Технологический лицей г.Сыктывкар

Поиск



C0m.263

Нерезидентный очень опасный вирус, ищет .COM-файлы и записывается вместо них. Во вторник переименовывает файл \COMMAND.COM в \COMMAND.C0M и выводит сообщение: 

Error reading drive C:BillMeTuesday!


В прочие дни выводит: 

EXEC Failure




C1992.1536

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строку: 

01992.




CA.815

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Не заражает файлы *AN.*, *OT.* и *AN.*. В зависимости от текущего времени завешивает компьютер. Содержит строку: 

[nORThMeNS aNGeR] Coded by C.A, Karlstad, Sweden, 10/96




Cagliari, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM-файлов. 1-го мая стирают FAT дисков A,B,C,D и выводят текст: 

caGLiArI

Такая же строка используется вирусом при детектировании своей TSR-копии - вирус вызывает INT 21h AX=FFABh, TSR-копия вируса возвращает 'CA', 'GL', 'IA', 'RI' в регистрах AX,BX,CX,DX.




Calu.2429

Опасный нерезидентный полиморфик -вирус. При запуске ищет .COM-файлы и записывается в их конец. В своем расшифровщике вирус использует не вполне корректные приемы, в результате чего он расшифровывает код вируса не всегда корректно (в зависимости от текущего времени), и зараженные файлы при этом завешивают компьютер. Вирус содержит строки: 

[CALU]Coding error: Too Drunk error !I'm TOOSAD from Romania





Cancerbero.1000

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. 30-го марта стирает сектора диска C: и выводит строку: 

CANCERBERO



Cancerbero.Killer

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Содержит строку: 

Killer by Cancerbero




Cannabis_II.1029

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. Также заражает файл COMMAND.COM, при этом записывается в его середину и не увеличивает его длину.

Не заражает файлы: 

CL*.EXE, HW*.EXE, TB*.EXe, F-*.EXE, WC*.EXE, TK*.EXE

Содержит строку: 

No! Cannabis...




Cannabis.357

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Выводит текст: 

LEGALIZE CANNABIS!!

По 13-м пятницам также выводит текст и возвращается в DOS: 

This Program is too stoned to operate correctly.




Cannibal.1312

Опасный резидентный зашифрованный вирус. Перехватывает INT 10h, 28h, 2Fh, 4Ah и при вызовах INT 10h, 28h записывается в конец файлов, вызывающих данные прерывания. Содержит ошибки и портит .EXE-файлы при заражении. Создает файл 

C:\VIRUS.$$$\cannibal.max

в который записывает текст: 

000000000000000000000000000000000000000          MAX CANNIBAL vers.1.04           (c)93 PAVLOVO CITY000000000000000000000000000000000000000


Этот же текст выводит при вызове INT 4Ah. Вирус также содержит строки: 

AIDSMad Max





Cantando.857

Неопасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы (кроме COMMAND.COM) и записывается в их конец. Уничтожает файл CHKLIST.MS, выводит сообщение: 

* CaN_TaN_Do_v01 : "Onkos tДДllД kilttejД lapsia?-)" *




Caos.716

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при вызове функций FindFirst/Next (при вызове команды DIR). Вирус содержит строки: 

CAOS virii by WMРўHoy en Dia, cualquier sentido que le puedas dar a la a vida no vale tanto como para que esta merezca ser vivida.Virii Experimental, no es prР°ctico ;)





Capicua.511

Опасный резидентный вирус. Копирует себя в один из системных буферов, перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. В зависимости от системного таймера прекращает работу программы вместо ее запуска. Содержит строку: 

*CAPICUA*




Cara.1024

Неопасный резидентный вирус. Перехватывает INT 13h, 20h, 21h и записывается в конец .COM-файлы при обращениях к ним. Производит некоторые действия, направленные против других вирусов:

- если размер памяти DOS не кратен 10h, выводит текст: 

Virus es en memoria!

- если обнаруживает дисковые сектора, зараженные некоторыми загрузочными вирусами, то записывает в такие сектора программу, которая при загрузке выводит текст: 

Disco es infectado. Reemplaza "Boot". Clandestino Auto- Reproductivo Anti-virus


Вирус также содержит текст: 

CARA




Carbuncle

Опасый нерезидентный компаньон -вирус. Представляет собой 622-байтный файл с именем CARBUNCL.COM. Это первая особенность вируса: его файл всегда имеет одно и то же имя. При запуске этого файла (т.е. вируса) он создает свою копию (файл CARBUNCL.COM) в текущем каталоге.

Затем вирус ищет в текущем каталоге EXE-файлы, переименовывает их в файлы с теми же именами, но с расширением CRP, и для каждого переименованного файла создает компаньон-файл с расширением .BAT и именем первоначального .EXE-файла. В результате поражения каталога в нем появляется файл CARBUNCL.COM, и для каждого .EXE-файла появляется пара файлов с расширениями .BAT и .CRP.

BAT-файл содержит шесть строк команд DOS. Если был заражен файл FILE.EXE, то BAT-файл будет выглядеть следующим образом: 

@ECHO OFFCARBUNCLRENAME FILE.CRP FILE.EXEFILE.EXERENAME FILE.EXE FILE.CRPCARBUNCL


Таким образом, при попытке запуска зараженного EXE-файла будет запущен BAT-компаньон, который переименовывает CRP-файл в EXE, затем выполняет его и переименовывает обратно в CRP.

Если при запуске вируса значение секунд системного таймера меньше или равно 16, вирус записывает себя вместо первого CRP-файла текущего каталога, уничтожая таким образом зараженный EXE-файл.

Вирус также содержит строки: 

*.crpCARBUNCL.COMBAT*.exeCRP


@ECHO OFFCARBUNCLRENAME


PC CARBUNCLE: Crypt Newsletter 14




Career, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске. Заражают только те файлы, которые начинаются с команды JMP (E9h). В начале зараженных файлов содержится слово "UK". Вирусы содержат также текст: 

tenUKCareer of Evil




Carioca.951

Резидентный безобидный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов (кроме COMMAND.COM) при их загрузке в память. Содержит текст: 

COMMAND.COM




CrazyOctober

Неопасный резидентный компаньон-вирус. Перехватывает INT 21h и при обращении к .COM- и .EXE-файлам заражает их. При заражении переименовывает .COM-файлы в .AMK, .EXE-файлы в .CVC, а затем записывает свой код вместо файла. По пятницам расшифровывает и выводит текст: 

Hi ! I am the Crazy October  and I will now live on your system.Don`t worry ! Everything is under controll.Now I must go to replicate, bye !





Creeper.569

Опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец, затем заражает C:\COMMAND.COM. Уничтожает файлы CHKLIST.*, в зависимости от текущей даты и времени загружает новый видео-фонт. Содержит строки: 

*.com c:\chklist.* c:\command.comThe Creeper Virus V2.0





Crew, семейство

Нерезидентные неопасные вирусы. Ищут .COM-файлы текущего каталога и записываются в их конец. Содержат строку "*.com". "Crew.1967" содержит зашифрованную строку "COMMAND.COM". Периодически выводят картинки типа: 

+------------------------------------------------------------------------------+|                   This program is cracked by                                 ||                                                           Notice this:       ||        %%%%%                                                                 ||       %                                          %   TS ain't smart at all.  ||      %%%   %  %  %%  %%%%  %%%%%  %%%%  %%%%%   %%%%%                        ||     %     %  %  %   %  %  %   %  %     %   %   %    %                        ||    %%%%%  %%%  %   %%%%  %%%%%  %%%%  %%%%%   %    %                         ||                         %                  %                                 ||     0000               %        0                000                         ||    0    0                       0     0          000                         ||    0       0 00    000     000  0  0      0        0                         ||    0       00  0  0   0   0     0 0   0   00000   0                          ||    0    0  0      0   0   0     00    0   0    0                             ||     0000   0       000 0   000  0 00  0   0    0                             ||                                                                              ||     0000                                                                     ||    0    0          000   0      0                Distribution since          ||    0       0 00   0   0  0      0            11-06-1987 (or 06-11-1987)      ||    0       00  0  0000   0      0                                            ||    0    0  0      0      0  00  0                                            ||     0000   0       0000   00  00                                             ||                                                                              ||                                                                              |+-------------------------------Press any key----------------------------------+




Демонстрации вирусных эффектов:

CREW.COM


CriminalWW, семейство

Очень опасные резидентные полиморфик-вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своих счетчиков стирают MBR винчестера и выводят текст: 

Criminal!by WW /DC


Также содержат строку: 

Wild W0rker /DC



Демонстрации вирусных эффектов:

CRIM_WW.COM


Criminal.2615

Резидентный опасный вирус. Записывается в конец COM-файлов. При старте зараженного файла вирус заражет файл C:\COMMAND.COM и возвращает управление программе-носителю. Резидентно остается только при старте из COMMAND.COM: перехватывает INT 21h и заражает файлы при их запуске. Обрабатывает командную строку, и если встречается одно из сочетаний знаков '.F', '.Z', '.E', '.D', '.S', то

- выводит на экран сообщения типа: 

Criminal, be a wiseguy and turn youreself in, if you don't I will

- переименовывает все файлы в CRIMINAL.xxx, а затем выводит текст: 

+-------------------------------------------+| The Ultimate Weapon has arrived,          || please contact the nearest police station || to tell about the illegal copying of you  |+-------------------------------------------+


Также содержит строки: 

.Status.Enable.Disable",.Force.ZeroC:\COMMAND.COMSTATUS:CRIMINAL.000





Cripple.403

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Перед тем, как вернуть управление программе-носителю, расшифровывает и выводит текст: 

What Fucked Ass Has Written FATMAN?It Was A Cripple Of A Virus......It Crashed Every TimeIf You Cant Write A Virus ... Let It BeFATMAN Was Crippled By An Ass Hole And Rescued BySpooky. Austria 1996





Critico.965

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в середину COM- и EXE-файлов при их запуске. При заражении ищет внутри файла область, заполненную постоянными данными, и записывается в нее. В результате длина файла не увеличивается.

В марте в зависимости от текущего времени стирает экран (это сопровождается видео- и звуковыми эффектами) и выводит текст: 

<------- ERROR CRITICO: Fuga de presiРІn en el monitor.



Демонстрации вирусных эффектов:

CRITICO.COM


Critter.1015

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от системного таймера выводит текст: 

[PGa] a critter from DC has infected U ;)




CRLC.484

Безобидный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их конец. Никак не проявляется, содержит строку: 

CRLC




Croatia, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h, 28h и записываются в конец запускаемых .COM-файлов. При открытии или при их отладке вирусы лечат зараженные файлы, а затем опять заражают их при закрытии. В зависимости от текущей даты и времени вирусы расшифровывают строку "Croatia" и затирают ею сектора диска ("Croatia.1535" вместо команд записи вызывает команды чтения диска).




Croatia_II.560

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Уничтожает файлы CHKLIST.MS. 12-го февраля стирает сектора дисков и выводит текст: 

Croatia must be free !(c) 1995 by Inquisitor.





Crocodiles.1592

Очень опасный резидентный вирус. При запуске ищет строку COMSPEC и заражает командный процессор (COMMAND.COM). При запуске зараженного COMMAND.COM перехватывает INT 21h и затем записывается в конец COM- и EXE-файлов (кроме SCAN.EXE) при их запуске.

В зависимости от своего "поколения" вирус перехватывает также INT 8 и затем проявляется каким-то звуковым эффектом. Вирус также вызывает какие-то прочие эффекты и стирает сектора дисков, но соответствующий код в вирусе испорчен. Вирус содержит строку: 

CROCODILES




Crooked.979

Нерезидентный неопасный вирус, ищет файлы и записывается в них: в начало COM-файлов и в конец EXE-файлов. Содержит зашифрованный текст: 

*.com *.exe Only God knows!

Периодически расшифровывает и выводит на экран: 

There was a crooked man, and he went a crooked mile,He found a crooked sixpence against a crooked stile,He bought a crooked cat, which caught a crooked mouse,And they all lived together in a little crooked house.





CroVir.625

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Уничтожает файлы CHKLIST.MS, 30-го мая стирает сектора дисков и выводит текст: 

Croatia must be free !Croatian virus V1.1 (c) 1995 by Inquisitor.





Costeau.512

Резидентный безобидный вирус. При запуске проверяет версию DOS и, если это не DOS 3.x, возвращается в основную программу. В противном случае копирует себя в один из системных буферов, перехватывает INT 21h и затем записывается в конец запускаемых EXE-файлов. Содержит внутри себя строки: 

COSTEAUEnd.





Costin.703

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Также перехватывает INT 9, 28h, 2Fh, но никак их не использует за исключением одного вызова INT 2Fh, который используется вирусом для детектирования своей резидентной копии.

Вирус содержит строки: 

COSTIN

Hi hacker !If you change this code your system will crash and burn !Bye hacker !


Несмотря на угрозы в этих строках, вирус не проверяет свой код на изменения и не предпринимает никаких "вредных" действий. Единственное, что может действительно завесить систему - это изменение строки "COSTIN", поскольку эта строка используется вирусом как часть кода.




Cowboy.2483

Очень опасный нерезидентный вирус. Ищет COM- и EXE-файлы и записывается в их конец. Не заражает антивирусы и утилиты: IBM*.*, NAV*.*, SCAN*.*, CLEAN*.*, F-PROT*.*, V*.*, FINDVIRU.*.

В феврале по четвергам в 9:xx, 10:xx и 15:xx стирает сектора диска C:. Содержит строки: 

IBMNAVSCANCLEANF-PROTVFINDVIRU\ *.* *.com *.exeHave you ever danced with the devil under the pale moon light?This program was written in the state of Texas(C) 1994-95 Dark Cow-boy





Coyote.1103

Неопасный резидентный вирус. Перехватывает INT 14h, 17h, 21h и записывается в конец .EXE-файлов при их запуске.

По понедельникам 23-го числа перехватывает также INT 8h, 9h и через некоторое время заменяет символы при их печати или выводе на COM-порты, при этом вирус запрещает "теплую" перезагрузку. Вирус содержит строки: 

Ipan in xiktli meztliCoyote





CPP.239

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при их запуске, открытии или при обращении к ним функцией FindFirst ASCII. Вирус содержит строку: 

CPP'93




CPSU.2535

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов. На компьютерах PC AT в начале каждого часа (на PC XT - постоянно) выводит "Моральный кодекс строителя коммунизма". Кроме самого "кодекса", содержит строки "КПСС !" и "К борьбе за дело КПСС будьте готовы".



Демонстрации вирусных эффектов:

CPSU.COM


Cpw.1467,1459

Опасные резидентные вирусы, перехватывают INT 16h, 21h и записывается в конец COM- и EXE-файлов при доступе к ним. 27 мая выводят текст "Feliz cumpleaдos CPW!" и завешивают компьютер. Также изменяют вводимые с клавиатуры знаки, содержат тексты: 

Este programa fue hecho en Chile en 1992 por CPW.C:\COMMAND.COMYou are here CPW!


Содержат в себе зашифрованную строку-список имен файлов: 

РњРћCNCGUARDEMSCPAVSCANCLEANFINDVIRUCHKVIRUS

и не заражают файлы из этого списка, но могут их уничтожить.



Cpw.1527

Зашифрован. Перехватывает только INT 21h и поражает COM- и EXE-файлы. 11 сентября, 28 декабря и 27 мая уничтожает файлы на диске. Содержит строки текста: 

CPW fue hecho en Chile en 1992, РЅVIVA CHILE MIERDA!C:\COMMAND.COM


Содержит в себе строку-список имен файлов, которые уничтожаются вирусом: 

GUARD guard CPAV SCAN CHKVIRUS CLEAN TOOLKIT VSAFE CHKLIST.CPS




CPXK, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Содержат строки: 

CPXK*.COM





CrazyPriest.1416

Очень опасный нерезидентный вирус. При запуске ищет .COM- и .EXE-файлы и записывается в их конец. В зависимости от системной даты уничтожает файлы при заражении, стирает MBR диска C: и выводит сообщения: 

Hello i'm virus Crazy Priest !!!Мне очень жаль,но в жертву был принесен файлHAPPY BIRTHDAY CRAZY !!!Я великий вирус ЖРЕЦ !!! Только что я стер ваши BOOT,MBR и FAT.Не расстраивайтесь ,эта жертва будет принесена только есливы не отгадаете загадку (отвечайте латинскими буквами) :Какой в КМУГЕ самый лучший факультет :


Также содержит строки: 

by CRAZY *.* COMMAND.COM




Cracky, семейство

Резидентные вирусы. Записывают свои TSR-копии в область данных DOS, перехватывают INT 21h и затем записываются в конец запускаемых COM-файлов. Содержат слово "*.com". "Cracky.546" периодически выводит на экран текст: 

Cracky !

Первого апреля "Cracky.596" стирает FAT диска C:, он также содержит текст: 

Milena




Crash, семейство

Нерезидентные неопасные вирусы, ищут .COM-файлы и записываются в их конец. В пятницу, 13-го "Crash.543" выводит на экран текст: 

That could be a crash, crash, crash !

"Crash.600" иногда заполняет экран 'мусором'.



Демонстрации вирусных эффектов:

CRASH.COM


Crawler, семейство

Безобидные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы кроме COMMAND.COM и записываются в их конец. Никак не проявляются, содержат строки: 

Thank God for the bombNight Crawler <Phalcon/Skism>, 11/1995PS*.COM





Crawly.6624

Неопасный нерезидентный компаньон -вирус, ищет .EXE-файлы и создает компаньон-.COM-файлы, содержащие тело вируса. Периодически проигрывает мелодию и выводит текст: 

The Creepy Crawly




Crazy, семейство

Безобидные резидентные "стелс"-вирусы. Перехватывает INT 1Ch, 21h и поражают COM-файлы при завершении программы (DOS-функции Exit и Keep), при поиске файлов (FindFirst и FindNext), при закрытии файла. Уменьшают размер памяти, выделенной для DOS (слово по адресу 0000:0413). Перехватывают 12 функций DOS и реализуют "стелс"-механизм: восстанавливают зараженные файлы при обращении к ним.

При инсталляции создают в оперативной памяти две свои копии: рабочую и резервную. При каждом вызове прерывания 1Ch (Timer Tick) вирусы копируют свою резервную копию в адреса рабочей копии и тем самым избавляются от отладчиков. Содержат тексты:

"Crazy.1402": Crazy imp. v1.5 "Crazy.1445": Crazy imp. v2.0




CrazyFrog.1477

Неопасный(?) резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. При инсталляции ищет и каким-то образом портит файл RA.OVR (Remote Access). Вирус содержит строки: 

RA\RA.OVRScRaZy fRoG, (c)95 bY iRASCiBLE





Crucifixion

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец .COM-файлов при их открытии функцией ExtendedOpen (INT 21h AH=6Ch). При нажатии на Alt-Ctrl-Del и в зависимости от системного времени рисует картинку, проигрывает мелодию и выводит текст: 

If you're the Messiah and you know it,Clap your hands!Then your face will surely show it,(rucifixion Virus 1.0(c) 1994, by Jesus of The Trinity




Демонстрации вирусных эффектов:

CRUCIFIX.COM


Crude.936

Неопасный резидентный вирус. Перехватывает INT 10h, 16h, 21h и записывается в конец запускаемых COM-файлов. В зависимости от своего случайного счетчика "пропускает" символы клавиатуры или меняет видео-режим.




Cruncher, семейство

Свое название этот вирус получил от строки своего текста : "Cruncher V1.0с". Это слово имеет специальное значение: "crunching" - название одного из популярных методов паковки данных.

На первый взгляд вирус является вполне обычным резидентным файловым вирусом. Он оставляет в памяти свою резидентную копию, перехватывает INT 21h и при запуске файлов записывается в них, используя стандартный "джентельменский" набор аккуратного вируса: перехват INT 24h, обработка и сохранение атрибутов и времени создания файла.

Но на этом стандартность вируса заканчивается. В момент заражения файла использует алгоритм компрессии данных и пакует зараженный файл. Длина файла, зараженного вирусом, часто становится меньше (иногда значительно меньше) длины исходного файла. При заражении вирус освобождает место на дисках!

Алгоритм заражения файлов и их упаковки выглядит следующим образом. При запуске файла на выполнение вирус считывает его содержимое в оперативную память (весь файл целиком), если, конечно, достаточно свободного места: 

+-----------------------------------+   файл, считанный в оперативную|        Файл                       |   память компьютера (образ файла)+-----------------------------------+


Затем вирус обычным способом заражает считанный файл, но заражение осуществляется в оперативной памяти компьютера. Дописывание вируса и изменение начала файла происходит со считанным в память образом файла. При этом обращения к дискам не происходит. 

   +---------------------------------+  зараженный образ файла   |                                 V+------------------------------------------------------------+| JMP |  Файл                       | Вирус                  |+------------------------------------------------------------+


Потом вирус запускает алгоритм упаковки, коды которого содержатся внутри тела вируса. Зараженный образ файла пакуется, начиная с первого байта (команды JMP) и кончая последним байтом вируса. При этом вирус использует алгоритм паковки из популярной утилиты DIET версии 1.10. После упаковки зараженный образ файла выглядит следующим образом: 

+-------------------------------------------------------------------+| Блок копирования| Блок упакованных данных . . . | Блок распаковки |+-------------------------------------------------------------------+


Блок копирования и Блок распаковки являются стандартными "обкладками" паковщика DIET, более того, соответствующая версия DIET'а в состоянии распаковать упакованный вирусом файл. Налицо полная совместимость вируса CRUNCHER и утилиты DIET.

Зараженный и упакованный образ файла сохраняется на диск вместо первоначального файла, а области памяти, задействованные вирусом при его заражении, освобождаются. Таким образом вирус заканчивает свое внедрение в файл.

При запуске зараженного файла все происходит так, как будто обычный вирус был запакован утилитой DIET. Коды блоков копирования и распаковки (см. рисунок) восстанавливают запакованный код (т.е. вирус), который затем перехватывает INT 21h и остается резидентно в памяти.

"Cruncher" содержит строки текста: 
[ MK / Trident ]Cruncher V1.0СЃ


"Cruncher.4000" заражает также и EXE-файлы. При заражении EXE проверяет их на наличие заголовка NewExe-файла и не поражает Windows-файлы. Также не заражает EXE-файлы, имена которых начинаются с комбинаций символов: SC, CL, VS, NE, HT, TB, VI, FI, GI, RA, FE, MT, BR, IM. В некоторых случаях выводит сообщение: 

+------------------------------------------------------------+| *** CRUNCHER V2.0 ***   Automatic file compression utility || Written by Masud Khafir of the TridenT group  (c) 31/12/92 || Greetings to Fred Cohen, Light Avenger and Teddy Matsumoto |+------------------------------------------------------------+





Crypt.134

Очень опасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается вместо них. Содержит текст: 

*.com Crypt




Cryptor, семейство

Безобидные нерезидентные полиморфик -вирусы. При запуске ищут .COM-файлы и записываются в их конец. Никак не проявляются, содержат строки: 

"Cryptor.2169":

-=0CrYpToR v1.00=- (C)1995 by -Nigh+-$piri+-[$UPD01.0], $pirit's Universal Polymorphic Device v1.0.(C)1995 by -Nigh+-$piri+-


"Cryptor.2852":

-=0CrYpToR v1.50=- (C)1996 by -Nigh+-$piri+-[$UPD01.5], $pirit's Universal Polymorphic Device v1.5.(C)1995-1996 by -Nigh+-$piri+-


"Cryptor.3612":

-=0CrYpToR v2.00=- (C)1996 by -Nigh+-$piri+-0 BEST POLYMORPH-ENCRYPT VIRII IN WHOLE WORLD 0[$UPD02.0], $pirit's Universal Polymorphic Device v2.0.(C)1995-1996 by -Nigh+-$piri+-





Csf.240

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку: 

csf




Csl, семейство

Резидентные безобидные (кроме "Csl.517") вирусы. Записывают себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в конец COM-файлов, загружаемых в память. "Csl.517" стирает часть CMOS-памяти. Вирусы семейства содержат строки: 

"Csl.381":  26.07.91.Pre-released Microelephant by CSL"Csl.457":  Microelephant V5 by CSL"Csl.517":  Microelephant V4 by CSL





CSSR.538

Нерезидентный неопасный вирус. Ищет COM-файлы текущего каталога и записывается в их конец. Если в файл, зараженный вирусом "CSSR.538", запишется какой-либо другой вирус (за исключением, конечно, стелс-вирусов), то "CSSR.538" выдаст сообщение: 

Warning : File is damaged by virus !!!




Cuareim.800

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Начиная с 22:00 выводит текст и возвращается в DOS: 

ei-cuareim 1.5 By: V90d90Atime to stop working - 22pmLucky, I dont do anything





Cumple.1249

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов (кроме COMMAND.COM) при их запуске. При заражении переименовывает файлы в MOM.MOM, заражает их, а затем переименовывает обратно. Выводит сообщения: 

15-го ноября:  Hoy es el cumpleaдos de АэЯЯюю ... !!!11-го июля:    Hoy es el cumpleaдos de сЪЫhЭ ... !!28-го апреля:  Hoy es el cumpleaдos de KМчэ ... !!!


Также содержит строки: 

COMMANDCOMMOM.MOMМrцsАТT  Activado . By \\рrчМу and \\рrЫюЬэ ...  :)Espere 2 min. para continuar  :)





Cunning.1997

Безобидный резидентный вирус. Записывается в конец .COM- и .EXE-файлов. При заражении переводит EXE-файлы в COM-формат.

При запуске зараженного файла вирус поражает COMMAND.COM и возвращает управление программе-носителю. Остается резидентно только при запуске зараженного COMMAND.COM. Перехватывает INT 21h функции запуска, закрытия, открытия файлов и функции FindFirst/Next.

Использует довольно необычный метод для "обмана" CRC-ревизоров: вирус заражает файлы при их паковке архиваторами. Для этого вирус анализирует имена запускаемых программ и, если запущен ARJ, RAR или AIN, заражает файлы при их открытии и затем лечит при закрытии. При паковке архиватор открывает файл (вирус заражает его), пакует и сохраняет файл (уже зараженный) в архиве, затем закрывает файл (вирус лечит файл). В результате файлы на диске остаются незараженными, но в архиве хранятся их зараженные копии.

Вирус содержит строки: 

COMSPEC= C:\COMMAND.COM ARJ.EXE ADINF.EXE.COM .EXE AIN.EXE RAR.EXE





Currar.1171

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. 5-го июля выводит текст:

Hoy me toca currar en tu ordenadoR

Также содержит строки: 

*.COM CuRc:\command.com





Curse.400

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, трассирует и перехватывает INT 21h. Записывается в конец COM- и EXE-файлов при их запуске. Содержит строку: 

CURSE IV - Dedicated to Eve




C&Y.428

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строки: 

C&Y*.com





Cybercide, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при вызове функций DOS FindFirst, FindNext, Close, GetDiskSpace. При открытии зараженного файла лечат его.

"Cybercide.2229,2256" также перехватывают INT 09h, 1Ch и вызывают эффекты. Если набрать на клавиатуре "anoi", вирус добавит: "iS AROUND!". При нажатии Alt-Del вирус выводит знаки 'A', 'N', 'O' и 'I' в углы экрана. В зависимости от текущего времени вирус либо выводит изображение национального флага Швеции, либо проигрывает мелодию, выводит текст и завешивает компьютер: 

--+---     I hereby proclaim this computer as the property of A.N.O.I     --+---                           !! ALL HAIL DARTH VADER !!


либо стирает случайно выбранные сектора диска строкой: 

>>>  A.N.O.I  <<<

"Cybercide.1228,1307,1309,1321" проявляются только стиранием секторов.

Вирусы также содержат строки текста (некоторые из которых записаны задом наперед в "Cybercide.2229,2256"): 

"Cybercide.1288":

huh huh m huh m huh hu hu hu huh huh huh m huh mhu huh hu huh huhIm going to kick your ass again(c)1995 EtheopiaVirus: Butt-HeadAuthor: Etheopia/FLooDUhhhh, Hey baby..


"Cybercide.1307,1309":

Simple Simon met a pieman going to the fair saidSimple Simon to the pieman let me take your ware(c)1993 Cruel Entit%%% MY LITTLE PONY %%% COPYRIGHT(C) 1993 A.N.O.I. %%%>>>  A.N.O.I  <<<


"Cybercide.1321":

simple simon met a pieman going to the fair saidsimple simon to the pieman let me take your ware- my little pony - copyright(c) 1993 Cruel Entity and A.N.O.I. -.. sweden rise again ..


"Cybercide.2229,2256":

nam nesut agnЖm dem Дnk mo Дnk ,marfkcig xeR sluloraCruh nes egnДl rФf ,nД in snniMYTITNE na ot LEURC eb revenynollef ELIV a si GINKLAWYAJ... I SHALL FEAR NO EVIL ...**CYBERCIDE** -- FLOATING THROUGH THE VOID-=CYBERCIDE=- 01-30-1993 * COPYRIGHT (C) 1992-93   A.N.O.I DEVELOPMENT




Демонстрации вирусных эффектов:

CYBERCID.COM


Cyberloard, семейство



Cyberloard.200

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Содержит строку: 

CYBERLOARD1



Cyberloard.381

Очень опасный нерезидентный вирус. При запуске ищет .COM- и .EXE-файлы и записывается вместо них. Содержит строки: 

Power To The PEOPLE!Cyberloard lives!!!!





CyberTech, семейство

Безобидные нерезидентные (CyberTech.647,914,1313 резидентны) самошифрующиеся вирусы, ищут COM-файлы и записываются в их конец. Если имя файла COMMAND.COM, то некоторые из этих вирусов записывают себя внутрь файла без изменения его длины (см. вирус "Lehigh" ).

"CyberTech.222,647" не шифруются.

"CyberTech.439,444,454" содержат в себе строку "CAVAGUCO4DVSTB" и не заражает файлы, имена которых начинаются с пары символов из первой строки (CA*.*, ... , 4D*.*, VS*.*, TB*.*). Также содержат строки: 

"CyberTech.439":  [NoLimit] John Tardy / Trident"CyberTech.444":  John Tardy / TridenT"CyberTech.454":  [NoLimit2] John Tardy / Trident




"CyberTech.501" содержит в себе строки: 

I scream, you scream, we both scream for an ice-cream![TridenT]John Tardy




"CyberTech.552" содержит в себе строки: 

Mourners of a dying worldToo late to reconcileInto Everlasting FireCan't you see it's Satan's world


TRIDENT

John Tardy



"CyberTech.503" выводит текст: 

             RTL4Joop van den Ende Produkties BVMarco Daas (Casting Assistent)Postbus 3971430 AJ  AALSMEERvan Cleeffkade 151413 BA  AALSMEERThe NetherlandsWedden dat... je een virus hebt?




"CyberTech.647" содержит в себе строки: 

[90210 BH]John Tardy / Triden




"CyberTech.Caco.664,668" содержат в себе строки: 

(C) 1992 John Tardy / TridentSatan spawn, the Caco-Daemon - Mor(T)alities Death




В 1993 году ("CyberTech.1076,1078") или 1994 ("CyberTech.1066,1215,1228") удаляют себя из файлов, при этом сообщают: 

The previous year you have been infected by a viruswithout knowing or removing it. To be gentle to youI decided to remove myself from your system. I suggestyou better buy ViruScan of McAfee to ensure yourselfcomplete security of your precious data. Next time youcould be infected with a malevolent virus.May I say goodbye to you for now....


CyberTech Virus - Strain A(C) 1992 John Tardy of Trident




CyberTech.914,1313

Резидентны, перехватывают INT 21h и записывается в конец COM-файлов при обращении к таким файлам. "CyberTech.914" перехватывает также INT 1Ch и запускает системный таймер в обратную сторону. Содержат строки: 

"CyberTech.914":  | Trapped in a spell of the Necromonicon |"CyberTech.1313": [ "Thunderdome" virus by John Tardy / TridenT ]Created in Holland, released near Bolzano/Italy.This virus is made to test the spreading rate of viruses in Italy. It is notment to be destructive, however, some programs might not work anymore,because of CRC-checking. I am sorry if I accidentally corrupted one of yourprograms, but HEY! That is how life is, eh? Try to get our virus collection!and try TPE, or DMU (another one, more compact and also very complex!).Greetings go to all other virus writers!





Corrupt.1033

Неопасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец. При запуске на флоппи-диске выводит красно-синее сообщение: 

COR- RUPT  VIRUS


Содержит строки: 

C0RrUpT bY CiBeRb0B*.com





Carriers.6580

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при обращениях к ним. Никак не проявляется. Содержит строку: 

[Carriers] [Darkman/29A]




CD_Joke.848

Неопасный резидентный вирус. Зашифрован не только в файлах, но и в системной памяти. Свою резидентную копию определяет по вызову INT 21h EAX='PiVO' и сравнивает результат в EAX с 'OUi!'. Затем перехватывает INT 21h и записывается в начало запускаемых COM-файлов (кроме COMMAND.COM). Содержит строку: 

CD Joke II by NemO.

Если установлен CD-диск, то вирус перехватывает также INT 16h (клавиатура) и в зависимости от своего счетчика вводимых символов открывает и закрывает CD-диск.




China.882

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало запускаемых .COM-файлов. 1 октября перехватывает также INT 8 (таймер) и через некоторое время выводит текст: 

CHina CHinaMy Mother ,I Love you !


Также содержит строку: 

CHINA




Crasher, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в начало .COM-файлов при их запуске ("Crasher.439") или открытии ("Crasher.659"). Содержат текст: 

(C) CRASHER X

"Crasher.439" безобиден и никак не проявляется. "Crasher.659" очень опасен: 20 декабря стирает сектора диска C: и выводит картинку: 

Dear users !Hapy new year !      *     / \    /   \   /_ * _\      *





Coca.509

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. В воскресенье после 12:00 вместо запуска файлов выводит текст: 

System halted.Кажется я пеpегpелся !Сpочно заливай Кока-Колу в дисковод !!И учти - я больше пpедупpеждать не буду !


Также содержит строку: 

Coca-Kola 1.0 By Raven




CmosDead family

Очень опасные резидентные полиморфик -стелс -вирусы. При запуске трассируют и перехватывают INT 21h, остаются резидентно в памяти и записываются в конец COM- и EXE-файлов при обращениях к ним. Не заражают файлы с именами: 

AVG SYS SCAN CLEAN WIN TBAV PROT GUARD VS 286 386 DSK

При запуске CHKDSK выключают свой стелс-алгоритм. В некоторых случаях при запуске перечисленных выше программ блокируют их запуск и выводят текст: 

I don't like this program !

Используют антиотладочные приемы, под отладчиком выводят текст и завешивают компьютер: 

BE CAREFUL !

В зависимости от своих счетчиков перехватывают INT 9 (клавиатура), портят CMOS, выводят текст: 

GRISOFT(c) SOFTWARE 1989,96

и вызывают видео-эффект. При нажатии на Ctrl-Alt-Del вызывают BIOS-процедуру форматирования винчестера.

В некоторых случаях вирусы вызывают тот же эффект, затем записывают в MBR винчестера программу, которая при загрузке системы выводит текст: 

CMOS-DEAD: DATA DESTROYED !

Вирусы также содержат строку: 

Hello Mr. Odehnal !

и строки: 

"Odehnal.4792":  EXECOM12/19/91"Odehnal.5154":  EXECOM06/12/95





CodeBreaker.431

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. При заражении также записывает часть своего кода в середину файла. Для того, чтобы оставить файл рабостоспособным, вирус запоминает этот блок кода в своем теле и восстанавливает его перед возвратом управления зараженной программе.

1 июля выводит текст: 

The temple bell stops,But the sound keeps comingOut of the flowers.


Также содержит строки: 

[Basho] Sea4, CodeBreakers




Carnage.671

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит несколько ошибок и портит заражаемые COM-файлы. В зависимости от своего счетчика стирает CMOS и выводит текст: 

Welcome to Hfll.Your CMOS has been ERASED by the Carnage virus.You have 10 minutes to fix it.Pausing for a moment.


Затем вирус перехватывает INT 1Ch, ждет 10 минут, выводит текст "Time is up." и завешивает компьютер. Вирус также содержит строки: 

Carnage 1.00СЃCoded by the Executioner on July 6, 1996





Carnivore.504

Опасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM- и EXE-файлов при их запуске. Содержит ошибки и может испортить файлы при заражении или завесить систему.




CarryOn, семейство

Опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец.

Начиная с 5-го поколения "CarryOn.534" завешивает PC и выводит текст: 

We'll know for the first timeIf we're evil or devineWe're the last in line


Начиная с 22-го сентября "CarryOn.368" перезагружает компьютер, а "CarryOn.534" пытается (безуспешно) уничтожить файлы \WINDOWS\WIN.*.

Также содержaт строки: 

"CarryOn.368":  *.com                Inch High"CarryOn.534":  *.com                \windows\win*.*                FOREVER CARRY ON!





Cartier.1056

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Стирает FAT диска C: и выводит сообщение: 

+------------------------------------------------------------------------------+|   Don't panic it, I am just a virus named [Cartier]. Nice to meet you !      ||   You are so dirty to get software without any payments ! I don't like it !  ||   So, I destory all of your datas in the hard disk now ! Feel so good !      ||------------------------------------------------------------------------------||  I wish you like that !  |  What about a drink ?   |   See you next time !   |+------------------------------------------------------------------------------+





Cascade, семейство

Резидентные неопасные зашифрованные вирусы. Перехватывают INT 1Ch, 21h, 28h и записываются в конец запускаемых COM-файлов. Вызывают характерный видеоэффект: осыпание букв на экране.

Cascade.1491

Очень опасен. Иногда выводит сообщение: 

IL SISTEMA Рљ FOTTUTO!!S.E.K. VIRUS Made in ITALY RM5iD G.Ferraris 90/91 (c)


и стирает сектора дисков. Также уничтожает файл CHKLIST.CPS.



Демонстрации вирусных эффектов:

CASCADE.COM


Casino.2330

Резидентный очень опасный вирус. При старте ищет .COM-файлы, заражает их, затем создает в текущем каталоге файл COMMAND.COM, записывает в него свое тело и запускает этот файл. После запуска этот псевдо-COMMAND.COM перехватывает INT 21h, остается резидентным в памяти и уничтожает себя на диске. Затем вирус перехватывает запуск файлов и GetDiskSpace DOS-функцию и при этих вызовах ищет и поражает .COM-файлы.

Определяет защищенный от записи диск путем чтения/записи на диск через INT 13h. Снимает атрибут read-only. Содержит тексты: "*.COM", "C:\COMMAND.COM", "COMMAND", ".COM".

15 января, апреля, августа считывает в память FAT текущего диска, стирает ее (на диске) и предлагает поиграть в "рулетку". Если повезет, то вирус записывает FAT обратно на диск, если нет - FAT не восстанавливается. При этом на экран выводятся тексты: 

                  DISK DESTROYER   A SOUVENIR OF MALTA               I have just DESTROYED the FAT on your Disk !!     However, I have a copy in RAM, and I`m giving you a last chance                       to restore your precious data.    WARNING: IF YOU RESET NOW, ALL YOUR DATA WILL BE LOST - FOREVER !!                  Your Data depends on a game of JACKPOT


                     CASINO DE MALTE JACKPOT                       +-+     +-+     +-+                       +Р¬+     +?+     +Р«+                       +-+     +-+     +-+                           CREDITS : 5


                       ЬЬЬ = Your Disk                       ??? = My Phone No.                       ANY KEY TO PLAY


BASTARD ! You`re lucky this time - but for your own sake, nowSWITCH OFF YOUR COMPUTER AND DON`T TURN IT ON TILL TOMORROW !!!


No Fuckin` Chance; and I`m punishing you for trying to trace me down !

HA HA !! You asshole, you`ve lost: say Bye to your Balls ...



Демонстрации вирусных эффектов:

CASINO.COM


Caterpillar, семейство

Неопасные резидентные вирусы. Перехватывают INT 1Ch, 21h и записываются в .COM- и .EXE-файлы при их старте и при поиске файлов в каталогах (функции DOS FindFirst и FindNext FCB). При некоторых условиях по экрану начинает ползать "зеленая гусеница".



Демонстрации вирусных эффектов:

CATERP.COM


Catholic.1129

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. В зависимости от числа зараженных файлов пытается (вирус содержит ошибку) вывести сообщение: 

May The Peace Be With You....ROB DA MOB FUCK YA !CATHOLIC CORRUPTED GAY!





Catphish.701

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. Содержит в себе текст: 

Cry Havoc, and let slip the Dogs of War! [Catphish] FirstStrike Kraft!




Catscrf.558

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Никак не проявляется.




Caz, семейство

Очень опасные резидентные вирусы. Перехватывают INT 8, 21h, 2Fh и записываются в конец запускаемых COM- и EXE-файлов. При старте файла CLEAN расшифровывают и выводят на экран текст: 

Virus anti-McAfee v1.0 (C) SEPTEMBER 1991 Made in SPAIN

Затем вирусы стирают MBR винчестера и перезагружают PC. Вирусы также содержат текст: 

EXECOMC:\COMMAND.COM CLEAN.

"Caz.1024" периодически как-то работает с портами EGA/CGA.




CCC.381

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит строку: 

CCC1




CCCP.510

Неопасный нерезидентный вирус. Botn .COM-файлы и записывается в их конец. Каждый 25 зараженный файл выводит фразу: 

*** CCCP - 75! ***

после чего начинает активно перемещать головку винчестера.




CD, семейство

Резидентные неопасные зашифрованные вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Содержат строку: 

SCAN CLEAN VIR ARJ FLU COMMAND

и не заражают файлы из этой строки. Также содержат текст ".COM.EXE" и периодически сообщают: 

 VirCheck V1.2 (C)1991Be aware of those worms out there, violatingyour machine on Friday 13th - it's tomorrow!


Special thanks to Ross M. Greenberg,Patricia M. Hoffmann and John McAfee


 Press any key to continue...



Демонстрации вирусных эффектов:

CD.COM


CeCe, семейство

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своих внутренних счетчиков запускают по экрану "муху": 

  \/=0000-  /\


Содержат строки: 

Welcome to presentation of new program, named Ce-Ce!!!Can you recognize what does it mean?1. Do you know the fly living in the Africa?2. Do you know int3 command opcode?3. Do you know that 0CCh is equal to 204?4. Do you know that CC is Computer Center abriviature?5. Do you know the name of main hero in Santa Barbara?6. Do you know ...




Демонстрации вирусных эффектов:

CECE.COM


Cerberus.1353

Опасный резидентный вирус, при запуске копирует себя в память по адресу 8000:0100 без коррекции MCB-блоков, что может привести к зависанию компьютера. Затем вирус перехватывает INT 21h и INT 28h. При открытии файлов вирус устанавливает свой внутренний флаг, а затем при вызове INT 28h проверяет значение этого флага и, если он установлен, ищет .COM-файлы и записывается в их начало. После 80 попыток (в том числе успешных) поражения файлов вирус выводит на экран изображение движущейся собачьей морды.



Демонстрации вирусных эффектов:

CERBERUS.COM


Cernoch.1066

Неопасный резидентный вирус. Перехватывает INT 12h, 21h, 4Ah и записывается в конец COM-файлов при их открытии. При смене текущего каталога ищет .COM-файлы и заражает их тем же образом. Перехват INT 12h использует для детектирования своей TSR-копии. При любом вызове INT 4Ah расшифровывает и выводит текст, затем завешивает компьютер: 

Wish happy birthday to Cernoch




CFSK.918

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Периодически перехватывает также INT 08, 15h. При вызове INT 08 выполняет холостой цикл, чем замедляет работу компьютера, по INT 15h запрещает работу с расширенной памятью, выводит на экран сообщение: 

Sorry. I need some MHz today! (CFSK)




CGA.1024

Опасный резидентный зашифрованный вирус. Копирует себя в видео память CGA по адресу BF90:0000, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Никак не проявляется, но может завесить систему при переключении видео-режима.




Cha.2391

Резидентный безобидный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит в себе строку: 

cha-cha-chacha-cha-cha




Chad, семейство

Опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Иногда выводят картинку: 

                   ______                 /        \                 |  O  O  | -------------WW----    --+-WW------------ -------------------    ------------------ ----------------------------------------- -------- WOT!!  No Anti - Virus --------- --------       Software .....   --------- ----------------------------------------- -----------------------------------------


и завешивают компьютер. Содержат в себе также текст: 

CHAD Against Damaging Viruses ... Save Our Software. 1992.



"Chad.301,307" выводят: 

You have the Phague



Демонстрации вирусных эффектов:

CHAD.COM


Chameleon, семейство

Нерезидентные безобидные полиморфик -вирусы. Ищут .COM-файлы и записываются в их конец. При поиске и заражении файлов используют алгоритм вируса "Vienna" .

Являются одними из первых известных полиморфик-вирусов. Зашифрованы, при этом используют два интересных алгоритма. Первый реализует свойство "полиморфик", благодаря чему два штамма одного вируса с большой вероятностью не будут совпадать ни на одном байте. Основное тело вируса шифруется в зависимости от таймера, всего вариантов ключа 1000000h=16777216, а расшифровщик выбирается более чем из 3,000,000,000,000,000,000,000 вариантов (длина расшифровщика - 39 байт). Второй алгоритм достаточно успешно мешает трассировке вируса - используется динамическое рас/зашифрование кодов вируса при помощи INT 1 и INT 3.

Chameleon.Casper.1200

Очень опасен - 1 апреля пытается форматировать диск A:.




Champaigne, семейство

Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут COM-файлы и записываются в их конец. Если текущим диском является диск C:, то вирусы стирают на нем системные сектора и выводят текст: 

Champaigne Lives...

Вирусы также содержат строки: 

by KrACkBaBy

"Champaigne.706" не стирает сектора дисков, но дописывает к не-COM-файлам текст: 

Piggy Virus-v2.01.a by kRaCkBaBy...hE LiVES inSiDE mY mouTh, anD tELLz mEwhAt To sAY...whEn hE TUrNz tHA tRAiNz oN hE maKeZ iT gO aWaY...tHE HAnDzaRe kRACkEd aND DiRtY ANd tHE nAiLz aRe BEeTLe WiNGs...anD tHERe iZ nO oNEHerE tO sAVE oUrSeLf!!


Этот вирус также записывает в файл C:\AUTOEXEC.BAT строку: 

@echo !OiNk OiNk OiNk...goEs tHA Piggy!




Chang.1759

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Если диск защищен от записи, вирус затирает MBR строкой: 

TOO MANY WRITE PROTECT!!!

Также содержит строки: 

12345678YOU CAN CHANG SOMETHING OF THE PROGRAM.I HAVE GIVEN UP MY COPYWRITE, AND I HAVELEFT SOME SPACE FOR YOU.THANKS!





Chaos, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM- и .EXE-файлов. "Chaos.1181" перехватывает также INT 9,13h. Стирают сектора дисков, а затем выводят тексты: 

"Chaos.1181": CHAOS!!!  Another Masterpiece of Faust..."Chaos.1241": I see, I come, I conquer... Trojan horse-CHAOS v2.0 by Faust





ChaosYears, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. Иногда стирают сектора дисков, затем расшифровывают и выводят текст: 

YOUR DISK HAS BEEN DESTROYED BY THE " CHAOS YEARS " VIRUS ...ACCEPT MY SINCERE SYMPATHY !SIGNED : THE DARK AVENGER .





Chapa, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в начало запускаемых COM-файлов. Вирусы содержат строки: 

"Chapa.447":   ANTI "T.M.E.- VARNA",VIRUS BY MIK"Chapa.448":   V.Black LoveCM"Chapa.450.a": CHAPA"Chapa.450.b": T.M.E. - VARNA"Chapa.450.c": *BY APAHC*"Chapa.566":   ANTI "T.M.E.- VARNA",VIRUS BY MIK.F;"Chapa.572":   21/10/95 - "Black Love".               May Autor is Mr.Loverman T.M.E - Varna."Chapa.586":   *"MG-VARNA" THE BEST SCHOOL ALL THE WORLD. BY APAHC*


Все вирусы (кроме "Chapa.450.a,c") перехватывают также INT 13h и в зависимости от системного таймера портят сохраняемую на диск информацию.




Chcc.2662

Нерезидентный очень опасный вирус. Ищет .COM- и .EXE-файлы и записывается в их конец. Если не обнаружено незараженных файлов, то вирус в зависимости от некоторых условий может уничтожить .COM-, .EXE-, .SYS- и .BAT-файлы. В теле вируса содержатся строки: 

COMEXESYSBATChCC





ChDir, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h, обрабатывают функцию 3Bh (Change Dir), затем ищут .COM- и .EXE-файлы ("ChDir.422" ищет только .COM-файлы) и записываются и их середину. Зараженные файлы не восстанавливаются.




Cheap.828

Неопасный нерезидентный зашифрованный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Каждый месяц, если текущая дата равна 4, 12, 17 или 25, то вирус 500 раз выводит текст: 

ChEaPeXe v2.0 Virusby WР“rСЃlР”DР  '97 USA


При этом последующие "поколения" вируса выводят этот текст вне зависимости от текущей даты (ошибка в вирусе?).




CheckSum, семейство

Резидентные безобидные вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец каждого 8-го запускаемого или загружаемого как оверлей COM- или EXE-файла. "CheckSum.1232,1233" заражает только COM-файлы. При запуске проверяют свою контрольную сумму. "CheckSum.3022" содержит длинный текст.




Cheeba, семейство

Резидентные неопасные вирусы. Активизируются только если вектор INT 13h указывает на область с адресом меньшим, чем адрес первого MCB. В обработчиках INT 13h, 21h, 22h заменяют первые 5 байт на инструкцию "FAR JMP на тело вируса", затем записываются в конец COM- и EXE-файлов.

Содержат текст: 

CHEEBA Makes Ya High Harmlessly F**K THE LAMERS

В вирусе присутствуют также коды, которые расшифровываются и выполняются при открытии файла USERS.BBS, используя имя файла как ключ расшифровки. При этом вирус записывает в файл USERS.BBS какую-то информацию (создает имя с максимальными привилегиями?).




Chek1.282

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец .COM-файлов при обращениях к ним DOS-функцией FindNext ASCII (AH=4Fh). Содержит строку: 

CheK1




Chemist.265

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и при вызовах функций DOS SetDir, SetDist, GetDiskSize ищет .COM-файлы и записывается в их конец. Содержит строки: 

*.comChemЧ7t





Cherry.2266

Опасный резидентный зашифрованный вирус. При запуске выделяет себе блок памяти, копирует туда свой код, перехватывает INT 8 (таймер) и возвращает управление программе-носителю. Через некоторое время перехватывает INT 21h и начинает заражать файлы при их открытии или поиске DOS-функцией FindFirst. Эта функция также вызывается при запуске файлов, поэтому вирус также заражает запускаемые файлы. Заражаются .COM- и .EXE-файлы, при этом вирус записывается в конец файла.

Вирус содержит ошибки и в некоторых случаях вешает систему. В зависимости от своего счетчика вызывает какой-то видео-эффект (код эффекта испорчен), выводит тексты: 

Enter your name :....

##### ############ #--STEALTH MUTANT-- Best<    >#| #########+##+####|Arkhangelsk'95#####+######|##| ##++АГТУ/ЭПП/IV---+-+-+--+-+ -+  -+ Hi





Chespirito.2018

Безобидный нерезидентный полиморфик -вирус. При запуске ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строку: 

[Chespirito]




Chill.544

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при обращении к ним. Форматирует сектора винчестера. Содержит строку: 

[CHiLL TOUCH] You cannot touch these phantoms




Chinese.2311

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске и вызовах DOS-функций FindFirst/Next FCB (команда DIR). При заражении памяти выводит текст на китайском.



Демонстрации вирусных эффектов:

CHINESE.COM


Chips.877

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. При зиражении сохраняет не все тело файла, а на один байт меньше. Это может вызвать зависание компьютера. Периодически затирает сектора дисков строкой "chipshit!!?", а затем сообщает: 

Hej! Tu wirus Chipshit! Co sie stalo z Twoim dyskiem ?




Cholera, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM- и .EXE-файлов. Некоторые файлы заражаются вирусами некорректно, они завешивают систему при их запуске. В зависимости от системного времени "Cholera.1497.a,b" перехватывают INT 08h и замедляют работу компьютера при каждом тике таймера, "Cholera.2415" стирает CMOS. Вирусы содержат строки: 

"Cholera.1497.a":  Cholera v1.0 by dr Hellraiser 94-02-03"Cholera.1497.b":  Cholera v2.0 by dr Fleischman 93-12-29"Cholera.2415":    Cholera v3.0 by Dr Fleischman                   Pozdrowienia dla III a z 3-go LO w Olkuszu 93/94                   All rights reserwed  (c)1994 02 17





Chomik.704

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при их запуске. При "теплой" перезагрузке (Alt-Ctrl-Del) расшифровывает и выводит текст: 

CHOMIK ATAKUJE




Christmas.1539

Нерезидентный очень опасный вирус, зашифрован. Обходит указанные в "PATH=" подкаталоги и поражает обнаруженные .COM-файлы (кроме IBMBIO.COM и IBMDOS.COM). Записывается в начало файлов. 1-го апреля записывает в MBR винчестера и Boot-сектор дискет программу, которая при загрузке выводит на экран текст "April, April ...". С 24 по 31 декабря рисует на экране елочку и фразу: 

                           РЅ                          ***                         *****                        *******                       *********                      ***********                     *************                    ***************                   *****************                  *******************                 *********************                ***********************               *************************              ***************************             *****************************                          ###                          ###                          ###
РќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќРќ
        Und er lebt doch noch : Der Tannenbaum !                   Frohe Weihnachten ...





Christmas.1694

Неопасный резидентный вирус, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. С 24-го по 26-е ноября перехватывает INT 8, затем выводит сообщение и проигрывает мелодию: 

Merry Christmas and happy new year !  Written from Tamsui Oxford college.



Демонстрации вирусных эффектов:

CHR_1694.COM


Christmas.600

Неопасный нерезидентный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. 25 декабря выводит в центр экрана текст: 

A merry christmas to you!




Christmas.868

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлы при их запуске или загрузке в память как оверлеев. Длина .EXE-файлов перед заражением увеличивается до значения, кратного блоку - 200h). Перед заражением очередного файла выводит на экран знак '#'. После 23-го числа ежемесячно наигрывает мелодию "В лесу родилась елочка...".



Демонстрации вирусных эффектов:

CHR__868.COM


Chris.463

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Периодически расшифровывает и выводит текст: 

Mary,.... ti AMO!

Также содержит строки: 

<CHRIS of S.i.t.>inf





Chukcha, семейство

Неопасные нерезидентные вирусы. При запуске ищут COM-файлы и записывается в их начало. При заражении файла временно переименовывают его в "чукча.!!!". Выводят сообщения: 

ТВОЯ МОЯ НЕ ЗАПУСКАЙ, МОЯ ВИРУСОМ ЗАРАЗИЛАСЬ ОДНАКО !НЕ БОИСЬ, ПАРЯ, МОЯ МАЛЕНЬКО ПОШУТИЛ !





Cinderella, семейство



Cinderella.360

Неопасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 16h, 21h и записываются в конец .COM-файлов при их запуске или открытии. После нескольких вызовов INT 16h (клавиатура) создают файл нулевой длины: 

"Cinderella.360.a": файл CINDEREL.LA"Cinderella.360.b": файл CINDYRUL.EZ


Содержат строки: 

"Cinderella.360.a": cInDeReL.la"Cinderella.360.b": CindyRul.ez




Cinderella.779

Резидентный очень опасный вирус, перехватывает INT 21h и записывается в начало .COM-файлов и конец EXE-файлов при их запуске или открытии. Стирает FAT диска C: и выводит текст: 

Cinderella II




Civilwar, семейство

Безобидные вирусы. Резидентные представители семейства перехватывают INT 21h и записываются в конец .COM-файлов при их запуске или открытии, нерезидентные - ищут и заражают файлы в текущем каталоге. "Civilwar.901" поражает также и .EXE-файлы. Содержат в себе тексты: 

"Civilwar.212,213":    Jesus Hates You"Civilwar.244,245":    Civil War, (c) 1992 Dark Helmet"Civilwar.281,282":    The Navigator, (c) 1992 Dark Helmet"."Civilwar.580":        Civil War II v1.0, (c) 06/03/1992 The Netherlands."Civilwar.599,602":    Civil War II v1.1, (c) 06/03/1992                       Trident/Dark Helmet, The Netherlands"Civilwar.611":        [TridenT] {{V1.1 Bugfix}                       Righard Zwienenberg made the DUTCH-555 Virus!!!"Civilwar.629,631":    #6 Virus, Trident/The Netherlands 1992"Civilwar.893,901":    Civil War III v1.0, (c) Dec 1992, [ DH / TridenT]"Civilwar.Insane":	C-3... The Insane Cyborg!"CivilWar.IronButterfly":        Iron Butterfly V1.2"Civilwar.Rabbit.292":           The Rabbit Virus By: Corrupt Of Death Row"Civilwar.Ratboy.269":           ratboy"Civilwar.Ratboy.289,303,306":   To My Wife, Love Ratboy"Civilwar.Ratboy.513": RaTBoY HaTeS YoU!!! Ihater-u-all"Civilwar.Ratboy.545": RaTBoY WaS HeRe!!! My Vx, Invircible Killer"Civilwar.Ratboy.671": RaTBoY Loves Mrs. RaTBoY!!!


В зависимости от текущего времени "Civilwar.212,213" меняют фонт экрана.

"Civilwar.444" опасен: записывается вместо .COM-файлов текущего каталога. После этого выводит сообщение: "File corruption error" и возвращается в DOS. Если все файлы уже заражены, выводит текст: 

Civil War

My hands are tiedFor all I've seen has changed my mindBut still the wars go on as the years go byWith no love of God or human rights'Cause all these dreams are swept asideBy bloody hands of the hypnotizedWho carry the cross off homicideAnd history bears the scars of our civil wars




"CivilWar.688,690" при печати текста на принтер выводят на экран: 

Civil War II v1.0, (c) 06/03/1992 The Netherlands.



"CivilWar.Dad.503" выводит сообщение: 

00-=>DAD WAS HERE!!!<=-00[|>.\|> V2]Made in Argentina - Call SAtAnIc BrAiN BBS - +54-1-383-7480




"CivilWar.Darkray" содержит/выводит строки: 

This file contains a virus!!! Please COLD-boot from a write protectedsystem disk and use you anti virus software!!!Dit virus is ter RESEARCH en STUDIE geschreven!!Misbruik hiervan is strafbaar onder de Nederlandse wet!!(C) 1994 - [DСЂRkRСЂY] retired virus writer...




CivilWar.Antidaf.561

Очень опасный нерезидентный зашифрованный вирус, ищет .COM-файлы и записывается в их конец. В ноябре по понедельникам стирает сектора FAT текущего диска и выводит сообщение: 

The Anti-DAF virusDAF-TRUCKS EindhovenHugo vd Goeslaan 1Postbus 900635600 PR Eindhoven, The Netherlands


DAF sucks...(c) 1992 Dark Helmet & The Virus Research Centre




Демонстрации вирусных эффектов:

CIVILWAR.COM


Cj.304

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец стартующих .COM- и .EXE-файлов. Заражает корректно только .COM-файлы, в .EXE записывает только свой код без коррекции заголовка файла - такие файлы не распространяют вирус. В зависимости от системного таймера гадит в файлы: записывает в них несколько инструкций JMP. Содержит в своем теле строку "C J".




Claire.821

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Также перехватывает WriteHandle DOS-функцию и в зависимости от своего счетчика при записи в файлы текстовых строк замещает их на "Claire". Содержит строку: 

Claire J, my love for you is absolute. (C) 1993 Scorpio / XDi




Claudia.8772

Неопасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. Начиная c 25-го августа 1996 года проявляется видео-эффектом: выводит компьютер в графический видео-режим, выводит изображение Клаудии Шиффер и текст: 

Das ist ClaudiaSchiffer virus by OSSometimes when U stroling down theAvenue the way U walk it makes menThinkof HAVING U when U walkingDown the street everybody stops&  turns 2 stare at U!	(IrM)Hope 2 meet U...somewhere in time




Демонстрации вирусных эффектов:

CLAUDIA.COM


Cli&Hlt.1345

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h,28h и записывается в конец COM- и EXE-файлов при обращении к ним. Проявляется видео-эффектом, вызывает INT 02. Содержит строку: 

COMEXE** (C) CLI&HLT Hackers Group **




Демонстрации вирусных эффектов:

CLI_HLT.COM


Click.375

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. После заражения "щелкает" динамиком компьютера.




Clinton.654

Очень опасный нерезидентный вирус. Ищет .COM- и .EXE-файлы и записывается вместо них. Содержит/выводит строки: 

Memory allocation error.Clinton endorses homosexuality. Get ready for another liberal fucking.Clinton virus by Dark in 93


При заражении также использует свои строки: 

*.EXE *.COM COMMAND.COM




CLL.947

Неопасный резидентный вирус. Перехватывает INT 10h, 21h и записывается в конец запускаемых COM- и EXE-файлов. При каждом вызове INT 10h записывает нули в порты 200h, 220h, 240h, ..., 2E0, при каждом вызове INT 21h записывает случайные данные в порты 230h-233h и 250h-253h (выключает soundblaster? контроллер Adaptec?). Содержит строку: 

Creative library link. Copyright(c) 1994 by Michael Carington.




Clone, семейство

Неопасные компаньон -вирусы. Для обнаруженных .EXE-файлов создают компаньон .COM-файлы (с тем же именем, но с расширением .COM).

Clone.546

Нерезидентен, выводит какое-то сообщение (затерто пробелами), содержит строки: 

BeyondThe rim of the star-lightMy loveIs wand'ring in star-flightI knowHe'll find in star-clustered reachesLoveStrange love a star woman teaches.I knowHis journey ends neverHis star trekWill go on forever.But tell himWhile he wanders his starry seaRemember, remember me.[TrekWar] *.EXE COM




Clone.833

Резидентный вирус. Перехватывает INT 21h и поражает запускаемые .EXE-файлы. В апреле сообщает: 

Your PC is Cloned!!

Содержит в себе также строку:

.Clone Virus ver 2.0..(c) Cataclysm 1992 Sydney, Australia....To Create and Mutate...




Close.656

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец загружаемых в память .EXE-файлов. С февраля по март уничтожает файлы "C:\IO.SYS" и "C:\IBMBIO.COM", затем сообщает: 

Close ..




Close.960

Неопасный резиденитный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов. Должен портить каждый 16-й COM-файл, но из-за ошибки в вирусе до этого не доходит. Если бы COM-файлы поражались, то при их запуске вирус переводил бы экран в режим 40x25 и выводил текст: 

  Соотечественники!    Московскиевыродки проедают страну и  дерут-ся за власть. Они готовы  продатьнаше будущее за импортную  жратвуи презервативы. Союзный договор -это СНОВА засилье московских  чи-новников.  Страна  обойдется  безних ! Союз можно заключить толькокогда окрепнут республики...  СВОБОДУ ФОРМ СОБСТВЕННОСТИ !   СВОБОДУ САМООПРЕДЕЛЕНИЯ !    ДОЛОЙ СОЮЗНЫЙ ДОГОВОР !





Cls.853

Неопасный резидентный вирус. Перехватывает INT 8, 13h, 21h и записывается в конец COM-, EXE- и OVL-файлов при их загрузке в память. Примерно раз в час очищает экран. На уровне INT 13h обрабатывает ошибку, возникающую при записи на защищенный от записи диск.



Демонстрации вирусных эффектов:

CLS_853.COM


CmosDense.807

Очень опасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. В завмисимости от своих счетчиков портит CMOS и блокирует чтение через INT 13h.




CNTV.2630

Опасный резидентный зашифрованный вирус. При запуске зараженного файла копирует себя в системные буфера, часть своего обработчика INT 21h - в первый Program Segment Prefix, перехватывает INT 21h и затем записывается в конец COM- и EXE-файлов при их запуске. При заражении файлов вирус не изменяет их заголовок и "точку входа", а записывает свой "входной код" в середину файла.

Для этого вирус загружает файл в память DOS-функцией "Load but not Execute" (AX=4B01h), трассирует файл и записывает свой "входной код" начиная с адреса 100-й трассируемой инструкции. "Входной код" вируса содержит цикл расшифровки основного кода вируса и код передачи управления на этот основной код. Затем вирус шифрует себя и записывает в конец файла.

Вирус содержит ошибки и может испортить файлы при заражении. Проверяет имена файлов и не заражает: 

*MAN?.* (COMMAND.COM)*CV??.**SCA?.* (SCAN.EXE)*LEA?.* (CLEAN.EXE)*UAR?.**IEL?.*


В зависимости от системного времени расшифровывает и выводит текст: 

РЅ A CuBaN NeW TeChNoLoGy ViRuS By SoMeBoDy !




Cobra.400

Безобидный нерезидентный вирус. Ищет COM-файлы и записывается в их начало. Содержит строку: 

Cobra




Coca.574

Безобидный нерезидентный вирус. Ищет EXE-файлы в текущем каталоге и записывается в их конец. Никак не проявляется, содержит зашифрованный текст: 

Coca-Cola




Coconut, семейство

Нерезидентные вирусы. Ищут .COM-файлы и заражают их. При заражении устанавливают INT 1 или INT 3 на адрес INT 21h и вместо DOS-вызовов используют вызовы через INT 1 или INT 3.



Coconut.1323

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается вместо них. 31-го августа расшифровывает и выводит картинку: 

             ooooo@@@@@@@@@@@@@ooooo          oo@@@@@@@@@@@@@@@@@@@@@@@@@oo        oo@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@oo      o@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@o    o@@@@@@@@@    @@@@@@@@@@@@@    @@@@@@@@@o   o@@@@@@@@@      @@@@@@@@@@@      @@@@@@@@@@o  @@@@@@@@@@@      @@@@@@@@@@@      @@@@@@@@@@@@ @@@@@@@@@@@@@    @@@@@@@@@@@@@    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@  @@@@@@@@   @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@   @@@@ @@@@    "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"    o@@@  @@@o     """@@@@@@@@@@@@@@@@@@@@@@"""     o@@@   @@@o          "@@@"@@@@@@"@@@"          o@@@    @@@@o          @          @          o@@@"     "@@@@o                            o@@@@       "@@@@@o                      o@@@@@"          ""@@@@@oooooooooooooooo@@@@@""             ""@@@@@@@@@@@@@@@@@@@@""                 ""@@@@@@@@@@@@@""




Также содержит строку: 

*.COM [Virus coconut, by The King Lizard]



Coconut.1870

Неопасен, записывается в конец файлов. 25-го и 31-го декабря выводит ту же картинку, что и выше, и текст: 

                                                *                                          *  ***                                        *** *****   Virus coconut wishes you a merry   ************  christmas and a happy new year!!  *******   *                                          *   *                                          *





Coda.1289

Неопасный резидентный вирус. Записывается в конец .COM- и .EXE-файлов. При запуске зараженного файла ищет строку COMSPEC=, заражает командный процессор (COMMAND.COM) и возвращает управление программе-носителю. При запуске зараженного COMMAND.COM перехватывает INT 16h ("выключает" клавиши ESC и '~'), INT 21h и заражает открываемые файлы. Определяет свою TSR-копию вызовом INT 21h AX=C0DEh, TSR-вирус отвечает AL=DAh.




Codezero.576

Нерезидентный неопасный вирус. Ищет .COM-файлы и записывается в их конец. Если все файлы заражены, выводит текст: 

** CODE ZERO **

Содержит и другие строки: 

Code Zero Virus(C) 1992 Nowhere Man/[NuKE]





Coito.644

Безобидный резидентный зашифрованный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку: 

-= COITO, ERGO SUM =-By Green Leon 1993.




Collor.878

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от текущей даты форматирует сектора винчестера и выводит текст: 

Virus Collor De Mello




Combi.1106

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. По субботам стирает сектора дисков. По 1-м числам выводит текст: 

|a+в -aЧa +i |aпбСA|a~~ ?> Combi - KOREAN Code <


Также содержит строки: 

sonicccc*.COM





Commy.1014

Безобидный нерезидентный зашифрованный вирус. Ищет .COM-файлы в каталогах, содержащихся в PATH, и записывается в их конец. Содержит строки: 

-- The DIRTY COMMY said .. --*.COM*.EXE





Como, семейство

Нерезидентные неопасные зашифрованные вирусы. Ищут EXE-файлы и записываются в их конец. В зависимости от текущей даты выводят на экран текст:

"Como.1786": 
                       This is the                        COMO-LAKE                          virus                       1.13


I'm a non-destructive virus  developed  to  study  the  worldwidediffusion rate. I  was  released in  September 1990 by a softwaregroup resident near Como lake (north Italy).


Don't worry about your data on disk. My  activity is limited onlyto auto-transferring into other program files. Perhaps you've gotmany  files  infected. It's  your  task  to  find and delete them.Best wishes.


Press a key to execute the program

"Como.2019": 
                       This is the                        COMO-LAKE                          virus                       (rel. 1.1)


I'm a non-destructive virus  developed  to  study  the  worldwidediffusion rate. I  was  released in  September 1990 by a softwaregroup resident near Como lake (north Italy).


Don't worry about your data on disk. My  activity is limited onlyto auto-transferring into other program files. Perhaps you've gotmany  files  infected. It's  your  task  to  find and delete them.Best wishes.


Press a key to execute the program



Демонстрации вирусных эффектов:

COMO.COM


Companion РІРёСЂСѓСЃС‹

Компаньон -вирусы. Большинство из них безобидны и нерезидентны. При запуске ищут .EXE-файлы и создают компаньон-файлы с расширением COM. Содержат строку: 

*.EXE COM

Рё 

"Companion.261":    CloneWar V1.0"Companion.Benign": BENIGN VIRUS *.EXE Error in EXE file."Companion.FlyV":   Flying-V СЃy WMРў [DAN]"Companion.Gif":    \HAHA.GIF"Companion.TrekWar.547":


BeyondThe rim of the star-lightMy loveIs wand'ring in star-flightI knowHe'll find in star-clustered reachesLoveStrange love a star woman teaches.I knowHis journey ends neverHis star trekWill go on forever.But tell himWhile he wanders his starry seaRemember, remember me.[TrekWar]





Compiac.379

Опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. Уничтожает файлы *.M?, содержит строку: 

COMPIAC




Comsysexe, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM-, .EXE- и .SYS-файлов при их открытии или выполнении. Не заражают файлы IBMDOS.COM, IBMBIO.COM, MSDOS.SYS, IO.SYS, CONFIG.SYS, COUNTRY.SYS. Содержат текстовую строку: 

COMSYSEXEIBMDOSIBMBIOMSDOSIOCONFIGCOUNTRY

"Comsysexe.2954" опасен: уничтожает содержимое файлов с именами

GAME ENJO DZOJ DZOY PLAY FUCK DUPA PORNO JOY GRY RETAL GIER HUJ MKS VIRUS WIRUS SEX SONG GIF WOLF3D F19

Он также содержит в себе строки (но никогда к ним не обращается): 

(C) 1992 Cysta Inc.

Enter NEW Password :NEW Password InstalledERROR, Press Any Key....Use Maximum 6 ASCII Characters, ESC:ExitHit <ESC>, If you want to


"Comsysexe.8045" проговаривает через системный спикер несколько слов. Он также содержит тексты: 

(C) By Rycho RakCOMSYSEXEIBMDOSIBMBIOMSDOSIOCONFIGCOUNTRYCOMMANDMKS-VIRMKS_VIRMKSVIRMKS-DEMOMKS_DEMOMKSDEMO




Демонстрации вирусных эффектов:

COMSYSEX.COM


Comvirus, семейство

Неопасные нерезидентные вирусы, ищут .COM-файлы и записываются в их конец. При запуске сообщают: 

This file infected with COMVIRUS 1.0




Congratulations

Опасный нерезидентный зашифрованный вирус. При запуске ищет EXE-файлы и записывается в их конец. В некоторых случаях уничтожает файлы вместо их заражения. В зависимости от номера "поколения" вирус выводит текст: 

Congratulations, you have a virus




Connie.2835

Безобидный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM-файлов при обращениях к ним. Содержит строку:

hello! long time no see, this is Connie 3.0 by Dark Slayer of [TPVO], Keelung, Taiwan.




Conzouler, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Никак не проявляются. Написаны неким субъектом, называющим себя "Conzouler/IR".




Cookie, семейство

Очень опасные нерезидентные вирусы, ищут .COM-файлы и записываются в их конец их. Некорректно поражают файлы большой длины (более 30720 байт), эти файлы не восстанавливаются и могут завесить компьютер при запуске. Вирусы периодически выводят текст: 

CookieGive me a Cookie


и ждут ввода 'Cookie', после чего сообщают: 

Oh Thank you!




Cool.929

Неопасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец EXE-файлов при их запуске. В зависимости от системного таймера выводит какой-то текст, однако этот текст в имеющемся образце вируса испорчен. Вирус определяет свою TSR-копию в памяти вызовом INT 21h AX=0EADh. TSR-копия вируса возвращает AX=C001h, что и выбрано как имя вируса.




CopCom, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются вместо них. Перед заражением вызывают INT 24h, на что DOS реагирует стандартным сообщением: 

General Failure error reading drive ?:Abort? Retry? Ignore?


Вирусы также выводят сообщение: 

Program halted by Cop-ComUnauthorized program on your systemConsult Local dealer for support


Также содержат строки: 

(C) Business Software AllianceC:\COMMAND.COM*.COM





CopyProtected

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Сохраняет начало файла в его конце, стирая при этом конец файла. Как результат, зараженные файлы невозможно восстановить. Заражение файлов происходит через INT 25h и INT 26h. При запуске на защищенном от записи диске вирус выводит текст: 

This program is COPY PROTECTED !




Cordobes, семейство

Опасные резидентные полиморфик -вирусы. Перехватывают INT 21h функции FindFirst/Next ASCII (4Eh, 4Fh) и при обнаружении EXE-файлов записываются в их конец. Уничтожают файл CHKLIST.MS. Через четыре месяца после заражения вирусы дописывают к файлу AUTOEXEC.BAT команды: 

@Echo Virus "EL MOSTRO CORDOBES".@Echo No tema por sus datos. Que pase un buen dР±a.@Echo.@Pause





CorporateLife

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при вызове функций DOS FindFirst/Next FCB. При заражении файлов используют FCB-вызовы. Содержат ошибки и могут портить файлы при заражении. Если на компьютере установлен Sound Blaster со Speech-драйвером, вирусы передают этому драйверу строку: 

"CorporateLife.1929,1937":    Fuck Corporat Life."CorporateLife.1931,1935,1939,1943,1947,1951,1957,1961,1971":                              Mini Cat


Вирусы также содержат строки: 

"CorporateLife.1929,1937":

$B -=[$$$ Corporate Life $$$]=- P$

"CorporateLife.1931,1935,1939,1943,1947,1951,1957,1961,1971":

B Mini-Cat 4/96 P




Cosenza, семейство

Резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, "Cosenza.2027" заражает только COM-файлы. Не заражают файлы, имена которых начинаются со строк:

TBAV, TBSC, TBCL, TBDR, F-PR, F-TE, SVIR, SCAN, CLEA, VSHI, MSAV, VSAF, CPAV, VWAT, IBMA, NAV., FIND, TOOL, AVSC, DISK, DE.E, DEBU, TD.E

"Cosenza.2027" в октябре стирает сектора дисков, а затем выводит текст: 

the [BillGates] Virus is power-on!!Have you got a BACKUP of your HD??!?[BillGates] Virus :RamResident .COM InfectorSemi-Stealth Virus,Variable Crypto-Key and,Polymorphic Encryption!!(c) MicrosoftWritten in COSENZA (Italy, April 1995)Freddie (Mercury) lives...somewhere in time




"Cosenza.3205" в ноябре выводит текст: 

[C*O*S*E*N*Z*A] Virus!QUESTO ViRuS Рљ STATO DISTRIBUITO DA:(COMPUTER POINT    <-> COSENZA,c.so d'Italia,0984/481166)(CALIO'            <-> COSENZA,via N. Serra ,0984/38861 )(COMPUTER DISCOUNT <-> COSENZA,via RodotР• 15,0984/71230 )Advanced Semi-Stealth Virus with <P.V.E.>(P)olymorphic           /*********-*********\ (V)ariable             * C-y-b-e-r L-o-r-d *  (E)ncryption          \*********-*********/


Этот вирус также содержит строку: 

cosenzab




Cossiga, семейство

Нерезидентные вирусы, ищут .EXE-файлы и записываются в их конец.

"Cossiga.883" неопасны, выводят на экран текст: 

COSSIGA ?!  NO GRAZIE!By Amissi dee Panoce (c) 1991 PADOVA


Также содержат внутри себя тексты: 

"Cossiga.883":    AEGE/B V 1.2"Cossiga.883.b":  CLAUDIA SCHIFFER TO P MODEL - COSSIGA VIRUS AEGE/B


"Cossiga.859" очень опасен, в зависимости от системного таймера стирает сектора дисков и выводит сообщение: 

TE LO SEI PRESO NEL CULO !



Демонстрации вирусных эффектов:

COSSIGA.COM