Сегодня мы публикуем информацию, предоставленную нам Евгением Касперским. Важность ее оперативного распространения столь высока, что она будет одновременно опубликована в газете "СофтМаркет". Кроме того, мы разослали ее в сети RELCOM. Надеемся, что к моменту выхода этого номера в свет уже будет готов антивирус.

Атака очередного компьютерного вируса произошла в начале лета 1991 года. Одно из первых сообщений о заражении этим вирусом пришло из Львова. Оттуда он мигрировал в Киев, затем появился в Москве и Ленинграде (Санкт-Петербурге). Советские пользователи в основной своей массе уже не удивляются появлению вируса в их компьютере, однако тут им крупно "повезло" - они подверглись нападению вируса совершенно нового типа.

Отличительные черты вируса
1. Резидентен, поражает СОМ- и ЕХЕ-файлы. Длина вируса - 1024 байта.

2. При инициализации вирус проникает в ядро DOS, изменяет адрес системного драйвера дисков и затем перехватывает все обращения DOS к этому драйверу. В вирусе реализован мощный стелс-механизм на уровне системного драйвера, в результате чего вирус в зараженных файлах не виден при чтении файла как через int 21h, так и через int 25h. При этом вирус обращается напрямую к ресурсам DOS и "пробивает" практически любые антивирусные блокировщики.

3. Поражает логические диски, к которым происходит обращение DOS. Записывает свое тело в последний кластер информационного диска. Этот кластер помечается как сбойный.

4. При заражении файлов их длины и содержимое кластеров, содержащих эти файлы, не изменяются. Вирус корректирует лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, на все зараженные файлы на одном логическом диске будет одна копия вируса!

5. Стремительно распространяется - поражает файлы при обращении DOS к секторам, содержащим каталоги. Например, при попытке запуска несуществующего файла DOS будет искать его во всех каталогах, отмеченных в РАТН. При этом вирус перехватывает обращения DOS к каталогам и заражает файлы во всех каталогах, указанных в РАТН. При первом старте вирус поражает все файлы текущего каталога диска С:.

Очень высокая скорость распространения, "невидимость" в файлах и, откровенно говоря, неготовность резидентных антивирусных программ к появлению вируса такого класса делают этот вирус ОЧЕНЬ ОПАСНЫМ!

ОБНАРУЖЕНИЕ И ЛЕЧЕНИЕ

Обнаружение в памяти
Вирус содержит характерные участки кода, по которым можно произвести его поиск в оперативной памяти (участки кода приведены ниже). Поиск нужно производить в самом первом блоке памяти.

Квалифицированный пользователь может пользоваться другим способом: пройти в список Drive Parameter Block (адрес первого DPB возвращается в таблице List of List при вызове int 24h, f 52) и искать драйверы, начинающиеся с адреса ХХХХ:04Е9. По адресу ХХХХ:0100 будет располагаться начало вируса. Следует учитывать, что при нахождении списка заголовков драйверов вирус не будет обнаружен, так как он меняет лишь адрес дайвера в соответствующей DPB и не меняет коды и данные системных драйверов.

Обнаружение и лечение на диске
Для обнаружения вируса на диске лучше загрузиться с заведомо чистой от вирусов заклеенной дискеты, содержащей DOS и утилиты типа norton Disk Doctor и Norton Disk Editor. При тестировании диска NDD сообщит о том, что большее число файлов имеют общие участки (CROSS-LINKED), а последний кластер диска - сбойный. Этот сбойный кластер должен содержать тело вируса.

Лечение довольно просто производится при резидентном вирусе (то есть когда вирус инфицировал оперативную память). При этом достаточно переименовать все СОМ- и ЕХЕ-файлы в файлы с другим расширением имени (например, в ССС- и ЕЕЕ-файлы) или заархивировать их. Затем следует загрузиться с заведомо чистой от вирусов заклеенной дискеты и переименовать файлы обратно (или разархивировать их).

Если память компьютера не заражена вирусом, то лечение файлов является довольно непростой процедурой. Поэтому такие файлы лучше уничтожить.

Характерные участки вируса

0100   BC 00 06          MOV SP,600H
0103   FF 06 EB          INC [04EB]
0107   31 C9          XOR CX,CX
0109   8E D9          MOV DS,CX
010B   C5 06 C1 00          LDS AX,DWORD PTR
DS:[00C1]
............
_____________________
; STRATEGY              -> CS:024B
_____________________

024B   50          PUSH AX
024C   51          PUSH CX
024D   52          PUSH DX
024E   1E          PUSH DS
024F   56          PUSH SI
0240   57          PUSH DI
0251   06          PUSH ES
0252   1F          POP DS
0253   8A 47 02         MOV AL,[BX + 2]
____________________
; INTERRUPT              -> CS:02A2
____________________
02A2   CB          RETF
____________________
; VIRUS DEVICE HEADER   ->   CS:04E9
____________________
04E9   40          INC AX
04EA   C3          RETN

04EB   xxxx          DW xxH
04ED   0842   Dev_Attr      DW 842H
04EF   024B   Dev_Strategy      DW OFFSET STRATEGY
04F1   02A2   Dev_Intrrupt      DW OFFSET INTERRUPT

Е. Касперский

Статья была опубликована в журнале "Компьютер Пресс" # 9 1991