ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА

Мы не раз публиковали свои материалы на страницах КИ в рубрике Здоровье Вашего компьютера. Не так давно (в 13 за этот год) мы рассказывали о том, что все версии и дополнения к программе Dr. WEB сопровождаются электронной подписью Игоря Данилова - PGP-файлом. Мы неоднократно разъясняли необходимость перед первым запуском полученной программы удостовериться, что программа действительно вышла из-под пера ее разработчика Игоря Данилова. Сегодня мы предлагаем Вашему вниманию несколько заметок, подтверждающих жизненную актуальность наших рекомендаций. Для скептиков хотим заметить, что это не рекламные выдумки сотрудников нашей фирмы. Это, к сожалению, реальные факты.

ООО СалД, тел.: 298-8624, 294-6408, E-mail:sald@market.spb.s

Лавры вирусописателя Дениса Петрова, автора прошлогоднего троянца к программе Dr. WEB, видимо, не дают кому-то покоя. На одной из BBS обнаружено троянское дополнение к программе Dr. WEB - WEB70801.322.

Напомню, что файлы-дополнения к версии 3.22a не выпускались. И они не выйдут из-за имеющейся ошибки в версии 3.22a. Ошибка заключается в неправильном подключении существующих дополнений - обрабатываются не все вирусные записи. Но троянское дополнение подключается к версии 3.22a и может сработать при тестировании загрузочных секторов дисков или файлов.

Троянец получает управление, записывает в 11 первых секторов жесткого диска троянский код и образ видеопамяти и после этого перезагружает систему. При загрузке системы с троянизированного MBR на экране компьютера появляется интерфейс программы Dr. Web и текст:

Dr.WEB internal error, system halted.
Copyright (c) by Igor Daniloff 1992-97

Кроме того, троянец уничтожает содержимое CMOS-памяти и информацию в случайных секторах диска.

Это троянское дополнение не имеет электронного ключа-файла WEB70801.PGP. Его длина 5263 байта. И внешне оно выглядит следующим образом:

This virus base add-on detects and cures 50 viruses:

Pots.2217,Explorer.2037,3063,Dementia.235,Popai.235,
SGWW.Light,Popai.785,Shit.345,Fax.1402,SillyOR.50,
Moloch,Someting,Mus.3145,SillyRE.518,SillyC.177,
HLLP.Sauron,HLLP.Vova.2390,9904,10000,PHL.0304,PHL.XYZ,
WM.Grinvald,Mew.2035,Nanjing.1284,2976,Wadimka.481,
Gallery.348,HLLP.Weed,Jdc.1237,1240,Maiden.1323,
Feint(9),SillyC.488,510,WordMacro.Zyxel,WordMacro.Mustdie,
SillyRC.353,Tie.931,NordWare.3716,Merilin.3564,Egipt.718

New Virus Base Add-On for AntiVirus Dr. Web version 3.05+

Copyright (c) by Igor Daniloff 1992-97

Creation Time: 04/07/97 08:18:27

На сегодняшний день известны четверо пострадавших от троянца. Остерегайтесь использования файлов-дополнений неизвестного происхождения!

Игорь Данилов

Лето 1997 года оказалось весьма урожайным на улучшение программы Dr. WEB. Желающих внести свой вклад в развитие программы - хоть отбавляй. На нескольких BBS обнаружена версия Dr. WEB 4.00.

Ничего новенького эта версия пользователям программы не даст, поскольку, на самом деле, это версия 3.20, в которой отключена самопроверка, изменена длина EXE-модуля, модифицированы тексты. И эта версия не сопровождается PGP-ключом. Если версия Dr. WEB 4.00 попадется Вам в руки, обратите внимание, что подпись автора - Игорь Донилов.

Ирина Генералова

Вот появился и первый шифрованный и полиморфный вирус для Windows95, причем с достаточно интересными элементами резидентной установки собственного кода. И опять в этом вопросе первенство принадлежит австралийской группе VLAD. Они первыми сделали вирус для Win95, а вот теперь и первый полиморфик. Работает он достаточно устойчиво, кроме инфицированных DOS EXE-файлов. Здесь они ошибку не заметили.

Win95.Memorial
Неопасный резидентный полиморфный вирус, заражающий DOS COM и EXE-файлы, а также *.EXE и *.SCR-файлы в формате PortableExe (PE). Является первым известным полиморфным вирусом для операционной системы Windows95. В DOS файлах и в VxD - драйвере вирус не зашифрован. При запуске инфицированного DOS-файла, вирус проверяет наличие среды Windows и собственной резидентной копии в памяти компьютера.

Если Windows загружена или вирусная копия уже присутствует в системе, то вирус не предпринимает никаких действий и отдает управление программе-носителю.

Если же данные условия не выполняются, то вирус создает файл C:\CLINT.VXD (инфицированные EXE-файлы содержат ошибку в создании VxD-драйвера), записывает в него собственный распакованный вирусный код (в зараженных файлах код виртуального драйвера хранится в упакованном виде) и оставляет в области второй половины таблицы векторов прерываний резидентный код, который контролирует INT 2Fh. Данная резидентная копия не заражает файлы, а предназначена для возвращения ответа я здесь и для загрузки виртуального вирусного драйвера C:\CLINT.VXD при старте Windows.

При инициализации Windows вирусный резидентный код получает управление и достаточно хитроумным способом, используя интерфейс Windows, подсказывает среде Windows, что необходимо загрузить резидентно в память драйвер C:\CLINT.VXD. Таким образом, вирус без манипуляций с файлом SYSTEM.INI загружает свой виртуальный драйвер. Данный драйвер контролирует файловые операции при обращении к DOS COM и EXE-файлам, а также к *.EXE и *.SCR-файлам в формате PE , заражая их. При заражении PE-файлов вирус создает дополнительную сегментную секцию с названием CLINTON (обычно данное название зашифровано) и записывает свой зашифрованный полиморфный код в конец файла. При старте инфицированного PE-файла под Windows95, вирус определяет адреса необходимых ему процедур в модулях KERNEL32 и USER32 и, при отсутствии вирусного резидентного кода в системе, создает вирусный виртуальный драйвер в корневом каталоге и загружает его в систему также очень интересным способом с помощью интерфейса Windows95. Так, установка резидентной копии очень похожа по алгоритму, но различается по реализации для различных операционных сред, хотя и в том, и в другом случае необходимо наличие Windows95. 10 апреля вирус выводит окно сообщений с текстом, приведенное на рисунке.

Игорь Данилов