AntiViral Toolkit Pro Вирусная Энциклопедия

Gad-Fly, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в середину файла COMMAND.COM при его запуске или открытии. Содержат строки:

"Gad-Fly.629": Gad-fly"Gad-Fly.646": The Revenger

Gad-Fly.629

При заражении памяти или при открытии файлов *.CAL или *.PRG вирус в зависимости от системного таймера перехватывает INT 10h и переводит строчные латинские символы в прописные при их выводе на экран. Вирус также может уничтожить файлы *.CAL и *.PRG.

Gad-Fly.646

В зависимости от своего счетчика и системного таймера стирают сектора дисков.

Galeocerdo.600

Неопасный нерезидентный вирус. При запуске ищет .COM- и .EXE-файлы имеющие COM-формат и записывается в их конец. Увеличивает на 100 лет системную дату, по четвергам портит данные BIOS. Содержит строку:

Victim of Galeocerdo cuvieri

Galicia, семейство

Неопасные нерезидентные вирусы, "Galicia.840" зашифрованн. Ищут .COM-файлы и записываются в их начало. Если номер текущего месяца - четный (январь, март, ...), то заражают MBR винчестера загрузочным вирусом:

"Galicia.800" - "Galicia.a""Galicia.840" - "Galicia.b"

Содержат строки:

"Galicia.800": Galicia contra telefonica!"Galicia.840": Antitelefвnica Galicia!

Gallery.631

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляется, содержит строку:

Art Gallery++

Galt.1574

Безобидный резидентный стелс -вирус. Трассирует и перехватывает INT 21h, затем записывается в конец COM- и EXE-файлов при обращениях к ним. Содержит строки:

22/07/95John Galt - RT Fishel

Galya.500

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. 17-го декабря стирает сектора дисков, затем расшифровывает и выводит сообщение:

Today is GALYA'S birthday

Gambler.288

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске. Стирает сектора дисков, содержит строку: "GAMBLER".

Game, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Иногда, если компьютер находится в графическом видео режиме, стирают CMOS. Содержат строки:

9 NovemberGamE-FuckingeR 1.0 (c) The Dniester Moldavian Republic.

Gandalf, семейство

Безобидные нерезидентные зашифрованные вирусы. Ищет .COM-файлы в текущем каталоге и записываются в их конец. Содержат строки:

"Gandalf.240": [Gandalf.Gray]*.COM"Gandalf.444":[MARTYR:2] - Greets to MarY PoPPinS + SMAUG - [VC.UK] *000018*

Ganja.437

Безобидный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Никак не проявляется. Содержит строки:

=GANJA #1= / (C) 1995 [TAC] INC.*.EXE ..This Program is too Stoned to operate correctly!

Garfio.1000

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В апреле выводит текст и возвражается в DOS:

Su maquina esta infectada con el virus. ((((((((((((  GARFIO  )))))))))))))))            ( by Slash )Debera apagar la maquina de inmediato osus archivos seran borrados. WARNING!!!

Gawenda.419

Безобидный нерезидентный вирус. Ищет .COM-файлы в текущем каталоге, затем C:\COMMAND.COM и записывается в их конец. Никак не проявляется, содержит строки:

Virus Gawenda (:c:\command.com *.com

GD.539

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. В зависимости от системного времени стирает boot-сектор и FAT на диске C:, после чего выводит текст:

Grave-digger!!!

Gdynia.680

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Начиная с февраля расшифровывает и выводит текст:

Windows 95 may be dangerous.OS/2 is the best operating system!I`ll prove it soon...

Если этот текст изменен, то вирус перезагружает компьютер. Вирус также содержит строки:

*.COM* Gdynia 1996 * v1.0 *

Geek.450

Очень опасный резидентный вирус. При запуске копирует себя в таблицу векторов прерываний и перехватывает INT 21h. Затем вирус записывается в конец стартующих COM- и EXE-файлов. По 29-м числам стирает случайно выбранные сектора дисков. Содержит в себе строки:

v07aGEEKdex

GeeZee.464

Опасный резидентный вирус. Копирует себя в область данных DOS по адресу 0053:0000, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Через полчаса после инсталляции очищает экран и завешивает компьютер. Содержит строку:

Gee_Zee 2

GeldWash, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. В зависимости от системной даты и времени ("GeldWash.1497") или 11-го июня (GeldWash.1819") стирают сектора дисков и выводят тексты:

"GeldWash.1497":

Ihr Geld wasch ich sauber, schnell und prompt !Ganz geil ich werde, wenn es von Drogen kommt !Ihr korruptes Wirtschaftsschwein Hans W. Kopp !

"GeldWash.1819":

FБrs Vaterland ziehen sie ins FeldWer den Feind mordet, ist ein HeldWie stolz sie auf die Orden sind !Doch nur DummkФpfe gehorchen blind

Geliyor.1356

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущей даты правит свой код таким образом, что начинает лечить файлы вместо их заражения. Содержит строки, некоторые из них зашифрованы:

geliyor. . .Heey! O askerden geliyor..O'nu arНyorum gФren varmН?Hani O nerede gФremedim ? Gelecek ay O geliyor. . .Her canlН doзar bБyБr ФlБrD.T nisan 94 Щ.T mayНs 95

GencVir.1000

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку: "GencVir (C) 1993 by HACKER". 10-го октября расшифровывает текст и записывает его (INT 21h/AH=40h) по случайно выбранному handle:

Ey Turk gencligi!

Birinci vazifen Turk istiklalini,Cumhuriyetini,ilelebet,muhafaza ve mudafaa etmektir. Mevcudiyetinin ve istikbalinin yegane temeli budur.Muhtac oldugun kudret,damarlarindaki asil kanda,mevcuttur

M.Kemal ATATURK

Gene.1437

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при вызовах DOS-функций FindFirst/Next (команда DIR). При инсталляции в память некорректно работает с ядром DOS и может завесить систему. Содержит строку:

Gene_1991_in DUT (Dalian China)

Genesis, семейство

Безобидные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. Содержат строки:

"Genesis.217": [Genesis 1.0]Thor*.COM"Genesis.226": [Genesis 2.0]THOR*.COM"Genesis.238": [Genesis 3.0]*THOR.COM"Genesis.295": [GENESIS 4.0]*THOR.COM

Genrat.785

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. В зависимости от своего поколения при записи в файлы портит буффер данных. Содержит строку:

GENRATN5

Geodesic.666

Безобидный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку:

Geodesic Propagation v2.0

GERD.798

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы в текущем каталоге и каталоге C:\DOS, затем записывается вместо файлов. В зависимости от текущего дня и времени форматирует диски, перезагружает компьютер, выводит тексты:

HA! HA! HA!Your computer is infected now by themost likely and non-dangerous virus!Please enjoy it! Your MBR may now be corrupted...

General error reading drive C:Abort, Retry, Ignore, Fail?

Gergana, семейство

Примитивные нерезидентные вирусы. При старте записываются в начало .COM-файлов текущего каталога. "Gergana.450,512" перед запуском файла-носителя при совпадении даты и месяца с числом в теле вируса выводят сообщения. "Gergana.512" после успешного заражения хотя бы одного другого файла лечит запущенный файл. Содержат текст "*.Com" и:

"Gergana.182":  Gergana""Gergana.222":  Gergana II -BUL3""Gergana.300":  Gergana / Ге%гана -III""Gergana.450":  Gergana / Ге%гана -IV Free  This file is infected.                Press [Enter] to continue"Gergana.512":  Gergana V For nice time call [359][032] 557-643.                [Enter] to continue

Germ.255

Неопасный резидентный вирус. Копирует себя по адресу 0050:0100, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Каждое 256-е поколение вируса сообщает:

GERM. (C) The Black Baron U.K 93

Вирус также содержит строку:

Better SMEG than dead

GetLost.734

Неопасный нерезидентный компаньон-вирус. При запуске ищет .COM- и .EXE-файлы и заражает их. При заражении .COM-файла записывается в его начало, при заражении .EXE-файла создает компаньон-файл с расширением COM. Выводит сообщения:

Out of memoryGet lost, geek.

Getto.2000

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или вызовах DOS-функций FindFirst/Next. По 10-м, 20-м и 30-м числам ежемесячно в зависимости от системного таймера и своих счетчиков вирус уничтожает файлы C:\IO.SYS, C:\MSDOS.SYS, C:\CONFIG.SYS и выводит текст:

DOS/4GW Professional Protected Mode Run-time Version 1.95Copyright (c) Rational Systems, Inc. 1990-1993Getto Virus Version 1.0с Copyright (C) 1995,96 by Geci ПllatThis Getto requirest 80286 or better processorFormating Hard Disk #1 [...................]Formating Hard Disk #2 [...................]Ready.gEtTo Always the Best! MS-SUX Destroyer

Вирус также содержит строки:

Tested with F-Prot v2.22 and TBAV700

Gexa.2324

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при обращениях к ним. При запуске AIDSTEST выводит текст: "He пoмoжeт!". Вирус использует антиотладочные приемы и завешивает Pentium-PC. Также перехватывает INT 9 (клавиатура) и при вводе "gexa" добавляет "- i am here!", при вводе " "yalta" добавляет текст: "- nice town..!".

GGM, семейство

Неопасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец .EXE-файлов.

"GGM.936" первым заражает файл C:\DOS\SMARTDRV.EXE, затем заражает файлы при их запуске. Не заражает файлы, содержащие в начале своего имени пару символов из строки "sctbclf-fp" (SCAN, TB*, CLEAN, F-PROT, FPROT).

"GGM.898" заражает только файл с именем C:\TEST\TEST\TEST\TEST\TEST.EXE и является, видимо, тестовым вирусом.

Вирусы проверяют выводимый на экран текст и если обнаружена строка "givegodmode", вирусы добавляют: "65535". Если "iamtheboss", то добавляют "ctty com". Если "checkboxports", то выводят какие-то данные в порт COM1.

Ghh.482

Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в начало COM-файлов при их запуске. При каждом вызове INT 1Ch ищет на экране строку "THE GHH" и стирает сектора дисков, если данная строка найдена.

Ghost.1447

Опасный резидентный вирус. Перехватывает INT 1Ah, 21h и записывается в конец COM- и EXE-файлов при их открытии или выполнении. При этом к файлу сначала дописывается случайное число команд NOP (90h):

+-----------+|Файл       ||-----------||90h 90h ...||-----------||Вирус      |+-----------+

Вирус работает только под DOS 3.30, так как использует некоторые недокументированные адреса DOS 3.30 и часть своего кода (непонятно зачем) копирует в один из системных буферов, обрабатывая при этом только буфера DOS 3.30. Содержит текст:

MINSK GHOST,1991

Ghost_2.5000

Очень опасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h, 25h и записывается в начало COM- и EXE-файлов при их запуске, открытии или закрытии. Если длина COM-файла после заражения превышает 64K, то вирус конвертирует файл в EXE-формат.

Если при инсталляции в системную память происходит ошибка, то вирус выводит текст и возвращает управление DOS:

Swap file creation error at 0FAD:2DEC.Program aborted.

Вирус содержит код, записывающий в .PAS- и .CPP-файлы текст:

There is nothing in the world that I ever wanted more than to never feelbreaking apart all my programs again. The spiderman is always hungry

однако этот код не вызывается.

В январе вирус портит данные на винчестере, имитирует на экране падающий снег и выводит текст (вместо "000000000" могут стоять произвольные цифры):

Happy New Year ! Ghost 1.0 is terminating it`s work now. Please wait...Write down this number : 0000000000 and pray for your data rescue.

Вирус также содержит строки:

COMMAND.COM.COM.EXE.PAS.CPPI feel so tired.The way the rain comes down how it`s how I feel inside.I`ve been living so long with my pictures of youRemembering you standing quiet in the rain

Демонстрации вирусных эффектов:

GHOST_2.COM

Ghostball.2351

Неопасный нерезидентный вирус. Записывается в конец .COM-файлов текущего каталога и каталогов, отмеченных в PATH. Записывает в boot-сектора дискет программу, которая при запуске перехватывает INT 8 и вызывает видеоэффект скачущего шарика (см. "Ping-Pong" ). Вирус в зараженном секторе в дальнейшем не поражает ни секторов ни файлов. Содержит текст:

GhostBalls, Product of Iceland Copyright (c) 1989, 4418 and 5F19

GI.2765

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 08h, 21h и записывается в начало COM-файлов (кроме COMMAND.COM) при их запуске. Содержит строки: "COMMAND.COM" и "GI". Через пять часов после инсталляции проявляет себя одним из двух эффектов.

Демонстрации вирусных эффектов:

GI.COM

Gidra, семейство

Безобидные нерезидентные вирусы, ищут .COM-файлы и записываются в их конец. Содержат текст:

I'm GIDRA v1.6 : Life is Good, But Good Life Better Yet.

Gigi, семейство

Опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM-файлов, кроме VSAFE.COM, COMMAND.COM, WIN.COM. В вирусах присутствуют ошибки, в результате которых они инсталлируют себя в оперативную память два и более раз, в результате чего система через некоторое время зависает.

Вирусы содержат строки:

SUCKER.COM VSAFE COMMAND WIN

"Gigi.1449" также содержит строки:

Gigi Euristicu' v1.0 * RoMaNiAOnly COM infector but a new generation is comeing ...Copyright [C] 1996-97 Elecktronick RAT & Pink PhanterSpecial thanks to GikuABS (Ps!ko)Who's General Failure and what's he doing on your HD ?

Gippo, семейство

Неопасные самошифрующиеся вирусы. Нерезидентны (кроме "Gippo.1039,1234"), ищут .EXE-файлы и записываются в их конец. Иногда выводят сообщение и оставляют в памяти небольшую резидентную программу, которая перехватывает INT 08h и "трясет" экран. См. также "Gippo.1242,1249" . Перед вызовом видео-эффекта вирусы выводят текст.

"Gippo.1039,1234" перехватывают INT 8, 21h и записываются в конец EXE-файлов при их запуске или открытии.

Вирусы "Gippo" выводят сообщения:

"Gippo.901": Fit of hysteria offered by G.I.P.Po."Gippo.944": Wake up SUCKER! Gratuitous alarm by G.I.P.Po"Gippo.1000": Earth is quaking! Public*Domain GIPPo MCMXCIII"Gippo.1030.a": * SunRise * EpidemicWare G.I.P.Po. oct-93"Gippo.1030.b": SUNRISE * (C)opyItself 93 GIPPo"Gippo.1039": ! 0 Bumpy~ (R) Ghost Player"Gippo.1050": CACOPHONY * EpidemicWare 93 G.I.P.Po."Gippo.1234": Stunning Blow (R) Ghost Player Italy"Gippo.1242": AntiHeuristic GIPPO EpidemicWare"Gippo.1249": AntiHeuristic GIPPO EpidemicWare (I)

Также содержaт строки:

"Gippo.901": JumpingJack *.e?e \ *.* smartc*.cps"Gippo.944": cacophony *.e?e \ *.* smartc*.cps"Gippo.1000": Earthquake *.exe \ *.* smartchk.cps"Gippo.1030.a,b": sunrise *.exe \ *.* smartc*.cp?"Gippo.1050": Cacofonia *.EXE \ *.* smartchk.cp?"Gippo.1242": HAMMER *.exe \ *.*"Gippo.1249": HAMMER *.exe \ *.*

Gippo.1242,1249

См. семейство "Gippo" . Вызовает видео-эффект.

Демонстрации вирусных эффектов:

GIPPO.COM

Gipro.504

Безобидный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Содержит строку:

-=0 G.I.Pro.V. 0=-

Girl.2273

Опасный резидентный вирус, заражает только файлы, отмеченные строкой COMSPEC=. При этом корректно поражает как COM-, так и EXE-файлы. Содержит в себе список имен файлов, эти файлы уничтожает:

users.bbsfiles.bbsly-girl.lzh srcr301.arj wolf-1.arj arwlf.lzh arj205.exe

После заражения файла выводит текст "Runtime error 213 at 2BA7:0387." и завешивает компьютер.

Girls, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM- и .EXE-файлы и записываются в их конец. 18-го марта и 8-октября выводят сообщение:

I love you, girls ! You are so beautiful !

затем перехватывают INT 1Ch и проигрывают мелодию.

Демонстрации вирусных эффектов:

GIRLS.COM

Gisela.702

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. При инсталляции в память также заражает файл C:\COMMAND.COM. 21 января расшифровывает и выводит текст:

Virus GISELA 2.0 By EJECUTOR (Hecho en Argentina)Feliz cumpleaдos Gisela.

Gkchp, семейство

Опасные самошифрующиеся вирусы. Записываются в конец COM- и EXE-файлов. "Gkchp.800.a" резидентен, перехватывает INT 21h и поражает файлы при их запуске, "Gkchp.800.b" нерезидентен. 19-го августа "Gkchp.800.a" стирает файлы вместо их запуска, "Gkchp.800.b" перезагружает систему. Содержат тексты:

"Gkchp.800.a": ГКЧП Commonwealth of Independent States"Gkchp.800.b": *.COM *.EXE *. ГКЧП

Gle.848

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец каждого 10-й запускаемого EXE-файла. 24-го декабря выводит текст:

GleМileg jвl

и блокирует запуск файлов.

Glemp.877

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит зашифрованные строки:

*.comC:\DOS\COMMAND.COM

1-го сентября и 1-го ноября расшифровывает и выводит сообщение, затем стирает сектора дисков:

HUJ GLEMP and his fuckingfriends formatting Your Hard Disk NOW ! Podziekuj pierdolonemu kosciolowi.

Glew, семейство

Очень опасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске, открытии и закрытии. Не заражают антивирусы (TBAB, FVIRU, F-PROT, AVP, ...) и COMMAND.COM в соотверствии со строкой:

TB FV F- VS AV VIR HIE OOLK UARD SCAN CLEA MMAN

Перехватывают открытие файлов с расширениями .KEY и .SIG, ищут в памяти какую-то программу (антивирус?) и правят ее код.

3-го и 9-го января, 19-го июля стирают сектора винчестера и выводят текст:

A la Memoria de Cevallitos -= RATA de GLEW virus =-

Gliss.1247

Нерезидентный неопасный вирус. Ищет на диске A: .COM-файлы и записывается в их конец. Содержит текст "*.COM", выводит на экран сообщения:

Dies ist ein Demonstrations-Computervirus !So gerade eben wurde das Program :

von diesem Virus befallen. Der VIRUS hДngtsich an alle Files - in Laufwerk A - mit derExtention .COM an. Die Programme bleibenaber ablauffДhig.

Falls Sie Fragen zu Computerviren oder Datensicherheit undDatenschutz beim Einsatz von Personal Computer haben, fordernSie unsere InformationsbroschБre :

- Der sichere und kontrollierbare PC - an.

Gliss & Herweg GmbHAugustinusstraсe 7-11D-5020 Frechen-KФnigsdorf

Alle Com - Programme in Laufwerk A sind mit diesem VIRUS schon infiziert !

Glitter, семейство

Неопасные нерезидентные зашифрованные вирусы. Ищут COM- и .SYS-файлы и записываются в их конец.

8 мая, 4 июля, 3 сентября и 5 ноября "Glitter.1462" выводит текст:

Wish you a Happy Birthday Love Guess Who ?

Вирусы также содержат строки:

"Glitter.1207":

Glitter ver 1.0 , Coded by Siddharth. SID IS IN YOUR RAM CHIPS Greetings From Siddharth Bombay-92

"Glitter.1462":

Glitter ver 1.03 , Coded by DDISARTHH, Hi Avi Guess Who?Greetings From Siddharth, Mumbai 400 092

Gluck.761

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Уничтожает файл CHKLIST.MS. Запрещает запуск программ с именем *WEB.*, выводит при этом текст:

Error reading fat!

В полночь "трясет" экран и выводит текст:

You iave a 0GLUCK0!!!

Демонстрации вирусных эффектов:

GLUCK.COM

Gly.1182

Неопасный резидентный частично зашифрованный вирус. Записывается в конец .COM-файлов. При запуске инфицированного файла вирус заражает C:\COMMAND.COM, перехватывает INT 21h и затем заражает .COM-файлы при вызовах DOS-функций FindFirst/Next FCB (команда DIR). При запуске зараженного файла 25-го мая в 13:xx вирус расшифровывает и выводит текст:

Happy birthday to you,Dear Yang !

Затем вирус проигрывает какую-то мелодию. Вирус также содержит строку:

G L Y Serial Number:

Gnat.753

Неопасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец EXE-файлов при их запуске или загрузке в память как оверлеев. Периодически переворачивает изображение на экране. Содержит текст:

GNAT 1.0

Демонстрации вирусных эффектов:

GNAT.COM

Gobot, семейство

Очень опасные нерезидентные зашифрованные вирусы. Ищут COM-файлы в текущем каталоге и записываются вместо них, не сохраняя первоначальные данные и код файла. Перед тем, как вернуть управление DOS, выводят текст:

Parameter value not in allowed range

Если в текущем каталоге нет COM-файлов, вирусы выводят стандартное сообщение Windows:

                               WARNING!The system is either busy or has become unstable. You can wait andsee if it becomes available again, or you can restart your computer.* Press any key to return to Windows and wait.* Press CTRL+ALT+DEL again to restart your computer. You will  lose unsaved information in any programs that are running.                     Press any key to continue

Также содержат строки:

GOBOT virus written 24th March 1997 in New Haven, CT _________ _______ ___________ _______ __________ ___________ ___________ _____________ ___________ ____________ ___ ___ ___ _____ ____ ____ ___ ______ ____ _ ____ ____ ____ ___________ ____ ____ ____ ____ _________ ____ ________________ ____ ____ _____ _____ _____ ___ ____ _________ ___ ____ ___________ ___________ ___________ ___________ ____ _________ _______ ___________ _______ _____

________ _____ ________ _______ __________ _________ __________ __________ ___ ____ ___ _________ ________ ____ _______ ____ __________________________ _______ ____ ____ __________ __________ ___ ______ ___ ___ ____ ___ ____ ___________ _________ __________ __________ __________ ______ ________ ________

Godzina.1024

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. По воскресеньям в 22:xx устанавливает системные часы в 23:xx, затем расшифровывает и выводит текст:

Chwieje sie lew,upada w mrok chwytaja go demonySzkarlatne skrzydla prezy smok przez czarny wiatr niesionyRycerze wiecznym legli snem bo Wielki Boj ich znuzylA w glebi gor przekletych,hen szatanski roj sie budziGODZINA SMOKA ! Trupi chlod strach krwawym lypie okiemGODZINA SMOKA ! struchlal lud ktorz oprze sie przed smokiem ?

Godzina_II.1305

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или чтении/изменени их атрибутов. В конце зараженных файлов содержится строка-идентификатор "SH". В зависимости от системного таймера вирус выводит текст:

+----------------------------+| Shaula 2.0  Godzina DUCHOW || Crtd by **** Piotrkow Tryb |+----------------------------+

Goga.1660

Нерезидентный опасный вирус. Ищет COM- и EXE-файлы во всех каталогах текущего диска и записывается в их конец. Если при поиске файлов вирусу встречаются файлы *.DBF, *.PRG, *.FOX, *.KAR, то вирус портит их, зашифровывая их содержимое. Организует счетчик в MBR винчестера, увеличивая его содержимое при каждом запуске зараженной программы. При некоторых значениях счетчика производится перезагрузка системы. Содержит строку:

Goga

Gollum.644

Неопасный нерезидентный вирус. При запуске ищет COM-файлы (кроме COMMAND.COM) и записывается в их конец. В зависимости от системного времени расшифровывает и выводит текст:

Nasssty little Hobbitssses!We hatesss them!We hatesss them all!

Также содержит строки:

Gollum v1.00, by ThanatosCOMMAND.COM

GolWanted.923

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

[MPC] [G.O.L. Wanted]

По пятницам в 8:05 выводит текст:

USA 94 We want Personal Jesus and the team of G.O.L.!!Where are you in Italy?Call 555-6969 NOW

Gondor.3072

Неопасный резидентный зашифрованный вирус. Перехватывает INT 12h, 21h и при вызовах DOS-функций FindFirst ASCII ищет EXE-файлы и записывается в их конец. Уничтожает файлы CHKLIST. В зависимости от текущей даты и времени запрещает работу нескольких функций DOS (создание и уничтожение файлов, переход в подкаталог и т.д.). 9-го июня выводит текст:

HAPPY BIRTHDAY ,HONEY.

Также содержит строки:

GONDOR=WARRIOR*.exe .EXEchklist?.???

GoodBye.839

Резидентный неопасный вирус. Перехватывает INT 1Ch, 21h и записывается в конец загружаемых в память COM-, EXE- и OVL-файлов. В воскресенье исполняет мелодию "Goodbye America" рок-группы "Наутилус Помпилиус".

Демонстрации вирусных эффектов:

GOODBYE.COM

GreenMonster, семейство

Резидентные вирусы. "GreenMonster.784" зашифрован. Перехватывают INT 21h и записываются в конец .COM-файлов при их запуске или открытии. Содержат строку:

Green Monster. I"m happy

"GreenMonster.711" очень опасен. В зависимости от своего внутреннего счетчика форматирует диски.

"GreenMonster.784" никак не проявляется.

Grigory.996

Опасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец или начало в зависимости от содержимого файла. В зависимости от системной даты выводит текст "<Григорий-01.2>", и/или проявляется видео-эффектами, и/или перезагружает компьютер. Содержит зашифрованные строки:

*.Com*.Exe

Gripe.1985

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Не заражает файлы:

TB*.*, SC*.*, CL*.*, F-*.*, MS*.*, NA*.*

Содержит строку:

ViRUS GRiPE by dEMETH KNOX (17/03/95, ARGENTINA)

Grog, семейство

Grog.283

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Содержит строки:

>>1/93<<Nocciola Vildibranda CrapomenaNOCCIOLA (C) '93 by Grog - Italy

Grog.304

Неопасный нерезидентный вирус. При запуске заражает файл COMMAND.COM на дисках A: и C:. Записывается вместо последних 304 байт кода файла (алгоритм "Lehigh" ), при этом длина файла не увеличивается. Содержит строку: ":\COMMAND.COM", иногда выводит сообщение:

DELIRIOUS (C) '93 by GROG - Italy

Grog.377

Очень опасный нерезидентный вирус. При запуске читает случайные сектора флоппи-диска и проверяет их начало на команду JMP или CALL (E9h, E8h). Если таковая присутствует, записывает себя вместо первых 377 байт сектора. При записи/чтении использует адрес INT 40h в BIOS'е. При ошибке записи/чтения выводит сообщение:

"Il nostro amore durera' per sempre", disse lui."Oh, si, si, si!", esclamo' lei."Intendendo 'sempre' in senso relativo, pero'", disse lui.Lei lo colpi' con una racchetta da sci.

Также содержит текст:

_Sempre_(C)_'93_by_Grog_Italy_

Grog.202,456

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы текущего каталога и записываются вместо них.

Если в каталоге нет *.COM-фалов, "Grog.202" выводит строку "TRUMPERY (C) '93 by GROG" и звонит по модему (если он рисутствует) по случайно выбранному номеру. Вирус также содердит строку: "ATD020000000".

"Grog.456" содержит большое количество строк "GROG", а также строки:

>>11/92<<Mormorio (C) '92 by GROG - Italy

Выводит текст:

Joe Mormorio e i suoi fratelli erano borsaioli.Battevano tutte le fiere della contea.Come faceva la gente a accorgersi di essere stata borseggiata?Quando un Mormorio correva tra la folla.

Grog.474

Опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их середину. Записывается в ту область файла, которая содержит либо нулевые байты, либо текстовые строки. Обычно такие файлы работают нормально, однако в некоторых случаях они могут завесить компьютер. В зависимости от значения системного таймера вирус стирает экран знаком '*'. Вирус также содержит строки:

>>3/93<<*.COMBruchetto (C) '93 by Grog - Italy

Grog.480

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы на флоппи-диске и записывается в их середину. При заражении использует вызовы INT 40h (Relocated Floppy handler), для этого перехватывает INT 40h и запоминает физический адрес начала файла. При записи в файл вызывает INT 40h с соответствующими параметрами. В файле затирает участок постоянных байт длиной 480 байт (если таковой присутствует). Содержит строки:

HopHopHop (c) '93 By GROG - Italy

"Guida alla Corsa"Capitolo primoCome correre al modo dei conigli.Hop Hop HopHop Hop Hop

Grog.488

Безобидный нерезидентный вирус. Ищет .EXE-файлы и записывается в их заголовок (если там есть свободное место). Содержит строки:

*.EXE>>2/93<<ENMITY v1.0 (C) '93 by GROG - Italy

G GR +-- RO |-- OG +--0mity G

Grog.495

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. Иногда меняет видео-фонт. Содержит тексты:

Gg CHAR2GROG (C) '93 by GROG - Italy*.comGROG FOR EVER

Grog.512

Безобидный резидентный вирус. Перехватывает INT 21h и заражает .EXE-файлы. Записывается в их заголовок (если там есть свободное место). Содержит строки:

ENMITY v2.0 (C) '93 by GROG - Italy>>3/93<<

+--|--+--0mity       by GROG

"Grog.512.b" зашифрован, содержит строки:

ENMITY v2.1 (C) '93 by GROG - Italy0>>7/93<<

Grog.518 и Grog.886

Нерезидентные неопасные зашифрованые вирусы. Ищут файлы текущего каталога и записывается в их конец. "Grog.518" поражает только .COM-файлы, "Grog.886" - EXE. При заражении используют System File Tables. Иногда заполняют экран случайными знаками. Содержат строки:

"Grog.518": OUTWIT-C (C) '93 by GROG - Italy"Grog.886": OUTWIT-E (C) '93 by GROG - Italy

Grog.547,566

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Содержат строки:

"Grog.547":

Villino (C) '93 by GROG - Italy"Non hai mantenuto la promessa", ella disse."Quando ti ho sposato, hai detto che avremmo abitato in un villino coperto di fronde.""D'accordo! D'accordo!", grido' lui."Rivolgiti alla Commissione Urbanistica!"

"Grog.566":

}}}- LaTraviata (C) '93 by GROG - Italy -{{{----------------------------------------------------- Il suo vero nome era Lavinia Traviata. Ma tutti i suoi amici la chiamavano "La". Per cui, spesso veniva indicata come "La Traviata".

-----------------------------------------------------

Grog.557

Нерезидентен, очень опасен: ищет .COM- и .EXE-файлы текущего каталога и записывается вместо них. Содержит строки:

>>1/92<<MILA (c) 1992 by GROG - Italy

Выводит сообщения:

MILA BY NIGHT on radio DEEJAY!!! 24:00-2:00Illegal copy

Grog.647,660

Опасные нерезидентные вирусы. При запуске ищут COM-файлы, начинающиеся с команды JMP (E9h) и записываются в их конец. При заражении файла стирают часть кода в его конце, при этом файл может быть непоправимо испорчен. Используют System File Table. 15-го июня ("Grog.647") или 15-го мая ("Grog.660") оставляют в памяти небольшую программу, которая перехватывает INT 1Ch, 21h и выводит текст

"Grog.647": Aver Torto"Grog.660": Il Mostro

при запуске файла GROG или в зависимости от внутреннего счетчика вируса. В прочие дни июня/мая вирусы выводят тексты:

"Grog.647": -=[ Aver Torto (C) '93 by Grog - Italy ]=-"Grog.660": -=< Il Mostro (C) '93 by Grog - Italy >=-

Также содержат строки:

"Grog.647": "Vi E' Mai Venuto In Mente Che Potreste Aver Torto ?""Grog.660": Il Mostro e i Coniglietti Storia di terrore e di ansia "Boo!", disse il Mostro.

Grog.666

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. 26-го ноября выводит сообщение: "LOR (C) '93 by GROG Italy" и завешивает систему. Также содержит строки:

>>1/93<<_/\|0.0|/\_!нGROG040EVERн!

Grog.757

Неопасный нерезидентный вирус. Ищет EXE-файлы и записывается в их конец. При заражении использует System File Tables. В зависимости от текущего времени выводит сообщение "SWAY (C) '93 by GROG - Italy" и оставляет в памяти небольшую резидентную программу , которая перехватывает INT 1Ch и периодически "играет" флагами клавиатуры.

Grog.765

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при доступе к ним. Если при старте зараженного файла в качестве аргумента введена строка 'GROG', вирус сообщает:

Il Grog e' un miscuglio segreto che contiene una o piu' di queste sostanze:

CHEROSENEGLICOL PROPILENEDOLCIFICANTI ARTIFICIALIACIDO SOLFORICORUMACETONECOLORANTE ROSSO n.2DETRITIGRASSO PER MOTOREACIDO PER LA BATTERIAE/O PEPERONE

Вирус также содержит строку: "!! MISCUGLIO (C) '93 by GROG - Italy !!".

Grog.794,796 и Grog.1082

"Grog.794,796" - неопасные нерезидентные вирусы. Ищут .COM-файлы и записываются в их конец.

"Grog.796" содержит строки:

/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\\ "Non so dirti quanto ti amo", disse lui. // "Prova", disse lei. \\ "Ti voglio molto bene", disse lui. // "Non c'e' male", disse lei. \\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/

>-<  NonCEMale (C) '93 by GROG - Italy  >-<

Если зараженный вирусом "Grog.794" файл изменен (например, другим вирусом), то "Grog.794" выводит предупреждение:

Self Integrity Check warning - File was changed!Choose an option:[R] Self Reconstruction.[C] Continue execution.[E] Exit to DOS.Press R,C or E:

и возвращается в DOS (если ответ - 'E'), продолжает выполнение программы (ответ 'C'), или восстанавливает файл-носитель (ответ 'R'). Вирус также содержит строки:

G*SAV v1.0 (C) '93 by GROG - Italy>>2/93<<Grog*Soft Anti-Virus v1.0 (C) '93 by GROG - Italy

"Grog.1082" практически совпадает с "Grog.794", но также поражает и .EXE-файлы. При заражении переводит их в COM-формат (см. "Yankee" ). Выводит текст:

Self Integrity Check warning - File was changed!Choose an option:[R] Self Reconstruction.[C] Continue execution.[E] Exit to DOS.Press R,C or E:

Также содержит тексты:

G*SAV v1.1 (C) '93 by GROG - Italy>>3/93<<Grog*Soft Anti-Virus v1.1 (C) '93 by GROG - Italy####G####

Grog.902

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при обращении к ним. По 23-м числам выводит сообщение:

Sua moglie aveva sempre odiato il lavoro di lui."Non farai mai i soldi costruendo modellini di velieri", si lagnava."Al contrario", dichiaro' lui. "I miei affari vanno a gonfie vele!"Lei lo inceneri' col tostapane elettrico.

Также содержит строки:

.oO( GonfieVele (C) '93 by GROG - Italy )Oo.80?86 only!

Grog.903

Опасный нерезидентный вирус. Ищет .COM-файлы текущего каталога текущего диска и диска C: и записывается в их конец. Затем вирус уничтожает *.DL-файлы. Содержит строки:

TorneoDiGolf (C) '93 by GROG - Italy*.COM *.DLSubito dopo aver vinto il torneo di golf, egli fu intervistato alla TV."Questo e' il momento piu' emozionante della mia vita!", disse."Ti ho visto in TV", gli disse sua moglie."Credevo che il momento piu' emozionante della tua vita fosse stato quando cisiamo sposati."Al torneo successivo, egli non riusci' a qualificarsi.

Grog.990 и Grog.1200

Неопасные резидентные самошифрующиеся вирусы. "Grog.1200" - полиморфик -вирус. Перехватывают INT 21h и записываются в начало .COM-файлов при доступе к ним. COMMAND.COM заражается при старте вируса. Периодически изменяют в загружаемых программах (не в файлах) строку "Microsoft" на "Grog*Soft". Строка в файлах не изменяется, но если эта программа выводит текст на экран, то строка "Grog*Soft" будет выведена вместо "Microsoft". Вирусы также содержат строки:

"Grog.990":

-=0GROG4EVER!0=-_/\[o]-[o]/\_>>1/93<<GROG v3.0 (C) '93 by GROG - ItalyMicrosoft C:\COMMAND.COM

"Grog.1200":

-=0GROG4EVER!0=-_/\<+>,<+>/\_>>2/93<<GROG v3.1 (C) '93 by GROG - ItalyMicrosoft C:\COMMAND.COM

Grog.1007

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. По 31-м числам выводит сообщение:

IlCuoco0(C)0'930by0GROG

Содержит также строки:

+---| Il cuoco, vedendosi scoperto, impallidi'.| "Siete in arrosto", intimo' il poliziotto. "Ho un mandato di cottura!"+-------MSAVF-PRCPAVSCANCLEAIlCuoco (C) '93 by GROG - Italy| |0--|0GROG040EVER0|--0| |

Grog.1146

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Периодически запускает видео-эффект, совпадающий с эффектом вируса "Diamond" . "Grog.1349" также содержит строки:

grog!!!Helen DolcestoriaHelen (C) '93 by GROG - Italy>>4/93<<I sei coniglietti..._/\{{+,+}/\_

Grog.926,1349

Безобидные нерезидентные полиморфик -вирусы. Ищут .COM-файлы и записывается в их конец. Содержат строки:

"Grog.926":

Mi Ami(C)'93byGROG-Italy"Mi ami?" chiese lei."Ma certo", rispose lui."Mi ami davvero?" chiese lei."Ma certo", rispose lui."Mi ami davvero davvero?" chiese lei."No", rispose lui."Mi ami?" chiese lei."Ma certo", rispose lui.Lei non chiese piu' altro.

"Grog.1349":

-=0GROG4EVER!0=->>11/92<<_/\(000)/\_GROG v1.0 (C) '92 by GROG - ItalyC:\COMMAND.COM *.COM .. *.*

Grog.1603

Неопасный нерезидентный вирус-компаньон . Ищет .COM-файлы, переименовывает их в .EXE, затем записывает себя вместо .COM-файла. Если все файлы уже заражены, запускает .EXE-файл, который содержит первоначальное тело зараженного COM-файла.

Использует программные "штучки": трассирует собственный код и вместо некоторых команд ассемблера выполняет подфункции (вызов INT 21h, изменение значений регистров и т.д.). Выводит сообщения:

+---------------------------------------------+| <^> JoeMetafora (C) '93 by GROG - Italy <^> |+---------------------------------------------+

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Il velario della notte avviluppava gli amanti fuggitivi.Ad onta delle minacce di gravi cimenti, oceani di affetto li avevano tenuti [uniti.Ora, un nuovo ghiacciolo di terrore squarciava il ricamo della loro esistenza.

                                                  JOE METAFORA-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Grog.1635

Неопасный нерезидентный самошифрующийся вирус. Ищет EXE-файлы текущего каталога и записывается в их конец. При заражении длина файлов увеличивается на случайную величину. 5-го мая выводит текст:

-=0 NAPOLEONE (C) '93 by GROG - Italy 0=-

Napoleone era pronto a partire per Mosca.Bacio' sua moglie e le disse addio in un sussurro.Mentre lui si avviava alla guerra, lei grido':"Tienti sempre in disparte, Bonaparte!"

Grog.1641

Безобидный нерезидентный вирус. Ищет .EXE-файлы и записывается в их конец. Содержит строки:

Dieta (C) '93 by GROG - Italy>>4/93<<      +-----++------DIETA-------------------|Avevano messo nome "Dieta" al loro alano danese.|Un giorno, lei chiese al marito se avesse visto la sua cintura nuova.|"Cintura?" disse lui. "Oh, scusa. Ho creduto che fosse un collare per cane.|L'ho messa a Dieta."|Poco tempo dopo, il loro matrimonio comincio' a guastarsi.+------------------------------[GROG4EVER]

Grog.2075,2825

Безобидные резидентные самошифрующийся вирусы. При запуске заражают файл C:\COMMAND.COM, затем ищут и поражают COM- и EXE-файлы текущего каталога. При этом записываются в начало COM-файлов и в конец EXE-файлов. Затем вирусы перехватывают INT 21h и заражают файлы при обращении к ним. Содержат строку с кусками имен файлов, которые не заражаются вирусом:

"Grog.2075": MBIOMDOSSCANLEANPROTCPAV"Grog.2825": IBMBIOIBMDOSSCAN CLEAN F-PROTCPAV MSAV NAV

(IBMBIO*.*, IBMDOS*.*, SCAN*.*, CLEAN*.*, F-PROT*.*, CPAV*.*). При поиске файлов в каталоге уничтожают файл CHKLIST.CPS. "Grog.2825" уничтожает также файлы ANTI-VIR.DAT и NAV_._NO. Вирусы также содержат строки:

"Grog.2075":

>>4/93<<GROG v4.0 (C) '93 by GROG - ItalyGrog v4.0 is here! HaHaHa!C:\COMMAND.COM EXE *.*

"Grog.2825":

-=0GROG v5.0 (C) '93 by GROG - Italy0=-C:\COMMAND.COM C:\DOS\COMMAND.COM *.*

Grog.Crackers

Нерезидентные неопасные вирусы. Ищут файлы текущего каталога и записывается в их конец. Под отладчиком выводят различные сообщения. Содержат строки:

Grog4EverGrog.Crackers.NTA (c) 1993 by GROGGrog.Crackers.Public_Enemy (c) 1993 by GROGGrog.Crackers.Razor (c) 1993 by GROGGrog.Crackers.The_Dream_Team (c) 1993 by GROGGrog.Crackers.Wild_Cards (c) 1993 by GROG

Grosser.607

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. Содержит строки:

*.com 0000 virus+----------------------------------------------------+ | Virus 0000.0000 Created by GROSSER (C) 1996 AUGUST | |  #### ###  #####  ###  ### #### ###                | | #     #  # #   # #    #    #    #  #  ASSEMBLER    | | #  ## ###  #   # #### #### #### ###   PASCAL       | | ##### # ## ##### #### #### #### # ##  BASIC        | +----------------------------------------------------+

Grozny.999

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Перед заражением дописывает к файлам блок случайных данных случайной длины, т.о. длина файлов при заражении увеличивается на случайную величину. При запуске файла AIDSTEST выводит сообщение:

Господа ! Hе веpьте AIDSTESTу ! Он пpинесет вам беду !Дедушке Лозинскому поpа на пенсию.

Также содержит текст:

Для Лозинского: это далеко не последняя веpсия,ждите новые "пакости" из Гpозного

Grunt, семейство

Очень опасные нерезидентные зашифрованные вирусы. Ищут .COM-файлы и записываются в их конец. Стирают сектора дисков, уничтожают файлы, выводят на экран сообщения. Содержат в себе тексты:

"Grunt.344,346":

[GRUNT-1] -=> Agent Orange '92 <=- *.com

"Grunt.359":

ALLERBMU NORI+(C) 1991 by SMAUG in MЪNCHEN, DEUTSCHLAND!

"Grunt.427": [GRUNT-2] -=> Agent Orange '92 <=- Rock of the Marne, Sir!

"Grunt.473": [GRUNT-3] -=> Agent Orange '92 <=- This is a hot LZ ... Eradicating the Enemy!

"Grunt.529":

[GRUNT-4] *.COM TBFILXXX .. -=> Agent Orange '92 <=-Nothing like the smell of napalm in the morning!

GS.525

Резидентный безобидный вирус, перехватывает INT 21h и записывается в конец запускаемых COM-файлов, начинающихся с команды JMP NEAR (E9h). В начале вируса и в начале зараженного файла присутствует строка:

GS/02

GT-Spoof.1131

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Содержит строку:

Good Times by Qark/VLAD

GTM, семейство

Резидентные вирусы. Перехватывают INT 21h и при запуске любой программы ищут .COM- и .EXE-файлы и записывается в их конец.

GTM.727

Поражает только .COM-файлы. В зависимости от текущей даты выводит сообщение:

NON ! Aujourd'hui, c'est mercredi, je fais grКve !!GrВviste (c) GTM effects By DJM (The Death that kills)

GTM.BewareBug

Опасен. 20-го марта расшифровывает и выводит сообщение:

Beware of the BUG !!!

а затем завешивает компьютер.

Guerilla.1996

Безобидный резидентный полиморфик -стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их закрытии. Вирус не заражает антивирусы в соответствии со строкой (два символа на имя):

TBVIAVNANEVSFIF-IMFVSCQBIV

При открытии зараженного файла лечит его, при обращении к зараженным файлам командами FindFirst/Next возвращает уменьшенную длину файлов - это стелс-процедуры вируса. Выключает свои стелс-процедуры при запуске некоторых антивирусов, архиваторов и Windows: TBSCAN, TBSETUP, WIN, PKZIP, ARJ, RAR, LHA, ADINF.

Не заражет память, если установлены антивирусы TBAV, NAV или NEMESIS.

Содержит также строки:

NACSBT NIW PUTESBT PIZKP JRA RAR AHL FNIDAGuerilla 1996 PHTB*NAVNEM

Guess, семейство

Heопасные резидентные вирусы. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Каждый 8-й файл, зараженный 25 февраля вирусом "Guess.928" при старте выводит на экран текст:

Hey, YOU !!!Something's happening to you !Guess what it is ?!HA HA HA HA ...

"Guess.928.b" содержит строки:

This virusis from independent Slovenia !By secret hackers?!See you soon !!

Guevara.1918

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и .EXE-файлов. По 10-м, 20-м и 30-м числам ежемесячно стирает сектора дисков, выводит изображение Че-Гевары и текст:

TE GUSTA ESTAR BLOQUEADOA CUBA TAMPOCOFIN DEL BLOQUEO A CUBA

Демонстрации вирусных эффектов:

GUEVARA.COM

Guide, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при обращениях к ним. В зависимости от текущего времени и своих счетчиков выводят текст:

I love you!Let me guide you through lifeLet me be your best friendTell me & Bring me all your problemsLet me take care of youAnd get an eternal life full of joy and peace of mindJesus Christ

Содержат также строку:

Delta Plus Virus - 03/97

Guppy.152

Резидентный безобидный вирус. Перехватывает INT 21h и записывается в конец стартующих COM-файлы, начинающихся с команды JMP (E9 xx xx). Первая стартующая зараженная программа не выполняется, так как вирус остается вместе с ней резидентно в памяти и не передает ей управление.

GV, семейство

Неопасные резидентные вирусы. Перехватывают INT 9, 16h, 21h, 28h и записываются в конец COM-файлов при их запуске. При нажатии на Alt-Ctrl-V вирусы выводят меню:

"GV.2856":

+--------------------------------+|    Good Virus #1 Alpha Model   ||             [GV1]              || (c) 1994 by Stormbringer [P/S] ||                                ||   Infection Mode:              ||        [N]one                  ||        [I]nfect Files          ||        [D]isinfect Files       ||                                ||   Encryption Commands:         ||        [E]ncrypt File          ||        De[C]rypt File          ||                                ||    Press [ESC] To Exit Menu    |+--------------------------------+

"GV.2865":

+--------------------------------+|       Good Virus #1 1.01       ||            [GV1]               || (c) 1994 by Stormbringer [P/S] ||                                ||   Infection Mode:              ||        [N]one                  ||        [I]nfect Files          ||        [D]isinfect Files       ||                                ||   Encryption Commands:         ||        [E]ncrypt File          ||        De[C]rypt File          ||                                ||    Press [ESC] To Exit Menu    |+--------------------------------+

После нажатия на клавишу 'D' вирусы начинают лечить зараженные файлы при их запуске, при нажатии на 'E' или 'C' шифруют/расшифровывают выбираемый пользователем файл, при этом выводится текст:

+-[Enter Filename Below]-+| >                      |+------------------------++----[Please Enter 16 Byte Password (Extra Chars Ignored)]----+| >                                                           |+-------------------------------------------------------------+

Также содержат/выводят строки:

"GV.2856":

Good Virus #1 Alpha (c) 1994 Stormbringer [P/S] Now Loaded.Press CTRL-ALT-V For User Menu. Infection Set To NONE.Error Opening File!GV1GoodVir1

"GV.2865":

Error Opening File!GV1 v101

Gvirus.653

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит строку "\COMMAND.COM" и поражает его при первом запуске. Через месяц зараженные файлы сообщают:

Schon mal was von G-Virus gehФrt ?

Вирус содержит также строку:

G-VIRUS V1.2

GWorld.314

Очень опасный резидентный вирус. При запуске зараженного файла вирус стирает случайно выбранный сектор винчестера, затем копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строки:

5uThe G World Fuck

GYNX.1000

Неопасный резидентный зашифрованный вирус. При запуске зараженного файла записывается в файлы C:\DOS\MODE.COM и C:\DOS\KEYB.COM, затем перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. В зависимости от текущего времени перехватывает также INT 1Ch и проигрывает мелодию. Содержит строки:

.GYNX.I walked in the jungle with my M-60,and what did I see.A big fat nigger sitting in a tree.I was going to shoot him when he started to pee!

Демонстрации вирусных эффектов:

GYNX.COM

Gyro.512

Очень опасный нерезидентный зашифрованный вирус. При старте записывается в начало всех .COM-файлов текущего оглавления, при этом старое содержимое файлов не сохраняется. Затем выдает сообщение:

Bad command or file name

Также содержит строки:

*.COMGURO

Gysium.3563

Безобидный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их начало. Содержит строки:

:\1gysm2_0.TMP *.COM *.* \ .. ?:\IBMDEV.COMEIndeGYSiuM 1.1 virus, geen paniek zolang je maar met norton/pctools of andere prul van het virus afblijft, het zal dan alles vernietigen wat door middel van software te vernietigen is. Dit virus is gemaakt door een student informatica 1Kan in de kerstvakkantie van 1991. Je kunt een antivirus krijgen tegen kostprijs, dwz 20fr+14fr voor diskette en verzendigskosten. alles wat je moet doen is 34fr aan postzegels in een envellope duwen en deze envellopen aan de achterkant van een geel blad plakken. Dit blad hang je dan aan het aankondigingenbord van de Limburgse Universiteit in diepenbeek, aan de voorkant schrijf je je naam,adres en de mededeling: GEZOCHT: SPECIFIEKE SOFTWARE levertijd ca 4 a 5 weken. LUC-diepenbeek tel 011/22.99.61 universitaire campus gebouw D,hoofdgebouwHINT: jij dacht dat je het virus gevonden hebt, maar nee dit is gewoon wat tekst. die je nogwel meerdermalen zal vinden op deze diskette, het echte virus staat op die plaats waar dos/norton enz het niet kunnen vinden, nl op door het virus extra geformateerde tracks.In de bootsector staat niets, dus daar zou ik maar niet zoeken.....

GW.1201

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. Не заражает файлs с именами: AIDSTEST, DRWEB, COMMAND, IBM*, AVP.

При заражении файлов использует недокументированные файловые таблицы DOS. Использует и другие приемы для доступа к системным ресурсам и перехвата событий: трассирует INT 13h и патчит ядро DOS.

Зашифрован не только в файлах, но и в системной памяти: при необходимости расшифровывает подпрограммы, вызывает их и снова зашифровывает.

Никак не проявляется. В начале кода вируса присутствуют команды, код которых виден как текстовая строка:

_GW

GoodLuck.300

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в начало запускаемых COM-файлов. В зависимости от своего счетчика выводит текст:

Good luck!

GoodThursday

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается вместо них. По четвергам выводит сообщение:

Today is Good Thursday, nothing can go wrong!

Goomba.987

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или закрытии. По 19-м числам завешивает компьютер. Стирает файлы:

smartc*.c*

Содержит строки:

Goomba_V1.3S(C) By ZynX/V?? SoftWare Isreal-1994

Gorb.4670

Неопасный резидентный зашифрованный вирус. Перехватывает INT 1, 3, 5, 8, 9, 13h, 21h. При вызовах DOS-функций Get/Set Directory (INT 21h) ищет COM-файлы и записывается в их конец. В зависимости от своих счетчиков (INT 8) проявляется видео-эффектом ("трясет" экран). При чтении с диска (INT 13h) заменяет строку "Micro" на "*AMG*". Выводит/содержит строки:

Heat level critical.Shutdown sequence initiated...Dr.WEB-полный DUMB! если кто с нами согласен прошу :PIDOR@LOXNET.XYZ мы всегда |*)"Надежный" эвристический анализатор...AMGorb.ver 2.6 for ALLwe HaTe w95!

Greetы идут "коллегам" из S.S.R`а (мне было очень ;*),читая List) и Megadethy.ВирусологИ! надоелИ мнЕ вашЫ засиронЫ! В конце концов НЕ НРАВИТСЯ-НЕ ЛЕЧИ !!! +---------------------------------------------------+ |<<< AMGorb 15-16 years old Russia,Troitsk >>>| +---------------------------------------------------+ Юные вирусописатели всех стран ЕДИНЯЙСЬ !

Gorinich.776

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит частично зашифрованную строку:

Zmey Gorinich v0.04 RAU

Gorlovka

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в середину COM- и конец EXE-файлов, причем в COM-файлах ищет последовательность одинаковых символов и записывается на их место. Содержит текст:

ГОРЛОВКА9101

Gosha.1831

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. 4-го марта и 7-го ноября стирает сектора дисков. Содержит строку:

GOSHA

Gotcha, семейство

Резидентные неопасные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. "Gotcha.605,607" поражают только COM-файлы. Содержат тексты:

EXECOME=mc0 GOTCHA!

"Gotcha.666" содержит текст:

E=mc0 MULATTOED YA THROUGH THE WHITE GOYIM SHIKSES!

"Gotcha.1781" выводит сообщение "LEGALIZE CANNABIS" и изображение зеленого листа (см. "Coffeeshop" ). Затем он задает вопросы:

Do you think Cannabis should be legalized? (Y/N)I'm glad you agree with me!And what about Alcohol, should that be illegal too? (Y/N)Hmm, I don't agree, but I respect your opinion.You are a HYPOCRITE!!!

Gotyou.5052

Очень опасный нерезидентный вирус. Ищет .EXE-файлы и записывается в их конец. Стирает сектора дисков, содержит текст:

*.* G OT YOU. *.* *.exe

Grace.1346

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в середину COM- и EXE-файлов при обращениях к ним. Вирус проверяет имена файлов и не заражает некоторые антивирусные утилиты. В зависимости от системного таймера выводит сообщения:

Have a nicepiss-up!DOS!

Также содержит строки:

-[Grace] by TДLФN 94-You make me sick I make virusesCOSCCLVSF-COMEXE

Grapje.1039

Нерезидентный очень опасный вирус. Ищет .COM-файлы и записывается в их начало. Файлы могут быть поражены некорректно, они не восстанавливаются и при старте "вешают" компьютер. Вирус выводит на экран строку:

GRAPJE!!

Также содержит тексты:

*.COM*.*

Gratuq.482

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. В зависимости от текущей даты расшифровывает и выводит текст:

GratuQ

Graveyard.479

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. При отладке любой программы завешивает компьютер. Содержит строку:

Graveyard!

Greetings.1024

Резидентный безобидный вирус. Перехватывает INT 21h и записывается в начало стартующих .COM-файлов. Содержит текст:

Greetings to Cracker Jack... Loving thoughts to Shirley... Marty McFly lives somewhere in time. Kill Eddie. Kill Diana. Kill Fredo.

Green, семейство

Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут .COM- и .EXE-файлы и записываются в их конец. 3-го июля создают на диске A: файл BOOT.SEC, сохраняют в нем boot-сектор диска A:, в который затем записывают программу, выводящую при загрузке текст:

I YOU GIRL IN GREEN!

GreenBios.1131

Опасный нерезидентный вирус. Если в BIOS'е компьютера присутствует строка

40-P101-001437-00101111-072594-GREEN

то вирус немедленно возвращает управление программе-носителю. Иначе ищет COM-файлы в текущем каталоге и каталогах, отмеченных в PATH, и записывается в начало всех обнаруженных файлов. Не заражает COMMAND.COM.

По 13-м пятницам оставляет в памяти резидентную программу, которая перехватывает INT 1Ch и "трясет" экран. Если номер дня совпадает с номером месяца (1-е января, 2-е февраля, ...), то вирус стирает CMOS.