Онтарио (компьютерный вирус)

Эта статья не цитирует какие-либо источники . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален . Найти источники:   Компьютерный вирус «Онтарио» – новости   · газеты   · книги   · ученые   · JSTOR ( ноябрь 2018 г. ) ( Узнайте, как и когда удалить это сообщение )

Онтарио.512
Техническое название	Онтарио.512
Псевдоним	СБК
Тип	ПРИНАДЛЕЖАЩИЙ
Подтип	Инфектор файлов DOS
Классификация	Вирус
Семья	Онтарио
Источник	Онтарио , Канада
Авторы	Ангел Смерти

Онтарио — семейство компьютерных вирусов , названное в честь точки изоляции — канадской провинции Онтарио . Это семейство компьютерных вирусов состоит из Ontario.1024, Ontario.512 и Ontario.2048 . Первый вариант Ontario.512 был обнаружен в июле 1990 года. Поскольку Ontario.1024 также был обнаружен в Онтарио, вполне вероятно, что оба вируса происходят из этой провинции. В варианте Ontario.2048 автор принял «Онтарио» в качестве названия семьи и даже включил имя «Онтарио-3» в код вируса.

Ontario.512 — шифрующий DOS заразитель файлов . При казни зараженного . КОМ , . EXE или . OVL- файл, Ontario.512 становится резидентным в памяти и заражает файлы этого времени при открытии. COMMAND.COM заражается с помощью специальной процедуры. Размер зараженных файлов увеличивается либо на 512 байт (файлы COM), либо на 512–1023 байта (файлы EXE и OVL). Некоторые системы с более крупными файловыми секторами могут отображать увеличение размера зараженных файлов этих типов более чем на 1023 байта.

Ontario.512 в основном заражает только файлы, поэтому каких-либо серьезных симптомов нет. Двумя основными симптомами являются:

• Увеличение размера зараженных COM-файлов на 512 байт.
• Увеличение размера зараженных файлов EXE и OVL от 512 до 1023 байт, а в некоторых системах даже больше.
• Системы, полностью зараженные Ontario.512, со временем могут страдать от увеличения повреждения файлов и других проблем с жестким диском.
• В семействе Ontario наблюдались неуказанные проблемы с принтерами, хотя большинство этих наблюдений относилось к Ontario.1024, а не к Ontario.512. Неизвестно, какие конкретно это проблемы и затрагивают ли они Онтарио.512.

Увеличение размера COM-файла в сочетании с увеличением файлов EXE и OVL является очень хорошим ориентиром при выявлении заражения Ontario.512, хотя изменение длины файла является обычным явлением практически для каждого файлового вируса.

WildList [1] , организация, отслеживающая компьютерные вирусы, никогда не сообщала о присутствии Ontario.512 в полевых условиях. Однако Ontario.1024 какое-то время был включен в список. Неясно, был ли Ontario.512 обнаружен в полевых условиях или на BBS в Торонто , где был размещен Ontario.2048.

Онтарио.1024
Техническое название	Онтарио.1024
Псевдоним	1024 СБК
Тип	ПРИНАДЛЕЖАЩИЙ
Подтип	Инфектор файлов DOS
Классификация	Вирус
Семья	Онтарио
Источник	Онтарио , Канада
Авторы	Ангел Смерти

Ontario.1024 — компьютерный вирус , обнаруженный в октябре 1991 года, более чем через год после выделения первого вируса Онтарио, Ontario.512. По сравнению с Ontario.512, большинство дополнений усложняют обнаружение вируса.

Ontario.1024 — это шифрующий скрытый DOS заразитель файлов . При казни зараженного . COM или . EXE- файл Ontario.1024 становится резидентным в памяти и заражает файлы этих типов при открытии. COMMAND.COM заражается с помощью специальной процедуры. Зараженные файлы увеличатся в размере на 1024 байта. Однако, когда Ontario.1024 находится в памяти, увеличения размера файла из-за скрытности вируса не наблюдается. В отличие от Ontario.512, он не заражает файлы .OVL.

Ontario.1024 — наименее идентифицируемая версия семейства Онтарио. Могут наблюдаться следующие симптомы:

• Увеличение размера зараженных COM и EXE файлов на 1024 байта.
• Уменьшение доступной системной памяти на 3072 байта.
• Размер файла изменяется после запуска исполняемых файлов (зараженных) для отображения исходного размера файла.
• Периодические проблемы, связанные с принтером.

Первые три симптома являются верными признаками присутствия вируса, но не обязательно являются специфичными для Онтарио.1024.

WildList [2] , организация, отслеживающая компьютерные вирусы, указала, что Ontario.1024 находился в полевых условиях с июля 1993 года по декабрь 1998 года, когда он был удален из-за отсутствия представленного образца. Эти сообщения показали, что Онтарио.1024 распространился так же широко, как Австралия и Израиль, на пике своего развития в 1994-1995 годах.

Как и все вирусы DOS, появление Windows существенно замедлило распространение Ontario.1024. Trend Micro [3] сообщает о 301 заражении с 6 ноября 2000 года, причем к 2005 году этот показатель снизился примерно до одного раза в месяц или два.

Онтарио.2048
Техническое название	Онтарио.2048
Псевдоним	Бутаче.2048, Онтарио III
Тип	ПРИНАДЛЕЖАЩИЙ
Подтип	Инфектор файлов DOS
Классификация	Вирус
Семья	Онтарио
Источник	Онтарио , Канада
Авторы	Ангел Смерти

Ontario.2048 — компьютерный вирус , обнаруженный в сентябре 1992 года. Это третий и последний известный вариант семейства Ontario как в хронологическом порядке, так и по сложности. Из-за его довольно резких отличий от оригинального вируса некоторые производители идентифицируют его как члена отдельного семейства - отсюда и псевдоним Bootache.2048.

Ontario.2048 — это шифрующий, полиморфный , скрытый DOS инфектор файлов . При казни зараженного . КОМ , . EXE , . ОВЛ или . SYS , Ontario.2048, становится резидентным в памяти и заражает файлы этого времени при открытии. COMMAND.COM заражается с помощью специальной процедуры и не увеличивает размер файла. Зараженные файлы увеличатся в размере на 2048 байт. Однако, когда Ontario.2048 находится в памяти, увеличения размера файла из-за скрытности вируса не наблюдается.

Когда программа DOS DEBUG находится в памяти, Ontario.2048 обнаружит ее и вылечит программы в памяти, чтобы избежать анализа. Ontario.2048 также имеет чрезвычайно сложную систему шифрования ; данный образец Ontario.2048 может иметь только два общих байта с другим.

Ontario.2048 может вызывать следующие симптомы:

• Увеличение размера зараженных файлов на 2048 байт.
• Уменьшение доступной системной памяти на 5120 байт.
• Размер файла изменяется после запуска исполняемых файлов (зараженных) для отображения исходного размера файла.
• наблюдались периодические проблемы, связанные с принтером В варианте Ontario.1024 этого семейства ; неизвестно, перенесется ли это на Онтарио.2048.

Первые три симптома являются верными признаками присутствия вируса, но не обязательно являются специфичными для Онтарио.1024.

Ontario.2048 также содержит текст, который невидим, поскольку Ontario.2048 зашифрован. Присутствуют следующие текстовые строки:

COMSPEC=\COMMAND.COM COMEXEOVLSYS

MSDOS5.0

СЛАДКИЙ КАРТОФЕЛЬ

На вашем компьютере есть загрузчик! - Принеси лекарство!

Онтарио-3 от Ангела Смерти

Первая строка представляет собой ссылку на метод, используемый для поиска COMMAND.COM для заражения, а также типы файлов, которые заражает вирус. Вторая строка относится к версии MS-DOS , на которой был написан Ontario.2048. Третий — отсылка к вирусной группе «Молодежь против Макафи», к которой к этому моменту присоединился автор.

В ряде описаний отмечается многосторонняя функция в Онтарио.2048. Это неверно. Ontario.2048 содержит загрузочный сектор с загрузочным вирусом. Если его вставить в загрузочный сектор, он будет функционирующим загрузочным вирусом (хотя он не будет распространять часть заражения файла Ontario.2048). Однако Ontario.2048 никогда не выполняет инъекцию; код функционально бесполезен. Судя по документации автора вируса [4] , это выглядит намеренно (причины неизвестны).

WildList [5] , организация, отслеживающая компьютерные вирусы, никогда не упоминала Ontario.2048 в поле зрения. Однако Ontario.1024 был включен на какое-то время.

Как и все вирусы DOS, появление Windows существенно замедлило распространение Ontario.2048. Статистика Trend Micro сообщает только о двух случаях заражения с 6 ноября 2006 года [6] , что указывает на то, что вирус уже устарел.

• F-безопасный
• Symantec (в основном Онтарио.1024)
• Макафи