Stoned (компьютерный вирус)
Побитый камнями | |
---|---|
Шестнадцатеричный дамп, показывающий: «Ваш компьютер теперь забит камнями!» оператор в последнем 512-байтовом секторе главной загрузочной записи | |
Тип | Компьютерный вирус |
Подтип | Загрузочный вирус |
Источник | Новая Зеландия |
Авторы | Неизвестный |
Технические детали | |
Платформа | ПРИНАДЛЕЖАЩИЙ |
Stoned загрузочного сектора, — это компьютерный вирус созданный в 1987 году. Это один из первых вирусов, который, как полагают, был написан студентом из Веллингтона, Новая Зеландия. [ 1 ] [ 2 ] К 1989 году он широко распространился в Новой Зеландии и Австралии. [ 3 ] и варианты стали очень распространены во всем мире в начале 1990-х годов. [ 4 ]
Компьютер, зараженный оригинальной версией, имел вероятность один к восьми. [ 5 ] [ 6 ] что на экране появится сообщение: «Ваш компьютер теперь забит камнями!» — фраза, обнаруженная в зараженных загрузочных секторах зараженных дискет и основных загрузочных записях зараженных жестких дисков , наряду с фразой «Легализировать марихуану » . Более поздние варианты породили ряд других сообщений.
Оригинальная версия
[ редактировать ]Считалось, что оригинал «Ваш компьютер теперь забит камнями. Легализуйте марихуану» был написан студентом из Веллингтона , Новая Зеландия. [ 1 ] [ 7 ]
Эта первоначальная версия, похоже, была написана кем-то, имеющим опыт работы только с IBM PC дисководами емкостью 360 КБ, поскольку она плохо работает на дискетах IBM AT 1,2 МБ или в системах с более чем 96 файлами в корневом каталоге. На дисках большей емкости, например дисках емкостью 1,2 МБ, исходный загрузочный сектор может перезаписать часть каталога.
Сообщение отображается, если время загрузки делится на 8. На многих клонах IBM PC того времени время загрузки могло различаться, поэтому сообщение отображалось случайным образом (1 раз из 8). На некоторых совместимых с IBM PC машинах, , или на оригинальных компьютерах IBM PC время загрузки было постоянным, поэтому зараженный компьютер либо никогда не отображал сообщение, либо всегда отображал его. Зараженный компьютер с диском размером 360 КБ и жестким диском емкостью 20 МБ или менее, на котором никогда не отображалось сообщение, был одним из первых примеров бессимптомного носителя вируса, который мог работать без каких-либо препятствий для своей работы, но заражал любые вставленные в него диски. это.
На жестких дисках исходная основная загрузочная запись перемещается в цилиндр 0, головка 0, сектор 7. На дискетах исходный загрузочный сектор перемещается в цилиндр 0, головка 1, сектор 3, который является последним сектором каталога размером 360 КБ. диски. Вирус «безопасно» перезапишет загрузочный сектор, если в корневом каталоге имеется не более 96 файлов.
Обычно компьютер заражался при загрузке с зараженной дискеты. Компьютеры в то время по умолчанию загружались с дискеты A:, если бы у них была дискета. Вирус распространялся при доступе к дискете на зараженном компьютере. Эта дискета теперь сама стала источником дальнейшего распространения вируса. Это было очень похоже на рецессивный ген , который трудно устранить, потому что пользователь мог иметь любое количество зараженных дискет, но при этом не заразить свою систему вирусом, если только он случайно не загрузился с зараженной дискеты. Очистка компьютера без очистки всех дискет делала пользователя уязвимым для повторного заражения. Этот метод также способствовал распространению вируса, поскольку заимствованные дискеты , если их поместить в систему, теперь могли переносить вирус на новый хост.
Варианты
[ редактировать ]Образ вируса очень легко модифицируется (исправляется); в частности, человек без знаний программирования может изменить отображаемое сообщение. Распространялось множество вариантов Stoned, некоторые только с разными посланиями.
Пекин, черт возьми!
[ редактировать ]Вирус имеет строку «Кровавый! 4 июня 1989 года». В этот день протесты на площади Тяньаньмэнь были подавлены Китайской Народной Республикой .
Шведская катастрофа
[ редактировать ]Вирус имеет строку «Шведская катастрофа».
Манитоба
[ редактировать ]Манитоба не имеет процедуры активации и не сохраняет исходный загрузочный сектор на дискетах; Манитоба просто перезаписывает исходный загрузочный сектор. Дискеты EHD объемом 2,88 МБ повреждены вирусом.
Пока Манитоба резидентна, она использует 2 КБ памяти.
NoInt, Блумингтон, Stoned III
[ редактировать ]NoInt пытается помешать программам обнаружить его. Это вызывает ошибки чтения, если компьютер пытается получить доступ к таблице разделов. В системах, зараженных NoInt, базовая память уменьшается на 2 КБ.
Флейм, Стэмфорд
[ редактировать ]Вариант Stoned назывался Flame (позже несвязанному сложному вредоносному ПО такое же имя было присвоено ). Ранняя версия Flame использует 1 КБ памяти DOS. Он сохраняет исходный загрузочный сектор или основную загрузочную запись в цилиндре 25, головке 1, секторе 1 независимо от носителя.
Flame сохраняет текущий месяц работы системы на момент заражения. При смене месяца Flame отображает на экране цветное пламя и перезаписывает основную загрузочную запись.
Ангелина
[ редактировать ]У Анджелины есть механизмы скрытности. На жестких дисках исходная основная загрузочная запись перемещается в цилиндр 0, головку 0, сектор 9.
Ангелина содержит следующий встроенный текст, не отображаемый вирусом: «Привет от АНГЕЛИНЫ!!!/от Гарфилда/Зелена-Гура» ( Зелена-Гура — город в Польше).
- В октябре 1995 года Анджелина была обнаружена в новых запечатанных на заводе дисках Seagate Technology 5850 (850 МБ) IDE. [ 8 ]
- В 2007 году партия ноутбуков Medion , проданных через сеть супермаркетов Aldi, оказалась зараженной Angelina. [ 9 ] В пресс-релизе Medion поясняется, что вируса на самом деле не было; скорее, это было ложное предупреждение, вызванное ошибкой в предустановленном антивирусном программном обеспечении Bullguard. Выпущен патч, исправляющий ошибку. [ 10 ] Неисправность Bullguard подчеркивает одну из проблем (наряду с потерей производительности и разочаровывающими всплывающими окнами с просьбой о деньгах), связанной с предварительной установкой OEM-производителями того, что Microsoft внутри компании называет «краплетами», на ПК с Windows, чтобы компенсировать затраты на лицензирование Окна. Такое раздутое ПО часто подвергается критике в технических СМИ, даже со стороны репортеров, которые обычно дружелюбно относятся к Microsoft. [ 11 ]
Инцидент с биткойн-блокчейном
[ редактировать ]15 мая 2014 года подпись вируса Stoned была вставлена в биткоина блокчейн . Это привело к тому, что Microsoft Security Essentials распознала копии блокчейна как вирус, предложив удалить соответствующий файл и впоследствии вынудив узел перезагрузить цепочку блоков с этой точки, продолжая цикл. [ 12 ] [ 13 ]
В блокчейн была вставлена только подпись вируса; самого вируса там не было, а если бы он был, он бы не смог функционировать. [ 14 ]
Вскоре ситуацию удалось предотвратить, когда Microsoft запретила признавать блокчейн как Stoned. [ 15 ] Microsoft Security Essentials не утратила возможности обнаружения реального экземпляра Stoned.
См. также
[ редактировать ]- Brain (компьютерный вирус) — более ранний вирус загрузочного сектора.
- Michelangelo (компьютерный вирус) — вирус загрузочного сектора, основанный на Stoned.
- Сравнение компьютерных вирусов
Ссылки
[ редактировать ]- ^ Перейти обратно: а б «...краткая история компьютерных вирусов» . Исследования IBM . Архивировано из оригинала 27 октября 2012 года.
- ^ «Первые дни» , История вредоносных программ.
- ^ «Вирус марихуаны сеет хаос в Министерстве обороны Австралии» . Дайджест рисков . 9 (9). 14 августа 1989 года . Проверено 7 августа 2007 г.
- ^ «Описания вируса F-Secure: Побит камнями» . F-secure.com . Проверено 7 августа 2007 г.
- ^ «Анализ побитых камнями» , Питер Кляйснер
- ^ «The «Stoned» PC Virus». Архивировано 24 октября 2014 г. на Wayback Machine . Дизассемблирование вирусного кода с комментариями на сайте Computerarcheology.com.
- ^ «Первые дни». Архивировано 14 февраля 2013 г. в Wayback Machine , История вредоносных программ.
- ^ «Вирус:Boot/Stoned» . Проверено 27 августа 2010 г.
- ^ «Загрузочный вирус поставляется на немецкие ноутбуки» . Вирусный бюллетень . Проверено 8 января 2008 г.
- ^ «Wichtige Produktinformation zum Notebook MD 96290» (на немецком языке). Медион АГ. 10 ноября 2007 года. Архивировано из оригинала 10 ноября 2007 года . Проверено 11 января 2017 г.
- ^ «Борьба с вирусами: как очистить Superfish и прочее дерьмо с вашего компьютера» . ПКМир . 19 февраля 2015 года . Проверено 19 июля 2020 г.
- ^ «Microsoft Security Essentials сообщает о ложных срабатываниях в блокчейне Биткойна, постоянно уведомляя пользователей» . ответы.microsoft.com .
- ^ Чиргвин, Ричард. «Биткоин-блокчейн предположительно заражен древним вирусом Stoned» . Регистр .
- ^ «Вирусная угроза в блокчейне: обнаружены следы DOS «Stoned» • r/Bitcoin» . www.reddit.com . 19 мая 2014 г. [ источник, созданный пользователем ]
- ^ Вэй, Ван. «Сигнатуры древнего вируса STONED обнаружены в блокчейне Биткойна» .