Группа первоапрельских вирусов Данная группа, по-видимому, является историческим предшественником иерусалимской группы и, возможно, принадлежит тому же автору. В нее входят вирусы RC-897 и RE-1488. В СССР отмечены лишь единичные случаи заражения. 6.3.4.1. Вирус RC-897 (SURIV 1 -- Сурив 1, April First -- Первое апреля) Резидентный файловый вирус, заражающий COM-файлы при запуске на выполнение. При заражении очередного файла выдает на экран сообщение YOU HAVE A VIRUS. а первого апреля выдает сообщение HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS (1 апреля ха-ха-ха. У Вас вирус) и вызывает зависание системы. Исторические сведения. Вирус разработан в Израиле в 1987 г. и относится к ранним представителям иерусалимской группы. В СССР обнаружен в сентябре 1990 г. Е.В.Касперским. Методы и средства защиты. Данный вирус диагностируется полидетектором Scan. Рекомендуемые полифаги приведены в прил.1. 6.3.4.2. Вирус RE-1488 (SURIV 2 -- Сурив 2, April First -- Первое апреля, Jerusalem D -- Иерусалим Д) Штамм, заражающий EXE-файлы. Проявляется 1 апреля и после определенного времени работы на компьютере, выдавая сообщение HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS. (1 апреля ха-ха-ха. У Вас вирус) При этом зависание системы приводит к потере информации при редактировании или других аналогичных работах. Исторические сведения. Вирус разработан в Израиле в 1987 г. и относится к ранним представителям иерусалимской группы. В СССР обнаружен в сентябре 1990 г. Е.В.Касперским. Методы и средства защиты. Данный вирус диагностируется полидетектором Scan. Рекомендуемые полифаги приведены в прил.1. 6.3.5. Группа Datacrime (Дейтакрайм) Данная группа появилась в США в 1989 г. В настоящее время состоит из четырех штаммов длиной 1168 (Datacrime), 1280 (Datacrime-B), 1480 (Datacrime-II) и 1514 (Datacrime-IIb) байтов. Стадия проявления для данного вируса наступает ежегодно после 12 октября (день открытия Америки, День Колумба). Перед поиском файла-жертвы вирус проверяет текущую дату. Если дата больше 12 октября и компьютер имеет винчестер, то первые два штамма дешифруют и выдают на экран сообщение: DATACRIME VIRUS RELEASED: 1 MARCH 1989 а последние два (Datacrime-II и Datacrime-IIb): DATACRIME II VIRUS Фазы проявления идентичны для всех упомянутых выше версий и состоят в низкоуровневом форматировании нулевого трека (головки 1-9). При этом вирус уничтожает MBR, бут-сектор, FAT и главный каталог. В результате при перезагрузке машины винчестер не опознается и для восстановления требуются резервные копии соответствующих системных блоков. После уничтожения нулевого трека вирус зацикливается, выдавая в этом бесконечном цикле символ BELL (звуковой сигнал). Это еще раз подчеркивает необходимость резервирования первых треков при каждой загрузке в специальный файл, расположенный в фиксированном месте диска, с помощью специальных программ (Image из пакета Norton Utilities или Mirror из пакета PC Shell). По данным H.J.Highland [Highland89j], который до 1990 г. был главным редактором журнала Computers & Security, автор вирусов предпринял некоторые меры маскировки. Вирусы, входящие в данную группу, не заражают файлы, седьмой символ имени которых равен "D", и в частности, файл COMMAND.COM. Как уже указывалось, содержащееся в теле вируса текстовое сообщение шифруется с помощью команды XOR. Дешифровка выполняется непосредственно перед выдачей сообщения на экран, т.е. перед срабатыванием троянской компоненты. При поиске зараженных файлов вирус просматривает корневой каталог и все подкаталоги винчестера. Если подходящие для заражения файлы там не обнаружены, то выполняется просмотр диска A, а затем диска B. 6.3.5.1. Вирус E-1168 (1168, Datacrime -- Дейтакрайм, Columbus Day -- День Колумба) Данный вирус является нерезидентным файловым вирусом, заражающим EXE-файлы. При заражении дописывает себя в конец файла, увеличивая длину на 1168 байтов и заменяя первые пять байтов зараженной программы на команду перехода к началу вируса. Вирус размножается с 1 апреля по 12 октября любого года. До 1 апреля вирус находится в латентном состоянии и при запуске зараженных файлов сразу передает управление вирусоносителю. Стратегия размножения основана на просмотре каталогов и заражении всех найденных COM-файлов, кроме тех, которые имеют в качестве седьмой буквы имени букву D. Сначала просматриваются разделы винчестера, а затем дисководы с дискетами. Из-за ошибок в коде заражаются не все файлы, создавая впечатление случайного выбора. Возможно зависание системы в процессе заражения. При выполнении зараженного файла после 12 октября любого года вирус выдает приведенное выше сообщение (зашифровано в теле вируса) и выполняет низкоуровневое форматирование нулевого трека винчестера. Для PC AT, а также систем c контроллерами типа RLL или SCSI алгоритм запуска низкоуровневого форматирования неработоспособен. Исторические сведения. Данный вирус обнаружен в мае 1989 г. в Нидерландах. По всей видимости, вирус разработан там же. Судя по выдаваемой надписи, время разработки относится в началу 1989 г., а начало распространения -- к марту 1989 г. Случаи заражения отмечались в США уже летом того же года. Это первый вирус, в котором фаза распространения и фаза проявления отделены периодом в десять месяцев. В настоящее время практически полностью уничтожен. В СССР явно не отмечался, однако, учитывая его европейское происхождение, рекомендуется проверять программное обеспечение на зараженность вирусами данной группы в сентябре текущего года. Методы и средства защиты. Диагностируется полидетектором Scan. 6.3.5.2. Вирус E-1280 (1280, Datacrime B -- Дейтакрайм B, Columbus Day -- День Колумба) Штамм, заражающий только файлы типа EXE- и способный форматировать винчестер с контроллерами как типа MFM, так и типа RLL. 6.3.5.3. Вирус CE-1480 (1480, Datacrime II -- Дейтакрайм, Columbus Day -- День Колумба) Штамм, заражающий как COM-, так и EXE-файлы. Тело вируса зашифровано. Обнаружен в Нидерландах в ноябре 1990 г. 6.3.5.4. Вирус СE-1514 (1514, Datacrime IIB -- Дейтакрайм IIB, Columbus Day -- День Колумба) Последний, наиболее изощренный штамм, обнаруженный в ноябре 1989 г. Заражает как COM-, так и EXE-файлы, включая COMMAND.COM. Файлы, вторым символом имени которых является буква "B" (IBMBIO.COM, IBMDOS.COM), не заражаются. Тело вируса зашифровано за исключением начала инсталлятора, что ограничивает выбор сигнатуры этим участком (аналогично RC-1701). Впрочем, размер этого участка вполне достаточен для эффективного детектирования (более 50 байтов). Поскольку вирус не является резидентным, он заражает файлы при выполнении зараженного файла. При заражении тело вируса шифруется и дописывается в конец файла. Файлы заражаются однократно. Признак зараженности основан на проверке поля даты. Стратегия поиска потенциальных жертв основана на поиске еще незараженных EXE-, а затем COM-файлов на диске в текущем каталоге и всех его подкаталогах. Если жертва найдена, то она заражается. Таким образом, вызов зараженной программы приводит к заражению еще одного файла. Фаза проявления описана выше, однако условие ее наступления несколько изменено. Вирус пытается форматировать нулевой трек винчестера в любой день после 12 октября, кроме понедельника, если компьютер имеет винчестер. Если компьютер не имеет винчестера, то каждое воскресенье после 12 октября при запуске зараженной программы на экран выдается сообщение * DATACRIME II * и система зависает.
|