены побочных эффектов, которые могут быть
связаны с перехватом прерываний, используемых помимо вируса и ка-
кой-нибудь нормальной резидентной программой.

Общим критерием оценки любой антивирусной программы является на-
личие самотестирования на заражение и отсутствие ложных срабатыва-
ний на самом себе. Другим важным критерием у выдача более или ме-
нее подробного отчета. В настоящее время это является слабым
местом для большинства как бесплатно распространяемых, так и ком-
мерческих программ. Например для фага такой отчет должен включать
помимо имени файла и типа заражения хотя бы длину файла до и после
выкусывания. Кроме того, в случае обнаружения каких-то аномалий
фаг должен выдавать соответствующию информацию и предупреждающие
сообщения, а не резать молча.
Наличие качественной документации также является несомненным
преимуществом, поскольку встречается крайне редко. Конечно, наши
программисты, как никто другой, приспособились обходиться без до-
кументации, однако этой их способностью нельзя злоупотреблять.
возможность управления областью поиска (глобальный, в поддереве,
в одном каталоге, в одном файле);
управление суффиксами обрабатываемых файлов;
качество интерфейса
качество диагностических сообщений;
качество выдаваемых сообщений
качество параметризации
качество документации
самотестирование на заражение;
возможность обработки файлов с атрибутами HIDDEN;
качество выдаваемого протокола;
качество документации;
размер в К;
скорость поиска.
оригинальность оформления (видео и звуковое сопровождение).

10.4.7.1. Критерии оценки качества детекторов
Если попытаться перечислить критерии оценки качества детектора в
порядке убывания их важности то получится следующий список:
проверка оперативной памяти и нейтрализация резидентных частей
вируса;
количество одновременно детектируемых вирусов;
диагностирование многократно зараженных разнотипными вирусами
файлов;
степень параметризации, совместимость по параметрам со SCAN;
удобство ввода новых сигнатур для поиска;
возможность визуального просмотра дампа найденных файлов;
использование эвристических приемов детектирования (диагностиро-
вание подозрительных переходов до 4К от конца файла, специальных
последовательностей команд и др.);
наличие средств сокращение количества ложных срабатываний при
поиске (комбинирование сигнатур, использование регулярных выраже-
ний, определение точки входа и др.);
операции с найденными файлами (удаление копирование, переимено-
вание и т.д.)
диагностирование спецслучаев типа программ, сжатых LZEXE,
EXEPACK, программ c внутренней сегментацией и др.;
Первым критерием оценки качества детектора является наличие про-
верки оперативной памяти на сигнатуры вирусов. Дело в том, что хо-
тя детекторы не должны запускаться на машине, загруженной с вин-
честера (т.е. потенциально зараженной), полагаться на
добросовестность пользователей было бы опрометчиво. Качественный
детектор должен иметь режим выдачи протокола на принтер в виде от-
чета, а также режим просмотра дампа найденного файл на экране
дисплея. Лучшие из детекторов помимо поиска сигнатур используют
ряд эвристических приемов, позволяющих выявить потенциально опас-
ные программы. Одним из таких приемов является интерпретация пер-
вой команды в COM-файлах и определение расстояния от точки, в ко-
торую передается управление, до конца файла. В случае, если это
расстояние меньше, скажем 4K (вообще порог срабатывания следует
задавать как параметр), такую программу необходимо подвергнуть до-
полнительнуму анализу.
Следует иметь в виду, что сигнатуры, используемые в детекторах
часто являются весьма несовершенными, что приводит к многочислен-
ным ложным срабатываниям. При этом качество выдаваемых детекторами
диагностических сообщений часто крайне низко, а их текст настолько
непродуман, что вызывает ложную тревогу и различные недоразуме-
ния. Обычно, чем более прост детектор, тем категоричнее выдаваемые
им сообщения. Так, большинство детекторов, основанных на простом
поиске в файле определенной, характерной для данного вируса строки
(т.е. обладающие теми же возможностями диагностики, что и Norton
Utilities или PC Tools) в случаях, когда она найдена, выдают са-
моуверенное сообщение типа:

Файл XXXX заражен вирусом ZZZZ.

На самом деле текст должен выглядеть гораздо скромнее, например:

На расстоянии YYYY от конца файла XXXX найдена строка,
характерная для вируса ZZZZ.

В этом плане характерен пример весьма популярного в нашей стране
полидетектора SCAN фирмы McAfee Associates, который детектирует
наибольшее число известных вирусов. Этот весьма низкокачественный,
по сути любительский детектор дает много ложных срабатываний, в
частности, для вирусов RC-1701 и Fu Manchu. Тем не менее пользова-
тели упорно считают выдаваемую им диагностику окончательным и не
подлежащим обжалованию приговором. Автору, как редактору бюллете-
ня СОФТПАНОРАМА, приходится отвечать на множество звонков, сигна-
лизирующих о наличии вирусов в той или иной программе, включенной
в очередной выпуск бюллетеня. На вопрос, Как это Вам удалось ус-
тановить?, обычно следует стандартный ответ: С помощью SCAN..
Поэтому при входном контроле программного обеспечения рекомендует-
ся применять несколько детекторов (батарею) и рассматривать вы-
данные сообщения как результаты голосования. В спорных случаях
следует провести визуальный анализ дампа с помощью таких средств
как Norton Commander, PC Shell или Norton Utilities.
Другой ошибкой, характерной для детекторов является пропуск за-
раженных вирусом программ (детектор обычно ориентирован на конк-
ретный набор характерных для вируса строк и не может учитывать
возможность появления новых штаммов). Например, тот же SCAN про-
пускает ряд распространяющихся в нашей стране вирусов. Поэтому вы-
даваемое детекторами в конце работы сообщение типа

Нет зараженных файлов

следует рассматривать под тем же углом, что и предыдущее сообще-
ние. Кроме того, пропуск зараженных программ детектором возможен
из-за непродуманной оптимизации. Например, ряд детекторов для
повышения скорости работы сканируют не весь файл, а только его
последние несколько блоков. В случае, если вирус аномально сел в
середину файла, он будет таким детектором пропущен.
Следует также отметить, что неэффективен запуск программ-детек-
торов для проверки архивированных файлов (т.е. файлов с расширени-
ями .ZIP, .ARC, .ICE, .LZH и т.д.). Для проверки программ, находя-
щихся в архивированном виде, необходимо предварительно их разархи-
вировать, или использовать специальную оболочку, автоматически ра-
зархивирующую каждый файл перед передачей детектору. В противном
случае детектор не в состоянии проверить содержимое архива, пос-
кольку соответствующие сигнатуры искажены в процессе сжатия инфор-
мации.
Для проверки архивов c помощью SCAN удобно запускать его из обо-
лочки SHEZ (версии 5.5 и более поздние), которая позволяет автома-
тически разархивировать проверяемые файлы. Это означает, что сов-
местимость со SCAN по передаваемым параметрам обеспечивает важный
и удобный режим работы. Тем самым, такая совместимость становится
важным критерием оценки качества детектора (как, впрочем, и фага).
Рассмотренные выше ошибки были характерны как для детекторов,
так и для фагов, поскольку фаг обычно включает в себя детектор.
Теперь перейдем к ошибкам, характерным только для фагов.

10.4.7.3. Критерии оценки и сравнительный анализ ревизоров
возможность записи результатов ревизии в отдельный файл, или
распределения по отдельным подкаталогам;
возможность сохранять первые байты программы;
качество алгоритма подсчета контрольной суммы;
наличие режима сокращенного подсчета контрольной суммы;
диагностика аномалий в дате создания файла (например 62 секунд,
13 месяц, год из следующего столетия и т.д.)
возможность выдачи данных ревизии в виде отчета, с указанием
размера и даты создания, первых байтов;
возможность маркировки файлов перед передачей и снятия маркера;

10.4.7.4. Сравнительный анализ вакцин
количество обрабатываемых вирусов
самотестирование на заражение
нейтрализация резидентных вирусов или блокирование запуска на
зараженной машине
диагностирование зараженной программы
степень наводимых помех при работе

10.4.7.5. Критерии оценки сторожей
степень помех при работе
блокирование записи или форматирования по 13 прерыванию
блокирование изменений в ВООТ и MBR
блокирование несанкционарованной постановки программы в резидент
наличие звукового сигнала и управление им

10.4.8. О первом конкурсе антивирусных программ, распространяемых бесплатно

В феврале 1990 года под руководством автора был проведен первый
конкурс антивирусных программ, распространяемых бесплатно. Конкурс
проводился в трех классах: фаги, детекторы и ревизоры, резидентные
фильтры и вакцины.
В классе фагов первое место заняла программа AIDSTEST Д.Н.Ло-
зинского, а второе место - программа DOCTOR А.А.Чижова. В классе
детекторов и ревизоров первое место занял ревизор DLI В.Герасимо-
ва, а второе место - контекстный детектор VL А.Л.Шеховцова. И, на-
конец, в классе резидентных фильтров два первых места поделили
программы SBM В.Еременко и Б.Мостового и программа CHECK21 В.Дво-
еглазова.
Результаты конкурса могут служить в определенной степени реко-
мендацией для указанных программ. Вместе с тем указанные жюри дос-
тоинства и недостатки этих программ относятся только к версиям,
существовавшим на январь 1990 г., и могут быть неверными по отно-
шению к последующим версиям.

10.4.8.1.1. A I D S T E S T
Достоинства. Наличие документации удовлетворительного качества.
Правильный выбор режима работы по умолчанию (вызов вида AIDSTEST
<имя диска> выполняет нейтрализацию резидентных частей вирусов и
детектирование). Аккуратное выкусывание ТР-вирусов (оставляет
всего один-два байтамусора). Аккуратное выкусывание вируса Bx1
-1C (не оставляет на диске сбойный кластер). Самотестирование на
заражение (лечит себя тем же методом, что и остальные программы,
что, впрочем, нельзя считать правильным подходом). Пытается обна-
ружить и нейтрализовать в оперативной памяти резидентные вирусы
(хотя предусмотренную возможность работы после нейтрализации нель-
зя приветствовать - см. ниже. В таких случаях полифаг должен нас-
таивать на перезагрузке с защищенной дискеты). С момента появле-
ния был и остается бесплатно распространяемой программой. Ранние
версии были первым средством по борьбе с C-534 и RCE-1206, исполь-
зовавшимся в Киеве и применялись на второй стадии борьбы с
RСЕ-2885 и RСE-1800.
Недостатки. Отсутствует ключ запроса на лечение (аналог ключа /q
программы DOCTOR). Неудовлетворительное качество протокола (от-
сутствует длина зараженной и вылеченной программы, слишком кате-
горичная форма диагностических сообщений, хотя вместо исцелен
иногда получается испорчен). Зацикливается на ЕС1840. Тестируе-
мая версия не диагностировала вирус TP45, причем не выдавалось со-
общение о подозрительном хвосте файла. Оошибка в ключах (вместо
/G /C). Некорректно работает на файлах, зараженных несколькими ви-
русами(зацикливается). Алгоритм поиска вирусов в оперативной памя-
ти нуждается в доработке (не распознает RELEASE как специальный
случай; при наличии RELEASE в памяти, не детектируется наличие ря-
да резидентных вирусов, например RCE1800). Не проводит дополни-
тельного анализа структуры обрабатываемой программы с целью обна-
ружения аномалий, затрудняющих или делающих невозможным
стандартный подход к лечению, в частности неверно обрабатывает
случай типа зараженный RСE-1813 FOXBASE. До сентября 1989 г. был
практически неизвестен в Киеве.

10.4.8.1.2. D O C T O R

Достоинства. Корректно обрабатывает тонкие и сложные случаи
заражения, выдавая при этом информативную диагностику, в частнос-
ти, выдает предупреждение при лечении FOXBASE, зараженного
RCE-1813. Корректно обрабатывает многократно зараженные файлы, за
исключением случая, когда одним из вирусов является вирус RСE1206.
Имеется ключ, позволяющий принимать решение о лечении в зависимос-
ти от имени зараженного файла (при этом было бы полезно выдавать
дополнительную информацию, относящуюся к данному файлу, в частнос-
ти, его длину). Устойчивая работа на самых разных типах ЭВМ, вклю-
чая EC1840. Самотестирование на заражение (хотя данная версия ле-
чит себя тем же методом, что и остальные программы, что нельзя
считать правильным подходом). Пытается обнаружить и нейтрализовать
в памяти вирусы (хотя как и в случае AIDSTEST, предусмотренную
возможность работы после нейтрализации нельзя приветствовать - см.
ниже; в таких случаях полифаг должен настаивать на перезагрузке
с защищенной дискеты). Ранние версии использовались в Киеве для
борьбы с эпидемией вируса RСЕ-1813 наряду с фагом FAG1813 Л.И.Обу-
хова.
Недостатки. Отсутствует документация. Неверно выбран режим рабо-
ты по умолчанию (запуск вида DOCTOR <имя диска> вызывает попытку
нейтрализации имеющихся резидентных вирусов и лечение вместо де-
тектирования зараженных программ). В тестированной версии неверно
выдается диагностическое сообщение о типе найденного вируса при
правильных действиях по его выкусыванию. Некорректно обрабатыва-
ет вирус RСЕ-1206 в случае многократного заражения. Не удаляет с
диска псевдосбойный кластер после чистки вируса Bx1-1C. С сентября
по ноябрь очередные версии не были доступны.

10.4.8.2. Оценки и рекомендации жюри по детекторам и ревизорам

10.4.8.2.1. D L I

Достоинства DLI. Простота установки и использования. Возможность
ускоренного просмотра с проверкой только даты и длины файлов. Об-
работка деревьев произвольной структуры. Специальный формат и имя
файлов с контрольной информации. Полезность в качестве инструмента
общего назначения, облегчающего анализ изменений в каталогах, а не
только для борьбы с вирусами. Своевременность появления - первая
версия была создана еще до начала эпидемии вирусом и могла исполь-
зоваться с самого начала борьбы с вирусами.
Недостатки DLI. Нет режима сокращенной обработки контрольных
сумм COM- и EXE-файлов (аналогично тому, как это реализовано в
программе SPEEDCHK Л.Шнайдера). Нет режима группировки всей конт-
рольной информации в главном каталоге или специальном подкаталоге.
Невозможность использования на защищенных от записи дисках. Нельзя
остановить по Ctrl-Break. Нет возможности задать периодическую
проверку. Нет возможности изменить имена файлов с результатами ре-
визии, а также распечатать содержащуюся в них информацию. Нельзя
исключить некоторые ветви из проверки и задать проверяемые типы
файлов.

Достоинства VL. Простота, возможность настройки, оптимизация
поиска, оконный интерфейс.
Недостатки VL. нестандартный интерфейс (например, неудобен пере-
ход к окну более высокого уровня - принято использовать клавишу
). Невозможна комбинация нескольких масок для одного вируса.
Слишком жесткое ограничение длины строк для поиска (15 символов -
это мало, необходимо около 72 символов). Невозможен визуальный
просмотр файла с найденной маской. Неудачный набор поставляемых
масок (они слишком коротки для автоматического поиска и некоторые
из них дают много ложных срабатываний). Реклама Rтехнологии в кон-
тексте столь простой программы представляется несколько неумест-
ной.

10.4.8.3. Оценки и рекомендации жюри по сторожам и вакцинам

10.4.8.3.1. S B M и C H E C K 2 1
Достоинства SBM и CHECK21. Элегантная и оригинальная идея, лежа-
щая в основе программы. Эффективное блокирование всех известных
файловых вирусов. Отсутствие помех пользователю при работе.
Недостатки SBM. Не выдает никаких сообщений, что не позволяет
обнаружить наличие зараженных програм проходившая испытания версия
SBM неправильно обрабатывает случай снятия программы по CtrlBreak.
Имеет совершенно неудовлетворительную документацию. Отсутствует
файл со списком исключений (он необходим, чтобы не выдавать лиш-
ние сообщения для нормальных программ, перехватывающих прерыва-
ние 21h, например LEXICON или Turbo C).
Недостатки CHECK21. Хотя СHECK21 выдает достаточно информативные
сообщения, он не имеет режима их отключения. Не поддерживается
файл исключений.

Следует отметить, что с момента окончания конкурса авторы уже
выпустили ряд новых версий, в которых безусловно улучшили надеж-
ность, спектр распознаваемых вирусов и функциональные возможности
своих программ (последние версии, в частности, проводят самотести-
рование и проверяют наличие в памяти резидентных вирусов после
своего запуска).
Среди полифагов, разработанных после окончания конкурса, следует
отметить AV И.В.Сысоева и Kxx Е.Н.Сусликова. В отличие от AIDSTEST
и DOCTOR, они написаны на ассемблере. Особый интерес представляет
полифаг Kxx, который является первой реализацией незаражаемого по-
лифага и использует ряд оригинальных алгоритмов. При сравнимых
функциональных возможностях обе эти программы очень компактны и
имеют достаточно удачный набор режимов работы.
Применяя антивирусные программы на разных ЭВМ в реальных услови-
ях, пользователи часто сталкиваются с ошибками и неточностями ра-
боты, воспроизвести которые в ходе тестирования не всегда удается
(например, интерференция между резидентными фильтрами и другими
резидентными программами), ошибками при выполнении тех или иных
действий (например, для фага - уничтожение программ при выкусыва-
нии), побочными эффектами и другими особенностями той или иной
антивирусной программы. Эта информация имеет огромную ценность как
для авторов, которые заинтересованы в совершенствовании своих
программ, так и для объективной оценки программы. Значительная
часть ее не может быть получена в ходе тестирования и анализа этой
же программы в экспериментальной обстановке. Ваши мнения, предло-
жения или дополнительную информацию по программам, упомянутым в
данной работе, а также всем программам, публикуемым в бюллетене
СОФТПАНОРАМА, высылайте автору. Наиболее интересные из них будут
помещены в раздел FORUM бюллетеня.

10.5. Отдельные приемы защиты

Привычка - вторая натура
Латинская пословица

В данный раздел включены некоторые приемы, которые хотя и носят
вспомогательный характер, в то же время достаточно важны для того,
чтобы предпринять специальные меры по их выделению из массы приво-
димого материала.

10.5.1. Регулярно оптимизируйте винчестер

Как уже указывалось, периодически следует оптимизировать распо-
ложение файлов на винчестере с помощью утилиты SpeeDisk Нортона
или другой аналогичной утилиты. Эту операцию целесообразно прово-
дить не реже раза в месяц, сразу после выгрузки содержимого вин-
честра на дискеты (создания главного архива). в процессе оптимиза-
ции файлы можно расположить на диске таким образом, чтобы наиболее
часто используемые находились ближе к началу диска. Для этой цели
можно скорректировать поле даты таким образом, чтобы у наиболее
часто используемых файлов дата создания была меньше, чем у исполь-
зуемых редко, а затем задать режим упорядочения файлов по дате.
Помимо этого SpeeDisk позволяет также задать порядок расположения
каталогов и имена нескольких наиболее часто используемых файлов.
Ежедневно перед окончание работы следует проводить уборку вин-
честера у дефрагментацию созданных файлов. После дефрагментации
все файлы занимают последовательные группы кластеров, что сущест-
венно облегчает их восстановление даже в случае тяжелых поврежде-
ний управляющих блоков.