Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

файловые;
загрузочные;
макровирусы;
скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: DOS

No platform description

Описание

Technical Details

Семейство вирусов "VACSINA" (не "VACCINA"!) и "Yankee" насчитывает более 40 файловых резидентных неопасных вирусов. Каждый из них содержит в своем теле метку, состоящую из трех байт: F4h, 7Ah, NNh. Третий байт NNh рассматривается как номер вируса в семействе (номер версии вируса) и в дальнейшем будет фигурировать в именах вирусов ("Vacsina.NN" и "Yankee.NN"). При активизации вирусы данного семейства записывают в память по адресам 0000:00C5, 0000:00C6, 0000:00C7 байты 7Fh, 39h, NNh. Характерной особенностью вирусов данного семейства является то, что они восстанавливают файлы, зараженные предыдущими версиями вирусов семейства, и затем инфицируют их снова. Вирусы "Vacsina.NN" содержат в своем теле слово "VACSINA".

Заражают COM- и EXE-файлы при их выполнении (вирусы версий до 26h) или загрузке в память (вирусы версий 26h и выше). Стандартно заражают COM-файлы. Вирусы версий до 9-й включительно проверяют у заражаемого COM-файла первый байт. Если он не равен E9h (JMP), то файл не заражается. Вирусы старших версий заражают COM-файлы вне зависимости от их первого байта. Кроме того, вирусы "Vacsina" увеличивают длину заражаемого файла до параграфа. Начиная с версии 2Ah к файлу после заражения дописываются дополнительные 4 байта.

Вирусы младших версий (до 23h) инфицируют EXE-файлы специальным образом: файлы переводятся в формат COM-файлов. Для этого к файлу дописывается небольшой фрагмент вируса (132 байта), настраивающий адреса по таблице адресов при загрузке файла в память для выполнения, и изменяются первые три байта файла (JMP на фрагмент). Дописанные к файлу 132 байта не распространяют вируса. Их действие заключается только в настройке адресов программы при ее запуске. Обработанный таким образом файл будет выполняться операционной системой и заражаться многими вирусами как COM-файл. При запуске EXE-программы, содержащейся в подобном файле, управление передается на фрагмент настройки адресов, который анализирует таблицу адресов в заголовке файла и соответствующим образом корректирует загруженную программу. Затем управление передается на стартовый адрес, указанный в заголовке файла. Вирусы перехватывают вектор прерывания 21h, а некоторые представители семейства "Yankee" - INT 1, 3, 9, 1Ch.

Вирусы вызывают звуковые эффекты: при заражении файла вирусом "VACSINA" раздается звуковой сигнал (BELL), вирусы "Yankee" в зависимости от некоторых условий (при одновременном нажатии клавиш Alt-Ctrl-Del либо в 17.00) исполняют мелодию "Yankee Doodle Dandy". При некоторых условиях вирус "Vacsina.06" расшифровывает и выдает на экран строку "Az sum vasta lelja."

Вирусы семейства содержат несколько "изюминок". Так, начиная с версии 18h, вирусы определяют первоначальное значение вектора 21h-го прерывания (адрес обработчика прерывания в DOS) и при внедрении в файлы вызывают прерывание по этому значению. Таким образом вирусы обходят резидентные антивирусные мониторы. При определении адреса обработчика прерывания используется следующий алгоритм:

установка прерывания 01h (точка входа при отладке; это прерывание вызывается в режиме отладки после выполнения процессором каждой команды) на подпрограмму определения истинного значения вектора прерывания;
включение режима отладки;
вызов "безопасной" с точки зрения резидентных антивирусов функции INT 21h.

При выполнении "безопасной" функции 21h-го прерывания последовательно выполняются команды всех программ, которые изменяли вектор прерывания 21h, а затем команды операционной системы, обрабатывающие данное прерывание. При этом после каждой выполненной команды управление получает подпрограмма вируса, определяющая первоначальное значение вектора прерывания. Она анализирует адрес последней выполненной команды и, если этот адрес указывает на область памяти, принадлежащую операционной системе, выключает режим отладки, а адрес данной команды рассматривает как первоначальное значение вектора прерывания 21h.

00000  | ...            |
|----------------|
|Операционная    |
+------------------>|система         |
|                   |----------------|
|                   |COMMAND.COM     |
|           INT 21h |----------------|
+-------------------|Пользовательская|------- Программы,
+------------------>|программа       |   |    изменявшие
|                   |----------------|   |    вектор прерывания
|                   | ...            |   |    21h
|           INT 21h |----------------|   |
+-------------------|Пользовательская|---+
+------------------>|программа       |
|                   |----------------|
|                   | ...            |
|                   |----------------|
|                   |Вирус           |
|           INT 21h |   -------------|
+-------------------|Команда вызова  |
|прерывания 21h  |
^  |             |   -------------|
|  +------------>|Подпрограмма    |
|                |определения     |
+----------------|вектора         |
|----------------|
FFFFF  | ...            |

Начиная с версии 21h вирусы перехватывают действия, совершаемые отладчиком, и если под отладчиком находится тело вируса, блокируют процесс отладки. При этом при попытке просмотреть зараженный файл под отладчиком файл "самоизлечивается". Начиная с версии 21h вирусы семейства кодируют себя линейным блоковым кодом и хранят в своем теле проверочные байты. Периодически вирусы проверяют себя на наличие исправлений и по возможности восстанавливают их. Начиная с версии 2Сh дезактивируют резидентную часть вируса "PingPong", а начиная с 2Eh принимают некоторые меры противодействия вирусам семейства "Cascade".

Модификации "VACSINA" и "Yankee"

Семейство вирусов "VACSINA" и "Yankee" в достаточной мере "популярно": помимо нескольких десятков "оригинальных" вирусов, начинают появляться их мутации, иногда довольно точно скопированные с оригинала. Так в г. Иркутске обнаружен вирус ("Yankee.1905"), который претендует на то, чтобы называться вирусом "Yankee.53". Однако, несмотря на свой номер (53h), использует всего одну "изюминку" - трассировку INT 21h. Вирусы "Yankee.1049,1150,1202" - файловые резидентные безобидные вирусы. Поражают COM- и EXE-файлы при их запуске на выполнение (int 21h, "Yankee.1049" - ax=4B00h, "Yankee.1202" и "Yankee.1049" - ah=4Bh). Изменяют первые 32 байта файла и дописываются в его конец. Во многом совпадают с вирусами "Yankee". Перехватывают INT 21h. "Yankee.3045" содержит тексты: "LOGIN.EXE SUPERVISOR. HESLO.". "Yankee.Flip.2167": в зависимости от текущей даты перехватывает INT 8, 9, 10h и "переворачивает" экран.

Yankee.2189

Семейство "Yankee". Зашифрован, периодически 'крутит' символы '/', '', '-', '|'.

Yankee.Estonia.1716

Семейство "Yankee". Резидентный опасный вирус. По понедельникам в 14 часов расшифровывает и выводит в центр экрана текст: "Independent Estonia presents", затем играет "Собачий вальс" и перезагружает компьютер.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!