AntiViral Toolkit Pro Р’РёСЂСѓСЃРЅР°СЏ РРЅС†РёРєР»РѕРїРµРґРёСЏ

A2Space, семейство

Неопасные резидентные вирусы. При запуске поражают файлы C:\COMMAND.COM и \COMMAND.COM. Затем перехватывают INT 17h, 21h и записываются в конец COM- и EXE-файлов при их запуске. В июле по вторникам и четвергам при печати заменяют символы 'A' и 'a' на пробел. Содержат строку:

C:\COMMAND.COM

A&A.506

Неопасный резидентный вирус. Трассирует и перехватывает INT 21h, затем записывается в начало .COM-файлов (кроме COMMAND.COM) при их запуске. В зависимости от системной даты перехватывает также INT 28h и проявляется видеоэффектом.

Демонстрации вирусных эффектов:

A_A.COM

AAA.807

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы текущего каталога и записывается в их конец. Содержит строки:

*.COM- AAA AAA AAA AAA AAA AAA AAA AAA.-

AAV.8224

Очень опасный резидентный вирус. Перехватывает INT 10h, 13h, 16h, 21h и остается резидентно в памяти. При запуске файлов, при вызове DOS-функции GetDiskSpace то вирус ищет .COM- и .EXE-файлы и записывается в их конец. Вирус также ищет и заражает файлы при вызовах INT 10h, если в этот момент не выполняются прерывания DOS (INT 21h).

Особое внимание уделяет файлу C:\COMMAND.COM и заражает его методом, похожим на метод вируса "Peasant" - записывает в начало COMMAND.COM 512 байт своего загрузчика, и остальную часть вируса и первоначальный код COMMAND.COM записывает в неиспользуемые сектора первого трека винчестера.

При запуске зараженного COMMAND.COM загрузчик вируса считывает код вируса из секторов винчестера, перехватывает прерывания и остается резидентно в памяти, затем восстанавливает код COMMAND.COM и возвращает ему управление.

Такой способ заражения может испортить данные на диске. Плюс к этому вирус во многих случаях завешивает систему при заражении системной памяти - использует настолько хитрые способы перехвата и освобождения векторов прерываний, что часто портит ядро DOS.

В зависимости от системной даты, времени и некоторых других условий выводит сообщения на китайском и:

THIS FILE MAY BE INFECTED WITH VIRUS TO KILL VIRUS,YOU CAN REINSTALL THIS FILEIDEARS AUTO_ANTI_VIRUS SOFTWARE GROUP AAV MARK:4540055520

AUTO_ANTI_VIRUS THIS FILE IS SAFE THANKS FOR USE AAVIDEARS AUTO_ANTI_VIRUS SOFTWARE GROUP AAV MARK:4540055520

Abal.758

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы кроме COMMAND.COM и записывается в их начало. Содержит/выводит строки:

Not enough memoryABAL - 758 (I)Virus

Abba.9849

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строки:

\COMMAND.COMProgram too big to fit in memory:\ABBAл|*.*E:\ABBAл|

Создает на текущем диске файлы ABBAлєnn с атрибутами HIDDEN и READONLY, 'nn' - число файлов, зараженных на этом диске. Это число увеличивается при заражении очередного файла - вирус переименовывает этот файл в ABBAлє(nn+1). В зависимости от числа nn вирус проявляет себя каким-то видео-эффектом на видео карте Hercules.

Abbas, семейство

Опасные резидентные вирусы. Перехватывает INT 9, 21h и записываются в конец запускаемых COM- и EXE-файлов. Проверяют INT 1 и при трассировке выводят сообщения:

"Abbas.1320": ANTI VIRUS Writen By ABBAS KUHKAN Virus Found !"Abbas.5660": IRANIAN VIRUS W.by ABBAS KUHKAN ALIABADI

и завешивают компьютер.

Содержат также строку:

KUH

В зависимости от системного таймера "Abbas.5660" загружает новые шрифты и выводит какие-то сообщения (на персидском?).

ABC.2378

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 16h, 1Ch, 21h и записывается в конец EXE-файлов при обращениях к ним. В некоторых случаях записывает в файлы троянскую программу, которая при запуске стирает сектора первого и второго винчестера. Также стирает сектора дисков в зависимости от своих внутренних счетчиков.

Является одним из первых полиморфик-вирусов - реализован довольно мощный алгоритм за/расшифровки основного тела: расшифровщик состоит из команд ADD, SUB, XOR, расположенных в произвольном порядке и в довольно большом количестве.

Проявляется начиная с 13 числа любого месяца: при повторном нажатии на одну и ту же клавишу дублирует знак (т.е. вводимые символы "1001" будут заменены на "10001").

Содержит текст (грамматические ошибки - в оригинале):

Ну теперь ты добрался и досюда. Я думаю,тебе интересно было посмотреть как написан вирус. Но что ты будеш делать дальше? Если хочеш познакомится со мной то дай объявление в "АиФ", "7 дней" или в какой-нибудь компьютерный журнал/газету для автора вируса "ABC_FFEA". А теперь пока. Minsk 8.01.92 ABC

Abola.2420

Очень опасный резидентный вирус. Записывается в начало COM-файлов и в конец EXE-файлов при их выходе в DOS (вызов Terminate INT 22h). Остается резидентно только при установленном драйвере XMS - правит код этого драйвера, перехватывает INT 2Fh и оставляет свою копию в UMB.

Использует довольно необычный способ заражения - при вызовах INT 2Fh сканирует блоки памяти, определяет среди них блоки, занятые программами, затем в PSP-блоках программ устанавливает адрес INT 22h (Terminate) на свой код. В результате при завершении работы программы передают управление не DOS, а вирусу, который определяет имя соответствующего программе файла и заражает его.

По вторникам вирус затирает диски строкой:

AbolaAbolaAbolaAbolaAbola

Abraxas, семейство

Нерезидентные очень опасные вирусы. Ищут в текущем и ридительском подкаталогах .EXE-файлы и поражают первый из них. Затем записываются в файл C:\DOS\DOSSHELL.COM. При заражении файлы уничтожаются, а вместо них записывается тело вируса. При запуске зараженного файла он пищит на разной частоте спикером компьютера и выдает картинку:

########################################################################### ## ###### ####### ####### ###### ### ### ###### ###### ## ### ### ### ### ### ### ### ### ###### ### ### ### ## ######## ####### ####### ######## #### ######## ###### ## ### ### ### ### ### ### ### ### ###### ### ### ### ## ### ### ####### ### ### ### ### ### ### ### ### ####### ###########################################################################

Эти вирусы содержат также и тексты:

*.exe c:\dos\dosshell.com .. MS-DOS (c)1992 ->>ABRAXAS-5<<--...For he is not of this day...Nor he of this mind

Abraxas.Cleton

Записывается вместо .EXE-файлов текущего и родительского каталогов. Создает и записывается в файл ROMMAND.COM. Выводит текст:

EDWIN CLENTON AND I LOVE A GOOD HARD DRIVE...Ahhhh! Get a ROD just thinking about it!

Также содержит строки:

rommand.comDarkest AvengerCES (c) Controlled Environment SimulatorEdwin Cleton 1993 VirSoft (c)

Abraxas_II, семейство

При запуске ищут .COM-файлы и записываются в их конец. Выводят порнографическую картинку и текст:

Ich bin ein Geschenk von dem Teufel

"Abraaxas_II.2011" стирает сектора диска C:

Демонстрации вирусных эффектов:

ABRAXAS.COM

Acapulco.1971

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Периодически перехватывает также и INT 08h (таймер) и проигрывает несколько мелодий.

AccAvenger.873

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и EXE-файлов при обращениях к ним. Если на диске присутствует файл GLDTA.DBF, то вирус записывает в него случайные данные. Вирус содержит строку:

*-* The Account Avenger *-*

Accept, семейство

Опасные резидентные самошифрующиеся вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при их запуске или открытии. Если файл уже поражен, то вирусы ищут и заражают другие файлы текущего каталога. Содержат строки:

"Accept.3619": COMMANDSCANCLEANVSHIELDNAVCPAVBOOTSAFE"Accept.3773": COMMANDSCANCLEANNAVCPAVBOOTSAFEVSAFEIB MAVSHVGUARDVIRTESTVCAREDAILYDISKPART

Перед заражением файла проверяют его имя по этой строке и не заражают файлы с именами COMMAND, SCAN, CLEAN и т.д. . 20-го декабря и 28-го марта вирусы стирают информацию на секторах дисков. Также содержат строки:

*.COM *.EXE747ME PERDI A ACCEPT, SOY UN PELOTUDO

ACDC, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM-файлов (кроме COMMAND.COM). Никак не проявляются. Содержат строку:

COMMAND

Ace.1872

Очень опасный резидентный зашифрованный вирус. При запуске перехватывает INT 22h, возвращает управление программе-носителю, ждет окончания ее работы, затем трассирует и перехватывает INT 21h. Затем записывается в конец COM-файлов при их запуске и в OBJ-файлы при их открытии. Заражает только те OBJ-файлы, которые линкуются в EXE-файлы. При этом замещают точку входа на команду CALL_Virus.

Проверяет имена запускаемых файлов и не заражает файлы C*.* и W*.*. При запуске файлов W*.* проверяет системную дату и в зависимости от ее значения уничтожает запускаемый файл, выводит текст и перезагружает компьютер:

This program wastes a lot of memory,SYSTEM HALTED...

Также содержит строки:

OBJ(C) Ace of Spades , Kiev-1995... Don't be a snub - enjoy yourself!

Aga.3000

Неопасный нерезидентный зашифрованный вирус. Ищет COM- и EXE-файлы и записывается в их середину. Использует антиотладочные приемы. В некоторых случаях перехватывает INT 13h и блокирует запись на диски, проявляется какими-то видеоэффектами, выводит собщения на экран и принтер. Содержит строки:

Hello! You're already doomed!WARNING!It's AGA-v2 from MONGOLIA!The file size was changed[Q]uit or continue?Try again...DiRVeRWiNA:\ B:\ D:\ TiMeHeLpCaLcPaUsEWrItESeTuPDiR A:DiR B:MdwArNiNg!FoRmAt A:/sDeL AuTo*.*DeL CoNf*.*Md ClEarHDMdFoRmAtItscantiaidsdrweb.lkitf-pradinshercpav$$mon_k_pURAA!!!Don't think about it!!!!!Real-time error at 0x9207.(*AGAv2.1,super stealth virus from MONGOLIA,UBЦ*)

Agena.723

Очень опасный резидентный вирус. Перехватывает INT 20h, 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущей даты стирает сектора дисков.

Agiplan.1536

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их загрузке в память. В зависимости от текущей даты стираетть информацию на всех доступных дисках. В некоторых случаях выводит на экран техт:

Load error

AH.2241

Очень опасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращениях к ним. При открытии зараженных файлов лечит их и снова заражает при закрытии. По воскресеньям стирает сектора винчестера и выводит текст:

Stealth Replication Engine 1.0

Содержит также строки:

*Stealth Replication Engine. V1.0*Anti-Heuristics routine (C) 1993*(F-PROT is OBSOLETE)*

Ahasverus.1244

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске или открытии. Уничтожает файлы CHKLIST.MS и CHKLIST.CPS. 6-го апреля портит CMOS. Содержит строки:

EXEchklist.ms chklist.cps KRNLAhasverus 1.04 (C) by WindoEarle ROMANIA

Ahav, семейство

Безобидные нерезидентные вирусы, "Ahav.377,383" зашифрованы. При запуске ищут COM-файлы и записываются в их конец. Содержат строки:

"Ahav.336,337": [AHaV]"Ahav.377,379,383,385": [AHaV]

Aids.552

Резидентный очень опасный вирус. Перехватывает INT 3, 21h и записывается в конец EXE-файлов при их закрытии. В каждый 16-й закрываемый COM-файл записывает часть своего кода (файл не восстанавливается, так как вирус не сохраняет старое содержимое файла). При запуске такого файла не экран крупными буквами выдается слово "AIDS".

Aids.872

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

Aids

Демонстрации вирусных эффектов:

AIDS.COM

Airwalker, семейство

Неопасные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Содержат строку:

[airwalker]

Старшие версии вируса в зависимости от системного таймера выводят тексты:

"Airwalker.384,386": greetings to the world from the slam virus team"Airwalker.385": Greetings to the world from the SLAM virus team

Aiw.572

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или загрузке в память. Содержит строку:

AIW20JB

Aiwedr.852

Неопасный резидентный частично зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или закрытии. В зависимости от системного таймера пищит спикером компьютера. Сравнивает имена файлов со строкой "AIWEDR" и не заражает AI*.EXE, WE*.EXE, DR*.EXE.

AJ, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Заголовок зараженных файлов содержит слово:

"AJ.793" очень опасен. В феврале начиная с 6-го числа форматирует сектора винчестера. Портит антивирусные файлы данных ANTI-VIR.DAT и CHKLIST.MS.

Akuku, семейство

Нерезидентные неопасные вирусы. При старте ищут и записываются в конец .COM- и .EXE-файлов ("Akuku.649" - только .COM). Периодически сообщают:

"Akuku.649": A kuku frajerze !"Akuku.886": A kuku, Nastepny komornik !!!"Akuku.886.b": Sorry, I'm copmpletely dead.."Akuku.1111": Sorry, I'm copmpletly dead.

"Akuku.1111" проигрывает мелодию.

Демонстрации вирусных эффектов:

AKUKU.COM

Alabama

Резидентный опасный вирус. Перехватывает INT 9 и 21h и поражает .EXE-файлы текущего каталога диска, с которого запускается на выполнение какой-либо файл или на котором открывается файл. Поражаемый файл ищется при помощи функций FindFirst/Next и не обязательно совпадает с открываемым или запускаемым файлом. При заражении вирус использует FCB-функции работы с файлами, дописывается в конец файла, возможно некорректное заражение. У зараженного файла устанавливается время последней модификации - 62 секунды.

"Выживает" при перезагрузке - для этого устанавливает прерывание 9h (клавиатура), перехватывает нажатие клавиш Alt-Ctrl-Del, после чего гасит экран и вызывает процедуру загрузки (INT 19h). При этом коды вируса не стираются.

В зависимости от текущего времени может выдать на экран сообщение типа:

+-----------------------------------------------------+| SOFTWARE COPIES ARE PROHIBITED BY INTERNATIONAL LAW || || Box 1055 Tuscambia ALABAMA |+-----------------------------------------------------+

Cодержит текстовую строку "????????EXE". Не содержит деструктивных функций, но некорректно работает с файлами и памятью - может завешивать систему.

Демонстрации вирусных эффектов:

ALABAMA.COM

Albania, семейство

Нерезидентные безобидные вирусы, поражают COM-файлы тукущего каталога. Некоторые из них анализируют строку COMSPEC и заражают файл COMMAND.COM. Содержат строку "ALBANIA" или "albania".

Albanian.1991

Опасный резидентный вирус. Перехватывает INT 8, 17h, 21h и записывается в конец COM- и EXE-файлов. Меняет при печати символ 'Й' на 'e' или 'Ф'. Изменяет символы, введенные с клавиатуры. Периодически расшифровывает и выводит на экран:

MIRDITA !I`m the first albanian virus named [free]Thanks for your collaborationAlways with you...

Alex, семейство

Нерезидентные неопасные вирусы. Записываются в конец файлов. "Alex.368" поражает COM-файлы кроме COMMAND.COM, "Alex.818" - EXE-файлы. Содержат тексты:

"Alex.368": The One Night Virus (C) Alex Hacker *.COM"Alex.818": The Kite Virus (C) Alex Hacker *.EXE

Нерезидентны, но оставляют в таблице векторов небольшие резидентные программы, одна из которых через некоторое время довольно красиво стирает текст с экрана, а другая записывает значение FEh в порт 60h (?).

Демонстрации вирусных эффектов:

ALEX.COM

ALEX.599

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

ALEX PATH=*.com

Alex&Solo.512

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

Alex & Solo

Alfons, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в начало COM- и конец EXE-файлов (кроме COMMAND.COM) при их запуске. В зависимости от текущей даты и системного таймера стирают сектора дисков, при этом выводят сообщения:

Alfons !Synchronizing drive C: (Do not interrupt this operation !):  0%Done.

Algerian.1400

Неопасный резидентный зашифрованыый вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В зависимости от текущей даты и времени выводит текст:

.....T h e A l g e r i a n V i r u s..... Version 1.00 , 1993 by Ahmet Cezayirli Istanbul University Electronics Engineering

Alho.676

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от версии установленной DOS и своих счетчиков вирус стирает сектора дисков. В зависимости от своих счетчиков вирус оставляет в памяти TSR-программу, которая перехватывает INT 9 и при нажатии на Alt, Ctrl или Shift сообщает:

+---------------------------+| CTRL,SHIFT & ALT keys are || reserved for internal use |+---------------------------+

Вирус также содержит строки:

*.ComAlho

Alia.1023

Безобидный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Содержит строку:

~ALIA~

Alien, семейство

Очень опасныe резидентныe зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при обращении к ним. Содержат строку: "COM EXE com exe OVL". В зависимости от системной даты записывают в начало уже зараженных файлов строки:

"Alien.1356": ALIEN 1.0 written by P.K. on April 93 Good Luck !!!"Alien.1976": ALIEN 1.3 - The Next Generation written by P.K. on August 93

"Alien.1976" также выводит:

Look, following file is just eliminated.There must be ALIEN inside !?

Alien_II, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Старшие версии вируса не заражают COMMAND.COM. Вирусы содержат строку:

ALIEN 4

All.1818

Резидентный опасный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов и в конец .EXE-файлов при их запуске. Периодически выводит текст:

Parity error at address 14344Abort, Retry, Ignore ?

AllFools.659

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. 1-го апреля выводит текст:

Hey, it's All Fools Day! -- Press a key

Также содержит строки:

PV*.COM

Alpha.4000

Неопасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM-, EXE- и SYS-файлов при обращении к ним. При запуске или открытии зараженного файла лечит его. Иногда выводит сообщение:

0 оALPHA STRIKEп 0 Advanced Tactical Viral Implant by NEUROBASHER'93 / Germany

Alphabet.447

Безобидный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Никак не проявляется. Содержит строку:

[Alphabetic.A](c) Alpha 1994

AlphaVirus, семейство

Опасные резидентные зашфированные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Получили название по строкам текста в своих кодах:

"AlphaVirus.1121": AlphaVirus [07]"AlphaVirus.1555": AV[07]

AlphaVirus.1121

Не заражает систему в октябре. Не заражает антивирусы DRWEB, AIDSTEST, ADINF (определяет их имена по строке "DRAIAD"). При запуске DRWEB уничтожает файл DRWEB.INI. При запуске ADINF выводит текст и завешивает компьютер:

Посмотpим много ли ты сможешь восстановитьсвоим сpаным Adinfoм.Press any key ...

По 31-м числам записывает в открываемые PAS-файлы текст:

Паскаль - ГОВHО, а СКАП - ТЮРЬМА

У вас лица как гоpоховый супУ вас жизни как пpомасленная бумагаУ вас мечты как выстиpанные пододеяльникиУ вас миp как пpотивогаз... Егоp Летов,ГpОб

AlphaVirus.1555

Перехватывает также INT 28h (DOS idle) и при вызове этого прерывания в 10:59:59 в зависимости от случайного счетчика записывает в буфер клавиатуры одну из команд:

deltree C: /Yarj m temp *.*format c:defrag c: /F

Не заражает антивирусы и программы AVP, RAR, DN, WEB, WIN, DRWEB, AIDSTEST, ADINF (по строке "AVRADNWEWIDRV-AIAD"). При запуске AVP, WEB, WIN, DRWEB вирус удаляет свою копию из системной памяти (затем при запуске очередного зараженного файла снова инсталлируется в память).

При открытии .PAS-файлов записывает в них текст:

program Hевыносимая легкость Бытия Е.Летова и мое полнейшее        отвpащение всего пpогpесивного чел-ва:        попс, pепс, pейвс, хакеpс и тому подобный калuses ГpОбconst Егоp Летов = 1964...Вечностьvar Punk Rock не задушишь не убьешьbegin       пАСКАЛЬ - вязкое деpьмо синтаксических констpукций       пАСКАЛЬ - оpудие диктатуpы деpьмокpатов       пАСКАЛЬ - куча говна из за котоpой не видно СВЕТЛОГО БУДУЩЕГО               ATTENTION!!! В ВАШИХ МОЗГАХ ЖИР-Е-Е-Т ПОПС!!!end.

Alxe.1287

Неопасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. По 20-м числам проигрывает мелодию. Содержит строки:

AlEx*.EXE

Демонстрации вирусных эффектов:

ALXE.COM

Am, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при их запуске. Содержат в себе слво "am", это же значение (в ASCII) возвращается вирусом, когда он проверяет память на свою уже загруженную копию.

При вызове функции GetDate "Am.604" уменьшает значение года на 1.

"Am.743" перехватывает также INT 08h и выводит сообщение:

Hello from TURKIYE. I am TURCO Virus.

Am_II.1281

Неопасный резидентный вирус. Перехватывает INT 01h, 21h,28h и записывается в конец COM- и EXE-файлов при обращении к ним. Содержит слово "Am", в зависимости от своих внутренних счетчиков и системного времени проигрывает позывные радиостанции "Маяк".

Демонстрации вирусных эффектов:

AM_II.COM

Aman.10716

Неопасный резидентный вирус. Перехватывает INT 5, 21h и записывается в конец EXE-файлов при окончании их работы. При нажатии на PrintScreen (INT 5) и в зависимости от текущего времени проявляется порнографическим видео-эфектом. Содержит строки:

Аман ТулеевV1.2

Amanita.1135

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Не заражает ADINF, DRWEB, AVP, COMMAND, NC*, IBM*, HIEW. Никак не проявляется. Содержит строки:

ADIN.DRWE.WEB.AIDS.AVP.COMM.NC.IBM.HIEW."Amanita" v3.03 (c) 1997

AmazonQueen

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращении к ним. Содержат/выводят строки:

"AmazonQueen.467,473": Amazon Queen...v1.0"AmazonQueen.468": Amazon Queen...v1.1"AmazonQueen.479": Amazon Queen...v1.1"AmazonQueen.500,506": Amazon Queen...v2.0

Также содержат строки:

WHY?LoRD Zer0

Ambulance, семейство

Нерезидентные неопасные вирусы. Ищут .COM-файлы в текущем каталоге и в каталогах, отмеченных в PATH, затем записываются в конец файлов. В зависимости от числа пораженных файлов проявляются довольно забавным видеоэффектом - по экрану под звук сирены слева направо проезжает картинка:

\|/################# #### \################# OO ##### O #

Ambulance_II

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Проявляется тем же способом, что и вирус "Ambulance".

Демонстрации вирусных эффектов:

AMBUL.COM

AMD.3948

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При открытии или созжании COM/EXE-файлов запоминает их имена и заражает при закрытии. В зависимости от своих счетчиков рассылает по сети Novell NetWare сообщение "Windows 95 Must Die !!!" и выводит текст на экран:

### ## ## ##### ##### ### #### #### # # #### #### # # # # # # # # # # # # # # # # # # # # # # ## # # # ### ### # # #### ### # # ### ########### # # # # # # # ## # # # # ### # # # ##### # ### # ## #### # #### # ##

# # ### ## # #### ### # # ### # # # # # # # # # # # # # # # # # # # # # # # # # ### # # # # # # # # # # # # # # # # # ### # ## #### ### # # ###

## ## # # ### ##### ##### ### #### # # # # # # # # # # # # # ## # # # ### # # # # ### # # # # # # # # # # # # #### ### # ##### ### ####

Amoeba, семейство

Amoeba.1392

Резидентный неопасный вирус. Перехватывает INT 10h, 1Ch, 21h и записывается в начало COM- и конец EXE-файлов при их загрузке в память. Выводит на экран текст:

SMA KHETAPUNK - NOUVEL Band A.M.O.E.B.A. by PrimeSoft Inc

Amoeba.2367

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. 21-го марта и 1-го ноября уничтожает информацию на винчестере. Содержит тексты:

Tosee aworld in a grain of sand,And a heaven in a wildflowerHold Infinity in the palm of your handAnd Eternity in an hour.

"THE VIRUS 16/3/91 AMOEBA virus by the Hacker Twins (C)1991 This is nothing, wait for the release of AMOEBA II-The universal infector, hidden to any eye but ours! Dedicated to the University of Malta- the worst educational system in the universe,and the destroyer of 5X2 years of human life.

COM EXE

Amsv.443

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Уничтожает файлы MSAV.*, содержит строки:

MSAVEli & Yuval were here and killed the Lehigh !!!The Anti-MicroSoft Virus (AMSV) v1.0By Yuval Sherman & Eli Shapira.... Revenge against Microsoft.

Amt, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при обращениях к ним. Написаны на языке высокого уровня.

Amuck.3184

Очень опасный резидентный частично зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при вызовах DOS-функций FindFirst/Next. Перед тем, как вернуть управление программе-носителю, заражает файл C:\COMMAND.COM.

Уничтожает файлы SMARTCHK.CPS, CHKLIST.CPS, CHKLIST.MS. В зависимости от системной даты стирает сектора винчестера или перехватывает INT 10h и запрещает переключение в некоторые графические видео-режимы. В зависимости от своих счетчиков выводит текст:

Please do not restart the computer,because I do not want to kill myself.You do understand this, don't you?Make sure your fingers are away from the computer.Mistakes are terrible.Searching:

затем ищет на всех дисках от C: до Z: файлы BAT, PAS, PRG, CPP, DOC, GIF, PAK, DAT, BAK, DBF, C, SYS, WPS, INI и записывает вместо них текст:

Don't look at me! I am killed and eaten.

Затем выводит:

Thank you for having waited so long.Thank you for the decilious food.Now, I am going to have a long sleep.GOOD-BYE! My friend

В некоторых случаях вирус стирает сектора винчестера и выводит текст:

Ha! Ha!Be proud of your clever action!I am amuck when I am in hunger!It is you who have killed me and killed yourself!YOUR LUCK IS OVER!

Amz, семейство

Нерезидентные очень опасные вирусы, инфицируют COM- и EXE-файлы (либо только EXE - "Amz.600") при старте зараженного файла. Изменяют первые 13h байт COM-файлов на программу перехода на тело вируса. Содержат короткое слово: "AMZ". В зависимости от версии стирают сектора FAT либо всех логических дисков от A: до Z: (если таковые присутствуют), либо текущего диска:

"Amz.600" - если номер дня недели совпадает с номером дня месяца"Amz.789" - 24 сентября с 0:00 до 7:00 утра"Amz.801" - 13-го февраля в 13 часов"Amz.1100" - 1-го марта и 13-го сентября в 10:00

"Amz.682" неопасен, выводит текст: "-Zero-".

"Amz.1100" стирает CMOS, создает файл BOPS-BOP.S.

Anarchy.2048

Опасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в середину или начало .COM- и .EXE-файлов при их закрытии. При заражении записывает себя в середину COM-файлов (если там есть область, содержащая постоянные байты), или в заголовок файла (в этом случае вирус сохраняет первоначальное содержимое заголовка в свободных секторах за телом файла, см. вирус "Beast" ). При заражении файлов использует довольно сложный алгоритм обращения к недокументированным системным функциям. Иногда портит файлы при заражении. Содержит строки:

ГрОбANARCHYЯнъ Факовскiй,USSR,1994

Anarchy.6503

Неопасный резидентный полиморфик стелс-вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. При записи в зараженный файл вирус лечит его. Содержит/выводит строки:

COMMAND COMARJ.EXE PKZIP.EXE CHKDSK.COM NCEDIT.EXE OLYMP.EXELINE COL SIZE EOL EOF INSJAN FAKOVSKIJ,USSR,1995Up with your shit, square sods! fuck!

"Hu are u, hu am i, Is it real you touch the sky?""Nothing the real for the sky",- said the birds of paradise."I'm afraid, cant too see; Tell me where do u carry me?""You will soon realize",- said the birds of paradise

UNFORGIVON

Anarchy.9382,9594

Неопасные резидентные вирусы, "Anarchy.9594" - полиморфик-вирус. Перехватывают INT 9, 21h, 28h и записываются в конец COM- (кроме COMMAND.COM) и EXE-файлов при их запуске или закрытии. Заголовок зараженных COM-файлов содержит строку:

"Anarchy.9382": VIVAT EGOR LETOV !!!"Anarchy.9594": JAN FAKOVSKIJ,USSR,1994

В конце зараженных файлов содержится незашифрованная строка:

UNFORGIVON

При 32-м заражении "Anarchy.9382" и при 48-м заражении "Anarchy.9594" выводят один из текстов (матерные выражения пропущены) и завешивают компьютер:

"Anarchy.9382":

NEVOR FREE, NEVOR ME. SO I DUB THEE UNFORGIVON

"Anarchy.9594":

Словно после тяжелойи долгой болезния вышел под серым,уютным дожд0м.Прохожие лепят меня,как хотят-так же,как раньше.Я в мятой, потной пижаме,но уже без претензий на белый пол0т.Скоро прид0т осень

DIS IS DI END,BEAUTIFUL FRIEND...DIS IS DI END,MY ONLY FRIEND-DI END.IT HURTS TO SET U FREE,BUT U'LL NEVOR FOLLOW ME.DI END-OF LAUGHTER & SOFT LIES,DI END OF NIGHTS...WE TIRED TO DIE...DIS IS DI ENDI WANNA DESTROY DA PASSORS-BY'CAUSE I WANNA BE,-YEAH,- ANARCHY

В ельцинской стране-С каждым часом дальше-круче:Если я ещ0 живой-УБЕЙ МЕНЯ,любер ! Я еврей- УБЕЙ МЕНЯ,член общества "память" !Всех горбатых да больных исправит могила,Вс0 в порядке,

При нажатии на Alt-GreyMinus вирусы вызывают довольно забавный эффект: выводят меню типа Norton Commander и позволяют копировать, удалять файлы и подкаталоги, и т.д. Меню выглядит примерно следующим образом:

    3584000|DOCUMENT.DOC        738  Arc          ||RUNME   .BAT         10  Arc          ||DOCUMENT.BAK        256  Arc          ||EDITOR  .COM      62464  Arc          ||                                      ||                                      ||                                      ||______________________________________|

Вирусы содержат также и другие строки, используемые при заражении файлов и при вызове эффекта:

"Anarchy.9382":

R/O Arc Sel < DIR >SELECTED FILE(S) DISKFREE= DISKSIZE= FILES=KEYS:F1-ATTRIBUTES,F2-RESCAN, F3-PATH,F4-EDIT,F5-COPY,F6-RENAME/MOVE,F7-MAKE,F8-DELETE,F9-UNINSTALL,F10-QUIT READ/ONLY: ARCHIVE: YES NO SAVEOFFSET LINE COL SIZE EOL EOF INS F1-RESTORE F2-SAVE F3-LOW F4-HIGH F5-COPYF6-MOVE F7-FIND F8-CUT F9-DEL F10-QUIT YESNOCUT ? FILE NOT SAVED.SAVE ?WAIT KILL ?! ALREADY EXISTS! OVERWRITE ? COPY MOVE OR RENAME MAKE ENTERNEW PATH: INT 24 FATAL ERROR RETRY ? FUNCTION ERROR <F1> TO RESUMEDISK FULL

"Anarchy.9594":

R/O Arc Sel <  DIR  >SELECTED FILE(S)COMMAND COMARJ.EXE PKZIP.EXE CHKDSK.COMOFFSETLINE COL SIZEEOL EOF INSYESNOERROR DISK FULL

Andromeda.1140

Опасный нерезидентный самошифрующийся вирус, ищет .COM-файлы (кроме COMMAND.COM) и записывается в их начало. Содержит строки:

-< The Andromeda Strain >- Version 1.00 By : Crypt KeeperMission Complete... Have fun with your virus(es)\ANDROM.SEC *.COMRUNME.COM COMMAND.COMSCAN.EXE CLEAN.EXE NAV.EXE NAV_._NO

Первые две строки выводятся вирусом когда он создает и запускает на выполнение файл RUNME.COM, последняя строка содержит имена файлов, которые вирус уничтожает при запуске.

Andreev.805

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Начиная с августа портит загрузочный сектор диска C:, в зависимости от текущего времени выводит сообщение:

Андреев - хам и жадина.

Ache, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Содержат строку:

ACHE

ACV.1342

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Периодически выводит сообщение:

The AC Virus - ACV Version 1.01 , 1993 by Ahmet Cezayirli Istanbul University Electronics Engineering

Acvt.1243

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или загрузке в память. Содержит много неиспользуемого кода. Зараженные файлы содержат счетчик попыток повторного заражения. При 100-й попытке вирус уничтожает часть системной информации на винчестере. Содержит строки:

acvtno $yes$*.* $%COMEXEDBF

AD, семейство

Безобидные нерезидентные вирусы. Ищут .COM-файлы в текущем каталоге и записываются в их конец. Содержат байт-идентификатор ADh.

Ada.2600

Резидентный очень опасный вирус, перехватывает INT 8, 13h, 21h и записывается в начало стартующих .COM-файлов. Потрескивает через динамик компьютера. Ищет файл PCCILLIN.COM и, если находит, может уничтожить Boot-сектора и FATы первого винчестера. При уничтожении файлов делает их скрытыми (атрибут hidden). Содержит тексты:

COMMAND.COM

PCCILLIN.COMPCCILLIN.IMGPCCILLIN.COM

HATI-HATI !! ADA VIRUS DISINI !!Delete

ADI, семейство

Опасные резидентные зашифрованные вирусы. Записываются в конец COM-файлов. При заражении шифруют не только свое тело, но и весь файл. Содержат ошибки и могут завесить систему при заражении файлов. Используют несколько уровней антиотладочных приемов. Содержат строку:

(c) Beast. Advanced Disk Infector. [ADinf v1.5]

При запуске вирус расшифровывает себя, перехватывает INT 22h (DOS-вызов Terminate), отдает управление программе-носителю, ждет окончания ее работы и затем перехватывает INT 8, 1Ch, 21h, 24h. Прерывания таймера (INT 8, 1Ch) используются вирусом для блокировки отладки. При обращениях к COM-файлам (INT 21h) вирус заражает их.

Adin, семейство

Безобидные резидентные вирусы. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов, кроме COMMAND.COM и AIDSTEST.EXE.

Adin.1488

Заражает файлы при их закрытии, переименовании и т.д.

Adin.3026

Полиморфик -вирус. Заражает файлы при их запуске или переименовании. Восстанавливает зараженные файлы под отладчиком или при их открытии. Не поражает файлы Также содержит строку "ADIN", при попытке открытия файла с таким именем портит его.

AdiPop.495

Опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 1Ch, 21h и записывается в конец COM-файлов при их запуске. В зависимости от своих счетчиков перехватывает также INT 9 и пищит спикером компьютера. Содержит ошибки и может завесить систему.

Adolf.475

Резидентный опасный вирус. Свою резидентную копию помещает в таблицу векторов прерываний по адресу 0000:0200, перехватывает INT 21h и записывается в конец COM- и OVL-файлов при их загрузке в память. С вероятностью 1/8 блокирует удаление файлов. Содержит текст:

Adolf Hitler

Adrenalin.571

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Затем оставляет резидентную программу, которая перехватывает INT 21h и при вызовах функций FindFirst/Next возвращает укороченную длину зараженных файлов. В некоторых случаях вирус затирает файлы троянской программой, которая при запуске стирает CMOS и выводит текст:

ADRENALIN OVERDOSE error. System dead.

Advent, семейство

Нерезидентные вирусы, частично зашифрованы. При запуске ищут и записываются в конец.COM- и .EXE-файлов. При заражении .COM-файлов изменяет первые 23h байт начала на коды перехода на тело вируса.

Не активизируются, если в ENVIRONMENT присутствует строка "VIRUS=OFF" ("Advent.2764") или "SYSLOCK=@" ("Advent.3551").

"Advent.2764" начиная с середины ноября проявляется поздравлением "MERRY CHRISTMAS!" в комплекте с простенькими картинками, появляющимися под аккомпанемент не менее простенькой музыки. "Advent.3551" заменяет в секторах дисков строку "Microsoft" на "Macrosoft".

Advent.Cookie.2232

Выводит на экран "I want a COOKIE !", затем ждет ответа с клавиатуры 'cookie', после чего выводит: "BURPS.....".

Демонстрации вирусных эффектов:

ADVENT.COM

AEP.626

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске. Содержит строку:

(C) 1993 American Eagle Publications, Inc., All rights reserved!

AFFA.1313

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов (кроме COMMAND.COM) при их запуске или открытии. Содержит байты-идентификаторы: AFh, FAh. 2-го февраля 1997-го стирает MBR винчестера и завешивает компьютер.

Afori.656

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец запускаемых COM- и EXE-файлов. В зависимости от своего счетчика осыпает символы на экране (см. "Cascade" ). Содержит строку:

A41a5

AFV.517

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов (кроме COMMAND.COM) при обращениях к ним. Вирус никак не проявляет себя. В начале зараженных файлов присутствует текст "AFV".

Aztech.1200

Очень опасный резидентный вирус. Перехватывает INT 21h, 2Fh и записывается в конец EXE-файлов при их запуске. При заражении переименовывает файл в AZTECH.INC, заражает его и переименовывает обратно. В зависимости от текущего времени уничтожает файлы и подкаталоги. Содержит строку:

FUCKING CRACKER - DIE !!!   (P) 1992 BY AZTECH.INC

Andreas, семейство

Неопасные резидентные вирусы. Записываются в конец COM- и EXE-файлов. Перехватывают INT 21h и при запуске программ либо заражают их, либо ищут и заражают COM- и EXE-файлы в текущем каталоге.

По 19-м числам перехватывают также INT 9 (клавиатура) и при каждом вводимом символе расшифровывают и выводят текст: "Andreas".

Animals, семейство

Неопасные резидентные полиморфик -вирусы. Не заражают системную память, если установлены драйвера антивируса TBAV. Перехватывают INT 8, 21h и записывается в конец запускаемых COM- и EXE-файлов. Не заражают файлы, если их имена содержат символы AV или AN (AVP, NAV, SCAN). Также не заражают файлы и именами GUARD, F-PROT, KRNL?86 и некоторые другие.

В зависимости от системного таймера мигают экраном. По 25-м числам кроме июня выводят текст:

Toto je ostrа verze viru ANIMALS_97Zastavte tьrаnб zvб0at, sic se Vаm to jednou vчechno vrаtб !!! Zlej KrаlбkZdravбm: Mloka, Filtrаka, POPa a vчechny p+knь holky.

Также содержат строки:

TBMEMXXXTBCHKXXXTBDSKXXXTBFILXXX-Dбky Vьvojаr

Animo.518

Безобидный нерезидентный вирус. Ищет COM-файлы и записывается в их конец. Никак не проявляется. Содержит строки:

*.ZOM[Animo][Rajaat/29A]

April.748

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Если номер дня совпадает с номером месяца (1 января, 2 февраля, ...), вирус перехватывает также INT 1Ch (таймер) и через некоторое время выводит текст:

Virus April - 1st version - Copyright (C) 1.4.1994I look forward to meet with you again.Yours sincerely VirSoft Blansko - Czech Republic

Ai22.1659

Безобидный резидентный вирус. Проверяет версию DOS и работает только под DOS 5.x и 6.x. Перехватывает INT 21h и записывается в конец запускаемых .COM- и .EXE-файлов. При инсталляции в память также заражает файл C:\COMMAND.COM. Никак не проявляется, содержит строку-идентификатор:

Ai22

AngryBoy.2132

Неопасный резидентный зашифрованный вирус. Копирует себя в High Memory Area, перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. При заражении использует недокументированные форматы DOS и "обходит" резидентные антивирусные блокировщики. В зависимости от системного таймера выводит достаточно длинное сообщение, начинающееся словами:

Светлой памяти гр.Xx-X посвящается.

Также содержит строку:

Still Alive virus. (c) Angry Boy, Vitebsk, 1998

Aref family

Резидентные вирусы, перехватывают INT 21h и записываются в конец запускаемых файлов. "Aref.533,670" заражают только COM-файлы, "Aref.890" заражает COM и EXE.

"Aref.533" содержит в своем коде процедуру заражения EXE-файлов, однако эта процедура никогда не вызывается и более того - частично затерта зашифрованным текстом:

 -= PERSIAN GULF =-Hey you! Jump to the FIRE!This is a VIRUS, By:Aref Karimi (Wizard) The Last days of 1375. Be happy, he he

"Aref.670" также перехватывает INT 17h, 33h и блокирует мышку и печать на принтере. По 6-м числам ежемесячно стирает CMOS, расшифровывает и выводт текст:

"Aref V.2.0" sends the greetings anddeep regards to U. he is looking forsomeone to talk to, please contact tothe following EMAIL address :Aref@REMOVED.CMOS.DATA !Sig: Aref.K.1998 ;)

"Aref.890" по четвергам стирает CMOS, перехватывает INT 1Ch и при каждом вызове таймера (примерно 18 раз в секунду) выводит текст:

[ AREF V.3.0 ]

т.е. завешивает компьютер и заполняет этой строкой экран. Если в коде вируса эта строка заменена на другую, вирус стирает CMOS вне зависимости от дня недели. Вирус содержит также текст:

<< Towards a better tomorrow! >>

Alicia.6554

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец обнаруженных COM- и EXE-файлов. При перехвате INT 21h правит код первоначального обработчика INT 21h: записывает в него команду перехода на свой код. Размножается при поиске файлов в каталоге (FindFirst/Next). Также дописывает свой "дроппер" (зараженный файл-пустышку) в обнаруженные файлы-архивы. Имя дроппера выбирается случайным образом, например (все имена полученные экспериментальным путем):

HDBK.COM, HDNK.COM, HDDK.COM, HDOK.COM, HDPK.COM, KDHD.COM

Архивные файлы вирус определяет по расширениям. Список расширений инфицируемых архивов выглядит следующим образом: ZIP, ARJ, RAR, ACE, HA, ARC, PAK, LZH, LHA, ZOO. При заражении архивов вирус самостоятельно разбирает их внутренний формат и создает новые блоки данных. Всего вирус обрабатывает 8 различных типов архивов: ZIP, ARJ, RAR, ACE, HA, PAK/ARC, LZH/LHA, ZOO (через "слеш" указаны архивы, использующие один и тот же формат).

В проведенных тестах не удалось заразить архивы PAK/ARC. При извлечении дроппера из LZH/LHA архива происходило зависание программы-архиватора. С остальными зараженными архивами никаких проблем не возникало.

При запуске инфицированного файла 24 мая или если запущен файл-дроппер, то вирус показывает поочередно большие мигающие буквы в центре экрана:

A l i c i a # Version Gamma 0 . 1 # by Star0 I K X In honor of B0z0 ikx

Демонстрации вирусных эффектов:

ALICIA.COM

Antipas.1101

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске. После заражения каждого файла выводит сообщение:

Привет учащимся комплекса "Старт" !Жми любую клавишу...

Блокирует создание и открытие файлов с расширением .PAS (исходные тексты Pascal-программ), при этом выводит сообщения:

Ты чего, на Паскале пишешь?!Настоящие программисты пишут на Ассемблере!Жми любую клавишу...

Antiscan.508

Очень опасный нерезидентный вирус. При запуске ищет *.G??-файлы и уничтожает их. Создает файл, куда записывает свое тело. Выводит строку:

Shouldn't oughta be looking at nasty shit

AntiSkola.2111

Опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец запускаемых COM- и EXE-файлов. При заражении COMMAND.COM записывает команду перехода на код вируса в середину файла по фиксированному адресу и таким образом скрывает свой код, однако этот метод работает только для конкретных версий COMMAND.COM и портит его в других версиях DOS, включая DOS 7 (Win95).

При вызовах INT 9 (клавиатура) вирус в зависимости от системного таймера изменяет данные в буфере клавиатуры. Также в зависимости от таймера запрещает запуск программ TURBO.EXE и TPX.EXE, а при инсталляции в память расшифровывает и выводит текст (см. ниже), проигрывает мелодию и завешивает компьютер:

Dobry den,predstavuje se Vam virus AntiSkola.Tento virus byl napsanpro demonstraci idealniho preziti viru ve skolnim prostredi.Doufam,ze se Vam bude libit.

Moje podekovani patri zejmena : Firme Borland International Inc. za TurboAssembler a TurboDebugger Skole za to,ze mi umoznila nerusene programovat Firme Microsoft za "operacni system" MS-DOS,ktery byl koncipovan primo pro viry.Na prikladu WINDOWS 95 je jasne videt,ze se stale teto filozofie nevzavaji.Mozna by si meli neco precist o protected modu a preemtivnim multitaskingu.

At zije SOSE v Brne na Obranske !!

AntiTrace, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов. Вирус перехватывает создание или открытие файла и заражает файл при его закрытии. При открытии зараженного файла вирус лечит его. Вирусы используют антиотладочные приемы.

"AntiTrace.1334" очень опасен. Перехватывает INT 13h и при записи на дискеты портит их системные области.

"AntiTrace.1946,2122" неопасны. Перехватывают INT 1 или INT 3. При трассировке INT 21h выводят тексты:

"AntiTrace.1864,1946":

+--------- Anti_Trace ----------+|                               || Loading AntiVirus Was Created ||     by Invalid Programmer.    ||                               ||         [ Continue ]          |+-------------------------------+

"AntiTrace.2122":

+--------- Anti_Trace ----------+|                               || Loading AntiVirus didn't find ||     me yet. I'm so sorry!     ||                               ||         [ Continue ]          |+-------------------------------+

Вирусы также содержат строки:

Демонстрации вирусных эффектов:

ANTITRAC.COM

AntiWin, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. При запуске какого-то COM-файла (WIN.COM от какой-то версии Windows?) вирусы уничтожают файл \WINDOWS\WIN.INI. Вирусы содержат строки:

Anti-Win 1.0(C) Zarathustra & Morgan\WINDOWS\WIN.INI

Antiwin_II.2320

Опасный резидентный зашифрованный вирус. Трассирует INT 21h, перехватывает INT 9, 21h, 2Fh и записывается в конец .EXE-файлов при их запуске. Сравнивает имена файлов со строкой (по 4 символа на имя):

DRWEAIDSMSCAANTIAVP WEB SCANMSAVVSAFGUARADINKRNLDOSXWSWADSWAWIN3

и не заражает некоторые антивирусы и утилиты. Использует динамическую рас/зашифровку своего кода, для этого временно перехватывает INT 1. Содержит ошибки и иногда вешает компьютер при заражении файлов.

В некоторых случаях изменяет вводимые с клавиатуры символы. При инициализации Windows (INT 2Fh AX=1605h) в зависимости от системного таймера выводит текст и завешивает компьютер:

Use registered copies of MS Windows

Вирус также содержит строки:

Greetings from MrStrange, Kiev T.G.Shevchenko University>Antiwin<, (c) by MrStrange.

Первая копия вируса (авторский оригинал) также содержит строку:

MrStrange hails you from Kiev! My first virus

AntiWin_III, семейство

Опасные нерезидентные вирусы. Ищут COM-файлы в текущем и родительских каталогах и записываются в их конец. Если найден файл с именем WIN*.COM, вирусы записывают вместо него программу, которая при запуске выводит текст и возвращает управление DOS:

This program requires Microsoft Windows

"AntiWin_III.465" также содержит строку:

->AntiWindows<-

"AntiWin_III.1342" в зависимости от установленного BIOS выводит текст и возвращает управление DOS:

This computer is virus protected

2-го декабря этот вирус выводит текст:

Hi ! I'm AntiWindows v.2.0 !Сегодня мой ДЕНЬ РОЖДЕНИЯ !Хотите меня поздравить ? (y/n)

В случае ответа 'Y' выводит текст и возвращает управление DOS:

Ааааааагромное спасибо !Отдыхайте, сегодня работать не будем !

В случае 'N' выводит текст:

А зря ! Я обиделся :( Мстить буду :-E~

Затем записывает в начало файла C:\AUTOEXEC.BAT команду "GOTO LMD", а в конец - команды, форматирующие винчестер компьютера (грамотность - по оригиналу):

:LMD@ECHO OFFCLSECHO.ECHO.ECHO.ECHO.ECHO Я обидился ! Надо было все-таки поздравить меня с днем рождения !ECHO.ECHO Y | C:\DOS\FORMAT C: >nulECHO Bye ! See you next time !C:\DOS\BIRTHDAY.COMPAUSE >NULCLS

В файл C:\DOS\BIRTHDAY.COM вирус записывает код, стирающий содержимое винчестера.

Вирус также содержит строки, последняя дважды зашифрована:

->AntiWindows<-  (C)1997 by Alexey C.C:\autoexec.batC:\DOS\birthday.comЯ мстю !>Г..-ЧМО MRTK - SUXXX ! <

AO.784

Опасный резидентный вирус. Перехватывает INT 8, 10h, 21h и записывается в конец COM-файлов при обращениях к ним. В зависимости от своих счетчиков портит CMOS или перезагружает компьютер. В начале зараженных файлов содержится идентификатор:

ОO0

Если отключить драйвер кириллицы, он выглядит как "AO".

AOS, семейство

Безобидные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Содержат строки:

"AOS.833": AnGrY OdD ShOt 3 ViRuS"AOS.847": AnGrY OdD ShOt 2 ViRuS"AOS.854": AnGrY OdD ShOt 1 ViRuS

Ap.272

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку-идентификатор: "AP".

Apadana.1500

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при вызовах DOS-функции FindNext FCB. По 30-м числам и в зависимости от системного таймера вирус пищит спикером компьютера, сдвигает данные на экране, расшифровывает и выводит текст:

My name is APADANA I am a virus version 1.3

Демонстрации вирусных эффектов:

APADANA.COM

Apo.2108

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало .COM- и конец .EXE-файлов при их запуске. При заражении временно переименовывает файл в имя X$X$$X$X.$X$.

При заражении .EXE-файлов вирус корректирует размер заголовка файла таким образом, что первоначальное содержимое файла оказывается внутри заголовка. В результате файл содержит только заголовок и тело вируса. При запуске такого файла DOS грузит только тело вируса, затем вирус исправляет заголовок программы-носителя, запускает ее, а затем восстанавливает "зараженные" значения полей в EXE-заголовке.

Вирус также перехватывает INT 1Ch и спустя некоторое время стирает сектора дисков. Вирус содержит ошибки и при некоторых условиях "вешает" систему. Содержит зашифрованную строку:

ApoVir

Apocalipse.1685

Очень опасный резидентный зашифрованный вирус. Трассирует INT 13h, 21h, затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При инсталляции в системную память также заражает файл C:\DOS\MODE.COM.

Организует счетчик в 7-м секторе винчестера и увеличивает его на 1 при каждой инсталляции вируса в память. После 100-й инсталляции вирус портит CMOS и MBR винчестера, а затем выводит текст:

Apocalipse 2.0 por M.A.C.Isto В um vбrus - afaste-se do computador, sen|o constipa-se !Boa sorte nas reparaЗфes - nada estа perdido...TambВm, andavas a trabalhar demais - aproveita para descansar !Lembra-te: coisas destas sв ajudam a formar caracter - n|o,n|o precisas de agradecer, В um prazer ajudar...Voltarei...Preme uma tecla

Apparition, семейство

Опасные резидентные файловые вирусы.

Apparition.254,700

Копируют себя в видео-память по адресу BA00:0000 (это может привести к краху системы), перехватывают INT 21h и записываются в конец COM-файлов при их запуске.

"Apparition.254" зашифрован. "Apparition.700" перехватывает также INT 10h и запрещает смену видео-режимов (функцию INT 10h, AH=0). При переходе в подкаталог вирус ищет COM-файлы и записывается в них так же, как и при их запуске. Содержит строку:

THE APPARITION

Apparition.1248

Опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец запускаемых COM-файлов. При смене текущего каталога ищет COM-файлы и заражает их. Запускает системные часы назад - при каждом вызове INT 1Ch уменьшает системный счетчик времени. Содержит ошибки и при некоторых условиях завешивает систему. Содержит строки:

The Apparition virus, written by ********************************.It`s a second version of *****************************.THE APPARITION

Apparition.7035

Опасный резидентный полиморфик -вирус. Зашифрован как в файлах, так и в системной памяти. Активно использует 386-е инструкции и работает только на процессорах 386 и выше. Использует большое количество антиотладочных приемов, часть которых основана на особенностях процессора i386.

При запуске зараженного файла вирус расшифровывает свой код несколькими полиморфик-циклами и инсталлируется в системную память. Для противодействия отладчикам вирус временно перехватывает INT 1, 6, 0Dh, 34h и выполняет несколько довольно сложных анти-отладочных процедур. Вирус также ищет в памяти какую-то программу (резидентный антивирус?) и правит ее код.

Затем вирус освобождает прерывания, перехваченные до того, выделяет себе блок памяти, копирует туда свой TSR-код, перехватывает INT 6, 9, 10h, 1Ch, 21h, 2Fh, 77h и остается резидентно в памяти. Перед тем как возвратить управление программе-носителю, вирус ищет COM- и EXE-файлы и заражает их.

Вирус перехватывает INT 10h, но никак его не использует. INT 77h используется только для определения своей TSR-копии и предотвращения повторного заражения памяти. Перехват INT 2Fh используется для детектирования вызова MS-Windows AX=1605h, в этом случае вирус удаляет себя из памяти.

Перехватывает несколько функций INT 21h. При вызове Keep (AH=31h) вирус "присоединяет" свой код к программе, которая остается резидентной. При вызове Execute (AX=4B00h) вирус заражает запускаемый файл. При вызове ChangeDir вирус ищет COM- и EXE-файлы и заражает их.

При запуске файла LOGIN.EXE вирус активизирует свою процедуру взлома паролей: запоминает символы, вводимые с клавиатуры (для этого вирус перехватывает INT 9). Затем вирус сохраняет их в файл C:\RUSSIAN.FNT при окончании работы LOGIN.EXE (INT 21h, AH=4Ch).

Вирус записывает себя в COM- и EXE-файлы длиной меньше 55K. Не заражает файлы: COMMAND.COM, *HIEW.EXE и *EB.EXE. При заражении EXE-файлов конвертирует их в формат COM.

При заражении файлов вирус ищет в их коде заголовки C/Pascal-подпрограмм:

55 PUSH BP8B EC MOV BP,SP

и записывает вместо этого кода байты FFFFh. Если такая процедура получает управление, процессор генерирует INT 6 (Unknown Opcode), управление перехватывается обработчиком INT 6 в вирусе, который восстанавливает этот код и возвращает управление прерванной процедуре. В результате такие файлы практически невозможно вылечить, но они остаются работоспособными под зараженной системой, если не установлены memory managers типа QEMM. Если установлен QEMM или аналогичная утилита управления памятью, то вирус не получает управления по INT 6.

Для того чтобы защитить свой TSR-код от деактивации, вирус подсчитывает CRC-суммы трех своих основных процедур (заражение, INT 9 и INT 21h) и при каждом вызове INT 1Ch проверяет их. Для того чтобы защитить код своего обработчика INT 1Ch вирус хранит его "backup"-копию и при каждом вызове INT 9 сравнивает "backup" с оригиналом.

Под отладчиком или в том случае, если не сошлись CRC-суммы, вирус стирает CMOS, пищит спикером компьютера и завешивает систему.

При инсталляции вирус проверяет тип процессора и, если процессор ниже 386, выводит текст:

386 or later processor missing.Please replace processor, then press any key...

Также иногда сообщает:

Warning : This file is infected by Apparition !

Также содержит строки:

Here I am, can you see me Passing through, on my wayTo a place I'd been to only in my dreams ...before*.COM *.EXEC:\RUSSIAN.FNT****************THE APPARITIONTHE APPARITION IIMulti Layer Coder v 2.00. Jul '96

Appelscha.2161

Безобидный резидентный полиморфик -вирус. Трассирует и перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку:

Appelscha :-)

April1st (SURIV), семейство

Опасные резидентные вирусы. Перехватывают INT 21h и заражают запускаемые файлы. При создании своей резидентной копии используют часть схемы вируса "Jerusalem" .

April1st.COM

Записываются в начало .COM-файлов (кроме COMMAND.COM), запускаемых на выполнение. Опасны, так как не проверяют длину файлов. При заражении:

- создают файл TMP$$TMP.COM;- записывают в него свою копию;- дописывают в него заражаемый файл;- уничтожают заражаемый файл;- переименовывают TMP$$TMP.COM в имя заражаемого файла.

"April1st.COM.a" проявляется начиная с 1 апреля 1988 г. при заражении файлов. Выводит на экран:

APRIL 1ST HA HA HA YOU HAVE A VIRUS

и завешивает систему. В последующие дни сообщает:

YOU HAVE A VIRUS !!

5-го июля "April1st.COM.b2" выводит:

ENGLISH SUCKERS DIE IN BUENOS AIRES!

Вирусы семейства содержат строки:

COMMAND.COMTMP$$TMP.COM

и:

"April1st.COM.a": sURIV 1.01"April1st.COM.b": Suriv 4.02"April1st.COM.b2": cOcK!sUcKrI MADE IN ARGENTINA91

April1st.EXE

Поражает .EXE-файлы. Опасен - не вполне корректно работает с длиной файла. При заражении внедряется в середину файла между заголовком (EXE header) и загружаемым модулем, при этом вирус:

- создает файл TMP$$TMP.EXE;

- считывает из заражаемого файла первые 1Bh байт заголовка, модифицирует в них байты, соответствующие длине модуля, стартовым значениям CS, IP, SS, SP, контрольной сумме файла (устанавливается значение 1984h); затем записывает модифицированный заголовок в файл TMP$$TMP.EXE;

- копирует из заражаемого файла в TMP$$TMP.EXE таблицу настройки адресов (ТНА), модифицируя ее описанным ниже способом;

- дописывает к файлу TMP$$TMP.EXE копию вируса и загружаемый модуль инфицируемого файла;

- уничтожает заражаемый файл и переименовывает TMP$$TMP.EXE в имя заражаемого файла.

Незараженный файл     Зараженный файл+-----------+          +-----------+|EXE header | -------> |EXE header ||-----------|          |-----------||Загружаемый| ---+     |Вирус      ||модуль     |    |     |           ||           |    |     |-----------||           | -+ +---> |Загружаемый|+-----------+  |       |модуль     |               |       |           |               +-----> |           |                       +-----------+

Поскольку загружаемый модуль файла при заражении смещается на расстояние, равное длине вируса, то вирусу приходится производить соответствующие изменения в ТНА: у каждого элемента ТНА содержимое байтов, соответствующих смещению сегмента, увеличивается на значение, равное длине вируса в параграфах.

Начиная с 1 апреля 1988 г. при активизации расшифровывает (XOR FFh) и выводит текст:

APRIL 1ST HA HA HA YOU HAVE A VIRUS

и завешивает систему. В последующие дни текст не появляется, но вирус перехватывает INT 1Ch и завешивает систему приблизительно через 55 минут после активизации.

Содержит строки:

sURIVTMP$$TMP.EXE

April1st.AntiD

Перехватывает INT 9 (клавиатура), ждет 32 нажатия на клавишу 'D'. После этого клавиша 'D' "немеет": код этого знака не попадает в буфер клавиатуры.

April30.419

Неопасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. 30-го апреля выводит сообщение:

"NightBird goes,Along with the Queen..."

Также содержит строку:

*April 30 Virus*

April4.751

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. И под отладчиком и 4-го апреля форматирует винчестер.

Arab.834

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов (кроме COMMAND.COM) при из запуске на выполнение.

Организует счетчик в MBR по адресу 180h. Счетчик увеличивается на 1 при старте любого файла. При достижении значения счетчика 256 вирус записывает в первые 3 байта MBR код, который блокирует загрузку с винчестера.

Зараженные файлы в своем начале содержат текст "nsed Materi".

Aragorn.1522

Нерезидентный неопасный вирус. Ищет .COM- и .EXE-файлы и записывается в их конец. Содержит в себе строку:

(C)1992 Aragorn-Rome

28-го октября расшифровывает и выводит текст:

MUSSOLINI DUX

28 OTTOBRE ANNIVERSARIOMARCIA SU ROMA

BOIA CHI MOLLA

Демонстрации вирусных эффектов:

ARAGORN.COM

Arale.1526

Неопасный резидентный вирус. Дальний родственник вируса "Jerusalem" . Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске. В зависимости от текущей даты выводит текст:

FELICIDADES: xxxx(P) 1993 by Arale & Goku Corp.

где "xxxx" - одна из строк:

Maite C. P.Roberto R. I.Elsa B. E.Esther F. P.Carol C. B.David M. E.Anselmo B. V.

Также содержит строки:

COMMAND.COMMCP

Arara, семейство

Безобидные нерезидентные полиморфик -вирусы. При запуске ищут COM-файлы и записываются в их конец. Содержат строки:

ILASA MICALAZODA OLAPIRETA IALPEREJI BELIORE: DAS ODO BUSADIRE OIAD OUOARESACAOSAGO: CASAREMEJI LAIADA ERANU BERINUTASA CAFAFAME DAS IVEMEDA AQOSO ADOHOMOZ, OD MAOFASA. BOLAPE COMO BELIORETA PAMEBETA. ZODACARE OD ZODAMERANU! ODOCICALE QAA. ZODOREJE, LAPE ZODIREDO NOCO MADA, HOATHAHE SAITAN!

"Arara.1038":      [ARARA]"Arara.1375,1391": [ARARA2]

Arcs.1194

Безобидный нерезидентный вирус. Ищет .COM-файлы (кроме COMMAND.COM) и записывается в их конец. Содержит строки:

*.comDOSV V2 ****

Arcv, семейство

Неопасные вирусы, некоторые из них зашифрованны. Ищут COM- и EXE-файлы и записывается в их конец. Некоторые представители семейства используют полиморфик -алгоритмы. Содержат текстовые строки:

"Arcv.335":   [ARCV-6] Apache *.com"Arcv.839":   [ARCV-5] Apache Warrior, ARCV. Pres."Arcv.541":   [ARCV-7] Apache ARCV. *.exe"Arcv.562":   [X-1] ICE-9"Arcv.639":   [ARCV93] ICE-9"Arcv.651":   [ARCV-3] Apache Warrior."Arcv.664":   [ARCV-4] Apache Warrior, ARCV Pres. *.exe *.com"Arcv.670":   Made in ENGLAND. [ARCVXMAS] by ICE-9 Released June 1992."Arcv.679":   Naughty, Naughty... ARCV Productions Ltd. [ARCV-8] *.exe"Arcv.693":   [ARCV-2] Apache Warrior, ARCV. Pres."Arcv.718":   [SOLOMoN] ICE-9"Arcv.745":   [ARCV-9] Apache Warrior. *.com"Arcv.773":   [Slime] By Apache Warrior, ARCV Pres.              Sliming around your PC,              I go make a sticky MESS over your Hard Drive!"Arcv.795":   [SCROLL] ICE-9 ARcV \COMMAND.COM"Arcv.795.b": [X-2] ICE-9, -< ARCV >- Made in England.              Hi I'am called X-2, get my name right!              Look out for the X-3 twins."Arcv.826":   [ARCV-1] Apache Warrior, ARCV Pres."Arcv.827":   [ARCV-10] Apache Warrior."Arcv.839":   [FRIENDS] i486X"Arcv.916":   [JO] By Apache Warrior, ARCV Pres."Arcv.916.b": JO Exersiser Virus. Apache Warrior, ARCV Pres. [JOEXE]"Arcv.965":   [Joshua]"Arcv.986":   [JO] By Apache Warrior, ARCV Pres."Arcv.1060":  [X-3b] ICE-9 (c) 1992 ICE-9              Written Oct 1992 Look out 4 future Releases"Arcv.1072":  [ReaperMan] Apache Warrior"Arcv.1172":  [Sandwich] By Apache Warrior, ARCV Pres."Arcv.1208":  [SCYTHE] Apache Warrior, ARCV Pres.

"Arcv.795" 'сдвигает' экран вверх.

3-го марта "Arcv.562" предупреждает:

    ICE-9 Presents In Association with      The  ARcV        [X-1]Michelangelo activates   -< TOMORROW >-

В январе "Arcv.639" выводит текст:

Happy New Year from the ARCV Released 1 June 1992. Made in England by ICE-9

В феврале "Arcv.657" выводит:

Yo.. I`ve Just Found a Virus.. Opps.. Sorry I`m the Virus. Well let me introduce myself.. I am ARCV-3 Virus, by Apache Warrior. Long Live The ARCV and Whats an Hard ECU? Vote Yes to the Best Vote ARCV..

9-го мая "Arcv.664" выводит сообщения:

So Who`s the Best Then?Oh Well Sorry But The ARCV Are The Best!Well Your in Favor with Us then.

С 20 по 25 декабря "Arcv.670" поздравляет:

Happy Xmas from The ARCV.

В апреле "Arcv.693" выводит:

Help.. Help.. I`m Sinking........

"Arcv.718" выводит:

   Hello Dr Sol.        &      Fido.  Lurve U lots      ICE-9 (c) 1992 ARCV.

P.S.Apache sez Hi(Dos)

15-го июня "Arcv.826" сообщает:

Long Live The ARCV. MUFC for the League!(c) Apache Warrior, ARCV Pres. 92Welcome to the REAL World. And the ARCV 1 Virus!

"Arcv.827" сообщает:

Well its finally here The -= ARCV =-Welcome To our New Members..........

10-го декабря "Arcv.916" выводит:

Looking Good Slimline Joanna.Made in England by Apache Warrior, ARCV Pres.Jo Ver. 1.11 (c) Apache Warrior 92.

I Love You Joanna, Apache..

"Arcv.965" выводит:

+---------------------------------------------------+|  Guess what ???                                   ||     You have been victimized by a virus!!! Do not ||     try to reboot your computer or even turn it   ||     off.  You might as well read this and weep!   |+---------------------------------------------------+

"Arcv.986" выводит:

This is Dedicated To the Girl I Love, Joanna Dicks.Made in England by Apache Warrior, ARCV Pres.Jo Ver. 1.01 (c) Apache Warrior 92.I Love You Joanna, Apache..

"Arcv.1060" выводит:

   THE TWINS[X-3a] & [X-3b]ARE ON YOUR PC.     ICE-9

"Arcv.1072" выводит:

Reaper Man.(c) 92, Apache Warrior, ARCV Pres.

"Arcv.1172" выводит:

Which ARCV Member Likes a Sandwich? Cheese, Beef Spread, Cucumber and Crisp Corned Beef and Salad Cream Jaffa Cake and Hamster on Rye

Is it A. Apache Warrior B. ICE-9 C. SlartibartfastSelect a Letter:

Well you know you`re ARCV Members.Bad Luck.. Better Luck Next Time.

12-го декабря "Arcv.1208" выводит:

This is the Scythe for Reaper Man.Beware I`m Sharp!Made in England by Apache Warrior, ARCV Pres.Scythe Ver. 1.01 (c) Apache Warrior 92.Reaper Man Swung The SCYTHE and the PC Died!

Arcv.Anna.742,745

Выводит сообщение:

[ANNA] Slartibartfast, ARCV NuKE the French Have a Cool Yule from the ARcV xCept Anna JonesI hope you get run over by a Reindeer Santas bringin' you a Bomb All my Lurve - SLarTiBarTfAsT(c) ARcV 1992 - England Raining Again

Arcv.Alpha.743

Нерезидентный опасный зашифрованный вирус, ищет .COM-файлы и записывается в их конец. 5-го марта выводит сообщение:

Youre PC has ALPHA virus.Brought to you by the ARCV. Made in ENGLAND.

и завешивает компьютер. Также содержит внутри себя строки:

*.com *.*[ALPHA] by ICE-9Released July 1992.

Arcv.Benoit.1183

Опасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске или открытии. Иногда выдает на экран текст и завешивает компьютер:

[BENOIT] ICE-9.Made in Engalnd.

Также содержит внутри себя текст:

Release 5th November 1992 (c) 1992 ICE-9. Dedicated to BenoМt B. Mandelbrot

Arcv.Ice

Нерезидентные безобидные вирусы. Ищут .COM-файл текущего каталога и записываются в его конец. "Arcv.Ice.250,330" шифруют себя. Вирусы содержат в себе текст "*.COM" и

"Arcv.Ice.159" -   [159] ICE-9"Arcv.Ice.199" -   [199] ICE-9"Arcv.Ice.224" -   [224] ICE-9"Arcv.Ice.250" -   [250] ICE-9

В июле "Arcv.Ice.330" выводит текст: "[330] by ICE-9".

Arcv.Ice.642,678

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при их запуске или открытии. В начале января расшифровывают и выводят сообщение:

Happy New Year from the ARCV Released 1 June 1992. Made in England by ICE-9

Также содержат строки: "[ARCV93] ICE-9 r51xP".

Arcv.Joanna

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или закрытии. Периодически выводит сообщение:

Looking Good Slimline Joanna.Made in England by Apache Warrior, ARCV Pres.Jo Ver. 1.11 (c) Apache Warrior 92.

I Love You Joanna, Apache..

Также содержит текст:

[JO] Bъ Apache Warrior, ARCV Pres.

Arcv.More.649

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Периодически выдает на экран текст:

It's not dangerous memory resident encrypted parasitic virus. It hooks int 21h and writes itself at the end of COM- and EXE-files are executed. It types:

OH NO NOT MORE ARCV.

Также содержит в себе текст:

[MoRE] ICE-9

Arcv.Zaphod.399

Опасный нерезидентный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. 28-го февраля расшифровывает и выводит текст: "Greetings from ZAPHOD.", а затем завешивает компьютер.

Arcv.Dennis

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлы при их запуске. Периодически трещит динамиком компьютера и выдает на экран текст:

To Dennis Yelle You Need A Pay Rise!McAfee Eat Lead..........

Также содержит текст: "[Dennis-1] Apache Warrior, -= ARCV =- President.".

Arcv.Mcwhale

Неопасный нерезидентный зашифрованный вирус. Ищет и записывается в конец COM- и EXE-файлов. Выводит на экран текст:

......................................BEWARE!!!................................Anti-Virus.....Man.....John.....McAfee.....wrote.....the.....WHALE.....virus!!!..............................HONEST!!!....................................

Также содержит в себе текст:

by ABRAXAS - (c) 1992 Abraxas Warez

Демонстрации вирусных эффектов:

ARCV.COM

Areopag.480

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от значения таймера блокирует DOS-функцию ChangeDir. Содержит строку:

* Equus Trojanus v1.1 (C) AREOPAG No.15 *

Argentina

Резидентный неопасный вирус, перехватывает INT 21h и записывается в начало стартующих .COM-файлов (кроме COMMAND.COM). При этом вирус создает файл MOM.MOM, записывает туда себя, затем добавляет заражаемый файл, удаляет его и переименовывает MOM.MOM в его имя. Если стартует COMMAND.COM вирус проверяет текущую дату и 25-го мая, 20 июня, 9 июля, 17 августа выводит одно из сообщений:

25 de Mayo Declaraciвn de la independencia Argentina20 de Junio Dia de la bandera Argentina9 de Julio Dia de la independencia Argentina17 de Agosto Aniversario de la defunciвn del Gral. San Martin

Затем выводит:

Argentina Virus escrito por AfA - Virus benigno - ENET 35Pulse una tecla para continuar...

Также содержит строки:

Argentina Virus 1.00COMMANDCOM:MOM.MOM

Ari.1962

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Зараженные файлы содержат строку в своем начале:

Ari is a NARC

С вероятностью 1/2 вирус выводит сообщение:

Real Name: John A. BuchananAlias: Page, Jimmy Page, AristotleHome Phone: (804) 595-2672Work Phone: (804) 857-6000BBS Phone: Black Axis, (804) 599-4152Address: 502 Hammond StreetCity/State: Newport News, VirginiaEmployer: Information Technology SolutionsWork Loc: 2551 East ElthomaInMode: Unstable, InsecureExMode: Egoist, BraggartMotivation: Power (or the appearance thereof)Intelligence: Average (below average for computer underground)

Please Press Any Key To Continue..........

Details: John A. Buchanan, better known as Aristotle (or ARiSToTLE), is a memberof the ever-degrading Virus eXchange (VX) underground. Not a programmerof any degree himself, he has relied on his mouth to gain a name in thescene. Aristotle runs a BBS system dedicated to exchanging viruses, andclaims to be a member of NuKE, an elite underground group with a partialfocus in viruses. NuKE, however, seems to view him as a pest - at best. For an occasional power-trip, Aristotle has been known to post realinformation, including name, phone, etc. of virus writers to attempt toscare them. He has allegedly given the same information to law-enforcementagencies on several occasions, and seems to have been the cause of severalpeople's arrests. This is the only way, it seems, that he can feel thathe has any power. He is also commonly inciting flame wars (arguments ona very base level) for a similar purpose.

Please Press Any Key To Continue..........

Демонстрации вирусных эффектов:

ARI1962.COM

ArjDropper.402

Безобидный нерезидентный вирус-червь. При запуске ищет .ARJ-файлы и добавляет к ним свою копию. Копия вируса имеет имя RUNME.COM и записывается в архив в формате данных ARJ. Вирус содержит строки:

*.ARJARJDrop by Qark/VLADRUNME.COM

ArjRar.2821

Неопасный нерезидентный вирус-червь. При запуске ищет .ARJ- и .RAR-файлы и добавляет к ним свою копию. Копия вируса имеет имя RUNME.COM в архивах ARJ и RUN_ME_.COM в RAR и записывается в архив в формате заражаемого архива (т.е. в формате данных ARJ или RAR).

В августе вирус создает файл PRESENT.COM и записывает в него программу, которая при запуске сообщает:

Citat klasika:

K anielovi chrbtom.Tak zacal som cestou hirechu ist.K anielovi chrbtom,len 12 krokov,a 12 ozvien na ne,a dosiel som tam,kam som nemal pristDedicated to my friends Suzy&PEDRO

[an ANGEL-Sign of immortality]         by Blesk 8^)

Present by Blesk wish You HAPPY B-DAY Suzy

Вирус также содержит строки:

*.ARJ *.RARRAR'n'ARJ Dropper by Qark/VLAD.RAR support included by Blesk

ArjVirus

Опасный нерезидентный вирус-червь (worm). Ищет архивные файлы *.ARJ и добавляет в них свою копию. Ищет ARJ-файлы в текущем и во всех родительских каталогах. Если архивный файл найден, вирус создает временный файл-червь с расширением .COM и случайно выбранным именем, например BHPL.COM, NLJJ.COM, OKPD.COM и т.д. Длина имени равна четырем байтам. Затем вирус записывает себя в этот файл, добавляет мусор (чтобы файл-червь был различной длины в разных случаях поражения архивов).

Этот файл-червь добявляется к тем файлам, которые уже упакованы в обнаруженном архиве. Вирус делает это при помощи самого архиватора ARJ: запускает копию процессора COMMAND.COM с указанием имени файла для выполнения. Строка, которая передается функции EXEC, выглядит следующим образом:

c:\command.com /c arj a <arj-file> <filename>.com

где 'a' - параметр архиватора ARJ.EXE, при этом файл будет добавлен к уже упакованным файлам. <arj-file> - имя обнаруженного файла-архива, <filename> - имя файла-червя. Параметр "/c" предписывает командному процессору COMMAND.COM выполнить указанный файл (ARJ.EXE) и отдать управление вызвавшей программе.

Затем вирус уничтожает временный файл и ищет следующий ARJ-файл. Если таковых больше нет, вирус возвращается в DOS.

Assassin.4834

Неопасный нерезидентный зашифрованный вирус. При запуске ищет EXE-файлы и записывается в их конец. Проявляется видео-эффектом, выводит текст:

FRФM HРLL I CТMР TФ TТKР Т LНFР ТWТY, Т SФЧLР I MЧST CФLLРCTYЩЧR BLЩЩD MY WТTРR YЩЧR FLРSH MY BRРТD.. TФDТY YФЧ MРРT YФЧR РND -ASSASSIN

Демонстрации вирусных эффектов:

ASSASSIN.COM

Assignation, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. При заражении памяти "Assignation.653" устанавливает системную дату на 5-е февраля. Остальные вирусы никак себя не проявляют. Содержат строки:

"Assignation.426,436": 386 Virus - by Qark/VLAD - 1996

"Assignation.653":

kraD evoLHello.... This is Assignation Virus V1.00...^_^Today You will have a Date for Someone:-)May Be with you friend,Brother,or Dark Lover:-)Copy Allright By Dark Lover ^_^ 04/22/1996in Kaohsiung,Taiwan,R.O.C

Astra, семейство

Astra.498,510,521

Резидентные неопасные вирусы. Поражают SYS-файлы текущего каталога при каждом вызове функции DOS FindFirst. Записывается в конец файлов, у которых изменяет только адрес подпрограммы прерывания (interrupt). Свою TSR-копию записывает в таблицу векторов по адресам 0020:xxxx. Перехватывают INT 21h

Содержат текст "(5)" и в зависимости от версии вируса одну из строк:

(C) AsTrA,1990,JPN(C) AsTrA,1990(C) AsTrA,JPN(C) AsTrA, 1991

Выводят на экран фразы:

I like cold flavour !I like fragrant smell of flower!I like a flower's smell!

"Astra.7821" выводит картинку в графическом видео-режиме.

Astra_II

Очень опасные резидентные вирусы, зашифрованы, записываются в файлы текущего каталога при старте зараженного файла и затем в файлы, запускаемые на выполнение. Перехватывают INT 21h. "Astra_II.505,882,976" поражают только COM-файлы, "Astra_II.927,1010" - COM- и EXE-файлы, "Astra_II.1556" - COM-, EXE- и SYS-файлы.

В зависимости от значения системного таймера шифруют (XOR 55h) таблицу разбиения диска в MBR винчестера, некоторые из них затем меняют таблицу шрифтов экрана. Содержат строки:

"Astra_II.505":      (C) AsTrA, 1991   (1)

"Astra_II.882,976":  (C) AsTrA, 1991   (2)

"Astra_II.927":      (C) AsTrA, 1991   Child's Play   (3)

"Astra_II.1010":     (C) AsTrA, 1992   (3)

"Astra_II.1556":     Child's Play   (C) AsTrA                     4D  *.COM *.EXE *.SYS  (4)

Демонстрации вирусных эффектов:

ASTRA.COM

Astron.1056

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Содержит строку:

Astron.Solar by 1996-96 Inc.

Нерезидентен, но оставляет после себя резидентную программу, которая перехватывает INT 1Ch, 21h и через некоторые промежутки времени расшифровывает и выводит текст:

Лукашенко - ЛОХ !

По 27-м числам вирус вирус записывает в boot-сектор диска C: команду холодной перезагрузки (JMP FFFF:0000) и приведенную выше строку текста.

Atas, семейство

Нерезидентные (кроме "Atas.1268") неопасные вирусы. Часть кода вирусов зашифрована. При старте заражают COM-файлы текущего каталога. После заражения могут вывести фразы: "OK." или "I like to travel...". Содержат текст: "*.COM" и

"Atas.384": ATAS(Kiev) V3.03 Cr.91.10.11 "Atas.400": ATAS V0.1 Cr.24.01.92 "Atas.1268": ATAS Corporation.(C)Copyright (B)BadWare

"Atas.1268" резидентен, при нажатии на клавишу PrintScreen осыпает символы на экране. Перехватывает INT 5, 21h.

Atas.3215,3233,3321

Неопасные резидентные зашифрованные стелс -вирусы, перехватывают INT 8, 10h, 16h, 1Ch, 21h и записываются в конец COM-файлов при доступе к ним. Эти вирусы содержат текстовые строки:

byemusiclettersisplayBye-Bye.ATAS Corporation.(B)1992 ,V1 Created in the Kiev by ATAS.

Вирусы перехватывают вызов клавиатуры и сравнивают вводимые слова со словами из списка: 'bye', 'music', 'letters', 'isplay'. В том случае, если введено одно из этих слов, вирусы:

'music' - проигрывают мелодию;'letters' - осыпают знаки на экране;'isplay' - меняют положение курсора на экране;'bye' - выводят текст 'Bye-Bye.' и удаляют из памяти TSR-часть вируса.

Демонстрации вирусных эффектов:

ATAS.COM

ATB.1522

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. В зависимости от своего счетчика выводит текст:

Welcom jion in A block troop of ComputerThis virus made by ATB(1991/4)

Athens, семейство

Безобидные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлы при обращениях к ним. Содержат тексты:

"Athens.1463":   TROJECTOR II,(c) Armagedon Utilities, Athens 1992"Athens.1510":   FOETUS 2.a Athens 1993"Athens.1561":   TROJECTOR ]I[,(c) Armagedon Utilities, Athens 1992,                 Greetings to Vesselin"Athens.1561.b": FOETUS Version 1.1 Athens 1993"Athens.1561.c": TROJECTOR ]I[,(c) Armagedon Utilities, Athens"Athens.1642":   Koufidis Series (c), Distortion Utilities, Athens 92

Atomant, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых файлов.

Atomant.564

Заражает только COM-файлы. Перехватывает также INT 80h и при соответствующем вызове удаляет себя из оперативной памяти. Через час после заражения памяти при удалении файлов вирус выводит текст и блокирует удаление файлов:

Hаt igazаn nem kedveltek bennБnket ?

Также содержит строку:

AtomAnt v1.00

Atomant.2143

Зашифрован. Перехватывает INT 1, 9, 1Ch, 21h. Заражает COM- и EXE-файлы. Выводит строки:

A billentyЦzet 5000 leБtВsig garanciаlis.Ez most lejаrt.KВrem cserВlje ki !Csak aztаn idejВben hagyja abba !Ez nem SKПLA аru!!!!Hаt igazаn nem kedveltek bennБnket ?MC Hammer rap-sztаr Вs PEPSI УrБlt, de most kicserВltБk a PEPSI-Вtvalami mаsra ... FILLING, NOTHING MORE THEM FILLING ...KВrem fogadjon el egy vбrust a vallаsi eszmВlВs egyhаzаtвl.Nem akar adakozni ?Tгl rВgi ROM-BIOS verziв ! CserВlje ki гjabbra !Atomant v3.0 ErУsebb, mint valaha !CsУtФrВs az I-O csatornаbkan.KВrem azonnal hбvjon szerelУket!!!TФmeg van az adatbuszon.Gyorsбtsa meg az a

Atomic, семейство

Опасные нерезидентные вирусы, ищут .COM-файлы и записываются в них. "Atomic.232,371,480" записывают себя вместо файлов (такие файлы не восстанавливаются). Остальные вирусы семейства записываются в конец файлов.

Вирусы содержат строку "*.COM" и некоторые другие строки, которые иногда выводятся на экран, после чего компьютер либо перезагружается, либо зависает

"Atomic.232,350" при ошибке заражения выводят последнюю из строк:

"Atomic.232":

The Tricky Dicky Virus*.COM [TrickyDicky] Created in the city of TorontoBad command or file nameFail on INT 24 .. NOT!!

"Atomic.350":

[TAD2A] Created by Memory Lapse of Ontario, Canada[TAD2A] The Atomic Dustbin 2A - Just Shake Your Rump!Fail on INT 24 .. NOT!!

"Atomic.371" по 25-м числам выводит вторую из строк, последняя строка выводится при каждом запуске вируса:

[TAD1A] Memory Lapse -- Toronto, CANADAThe Atomic Dustbin 1A -- This is just the first stepBad command or file name

"Atomic.480" по первым числам выводит врорую строку, по 26-м числам выводит последнюю:

[TAD1B] Memory Lapse -- Toronto, CANADAThe Atomic Dustbin 1B --This is almost the second stepProgram execution terminatedThe Atomic Dustbin - YOUR PHUCKED!

"Atomic.831":

*.COM \COMMAND.COM \DOS\COMMAND.COMCopyright (c) 1993 Memory Lapse - Ontario, Canada[TAD2B]-The-Atomic-Dustbin-2BUnable to infect programFail on INT 21+------------------------------------------+| The Atomic Dustbin 2B - I'm Here To Stay |+------------------------------------------+

Attack.3584

Очень опасный нерезидентный вирус. Ищет .COM- и .EXE-файлы и записывается в их конец. Также заражает файлы C:\DN\DN.COM, C:\MOUSE.COM, C:\MOUSE\MOUSE.COM, C:\NC\NC.EXE. В зависимости от каких-то условий создает файл C:\DOS\MBS.TXT, стирает CMOS и сектора дисков, выводит текст:

mAsSiVe AtTaCk

Attention.629

Опасный нерезидентный вирус. Ищет .COM-файлы текущего каталога и записывается в их начало. Крайне примитивен. 800-й "потомок" вируса при старте должен сообщить "Attention! I'm virus", однако вирус содержит такое количество ошибок, что вряд ли доживет до такого почтенного возраста.

Attention.394

Резидентный опасный вирус. Перехватывает INT 21h и заражает .COM-файлы при их загрузке в память. Копирует себя в конец файла и изменяет его первые 16 байт :

+-----------------------------------------------------|JMP Loc_Virus|A T T E N T I O N !|1Ah| файл+----------------------------------------------------- 3 байта 12 байт 1 байт

При создании своей резидентной копии использует самые старшие адреса доступной памяти. Перехватывает INT 24h, но не восстанавливает его первоначальное значение - это может привести к зависанию системы. Снимает атрибут read-only и не восстанавливает его.

Проявляется при заражении файлов на защищенном от записи диске - у дисковода A: включается мотор (вне зависимости от диска, к которому идет обращение). Зараженные файлы, начиная с 4-го байта, содержат строку "ATTENTION !".

Aurea, семейство

Очень опасные нерезидентные самошифрующиеся вирусы, ищут .COM-файлы (кроме COMMAND.COM) в текущем каталоге и каталоге C:\DOS\ и записывают себя в их конец. Первого марта выводят текст:

I'm sorry, you lost something because of AUREA

стирают сектора диска C: и завешивают компьютер. По первым числам ежемесячно стирают также случайно выбранный сектор.

Aussie.147

Очень опасный нерезидентный overwriting-вирус. При запуске ищет .COM-файлы и записывается в их начало, при этом не сохраняет старого содержимого файлов. Содержит текст:

..."AussieBoy" virus from DownUnder... ...Coeo ergo sum...

Armagedon, семейство

Резидентные опасные вирусы. Перехватывают INT 8, 21h и записываются в начало запускаемых .COM-файлов (кроме COMMAND.COM). С 5.00 до 6.00 утра пытаются позвонить через модем по какому-то телефону (телефон справочной стужбы Time and Temperature Service в Греции?). Содержат текст:

Armagedon the GREEK

"Armagedon.1079.c" содержит текст:

The Greek - DROPPER

Arriba.1590

Резидентный неопасный вирус, перехватывает INT 21h и поражает COM-, EXE- и OVL-файлы. 24-го ноября перехватывает INT 8 (таймер) и выводит на экран текст:

Cara al sol con la camisa nueva que tu bordaste rojo ayer hallaras la muerte si te llega y no te vuelvo a ver formare junto a mis compaдeros que hacen guardia sobre los luceros impasible el ademan y estаn presentes en nuestro afan si te dicen que cai me fui al puesto que tengo alli volveran banderas victoriosas al paso alegre de la paz y seran prendidas cinco rosas las flechas de mi paz volvera a reir la primavera que por cielo y tierra y mar esperan arriba a Espaдa y a vencer, que en Espaдa empieza a AMANECER 20-N-90 Spain Jaws & Shark ARRIBA ESPAеA

Демонстрации вирусных эффектов:

ARRIBA.COM

Artem.2165

Неопасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их (стелс-процедура). При запуске утилит компрессии или проверки файлов выключает свои стелс-процедуры. Такими утилитами являются: ARJ, BSA, CHKDISK, DIET, ICE, LHA, PKLITE, PKZIP, RAR. В зависимости от своего счетчика "трясет" экран. Содержит текстовые строки, первая из которых содержит имена утилит, перечисленных выше (по три символа на имя):

ARJBSACHKDIEICELHAPKLPKZRARИгорь EXECOM Artemiev I.A.

Arusiek.817

Резидентный неопасный вирус, перехватывает INT 21h и поражает .COM- и .EXE-файлы кроме MKS.*, NAV.*, CLEAN.* и COMMAND.* при обращении к ним. Также перехватывает INT 16h (клавиатура) и периодически заменяет вводимый текст на строку "Arusiek R.".

AS.594

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Зараженные файлы содержат строку-идентификатор "AS" по смещению 0017h. После заражения 16-го файла вирус выводит текст:

Call Ghost Busters for cure virus! Xa-Xa-Xa!!!$

Также содержит строку:

*** (C) Skvernuk & Company Inc. Minsk 1993 ***

Asahi, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и при вызове команды поиска файлов (FindFirst, AH=4Eh) ищут COM-файлы и записываются в их начала. При запуске EXE-файлов вирусы ищут в них строку "Marek Sell" и, если таковая обнаружена, перезагружают компьютер ("Asahi.1061" при этом так же портит сектора винчестера).

В зависимости от системного времени и даты вирусы перехватывают INT 08h, через час перехватывают INT 13h и запрещают чтение/запись через INT 13h.

Содержат зашифрованные строки:

"Asahi.1045":  STOP 0.01 Virus (c) Red Hacker - wersja beta"Asahi.1061":  (c) ASAHI, 17.05.1994, Zielona Gвra

ASCh.794

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при их запуске. В зависимости от своего счетчика "осыпает" символы на экране и выводит текст:

Remember about XT in world of PC

Также содержит строки:

AlphaVirus [06] Copyright (C)1995 AlphaSoft(Russia,St.Petersburg,ASCh,12/20/95

Демонстрации вирусных эффектов:

ASCH.COM

Ash, семейство

Нерезидентные вирусы. При запуске ищут COM-файлы и записывается в их конец.

Ash.708,712

Неопасные самошифрующиеся вирусы. Создают и заражают файл C:\COMMANDx.COM ('x' - это FFh). Запускают резидентную программу, которая перехватывает INT 08h и играет с видео-портами. Вирусы содержат/выводят строки:

Bad command or file nameC:\COMMAND.COM*.COM

Ash.743,817

Очень опасные самошифрующиеся вирусы. В зависимости от текущего времени стирают сектора дисков и выводят сообщения:

"Ash.743":

Abort, Retry, Ignore, Fail?Fail on INT 24Impotence error reading user's dickProgram too big to fit in memoryCannot load COMMAND, system haltedJoker!

"Ash.817":

Abort, Retry, Ignore, Fail?Fail on INT 24May SATAN prevail on this system!I summon you!DEMON! ver рр by Vipor!

Ash.Pizza

Очень опасные самошифрующиеся вирусы. Стирают сектора дисков. Выводят сообщения:

Abort, Retry, Ignore, Fail?Fail on INT 24I'm hungry! Insert PIZZA & BEER into drive A: and Strike any key when ready...Impotence error reading user's dickProgram too big to fit in memoryCannot load COMMAND, system haltedI'm sorry, Dave.... but I'm afraid I can't do that!Format another? (Y/N)?Damn it! I told you not to touch that!Suck me!Cocksucker At Keyboard error reading device CON:I'm sorry, but your call cannot be completed as dialed.Please hang up & try your call again.No!Panic kernal mode interruptCONNECT 1200лOkay, okay! Be patient! ...And if I refuse?Fuck the world and its followers!You are pathetic, man... you know that?Cum on! Talk DIRTY to me !!!Your coprocessor wears floppy disks!Joker! ver рр by TBSI! Remember! EVERYTHING's bigger in Texas!

Ash.Riot

Опасные вирусы. В зависимости от текущей даты стирают сектора дисков. Содержат текст:

Naked Truth! Hi-Tech Assasins - Ready To Take On The World// DEATH TO ALL - PEACE AT LAST // The Unforgiven / Immortal Riot

Asmodeous, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в середину COM- и EXE-файлов при их запуске или открытии. При заражении файлов случайным образом переставляют свой код (см. вирус "Badboy" ). 11-го ноября уничтожают файлы при вызовах функций FindFirst/Next (AH=4Eh,4Fh). Содержат строки:

"Asmodeous.1160": ASMODEOUS"Asmodeous.1343,1829,1833": Asmodeous"Asmodeous.1437,1450": Asmodeous 9C

AsmVir, семейство

Вирусы AsmVir ищут .ASM-файлы в текущем каталоге и записывают вместо них свой шестнадцатеричный дамп. Для того чтобы этот дамп мог быть потом скомпилирован, вирусы "обкладывают" его командами ассемблера:

;~ <- идентификатор зараженияcasmseg segmentassume cs:casmseg,ds:casmseg,ss:casmsegorg 100h.radix 10start:

db ... <- дамп вирусаdb ...

casmseg endsend start

Результатом компиляции и линковки таких ASM-файлов являются вполне работоспособные копии вируса.

Вирусы содержат текст-копирайт:

ASMVirus by Qark/VLAD042

AsmVirus

Опасный нерезидентный вирус. При запуске ищет .ASM-файлы, переименовывает их с расширением BAK, затем записывает свой код вместо .ASM-файла. При этом код записывается в формате ассемблера:

.MODEL TINY.CODEORG 256a: DB 0FCh DB 0B4h ... < 16-чный код вируса > ...ENDSEND a

Результатом компиляции такого ASM-файла является вполне работоспособный вирус.

Вирус содержит строки:

0123456789ABCDEF.MODEL TINY.CODEORG 256a:ENDSEND ahDB*.asm bak 0

Asp, семейство

Опасные резидентные вирусы. Записывает свою резидентную копию по адресу 9000:9000 без коррекции системных блоков памяти, это может привести к зависанию компьютера. Перехватывают INT 21h и записываются в конец открываемых и запускаемых .COM-файлов. Содержат текст:

ASP

Ass.476

Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. 31-го мая портит boot-сектора дискет, 25-го декабря стирает MBR винчестера. Содержит строку:

Asshole

Assassin_II.959

Опасный резидентный стелс -вирус. Перехватывает две функции INT 21h (CloseFile и ReadHandle) и записывается в начало COM- и EXE-файлов при их закрытии. При этом начало файла сохраняется за его пределами (см. вирус "Beast" ). При чтении из файла вирус подставляет его в незараженном вмде.

Использует несколько довольно сложных приемов. При инсталляции не перехватывает INT 21h, а исправляет внутренние таблицы DOS так, чтобы получить управление при вызове функций закрытия и чтения из файла. Это может привести к зависанию некоторых "нестандартных" DOS. При заражении файлов вирус использует недокументированные System File Table и вызовы INT 2Fh.

Вирус содержит строку:

This is [Assassin] written by Dark Slayer in Keelung. Taiwan <R.O.C>

Australian, семейство

Australian.118,122,142,143,147,150,153

Безобидные нерезидентные вирусы, записываются в начало .COM-файлов. Никак не проявляются.

Australian.162

Безобидный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. В начале зараженных файлов содержится строка "AP".

Australian.306,338,377,424,440,615,635,673,726,784,819,1179

Резидентные безобидные вирусы, перехватывают INT 21h и записывают себя в конец COM-файлов при их запуске. Содержат в себе тексты:

"Australian.338":

It is pitch black. You are likely to be eaten by a Grue.

"Australian.377":

Kill Dorn W. Stickle(C) 1992 Australian Parasite

"Australian.424":

Anke HuberAnke Huber is the best tennis player in the world.says the Australian Parasite.(C)'93 Aust.

"Australian.440":

Anke Huber is kicken butt on her way to be the number one womens tennis playerArantxa Sanchez-Vicario is a steroid abuser.

"Australian.615":

A Kevin MitnickU Lenny DiCcocoS Hans HubnerT 414's. Legion of Doom Phiber OptikP Dr Popp Robert Morris1 Shooting Shark9 Chesire Catalyst9 Captain Crunch2 Ron Austin Kevin Poulsenare all to be congratulated

"Australian.635":

Kevin Mitnick Lenny Dicco Hans HБbner 414's Legion of Doom Phiber Optik Dr Popp Robert Morris Shooting Shark Chesire Catalyst Captain Crunch Ron Austin Kevin Poulsen Edward Singhare all to be congratulated

"Australian.726":

LURKING VIRUSAn interactive virus program - a Hackers HavenCopyright (c) 1987 by Infocom, Inc. All rights reservedIn collaboration with the Australian ParasiteLURKING VIRUS is a trademark of Infocom, Inc.Release 63 / Serial number 830503Inside ComputerYou are sitting on the CPU inside the computer. You can see the monitor aboveyour head.There is a Boot Sector here.There is a FAT here.There is a Program here.>I love Anke Huber

"Australian.784":

1. Thou shalt spread viruses2. Thou shalt be origional3. Thou shall not create a variant of anothers virus4. Thou shall put witty phrases in ones code5. Thou shall not destroy code6. Thou must love Tonya Harding7. Thou must love Anke Huber8. Thou must condemn any virus writter brought to trial9. All text must be in flowing English (Asians take note)0. Its easier to write a Boot Sector virus than a resident virusAnke Huber is the best tennis player in the world.says the Australian Parasite.

"Australian.819":

I love Tonya Harding, The best womens Figure Skater in history.- Australian Parasite -

"Australian.990":

The Digitised Parasite : Australian Parasite [AIH]Weiners XOR machine 1.0 (C) Australian Parasite [AIH] June 1994Australian Parasite

"Australian.1179":

Anke Huber 2C'mon Anke Huber. Kick everyones butt on your way to claim the winners chequeThe Australian Open at Flinders Park, January 18th to 31stAustralia is also home to the Australian ParasiteThe French Open at some crap clay court in France, May 24th to June 7thFrance, home to the black electroid out of Buckaroo Banzai, Yannick NoahWimbledon. A great pommy affair on a grass court, June 21st to September 4thEngland is home to the Queen and the birthplace of tennisThe multimillion dollar ATP and Virginia Slims Championships.Only for the elite. November 15th to 29thThe US open, August 30th to September 13thHasn't Jennifer Capriati burnt out ye

Australian.369

Неопасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец, "Australian.369.a" периодически выводит текст:

Night of the Living VirusConcept: Elvirus Misstress of the Dark Assembler Programming: Australian Parasite (Enough said) Loves to Tonya H and Dianna G

"Australian.369.b" содержит строку:

[Aussie Parasite vIRUS v. 1.1] [bLAME oTHERS]

Australian.482

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или загрузке оверлеев. 27-го июля выводит сообщение:

The Hitcher virus. Hitchhiking through your system.Didn't your mum tell you not to pick up stray viruses.

Также содержит строки:

The Hitcher virus #1р by AP[AIH]HITCHER

Australian.543

Опасный резидентный вирус. Кпирует себя в оперативную пямять, при этом уменьшает слово по адресу [0000:0413] (RAM size), но не корректирует MCB-блоки, что может привести к зависанию компьютера. Перехватывает INT 21h и записывается в конец COM-файлов при обращении к ним. 4-го декабря выводит текст:

Happy Birthday to Anke Huber, The best tennis player in the world.She will be ?? years old today.

где ?? - число.

Australian.550

Безобидный резидентный вирус, перехватывает INT 21h и записывается в конец .COM-файлов при вызове функции DOS FindFirst FCB (команда DIR). В начале зараженных файлов содержится строка "AP". Вирус содержит код, который стирает сектора дисков, однако этот код никогда не вызывается. Вирус содержит текст, который также нигде не используется:

1 Did David Gerrold have a harley when he was one?2 Is John Brunner a shocking wave rider?3 Is William Gibson a neurotic romantic?4 Is the Australian Parasite the Best?1:No, 2:Yes, 3: Probably, 4: Absolutley

Australian.1014,1033,1035,1120,1135,1149

Резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии.

"Australian.1120,1135" опасны. При поражении EXE-файлов допускают ошибку и завешивают компьютер. Также по ошибке поражают и файлы данных (записывается в них как в COM-файлы).

Содержат строки:

COMEXEOV3D, polymorphic, realtime, 50 frame per second DNAAKA Split Second

"Australian.1135":  Bi Australian Parasite [AIH]"Australian.1149":  By Dрrk ЯНсюr [AIH]

"Australian.1014" содержит строки:

OVERFIEND 4 - DARK FIBER[AIH]COMEXEXT

Australian.AIH

Безобидные резидентные вирусы. Перехватывает INT 21h и записывается в конец файлов при их запуске. "Australian.AIH.591,972" заражают COM- и EXE-файлы, "Australian.AIH.588,762" поражает только COM-файлы. Содержат строки:

"Australian.AIH.588"

My Computer is myself.My siamese twin.Joined by the fingers.Its an extension of my body.Speration means death.Togertherness is power.Together I roam electronic highways and biwaysGoing the wrong way down the one way streetAgainst the flow we are the fewBeware children, BewareThere is not long to go.v0.02 by ЫШс0ч ЫчГЫK + DДчK ЯНс0ч [AIH]

"Australian.AIH.591": AIH-0

"Australian.AIH.762"

(C) 1993 AIH; Australian Institute of Hackers.Greets to PuKE, SCP and fellow Aussie viral creatorsYou help us to keep the Australian end of the virus underground alive.I need to go to the Jon. More Coffee anyone.You Pat the rich huh, Hey man I prefer the poor.You Frigid Skilless son, of mine, won't even feel her up will ya.Lets go to the Mall and look for Fergie's son.Its a Cross between an iceberg and cow manure.January, February, March, April, you can't make a tapestry with a staple.I'm Cold and Feeble.

"Australian.AIH.972"

WIN SCAN CLEAN COMMANDDeath stared the Australian Institute of Hackers in the eye and visably shookin the shadow of their poweriGNORANCE IS PUSSYThe digital NecronomiconDark Fiber [AIH]:93

Australian.Comic.1068

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строки:

COMIC RELIEF VIRUS 1Politically Correct VirusNever calls itself a 'virus,' but instead refers to itselfas an 'electronic microorganism.' Infected machines stop workingand display 'computationally challenged.'Government Economist VirusNothing works but diagnostic software reports is everything is fine.Federal Bureaucrat VirusDivides the hard disk into hundreds of little units, each of whichdoes nothing at all, but claims to be the most important.Federal Budget VirusAttempts to allocate non-existent memory to programs. When detectedit passes control to the IRS virus.IRS VirusImmediatley locks up the system and siezes control of your assets.Kervorkian VirusHelps you computer shut down whenever it wants to.Paul Revere VirusThis virus warns you of an attack, Once by LAN, twice if by C.

Australian.Kuang.718

Безобидный резидентный компаньон -вирус. Перехватывает INT 21h, 66h и при запуске .EXE-файлов создает компаньон-файлы с расширением .COM, cодержит строки:

W.I.N.T.E.R.M.U.T.E.

Australian.Lipo.290

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

I'm going to liposuck the FAT out of your hard disk.

Australian.Little

Безобидные резидентные вирусы. Копируют себя в область данных DOS, перехватывают INT 21h и записываются в конец COM-файлов при их запуске.

Australian.Middle

Резидентные вирусы. Перехватывают INT 21h и записывается в середину COM-файлов при их запуске. В зависимости от своего внутреннего счетчика "Australian.Middle.1041" завешивает PC или затирает сектора дисков программой, которая выводит текст на экран.

Вирусы содержат строки:

"Australian.Middle.491":

This virus was written by Jack Kenyon to test out Virus Buster.Phone (07) 343 8866 in Australia if you have any problems.

"Australian.Middle.1041":

Greets to you from Cyber Crack and Dark Fiber of theAustralian Institute of HackersWere just here to say what a wank-stain of a lame arse faggot you areGreets to our AIH bretheren, NEUA, RABID, NuKE, PuKE, SCILoL: It ain't good to steal credit for things you didn't do. Fuck with us and we'll fuck you right over reaaaaal goooodGeorge Thorogood: Luv ya new song, Get a Haircut and Get a real JobMorib Angel+Diamand Galas+Pestilence+Canibal Corpse=Me mum with PMT: CC

"Australian.Middle.1169":

SCP, What friggen lamers, Can you folks write anything else besidesOverwriting or Vienna variant viruses.TPE is better than MTE.Brainnsssss, Brainnnssssss,When there is no more room in HELL,The dead will walk the EARTH.(C) George A. RomeroCount Zero died in the sprawl.Ahh.. The joys of safe hexIts not my fault. Its all those horror movies and death metal music.Try to get past logging in,Put another password in,Bomb it out and try again.We're Hacking, Hacking, Hacking.Try his first wifes maiden name,This is more than just a game.But there again, its all the same.Its Hacking, Hacking, Hacking.People who use the VCL and PS-MPC are bigger lamers than SCP.This virus was written by Jack Kenyon to test out Virus Buster.Phone (07) 343 8866 in Australia if you have any problems.

Australian.Oil,SDir

Резидентные вирусы, перехватывают INT 21h и записываются в конец .COM-файлов при вызове функции DOS FindFirst FCB (команда DIR).

"Australian.Oil" безобиден, "Australian.SDir" очень опасен - может стереть сектора дисков.

Содержат строки:

"Australian.Oil":

Exxon Valdez v1.0(C) 1993 Australian ParasiteThats Australian, NOT AustrianLike oil, I smother everything in my pathLike oil, It takes decades to fully recover from meLike an oil spill, There is no cureRIP Alaska, RIP Shetland Isles, RIP World

"Australian.SDir":

Stupid Directory Virus Mk ][ by Aus P. (C) 1992 APWhelp, here it is folks, the definitive bug free version.Yessireebob, fuckings on the 29th February 1993to all who get bitten by SDIR 2. Reled on AARNET, Aust.

Australian.Twelve

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Содержат строки:

"Twelve.279": TOKYO BABYLON, MUTATiON = GREED, TENTH OF TWELVE OVERLORDS"Twelve.279.b": WiKED CiTY, MUTATiON = JELOUSY, ELEVENTH OF TWELVE OVERLORDS"Twelve.284": LAUGHiNG TARGET, MUTATiON = HATRED, TWELVETH OF TWELVE OVERLORDS"Twelve.297": AKiRA, MUTATiON = LUST, FOURTH OF TWELVE OVERLORDS"Twelve.305": GOLGO 13, MUTATiON = PERVERSiON, FiFTH OF TWELVE OVERLORDS"Twelve.306": 3x3 EYES, MUTATiON = SELFiSHNESS, NiNETH OF TWELVE OVERLORDS"Twelve.310": DOOMED MEGALOPOLiS, MUTATiON = DECiET, SiXTH OF TWELVE OVERLORDS"Twelve.312": ALiTA BATTLE ANGLE, MUTATiON = AVARiCE, FiRST OF TWELVE OVERLORDS"Twelve.312.b": CRYiNG FREEMAN, MUTATiON = DEBAUCHERY, SECOND OF TWELVE OVERLORDS"Twelve.312.c": DOMiNiON TANK POLiCE, MUTATiON = ViCE, SEVENTH OF TWELVE OVERLORDS"Twelve.315": FiST OF THE NORTH STAR, MUTATiON = CONCiET, EiGTH OF TWELVE OVERLORDS"Twelve.320": LEGEND OF THE OVERFiEND, MUTATiON = DECADANCE, THiRD OF TWELVE OVERLORDS

Australian.Judy.1050

Семейство Australian . Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от текущей даты создает файл JUDY.COM, при запуске которого на экране появляется текст:

This is a tribute to Judy Garland

Вирус также содержит строки:

Judy Scroller by AP 0;0)Whoa Judy, Wot I would not give to have a taste of you.

Демонстрации вирусных эффектов:

AUSTR.COM

AV_CK.508

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращении к ним. Содержит строку:

AV=CK

Ava, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их открытии или выполнении.

"Ava.550" безобиден, никак не проявляется.

"Ava.600" очень опасен. При сохранении информации в файлы периодически изменяет адрес, по которому эта информация сохраняется. Содержит в себе текст: " Ava "

Avalanche, семейство

Опасные резидентные зашифрованные стелс -вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, уничтожают некоторые антивирусные программы. Содержат строки (во второй строке - имена файлов, которые уничтожаются вирусом при их запуске):

AVALANCHE/Germany '94...Metal Junkie greets NeurobasherF-PR TBAV SCAN MSAV CPAV TBME TBFI TBSC VIRS TBDR

"Avalanche.2909" не является стелс-вирусом. При смене каталогов (команда ChDir) вирус ищет EXE-файлы и заражает их. Содержит подпрограмму, записывающую в boot-сектора дискет и MBR винчестера троянскую программу, однако код этой подпрограммы никогда не выполняется. Вирус содержит строки:

COUNTRYchklist.ms chklist.tav *.exeрVр|рNАHю V:RцS + +R0JрN H0RSю - VюRS:0N 1.00 -

Д-ДДДД-ДДДДДДД-ДДДДДДД-ДДДДДДД-ДДДДДДД-ДДДДДДД-ДД

HюЭ PрR+:А:р (B:+АH): S0Mю FрS+ :NF0Z:А0M/юXю S+юр1+H/юNАRЭP+ - юPюDюM:А :NFюА+:0N (рVр1рNАHю)0N D:R АHрNGю & 0+HюR +HрNGZ...B0+ +R0JрN, рN+:V:R R0ц+:NюS (VSрFю/VDюFюND/+SрFю/SDRюS)W:ND0WZ рWрRюZ! :NS+р11: H:g|+/цMB!0R:G:N: фюR|\/|П|\|Э R|_||+R|0Ф++ 01/94 :-)

Д-ДДДД-ДДДДДДД-ДДДДДДД-ДДДДДДД-ДДДДДДД-ДДДДДДД-ДД

FрS+ GRюю+X: |0S, |\||_||<ю, |R & +R1|>ю|\|+

Э0ц  фцЫ|<юr!  :-(  Э0ц  |+р\/В  ыВКд  |+:+ыЭ  +|+|0  aVа|ЕеА|+ю  ~|~r00р|\|!

Avalgasil.666

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их открытии и при обращении к ним DOS-функцией FindFirst ASCII. DOS вызывает FindFirst также при запуске файлов, в результате вирус также заражает файлы при их запуске. Проверяет имя файла и не заражает файлы A*.EXE. Содержит строку:

(Avalgasil)666

Avalon.814

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. По 31-м числам стирает MBR винчестера, перехватывает INT 1Ch, расшифровывает и выводит текст:

AVALON por OSoft

Avatar, семейство

Очень опасные вирусы, в зависимости от текущей даты стирают сектора дисков. Содержат строки:

"Avatar.Acid.670,674": [Binary Acid] (c) 1994 Evil Avatar"Avatar.Acid.736":     Virus ANuBiS v.1.0 (c) 1994 ТяЪс!                       Realizado en Argentina [AVRL]                       This is only the beginning..."Avatar.BigBang.346":  [Big Bang] (c) 1993 Evil Avatar *.COM"Avatar.Positron.512": [Positron] (c) 1994 Evil Avatar

Avatar.Acid

Резидентны, перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. По понедельникам стирают случайно выбранный сектор диска.

Avatar.BigBang.346

Нерезидентен, при запуске ищет .COM- и .EXE-файлы и записывается в их конец. 1-го января стирает MBR.

Avatar.Dichotomy.863

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец файлов при их запуске. Корректно заражает только COM-файлы, при поражении EXE-файлов портит их.

Вирус делит запускаемые файлы на две категории: четную и нечетную (в зависимости от того, в какой последовательности выполняются эти файлы) и заражает файлы разных категорий разными способами. Вирус делит свой код на две части и записывает первую часть только в "четные" файлы, а вторую часть - в "нечетные" файлы. "Четные" файлы заражаются обычным способом: вирус дописывает к ним свою первую часть (296 байт) и изменяет начало файла на команду JMP Virus. К "нечетным" файлам вирус дописывает свою вторую часть (567 байт) без изменения заголовка файла.

При запуске "четного" файла вирус ищет "нечетный" файл (его имя сохраняется в первой части вируса при заражении), считывает свое продолжение и остается резидентно в памяти.

В некоторых случаях резидентная копия вируса заражает файлы дважды - при их заражении на флоппи-дисках и в том случае, если первая часть вируса при запуске не может найти вторую.

Это - первый из вирусов, который использует алгоритм "бинарного оружия" - размножается только если в системе присутствуют обе половины вируса.

Вирус содержит строки:

[Dichotomy] (c) 1994 Evil Avatar[Dichotomy]

Avatar.K_Rad

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при их запуске. Используя перехват INT 9 меняет на экране буквы, вводимые с клавиатуры. Содержит строки:

Made in the USA[k-rad] by Evil Avatar

Avatar.Positron

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При заражении файлов не изменяет их заголовок, а записывает команду JMP_Virus в середину файла вместо первого вызова INT 21h, если таковой присутствует в файле. Для этого пропускает DOS-функцию Execute, ждет первого вызова INT 21h, вычисляет адрес в файле, откуда идет этот вызов, и записывает по этому адресу команду JMP_Virus.

Вирус может испортить некоторые (например, упакованные) файлы, которые затем завешивают систему при запуске.

AVCS.720

Безобидный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. Никак не проявляется, содержит строку:

Demovir for LamerZ [AVCS]

Avispa, семейство

Опасные резидентные полиморфик -вирусы. Перехватывают INT 13h, 21h и записываются в конец EXE-файлов при их запуске. При чтении с диска в зависимости от системного таймера подставляют вместо считанных данных строку:

$$ Virus AVISPA $$ Republica Argentina$$ Elijah Baley $$ Noviembre 10 de 1993 $$ This program is not an old virus variant, and it was written in Argentina by Elijah Baley. It uses polymorphic technics to avoid conventional scanning. $$ MENEM: Libertador de torturadores y asesinos de inocentes, que Dios se apiade de tu po

Также содержат текст:

__ Virus Avispa - Buenos Aires - Noviembre 1993 __

Некоторые из вирусов содержат список файлов, которые поражаются при инсталляции вируса:

c:\dos\xcopy.exec:\dos\mem.exec:\dos\setver.exec:\dos\emm386.exe

"Avispa.2048.c" содержит/выводит строки:

<Virus AVISPA>Escrito por Elijah BaleyV1.0 Noviembre 10 1993V1.2 Enero 4 1994Buenos Aires - Republica ArgentinaPeace will only come finding the peace within.QUE NOS DEPARA EL 94... QUIEN SABE!!

Avv, семейство

Неопасные нерезидентные вирусы. Ищут COM-файлы и записываются в их начало. Если файл оказывается уже пораженным одним (или несколькими) из вирусов "Vacsina", "Yankee", "Jerusalem", "Cascade" и некоторыми другими, "Avv" выводит соответствующее сообщение. Вирусы "Avv" содержат в себе строки:

"Avv.1667":

Warning! In file [FILENAME] may be virus.

"Avv.2300":

The AVV  version 1.12, Copyright (C) 1992(ARV)*.comAVV Warning! In file filename.ext may be virus.AVV Warning! In system area may be virus.AVV Warning! In system may be virus.AVV=off

The AntiVirus Virus version 1.12 AVV112: I am check 200++ virusesThank's Yankee Doodle for original vectors

Avvaddon.1100

Опасный резидентный вирус. Перехватывает INT 21h и записывается в начало EXE-файлов при обращениях к ним. При запуске зараженных файлов лечит их. Содержит ошибки и в некоторых случаях портит файлы при заражении. После заражения 30 файлов выводит текст и завешивает компьютер:

AVVADDON for Lozinsky:I~m the bitch you HATED !

Awake.1099

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. 8-го декабря выводит текст:

AwakeShake dreams from your hairMy pretty child, my sweet one.Choose the day and choose the sign of your dayThe day's divinityFirst thing you see.

A vast radiant beach in a cool jeweled moonCouples naked race down by it's quiet sideAnd we laugh like soft, mad childrenSmug in the wooly cotton brains of infancyThe music and voices are all around us.Choose they croon the Ancient OnesThe time has come againChoose now, they croonBeneath the moonBeside an ancient lakeEnter again the sweet forestEnter the hot dreamCome with usEverything is broken up and dances.

Jim Morrison

AWME, семейство

Безобидные нерезидентные полиморфик -вирусы. Ищут в текущем каталоге COM-файлы (кроме нескольких антивирусов и COMMAND.COM), затем записываются в конец первого незараженного файла. Содержат текстовые строки, первая из которых является списком имен антивирусов (по два символа на имя):

AIWESCCOVSADAN-V*.com*This is a simple [AWME] demo virus by AD.

и:

"AWME.1213":  \> [AWME] v1.1 </"AWME.1267":  \> Anti WEB Mutation Engine [AWME] by AD. v1.0 </

AWVCK, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .EXE- и .INI-файлы и записываются вместо них. Затем выводят сообщение и выходят в DOS:

"AWVCK.156": Packed file is corrupted!"AWVCK.182": This program requires Microsoft Windows

Также содержат строки:

"AWVCK.156":

NoName*.ini *.exePacked!-Virus [AWVCK 1.10-94]

"AWVCK.182":

Innocent*.ini *.exeFrisk is a lamer!-Virus [AWVCK 1.01-94]

Axe, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец .EXE-файлов при их запуске, открытии, чтении/установке атрибутов или переименовании. 1 октября стирают MBR винчестера и CMOS. Некоторые из вирусов содержат текст "AXE".

Axe.1016

Зашифрованный вирус. 6-го сентября стирает MBR, CMOS и выводит текст:

This is the third virus, and it's auto-encrypted, motherfuckers !

AZ, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются вместо запускаемых или открываемых файлов. Содержат строки:

"AZ.492": AUSCHWITZ v2.11"AZ.518": AUSCHWITZ v2.08

Ansibomb

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается вместо них. В зависимости от текущего времени выводит строку:

HELLO! WHAT WILL YOU DO ABOUT THIS? BUY ORIGINALS TO AVOID ME AND MY 1500NASTY FRIENDS, BECAUSE WE ARE EVERYWHERE!

Также содержит тексты:

I HOPE YOU DON'T HAVE ANSI, BOY![13;13;"ECHO Y|DEL.";13PANSI-BOMB VIRUS BY TESLA

AntiCMOS.726

Очень опасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Вирус ищет в памяти антивирус TBDRIVER и правит его код. В апреле вирус портит CMOS. Содержит строки:

TBDRIVER*.EWE *

Anti-AV.839

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Уничтожает антивирусные файлы данных (если таковые присутствуют) в соответствии со строкой:

chklist.tav chklist.cps anti-vir.dat chklist.ms

В зависимости от своего счетчика стирает сектора винчестера.

Anti-AVP, семейство

Опасные вирусы, записываются в конец файлов. Портят файлы данных AVP: создают новые базы AVP в формате версий 2.x (код и данные этих баз хранят в своем теле) и записывают их имена в файл AVP.SET (список баз AVP). В результате AVP версий 2.x либо неправильно определяет имена вирусов, либо не находит вирусов, либо портит файлы.

Anti-AVP.959

Нерезидентен. Ищет COM-файлы и файл C:\DOS\FORMAT.COM и заражает их.

Записывает в файл AVP.SET строку "KRN386.AVB", затем создает файл KRNL386.AVB и записывает в него базу AVP. База содержит записи, подобранные таким образом, что AVP при сканировании не определяет ни одного вируса и уничтожает файлы F-*.*, TBSCAN*.* и SCAN*.*.

Вирус содержит строки:

AVp.SeT KRN386.AVBkRn386.aVb *.cOm c:\DoS\fORmaT.cOM[AVP-Aids, Tcp / 29A]AVP Aids!

Anti-AVP.1235

Резидентен, перехватывает INT 21h и записывается в запускаемые COM-файлы.

Добавляет в AVP.SET строку "BIZATCH.AVB", создает этот файл и записывает в него базу AVP. В результате этого AVP детектирует вирус "Win95.Boza" под именем "Bizatch_:P".

Вирус содержит строки:

[AntiCARO, by Mister Sandman/29A]Please note: the name of this virus is [AntiCARO]written by Mister Sandman of 29A...but... dear Bontchy... name it however *you*(and not CARO) want, as usual;we just don't mind your childish stupidity :)

avp.set BIZATCH.AVBbizatch.avbBizatch_:PFuck you, Bontchy

AntiBasic.351

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Также ищет .BAS-файлы и затирает их содержимое какими-то данными. Вирус содержит строки:

*.COM*.bas

Antibase.1900

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало COM- и середину EXE-файлов при обращении к ним. Выводит сообщение:

********************************<<<< AntiDBASE by Michael >>>>******************************** So what?So fuckin' what?I've been a nasty, I've been a brighterI've been a wizz for two - So what?And I've been here, I've been thereAnd I've been here and fuckin' there - So what? _______________________ So What, Metallica 1992

Также содержит строки:

Kill'em allSeek&DestroyThis program is written in the city of Sofia by Michael.March 1994HEY,STUPID,GET AWAY**Unallocated

AntiEta.5315

Неопасный резидентный полиморфик -вирус. Записывается в конец COM- и EXE-файлов. Использует несколько уровней самошифровки как в файлах, так и в своей TSR-копии. 21-го июля выводит изображение ладони и текст: "ANTI-ETA". Содержит также строку:

<< ANTI-ETA ViRuS Bio.Coded By GriYo / 29A >>

При запуске зараженного файла вирус перехватывает INT 21h и остается резидентно в памяти. Затем он при запуске и открытии файлов запоминает их имена и заражает их при закрытии или окончании работы программ. Не заражает файлы с именами: TBAV, SCAN, WIN and COMMAND.COM. При смене текущего каталога в зависимости от своего случайного счетчика создает зараженный COM-файл со случайным именем. Уничтожает антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.MS.

Демонстрации вирусных эффектов:

ANTIETA.COM

AntiFort.1110

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При запуске файлов с именем F77*.* вирус уничтожает их, если при этом текущий день - понедельник, то вирус дописывает в конец файла C:\AUTOEXEC.BAT команду:

@ECHO Y | FORMAT D:

По вторникам вирус модифицирует Interrupt Timer (пишет в порты таймера). Вирус также содержит строки:

ANTI FORTRAN OF OVER-XC:\AUTOEXEC.BAT

AntiGUS.1570

Неопасный резидентный полиморфик -вирус. Перехватывает INT 8, 21h и записывается в конец EXE-файлов при их запуске. 24-го июля сообщает:

Happy birthday to me! :-)

В зависимости от своего внутреннего счетчика пишет какие-то данные в какие-то порты (выключает Gravis Ultra Sound card?). Вирус также содержит строки:

E-VIRUS II aka Anti-GUS.12th December 1994.KL,Malaysia.@@@@@TM was here!@@@@@

AntiHeuristica.672

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы в такущем каталоге и C:\DOS и записывается в их конец. 26-го июня сдвигает вверх все символы на экране. Содержит строки:

Virus Anti-Heurбstica v. 2.0  (c) 1995  Spain.c:\dos\*.com

Демонстрации вирусных эффектов:

ANTIHEUR.COM

Antimit, семейство

Очень опасные нерезидентные вирусы, зашифрованы. Ищут .COM-файлы и записываются в их начало. Первого декабря форматируют винчестер и флоппи-диск, после чего сообщают:

MIT Sux!

Также содержат текст:

*.COM [Anti-MIT] FМrs+StrМkф

Antimon.1450

Очень опасный нерезидентный вирус, ищет .COM-файлы (включая IBMBIO.COM, IBMDOS.COM и COMMAND.COM) и записывается в их конец. В некоторых случаях вирус поражает файлы некорректно, эти файлы не восстанавливаются и завешивают систему при старте. Содержит текст (имена антивирусных мониторов):

FLUSHOT3.COM C:\PANDA MONITOR.COM TSRMON.COM TSRMONEZ.COM

и записывает в соответствующие файлы команды NOP и INT 20h.

AntiMouse.724

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. В зависимости от текущего времени отключает мышку.

AntiPascal, семейство

Семейство очень опасных нерезидентных вирусов. При запуске заражают или портят не более двух файлов во всех каталогах на текущем диске и диске C:. При поиске незараженных файлов используется рекурсивный обход дерева каталогов.

Заражают/портят .COM-,.BAK- и .PAS-файлы. В случае .COM-файла вирус записывается в его конец или в начало в зависимости от версии вируса. При заражении .BAK- и .PAS-файлов записывается в начало файла, при этом старое начало не сохраняется, т.е. файл оказывается безвозвратно потерян. Некоторые версии вируса переименовывают .BAK- и .PAS-файлы в .EXE.

"AntiPascal.407" уничтожает *.?A? и *.SYS файлы, содержит строку: "COSMIC-1".

AntiSabados.815

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Иногда перезагружает компьютер. Содержит строку:

Virus ANTI-SABADOS 1.2 Echo por Dicker.

Andrew.634

Очень опасный резидентный вирус. Поражает COM- и EXE-файлы при их запуске. 15 мая портит Boot-сектор текущего диска, записывая в него фразу:

Happy birthday to Andrew !

Andrey.932

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и при запуске файлов ищет COM-файлы и записывается в их конец. В зависимости от своего счетчика, системного таймера и текущего видео-режима расшифровывает и выводит текст:

Hallo! From Andrey!

Также содержит строки:

AM02*.COM

Andris.683

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов при их запуске или открытии. "Выключает" клавишу LeftShift. По нечетным дням должен выводить какое-то сообщение, но соответствующая строка затерта нулями. Содержит строки:

DeathLove & dedication to D.I. - 1992/93. - Croatia,VZ

Andris.843

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и при запуске программ ищет .COM-файлы и записывается в их конец. C 6-го по 10-е августа портит информацию на дисках. Содержит строки:

*.comCOMMAND<ANDRIS>

ANDROMEDA, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- (кроме COMMAND.COM) и EXE-файлов. Cтирают сектора дисков. Содержат строки:

"ANDROMEDA.758": [ANDROMEDA V1.1] BUDAPEST HUNGARY"ANDROMEDA.800": ANDROMEDA*ICE*BUDAPEST"ANDROMEDA.1024.a": AXE"ANDROMEDA.1024.b": ANDROMEDA V3.0 BUDAPEST (Szegedi ImrВnek: Ha mi nem lennВnk, mibФl ВlnВl?)"ANDROMEDA.1024.c": ANDROMEDA V3.0"ANDROMEDA.1536.a": ROF OKI OOT CAN AND RBOGEMAND"ANDROMEDA.1536.b": ROF OKI OOT CAN AND RBO GEM ANDROMEDA V3.2 HUNGARY

ANDROMEDA.725,758

Записываются в конец .COM-файлов. Ищут эти файлы при запуске любой программы. При заражении используют FCB-функции работы с файлами.

"ANDROMEDA.725" перехватывает INT 9. Через некоторое время после исталляции перезагружает компьютер. "ANDROMEDA.758" 5-го октября стирает FAT диска A:

ANDROMEDA.800

В зависимости от текущей даты перехватывает INT 1Ch, через некоторое время выводит на экран случайные данные и завешивает PC.

ANDROMEDA.1024.a

Перехватывает INT 9, 21h и при запуске любого файла ищет и записывается в конец первого .EXE-файла текущего каталога. В зависимости от своего счетчика перезагружает компьютер.

ANDROMEDA.1536.a,b

Иногда перехватывают INT 09h и через некоторое время перезагружают компьютер. Содержат код, стирающий сектора дисков, однако этот код никогда не получает на себя управления в вирусе "ANDROMEDA.1536.b".

ANDROMEDA.Plus

Также перехватывает INT 13h и при чтении из MBR винчестера и boot-секторов дискет подставляет в буфер чтения код вируса "Stoned". В результате: 1) антивирусы детектируют вирус в загрузочнов секторе, но не могут его вылечить, поскольку на самом деле там нет никакого вируса. 2) При создании резервной копии диска вирус окажется в этой копии и при восстановлении диск будет заражен. 3) Диски, скопированные "сектор-в-сектор" (например, при помощи DISKCOPY), оказываются зараженными.

Andry.565

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляется, содержит строку:

ViRuZ by Andry Christian

Andry.2900

Опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец запускаемых .COM- и .EXE-файлов. После заражения каждого файла пытается заразить COMMAND.COM в корневом каталоге текущего диска. Содержит ошибки и повторно заражает файлы и системную память. В результате длина файла возрастает на ~3K при каждом заражении, а размер свободной памяти уменьшается при каждом запуске зараженного файла - через некоторое время система окажется неспособной выполнять приложения или повиснет.

INT 9 (клавиатура): вирус пропускает каждый 100-й нажатый символ.

1-го марта вирус выводит текст:

+----------------------------------------------------------------+|            #####  ###    ## #####   ######  ##    ##           ||           ##   ## ## #   ## ##   #  ##   ##  ##  ##            ||           ####### ##  #  ## ##   ## ######     ##              ||           ##   ## ##   # ## ##   #  ##   ##    ##              ||           ##   ## ##    ### #####   ##   ##    ##              ||                                                                ||  ##### ##   ## ######  ##  ##### ######## ##  #####  ###    ## || ##     ##   ## ##   ## ## ##        ##    ## ##   ## ## #   ## || ##     ####### ######  ##  #####    ##    ## ####### ##  #  ## || ##     ##   ## ##   ## ##      ##   ##    ## ##   ## ##   # ## ||  ##### ##   ## ##   ## ##  #####    ##    ## ##   ## ##    ### |+----------------------------------------------------------------+

Затем вирус ждет наступления 2-го марта и добавляет:

ANDRY CHRISTIAN VIRUS WILL BE -->ACTIVE NEXT YEAR !

Вирус также содержит строку текста:

~INA (Ю) 1997 Hackware Technology Research~

Andryushka, семейство

Очень опасные резидентные полиморфик -вирусы. Записываются в конец COM- и EXE-файлов, кроме COMMAND.COM. При старте зараженного файла ищут и заражают файлы в каталогах диска, затем перехватывают INT 21h, остаются резидентно и заражают файлы из своих TSR-копий при их открытии, выполнении, переименовании и т.д.

"Andryushka.3536" при заражении переводит EXE-файлы в COM-формат (см. вирус "VACSINA" ). Внедрение вируса происходит в середину файла, при этом та часть заражаемого файла, куда записывается вирус, шифруется и дописывается к концу заражаемого файла.

Вирусы достаточно сложно работают с обработчиками прерываний: сохраняют в своем теле часть обработчика INT 25h, а на освободившееся место записывают свой код (вызов INT 21h). При вызове INT 25h восстанавливают первоначальный обработчик INT 25h.

Организуют счетчики в Boot-секторах дисков и в зависимости от их значения могут уничтожить несколько секторов на диске C:. При этом проигрывают мелодию и выводят на экран текст:

+-----------------------+|       Hello!!!        || My name is Andryushka || I come from Perm,USSR |+-----------------------+

Также содержат текст "insuffisient memory".

Демонстрации вирусных эффектов:

ANDRYUSH.COM

Andy, семейство

Опасные резидентные вирусы. По причине ошибок завешивают систему, если нет свободной UMB-памяти. Перехватывают INT 21h и записывается в конец запускаемых COM-файлов. Не заражают файлы сразу, а откладывают заражение до очередного вызова INT 28h (DOS idle), т.е. заражают файлы "в фоновом режиме".

"Andy.998" также перехватывает INT 13h и по 15-м числам каждого месяца при чтении данных с диска вместо этого вызывает функцию записи данных. Это, естественно, портит данные на диске. "Andy.1016.b" тоже перехватывает INT 13h, по вместо подмены вызовов чтения/записи запрещает запись на диск (вне зависимости от текущей даты). Это также приводит к потере данных при их копировании или модификации. "Andy.1016.a" перехватывает INT 1Ch и в зависимости от своих счетчиков меняет цвета экрана и блокирует клавиатуру.

Вирусы содержат строки:

"Andy.998": ANDY-3"Andy.1016.a": ANDY-1"Andy.1016.b": ANDY-2

Angarsk.238

Нерезидентный безобидный вирус. Сканирует дерево каталогов, ищет .COM-файлы и записывается в их конец. В начало пораженных файлов записывает команды

MOV AX, offset VirusCALL AX.

Содержит строку "*.COM". Прислан из г.Ангарска.

Angel.1000

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. 29-го ноября выводит текст:

Первый ангел вострубил, и сделались град и огонь, смешанныес кровью, и пали на землю; и третья часть деревьев сгорела,и вся трава зел0ная сгорела.

Вирус был создан 24 октября 1991 года.

Angel_2, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов

Angel_2.661

Заражает файлы при их запуске. Проверяет код выполняемых программ (какого-то антивируса?) и в некоторых случаях корректирует его. Содержит строку:

v6 Angel

Angel_2.1571

Зашифрован. Заражает файлы при обращениях к ним, при этом может заразить файлы данных.

Angry.393

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Никак не проявляется. Содержит строку:

I'm an angry virus from CMOS! Nobody can cure me!!

Anni.809

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строки:

COM-Stealth v1.00[ANNI-VCS 2.0]CARO: Annihilator.VCS_2.Stealth.COM   -OK- ???

Annyit.656

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. В зависимости от текущего времени расшифровывыает и выводит тексты (тексты слегка испорчены):

Azt hiszed,vбrusmentes a gВped,mert van egy vбrusФlФd?KapanyВl valв a te kezedbe,nem szаmбtвgВp!Annyit Вrtesz a PC-aonometriаhoz!

Ansi.881

Очень опасный нерезидентный вирус. При запуске ищет .ANS-файлы (по маске *.ANS) и записывается вместо них. При выводе зараженного файла на экран (если установлен драйвер ANSI) вирус пытается переименовать зараженный файл в COM и запустить его. Затем вирус выводит картинку.