вируса наступает ежегодно после 12 октября (день открытия Америки,
День Колумба). Перед поиском файла-жертвы, вирус проверяет текущую
дату. Если дата больше 12 октября и компьютер имеет винчестер, то
вирус дешифрует и выдает на экран сообщение:
DATACRIME VIRUS
RELEASED: 1 MARCH 1989
При этом вирус форматирует первые восемь дорожек нулевого
цилиндра диска С, уничтожая MBR, бутсектор, FAT и главный каталог.
После этого вирус зацикливается, выдавая в этом бесконечном цикле
символ BELL (звуковой сигнал). Это еще раз подчеркивает
необходимость резервирования первых треков при каждой загрузке в
специальный файл, расположенный в фиксированном месте диска или
использования для этой цели программы MIRROR из пакета PC SHELL.
По данным H.J.Highland [158], который до 1990 г. был главным
редактором журнала Computers & Security, автор вируса предпринял
некоторые меры маскировки. Вирусы, входящие в данную группу, не
заражают файлы, седьмой символ имени которых равен «D», и в
частности, файл COMMAND.COM. Как уже указывалось, содержащееся в
теле вируса текстовое сообщение шифруется с помощью команды XOR.
Дешифровка выполняется непосредственно перед выдачей сообщения на
экран, т.е. перед срабатыванием троянской компоненты. При поиске
зараженных файлов вирус просматривает корневой каталог и все
подкаталоги винчестера. Если файлов-жертв там не обнаружено, то
выполняется просмотр диска A, а затем диска B.

6.5.5.1. Вирус E-1168 (Datacrime B — Дейтакрайм B, 11168,
Columbus Day — День Колумба)
Данный вирус является нерезидентным файловым вирусом, заражающим
COM-файлы. При заражении дописывает себя в конец файла, увеличивая
длину на 1168 байтов и заменяя первые пять байтов зараженной
программы на команду перехода к началу вируса. Вирус размножается
с 1 апреля по 12 октября любого года. До 1 апреля вирус находится
в латеном состоянии и при запуске зараженных файлов сразу передает
управление вирусоносителю. Стратегия размножения основана на
просмотре каталогов и заражении всех найденных COM-файлов, кроме
тех, которые имеют в качестве седьмой буквы имени букву D. Сначала
просматриваются разделы винчестера, а затем дисководы с дискетами.
Из-за ошибок в коде заражаются не все файлы, создавая впечатление
случайного вибора. Возможно зависание системы в процессе
заражения.
При выполнении зараженного файла после 12 октября любого года
вирус выдает приведенное выше сообщение (зашифровано в теле
вируса) и выполняет низкоуровневое форматирование жесткого диска.
Для PC/AT, а также систем c контроллерами типа RLL или SCSI
алгоритм запуска низкоуровневого форматирования неработоспособен.
Исторические замечания. Данный вирус обнаружен в мае 1989 г. в
Европе. Это связано с тем, что фаза распространения и фаза
проявления этого вируса отделены периодом в десять месяцев. По
некоторым данным, вирус разработан в Голландии. Судя по выдаваемой
надписи, время разработки относится в началу 1989 г. а начало
распространения — к марту 1989 г. Случаи заражения отмечались в
США уже летом того же года. В настоящее время практически
полностью уничтожен. В СССР явно не отмечался, однако, учитывая
его европейское происхождение, рекомендуется проверять
программного обеспечения на зараженность вирусами данной группы в
сентябре текущего года.
Методы и программные средства защиты. Диагностируется
полидетектором SCAN.

6.5.5.2. Вирус E-1280 (Datacrime B — Дейтакрайм B, 1280, Columbus
Day — День Колумба)
Штамм, заражающий только файлы типа EXE и способный
форматировать винчестер с контроллерами типа RLL или MFM.

6.5.5.3. Вирус СE-1514
(Datacrime II — Дейтакрайм, 1514, Columbus Day — День Колумба)
Штамм, заражающий как COM-, так и EXE-файлы. Тело вируса
зашифровано. В отличие от предыдущего не пытается форматировать
винчестер.

6.5.5.4. Вирус СE-1917 (Datacrime IIB — Дейтакрайм IIB , 1917,
Columbus Day — День Колумба)
Штамм, обнаруженный в ноябре 1989 года. Пытается форматировать
диск в любой день после 12 октября, кроме понедельника. Метод
шифровки тела изменен.

6.6. Мифические файловые вирусы

«Мы рождены, чтоб сказку сделать былью…»
Из популярной песни 30-х годов

6.6.1. Вирус Cookie, Cookie Monster — Печенье

Данная легенда основана на демонстрационном вирусе,
действительно существовавшем на компьютерах с микропроцессором
8080 или Apple II. Или, возможно, вирус полностью уничтожен и
относится к «ископаемым» вирусам. Название данного вируса связано
с персонажем популярной в США детской телевизионной программы
SESAME STREET. Проявление этого вируса связано с выдачей на экран
сообщения
I WANT COOKIE
(я хочу печенья)
Только ввод с клавиатуры слова COOKIE позволяет продолжить
работу с программой. Вводом тайного пароля «OREO» можно «усыпить»
вирус на несколько недель. В некоторых вариантах легенды вирус
стирает файлы при неправильном ответе или слишком длительной
задержке с ответом.
Исторические замечания. В файле П.Хоффман не описан.
Методы и программные средства защиты. Как ни странно, но для
данного вируса имеется фаг (может быть, это шутка) — вирус
диагностируется и выкусывается полифагом Antivir (версия 3.0
1988), разработанным D.Hoppenrath.

6.6.2. Вирус, заражающий обьектные библиотеки

Автором легенды является А.А.Чижов. В статье [Чижов88] он
неосторожно высказал собственную идею о вирусе, внедряющемся в
библиотеку обьектных модулей компилятора. Соответствующий текст
представляет исторический интерес:
«3. Вирус в обьектной библиотеке. Вирус, прикрепленный к
обьектной библиотеке какого-либо компилятора, — наиболее
изощренный вид вируса. Такой вирус автоматически внедряется в
любую программу, составленную программистом, работающим с
зараженной библиотекой.
Внедряется вирус в библиотеку следующим способом. В обьектную
библиотеку добавляется модуль, содержащий в себе вирус,
оформленный в виде подпрограммы. Затем в модуль, который должен
получать управление от Дос в сформированной программе, всавляется
вызов подпрограммы, содержащей вирус. При этом корректируется

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128