Вирус "Driver-1042".
Отличительные черты вируса.
1. Резидентен, поражает СОМ- и ЕХЕ-файлы. Длина вируса - 1024 байта.
2. При инициализации вирус проникает в ядро DOS, изменяет адрес системного драйвера дисков и затем перехватывает все обращения DOS к этому драйверу. В вирусе реализован мощный стелс-механизм на уровне системного драйвера, в результате чего вирус в зараженных файлах не виден при чтении файла как через int 21h, так и через int 25h. При этом вирус обращается напрямую к ресурсам DOS и "пробивает" практически любые антивирусные блокировщики.
3. Поражает логические диски, к которым происходит обращение DOS. Записывает свое тело в последний кластер информационного диска. Этот кластер помечается как сбойный.
4. При заражении файлов их длины и содержимое кластеров, содержащих эти файлы, не изменяются. Вирус корректирует лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, на все зараженные файлы на одном логическом диске будет одна копия вируса!
5. Стремительно распространяется - поражает файлы при обращении DOS к секторам, содержащим каталоги. Например, при попытке запуска несуществующего файла DOS будет искать его во всех каталогах, отмеченных в РАТН. При этом вирус перехватывает обращения DOS к каталогам и заражает файлы во всех каталогах, указанных в РАТН. При первом старте вирус поражает все файлы текущего каталога диска С:.
Очень высокая скорость распространения, "невидимость" в файлах и, откровенно говоря, неготовность резидентных антивирусных программ к появлению вируса такого класса делают этот вирус ОЧЕНЬ ОПАСНЫМ!
ОБНАРУЖЕНИЕ И ЛЕЧЕНИЕ.
Обнаружение в памяти.
Вирус содержит характерные участки кода, по которым можно произвести его поиск в оперативной памяти (участки кода приведены ниже). Поиск нужно производить в самом первом блоке памяти.
Квалифицированный пользователь может пользоваться другим способом: пройти в список Drive Parameter Block (адрес первого DPB возвращается в таблице List of List при вызове int 24h, f 52) и искать драйверы, начинающиеся с адреса ХХХХ:04Е9. По адресу ХХХХ:0100 будет располагаться начало вируса. Следует учитывать, что при нахождении списка заголовков драйверов вирус не будет обнаружен, так как он меняет лишь адрес дайвера в соответствующей DPB и не меняет коды и данные системных драйверов.
Обнаружение и лечение на диске.
Для обнаружения вируса на диске лучше загрузиться с заведомо чистой от вирусов заклеенной дискеты, содержащей DOS и утилиты типа norton Disk Doctor и Norton Disk Editor. При тестировании диска NDD сообщит о том, что большее число файлов имеют общие участки (CROSS-LINKED), а последний кластер диска - сбойный. Этот сбойный кластер должен содержать тело вируса.
Лечение довольно просто производится при резидентном вирусе (то есть когда вирус инфицировал оперативную память). При этом достаточно переименовать все СОМ- и ЕХЕ-файлы в файлы с другим расширением имени (например, в ССС- и ЕЕЕ-файлы) или заархивировать их. Затем следует загрузиться с заведомо чистой от вирусов заклеенной дискеты и переименовать файлы обратно (или разархивировать их).
Если память компьютера не заражена вирусом, то лечение файлов является довольно непростой процедурой. Поэтому такие файлы лучше уничтожить.
Характерные участки вируса
0100 BC 00 06 MOV SP,600H
0103 FF 06 EB INC [04EB]
0107 31 C9 XOR CX,CX
0109 8E D9 MOV DS,CX
010B C5 06 C1 00 LDS AX,DWORD PTR
DS:[00C1]
............
_____________________
; STRATEGY -> CS:024B
_____________________
024B 50 PUSH AX
024C 51 PUSH CX
024D 52 PUSH DX
024E 1E PUSH DS
024F 56 PUSH SI
0240 57 PUSH DI
0251 06 PUSH ES
0252 1F POP DS
0253 8A 47 02 MOV AL,[BX + 2]
____________________
; INTERRUPT -> CS:02A2
____________________
02A2 CB RETF
____________________
; VIRUS DEVICE HEADER -> CS:04E9
____________________
04E9 40 INC AX
04EA C3 RETN
04EB xxxx DW xxH
04ED 0842 Dev_Attr DW 842H
04EF 024B Dev_Strategy DW OFFSET STRATEGY
04F1 02A2 Dev_Intrrupt DW OFFSET INTERRUPT
>>
|
