Троянские кони
Троянские кони
Trojan.NetPatch
Этот троянец был выпущен в Интернет как "превосходный патч к Netscape". На самом деле, эта программа всего лишь меняет системное время - делает это вызовом DOS Shell COMMAND.COM /C DATE=18/04/2097, очищает экран командой COMMAND.COM /C CLS и создает в текущем каталоге два файла. Первый из них имеет нулевой размер, второй содержит текст NETSCAPE IS PATCHED.
Замечание: команда DATE не работает в 4DOS, поскольку имеет другой формат.
Time, Antitime
Замечание: если при запуске антивирус ANTI-KOT найдет на компьютере вирус Time, ни в коем случае не следует лечить файлы - ANTI-KOT определяет этот вирус крайне некорректно!
Общепринятое имя этого вируса - Jerusalem. При заражении файлов он записывает в их конец строку MsDos и в дальнейшем определяет ней, что файл уже заражен. Антивирус ANTI-KOT детектирует вирус как раз по этой строке, что крайне некорректно - ведь такая строка может оказаться в конце файла по какой-нибудь другой причине.
Более того, другой антивирус (TNTVIRUS) иммунизирует файлы против заражения именно строкой MsDos. В результате, после прохода по диску антивируса TNTVIRUS, антивирус ANTI-KOT начинает находить в каждом файле вирус Time. Появилась и другая программа (ANTITIME), которая реагирует на строку MsDos сообщением НАЙДЕН СТРАШНЫЙ TIME - УНИЧТОЖАТЬ ? [Y/N]
Для того чтобы избавиться от проблемы вируса Time, рекомендуется удалить программы ANTI-KOT, TNTVIRUS и ANTITIME с диска.
Choleepa
Если на диске в начале второго сектора (по адресу 0/0/2 - head/track/sector) появилась (или была там с момента покупки диска) строка CHOLEEPA, то это, скорее всего, означает, что диск произведен фирмой Seagate, его размер больше 500 мегабайт и используется EZ-драйвер.
Nikita
Троянец в документах MS Word. Содержит два макроса: AutoOpen и Fun. Троянский документ также содержит текст Hello Guys! Oh, please stay here and look! и изображение рожицы. При открытии зараженного документа Nikita копирует макрос Fun в область глобальных макросов под именем AutoOpen, затем увеличивает размер документа (рожицы) на весь экран и двигает изображение. При запуске Word c зараженным NORMAL.DOT вирус заполняет диск файлами со случайными именами, записывая в них текст Nikita (1997) Nightmare Joker [SLAM].
On4ever
Длина - 111 байт. При запуске создает файл 00000001.COM, записывает в него свой код, помещает в буфер клавиатуры строку 00000001.COM и выходит в DOS.
Когда буфере клавиатуры находится имя вновь созданного файла, DOS реагирует на это, как на команду запуска и выполняет ее. Файл 00000001.COM тем же самым способом создает и запускает файл 00000002.COM, затем 00000002.COM в свою очередь создает 00000003.COM и т.д.
PKZ300b
Представляет собой самораспаковывающийся архив (Zip2Exe) с именем PKZ300B.EXE и длиной 178,981 байт. Внутри архива - 5 файлов:
PKZINST.EXE 5,328 сам троянец
WHATSNEW.300 2,417 WhatsNew из PkZip 2.04c, все строки 2.04c заменены на 3.0
COMPRESS.000 124,005 ARJ 2.41, плюс экстра-данные
COMPRESS.001 116,260 ARJ 2.41 сам по себе
FILE_ID.DIZ 101 DOC-файл, говорит про этот архив, что он - Pkzip 3.00b.
Троянцем является единственный файл - PKZINST.EXE. Написан он на Турбо-Паскале. При запуске выводит текст
PKZIP Install Utility Version 3.00b 4-05-950
Copr. 1989-1995 Pkware Inc. All Rights Reserved.
Pkzip Reg. U.S. Pat. and Tm. Off.
Initializing, this may take a few minutes....
и выполняет две команды:
COMMAND.COM /C Format c: NULL
COMMAND.COM /C deltree /y c: \ NULL
К счастью, автору троянца не хватило ума сделать его без ошибок, и он затыкается на первой же команде - DOS ждет ответа на стандартный запрос
WARNING: ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST!
Proceed with Format (Y/N)?
Причем самого этого запроса на экране не видно. Не дай бог, конечно же, нажать клавишу [Y] или [N]. Если [Y], то пойдет форматирование диска C:, если [N], то сработает DELTREE. Однако естественное желание при виде "заснувшей" программы - нажать Reset или [Ctrl]+[Break]. В обоих случаях троянец отрубается безо всякой потери данных, а если выход произошел по [Ctrl]+[Break], то он еще вякает напоследок Thanks for waiting, moron. You shouldn't have fucked with us и вываливается в DOS. Так что благодаря этой ошибке юзер может спать спокойно и не бояться новых версий PKZip.
Плюс к ней в троянце есть еще одна ошибка. Перенаправление NULL создает на диске файл NULL, а автор троянца видимо, хотел отключить посторонний вывод на экран перенаправлением NUL. Судя по всему сие (юное) дарование читает DOS User's Guide и еще не дошло до буквы N в алфавитном списке команд DOS.
AVP ловит этого троянца под именем Trojan.PKZ300b как в распакованном файле, так и в архиве.
Stdout
Эти программы представляют собой реализацию доведенной до абсурда идеи написания самого короткого DOS-вируса. При этом они являются скорее троянскими программами, чем вирусами, поскольку при запуске всего лишь выводят свой код на STDOUT (по умолчанию - дисплей). Достигается это очень небольшим количеством команд:
MOV AX,BP или
XCHG AX,BP..... при запуске COM-файлов.....BP=091Ch
MOV DX,SI..... и SI=0100h для большинства .....версий DOS
INT 21h..... результат: AH=09h, DX=0100h
RET..... выход в DOS
В результате эти программы могут размножаться только в том случае, когда в командной строке указано перенаправление вывода Infected.COM SomeFile.COM. При запуске без параметров они выводят случайные данные на дисплей и не способны к размножению.
подпись
компьютерная газета
Trojan.NetPatch
Этот троянец был выпущен в Интернет как "превосходный патч к Netscape". На самом деле, эта программа всего лишь меняет системное время - делает это вызовом DOS Shell COMMAND.COM /C DATE=18/04/2097, очищает экран командой COMMAND.COM /C CLS и создает в текущем каталоге два файла. Первый из них имеет нулевой размер, второй содержит текст NETSCAPE IS PATCHED.
Замечание: команда DATE не работает в 4DOS, поскольку имеет другой формат.
Time, Antitime
Замечание: если при запуске антивирус ANTI-KOT найдет на компьютере вирус Time, ни в коем случае не следует лечить файлы - ANTI-KOT определяет этот вирус крайне некорректно!
Общепринятое имя этого вируса - Jerusalem. При заражении файлов он записывает в их конец строку MsDos и в дальнейшем определяет ней, что файл уже заражен. Антивирус ANTI-KOT детектирует вирус как раз по этой строке, что крайне некорректно - ведь такая строка может оказаться в конце файла по какой-нибудь другой причине.
Более того, другой антивирус (TNTVIRUS) иммунизирует файлы против заражения именно строкой MsDos. В результате, после прохода по диску антивируса TNTVIRUS, антивирус ANTI-KOT начинает находить в каждом файле вирус Time. Появилась и другая программа (ANTITIME), которая реагирует на строку MsDos сообщением НАЙДЕН СТРАШНЫЙ TIME - УНИЧТОЖАТЬ ? [Y/N]
Для того чтобы избавиться от проблемы вируса Time, рекомендуется удалить программы ANTI-KOT, TNTVIRUS и ANTITIME с диска.
Choleepa
Если на диске в начале второго сектора (по адресу 0/0/2 - head/track/sector) появилась (или была там с момента покупки диска) строка CHOLEEPA, то это, скорее всего, означает, что диск произведен фирмой Seagate, его размер больше 500 мегабайт и используется EZ-драйвер.
Nikita
Троянец в документах MS Word. Содержит два макроса: AutoOpen и Fun. Троянский документ также содержит текст Hello Guys! Oh, please stay here and look! и изображение рожицы. При открытии зараженного документа Nikita копирует макрос Fun в область глобальных макросов под именем AutoOpen, затем увеличивает размер документа (рожицы) на весь экран и двигает изображение. При запуске Word c зараженным NORMAL.DOT вирус заполняет диск файлами со случайными именами, записывая в них текст Nikita (1997) Nightmare Joker [SLAM].
On4ever
Длина - 111 байт. При запуске создает файл 00000001.COM, записывает в него свой код, помещает в буфер клавиатуры строку 00000001.COM и выходит в DOS.
Когда буфере клавиатуры находится имя вновь созданного файла, DOS реагирует на это, как на команду запуска и выполняет ее. Файл 00000001.COM тем же самым способом создает и запускает файл 00000002.COM, затем 00000002.COM в свою очередь создает 00000003.COM и т.д.
PKZ300b
Представляет собой самораспаковывающийся архив (Zip2Exe) с именем PKZ300B.EXE и длиной 178,981 байт. Внутри архива - 5 файлов:
PKZINST.EXE 5,328 сам троянец
WHATSNEW.300 2,417 WhatsNew из PkZip 2.04c, все строки 2.04c заменены на 3.0
COMPRESS.000 124,005 ARJ 2.41, плюс экстра-данные
COMPRESS.001 116,260 ARJ 2.41 сам по себе
FILE_ID.DIZ 101 DOC-файл, говорит про этот архив, что он - Pkzip 3.00b.
Троянцем является единственный файл - PKZINST.EXE. Написан он на Турбо-Паскале. При запуске выводит текст
PKZIP Install Utility Version 3.00b 4-05-950
Copr. 1989-1995 Pkware Inc. All Rights Reserved.
Pkzip Reg. U.S. Pat. and Tm. Off.
Initializing, this may take a few minutes....
и выполняет две команды:
COMMAND.COM /C Format c: NULL
COMMAND.COM /C deltree /y c: \ NULL
К счастью, автору троянца не хватило ума сделать его без ошибок, и он затыкается на первой же команде - DOS ждет ответа на стандартный запрос
WARNING: ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST!
Proceed with Format (Y/N)?
Причем самого этого запроса на экране не видно. Не дай бог, конечно же, нажать клавишу [Y] или [N]. Если [Y], то пойдет форматирование диска C:, если [N], то сработает DELTREE. Однако естественное желание при виде "заснувшей" программы - нажать Reset или [Ctrl]+[Break]. В обоих случаях троянец отрубается безо всякой потери данных, а если выход произошел по [Ctrl]+[Break], то он еще вякает напоследок Thanks for waiting, moron. You shouldn't have fucked with us и вываливается в DOS. Так что благодаря этой ошибке юзер может спать спокойно и не бояться новых версий PKZip.
Плюс к ней в троянце есть еще одна ошибка. Перенаправление NULL создает на диске файл NULL, а автор троянца видимо, хотел отключить посторонний вывод на экран перенаправлением NUL. Судя по всему сие (юное) дарование читает DOS User's Guide и еще не дошло до буквы N в алфавитном списке команд DOS.
AVP ловит этого троянца под именем Trojan.PKZ300b как в распакованном файле, так и в архиве.
Stdout
Эти программы представляют собой реализацию доведенной до абсурда идеи написания самого короткого DOS-вируса. При этом они являются скорее троянскими программами, чем вирусами, поскольку при запуске всего лишь выводят свой код на STDOUT (по умолчанию - дисплей). Достигается это очень небольшим количеством команд:
MOV AX,BP или
XCHG AX,BP..... при запуске COM-файлов.....BP=091Ch
MOV DX,SI..... и SI=0100h для большинства .....версий DOS
INT 21h..... результат: AH=09h, DX=0100h
RET..... выход в DOS
В результате эти программы могут размножаться только в том случае, когда в командной строке указано перенаправление вывода Infected.COM SomeFile.COM. При запуске без параметров они выводят случайные данные на дисплей и не способны к размножению.
подпись
компьютерная газета
Компьютерная газета. Статья была опубликована в номере 01 за 1998 год в рубрике безопасность :: вирусология
