Энциклопедия компьютерных вирусов
RDA.Fighter, семейство
Очень опасные резидентные полиморфик
-вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец COM- и EXE-файлов при их запуске, открытии или переименовании. При заражении файлов дополнительно шифруют часть тела заражаемых файлов. "RDA.Fighter.7408" - файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного диска перехватывает INT 8, ждет загрузки DOS и перехватывает INT 21h. Весьма "полиморфичен": при заражении файлов генерирует и записывает в них последовательность вложенных циклов расшифровки. Все циклы состоят из полиморфик-кода, а всего циклов может быть до 16. При запуске зараженного файла первый цикл расшифровывает все остальные циклы и тело вируса и передает управление второму циклу, второй цикл расшифровывает оставшиеся циклы и т.д. Таким образом, тело вируса в файлах может быть зашифровано до 16 раз. Вирусы используют алгоритм восстановления ошибок, что позволяет им исправлять изменения в своем теле. Под отладчиком стирают сектора дисков. Содержат строки:
"RDA.Fighter.5871": RandomDecodingAlgoritm 1.0 "Stealth Fighter PART I" devoted MSU!
"RDA.Fighter.5969": RandomDecodingAlgoritm 1.1 "Stealth Fighter PART I (1.1) for ALL."
"RDA.Fighter.7408": "RandomDecodingAlgoritm 2.0" "PhantomPolymorphicMultiLayerEngine 1.2" "Stealth Fighter 2.0 : New Aggression."
"RDA.Fighter.7408" выводит последнюю строку на экран. После инсталляции в оперативную память вирусы восстанавливают (в оперативной памяти) код программы-хозяина. При этом они используют данные ("данные лечения"), которые были сохранены в теле вируса при заражении файла - первые 1Ah байт файла, адрес и длину зашифрованного участка файла и т.д. Самой интересной особенностью этих вирусов является тот факт, что "данные лечения" остаются зашифрованными после того, как отработал основной расшифровщик, однако в теле вируса отсутствует в явном виде код расшифровщика этих данных. При заражении файлов вирус дополнительно к основному полиморфик-шифровщику шифрует "данные лечения" случайно выбранным методом: в коде шифровщика "данных лечения" присутствует до 16 команд, которые случайным образом выбираются из 16 вариантов (XOR, SUB, ADD, ROL, ROR, NEG и т.д.). Всего возможно 65535 (FFFFh) вариантов шифровщика. При заражении файла вирус шифрует "данные лечения" таким способом, но не сохраняет код соответствующего расшифровщика. Для расшифровки "данных лечения" вирус случайным образом набирает расшифровщик (из тех же 16 команд), пытается расшифровать "данные лечения", подсчитывает и сравнивает CRC-сумму. Если расшифровка неудачна (не совпала CRC-сумма), вирус генерирует следующий вариант расшифровщика, и так до тех пор, пока "данные лечения" не окажутся расшифрованными.
