AntiViral Toolkit Pro Вирусная Энциклопедия

M.534

Опасный резидентный вирус. Работоспособен только в определенной версии MS-DOS (3.30?), однако не проверяет номер версии DOS при запуске. Перехватывает INT 21h и записывается в конец открываемых EXE-файлов. Портит файлы с размером, превышающим 64K. В некоторых случаях некорректно правит значения полей Pages/Bytes-on-last-page в EXE-заголовке. При заражении файлов подправляет в памяти обработчик INT 24h и не восстанавливает изменения после заражения файла. При заражении также выводит в левый верхний угол экрана символ "M".

M5VP2.1678

Неопасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. В зависимости от системной даты выводит сообщение:

+-----------------------------------------------------------+| Program, ktвry wlasnie uruchomiles jest zarazony wirusem  || M5-VP2. Wirus ten jest lagodny i niczego nie uszkadza.    ||-----------------------------------------------------------|| Jezeli jestes zainteresowany nabyciem wersji zrвdlowych,  || wyczerpujaco skomentowanych, nastepujacych wirusвw:       || Enrico-Pro (Companion Virus), M2, M2b, M3, M4, M4b,       || 1-May (Socialism-II), 4DOS-Friend, v286, to zadzwon do 31 || maja: Zielona Gвra, telefon grzecznosciowy: 72-785, TYLKO || W PONIEDZIALKI (robocze) od 18.30 do 19.30.               ||               Cena dyskietki: 120.000 zl.                 ||-----------------------------------------------------------|| Po 01.06.1993 podany powyzej telefon jest nieaktualny.    |+-----------------------------------------------------------+Press any key to continue...

Также содержит строку:

M5-VP2 Virus

Mabuhay, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов (кроме COMMAND.COM) при их запуске. Являются модификациями вируса "Jerusalem" . 12-го июня выводят на экран изображение национального флага Филиппин, выводят текст и проигрывают мелодию:

June 12 - the Independence Day of the Philippines. MABUHAY ANG PILIPINAS! Dedicated to Manong Eddie.

"Mabuhay.2660.b" очень опасен - стирает сектора дисков. Выводит текст:

ANTI-Southern Phil. Council 4 Peace N' Development

Демонстрации вирусных эффектов:

MABUHAY.COM

Maca.1000

Неопасный резидентный вирус. При запуске перехватывает INT 21h, заражает файл C:\COMMAND.COM, затем записывается в конец COM- и EXE-файлов при их запуске. По четным месяцам (февраль, апрель, ...) по 4-м, 8-м и 12-м числам перехватывает также INT 1Ch и проигрывает мелодию. Содержит строки:

c:\command.comMaca

Демонстрации вирусных эффектов:

MACA.COM

Macaroni.1480

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске и при вызове функций FindFirst/Next. Через 4 часа после заражения системной памяти вирус "трясет" экран. Вирус содержит строки:

Soldier BOB - (c)jan-94 by A:N:O:IProgrammed by Macaroni TedSoldier BOB - Made in Sweden*.com *.exe

Демонстрации вирусных эффектов:

MACARONI.COM

Macedonia.400

Резидентный неопасный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и при запуске любого файла ищет .COM-файлы текущего каталога и записывается в их конец. Содержит строку "*.com", с 0:00 до 5:00 утра выводит на экран сообщение:

MacedoniaToTheMacedonians

Macgyver, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец файлов при их запуске. "Macgyver.1098,2803,2824" поражют только .EXE-файлы, остальные вирусы - файлы COM- и EXE-форматов. "Macgyver.4480,4645" - стелс -вирусы, также перехватывают INT 2Ah. "Macgyver.4112" - файлово-загрузочный вирус, записывается в MBR винчестера и boot-сектора флоппи-дисков.

Периодически перехватывают INT 8 и проявляются различными способами. Содержат зашифрованные списки файлов, не заражаемых при их обнаружении:

"MacGyver.1098": SCAN CLEAN CKVI ZTEST VTE EXEGOD VPIC VIR VIRUS"Macgyver.2803,2824": SCAN ZTEST EXEGOD"Macgyver.3160,4112": SCAN CLEAN PCCILLIN ZTEST ZLOCK VI COMMAND ZLOCKE ZLOCKC DEBTPLUS"Macgyver.4480": command ibmbio ibmdos"Macgyver.4645": COMMAND

Также содержат зашифрованные тексты:

"MacGyver.1098": MacGyver v1.1 written by Dark Slayer in Keelung. Taiwan"Macgyver.2803,2824": MACGYVER V1.0 Written by JOEY in Keelung. TAIWAN"Macgyver.2824.b: * Satan Virus * MAD !! Another Masterpiece of Sax (c) Copyright 1993 Written by Mad Satan... Ver 2.02 MACGYVER V1.0 Written by JOEY in Keelung. TAIWAN"Macgyver.4480": MacGyver v4.0 written by Dark Slayer in Keelung, Taiwan. 93/09/09

В тех случаях, когда вирусы перехватывают INT 08h, они: "Macgyver.2803,2824" проигрывают мелодию, "Macgyver.3160" выводит сообщение:

+--------------------+| * MacGyver  V2.2 * || Hi!  I am MacGyver || Written by <Y.J.D> || in Keelung. TAIWAN || Don't Worry,I just || a Virus. Ha..Ha... |+--------------------+

"Macgyver.4645" сообщает:

+--------------------+| * MacGyver  V3.0 * || Hi!  I am MacGyver ||   Written by       ||      Dark Slayer   || in Keelung. TAIWAN || Don't Worry,I just || a Virus. Ha..Ha... |+--------------------+

"Macgyver.4643" содержит текст:

U M M M M M M M M M M+3 * . MacGyver 3 . * 33 Hi! I am MacGyver 33 Written by 33 .. :) .. 33 in .. :) , Taiwan. 33 Don't Worry,I just 33 a Virus. Ha..Ha... 3T M M M M M M M M M M+

Демонстрации вирусных эффектов:

MACGYVER.COM

Macro01.2170

Неопасный резидентный вирус. Перехватывает INT 13, 28h и при вызовах INT 28h ищет COM- и EXE-файлы и записывается в их конец. В зависимости от своих счетчиков расшифровывает и выводит тексты:

CRIS-HARDWAREAi un virus foarte rauPentru anti-virus scrieti laFAC. de CALCULATOARE din TIMISOARADaca in 20 de secunde nu oprestiPC-ul am sa-ti fac prafHARD-DISKUL

Также содержит строку-идентификатор:

Macro01

MAD, семейство

Очень опасные резидентные вирусы. Старшие версии (2631, 3544, 3732, Morose.5131) являются полиморфик -вирусами.

MAD.1288

Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Под отладчиком стирает MBR. При запуске каждого 33-го файла записывает в случайно выбранный сектор строку:

THE MYTH [C]Black Angel : Next time ,Use a condom ...

MAD.2631,2748

Перехватывают INT 9, 1Ch, 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. Не заражают файлы:

*EB.* *ST.* *EW.*

Содержат несколько ошибок и часто завешивают систему. По 13-м числам, или если исправлены тексты (см. ниже), то вирусы стирают CMOS и сектора дисков. При каждом 1000 нажатии клавиш стирают случайно выбранный сектор винчестера. Если клавиатура неактивна полторы минуты, то выводят тексты:

+---------------------------------------------+|              W a r n i n g !                ||---------------------------------------------||   Your machine is infected by MAD I virus   ||  -= Written & Copyright by Black Angel =-   ||              from Moscow                    ||     For cure call DR.WEB (812) 296-3096     ||                Good-Bye!!!                  |+---------------------------------------------+

Также содержат строки:

"MAD.2631":  BETA\             THE MAD I virus (c)Black Angel"MAD.2748":  THE MAD version 1.2 virus (c)Black Angel

MAD.3544,4340

Перехватывают INT 13h, 21h. Шифруют основную часть своего TSR-кода и шифруют/расшифровывают ее "на лету" при вызовах INT 21h. Для этого копируют часть перехватчика INT 21h в таблицу векторов прерываний и в область данных DOS по адресам 0000:0200 и 0060:0000, затем устанавливают INT 21h на адрес 0060:0000. Когда этот код получает управление, он расшифровывает основной TSR-код вируса (расшифровщик лежит по адресу 0000:0200) и отдает ему управление.

При создании COM- и EXE-файлов вирус запоминает их handle и записывается в конец файлов при их закрытии. По 13-м числам заражает COM-файлы вирусом "MiniMad.279" (см. ниже).

При запуске каждого файла вирус в зависимости от своего счетчика помещает строку "MAD" в буфер клавиатуры. При запуске файлов WIN*.* отключает драйвер мыши и выводит текст:

WINDOWS MUST DIE!

При записи в MBR винчестера (INT 13h) вирус шифрует ее. При чтении зашифрованной MBR подставляет ее незашифрованный образ.

Вирусы семейства используют антиотладочные приемы. Под отладчиком стирают сектора винчестера. Содержат строки:

"MAD.3544":

MAD 1.5a Copyright by Black Angel 03-08-96 : a New Beginning

"MAD.4340":

BUILD40MAD 1.7 (C)opyright by Black Angel(from Moscow!) 29-09-96 : Next version...

MiniMad.279

При запуске зараженного файла этот вирус ищет COM-файлы и записывается в их конец. Заражает только файлы, начинающиеся с команды JMP NEAR (E9h xxxxh). При заражении замещает первоначальный оффсет в команде JMP (слово xxxxh) на оффсет кода вируса, затем устанавливает дату создания/модификации файла в значение xxxxh, затирает эти данные в своем коде и возвращает управление файлу-носителю.

В результате в коде вируса отсутствуют данные, необходимые для восстановления файла, однако вирус правильно возвращает управление программе-носителю: он берет первоначальный оффсет из даты файла.

Содержит строку:

The MiniMad version 1.0 beta*.com

MAD.3732

Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. Под отладчиком форматирует диск. Содержит строки:

The MAD version 1.4(beta) for TME (C)Black Angel 1996TME 0.0 (c)Black Angel 14/05/96

MAD.4268,5054

Перехватывают INT 8, 13h, 21h. При создании новых COM- и EXE-файлов запоминают их handle и заражают их при закрытии, в результате обходят CRC-сканеры. Как и некоторые предыдущие версии, эти вирусы шифруют свой TSR-код, записывают в таблицу векторов прерываний код процедуры шифрования/расшифровки и вызывают ее при необходимости.

Если имя файла-носителя содержит символы: EB, NF, VP, VT, ST или EW, вирус "MAD.5054" портит имя файла в области Environment. Таким способом вирус блокирует антивирусную самопроверку, и программа не может определить свое имя на диске.

При запуске зараженного файла вирус также проверяет командную строку и, если обнаруживает параметр "/!" ("MAD.5054") или "/?" ("MAD.4268"), записывает в буфер клавиатуры строку "MAD".

Вирус использует перехват INT 13h для шифрования/расшифровки загрузочных секторов дискет при обращениях к ним. В результате информация на дискетах оказывается доступной только в зараженной системе. При вызовах INT 8 вирус подсчитывает CRC своего обработчика INT 21h и вешает систему, если CRC не совпадает.

В каких-то случаях вирус "MAD.4268" выводит текст и ждет ввода с клавиатуры:

Your version of MAD outdate.Upgrade?

Если нажата клавиша 'Y', вирус стирает MBR винчестера и выводит тексты:

Please Wait! Cured Your system...Hо...абсолютно спокойны Вы можете быть, если ежедневнопользyетесь пpогpаммой FORMAT.COM

Затем вирус записывает в C:\AUTOEXEC.BAT команды форматирования винчестера:

@echo Press Y for continue cured....@echo offc:\dos\format.com c: >nullecho on@echo Hад вами издевался виpyс MAD...

7 ноября вирус "MAD.5054" стирает CMOS, сектора винчестера и выводит текст:

Seventh November - black day of a calendar...

Портит архивы RAR: записывает вместо опознавателя "Rar!" строку "Mad!". При чтении из такого архива подставляет "Rar!", в результате чего архивы распаковываются только в зараженной системе.

Вирусы также содержат строки:

"MAD.4268":

MAD 1.6 Copyright by Black Angel 24-09-96 :...continue conversation...Mutation Engine for Mad [MEM 1.0]

"MAD.5054":

Small Random Decoder for Mad [SRDM 0.0 beta]EBNFVPVTSTEW[MAD 1.8] (C)opy(R)ight by Black Angel from DesTroY Gr0uP : It BEGAN...!Mutation Engine for Mad [MEM 1.1]

MAD.Morose

При заражении системы записывает свой код в неиспользуемые сектора нулевого трека винчестера, копирует часть (231 байт) своего обработчика INT 21h в область данных DOS, устанавливает на этот адрес INT 21h и возвращает управление программе-носителю. В результате код вируса занимает всего 231 байт, скрытых в ядре DOS. При необходимости вирус считывает свой код с винчестера в свободую область памяти.

Перехватывает единственную функцию DOS - Get DOS Version (AH=30h). При таких вызовах вирус определяет имя активной программы и заражает ее. Записывается в середину COM-файлов и в конец EXE-файлов. Не заражает файлы с именами: *EB, *ST, *86, *NF, *VP, *AN.

При заражении COM-файлов портит их: заменяет в них вызовы INT 21h на INT CCh. Для того чтобы сохранить их работоспособность, вирус устанавливает INT CCh на INT 21h при заражении памяти. В результате зараженные (так же, как и вылеченные) файлы работают только под зараженной системой.

В январе вирус заражает файлы другим способом: записывает в их конец несложный нерезидентный COM-вирус "MiniMad". Однако при каждом таком заражении вирус "MAD.Morose" генерирует новый вариант кода, используя свой полиморфик-генератор. В результате при каждом подобном заражении COM-файлы оказываются зараженными различными COM-вирусами различной длины. В дальнейшем эти COM-вирусы не мутируют.

Под отладчиком вирус стирает MBR винчестера. 31 декабря стирает CMOS и выводит текст:

I am DEAD M0R0SE

Также содержит строки:

>>> The MaDesTr0yeR <<<aka [DEAD M0R0SE]version BETA TESTDistribution & Copyright by Black Angel 1996>Destroy Gr0up is down...!!!<>HЕТУ И HЕБЫЛО DESTROY GR0UP!<EBST86NFVPANMiniMad 2.0 BETA! [c]Black Angelay

MadCobra.1118

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 8, 9, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от текущего времени запускает по экрану движущийся символ '*'. При нажатии на клавишу DEL в зависимости от текущего времени выдает текст:

***[ Just wanna say Wa'Sup to: ]********************************************** The Carmel Massive The Jamaican Posse and Mad Cobra. Keep the FLEX alive!By-The-Way John call this one "Greetings".

Также содержит строку:

Admiral Bailey [YAM]

Демонстрации вирусных эффектов:

MADCOBRA.COM

Made, семейство

Нерезидентные безобидные зашифрованные вирусы, ищут COM-файлы текущего каталога и записываются в их конец. Содержат строки:

Made in England*.COM

MadMax.507

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

MadMax

MadSatan, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец либо COM-, либо EXE-, либо и COM- и EXE-файлов в зависимости от версии вируса. Файлы заражаются при их запуске, открытии, при вызове функций DOS FindFirst/Next (в зависимоости от версии вируса). Некоторые из вирусов "MadSatan" перехватывают также INT 8 и проявляются видеоэффектами, проигрывают мелодии, выводят сообщения.

Содержат строки:

"MadSatan.599":

Cosmo Virus V1.0 (c) 1994 Written By [ Mad Satan ] in Taipei.TAIWAN.MS

"MadSatan.639":

Mad Satan[ This is StarFish ]1993 Written by Mad Satan in TAIWAN.[ STARFISH ] Satan

"MadSatan.647":

Mad SatanBy [Mad Satan] V4.02

"MadSatan.1019":

(c) Copyright 1994 Satan VirusThis is Satan Virus Ver 3.08Written by Mad Satan in TAIWANSatan Ver 3.08    [Mad Satan]

"MadSatan.2060":

How do you do >>Today is My BirthdayOH! YES! Happy Birthday To Youp!Satan

"MadSatan.2876":

----------------

----------------

"MadSatan.9849":

Ruei-Chiang Virus by Mad Satan----------------1994 (C) Copyright Ruei-Chiang VirusWritten by Mad Satan in TAIWAN.Carzy !!! Another Masterpiece of Satan.....Don't Worry I just a Virus.Satan Ver 3.01- Mad Satan -----------------

"MadSatan.19033"

"MadSatan.King.1424": Virus King 1

"MadSatan.King.2175": Mad Satan King Kong Virus Satan Ver 3.00 - Mad Satan -

Демонстрации вирусных эффектов:

MADSATAN.COM

MadWill.2400

Неопасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов кроме COMMAND.COM при обращении к ним. При запуске по DOS ниже чем 3.0 выводит текст:

This program requires MS-DOS version 3.30 or later.

Также содержит строки:

The Stainless Steel TechRat, Version 1.0, 2.03.94,(C) 1993-94 by MadWill International, Moscow, RussiaWYSINWYG (What you see is NOT what you get)Thanks to H. HarrisonCOMMAND.COM .EXEStory 1 : The Stainless Steel TechRat is Born

Mag, семейство

Безобидные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записывается в конец .COM-файлов при их запуске. Никак не проявляются.

Magda.512

Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. 28-го марта уничтожает файлы вместо их заражения. В зависимости от системного таймера выводит текст:

I love Magda Trawinska!

Magdzie, семейство

Неопасные резидентные стелс -вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их закрытии. При запуске или открытии файлов лечат их. Уничтожают файлы CHKLIST.*. 27-го мая выводят текст:

Magdzie T. - jutro Twoje urodziny!

и проявляются видео-эффектом. Также содержат строки:

PHchklist?.*

Демонстрации вирусных эффектов:

MAGDZIE.COM

Magick.412

Очень опасный резидентный вирус. Перехватывает INT 21h, обрабатывает DOS-функцию Read (AH=3Fh) и записывается в конец EXE-файлов при чтении из них. Использует недокументированные System File Tables. Содержит ошибки и может портить файлы при заражении. Содержит строку:

Quantum Magick

Major, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 8, 21h и записываются в конец EXE-файлов при их запуске. В случайные моменты времени открывают файлы BBS:

"Major.1644": \BBSV6\BBSAUDIT.DAT, \BBSV6\BBSUSR.DAT"Major.1691": C:\BBSV6\BBSAUDIT.DAT, C:\BBSV6\BBSUSR.DAT

и ищут в них записи с именами:

"Major.1644" Puppet Image Gnat Minion Cindy F'nor"Major.1691": Puppet Image Gnat Santa Minion Cindy Herman

Если какое-либо из этих имен найдено, то вирусы модифицируют соответствующую запись BBS-файла.

Вирусы также содержат строки:

"Major.1644": The Major BBS Virus created by Major tomTugger"Major.1691": The Major Virus created by Weed and dedicated to the Quantum BBS in Calgary, AB

Mal, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .EXE-файлы в текущем и родительском каталогах и записываются вместо них. Затем ищут *.INI-файлы в каталоге \WINDOWS и также записывается вместо них. Содержат строку:

*.EXE *.INI \WINDOWS

Malatinec, семейство

Опасные зашифрованные файловые вирусы. Записываются в конец COM- и EXE-файлов. "Malatinec.1554" нерезидентен, при запуске он ищет COM- и EXE-файлы и заражает их. "Malatinec.2367" резидентен - перехватывает INT 21h и при запуске каждого файла ищет COM- и EXE-файлы в текущем каталоге и заражает их. "Malatinec.3737" также резидентен, заражает файлы при их запуске.

При заражении вирусы переименовывают файл в имя:

"Malatinec.1554": FileName.M03"Malatinec.2367": FileName.M04

затем заражают его и переименовывает назад. Не заражают файлы:

"Malatinec.1554":

AVG AVP CLEAN GUARD IV NAV NOD SCAN TB VIRSTOP WEB HIEW

"Malatinec.2367":

ADINF AVG AVP CLEAN DRWEB F- FINDVIRU FV GUARD IBMAV IVNAV NOD SCAN TB TOOLKIT VIRSTOP VIVERIFY WEB HIEW

"Malatinec.3737"

COMMAND AFD CHKDSK DOS4G HIEW KRNL SCANDISK WIN ADINF AIDS ANTI ASTAAUTHOR AVAST AVG AVP AVSCAN BAIT CERT CLEAN CPAV CRC DRWEB F- FINDVIR FV86FV386 GOAT GUARD IBMAV ICE IV MKS MSAV NAV NOD PAS QCV QMS SCAN TB TKUTILTOOLKIT V- VAC VDS VIR VIVERIFY VPCSCAN WEB

Уничтожают файлы:

"Malatinec.1554":

ANTI-VIR.DAT AVP.CRC CHKLIST.CPS CHKLIST.MS IVB.NTZ SMARTCHK.CPS

"Malatinec.2367":

ANTI-VIR.DAT AVP.CRC CHKLIST.CPS CHKLIST.MS CHKLIST.TAV FINGERP.VVFFSIZES.QCV IVB.NTZ NAV_._NO SMARTCHK.CPS _CHK.CHK

"Malatinec.3737"

ADINF-?-.%%% ANTI-VIR.DAT AVG.GRS AVP.CRC CHKLIST.CPS CHKLIST.MSCHKLIST.TAV CRCHECK.TXT FINGERP.VVF FSIZES.QCV ICE_?.CRC IM.PRM IVB.NTZMSAV.CHK NAV_._NO NODEX_?.DAT SMARTCHK.CPS _CHK.CHK

Также содержат строки:

"Malatinec.1554":

Virus Malatinec v0.3Note: this is evolutionary (beta) version only. Be Happy!PATH=*.* COMEXEM03

"Malatinec.2367":

Virus Malatinec v.0..W_Nreated by AladiahGreet: all my friends in Slovakia; G722,E10,H723,H118 & all H4??(sch.yr.95/96) & of coz i send a big fuck 2 big boxer V.M.Note: this is last evolutionary (с) version. Don't Worry! Watch out

"Malatinec.3737"

[Malatinec] by Aladiah (C) 4/97+фЭ mря, w+р+ ртю yхu Ьщщkняg Яхт ?!

"Malatinec.3737" в зависимости от текущего времени также выводит один из текстов:

Ked sa budes dobre ucit, dcerenka, stanes sa manekynkou.Don't dread! I'm friendly ghost :)Critical Error - Use (MC) Hammer.REALITY.SYS corrupted - reboot Universe ? [Y,n]I'm INside. (what's about your heuristic?)Memory failed. Use paper.Attention. High voltage on keyboard!Prosбm Vаs, Zastavte HZDS !

Malign, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и при вызове DOS-функций GetDisk или SetDisk ищут COM-файлы и записываются в их начало. Периодически выводят текст:

Malign

При ошибке чтения/записи "Malign.630" выводят:

Wait

Malmsey, семейство

Malmsey.495

Очень опасный нерезидентный вирус, ищет .COM-файлы и записывается вместо них. Третьего октября выводит на экран движущуюся картинку:

(o) (o)############################################################################U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U U

я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я я############################################################################

Warmest Regards to RABIDfrom -- ANARKICK SYSTEMS!

Также содержит текст: "[Malmsey Habitat v. 1.3]".

Malmsey.806

Очень опасный резидентный самошифрующийся вирус, перехватывает INT 3, 21h и записывается в конец COM- и EXE-файлов при их запуске. EXE-файлы заражаются некорректно, они не восстанавливаются, при запуске они завешивают систему. Периодически выдает сообщение:

Gotcha!

[MALMSEY HABITAT v3.с]Lucifer Messiah -- ANARKICK SYSTEMS

Malmsey.1703

Опасный нерезидентный вирус, ищет и записывается в конец .EXE-файлов. Некоторые файлы заражает некорректно - они зависают при запуске. Как и "Malmsey.495" выводит картинку. Содержит тексты:

LMMalmsey Habitat v. 2.0 Lucifer Messiah -- ANARKICK SYSTEMS 07-18-92Happy Birthday Pob!!

Демонстрации вирусных эффектов:

MALMSEY.COM

Mand.1061

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при обращениях к ним. Никак не проявляется. Содержит в своем теле два слова, использующихся для детектирования файла COMMAND.COM:

MA ND

Mango, семейство

Безобидные нерезидентные вирусы. Ищут .COM-файлы и записываются в их конец. Никак не проявляются.

Manowar.592

Опасный резидентный самошифрующийся вирус. При запуске копирует себя в памяти по адресу 9000:0000, не корректируя при этом MCB-блоки. Это может вызвать зависание компьютера. Вирус перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их обращении к ним. Содержит строки:

MANOWAR(C)PK

Mantra.719

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от текущего времени пытается стереть сектора дисков и вывести сообщение, но содержит ошибку и завешивает компьютер. Сообщение выглядит так:

************************* VALENTINE ** HAS ENTERED! *************************This is the VALENTINE virus, 1.0 by Black Mantra

Manu.4096

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строки:

Manu virus Version 1.0Parity error 0000:F243

Вторая строка выводится на экран, однако в имеющейся у меня версии вируса этот код никогда не вызывается.

Manuel, семейство

Резидентные вирусы, перехватывают INT 21h и записываются в конец открываемых или запускаемых .COM-файлов (кроме COMMAND.COM). "Manuel.1155" ищет .COM-файлы и заражает их при вызовах DOS-функции GetDiskSpace (AH=36h). При запуске вирусы поражают файлы:

C:\DOS\FORMAT.COMFORMAT.COMC:\DOS\KEYB.COMKEYB.COM

В некоторых случаях выводят сообщения:

"Manuel.777": Soy un Manuel Virus de tipo G"Manuel.814": Soy un Manuel Virus de tipo N"Manuel.840": Soy un Manuel Virus de tipo B"Manuel.858": Soy un Manuel Virus de tipo L"Manuel.876": Soy un Manuel Virus de tipo R"Manuel.937": Soy un Manuel Virus de tipo C"Manuel.957": Soy un Manuel Virus de tipo C"Manuel.995": Soy un Manuel Virus de tipo H"Manuel.1155": Soy un Manuel Virus de tipo H"Manuel.1388": Soy un Manuel Virus de tipo M

"Manuel.777,814,876" неопасны, никак не проявляются.

"Manuel.840" опасен, в зависимости от свлего внутреннего счетчика стирает файлы вместо их заражения.

"Manuel.858" неопасен, в зависимости от своего счетчика перехватывает INT 08h и "тормозит" компьютер.

"Manuel.937,957" стирают CMOS.

"Manuel.995,1135" стирают сектора дисков и сообщают:

Manuel Virus: to repare HD, rotate rigth the sector (not the bytes)number 2, head 0, of tracks 0 to length of this message

"Manuel.1388" проигрывает мелодию.

Manuel.2209

Зашифрован. Заражает как .COM-, так и .EXE-файлы. В зависимости от текущей даты пищит динамиком компьютера. При запуске зараженного файла вирус пытается записаться в файлы:

C:\DOS\COMMAND.COM\DOS\COMMAND.COM\COMMAND.COMCOMMAND.COM

Вирус содержит строки:

c:\dos\command.COMManuel strikes again

Manzon, семейство

Безобидные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или закрытии. Содержат строки:

"Manzon.1404,1414": MANZON (c) Sgg1F5PZ"Manzon.Burning": tHe bURnInG zOnE CWUR_UUM"Manzon.Variant": MANZON Variant 1

Mao, семейство

Mao.1000

Безобиден, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Никак не проявляется.

Mao.1465

Неопасный резидентный частично зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец файлов при их запуске и при вызове функций DOS FindFirst/Next FCB (команда DIR). 9-го сентября (дата смерти Мао-Дзедуна) и 26-го декабря (его день рождения) вирус проигрывает две китайские мелодии.

Демонстрации вирусных эффектов:

MAO.COM

Marawi.2828

Неопасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец COM- и EXE-файлов при их запуске. Через некоторое время после запуска проявляется видео эффектом: выводит строку текста и изображение прыгающего человечка:

+----------------------------------------------------+|  Ang VIRUS na ito ay taos-puso naming inaalay kay  ||  Professor  HERMILITO GO ng MSU-IIT.  Kung  hindi  ||  dahil sa kanyang  KAHAMBUGAN ang VIRUS na ito ay  ||  hindi maisasakatuparan...                         ||                                                    ||                                  Signing off,      ||                                                    |+----------------------------------------------------+

Также содержит строки:

MSU PhilippinesBY: Someone of MSU Main Campus, Marawi City

Демонстрации вирусных эффектов:

MARAWI.COM

Maresme.1062

Очегь опасный зашифрованный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. В некоторых случаях стирает сектора винчестера и выводит сообщение:

GAME OVER

Также содержит строку:

Virus Maresme Show by XUTE !!!

Marian.700

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строки:

BULPACK BBS - PLOVDIVCopyright (c) Marian DelkinovPEDY PATENT.

Marine.5000

Очень опасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h, 25h и записывается в начало COM- и EXE-файлов при обращениях к ним. При заражении файлов частично шифрует их.

5-го и 21-го июня обрабатывает DOS-вызов FindFirst таким образом, что DOS не показывает файлов на дискетах. Также в июне по субботам записывает в файлы .PAS и .CPP строку:

There is nothing in the world that I ever wanted more than to never feelbreaking apart all my programs again.

В июле выводит текст "BCE HA MOPE !!!" и выводит изображение пляжа, солнца, моря и движущейся яхты. При этом шифрует сектора диска.

Также содержит строки:

COMMAND.COM.COM.EXE.PAS.CPPI`m the Ghost V1.2. Check. Your move, Mr.AntiVirus ! My author`scoordinates are:Sun system, Earth, Europe, Russi... 2B continued... Themore we know,the less we show.

Демонстрации вирусных эффектов:

MARINE.COM

Mario, семейство

Резидентные вирусы. Перехватывают INT 18h, 21h и записываются в конец EXE-файлов при их запуске или открытии.

"Mario.661" заражает файлы также при их переименовании. Содержит ошибки и может испортить файлы при заражении. Содержит строку:

Mario Genius

"Mario.746" выводит текст:

Joannie Tomczyk...Mario Genius(c) 02.95.

Maripuri.1942

Очень опасный нерезидентный вирус. При запуске ищет EXE-файлы в дереве подкаталогов и записывается в их конец. Если ни одного EXE-файла не обнаружено, то вирус стирает CMOS, FAT диска C: и записывает в MBR программу, которая при загрузке с диска выводит текст:

Virus MARIPURI 1.0By FredSoft C.O.Made in Spain, IV-1.992

Вирус также содержит строку:

*.EXE *.COM *.*

Markiz, семейство

Опасные резидентные зашифрованные вирусы. Трассируют и перехватывают INT 21h, затем заражают COM- и EXE-файлы. Содержат строки:

"Markiz.1972":  MARKIZ-4/01995 %@##0|31/|(|< (/|+0##@%"Markiz.2620":  [-DEDiCA+ED-+0-MARKiZ-]

Markiz.1972

Использует довольно необычный способ заражения файлов: шифрует и записывает свой код в конец файла, затем записывает код своего расшифровщика и команду перехода на тело вируса (JMP) в середину файла по адресу, с которого идет первый вызов INT 21h при запуске файла на выполнение. При этом начало файла не изменяется (за исключением полей "длина модуля" в заголовке EXE).

 Файл до заражения       Зараженный файл+----------------+      +----------------+|...             |      |...             ||----------------|      |----------------||вызов INT 21h   |      |цикл расшифровки||----------------|      |JMP Virus       |--+|...             |      |----------------|  ||...             |      |...             |  |+----------------+      |----------------|<-+                        |вирус           |                        |                |                        +----------------+

Для реализации этого метода вирус перехватывает все функции INT 21h. При вызове DOS-функции Execute (AX=4B00h) перехватывает запуск файла, переходит в режим заражения и отдает управление DOS, которая загружает файл в память и запускает его. При работе практически все программы вызывают различные функции INT 21h. Вирус ловит первое из этих событий, определяет адрес, откуда идет вызов INT 21h, по данному адресу высчитывает смещение команды вызова INT 21h в файле и записывает по этому смещению код расшифровщика и JMP на свое тело.

Перед тем как записать свой расшифровщик в середину файла, вирус сравнивает код файла по этому адресу с соответствующим кодом в памяти. Если они различны (файл упакован или код содержит настраиваемый адрес в EXE-файле), то вирус не заражает файл. Однако, несмотря на эти меры, вирус может испортить файлы при заражении.

Для того чтобы перехватить момент выхода программы в DOS и выйти из "режима заражения", вирус также перехватывает INT 20h, 27h (это необходимо в тех случаях, когда файл ни разу не вызывает функций INT 21h).

Markiz.2620

Записывается в начало COM-файлов и конец EXE-файлов при вызове DOS-функций FindFirst/Next ASCII (эти функции вызываются также при запуске файлов из командной строки). Проверяет имена файлов и не заражает их, если имя начинается с любого из вариантов:

ADIN AID ANT DRW FIND MSA NAV VSA WEB

С вероятностью 1/256 при запуске файлов FO?MA*.EX* (FORMAT.EXE) переименовывает их в FORMAT.EхE ('х' в "EхE" - русская).

В феврале и октябре через некотороые время после запуска зараженного файла выводит тексты, сопровождающиеся звуковыми и видео-эффектами:

Welcome to 1.6 version of highperfomance FortranLover virii,01995 #31/|(#<(/|+

####### ####### ####### ####### ####### ####### ##### # ###    ### ###  ###### #### ##  ######  ######  ## ### ##     ### ###  ## ###   ##     ## ###  ## ###  ##  ######    ####### ### ###  ####   ### ### ### ### ###  ##                     +++++ +++++-+                     +||++ ++++ |                     -  -+-++++ -                +-----++-----+++----+                |||  ||  |||  |+--                +-----++-----++-----+

Демонстрации вирусных эффектов:

MARKIZ.COM

Markiz_II, семейство

Неопасные файловые вирусы. "Markiz.1024" нерезидентен, при запуске изет EXE-файлы и записывается в их конец. "Markiz.2642" резидентне и зашифрован. Перехватывает INT 21h и записывается в начало COM- и конец EXE-файлов при их запуске. Не заражает файлы (антивирусы) с именами: AIDS, ANTI, WEB, -V, SCAN, VSAFE, MSAV, NAV.

По 28-м числам "Markiz.1024" выводит текст:

Virus ***MARKIZ-1*** for EXE files specification.(C) by PLcat /demo version 1.0/Was great in Almaty, Kazakhstan, 28.12.94. Good luck!

Под отладчиком "Markiz.2642" выводит текст и завешивает компьютер:

+------------------------------------------------------------+| ПРИВЕТ ВЗЛОМЩИКАМ ЧУЖИХ ВИРУСОВ! Вы имеете дело с: || Virus *** MARKIZ-2 *** for COM&EXE&OVL files specification || (C) by PLcat, version 2.0 /experimental version/ || Created in Almaty, Kazakhstan, 21.05.95. До новых встреч! |+------------------------------------------------------------+P.S. Извините, я, кажется, нечаянно повис ...

Этот вирус также перехватывает INT 8 (таймер) и периодически выводит картинку:

+------------------+|##%%%%#%%%%#%%%#%%||#%%%%###%%%%#%#%%%||#%%%#####%%#####%%||#%%%#####%%#@#@#%/||#%%#######%#####/ ||#%###########%##--||#%####%###%%###%\ ||######%###%%%#%%%\||%#####%###%%%%%%%%||%%####%####%%%%%%%||%##%##%%#%#%%%%%%%||%##%##%%#%%#%%%%%%||%#%%#%%%%#%#%%%%%%||%#%%#%%%%#%#%%%%%%||%#%%#%%%%#%%#%%%%%||%%#%%#%%%%#%#%%%%%|| M A R K I Z -- 2 |+------------------+

В зависимости от системной даты перехватывает INT 9 (клавиатура) и при нажатии на Alt-Ctrl-Del проявляется видео-эффектом.

Демонстрации вирусных эффектов:

MARKIZ2.COM

Marky.478

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. 27-го февраля расшифровывает и выводит текст:

Happy Birthday To Marky!

Marzia.Minosse

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строку "Minosse". В зависимости от текущей даты стирает сектора винчестера.

Mask.2389

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от видео-режима и текущего времени переводит экран в графику и выводит случайные данные. 30-го и 31-го декабря выводит картинку:

     *    /|\     Happy New Year, buddy !   //|\\  ///|\\\             Yours truly ////|\\\\             The Mask 2/////|\\\\\     |

Первого апреля симулирует форматирование диска (дергает головки винчестера) и при этом выводит тексты:

System diagnostic failure: cylinder #1 of your hard disk is cracked.There is a peril of hard disk explosion.Only an immediate formatting can help.

Confirm format now [Y/N]?

Wrong. Your hard disk NEEDS to be formatted.

Say GOOD BYE to all data on your hard disk !Start formatting ...

Format complete.

Peril of explosion is not over. Next several weeks be very careful:if you will hear suspicious noise inside computer, immediately rush downto the floor, quickly crawl to phone and call for rescue rangers (911).

Relax ! It's a joke. Your hard disk is OK.

Video signal lost. Some device causes strong interference.Please reorient or relocate your computer or consultexperienced technician for help.

Press the ENTER key.

Также содержит строку:

<< The Mask 2. Dedicated to Mrs Marina - the Wonderfulest Woman I ever met. >>

Matthew, семейство

Опасные резидентные вирусы. Перехватывают INT 8, 13h, 21h и записываются в начало COM- и конец EXE-файлов при их запуске. Проявляются видео-эффектами, выводят сообщения. Записывают в boot-сектора дискет программу, которая при загрузке сообщает:

"Matthew.2667":

Therefore I tell you, do not worry about your life,what you will eat or drink; or about your body,what you will wear. Is not life more important thanfood, and the body more important than clothes?Look at the birds of the air; they do not sow orreap or store away in barns, and yet your heavenlyFather feeds them. Are you not much more valuablethan they? Matthew 6:25 (Agnes) May 92' IICS-SLU B.C.

"Matthew.3044":

+-----------------------------------+| Look at the birds of the air,     || they do not sow or reap or store  || away in barns, yet your Heavenly  || Father feeds them. Are you not    || much more valuable than they?     ||-----------------------------------|| Matthew 6:26 1st Bat.94 (Sw & Sh) |+-----------------------------------+

"Matthew.2667" также содержит строку:

R.M.O.Ordona IICS-SLU

Matura.1626

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или открытии. Длина COMMAND.COM при заражении не увеличивается (см. вирус "Lehigh" ). Вирус содержит строку:

exeEXEcomCOMcommandCOMMAND

и записывает в OEM-строку boot-секторов текст:

MATURA92

Maus.1888

Нерезидентный очень опасный вирус. Ищет COM- и EXE-файлы в каталогах дисков и поражает их. Записывается в начало COM- и конец EXE-файлов. Также создает файл-драйвер и записывает информацию об этом файле в CONFIG.SYS. Этот драйвер, будучи установленным в памяти, периодически стирает буфер клавиатуры. Вирус может стирать сектора дисков. Вирус также содержит строки:

C:\ * NETWARE LMS MAUS MDB DOS BASE*.exe *.comC:\CONFIG.SYS DEVICE =

Maverick, семейство

Очень опасные резидентные полиморфик -вирусы. Трассируют и перехватывают INT 21h, записываются в конец COM- и EXE-файлов при обращениях к ним.

В зависимости от текущей даты "Maverick.1536" стирает сектора дисков. Содержит строку:

(c) ETERNAL MAVERICK. Kiev Computer Virus Club 1994.

Если номер месяца плюс один совпадает с номером дня ( 1 февраля, 2 марта,...) "Maverick.2048" устанавливает INT 4 (Overflow) на INT 13h, что может привести к вызову INT 13h со случайными параметрами и потере данных на диске. Если номер месяца плюс два совпадает с номером дня, вирус выводит текст и завешивает компьютер:

+--------------------------------+| +----------------------------+ || | LETS REST UNTIL TOMORROW ! | || +----------------------------+ ||   (c) ETERNAL MAVERICK 1995.   |+--------------------------------+   Press RESET to continue...

Maximum.1198

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. В зависимости от системного таймера расшифровывает и выводит текст:

и ждет ответа "103.7". В случае правильного ответа вирус выводит текст:

Right!Radio MAXIMUM - BEST Radio...

и возвращает управление программе-носителю. В противном случае вирус выводит:

Error!Now restarting...

и перезагружает компьютер. Вирус также содержит строки:

:\D&M.SYS COMMAND.IBMBIO.IBMDOS.DOS.PATH=

Mayak, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец файлов.

Mayak.513

Очень опасен. Поражает COM- и EXE-файлов при их выполнении. Стирает первые 8 секторов диска C. Содержит текст:

Jews NEWER surrender!

Mayak.2339,2370

Неопасны. Перехватывают INT 8, 9, 21h. Записываются в COM-, EXE- и SYS-файлы. Файлы-драйверы заражаются при старте инфицированного COM- или EXE-файла или при "теплой" перезагрузке (Alt-Ctrl-Del): вирус поражает все .SYS- и .BIN-файлы, указанные в файле "C:\CONFIG.SYS".

Остаются резидентно только при запуске из зараженного драйвера: копируют себя в сегмент 7000:xxxx, ждут окончания инсталляции драйвера и дописывают свои коды к кодам драйвера. Файлы типа COM и EXE поражают только на дискетах, причем при запуске или открытии файла вирус лечит его, а при закрытии - заражает.

Через 5 дней после заражения системы каждый час в 59 минут 30 секунд проигрывают позывные радиостанции "Маяк": 3 раза "Подмосковные вечера" и 6 раз BEEP. Содержат тексты:

Jews-2 Virus. MSU 1991c:\config.sys.device.com.exe.bin.sys

Демонстрации вирусных эффектов:

MAYAK.COM

Maze, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. Периодически затирают файлы строками:

"Maze.949": GALU virus Written by brosen"Maze.985": MAZE Written by K.stanbs

Mbd, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 8, 21h и записываются в конец запускаемых COM- и EXE-файлов. Не заражают файлы, имена которых начинаются на: DRWE, AIDS, AV, ADIN, COMM (DRWEB, AIDSTEST, AVP, ADINF, COMMAND.COM).

Занимают в памяти всего 232 байта (обработчики INT 8,21h) - при заражении системы записывают свой код в неиспользуемые сектора винчестера (трек 0) и при заражении файлов считывают себя оттуда. Обработчики INT 8,21h оставляют в области данных DOS. В результате вирус невидим утилитами просмотра системной памяти.

В зависимости от своих счетчиков пытаются позвонить 02 или 113. Содержат строку:

# Bupyc-MEHT, v1.0     (C) MBD Poccuu. XI.1996 #

Также содержат тексты:

"Mbd.1258":

# HELLO, POLICE ! I`M, DIRTY USER, HAVE STEAL BILLY`S WINDOWS !# POLICE OF THE WORLD, HANDS OFF FROM CYBERSPACE !

"Mbd.1317":

# АЛЛО, МИЛИЦИЯ ! Я, ГРЯЗНЫЙ ЮЗЕР, УКРАЛ У БИЛЛИ ОКОШЕЧКИ !# С #овым 1937-м годом, совковый киберспэйс !# Да, здравствует российская милиция0 и другие деревянные изделия...

MbrKiller, семейство

Очень опасные резидентные вирусы. Трассируют INT 13h, 21h, перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Содержат ошибки и часто завешивают систему при заражении первого же файла. При заражении 4883-го (1313h) файла стирают MBR винчестера. Содержат строку:

MbR killer v0.01

MD, семейство

Нерезидентные безобидные вирусы, модификация вирусов "Vienna" . Ищут .COM-файлы текущего каталога и каталогов, отмеченных в PATH (кроме "MD.354") и записываются в их конец. Устанавливают время файлов в 62 секунды. Содержат строки "MD", "PATH", "*.COM" и:

"MD.354": MaxWell-Defender: The First Meeting"MD.498": MaxWell Defender: I don't kill MMM"MD.499": MaxWell-Defender: I haven't been in Vienna"MD.557": MaxWell-Defender: I don't infect EXE-files

MDS.331

MDS93

Mef, семейство

Безобидные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. Проверяют имена файлов и не заражают файлы: AVG.*, ASTA*.*, STRO*.*, DPMI*.*, RTM.*, SCAN*.*.

Используют антиотладочные приемы, причем под отладчиком вызывают подпрограмму, которая ищет и заражает COM- и EXE-файлы в каталогах DOS или C:\DOS.

Содержат строки:

*.exe *.com dosAVG.ASTASTRODPMIRTM.SCANCOMEXE

Mefl, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записывается в конец запускаемых EXE-файлов. Никак не проявляются. Содержат строки:

"Mefl.625": МЭФЛ"Mefl.700": #1502 - МЭФЛ

MegaBug

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. По 28-м числам стирает сектора дисков. Содержит строку:

V.C.M-MEGABUG

MegaF.1105

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. Вирус проверяет установленный код страны и, если этот код не является UK, USA, Italy или Slavic/Latin, перехватывает также INT 13h и портит данные на диске: записывает их при вызовах функции чтения и читает при вызове записи. Затем в зависимости от своего счетчика выводит текст:

 MegaFuck to CopyRight law.MegaFuck to MicroSoft.(V)'94 SS

Mehrgan.786

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. По 10-м числам расшифровывает и выводит текст:

The MEHRGAN virus dosn't destroy data, Don't panic.Only for Thanking from MEHRGAN MAHDAVY.

Meihua, семейство

Неопасные резидентные вирусы. Частично зашифрованы. Перехватывают INT 2Fh и при вызове команды Command Install Check (INT 2Fh, AX=AE00h) определяют имя запускаемого файла и записываются в его конец. Вирус получает только имя файла (FileName) без расширения, поэтому вирус сначала пытается заразить файл FileName.COM (кроме COMMAND.COM), а затем FileName.EXE.

Если файл заражен каким-либо другим вирусом поверх "Meihua", то при его запуске "Meihua" пытается вылечить этот вирус и оставить файл зараженным только "Meihua".

При запуске SCAN.EXE вирус расшифровывает и выводит текст:

AntiVirusIf your software has beeninflected by other viruses,run your software, then thevirus will be cleaned ! THANK YOU! --Mr. MeiHua--

Mel.1536

Неопасный нерезидентный вирус. При запуске ищет EXE-файлы текущего каталога и записывается в их конец. В зависимости от значения системного таймера выводит сообщения:

All in All, You are just another BRICK in the WALL (MEL)

Hey dla:AS,JS,ZN,AD,BC,PC&PW,MS,HL,JZ,GR,DB i M.P.(ZZZ,but right) !! SIE MA !!

... All very clear in the theatre tonight ...

Wirus calkowicie nieszkodliwy, jak jestes enough dobry to napisz szczepionke

MKSa to sobie daruj,bo tu jest do niczego. Pracuj dalej na luzie !!!!!!!!!!!

MEL Power Virus SystemDunderfunkFortranKiller1.0

MemLapse, семейство

Безобидные вирусы, записываются в конец файлов. Содержат строку "Copyright (c) 1993 Memory Lapse". Некоторые из них при заражении файлов использует System File Table.

"MemLapse.323,375,406" нерезидентны, "MemLapse.375" зашифрован. Ищут .COM-файлы текущего каталога и заражают их.

"MemLapse.366,407,449" нерезидентны, ищут .EXE-файлы и заражают их.

"MemLapse.465,385,605,787,820,839,845" резидентны, перехватывают INT 21h и заражают COM- и EXE-файлы при их запуске ("MemLapse.385,465" заражает только COM-файлы). "MemLapse.787,845" лечат файлы при их открытии.

Также содержат строки:

"MemLapse.323":      *ML.C?M COMMAND.Memory_Lapse.323A (05/28/93)"MemLapse.366":      Memory_Lapse.366A (07/01/93)"MemLapse.375":      *ML.C?M Memory_Lapse.375A (05/29/93)"MemLapse.385":      [Chromosome Glitch] v3.0"MemLapse.406":      *.COM .. [Chromosome Glitch] v1.0"MemLapse.407":      *M.EXE [Chromosome Glitch] v2.0"MemLapse.449":      *.EXE [Chromosome Glitch] v2.0 Copyright (c) 1993 Memory Lapse"MemLapse.465":      [Golgi Testicles] v1.0"MemLapse.605,608":  [Golgi Testicles] v2.0"MemLapse.787":      [Nympho Mitosis] v2.0  Phalcon/Skism Canada"MemLapse.820":      [Golgi Testicles] v3.0"MemLapse.839,845":  [Nympho Mitosis] v1.0"MemLapse.Lupus":    (c) 1993 Lupus Yonderboy and The Death Squad                      Warchild

Mendoza.3380

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 20h, 21h, 23h, 27h и записывается в конец COM- и EXE-файлов при их запуске или открытии.

При запуске зараженного файла расшифровывает себя, заражает файл \DOS\KEYB.COM (если такой имеется на диске), запускает файл-носитель, ждет окончания его работы и остается резидентно в памяти. При заражении файлов проверяет их имена и не заражает:

COMMAND.COM PCVIR.EXE CLEAN.EXE POWER.EXE SHARE.EXE LOADHI.COM EMM386.EXE SETVER.EXE

Также проверяет содержимое файла и не заражает файлы, упакованные PKLITE. После заражения файла вирус ищет файл PKLITE.EXE в каталогах, отмеченных в PATH, и запускает PKLITE таким образом, чтобы был запакован только что зараженный файл. В результате зараженные файлы могут оказаться запакованы утилитой PKLITE, а их длина окажется меньше, чем перед заражением. Для того чтобы скрыть работу утилиты PKLITE вирус запрещает вывод на экран на время работы PKLITE.

Вирус уничтожает файлы CHKLIST.MS и SMARTCHK.CPS. В зависимости от текущей даты и времени стирает сектора дисков, перезагружает компьютер, выводит сообщение:

(c) Mendoza's 1995

Mep.295

Опасный резидентный вирус. Копирует себя в область данных DOS по адресу 0000:0535, перехватывает INT 21h и записывается в начало COM-файлов при их запуске или открытии. Содержит ошибки и может испортить файлы при заражении. В самом начале зараженного файла присутствует строка:

MEP

Mephisto, семейство

Неопасные вирусы, записываются в конец файлов. Некоторые из них зашифрованы.

"Mephisto.2,3,4" нерезидентны, ищут файлы и поражают их. Остальные вирусы резидентны, перехватывают INT 21h.

"Mephisto.2,3,5" заражают только .COM-файлы, "Mephisto.4,6" заражают только файлы с расширением EXE.

Содержат строки:

"Mephisto.3":

When you read this Text, your Computer has to be already DEAD.My Name is NUMBER THREE but you will never see me again...

"Mephisto.4":

When you read this Text, your Computer has to be alreadyDEAD.My Name is NUMBER FOUR but you will never seeme again...

"Mephisto.5.1235":

[NUMBER FIVE (Special) V 1.00] (Ы) Mephisto Switzerland*.pas

"Mephisto.5.1242":

ALL GOOD THINGS MUST COME TO AN ENDThis Virus is dedicated to the well known seriesSTAR TRECK NEXT GENERATIONthat reached the end about three months ago...[NUMBER FIVE] (Ы) Mephisto

"Mephisto.6":

ALL GOOD THINGS MUST COME TO AN ENDThis Virus is dedicated to the well known seriesSTAR TREK NEXT GENERATIONthat reached the end about three months ago...[NUMBER SIX] (Ы) Mephisto

"Mephisto.4.1134" выводит:

" All good things must come to an end "

Также содержит строки:

This is NOT Shareware. Please register you by Johnny Boy !!![NUMBER FOUR]  (Ы) Mephisto

"Mephisto.5.510,615" выводят строки:

Resident Function will be carried out !!!

"Mephisto.5.1235,1242" перехватывают также INT 1Ch и в зависимости от значения таймера "осыпают" символы на экране.

Mephisto.921

Неопасный нерезидентный зашифрованный вирус. При запуске ищет файлы C:\DOS\DOSKEY.COM, C:\DOS\EDIT.COM и COM-файлы текущего каталога, а затем записывается в их конец. В зависимости от текущего значения системного таймера записывает в MBR винчестера загрузочный вирус "ASBV" .

Содержит строки:

[Swiss'94] Mephistoc:\dos\doskey.com c:\dos\edit.com *.com

Metallica.1103,1129

Неопасные резидентные вирусы. Перехватывают INT 21h и поражает COM- и EXE-файлы. 22 апреля шутят с экраном - пишут в видеопорты всякую ерунду. От такого садизма экран начинает дергаться и кривляться. При работе под Windows экран не кривляется, но активное окно ежесекундно меняет свои размеры и по вертикали и по горизонтали. Содержат тексты:

"Metallica.1103": Metallica Ver 2.2 AIDSCOMMAND"Metallica.1129": Metallica Ver 2.0 AIDSCOMMAND (c) USSR Moscow 92`

Демонстрации вирусных эффектов:

META1103.COM

Metallica.1536

Нерезидентные очень опасные вирусы, ищут COM- и EXE-файлы и записываются в их конец. Иногда стирают сектора дисков и выводят текст:

"Metallica.1536.a":

"METALLICA"-BEST GROUP OF THE WORLD!!!(METALLICA-virus realised after 22 infection)ALL GOOD.V 3.22

"Metallica.1536.b":

"METALLICA"-BEST GROUP OF THE WORLD!!!(METALLICA-virus realised after 22 infection) HA-HA-HA! V 3.30

Metallica.1739

Неопасный резидентный COM-вирус. Перехватывает INT 9, 10h, 21h. Повторяет символы, вводимые с клавиатуры. При смене видеорежима рисует на экране могилку. Содержит тексты:

.com .COMManowarMetallica

Записывает себя в конец файлов и изменяет вторую (не первую) команду в файле на команду перехода на вирус:

XXXX XXXX ; первая командаCALL VIRUS ; переход на вирус.... .....

Для определения адреса второй команды файла использует трассировку.

Демонстрации вирусных эффектов:

META1739.COM

Metallica.400,500

Безобидные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии, "Metallica.400" поражает только COM-файлы. Содержат строку:

MetallicA

Metall.557

Очень опасный нерезидентный вирус. Ищет .COM-файлы кроме COMMAND.COM и записывается в их конец. Корректно заражает только файлы, в начале которых присутствует команда JMP/CALL NEAR. Остальные файлы после заражения оказываются испорченными.

В зависимости от системного таймера перемешивает символы на экране. Содержит строку:

METALL\I

Methyl.2419

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Не заражает файлы: TB*.*, SC*.*, DV*.*, MS*.*, XC*.*. 7-го марта выводит текст и завешивает компьютер:

The Black Tide

Beware the black tide, crucified of the sun,Its web of intrigue is already spun,Onslought relentless, blood drawn till you drop,Onslought relentless, at your death does it stop.Lives in the darkness then eclipses the light,Hate gives it power and passion to fight.With hunger of the moon it seeks human will,Fight to the death, it's battle cry is shrill,A screech of defiance that splits time and space,Shatters human souls without any grace.Slowly preparing on weak human souls,One day to fight Death, the ultimate of goals,For Death is the one its scream cannot shatter,This shrillest of screams can destroy only matter,Black Tide will not accept defeat of this sort,So it practices more, as human souls are sought,Population slowly crumbles, and soon we'll be gone,Soon after replaced by shrill blackened dawn.

- Written by the Methyl-Lated Spirit- Dedicated to Karma... I love you Karma :((((- You out there!  *PLEASE* don't do crack :((((

Также содержит строку:

Beware the [Black Tide] of The Methyl-Lated Spirit

MF, семейство

Опасные резидентные полиморфик -стелс -вирусы. Перехватывают INT 8, 16h, 21h, 2Fh и записываются в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов временно лечат их.

В зависимости от своих счетчиков меняют на экране русские cимволы:

'р' -> 'г''ш' -> 'щ'

Также меняют символы при их вводе с клавиатуры.

Через 14 минут после инсталляции в память "MF.3564" выводит текст: "Merlin from AMBER: FUCK YOU MAN!", через 40 минут вирусы портят CMOS. В зависимости от случайного счетчика вирусы блокируют доступ к удаленным файлам и дискам.

Проверяют командную строку DOS и, если введена строка: "Tell me your ver, mf!", выводят текст:

"MF.3490": My ver is MF v10.1"MF.3564": My ver is MF v10.0

Если введена строка "Do your job, mf!", отвечают:

Yes, I got it, man.

и затем стирают CMOS.

Mface.1441

Резидентный неопасный вирус. Перехватывает INT 08h, 13h, 21h и записывается в конец запускаемых .COM-файлов. Периодически выводит на экран несколько рожиц (01h ASCII), случайно перемещающихся по экрану.

Демонстрации вирусных эффектов:

MFACE.COM

MG, семейство

Практически совпадающие резидентные безобидные вирусы. Перехватывают INT 13h, 21h и при при вызовах DOS-функций 36h,39h,47h,4Bh ищут .COM-файлов и записываются в их конец.

Mgn, семейство

Резидентные неопасные вирусы, зашифрованы. Поступили из г. Магнитогорска. Перехватывают INT 8, 13h, 21h. Записываются в конец COM- и EXE-файлов при их запуске и закрытии, COMMAND.COM заражается по алгоритму вируса "Lehigh" . Восстанавливают файлы при их открытии. Не заражают файлы, если одновременно нажаты клавиши Num+Ins+Ctrl. Поэтому простейший способ лечения зараженного такими вирусами компьютера - пройти любым антивирусом все COM- и EXE-файлы во всех каталогах на всех дисках при нажатых клавишах Num+Ins+Ctrl, а затем перезагрузить компьютер.

"Mgn.3000" заражает файлы по следующему алгоритму: 3000 байт начала COM-файла записывается в его конец (у файла COMMAND.COM - в область стека, т.е. в середину; длина файла при этом не увеличивается), а в освободившееся место записывается тело вируса. EXE-файлы поражаются в середину между заголовком файла и телом модуля.

Содержат строку "COMMAND". "Mgn.2560.c" и "Mgn.3000" заменяют в Partition Table типы дисков с 50h на 51h (эти типы дисков использует Disk Manager). "Mgn.2048" примерно раз в час на очень короткое время "переворачивают" экран вверх ногами. "Mgn.2048.b" содержит текст:

Shadow & Safe

"Mgn.2560.a,b,c" периодически выдают сообщение типа:

+--------------------------------------+|           Mr. Lozinsky !             || Just  read  documentation  on   your || AIDSTEST   (1-Oct-90   version)   we || release new  virus. Create  improved || versions of AIDSTEST, please !       ||(C) TinySoft&Electronics,Inc. 3-Nov-90|+--------------------------------------+

Российский патриотический вирус "Mgn.3000" окрашивает экран в цвета Российского флага: белый, синий, красный.

Демонстрации вирусных эффектов:

MGN.COM

MGTU.273

Нерезидентный опасный вирус. Крайне примитивен. При старте поражает все .COM-файлы текущего оглавления, используя FCB из PSP. Изменяет первые 4 байта файла (JMP Loc_Virus; DB EBh - опознаватель зараженного файла) и дописывается в его конец. Опасен, так как не проверяет длин файлов при их заражении. Никак не проявляется. Содержит текст (ошибка - в оригинале):

Эта программа написанна в МГТУ студентом группы ИУ4

MGUL, семейство

Очень опасные резидентные стелс -вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Стирают сектора дисков.

"MGUL.925" также перехватывает INT 8 и периодически перезагружает компьютер.

"MGUL.950": 11-го июня, 30-го ноября и 31-го декабря стирает MBR и первый boot-сектор винчестера.

"MGUL.1953,1962" перехватывают также INT 1, 3, 8. 11-го июня и 30-го ноября стирают MBR винчестера. При попытке трассировать код вируса перезагружают компьютер.

Содержат строки:

"MGUL.950": МГУЛ. ВТБ-11. v1.0"MGUL.1953": MGUL. v2.5"MGUL.1962": МГУЛ. v2.0

MH.757

Резидентный безобидный вирус. Перехватывает прерывания 1Ch и 21h и записывается в конец .COM-файлов при их запуске. Содержит ряд ошибок. Периодически изменяет знаки на экране. Содержит строку-идентификатор "MH".

MH.1499

Резидентный безобидный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Не заражает файлы: ASTA*.*, AVG.*, STRO*.*, WIN.*, EMM3*.*, SCAN*.*. Содержит строку-идентификатор "MH", имена файлов содержатся в строке:

execomastaavg.strowin.emm3scan

Michael.1458

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 9, 17h, 21h и записывается в конец EXE-файлов при их запуске или открытии. Блокирует работу с принтером, в зависимости от числа нажатых клавиш проявляется каким-то видео-эффектом, в зависимости от системного таймера перезагружает компьютер, пл 5-м числам при записи в файлы вставляет в записываемую информацию строку: "MICHAEL JACKSON". 31-го октября уничтожает файлы вместо их заражения. Содержит строки:

MICHAEL

Michael Jackson is the king of pop. His unparalleled work gave us : OFF THE WALL, THRILLER, BAD, DANGEROUS and HISTORY. Michael, it would be nice to see you again in Romania!

January 3, 1996 Deva, ROMANIA

Mich_II.924

Неопасный резидентный вирус. Перехватывает INT 21h, 2Fh. При вызове некоторых функций INT 21h ищет .COM-файлы и записывается в их начало. Не поражает файлы COMMAND.COM, IBMBIO.COM, IBMDOS.COM. При инсталляции выводит текст:

Bad command or file name

6-го марта сообщает:

It is March 6th, time for MICHELANGELO ][ to trigger.YES! Another one. This virus is brought to you by:CRYPT KEEPER. HAVE PHUN... :->

и завешивает компьютер.

Michfile.1236

Резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец COM-файлов при их запуске. При обращении к дискам заражает их загрузочным вирусом Michelangelo ("Stoned-March6" ).

Mickie.1100

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Содержит строки:

Mickie lives... somewhere in time! (c) 1995 Grave Lion

Microb.431

Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец .COM-файлов обращениях к ним. По 13-м числам стирает сектора винчестера и выводит текст:

MICROB I

Microbi.312

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит/выводит строки:

Microbi is here!4991 uhcyzrK

MidInfector, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов.

"MidInfector.760,765" содержат строку:

MidInfector by Dark Slayer of [TPVO]

При заражении записывают команду "JMP VirusCode" в середину файла: считывают файл в память, дизассемблируют его код (вирусы содержат в себе примитивный дизассемблер) и "идут" по коду файла до тех пор, пока не наткнутся на команду вызова прерывания, условную передачу управления (Jcc), FAR JMP/CALL и некоторые другие. По тому адресу, где произошла остановка дизассемблера, вирусы записывают команду JMP, передающую управление на тело вируса.

Midnight.2352

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. Иногда заражает файлы некорректно, при запуске они завешивают систему. Вирус содержит строки:

[Midnight] by Antigen/VLADHi Zvi!!  Thanks for inspiring the idea :)

Milan, семейство

Очень опасные нерезидентные вирус. При запуске ищут .COM-файлы и записывается вместо них. В зависимости от текущей даты вирусы пятаются стереть FAT текущего диска или диска C:, но некоторые вирусы содержат ошибку и не делают этого. Содержат строки:

"Milan.AntiNazi.1091":

Copyright by Italian Anarkia Virus Club 1993-ForeverAntiNazi 2.0 - world release - AnarkicalNazisti di m...a, non sapete scrivere nemmeno un simileschifo di virus senza bugs!!!! Eccovelo corretto e rivisto....by Cracker Jack 1993 HVRF....DATEVI AGLI ANTIVIRUS...E'MEGLIO!!This disk was destroyed by Anarkia Anti-Nazi virus

"Milan.Naziskin.270,335":

"Milan.Naziskin.903":

Copyright by German NaZiSkIn Virus Club 1992-ForeverNaziSkin 2.0 - euro release - AntiHebrewThis disk was destroyed by NaZiSkIn Anti-Hebrew viri

"Milan.Sabrina.175":

Sabrina love

"Milan.Verbatim.289":

Verbatim Corporation, Sunnyvale, California U.S.A.Bad command or file name

Milena.1160

Безобидный резидентный вирус. Перехватывает INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. Содержит текст:

LOVE I Love Milena...

MiliKK.1020

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от своего счетчика записывает в MBR винчестера троянскую программу, выводящую при загрузке текст:

M I L I K K

Вирус также содержит строки:

Tabla de particiвn no vаlidaError al cargar sistema operativoFalta sistema operativo

Mindless, семейство

Очень опасные нерезидентные вирусы. Записываются вместо .COM-файлов текущего каталога. В зависимости от текущего времени стирают сектора дисков. Содержат зашифрованный текст:

[Youngsters Against McAffee] -NATAS KAUPASThe Mindless Virus v1.0

Ming, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. В феврале "Ming.491" выводит строки:

Nice To Meet You! Copyright(c) 1-11-1993 By Ming. From Tuen Mun, Hong Kong Version 3.00

"Ming.1017" содержит строку:

Nice To Meet You! Copyright(c) 1-11-1993 By Ming. From Tuen Mun, Hong Kong Version 3.10

Mini, семейство

Нерезидентные безобидные вирусы, крайне примитивны. Записываются во все .COM-файлы текущего оглавления. Характерной особенностью вирусов этого семейства является их небольшая длина. Содержат строку "*.COM".

При заражении файла вирусом "Mini.127.b" длина файла увеличивается на (длина вируса + номер поколения вируса) байт.

"Mini.132" содержит строку "Foxy".

"Mini.200" содержит строку "Tony".

"Mini.207" заражает файлы, в которых имеется участок из 207 подряд идущих нулевых байт. При этом вирус записывается в этот участок и не увеличивает длину файла.

"Mini.233" в пятницу 13-го расшифровывает и выводит на экран: "VirX 3/90".

Mini_HHHH.246

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

The MiNi-HHHH

Minimax

Безобидный нерезидентный вирус. Ищет .COM-файлы текущего каталога и поражает их. Особенностью этого вируса является алгоритм заражения файлов: вирус не добавляет свой код к файлу, а читает файл в себя и записывает результат на диск:

+-------------------------------------------+|3 байта -    | тело вируса    | тело вируса||jmp to virus | (буфер чтения) | 122 байт   |+-------------------------------------------+|<---------  всего - 31125 байт  ---------->|

Длина любого из зараженных файлов равна 31125 байтам. Если же файл не умещается в 'буфер чтения', вирус не заражает его.

При запуске зараженного файла вирус ищет неинфицированный .COM-file и поражает его, затем копирует тело файла по нормальному адресу (100h) и передает на него управление.

Minosse.3072

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. 25-го июля завешивает компьютер. Содержит строки:

Minosse 1v5(c)93 WilliWonka CAMALEOCODE 4.1 by  M.M.M. (c) 1993

Minsk.1075

Резидентный опасный вирус. Прислан из г. Минска. Перехватывает INT 21h и записываются в конец .COM- и .EXE-файлов при их открытии. При каждом 20-м чтении из .DBF-файла вместо считанной информации подставляет пробелы. Содержит опасную ошибку - если вирус создает резидентную копию при запуске из .EXE-файла, то вместо естественного обращения к функциям INT 21h, вызывает INT 15h.

Minzdrav.470

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит текст:

Minzdrav say: Here VIRUS

Minzhou.1024

Очень опасный резидентный вирус. Записывается в конец .COM-файлов. При заражении системной памяти заражает файл C:\COMMAND.COM, затем перехватывает INT 21h, обрабатывает вызовы FindFirst/Next FCB/ASCII и заражает .COM-файлы, к которым идет обращение этими вызовами.

По 1-м числам записывает в .PRG-файлы строку:

This program is designed for the lady whom I will miss for ever,her name is MINZHOU!Now,Thank you use this program.PRGKILLER.SLOFTXC

Также содержит строки:

Inval not foundC:\COMMAND.COM

MIPhT, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в начало запускаемых COM-файлов. Содержат строки:

"MIPhT.460":  <<< To serve and protect. >>>              о00 MIPhT 25.11.94. 00п"MIPhT.905":  <=0 To serve and protect. 0=>              <0 MIPhT 15.09.95. 0>

При запуске какой-то программы (Windows?) "MIPhT.905" перехватывает INT 8 и проявляется видео-эффектом - "крутит" символ '\'.

Демонстрации вирусных эффектов:

MIPHT.COM

MIPT, семейство

MIPT.602

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Блокирует открытие файлов LOGO.PIC, HERETIC.WAD, KB2.DAT. Содержит строки:

logo.pic heretic.wad kb2.datCOMMIPT(75),1995(C),TERMINATOR

MIPT.748

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии, переименовании или чтении/изменении их атрибутов. Содержит ошибки и часто вешает систему. Содержит строку:

(C)Terminator,MIPT(75)

MIPT.2000

Неопасный резидентный вирус. Перехватывает INT 9, 13h, 21h, 28h, 2Fh и записывается в конец COM-файлов при их запуске. При заражении памяти создает файл D:\DOS\COUNT.SYS и затем записывает туда скан-коды вводимых с клавиатуры символов. Вирус содержит строки:

MIPT (72)  (C) EliteSoft February 1996******  50 YEAR PhysTech ******

Mirage, семейство

Неопасные резидентные вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов (кроме COMMAND.COM). После 30-го заражения выводят текст:

Также содержат строки:

MirageCOMMAND.COM

Демонстрации вирусных эффектов:

MIRAGE.COM

Mirage_II.727

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов (кроме COMMAND.COM) при их запуске или открытии. В 9:45, 15:45 и 20:45 выводит сообщение и перезагружает компьютер:

MIRAGE!

Также содержит строки:

commandCOMcomCOMMAND

Miras.640

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит сообщение:

и POR QUE ME MIRAS CON ESA CARA ?и NUNCA HABIAS VISTO UN VIRUS ?

Демонстрации вирусных эффектов:

MIRAS.COM

Mirea, семейство

Резидентные неопасные стелс -вирусы. "Mirea.1766,1773" являются полиморфик -вирусами. Перехватывают INT 9, 21h и записываются в конец COM- и EXE-файлов при их запуске, открытии, смене атрибута или переименовании. Корректируют длину файла при просмотре списка файлов. После 1000 нажатий на клавиши начинают вводить в буфер клавиатуры текст типа "МИРЭА-xxx", где 'xxx' - номер версии вируса. Содержат текстовые строки:

"Mirea.958": HELLO HACKERS FROM MIREA МИРЭА-II"Mirea.1086": HELLO HACKERS FROM MIREA МИРЭА-III"Mirea.1766": HELLO HACKERS FROM MIREA МИРЭА-IV"Mirea.1773": POLYMORPHIC MIREA МИРЭА-VI"Mirea.1813": POLYMORPHIC MIREA МИРЭА-VII

Mirea_II.4157

Опасный нерезидентный полиморфик -вирус. При запуске ищет EXE-файлы и записывается в их конец. При поиске и заражении файлов использует вызовы только по абсолютным адресам (INT 25h/INT 26h). Иногда портит файлы при заражении. В зависимости от значения своего внутреннего счетчика выводит сообщение:

Заранее прошу извинения. Чистая случайность, что ЭТО попало к Вам. По классификации Е. Касперского это типи- чная "студенческая" программа, причем в наихудшем ее исполнении: - портит оверлеи ( если не повезет, то и резиденты тоже ), - портит забитый до отказа диск, - содержит большое число ошибок, - имеет большой размер, и т.д. Чего еще можно ожидать от студента МИРЭА. Ничего гадкого , кроме распространения программа не делает ( я на это надеюсь, хотя от "студенческой" можно ожидать все- го из-за ее крайней примитивности и боль- шого числа ошибок ).

МИРЭА - хороший ВУЗ!!! МИРЭА - это звучит гордо!!! МИРЭАзм не объяснить, в нем надо жить!!!

Вирус также содержит строку: "МИРЭА".

Mirror.4130

Безобидный резидентный стелс -полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Содержит строки:

[ Mirror: Bit Addict / TridenT ]COMSPEC=

Вирус использует крайне необычный способ заражения файлов - "анти-стелс". При обращениях к файлам вирус не заражает их, но подстявляет их код в зараженном виде. Т.е. файл на диске не заражен, но команда DIR возвращает увеличенные длины файлов, а любой редактор показывает, что файл содержит код вируса (при том, что файл не заражен). Для того чтобы заразить файлы необходимо либо скопировать их в расширения не COM/EXE или запаковать каким-либо архиватором (ZIP,ARJ) - т.е. проделать процедуру, совпадающую с процедурой лечения от стелс-вируса.

Mirror.482

Файловый резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец каждого третьего запускаемого .COM-файла. Меняет при этом 4 байта заголовка (JMP Loc_Virus, DB 17h - идентификатор зараженности).

При 1000-м вызове прерывания 21h экран "переворачивается" (верх <-> низ, право <-> лево), а в нулевой сектор (содержащий MBR) первого винчестера записываются коды вируса, при этом первые 5 байт кодов - команда перехода на перезагрузку (JMP FAR F000:FFF0).

Достаточно странно манипулирует с памятью при создании своей TSR-копии (не исключено, что у меня немного "подпорченный" образец вируса).

Mirror.924

Резидентный неопасный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при обращении к ним. При 10-м старте вируса переворачивает экран относительно вертикальной оси.

Mirror.1056

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В марте перехватывает также и INT 8 и через некоторое время меняет начертание знаков на экране (EGA/VGA адаптеры).

Miss-D.1360

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. При заражении шифрует файл-носитель. 10-го декабря перехватывает также INT 9 (клавиатура) и "пропускает" каждый вводимый символ 'd'.

Mithrandir, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и при запуске файлов поражают их.

Mithrandir.447,450,496

Компаньон -вирусы. При запуске .EXE-файла создают .COM-файл с тем же именем, что и у .EXE-файла. Содержат в себе строку "Mithrandir III".

"Mithrandir.496" также содержит строку: "DeMoRaLiZeD YoUtH".

Mithrandir.694

Записывается в середину COM-файлов. Содержит строки:

MithrandirDeMoRaLiZeD YoUtH

Mix, семейство

Опасные резидентные вирусы. Перехватывают INT 8, 9, 14h, 17h, 21h и записываются в конец .COM- (только "Mix.2280") и .EXE-файлов при их загрузке в память. "Mix.2280" зашифрован и содержит текст:

Strike the pauseVogue, you got to Let your body move with the musicI can leave you , say goodbye , i can love u if i try ......Left to my own devices i probely could.

Вирусы семейства проявляются следующим образом: подменяют некоторые знаки при их выводе в порты COM и LPT, при одновременном нажатии Alt-Ctrl-Del изменяют цвет фона экрана, вызывают "падение" символов или запускают "скачущий" шарик, отражающийся от границ экрана. В конце зараженных файлов расположен текст "MIX1" или "MIX2".

Демонстрации вирусных эффектов:

MIX.COM

Mixx.570

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. 28-го февраля форматирует винчестер. Содержит строку:

MiXx

MLTI.830

Резидентный очень опасный вирус. Перехватывает INT 21h и записываются в конец .COM-файлов при их запуске. В пятницу через некоторое время после запуска начинает уничтожать файлы вместо их запуска. Содержит тексты:

MMAND.2048

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске. Файл COMMAND.COM определяет по строке "MMAND.COM".

MMCA, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в запускаемые COM- и EXE-файлы. Содержат строки:

"MMCA.505,882": ММСА_КПИ"MMCA.1131": ММСА КПИ

MMCA.505,882

Безобидны, никак не проявляются. Записываются в конец COM- и EXE-файлов.

MMCA.1131

Зашифрован. Записывается в вередину файлов. Содержит ошибки и может завесить систему при заражении файлов или испортить их.

Mnemonix, семейство

"Mnemonix.A-bomb,Cmagic,DI,Oracle" - неопасные резидентные стелс -вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске или закрытии. При открытии зараженного файла лечат его.

"Mnemonix.ESP,Atomic" - компаньон -вирусы. "Mnemonix.ESP" шифруется.

При окончании работы программ "Mnemonix.Cmagic" проявляют себя одним из 30-ти звуковых эффектов.

"Mnemonix.DI.1173" переименовывает файл SCAN.EXE, заражет как COM, так и EXE-файлы.

Вирусы семейства содержат строки:

"Mnemonix.100%":          [100%] By MnemoniX 1994"Mnemonix.A-bomb":        [A-BOMB V1.0с] By Mnemonix 1994"Mneminix.Atomic.425":     Atomic v1.00   by MnemoniX"Mnemonix.Cmagic.2015":   [CMAGiC/fX] By MnemoniX - v1.00 1994"Mnemonix.Cmagic.2243":   [CMAGiC/fX] By Mnemonix - v1.50 1994"Mnemonix.Dementia.512":  [DP/1] Dementia Praecox by MnemoniX"Mnemonix.Dementia.609":  [DP/2] Dementia Praecox  by MnemoniX"Mnemonix.Dementia.1027": [BW] [DP/4] Dementia Praecox MnemoniX '94"Mnemonix.Descendants":   [Descendants]"Mnemonix.DI.1173":       [Diabolical Ingenuity] by MnemoniX"Mnemonix.ESP.519":       [ESP/Sixth Sense] by MnemoniX"Mnemonix.Moonlight":     Moonlight"Mnemonix.Oracle":        [Oracle] by MnemoniX"Mnemonix.Vicious.918":   [Vicious!] MnemoniX

Menmonix.Gates

Опасные резидентные полиморфик -вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец запускаемых COM- и EXE-файлов. При заражении памяти также открывают файл \CONFIG.SYS, ищут в нем строку "SHELL=" и заражают командный процессор (COMMAND.COM). Не заражают файлы с именами SCAN.EXE и F-PROT.EXE. Портят файлы:

ANTI-VIR.DAT CHKLIST.CPS CHKLIST.MS SMARTCHK.CPS

Также содержат строки:

BILL GATES IS A CON ARTIST[EVOL-1]

и:

"Gates.4223": [GATES-2] By MnemoniX - 1995"Gates.4433": [GATES-1] By MnemoniX - 1995

Menmonix.LoTek.856

Безобидный нерезидентный самошифрующийся вирус. При запуске ищет .COM- и .EXE-файлы и записывается в их конец. Содержит строку: "[BW с]MnemoniX".

Mnemonix.Neuropath

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. Содержит строку:

[Neuropath] MnemoniX

При запуске программ SCAN или CLEAN вызывает стелс -алгоритм, который при открытии файла (для сканирования) подставляет вместо имени файла другое имя, содержащее два байта FFh. Файл с именем FFFFh создается при запуске зараженного файла. В результате SCAN/CLEAN проверяют этот пустой файл вместо реального файла.

Mnemonix.Noise

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Уничтожает файлы SMARTCHK.CPS, CHKLIST.MS, ANTI-VIR.DAT, проигрывает мелодию (просто шумит?) на каком-то типе SoundBlaster, содержит строки:

н!нWHiTE NOiZE!н!MThd MTrkA Little Mood Musiccourtesy of MnemoniX

Mnemonix.Sugar.416

Безобидный нерезидентный самошифрующийся вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строки:

[C6H12O6]Blood Sugar by MnemoniX

Mobius.231

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строки:

ORION Mobius*.COM

Moctezuma, семейство

Резидентные очень опасные полиморфик -вирусы, перехватывают INT 8, 13h, 21h и поражают .COM- и .EXE-файлы при их выполнении. Совершают холостой цикл при вызове INT 8 (timer), периодически заменяют байты в секторах дисков. Содержат текст:

Moctezuma's Revenge

Mohova.659

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит строку:

Mohova N.I. is my love!Ice

Mombasa.3568

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 8, 21h и записывается в конец .COM-файлов при их запуске. При вызове функций FindFirst/Next (команда DIR) вирус ищет .COM-файлы и записывается в них. В зависимости от каких-то условий вирус стирает сектора дисков, вызывает какой-то видео эффект и выводит текст:

I'M GONNA DIE...ATTACK RADICAL!MOMBASA VIRUS (MM 92')

Monarch.1040

Очень опасный резидентный зашифрованный вирус. При запуске ищет .COM- и .EXE-файлы и записывается в их конец. Если таковых файлов не обнаружено, вирус остается резидентным: перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращениях к ним. EXE-файлы заражает как COM, это приводит к их порче.

В зависимости от своего счетчика стирает сектора дисков. При заражении коротких файлов записывает в их начало строку:

This program was written in USSA (c) 1879-1953 Red monarch

Выводит сообщения:

Bad command or file nameError in EXE file

Monday.499

Очень опасный нерезидентный вирус, ищет .COM-файлы и записывается в их начало. По понедельникам сообщает:

I don't like mondays ...

затем форматирует сектора винчестера и завешивает компьютер.

Monika, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. "Monika.686" заражает только COM-файлы, "Monika.1314" заражает файлы также и при вызове функций FindFirst/Next. 8-го октября затирают сектора текущего диска строкой

Monika

Monkey.979

Неопасный нерезидентный вирус. При запуске ищет .COM- и .EXE-файлы и записывается в их конец, возможно повторное заражение файлов. В некоторых случаях вирус расшифровывает и выводит сообщение:

MONKEY!

затем оставляет в памяти небольшую резидентную программу, которая перехватывает INT 1Ch и периодически "играет" с клавиатурой и экраном.

Mono.1063

Резидентный очень опастный вирус. Перехватывает INT 21h и заражает COM-файлы при их выполнении. Безвозвратно уничтожает файлы при их открытии. Алгоритм инфицирования памяти заимствован у вирусов семейства "Cascade" , но при этом совершает ошибку: предпологает, что все блоки памяти, куда садится зараженная программа являются Z-блоками. Активизируется, заражает и уничтожает файлы только при монохромном режиме монитора (7-й режим), откуда и получил получил свое название. Под DOS версии ниже 3.0 не активизируется.

Monster, семейство

Нерезидентные вирусы. Ищут .COM-файлы и заражают их.

"Monster.217,327" очень опасны - записываются вместо файлов не сохраняя их первоначальное содержимое. Содержит тексты:

"Monster.217": [ MONSTER ]*.COM"Monster.327": [ MONSTER ]\ *.* *.COM

Остальные вирусы семейства записываются в конец файлов. Используют антиотладочные приемы и содержат те же текстовые строки.

MonteCarlo, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. В зависимости от текущего времени запускают карточную игру, по результатам которой вирус стирает сектора диска. При этом выводится сообщение:

* C A S I N O - Monte Carlo *

POZOR : Nevypinajte pocitac ! Data z vasho disku su teraz v RAM pamati Jedina moznost ich zachrany je pokracovat v tejto HRE (c) by ILU & QAR . Nelegalne kopirovanie tohto viru sa tresta smrtou.

Konto : 254 stУpVklad : 001 stУpVyhral si: Prehral si: Formatujem Svindlujes

"MonteCarlo.1541" выводит: * C A S I N O - Monte Carlo II *

Демонстрации вирусных эффектов:

MONTECAR.COM

Moon.501

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при обращениях к ним. Содержит код, который перехватывает INT 1Ch и записывает случайные данные в порт клавиатуры, но этот код не получает управления. Содержит строки:

WRAMoon7

Moose, семейство

Безобидные нерезидентные вирусы. При запуске ищут .EXE-файлы ("Moose.353" - .COM-файлы) и записываются в их конец. Содержат строки:

"Moose.353": Moose30 .. *.COM"Moose.468": Moose31 .. *.EXE"Moose.631": Moose32 .. *.* *.EXE

Moran, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 1, 9, 1Ch, 21h, 28h и записываются в конец запускаемых COM- и EXE-файлов. При запуске отладчиков (INT 21h, AX=4B01h) стирают все EXE-файлы в текущем каталоге. Под отладчиком выводят текст:

------------- moran----------------

"Moran.2720" также стирает CMOS и выводит текст:

------------welcome to the world-----------

8-го июня стирают сектора дисков и проигрывают мелодию. При нажатии на Alt-Ctrl-Break выводят:

I LOVE YOU!

Mordor, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в начало .COM-файлов при их запуске (кроме COMMAND.COM).

"Mordor.538" безобиден и никак не проявляется.

"Mordor.1104,1110" очень опасны. Зашифрованы. Записывают в MBR винчестера троянскую программу, которая в апреле стирает сектора дисков. 31-го марта вирусы выводят текст:

Virus MORDOR v1.0Escrito por AZRAEL

Un Anillo para gobernarlos a todos.Un Anillo para encontrarlos,un Anillo para atraerlos a todos y atarlos en las tinieblasen la Tierra de Mordor donde se extienden las sombrasdedicado a PAOLA HASBANISaludos a MURDOCK, MALVINAS, PatoruzU, KOHNTARK y FIRECRAKER

Morgan.470

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. 26-го июля и 6-го декабря выводит текст:

You have been infected by a living MORGANISM

Morgot, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при обращениях к ним. Содержат строки:

"Morgot.823":   MORGOT"Morgot.841":   -=MORGOT 2=-"Morgot.948":   -=MORGOT 3=-"Morgot.1017":  -=MORGOT 3=-

Morgul, семейство

Опасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записывается в конец .COM-файлов при обращениях к ним. При заражении памяти портят адрес внутреннего прерывания VGA и вешают VGA-компьютеры. Содержат строки:

"Morgul.400,401": Morgul"Morgul.424": Smeagol

Morphine.3500

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. При инсталляции в память также заражает COMMAND.COM. Вирус проверяет имена файлов и не заражает антивирусы: F-PROT, TBAV, SCAN. Уничтожает антивирусные файлы данных: ANTI-VIR.DAT CHKLIST.MS CHKLIST.CPS ZZ##.IM

Под отладчиком или 10-го августа вызывает видео-эффект и выводит текст:

RELIGIOUS VOMIT! MORPHINE-A VIRUS 0.6.4

Вирус также содержит строки:

[Morphine-A] 0.6.4by Ren HoЙkBA.Argentina

Greets to: PJanes,Rat,Largus & the girlsKill the talking bastard! kill him! Juap!ok..rec-tunn stolen from Vlad Mag.

COMSPEC=

Демонстрации вирусных эффектов:

MORPHINE.COM

Morse.1060

Резидентный неопасный вирус. Перехватывает INT 1Ch, 21h и записывается в конец в .EXE-файлов. Проявляется морзянкой, пищащей через спикер компьютера.

Демонстрации вирусных эффектов:

MORSE.COM

Moskau.800

Безобидный нерезидентный зашифрованный вирус. Ищет COM-файлы в текущем каталоге и записывается в их конец. Никак не проявляется. Использует антиотладочные приемы. Содержит строки:

<MOSKAU98>Stas*.com

Mosquito_II.512

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Никак не проявляется. Содержит строку:

MOSQUITO K1K (c) 1996

Mosquito.768

Опасный резидентный вирус. Перехватывает INT 10h, 21h и записывается в середину EXE-файлов при их запуске. При заражении может испортить файлы. При выводе на экран некоторых символов вирус пищит динамиком компьютера. Содержит строку:

vMosquito.(Crazy)

MotherShip.655

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Никак не проявляется. Содержит строку:

MoTHER  MotherShip (c) 1994 Stormbringer

Mpei.4772

Неопасный (Безобидный) резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, создании или открытии.

Если установлена сеть Novell, вирус в зависимости от своих счетчиков посылает всем пользователям сети сообщение:

ОЙ! ДОСТАЛИ ЛАМЕРЫ !!!

По пятницам записывает в MBR винчестера программу, которая выглядит как недоделанный загрузочный стелс-вирус: инсталлирует себя в память, перехватывает INT 13h, "прячет" зараженный MBR при обращениях к нему. В этой программе отсутствует только одна "вирусная" подпрограмма - процедура заражения дискет.

Вирус содержит строки:

COMSPEC=NAME: MPEIДанилов ты ЧАЙНИК,ТАКОЙ ЖЕ КАК И БИЛЛИ ГАТЕС(ТЫ ПОЙМЕШЬ).Тозмоза, вирус, которому дал имя AMD назывался не AMD ,а Windows 95 MUST DIE !!!а строчку Windows 95 MUST DIE !!! он слал в виде мессаги по сети.Принеси свои извинения и ,кстати, напиши Upgrade для юзеров.DRWEB очень хорошо разносит заразу по винту. Эффект на 1000%И еще, лучше бы ты через DMA бластер программил !Жду версий под Вынд0уz 59, вот там ты поработаешь через DMA.Балбес, ты Лозинского без работы оставил !!!Copyleft (c) Down'niloff Corp.,2000. All Lefts Preserved. Григорчук.

MPS, семейство

Нерезидентные безобидные вирусы. Ищут и записываются в конец .COM-файлов текущего каталога. Заменяют начало файла на команды INC AX, JMP Loc_Vir. Никак не проявляются. Содержат тексты:

*.COM(C) MPS-OPS 1991

MPS.682

Резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .EXE-файлы. Содержит зашифрованную строку:

Przepraszam wszystkich, ktorzy ucierpieli z powodu niedoskonalosci moich wirusow oraz p.Sella za ich prymitywna budowe. Niestety, dopiero zaczynam wkraczac w swiat jezyka maszynowego. Marek Pande (C) MPS-OPC v4.01

MPS.754

Резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и .EXE-файлов. Содержит зашифрованную строку:

(C) MPS-OPC v4.12

MPTI.1536

Очень опасный резидентный вирус, частично зашифрован. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущей даты портит boot-сектора и стирает CMOS. Содержит строку:

AIDSTESTVL(C) S.A.- MPTI,1992.

MQ.278

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в начало создаваемых .COM-файлов. После заражения 13-го файла блокирует запуск программ и выводит текст:

Fuck off

Также содержит строки-идентификаторы:

MQMW2

MR.962

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или открытии. Содержит ошибки и может завесить систему. По 17-м числам стирает файлы вместо их заражения. Содержит строки:

(c) MR7666T910D

Mr_G, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы текущего каталога и записываются в их конец. Содержат строку:

Mr.G

Mr_Gu, семейство

Резидентные вирусы. Перехватывают INT 21h и при вызове функции DOS ChDir (INT 21h, AH=3Bh) ищут COM-файлы и записывается в их конец. Содержат строки:

*.comMr.Gu

Mr_Gu.545

Неопасен, при заражении файлов меняет цвет границ экрана.

Mr_Gu.635

Безобидный зашифрованный вирус. Поражает файлы также при их запуске. Заражает COMMAND.COM единственной версии DOS, при этом записывается в середину файла, в результате чего его длина не возрастает.

Mr_Twister

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

Mr. Twister 1994,1

Mr_D, семейство

Неопасные резидентные вирусы, "Mr_D.1569" зашифрован. Перехватывают INT 21h, 2Fh и записываются в конец EXE-файлов. При запуске запрещают трассировку. Периодически перехватывают INT 1Ch и либо сдвигают экран, либо перемещают по нему символы. Содержат тексты:

"Mrd.1024":  hhhh....BajaBongo czyli zemsta sHAZZA'y...<><><>..."Mrd.1536":  Mr. D"Mrd.1569":  VIR MKS AV NV TB             PU             Mr. D  ,Fuck DHWD from 048030, 048012670020 the worst...

Демонстрации вирусных эффектов:

MRD.COM

MREI.313

(c)KosKon.MREI.v3.93

MRTI, семейство

Неопасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 17h, 21h 27h и записывается в конец .COM-файлов. "MRTI.577" заражает файлы при их запуске или загрузке в память. MRTI.644" при чтении из файлов или удалении файлов ищет .COM-файлы и заражает их.

В зависимости от своих внутренних счетчиков вирусы либо вызывают ROM basic, либо выводят на принтер сообщение:

>>   Привет от АНДРЕЯ МРТИ~93   <<

MrTwister, семейство

Очень опасные нерезидентные вирусы. При запуске ищут файлы и записываются вместо них. Содержат/выводят строки:

"MrTwister.12288"

Enter Correct key for accessYou must Pick a number from 1 to 10Good Job, you were Lucky...Please try again when you feel luckyMr. Twister was here

"MrTwister.16384":

Enter Correct key for accessGood Job, you were Lucky...Opps Wrong Key Your ScrewedMr. Twister was here

Mrvirus.508

Нерезидентный безобидный вирус, ищет .COM-файлы и записывается в их конец. Содержит тексты:

Mr.Virus Ver. 1.10 *.COM

Ms.1006

Безобидный нерезидентный вирус. Трассирует INT 13h, 21h, 26h, 40h, затем ищет .COM-файлы и записывается в их конец. Никак не проявляется. Содержит строки:

*.comMs

MS.748

Очень опасный нерезидентный вирус. Записывается в начало .COM-файлов. У атрибутов пораженных файлов устанавливает бит архивации. Содержит текст "MS*.COM *.EXE". В субботу в 5:00 утра "убивает" .EXE-файлы: записывает в их начало программу, которая при запуске стирает случайное число секторов винчестера, а затем заполняет экран "мусором".

Mshark, семейство

Безобидные вирусы. Записываются в конец файлов. Содержат тексты:

"Mshark.373,378": (C) Mshark-S v.1.0"Mshark.889":     (C) Mshark v2.10 1992

Mshark.373,378

Нерезидентен. Ищут все .COM-файлы текущего каталога и поражает их.

Mshark.889

Резидентен. Перехватывает INT 21h и поражает .COM- и .EXE-файлы при их запуске.

Msk.272

Нерезидентный очень опасный вирус, ищет и записывается вместо всех .EXE-файлов текущего каталога. Стирает сектора дискa C:. Выводит на экран текст:

The Midnight Serial Killer is roaming in your computer...Beware! [JD]

MSTU, семейство

Нерезидентные очень опасные вирусы. При запуске ищут .COM- и .EXE-файлы текущего оглавления и записываются в их конец. Могут необратимо портить файлы при их заражении. Содержат тексты:

This program was written in MSTU, 1990*.exe *.com

MSU.271

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. Содержит строку:

MSU-Virus v1.0:The StartUp !

MSU4.2000

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- (кроме COMMAND.COM) и EXE-файлов при их запуске или открытии. Содержит ошибку - завешивает систему при заражении EXE-файлов. При заражении создает файл DOC_MOC.MOC, записывает туда вирус, затем тело файла и переименовывает DOC_MOC.MOC в имя файла. Содержит строки:

MSU 4 113 P.D. 1994

Mte-Small, семейство

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в начало COM- и EXE-файлов при их запуске. Выводят сообщение и завешивает компьютер:

"Mte-Small.Mega":

FORMULA 1: I love this competition. Coulthard will be the winner.

"Mte-Small.Sepultura":

Virus is dedicatedin memory of my friend Igor.CHAOS A.D.

Также содержат строки:

"Mte-Small.Mega":

MEGADETHMtE-small by Keith Timmons.MetallicA

"Mte-Small.Sepultura":

Shurick's MtE-smallSEPULTURA

Демонстрации вирусных эффектов:

MTESMALL.COM

MTZ, семейство

MTZ.971

Неопасный нерезидентный самошифрующийся вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку "MTZ Virus 1.0 - From Italy", в зависимости от текущего времени выводит текст: "You are lucky. Full moon tonight.!".

MTZ.1907,2624

Неопасные резидентные полиморфик -"стелс" -вирусы. При запуске проверяют версию DOS и заражают системную память только под DOS 5.0 или выше. Если есть свободный блок UMB достаточной длины, вирус копирует себя в область UMB-памяти. Файлы заражаются при вызове функций DOS FindFirst/FindNext. При открытии зараженных файлов вирусы восстанавливают их в первоначальном виде.

"MTZ.1907" перехватывает INT 3h, 15h, 21h. INT 3 используется для расшифровки вируса, INT 15h вызывает видео-эффект, INT 21h используется для перехвата обращений к файлам. Записывается в конец COM-файлов. При нажатии на Alt-Ctrl-Del выводит сообщение:

Y.K.K. - (c) M T Z - Italy!     Good Luck Today

"MTZ.2624" перехватывает INT 21h и записывается в конец EXE-файлов (кроме SCAN.EXE). В зависимости от значения системного таймера выводит сообщение:

   Overkill IV Virus - By MTZ - From Italy - <Hit any key to continue>(Cazzo! Anche oggi un altro 2 di picche, ma si puo' andare avanti cosi' ?)

MTZ.Pink.4510,5081

Неопасные резидентные "стелс" -полиморфик -вирусы. При запуске проверяют версию DOS (работают только под DOS 5.0 и выше) и копируют себя в UMB-память. Если таковая отсутствует, то копируют себя в обычную память, корректируя MCB-блоки.

Затем вирусы трассируют INT 21h: перехватывают INT 06h (undefined opcode), выделяют блок XMS-памяти, копируют туда код и данные DOS, стирают DOS байтами FFh и вызывают INT 21h. При вызове этого прерывания управление передается по цепочке команд в область DOS (через резидентные программы, перехватившие INT 21h). Цепочка команд обрывается в DOS, поскольку процессор не может выполнить инструкцию FFFFh (она отсутствует в списке команд процессора Intel), в данном случае процессор вызывает INT 06h. Вирусы перехватывают этот вызов и запоминают адрес, откуда он пришел (а это есть в точности адрес DOS'овского обработчика INT 21h). Затем вирусы восстанавливают код DOS (копирует его назад из XMS) и освобождают блок XMS.

Вирусы перехватывают INT 21h, кроме того "MTZ.Pink.4510" перехватывает INT 25h, а "MTZ.Pink.5081" - INT 13h. Перехват INT 21h используется для заражения файлов и "стелс"-механизма, INT 13h/25h - для организации "стелс"-механизма на уровне INT 13h/INT 25h.

Файлы поражаются при вызове функций запуска и закрытия файлов. Вирусы поражают только EXE-файлы и записываются в их конец.

Вирусы содержат строки:

"MTZ.Pink.4510":  - The Pink Panther - (c) MTZ Sept. 1993 Italy

"MTZ.Pink.5081": - The Pink Panther 2 (*The Last One*) - (c) MTZ '1 Jan 1994' Italy Dedicated to Federica! [MTZ 1994]

31-го декабря "MTZ.Pink.5081" выводит этот текст на экран.

Демонстрации вирусных эффектов:

MTZ.COM

Muhamor.4608

Опасный резидентный дважды зашифрованный polymorphic -вирус. Перехватывает INT 12h, 21h и записывается в начало COM- и в середину EXE-файлов при их запуске или открытии. По причине ошибок портит некоторые EXE-файлы при их заражении. Не заражает файлы: *WE?.*, *AN?.*, *38?.*.

В зависимости от своих случайных счетчиков дорисовывает изображение мухомора к стандартным лого выхода из Windows95/NT ("Please wait while your computer shuts down" и "It's now safe to turn off your computer").

Содержит строки:

.E.C.e.cXEOMxeomweANanaNAnWE38Muhamor virus ver 1.1Краснодар 1997г.Version 1.1C:\WINDOWS\LOGOS.sysC:\WINDOWS\LOGOW.sys

Демонстрации вирусных эффектов:

Muhamor.GIF

Multi.2560, семейство

Безобидные резидентные стелс-вирусы. Перехватывают INT 21h и записываются в конец COM-, EXE-, SYS- и OVL-файлов. При инсталляции сканируют коды обработчика INT 21h в DOS и заменяют вызов прерывания 2Ah (MOV AH,82h; INT 2Ah) на команду перехода на вирус. Содержат в себе коды вирусов "Small .123,131" (Multi.2560.a) и "Small.104,110" (Multi.2560.b), и периодически запускают одного из них. При заражении файлов их дата увеличивается на 100 лет. Файлы, у которых установлен атрибут Read-Only не заражаются. Лечат файлы при их запуске под отладчиком. Содержат текст:

MultiVirus(R), Release 1.0, Copyright (c) 1990-91 by Андрюшка

MultiLevel.3072

Очень опасный резидентный полиморфик -стелс -вирус. Трассирует INT 21h, перехватывает INT 22h (Terminate), возвращает управление программе-носителю, ждет окончания ее работы, затем перехватывает INT 21h и остается резидентно в памяти.

При обращениях к COM- и EXE-файлам записывается в их конец. При заражении файлов шифрует их полиморфик-кодом, в котором может присутствовать несколько циклов расшифровки. Количество циклов выбирается случайно в зависимости от системного таймера. При чтении, записи или открытии зараженных файлов вирус выполняет стелс-подпрограмму, при этом в некоторых случаях лечит файл.

Вирус проверяет имена файлов и не заражает:

*AIDS*.EXE *CHKD*.EXE *WEB*.EXE *SCAN*.EXE *PROT*.EXE *AR*.EXE *ZI*.EXE *TB*.EXE *COMM*.COM *WIN*.COM

В зависимости от системной даты (воскресенье 2-е, понедельник 4-е, вторник 6-е и т.д.) вирус стирает сектора винчестера и перезагружает компьютер.

Вирус содержит строки:

Multilevel Encryptor v1.0. Generation:-=Killer=-8 in 1

Mummy, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске или открытии. Периодически стирают FAT текущего диска. Содержат зашифрованные тексты:

"Mummy.1353":

Mummy Version 1.0Kaohsiung Senior SchoolTzeng Jau Ming presents

"Mummy.1364":

PC Virus Mummy Ver. 2.1Kaohsiung Senior SchoolTzeng Jau Ming presents

"Mummy.1399":

Mummy Version 1.2Kaohsiung Senior SchoolTzeng Jau Ming presentsSeries Number = [xxxxx]

"Mummy.1489"

>Mummy Version 1.00.00<Kaohsiung Senior SchoolTzeng Jau Ming presentsSeries Number = [xxxxx]

Muminki.902

Неопасный нерезидентный зашифрованный вирус. Ищет COM-файлы в текущем каталоге, затем в каталогах C:\ и C:\DOS, затем записывается в конец обнаруженных файлов. В зависимости от системного таймера выводит одно из сообщений и выходит в DOS:

IZK=Muminki;-)) Big smile for Guciu,Ganz,MadMi,Toros etc.$Out of memory

Также содержит строки:

*.com C:\*.com C:\DOS\*.com COMMAND.COM

Munich.2355

Нерезидентный очень опасный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. В их начало записывает 12h байт команд перехода на тело вируса. Содержит строку "*.COM *.*", периодически стирает сектора дисков и сообщает:

Are you sure? YFast Winchester-Format (SZKI (c) 1988) StartedControl-number of 10 cylinder per units:C O M P L E T E D ...

ЪdvФzli Щnt a MБnnich Ferenc Tаrsasаg!Unrecoverable system error, system haltedROM-error at F000:018B during low DMA, please contact yoursystem engineer or local dealer - system haltedWarning: some memory segments have been overwritten!System crashed by unauthorized access, explosion DANGER!!!

Murcia.4651

Неопасный резидентный частично зашифрованный вирус. При запуске ищет .COM-файлы (кроме COMMAND.COM) в дереве подкаталогом диска и записывается в их начало. Не заражает файлы, если обнаруживает файл FLOWEROF.MAY. Затем перехватывает INT 8, 21h и при запуске любых файлов ищет и заражает .COM-файлы тем же способом, как описано выше.

Через два месяца после заражения компьютера вирус создает файл MURCIA!!.nnn ('nnn' - какой-то счетчик в вирусе)и записывает в него строки:

MURCIA (SPAIN): THE BEST PLACE IN THE WORLD!WHERE THE PEOPLE MAKES VIRUSES FOR YOUR COMPUTER!NOW, IN SPANISH:иSABES LO FACIL QUE RESULTARIA BORRARTE TODOSLOS FICHEROS DEL DISCO? O MEJOR AUN: FORMATEARLO.QUE PASES UN FELIZ DIA.

Затем вирус вызывает звуковой и видео-эффекты. Также содержит строки:

BOYA_PARA_MOVFLOWEROF.MAY COMMAND.COM MURCIA!!.003

Демонстрации вирусных эффектов:

MURCIA.COM

Murderer.3670

Очень опасный резидентный вирус. Перехватывает INT 5, 8, 13h, 17h, 21h и при вызове DOS-функции CloseFile ищет и заражает .COM- и .EXE-файлы. Записывается в начало COM-файлов, EXE-файлы заражаются методом компаньон . Вирус стирает сектора дисков, 3-го июля выводит текст и проигрывает мелодию, иногда выводит на принтер:

To the human:The emperor of darkness "Satan" has came back from hell, and he will destroythe world, all human will be take to the horrendous darkness. But one man whocan fight with Satan, "Son of brightness" has born. He will lead us to fightwith Satan, and kick him back to the hell. So, hurry up, go to Taiwan to findour rescuer ==> Chinq-shyang Lay. << All augur >>

Вирус также содержит строки:

<<<  MURDERER  Version  1.44  >>>IBMBIO.COMIBMDOS.COMCOMMAND.COMSHEAU-YN.LINBad command or file name

Демонстрации вирусных эффектов:

MURDERER.COM

Murphy, семейство

Резидентные неопасные вирусы. Быстро размножаются - записывается в конец файлов при загрузке их в память и при открытии файлов. Перехватывают INT 1Ch, 21h.

"Murphy.1277" через некоторое время после активизации начинает издавать мерзкий свист очень высокого тона. Содержит текст:

I'm Murphy. Nice to meet you friend. I'm written since Nov/Dec. Copywrite (c)1989 by Lubo & Ian, Sofia, USM Laboratory.

Некоторые вирусы семейства проявляются так же, как и вирус "Ping-Pong" : запускают "шарик" ("Murphy.1521,1480"), "шарики" ("Murphy.1399") или "рожицу" ("Murphy.1614"), которые перемещается по экрану, отражаясь от его границ. Содержат тексты:

"Murphy.1399": SaThAnYk Possession, (c) by Cracker Jack 1991 Italian Virus Research Laboratory Your PC is possessed by the Devil!!!!

"Murphy.1417": GEMETERY

"Murphy.1008,1219,1221" уничтожают .ZIP-файлы.

"Murphy.1040": по 24-м числам ежемесячно стирает сектора HD. Содержит зашифрованный текст: "MiL Learn from".

"Murphy.1098" безобиден, содержит текст:

Kamasya nendriya pritirlabho jiveta yavatajivasya tattva jijnasanartho yas ceha karmabhih

"Murphy.1171" заражает только EXE-файлы, COM-файлы стирает. При запуске EXE-файлов в понедельник форматирует FAT диска C:. Содержит текст:

Diabolik Ltd.

"Murphy.1172" заражает только EXE-файлы, COM-файлы стирает. В субботу форматирует FAT диска C:. Содержит текст:

Cannot remember what I was doing!!Insert fingers in ears and reboot please

"Murphy.1399" после заражения файла выводит на экран фразу "Bad command or file name" и возвращается в DOS.

"Murphy.1682" при запуске или открытии файлов *AN.?XE, *HA.?XE, *IP.?XE, перезагружает DOS. При запуске или открытии EXE-файлов в четверг форматирует FAT диска C:. При запуске или открытии COM-файлов в понедельник пытается стереть их с диска. Содержит текст:

Gli Dei si mostreranno agli uomini,Quando essi saranno autori di grande conflitto,Prima il Cielo visto sarЕ con spada e lancia,Che verso la mano sinistra porterЕ piЧ grande afflizione.

Alla rivoluzione del grande numero sette,ApparirЕ ai tempi giochi d'Ecatombe,Non lontano dalla grande etЕ del millennioColoro che entrarono usciranno dalle loro tombe.

Saint-RВmi, 14 dicembre 1533

"Murphy.1835" при запуске или открытии файлов с именами *AN.*, *HK.*, *HA.* с расширением COM или EXE перезагружает DOS. Файлы с именем *ND.* (COMMAND.COM) не заражает. По пятницам спрашивает "Is today Friday? (Y/N)", если ответить "Y", то вирус ответит "Sorry but on Friday I wish not work!!" и откажется работать. Если же ответить "N", то вирус отформатирует FAT диска C: и сообщит: "You are untruthful!! For punishment I format your HD Fat!!" Также содержит тексты:

"Murphy.1841" такой же как "Murphy.1835", но он содержит другие тексты:

Sorry but on Friday I wish not to work!!You are untruthful!! For punishment I'll format your HD Fat!!This virus was written in Italy by Cracker Jack 1991 IVRLAll rights reserved, please don't crack this virus!Special message to Patricia Hoffman: I love you!!!!!!!! SmackSmack!!Can you give me your telephone number??? Ciao bellissima!Is today Friday? (Y/N)

"Murphy.1951" при запуске или открытии файлов с именами *AN.*, *HK.*, *PS., *ND.* с расширением COM или EXE форматирует винчестер. Содержит текст:

Virus Research LaboratoryPatricia does not function correctly, because I haven't run it before send.Now I'm debugging it...ehehehehehahahahahahahSmack Virus....what a horrible name!!!!!!!!!!!!!!!!!!!Compliments to the Dark Avenger for the nice viruses...excuse me if I create some variants of your beautiful viruses...Viruses are a nice thing!!What a horrible program, i wish not execute it!I'm hungry!! Why don't you buy me a Cheesburger??Goblin the Black Death  (c) by Cracker Jack IVRL '91

Murphy.Amilia

Проявляется прыгающей по экрану рожицей (см. "Ping-Pong" ), содержит тексты:

antidebAmiLiA I Virii  -  [NukE] i99i   By Rock Steady/NukEAmiLiA I Virii - [NukE]AmiLiA I Virii - [NukE]Released Dec91 Montreal(C) NukE Development Software Inc

Murphy.Badtaste

Murphy.Bhak

Перезагружает компьютер при запуске файлов с именами *AN, *LD, *RJ. 15 апреля уничтожает запускаемые EXE-файлы, а по субботам - COM-файлы. Содержит тексты: "Bhaktivedanta Swami Prabhupada (1896-1977)", "*.EXE".

Murphy.Grog

Содержит строки:

0OVILE0Grog0GROG4EVER00_\(0_0)/_0>-> Ovile (C) '93 by GROG - Italy <-<

В зависимости от значения системного таймера выводит текст:

C'erano una volta due topi che vivevano in un museo.Una sera, dopo la chiusura, il primo topo si infilo' nella vetrina contenentele uova di uccelli rari.Prima di accorgersene, si era gia' perso."Aiuto!", grido' al suo amico."Aiutami a uscire dall'ovile!"

Murphy.Lock

В апреле сообщает: "Password ->" и ждет ввода с клавиатуры. При некоторых условиях вирус добавляет: "Password accepted!" и продолжает работу либо выводит "Incorrect Password, sorry!" и выходит в DOS. Также содержит строки

(c) IVRL 1991 (Ivrl Head Quarter, Milan Italy)all rights reserved!!!Locker Viri - Created by Cracker Jack 1991

Murphy.Migram

По субботам форматируют диски, выводят текст:

+--------------------+|  MIGRAM VIRUS 1.0  ||    (C) 1991 IVL    |+--------------------+

Murphy.Napalm.2326

Очень опасный вирус. В зависимости от текущего времени либо форматирует диски, либо заражает их вирусом "Stoned.Military" , либо выводит сообщение:

Napalm Death virus 1.0 (C)reated by Cracker Jack 1992 IVRL All rights res.Special thanks to Maria....for the good idea!!!!

Murphy.Nuke

Очень опасный вирус, содержит тексты: "NUKE!", "TORMENTOR,soldier of -=DY=-", "[Thanks DAv!] DEMORALIZED YOUTH!". По вторым числам ежемесячно стирает содержимое диска C:.

Murphy.Pest

Очень опасный вирус, по пятницам стирает *.COM-файлы, сектора на дисках. Содержит много текста, некоторые фразы выдает на экран:

(c) by Cracker Jack 1991 Italian Virus Research LaboratoryCreated,Developed and Written by Cracker Jack, All rights reservedWhat a horrible program, i wish not execute it!Con questo virus dichiaro guerra a tutti i POVERI (ahhh quanto sono poveri!)cosiddetti 'Virus Researchers' del globo...provate a prendermi..ahahahahl'IVRL e'forte.....vincerЕ!!!! Virus Writers di tutte le nazioni...uniamci!I'm hungry!! Why don't you buy me a Cheesburger??Your PC is infected with the Intergalactic Pest!

Murphy.Tormentor

Очень опасный вирус, уничтожает PAS-файлы, содержит строки:

*.PAS-=0TORMENTOR!0=-

Murphy.Woodstock.1219

Уничтожает файлы *.HLP, содержит строки:

+---------+---+---+--+----+-----+|Woodstock|(C)|'93|by|GROG|Italy|+---------+---+---+--+----+-----+>>4/93<<-=0 Povero Woodstock... Se vola piu' altodi tre metri, gli esce sangue dal becco. 0=->>4/93<<

Murphy.David

Семейство "Murphy" . Резидентный очень опасный вирус. Перехватывает INT 8, 21h и заражает COM-, EXE- и OVL-файлы при их запуске. Через некоторое время после активизации "запускает" несколько разноцветных шариков, в беспорядке перемещающихся по экрану (эффект напоминает движение шарика у вируса "Ping-Pong" ). По вторникам зараженные EXE-файлы пытаются форматировать диски. Содержит текст:

(C) David Grant Virus Research 1991 PCVRF Disribuite this virus freely!!!...ah...John...Fuck You!

Murphy.Delyrium

Семейство "Murphy" . "Delyrium.1638" неопасен. В январе он 'трясет' экран. Содержит строки:

I'LL REALLY MOVE YOU!!!......PRESS ANY KEY TO DANCE!!!Created by Cracker Jack 1991(c) IVRL 1991 (Ivrl Head Quarter, Milan Italy)This virus is a variant of Delyrium (c) by Cracker Jack IVRL

"Delyrium.1788,1780,1788" содержат текст: "(c) IVRL 1991 (Ivrl Head Quarter, Milan Italy)". В ноябре уничтожают все файлы текущего каталога, пытаются отформатировать винчестер и сообщают:

Delyrium Virus - Created by Cracker Jack 1991Copyright by Italian Virus Research Laboratory 1991.....because the dead is not so far....and the horror will be with you

"Murphy.Delyrium.1659,1752" в мае форматируют винчестер. Расшифровывают и выводят текст:

Delyrium III Virus - Created by Cracker Jack 1992 - (c) by IVRL

God save your Hard Disk.....lamer!!!!

Murphy.Digger

Семейство "Murphy" . При запуске копирует себя в памяти по адресу 9000:0000 без изменения блоков MCB, что может привести к зависанию компьютера. Некорректно заражает файлы, длина которых кратна 100h. Также перехватывает INT 10h и в 10:00 и в 17:00 выводит на экран картирку. Содержит строку:

DIGGER IS MY LOVE!

Демонстрации вирусных эффектов:

MURPHY.COM

Mururoa, семейство

Неопасные резидентные зашифрованные стелс-вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечат их. Не заражают некоторые антивирусные утилиты (см. строку с их именами ниже). "Mururoa.2467,2483" содержат ошибку и портят EXE-файлы при их заражении.

По 4-м числам "Mururoa.2464,2467,2483,2529" выводят текст:

+-------------------------------------------------+|   I have one mesage to all people on earth :    || Stop all French nuclear testing in the PACIFIC  || Dont forgot :Comon people dont like nuc. tests! ||      This is is a MURUROA  1.386 by Blesk       ||    PLUTONIUM IS BETTER IN POWER-PLANT !!!!      ||  My greet to VYVOJAR,SVL,METABOLIS and all IRC. |+-------------------------------------------------+

4-го, 8-го и 20-го мая "Mururoa.3443,3449" выводят:

+-------------------------------------------------+|   I have one mesage to all people on earth :    ||-------------------------------------------------|| All French nuc. test`s was STOPED. But MURUROA  ||  IS DEAD !!!!! I am a coder of HELL FIRE and I  ||   BRING  YOU  >>>>>> FIRE <<<<<< By Blesk/SVL   ||NOTE:    Name of this virus is [MURUROA_END]     || By Blesk from Slovak Virus Laboratories at .SK  || Real name of BOZA is BIZATCH.. STUPID A-VERS !!!||    PLUTONIUM IS BETTER IN POWER-PLANT !!!!      || My greet to: VYVOJAR,SVL,VLAD,SKIMS,40-hex,IR   ||-------------------------------------------------|| And to some my friends:    DJ.Milan,DJ.Maros,   || DJ.Babula(Baby),TINA-huhu,DURO,LACI,Duffy,Kaaa, || Stano ...and more... A zdravim Mira Trnku  8))  |+-------------------------------------------------+

Вирусы также содержат строки:

.exe .com avg fv386 turbo fv86 guard toolkit scan virlab vir asta vc sswap debug td stacker alik rex msav cpav nod clean f-pro tbav tbdriver tbclean tbscan avast nav vshie dizz command vsafe

"Mururoa.3443,3449":

I am in LOVE now... ZUZANKA B.B. in Slovakia <:)<8<I love PC Revue ....For M.T.: Vivat Ziar nad Hronom.. 8)) Uz si rad ??RADAR v PC Revue 9/94

MustDie, семейство

Безобидные резидентные вирусы, "MustDie.1253,1473" зашифрованы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске, переименовании и чтении/записи атрибутов файла. Никак не проявляются. Содержат зашифрованный текст "COMEXE" и строки:

"MustDie.1207":   MUSTDIE v.1 (a)  <Роганов Е.А. must die>  МГИУ(C)1996-97

"MustDie.1253":  MUSTDIE v.2 (a)  <USERS of the wold must die>  МГИУ(C)1996-97

"MustDie.1473":  MUSTDIE v.3 (a) <RAP&POPS must die, GABBER forever !> МГИУ(C)1996-97

Mutant, семейство

Резидентные неопасные полиморфик -вирусы. Трассируют INT 21h, перехватывают INT 1Ch, 21h и поражают выполняемые COM- и EXE-файлы. Проявляется "треском" в динамике компьютера, содержат текст:

mutant

Используют два достаточно сложных алгоритма. Первый обеспечивает "полиморфичность" вируса (длина расшифровщика колеблется от 65 до 149 байт). Второй алгоритм используется при заражении файлов:

- в заражаемом файле определяются адреса постоянных участков кода (т.е. таких участков, все байты которых равны одному и тому же значению), причем если суммарная длина этих участков меньше 1744 байт (длины вируса), то файл не заражается;

- постоянные участки компрессируются, их адреса, длины и содержимое сохраняются в вирусе;

- в файле выбирается участок длиной 1744 байт, коды которого копируются в освобожденные (скомпрессированные) постоянные участки файла;

- в освободившееся место записывается вирус.

В результате при заражении файла его длина не увеличивается. Вирус поражает файлы многократно, до тех пор, пока в файле есть постоянные участки кода/данных.

Демонстрации вирусных эффектов:

MUTANT.COM

Mutator, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записывают себя в конец запускаемых COM-файлов. Содержат ошибки и не всегда заражают файлы корректно.

"Mutator.307" не проверяет формат файла и расширение его имени, по причине этого заражает также и EXE-файлы (как COM). Содержит текст: "Mutator v2.0b".

"Mutator.459" содержит текст:

MUTAtOR (C) Mutation Inc.

"Mutator.780" зашифрован. Под отладчиком выводит текст:

Fuck you, asshole!!! You're using a Debugger!!!

30-го октября выводит текст:

Hey! Holloween almost here!Better be good, or the demon's will get you!

Также содержит строку:

[Mutator] C/B: MainFrame [Mutation INc.]

MutInt, семейство

Резидентные опасные самошифрующиеся вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Иногда заражают файлы некорректно - они зависают при запуске. Содержат строку:

The Mutating Interrupt Virus RABID`S Back and Kicking in `93 -Soltan Griss-

Используют новый метод самошифрации: перед заражением ищут в себе команды INT 21h (CD21h) и заменяют их на код CDxxh, где 'xx' - случайный байт. При запуске вирус восстанавливает эти CDxxh назад в CD21h.

MVF, семейство

Резидентные неопасные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов. Содержат строку-маску "*.COM", периодически выводят на экран сообщениеe:

THE MVF-FILEVIRUSProgrammed 1991 by the MVF MAD Virus Factory

Содержат также строки:

No. 0001" либо "28/9/91 - V1.6

Mws.788

Безобидный резидентный вирус. При запуске записывает себя в видео-память и перехватывает INT 10h, 21h. Перехватчик INT 10h отвечает за то, чтобы копмьютер не завис при смене видеорежима (так как тело вируса может быть уничтожено при этом). При таком вызове вирус удаляет себя из памяти - и компьютер продолжает нормально работать. Обработчик INT 21h перехватывает DOS функцию 'Выполнить', и вирус записывается при этом в конец COM-файлов. К особенностям вируса можно отнести также тот факт, что он вызывает функции DOS через функцию 5D00h прерывания 21h. Вирус также содерджит зашифрованную строку:

(C)MWSoft,1993 Rookie

Mx.335

Безобидный резидентный EXE-вирус. Перехватывает INT 21h. Никак не проявляется. Содержит в себе слово "MX".

MyChild.1000

Безобидный резидентный вирус. Трассирует и перехватывает INT 21h, записывается в конец COM- и EXE-файлов при обращении к ним. Содержит строку:

My Child...K-on-A

MZV.333

MZV 2 !!!

Mind.1758

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. 15 мая стирает CMOS. По воскресеньям в 2 ночи выводит текст:

This program is infected by one of your viruses.Would you mind to keep this file?

Также содержит строку:

-=0 BH#8 by CPS.VLB 0=-

MadMan.1663

Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при их закрытии (т.е. при проверке или копировании). Не заражает F-PROT, SCAN и файлы, в именах котороых присутствует символ 'V'.

Дописывает в конец .BAT-файлов команду

@ECHO I'm watching you!

При нажатии на Alt-Ctrl-Del выводит картинку и текст:

%%#####################################%% ########### ####### ########### #% ####################### # # . # ######### # . ##### %%#########@% ###################### %@#######@% ######################

Nothing can save you here, friend - you're in my world now!

Также содержит строку:

MadMan

M_Five.844

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Также ищет и заражает файлы при смене текущего каталога. По вторникам в 5:00 и 17:00 стирает сектора винчестера. По пятницам расшифровывает и выводит текст:

This program has been infected by M-FIVE virus

Mark13.782

Опасный резидентный вирус. При вызове функций обращения к файлам ищет в текущем каталоге *.COM-файлы и записывается в их конец. Записывает свою резидентную копию в память по фиксированному адресу 9000:0100 и не правит системные блоки распределения памяти, из-за чего возможно зависание компьютера. Содержит текст:

MARK13-Review

Morad.1164

Неопасный нерезидентный вирус. Обходит дерево каталогов на текущем диске, ищет .СОМ-файлы и записывается в их конец. Признаком заражения служит дата создания файла: текущий год+100. С 11 по 31 декабря 2000, выводит текст:

I am Morad from south AZERBAIJANmy compatriots UNITE two AZERBAIJAN Long live AZERBAIJAN

Ban Morad, guney AZERBAIJANdanamБlkedashlar,iki AZERBAIJANi bir edin yashasin AZERBAIJAN