b — (biplacement) — двухсегментное размещение (в голову и хвост)
с перенесением начальных байтов в второй сегмент;
c — (COM-twin) — создание COM-файла с тем же именем, что и
заражаемый EXE-файл;
х — неизвестна;

вторая буква пары — тип приращения:
с — постоянное;
p — (padding) изменяется из-за выравнивания на определенную границу (по умолчанию границу параграфа). Если
выравнивание идет на границу, отличную от кратной 16 указывается соответствующее исловое значение, например
p51 означает выравнивание до величины, кратной 16;
v — меняется случайным образом в определенных пределах;
n — отсутствует;
х — неизвестна;

J — обработка первой команды в СОМ-файлах;
n — не обрабатывает;
j — заражает только те COM-файлы, в которых первой командой является команда JMP;
s — не заражает такие файлы, первой командой которых является команда JMP;

К — кратность заражения файла:
<целое число> — заражает файлы указанное число раз;
m — заражает файлы многократно (для вирусов типа CE первая цифра
указывает кратность заражения COM-файлов, а вторая EXE-файлов);

L — длина тела вируса (байт):
<целое число> — длина равна указанному числу в
байтах;
i — длина равна нормированному или постоянному приращению;

M — действия вируса по маскировке своего присутствия в системе и зараженных файлах:

a — (automodification) — автомодификация инсталлятора с целью
затруднить обнаружение детекторами, основанными на контектном поиске;

с — (cipher) — шифровка части программы, исключая часть инсталлятора;

d — (antiDebugging tricks) — защита от трассировки;

e — (enter point) — сохранение точки входа в EXE-программах;

f — (fag) самоизлечивается при попытке просмотра
зараженной программы при резидентном вирусе;

h — (hook) — не обнаруживается сторожами типа FluShot+,
контролирующими состояние векторов прерывания (обычно 13 и 21);

i — (increment) — имплантация тела в программу без увеличения
размеров файла;

j — (jump) — cохранение первого перехода в COM-файлах;

l — (length) — маскировка увеличения длины зараженных файлов,
путем подмены значения соответствующего поля элемента оглавления при
операциях FindFirst и FindNext (21-11h и 21-12h) с предварительным
вычитанием длины вируса. При этом утилиты, которые не используют
указанные функции DOS, работая с каталогами непосредственно (например
Norton Commander), будут показывать увеличенную длину, а команда DIR -
уменьшенную.

m — (memory map) не обнаруживается системными средствами
просмотра списка резидентных программ;

о — (overlay) сегментация тела вируса на несколько подгружаемых
частей;

р — (polyinfection) заражение как файлов, так и исполняемых
системных блоков (бутсектор, MBR);

r — (redirection) — перехват и модификация дисковых операций с
целью скрыть изменения в исполняемых блоках (бутсектор, MBR);

s — (space) — корректировка резидентным вирусом общего обьема
свободной памяти на диске с целью скрыть его изменение в результате
заражения вирусом программ;

t — (text) шифровка текстовых сообщений;

R — (resident) положение в оперативной памяти, реакция на теплую перезагрузку и размер занимаемой памяти
(только для резидентных вирусов):
a — (available) — в неиспользуемой части оперативной памяти (не создавая MCB и не изменяя
обьема свободной оперативной памяти;
l — (low) в младших адресах, после последней загруженной к этому моменту резидентной программы;
b — (buffer) в буферах MS DOS;
h — (high) в старших адресах без изменения общего обьема оперативной памяти;
u — (upper) в старших адресах памяти с соответствующим уменьшением общего обьема
доступной системе оперативной памяти (по типу бутвируса);
t — (TSR) — вирус создает дополнительный MCB, видный в списке резидентных программ как дополнительная
«паразитная» резидентная программа;
v — в области видеопамяти (в адресах за первыми 640K т.е больших А000:0000);
w — (survive Warm reboot) «выживание» при теплой перезагрузке (возможно, в основном, для вирусов
инсталлирующихся по типу u);
<целое> — обьем оперативной памяти, резервируемый вирусом;

S — стратегия заражения:
c — заражает файлы в текущем каталоге;
d — заражает все файлы на текущем диске;
f — заражает файл в каталоге, где находится файл, запускаемый на выполнение;
e — заражает файлы, запускаемые на выполнение (прерывание 21-4Bh MS DOS);
h — инсталлируется в старших адресах памяти, затирая оверлейную часть COMMAND.COM,
а затем заражает его при загрузке;
i — инсталлируется в старшие адреса таблицы векторов прерываний;
l — имеет средства распространения по локальной сети;
m — (main catalog) — заражает файлы в главном каталоге;
n — (new) — заражает файлы при создании
o — заражает любые открываемые файлы с подходящими расширениями;
p — заражает файлы, путь доступа к которым указан в команде PATH;
r — заражает файлы, для которых выполняется чтение;
s — (shell) — при инсталляции ищет и заражает COMMAND.COM;
t — (tree) — просматривает дерево каталогов и заражает по одному случайно выбираемому файлу
в каждом каталоге;

<целое> — количество файлов, заражаемых «в один прием»;
1x — по одному каждым из упомянутых способов;
1t — по одному в каждом каталоге;
1t — по одному в каждом каталоге;

T — дополнительные расширения заражаемых файлов, помимо указанных в классификационном коде:
a — любое
b — BIN;
o — OVL, OVR;
s — SYS;

Z — побочные проявления действий вируса:
a — (attr) — изменение атрибутов при заражении файла, например a(r) — снятие атрибута READ ONLY;
b — (boot) — при заражении программ, запускаемых в файле

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128