debug-прерывание, используемое, обычно отладчиками
для пошаговой отладки программы, чтобы проанализиро
вать результаты выполнения команды. Вызов отладочно
го прерывания подразумевает, что используется стек
процессора, в котором сохраняется адрес возврата. Это и
используется для того, чтобы определить трассировку:
Мы запрещаем прерывания, затем помещаем в первую
свободную ячейку стека код 0000 или FFFF (оба адреса
не могут быть адресом возврата), затем считываем из
первой свободной ячейки стека значение, разрешаем пре
рывания и сравниваем считанное значение с тем, что мы
туда помещали.
Смысл метода в том, что когда программа выполняется
нормально, после запрета прерываний, никто не сможет
прервать выполнение нашей программы, и поэтому
поместив в первую свободную ячейку стека какое-либо
значение, мы затем сможем его же оттуда и прочитать,
потому что стек использовать некому. Если же програм
ма выполняется пошагово, то несмотря на запрет преры-
ваний, процессор все равно вызовет debug-прерывание
после команды, которой мы помещали в стек число. Это
debug-прерывание поместит в использованную нами ячей-
ку стека адрес возврата, после чего этот адрес мы и про-
читаем следующей командой чтения из стека. Получив
несовпадение записанного и считанного чисел мы смо-
жем убедиться в том, что включен режим пошагового
выполнения команд процессора и мы можем утверждать,
что подверглись заражению вирусом.
Для предотвращения заражения компьютера вирусом OneHalf 3544 рекомендую использовать резидентную вакцину VS_ONE_H, написанную ялтинским программистом Александром Крыжановским. Так же можно использовать AVP монитор Евгения Касперского. Можно использовать для обнаружения заражения ревизор ADINF Дмитрия Мостового, но необходимо помнить, что его лечащий блок не умеет расшифровывать дорожки, а простое восстановление MBR приведет к потере зашифрованных данных!
Для обнаружения и лечения вируса и устранения его последствий рекомендую использовать полифаг DoctorWeb Игоря Данилова (версия не ниже 1.7, версия 1.6 просто удаляет тело вируса из системы, а это недопустимо), AVP 3.0 Pro Евгения Касперского, а так же можно использовать словацкий фаг ONEHALF (специально написан для данного вируса) , полифаги TBAV, F-PROT, Norton Antivirus.
Источники информации.
1. Информатика: Учебник / под ред. Проф. Н.В. Макаровой. - М.:
Финансы и статистика, 1997.
2. П. Абель. Язык ассемблера для IBM PC и программирования.
Москва, 1992.
3. Листинг вируса Onehalf 3544, полученный при помощи диз-
ассемблера Sourcer v. 7.0
4. Вакцина против вируса OneHalf 3544 (VS_ONE_H.COM), напи-
санная Александром Крыжановским, 1995.
5. Антивирусные программы DrWeb 1.6; 1.7; 4.15; 4.16; AVP 3.0
Pro build 1.32, Adinf 12.0, TBAV, F-PROT, NAV.
6. Хижняк П.Л. Пишем вирус и антивирус для IBM – совместимых
компьютеров. Инто. Москва 1991
7. Касперский Е. Компьютерные вирусы в MS-DOS. Эдель. Моск -
ва. 1992 г.
8. Интернет: сайты www.avp.ru ; www.virus.com;
www.virus.perm.ru
8. Электронный журнал «Infected voice» №5/1995.
Содержание.
1. Ведение ………………………………………………………2
2. Классификация вирусов ……………………………………3
3. Анализ алгоритма вируса ………………………………….5
4. Размещение вируса в зараженном файле ………………….5
5. Размещение вируса в зараженном MBR …………………..6
6. Алгоритм инсталляции вируса …………………………….7
7. Алгоритм заражения файлов для размножения…………...9
8. Выводы ………………………………………………………11
9. Источники информации …………………………………….17