CHAIKA

Главная | Регистрация | Вход
Четверг, 21.11.2024, 23:06
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Все статьи [165]
Сервисы [26]
Антивирусы [4]
Антивирусы - Удаление антивирусов [4]
Антивирусы - NOD 32 [5]
Антивирусы - KAV & KIS [4]
Браузеры [3]
Загрузка - Менеджеры загрузки [0]
Загрузка - Правила закачки [0]
Загрузка - Сервисы для хранения файлов и изображений [0]
Запись [0]
Эмуляция [0]
Защита [63]
Игры - Крэк [0]
Локальная сеть [15]
Мультимедиа [0]
Мультимедиа - Аудио [0]
Мультимедиа - Видео [0]
Мультимедиа - Графика [0]
Мультимедиа - Флэш [0]
Настройки - Инструкции [54]
Операционная система [4]
Провайдеры Твери [8]
Система - Активация [8]
Система - Восстановление [5]
Система - Контроль [0]
Система - Обслуживание [0]
Система - Оптимизация [0]
Система - Справка [1]
Flash-накопители [1]
WEB-master [14]
WINDOWS 7 [18]
Новые статьи [2]
Статистика

3.14.134.18
Онлайн всего: 2
Гостей: 2
Пользователей: 0
Форма входа





Дай пять!получить кнопку


Главная » Статьи » Все статьи

Группа первоапрельских вирусов
Группа первоапрельских вирусов

Данная группа, по-видимому, является историческим предшественником иерусалимской группы и, возможно, принадлежит тому же автору. В нее входят вирусы RC-897 и RE-1488. В СССР отмечены лишь единичные случаи заражения.
6.3.4.1. Вирус RC-897 (SURIV 1 -- Сурив 1, April First -- Первое апреля)

Резидентный файловый вирус, заражающий COM-файлы при запуске на выполнение. При заражении очередного файла выдает на экран сообщение

YOU HAVE A VIRUS.

а первого апреля выдает сообщение

HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS
(1 апреля ха-ха-ха. У Вас вирус)

и вызывает зависание системы.

Исторические сведения. Вирус разработан в Израиле в 1987 г. и относится к ранним представителям иерусалимской группы. В СССР обнаружен в сентябре 1990 г. Е.В.Касперским.

Методы и средства защиты. Данный вирус диагностируется полидетектором Scan. Рекомендуемые полифаги приведены в прил.1.
6.3.4.2. Вирус RE-1488 (SURIV 2 -- Сурив 2, April First -- Первое апреля, Jerusalem D -- Иерусалим Д)

Штамм, заражающий EXE-файлы. Проявляется 1 апреля и после определенного времени работы на компьютере, выдавая сообщение

HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS.
(1 апреля ха-ха-ха. У Вас вирус)

При этом зависание системы приводит к потере информации при редактировании или других аналогичных работах.

Исторические сведения. Вирус разработан в Израиле в 1987 г. и относится к ранним представителям иерусалимской группы. В СССР обнаружен в сентябре 1990 г. Е.В.Касперским.

Методы и средства защиты. Данный вирус диагностируется полидетектором Scan. Рекомендуемые полифаги приведены в прил.1.
6.3.5. Группа Datacrime (Дейтакрайм)

Данная группа появилась в США в 1989 г. В настоящее время состоит из четырех штаммов длиной 1168 (Datacrime), 1280 (Datacrime-B), 1480 (Datacrime-II) и 1514 (Datacrime-IIb) байтов. Стадия проявления для данного вируса наступает ежегодно после 12 октября (день открытия Америки, День Колумба). Перед поиском файла-жертвы вирус проверяет текущую дату. Если дата больше 12 октября и компьютер имеет винчестер, то первые два штамма дешифруют и выдают на экран сообщение:

DATACRIME VIRUS
RELEASED: 1 MARCH 1989

а последние два (Datacrime-II и Datacrime-IIb):

DATACRIME II VIRUS

Фазы проявления идентичны для всех упомянутых выше версий и состоят в низкоуровневом форматировании нулевого трека (головки 1-9). При этом вирус уничтожает MBR, бут-сектор, FAT и главный каталог. В результате при перезагрузке машины винчестер не опознается и для восстановления требуются резервные копии соответствующих системных блоков. После уничтожения нулевого трека вирус зацикливается, выдавая в этом бесконечном цикле символ BELL (звуковой сигнал). Это еще раз подчеркивает необходимость резервирования первых треков при каждой загрузке в специальный файл, расположенный в фиксированном месте диска, с помощью специальных программ (Image из пакета Norton Utilities или Mirror из пакета PC Shell).

По данным H.J.Highland [Highland89j], который до 1990 г. был главным редактором журнала Computers & Security, автор вирусов предпринял некоторые меры маскировки. Вирусы, входящие в данную группу, не заражают файлы, седьмой символ имени которых равен "D", и в частности, файл COMMAND.COM. Как уже указывалось, содержащееся в теле вируса текстовое сообщение шифруется с помощью команды XOR. Дешифровка выполняется непосредственно перед выдачей сообщения на экран, т.е. перед срабатыванием троянской компоненты. При поиске зараженных файлов вирус просматривает корневой каталог и все подкаталоги винчестера. Если подходящие для заражения файлы там не обнаружены, то выполняется просмотр диска A, а затем диска B.
6.3.5.1. Вирус E-1168 (1168, Datacrime -- Дейтакрайм, Columbus Day -- День Колумба)

Данный вирус является нерезидентным файловым вирусом, заражающим EXE-файлы. При заражении дописывает себя в конец файла, увеличивая длину на 1168 байтов и заменяя первые пять байтов зараженной программы на команду перехода к началу вируса. Вирус размножается с 1 апреля по 12 октября любого года. До 1 апреля вирус находится в латентном состоянии и при запуске зараженных файлов сразу передает управление вирусоносителю. Стратегия размножения основана на просмотре каталогов и заражении всех найденных COM-файлов, кроме тех, которые имеют в качестве седьмой буквы имени букву D. Сначала просматриваются разделы винчестера, а затем дисководы с дискетами. Из-за ошибок в коде заражаются не все файлы, создавая впечатление случайного выбора. Возможно зависание системы в процессе заражения.

При выполнении зараженного файла после 12 октября любого года вирус выдает приведенное выше сообщение (зашифровано в теле вируса) и выполняет низкоуровневое форматирование нулевого трека винчестера. Для PC AT, а также систем c контроллерами типа RLL или SCSI алгоритм запуска низкоуровневого форматирования неработоспособен.

Исторические сведения. Данный вирус обнаружен в мае 1989 г. в Нидерландах. По всей видимости, вирус разработан там же. Судя по выдаваемой надписи, время разработки относится в началу 1989 г., а начало распространения -- к марту 1989 г. Случаи заражения отмечались в США уже летом того же года. Это первый вирус, в котором фаза распространения и фаза проявления отделены периодом в десять месяцев. В настоящее время практически полностью уничтожен. В СССР явно не отмечался, однако, учитывая его европейское происхождение, рекомендуется проверять программное обеспечение на зараженность вирусами данной группы в сентябре текущего года.

Методы и средства защиты. Диагностируется полидетектором Scan.
6.3.5.2. Вирус E-1280 (1280, Datacrime B -- Дейтакрайм B, Columbus Day -- День Колумба)

Штамм, заражающий только файлы типа EXE- и способный форматировать винчестер с контроллерами как типа MFM, так и типа RLL.
6.3.5.3. Вирус CE-1480 (1480, Datacrime II -- Дейтакрайм, Columbus Day -- День Колумба)

Штамм, заражающий как COM-, так и EXE-файлы. Тело вируса зашифровано. Обнаружен в Нидерландах в ноябре 1990 г.
6.3.5.4. Вирус СE-1514 (1514, Datacrime IIB -- Дейтакрайм IIB, Columbus Day -- День Колумба)

Последний, наиболее изощренный штамм, обнаруженный в ноябре 1989 г. Заражает как COM-, так и EXE-файлы, включая COMMAND.COM. Файлы, вторым символом имени которых является буква "B" (IBMBIO.COM, IBMDOS.COM), не заражаются. Тело вируса зашифровано за исключением начала инсталлятора, что ограничивает выбор сигнатуры этим участком (аналогично RC-1701). Впрочем, размер этого участка вполне достаточен для эффективного детектирования (более 50 байтов).

Поскольку вирус не является резидентным, он заражает файлы при выполнении зараженного файла. При заражении тело вируса шифруется и дописывается в конец файла. Файлы заражаются однократно. Признак зараженности основан на проверке поля даты. Стратегия поиска потенциальных жертв основана на поиске еще незараженных EXE-, а затем COM-файлов на диске в текущем каталоге и всех его подкаталогах. Если жертва найдена, то она заражается. Таким образом, вызов зараженной программы приводит к заражению еще одного файла.

Фаза проявления описана выше, однако условие ее наступления несколько изменено. Вирус пытается форматировать нулевой трек винчестера в любой день после 12 октября, кроме понедельника, если компьютер имеет винчестер. Если компьютер не имеет винчестера, то каждое воскресенье после 12 октября при запуске зараженной программы на экран выдается сообщение

* DATACRIME II *

и система зависает.

Категория: Все статьи | Добавил: Chaika (01.10.2009)
Просмотров: 977 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Лучшие сайты Рунета
  • Кулинарные рецепты













  • бесплатный счетчик посещений

    * *



    Copyright MyCorp © 2024 |

    Опция Просмотра Скрытых Файлов Сервера Оффлайн базы Зеркала обновлений NOD32 и Eset Smart Security Trojan.Winlock.19 удалить порноинформер Защитить Флэш-карту вирус автозапуска processinfo Conflicker Kido DDoS Autorun Инструкции по удалению продуктов Symantec Dr.Web KAV KIS Windows 7 активация оптимизация восстановление