Энциклопедия компьютерных вирусов
в их конец. Свой код
Нерезидентный полиморфик
-вирус. При запуске ищет .COM-файлы и записывается в их конец. Свой код переводит в текстовый формат: каждый байт кода вируса конвертируется в пару текстовых байтов (от '6' до 'L'). Полученный текст разбивается вирусом на строки, каждая из которых оканчивается комбинацией "конец строки" (LineFeed). При запуске зараженного файла управление получает процедура, которая конвертирует текстовые строки обратно в выполняемый двоичный код и передает на него управление. Эта процедура также состоит только из текстовых символов. Более того - она полиморфична, ее код выглядит примерно следующим образом:
как ассемблер: как текст: строка-результат:
PUSH 2F5D h]/ h]/X-?"5!#P^hdPX-!tP_18 POP AX X SUB AX,223F -?" XOR AX,2321 5!# PUSH AX P POP SI ^ PUSH 5064 hdP POP AX X SUB AX,7421 -!t PUSH AX P POP DI _ XOR [BX+DI],DI 18 SUB AX,0A0D ... ...
В заголовок и конец своего текстового блока данных вирус записывает стандартные "обкладки" (строки-идентификаторы) криптографической системы PGP:
-----BEGIN PGP MESSAGE----- Version: 2.6.3i
-----END PGP MESSAGE-----
В результате код вируса в зараженном файле выглядит как обычное сообщение, зашифрованное при помощи PGP: в начале и в конце сообщения присутсвуют строки-идентификаторы PGP, а между ними - случайный набор текстовых символов.
Зараженный файл:
+-----------------+ |JMP Virus |-----+ |- - - - - - - - -| | |Код/данные файла | | | | | |-----------------| | |PGP заголовок | | |- - - - - - - - -| | |Код вируса(текст)|<----+ | | |- - - - - - - - -| |PGP конец текста | +-----------------+
Двоичный код вируса содержит текстовые строки. Большая часть из них - текст песни Scorpion "Wind Of Change", остальные выглядят следующим образом:
z0mbie$$.$$$Z0MBiE.PGPMorph Version 1.00 (c) 1997, 1998 Z0MBiE International Now we can infect Dr.WEB addons... homepage: http://www.chat.ru/~z0mbie e-mail: z0mbie@chat.ru Scorpions is BEST! @SONG: WIND OF CHANGE
Вирус также пытается изменять .TPU-файлы (библиотеки Turbo Pascal - вирус дописывает в них свой код) и базы данных DrWeb, однако при экспериментах с вирусом указанные файлы остались без изменений - видимо, вирус корректно работает только с файлами конкретных версий TPU и DrWeb.
Нерезидентный полиморфик-вирус. При запуске ищет .COM-файлы и записывается в их конец. Свой код переводит в текстовый формат: каждый байт кода вируса конвертируется в пару текстовых байтов (от '6' до 'L'). Полученный текст разбивается вирусом на строки, каждая из которых оканчивается комбинацией "конец строки" (LineFeed).
При запуске зараженного файла управление получает процедура, которая конвертирует текстовые строки обратно в выполняемый двоичный код и передает на него управление. Эта процедура также состоит только из текстовых символов. Более того - она полиморфична, ее код выглядит примерно следующим образом:
как ассемблер: как текст: строка-результат:
PUSH 2F5D h]/ h]/X-?"5!#P^hdPX-!tP_18 POP AX X SUB AX,223F -?" XOR AX,2321 5!# PUSH AX P POP SI ^ PUSH 5064 hdP POP AX X SUB AX,7421 -!t PUSH AX P POP DI _ XOR [BX+DI],DI 18 SUB AX,0A0D ... ...
В заголовок и конец своего текстового блока данных вирус записывает стандартные "обкладки" (строки-идентификаторы) криптографической системы PGP:
-----BEGIN PGP MESSAGE----- Version: 2.6.3i
-----END PGP MESSAGE-----
В результате код вируса в зараженном файле выглядит как обычное сообщение, зашифрованное при помощи PGP: в начале и в конце сообщения присутсвуют строки-идентификаторы PGP, а между ними - случайный набор текстовых символов.
Зараженный файл:
+-----------------+ |JMP Virus |-----+ |- - - - - - - - -| | |Код/данные файла | | | | | |-----------------| | |PGP заголовок | | |- - - - - - - - -| | |Код вируса(текст)|<----+ | | |- - - - - - - - -| |PGP конец текста | +-----------------+
Двоичный код вируса содержит текстовые строки. Большая часть из них - текст песни Scorpion "Wind Of Change", остальные выглядят следующим образом:
z0mbie$$.$$$Z0MBiE.PGPMorph Version 1.00 (c) 1997, 1998 Z0MBiE International Now we can infect Dr.WEB addons... homepage: http://www.chat.ru/~z0mbie e-mail: z0mbie@chat.ru Scorpions is BEST! @SONG: WIND OF CHANGE
Вирус также пытается изменять .TPU-файлы (библиотеки Turbo Pascal - вирус дописывает в них свой код) и базы данных DrWeb, однако при экспериментах с вирусом указанные файлы остались без изменений - видимо, вирус корректно работает только с файлами конкретных версий TPU и DrWeb.
