Каталог вирусов, определяемых и обезвреживаемых Dr. Web 4.00
Файл описания вирусов, определяемых и обезвреживаемых Dr. Web 4.00


Каталог вирусов, определяемых и обезвреживаемых Dr. Web 4.00

В предлагаемом каталоге для каждого вируса приведена информация об его
свойствах. Символьное представление этих свойств  полностью  повторяет
классификационный код, предложенный Н.Н. Безруковым и Е.В. Касперским.
В качестве основных опознавателей вируса будет указываться его  имя  и
длина.

Длиной файлового вируса считается длина тела вируса (коды +  данные  +
стек вируса, если есть) безо всяких добавок. В большинстве случаев она
равна минимальному  приращению  длин  файлов  при  их  заражении.  Для
загрузочных вирусов в качестве длины  принимается  полная  длина  тела
вируса, т.е. число занимаемых вирусом секторов,  умноженное  на  число
байт в секторе. Файлово-загрузочные вирусы могут  иметь  два  значения
длины - длина вируса при заражении файла и длина вируса при  заражении
сектора.

В таблицах каталога встречаются следующие символы:

+       - наличие свойства;
-       - отсутствие свойства;
*       - имеется дополнительная информация в файле VIRLIST.WEB;
&       - одновременное выполнение свойств.
V       - вызывает видеоэффекты (Video);
M       - вызывает звуковые эффекты (Music);
H       - имеет деструктивную функцию (Harm);
Er      - содержит ошибку, которая может проявляться как
          деструктивная функция (Error);
Ch      - изменяет служебную информацию:  метку диска, возвращает
          неверную версию DOS и т.п. (Change).

Для файловых вирусов (табл. 1):

B       - BAT-файлы
.B      - .BAT-файлы (файлы с расширением ".BAT");
C       - COM-файлы;
.C      - .COM-файлы (файлы с расширением ".COM");
E       - EXE-файлы;
.E      - .EXE-файлы (файлы с расширением ".EXE");
S       - SYS-файлы;
O       - прочие файлы (Other).

Для загрузочных вирусов (табл. 2):

B       - Boot-сектор винчестера;
M       - MBR винчестера;
F       - Boot-сектор флоппи-дисков.

Для файлово-загрузочных вирусов употребляется полный набор символики.

Например,  если  для  файлового  вируса  в   графе,    соответствующей
поражаемым объектам, указано "E C&.C",  то  это  означает,  что  вирус
поражает только файлы, имеющие либо формат  EXE,  либо  формат  COM  и
одновременно  расширение  имени  ".COM"  (т.е.  не  поражаются  файлы,
которые имеют формат COM и расширение имени ".EXE").

При  описании  свойств  файловых  вирусов  (табл.   1)    используются
специальные знаки.

Место внедрения в файл:
 s    - в начало (start);
 e    - в конец (end);
 i    - в середину (insert).

Метод заражения:
 FIND - используя функции FindFirst и FindNext;
 INT  - перехватывая обращения DOS к файлам;
 INFI - используя оба способа.

Способ внедрения в оперативную память (только для резидентных вирусов):
 ADDR - записывается в обычную память  по  фиксированному  адресу
        без коррекции MCB-блоков;
 BUFF - записывается в дисковый буфер;
 DOSD - записывается в область данных DOS (адрес 0060:????);
 INTB - записывается в таблицу векторов;
 KEEP - используя прерывания DOS (INT 21h f.31 или INT 27h);
 MCB  - оперируя с MCB;
 VIDE - записывается в видеопамять.

Длина:
 L    - длина вируса;
 p    - длина заражаемого файла увеличивается до значения, кратного
        параграфу;
 ++   - возможно повторное заражение файлов.


Смотрите таблицу на последней странице.


        Файл описания вирусов, определяемых и обезвреживаемых Dr. Web 4.00

3APA3A (1-3)
        Файлово-загрузочные вирусы. Заражают Boot-сектора  дискет  и  системный
        файл IO.SYS для MS-DOS или аналогичный ему в других DOS. При загрузке с
        инфицированной дискеты вирусы считывают в память 5  секторов  корневого
        каталога  (root  directory)  загрузочного  раздела  жесткого  диска   и
        проверяют атрибут метки тома (Volume) у  первого  элемента  директория.