WikiDer > Онтарио (компьютерный вирус)
 | Эта статья не цитировать любой источники. (Ноябрь 2018) (Узнайте, как и когда удалить этот шаблон сообщения) |
| Распространенное имя | Онтарио.512 |
|---|---|
| Техническое название | Онтарио.512 |
| Псевдонимы | SBC |
| Семья | Онтарио |
| Классификация | Вирус |
| Тип | ДОС |
| Подтип | Инфектор файлов DOS |
| Изоляция | Июль 1990 г. |
| Точка изоляции | Гамильтон (?), Онтарио, Канада |
| Начало координат | Онтарио, Канада |
| Авторы) | Ангел смерти |
Онтарио это семья Компьютерный вирус, названная в честь своей изолированной точки, канадская провинция Онтарио. Это семейство компьютерных вирусов состоит из Ontario.1024, Ontario.512 и Онтарио, 2048 г.. Первый вариант Ontario.512 был обнаружен в июле 1990 года. Поскольку Ontario.1024 также был обнаружен в Онтарио, вполне вероятно, что оба вируса происходят из провинции. В варианте Ontario.2048 автор принял «Онтарио» в качестве имени семьи и даже включил имя «Онтарио-3» в код вируса.
Онтарио.512
Инфекционное заболевание
Ontario.512 - это шифрование ДОС файловый инфектор. При казни зараженного.COM, .EXE или же .OVL файл, Онтарио, 512 идет резидент памяти и заражает файлы этого времени при открытии. COMMAND.COM заражается с помощью специального режима. Зараженные файлы увеличиваются либо на 512 байт (файлы COM), либо между 512 и 1023 байтами (файлы EXE и OVL). В некоторых системах с более крупными файловыми секторами для зараженных файлов этих типов может отображаться увеличение более чем на 1023 байта.
Симптомы
Ontario.512 в основном заражает только файлы, поэтому нет ни одного значимого симптома. Два основных симптома:
- Увеличение размера зараженных COM-файлов на 512 байт.
- Увеличение размера зараженных файлов EXE и OVL от 512 до 1023 байт, а в некоторых системах даже больше.
- Системы, полностью зараженные Ontario.512, со временем могут страдать от растущего повреждения файлов и других проблем с жестким диском.
- Неуказанные проблемы с принтером наблюдались в семье Онтарио, хотя большинство из этих наблюдений относились к Онтарио.1024, а не к Онтарио.512. Неизвестно, какие это конкретные проблемы и влияют ли они на Онтарио.
Увеличение размера файла COM в сочетании с увеличением файла EXE и OVL является очень хорошим ориентиром при определении заражения Ontario.512, хотя изменение длины файла является обычным явлением практически для всех файловых инфекторов.
Распространенность
WildList [1], организация, отслеживающая компьютерные вирусы, никогда не сообщала, что Ontario.512 действовала в полевых условиях. Тем не менее, Ontario.1024 был включен в список на какое-то время. Неясно, было ли обнаружено Ontario.512 в полевых условиях или за пределами BBS снаружи Торонто, где был опубликован Ontario.2048.
Онтарио.1024
| Распространенное имя | Онтарио.1024 |
|---|---|
| Техническое название | Онтарио.1024 |
| Псевдонимы | 1024 SBC |
| Семья | Онтарио |
| Классификация | Вирус |
| Тип | ДОС |
| Подтип | Инфектор файлов DOS |
| Изоляция | Октябрь 1991 г. |
| Точка изоляции | Онтарио, Канада |
| Начало координат | Онтарио, Канада |
| Авторы) | Ангел смерти |
Онтарио.1024 это Компьютерный вирус, обнаруженный в октябре 1991 года, более чем через год после выделения первого вируса Онтарио, Онтарио. По сравнению с Ontario.512, большинство дополнений связано с трудностью обнаружения вируса.
Инфекционное заболевание
Ontario.1024 - это шифрование, стелс ДОС файловый инфектор. При казни зараженного.COM или же .EXE file, Ontario.1024 идет резидент памяти и заражает файлы этих типов при открытии. COMMAND.COM заражается с помощью специального режима. Зараженные файлы увеличиваются в размере на 1024 байта. Однако, когда Ontario.1024 находится в памяти, увеличения размера файла не будет из-за кражи вируса. В отличие от Ontario.512, он не заражает файлы .OVL.
Симптомы
Онтарио. 1024 - наименее идентифицируемая версия семейства Онтарио. Могут наблюдаться следующие симптомы:
- Увеличение размера зараженных COM- и EXE-файлов на 1024 байта.
- Уменьшение доступной системной памяти на 3072 байта.
- Размер файла изменяется после запуска исполняемых файлов (зараженных) для отображения исходного размера файла.
- Случайные проблемы, связанные с принтером.
Первые три симптома - хорошие признаки наличия вируса, но не обязательно специфичны для Онтарио.
Распространенность
WildList [2], организация, отслеживающая компьютерные вирусы, перечислила Ontario.1024 как находившиеся на местах с июля 1993 года по декабрь 1998 года, но затем была удалена из-за отсутствия представленного образца. Эти отчеты показали, что Онтарио.1024 распространился так же широко, как Австралия и Израиль на пике своего развития в 1994–1995 гг.
Как и все файловые инфекторы DOS, появление Windows значительно сдерживает распространение Онтарио. 1024. Trend Micro [3] сообщает о 301 инфицировании с 6 ноября 2000 г., а к 2005 г. показатели снизились примерно до одного-двух месяцев.
Онтарио, 2048 г.
| Распространенное имя | Онтарио, 2048 г. |
|---|---|
| Техническое название | Онтарио, 2048 г. |
| Псевдонимы | Bootache.2048, Онтарио III |
| Семья | Онтарио |
| Классификация | Вирус |
| Тип | ДОС |
| Подтип | Инфектор файлов DOS |
| Изоляция | Сентябрь 1992 г. |
| Точка изоляции | Онтарио, Канада |
| Начало координат | Онтарио, Канада |
| Авторы) | Ангел смерти |
Онтарио, 2048 г. это Компьютерный вирус, обнаруженный в сентябре 1992 года. Это третий и последний известный вариант семейства Онтарио, как хронологически, так и по сложности. Из-за его довольно резких отличий от исходного вируса некоторые поставщики идентифицируют его как члена отдельного семейства - отсюда и псевдоним Bootache.2048.
Инфекционное заболевание
Ontario.2048 - это шифрование, полиморфный, скрытность ДОС файловый инфектор. При казни зараженного.COM, .EXE, .OVL, или же .SYS file, Ontario.2048 идет резидент памяти и заражает файлы этого времени при открытии. COMMAND.COM заражается с помощью специальной процедуры и не увеличивает размер файла. Размер зараженных файлов увеличится на 2048 байт. Однако, когда Ontario.2048 находится в памяти, не будет наблюдаться увеличения размера файла из-за кражи вируса.
Когда DOS ОТЛАЖИВАТЬ Программа находится в памяти, Ontario.2048 обнаружит ее и вылечит программы в памяти, чтобы избежать анализа. Ontario.2048 также отличается чрезвычайно сложным шифрование система; данный образец Ontario.2048 может иметь только два общих байта с другим.
Симптомы
Ontario.2048 может вызвать следующие симптомы:
- Увеличение размера зараженных файлов на 2048 байт.
- Уменьшение доступной системной памяти на 5120 байт.
- Размер файла изменяется после запуска исполняемых файлов (зараженных) для отображения исходного размера файла.
- Случайные проблемы, связанные с принтером, наблюдались в Онтарио.1024 вариант этого семейства; Неизвестно, перенесется ли это в Онтарио.2048.
Первые три симптома - хорошие признаки наличия вируса, но не обязательно специфичны для Онтарио.
Ontario.2048 также содержит текст, который невидим, поскольку Ontario.2048 зашифрован. Присутствуют следующие текстовые строки:
- COMSPEC = COMMAND.COM COMEXEOVLSYS
- MSDOS5.0
- СЛАДКИЙ КАРТОФЕЛЬ
- На вашем компьютере есть загрузочная память! - Получить лекарство!
- Онтарио-3 от Death Angel
Первая строка - это ссылка на метод, используемый для поиска COMMAND.COM для заражения, а также на типы файлов, которые заражает вирус. Вторая строка относится к версии MS-DOS что Ontario.2048 было написано. Третий - это отсылка к вирусной группе «Молодые люди против McAfee», к которой к этому моменту присоединился автор.
Примечания к ряду описаний многосторонний функционируют в Онтарио. 2048. Это неверно. Ontario.2048 действительно содержит загрузочный сектор с загрузочным вирусом. Если его вставить в загрузочный сектор, это будет работающий загрузочный вирус (хотя он не будет распространять заражение файлов Ontario.2048). Однако Ontario.2048 никогда не выполняет инъекцию; код функционально бесполезен. На основе авторской документации на вирус [4], это кажется намеренным (причины неизвестны).
Распространенность
WildList [5], организация, отслеживающая компьютерные вирусы, никогда не указывала Ontario.2048 как действующую. Тем не мение, Онтарио.1024 был включен в течение определенного периода времени.
Как и все файловые инфекторы DOS, появление Windows значительно сдерживает распространение Онтарио.2048. Статистика Trend Micro сообщает только о двух случаях заражения с 6 ноября 2006 г. [6], что указывает на то, что вирус устарел.