AntiViral Toolkit Pro Вирусная Энциклопедия

P&C.855

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

P&C0

Pac-Man, семейство

Pac-Man.Blinky.1302

Опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. В зависимости от текущей даты выводит текст:

The Pac-Man BLINKY Ghost is watching..

Записывает в boot-сектора дисков вирус, который при загрузке выводит текст:

Non-System disk or disk error.Replace and press any key when ready...

Также содержит строки:

[Blinky Ghost]*.COM[-Inky-]=[-Inky!-]=[INKY Ghost] by PacMan and Associates Inc.

Pac-Man.Clyde.1012

Неопасный нерезидентный компаньон -вирус. При запуске ищет .EXE-файлы и переименовывает их с расширением .PAC, затем записывает себя вместо .EXE-файла. В зависимости от текущей даты выводит текст:

The Pac-Man CLYDE Ghost is watching..(are we getting irritating?)

Также содержит строки:

[Clyde Ghost]*.EXE

Pages, семейство

Неопасные резидентные вирусы. Перехватывают INT 1Ch, 21h и записывают себя в конец .COM-файлов (кроме COMMAND.COM) при доступе к ним. Содержат строку "COMMANDO-3". Проявляются видеоэффектами: переключают видео-страницы или "трясут" экран.

Демонстрации вирусных эффектов:

PAGES.COM

Palma, семейство

Нерезидентные вирусы. При запуске ищут COM-файлы и заражают их. "Palma.247" записывается вместо файлов, остальные записывается в конец файлов. Содержат строки:

"Palma.503": Palma Ver.2"Palma.591": Palma Ver.4

C:\COMMAND.COM

"Palma.642": Palma Ver.3

"Palma.591" в зависимости от системной даты уничтожает файл C:\COMMAND.COM. "Palma.642" выводит:

#### ## # ## ## ### # ## # # # # # ## #### #### # # # # ##### # # #### # # # #

Pan, семейство

Неопасные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы и записываются в их конец. "Pan.1000" оставляет в памяти резидентную программу, которая перехватывает INT 8 и проигрывает мелодию.

Демонстрации вирусных эффектов:

PAN.COM

Pande.1520

Опасный резидентный стелс -вирус. Записывается в конец COM- и EXE-файлов при обращениях к ним. При инсталляции в память ищет в ядре DOS обработчик INT 21h, записывает в него команду JMP FAR Virus_INT21 и копирует свою TSR-часть в UMB (если это возможно). При работе некоторых антивирусов (F-PROT, TBAV) и утилит (ARJ, RAR, LHA, PKZIP, CHKDISK) отключает свои стелс-подпрограммы. Содержит строки:

pandemonium by retch17/04/96F-TBARRALHPKCH

Pandora

Pandora.334

Опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. По причине ошибки может завесить систему. Содержит строку:

[Pandora II ALPHA] Blood Mary Soochow Uni.B.A.

Pandora.1536

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Иногда выводит сообщение на китайском или:

Hello! How is it?This is ----Pandora III. Soochow University Business Administration Dep. Writen By Blood Mary 1994.10.08

Panic.398

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы текущего каталога и записывается в их конец. Если незараженных файлов нет, то вирус стирает на диске случайно выбранный сектор. Вирус содержит строку:

Don't panic it ! It is just a virus exist in your system !

Pantera.400

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. Никак не проявляется, содержит строки:

Pantera.

Pantera_II, семейство

Безобидные нерезидентные зашифрованные вирусы. Ищут .COM-файлы и записываются в их конец. При расшифровке своего кода считывают MBR винчестера, берут оттуда идентификатор MBR (55AAh) и используют эту константу в своем цикле расшифровки.

Никак не проявляют себя. Содержат строки:

PANTERA V1.0*.com

Paradise.1400

Неопасный резидентный полиморфик -вирус. Трассирует и перехватывает INT 21h, затем записывается в конец COM- и EXE-файлов при обращениях к ним. При заражении переводит EXE-файлы в формат COM. 17-го июля выводит одно из сообщений:

LOST PARADISEGOTHICSHADES OF GODICON

Также содержит строки:

PANTERAPARADISE LOST

Paraguay.834

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Уничтожает антивирусные базы данных ANTI-VIR.DAT и CHKLIST.MS. 15-го мая выводит тексты:

## VIRUS PARAGUAY ##|->  Written by Int13h  <-|0 нVIVA LA INDEPENDENCIA! 0[ DIABOLICAL KREATIONS ]0=- First paraguayan virus group. Up the virus-scene!

Paraguay.2750

Резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. При инсталляции в память также заражает файл C:\COMMAND.COM. Проверяет имена файлов и не заражает некоторые антивирусы. Уничтожает антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS. 15-го мая уничтожает все файлы в каталоге C:\WINDOWS и выводит текст:

VIRUS PARAGUAY Ver. 2.0!

Также содержит строки:

Written in Paraguay by Int13h.Paraguayos, нRepгblica o Muerte!Nuestro brбo nos dio libertad.Ni opresores ni siervos alientandonde reinan uniвn e igualdad

Paramon.917

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Перед заражением добавляет к файлам кусок данных случайной длины. Некоторые файлы могут поражаться некорректно. Вирус содержит в себе строку текста:

Paramon.Paramon

Parasite, семейство

Очень опасные нерезидентные вирусы. Ищут .COM-файлы текущего каталога и каталогов, отмеченных в PATH, затем записываются в конец файлов. В некоторых случаях форматируют диск C:, трещат спикером компьютера. Содержат тексты:

"Parasite.901,903":

ParaSite IIB - By: Rock Steady*.COMCOMMAND.COMPATH=

"Parasite.1024":

Copyright (C) 1991 by [NUKE] InterNat'nlSoftware Development`Sicilain Mob Ia' Virus by [NUKE] MPCompleted September 1991, Montreal, Canada--> [NUKE] H/A/P/V/T at its Best <--

Также сообщает:

Sicilian Mob Ia - Virus [NUKE]'91 - Rock MP

"Parasite.1132":

(C) 1991 by [NUKE] InterNat`nl Software DevelopmentParasite Virus, Released October 1991, Montreal, Canada--> [NukE] H/A/P/C/T/V at its Best! <---RABiT,RABiT,RABiT...EAT THIS!To John McAfee [I'll be BACK!]

Также выводит текст:

Parasite Virus! by Rock Steady [NukE] HP

Демонстрации вирусных эффектов:

PARASITE.COM

Phantom1

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Если в течение длительного периода не было ввода с клавиатуры, вирус проявляется видео-эффектом: рисует изображение черепа и текст "PHANTOM 1", затем выводит строку:

Congradulations!!! Your computer is now infected with a high performance PHANTOM virus! Coming soon: next virii based on the _C00LEST_ mutation engine all over the world: the Advanced Polymorphic Engine! Enjoy this intro! (C) 1994 by Dark Prince.

Содержит ошибки и иногда портит файлы при заражении: расшифровщик не может расшифровать код вируса. В результате такие файлы виснут при запуске. Во-вторых, видео-эффект вируса не работает под Windows, Win95 и различными менеджерами памяти.

Демонстрации вирусных эффектов:

PHANTOM1.COM

PHANTOM1.CO

Phardera.5824

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Резидентный код вируса также зашифрован - вирус рас/зашифровывает свои подпрограммы "на лету". Вирус также использует большое количество антиотладочных приемов.

10-го числа ежемесячно выводит текст:

Phardera + Dianita

Содержит строки:

Phardera-by Phardera'95-----Batavia--------Indonesia----RaredrahP Dianita

Демонстрации вирусных эффектов:

PHARDERA.COM

Phoenix, семейство

Очень опасныe резидентныe полиморфик -вирусы. Заражают COM- и EXE-файлы при закрытии или выполнении.

"Phoenix.Proud,Live" заражают только COM-файлы, "Phoenix.Live.a" не заражает COMMAND.COM. Пораженные EXE-файлы не распространяют вируса - в их конец записывается небольшой участок кодов вируса, стирающий при некоторых условиях всю информацию на всех установленных винчестерах.

При заражении COM-файлов вирусы записываются в середину, сохраняя стираемую при этом часть файла в его конец (кроме COMMAND.COM - вирус записывается в область стека COMMAND.COM и не изменяет его длины). Затем у файла изменяются первые три байта (JMP Loc_Virus).

     Заражение COM-файла                 Заражение файла COMMAND.COM+-----------+      +-----------+       +-----------+      +-----------+|  Файл     |      |  Файл     |       |COMMAND.COM|      |COMMAND.COM||           |      |           |       |           |      |           ||           |      |           |       |           |      |           || - - - - - |      |-----------|       | - - - - - |      |-----------||           |--+   |  Вирус    |       |           |      |  Вирус    || - - - - - |  |   |-----------|       | - - - - - |      |-----------|+-----------+  |   |- - - - - -|       +-----------+      +-----------+               +-->|           |                   +-----------+

При активизации вирусы семейства перехватывают INT 13h и затем в зависимости от некоторых условий случайным образом переставляют байты в считываемых или записываемых на диск блоках информации.

Вирусы "Phoenix" впервые использовали два новых для компьютерной микробиологии приема. Во-первых, они отслеживают обращение DOS к файлам, используя INT 2Ah. Во-вторых, все они (кроме "Phoenix.Live.a") являются полиморфик-вирусами и не имеют постоянной маски (сигнатуры): основная часть вируса зашифрована, а программа расшифровки (длиной 32 байта) выбирается из 204 возможных вариантов (следует учесть, что вирусы семейства имеют длины: "Phoenix" - 1704 байт, "Phoenix.Evil" - 1701 байт, "Phoenix.Proud" - 1102 байт).

Содержат в себе следующие текстовые строки (зашифрованные вместе с остальной частью вируса):

"Phoenix": PHOENIX"Phoenix.Evil": The evil that men do lives on and on and on..."Phoenix.Proud": Proudly made in Sofia"Phoenix.Live.a,b": Live after Death

Phone.688

Очень опасный нерезидентный вирус, записывается вместо .COM- и .EXE-файлов. Звонит по телефону: выводит в COM-порт команду модема "ATDT1900" и набирает номера: 9034600, 4545388, 2888100, 6809100, 9038181, 4540759, 8840758, 8965581, 6804900, 4075240, 9038700, 7868482. Затем вирус выводит текст "Out of Memory" и возвращается в DOS.

Phonix.927

Очень опасный резидентный ввирус. При старте поражает файл COMMAND.COM и отдает управдение программе-носителю. Инсталлирует свою TSR-копию только из зараженного файла COMMAND.COM. Перехватывает INT 21h и записываются в конец COM- и EXE-файлов при их закрытии. В 13-ю пятницу стирает сектора винчестера, выводит текст "PhФnix" и завешивает систему.

Phrase.1568

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. По вторникам проигрывает мелодию.

Демонстрации вирусных эффектов:

PHRASE.COM

Phx, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Некоторые из вирусов содержат строку "PHX".

"Phx.823,1015" обрабатывают функцию INT 21h Open (AX=3D02h) и проверяют код программы, которая вызвала это прерывание. Если код этой программы совпадает с одной из масок, присутствующих в теле вируса, то "Phx.823" перезагружает компьютер, а "Phx.1015" портит данные при их записи на диск.

"Phx.965" периодически изменяет один байт при записи информации в файл.

"Phx.1289,1336" в зависимости от некоторых условий портят информацию, записываемую на диск.

PI.2048

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Если номер дня равен номеру месяца, а текущее значение минут равно часу,то вирус форматирует сектора диска. Содержит строки:

Piaf.1859

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 21h и поражает COM- и EXE-файлы при их запуске, открытии или переименовании. При заражении записывает себя в конец EXE-файлов и в начало COM. Не заражает файлы, два первых символа имени которых присутствуют в строке "NDIOOSUVRAIVFP" (ND*.*, IO*.*, ...). Если вирус не может инсталлировать свою TSR копию, то он выводит сообщение: "Incorrect DOS version" и возвращает управление DOS. В противном случае выделяет себе память, копирует себя, трассирует INT 13h и 21h, сканирует область кода DOS на наличие некоторых команд (адреса которых затем использует при заражении файлов - все это "штучки", направленные против антивирусных мониторов).

Некоторые из зараженных файлов выдают сообщение при запуске:

<PIAF> Copyright (c) 1991-1992 by Xxxxx III!

Вирус также содердит строки:

PIAFEXECOM

Piazzolla.874

Безобидный резидентный вирус, перехватывает INT 21h и записывается в начало .COM-файлов (кроме COMMAND.COM) при их завпуске. При заражении вирус создает файл PIAZZOLL.$$$, копирует в него себя а затем тело заражаемого файла, затем удаляет заражаемый файл и копирует файл PIAZZOLL.$$$ обратно в заражаемый файл. Вирус содержит строки:

PiazzollaCOMMANDCOMPiazzoll.$$$

Picket, семейство

Очень опасные резидентные самошифрующиеся COM-вирусы. Перехватывают INT 21h. Picket.1034, кроме этого, перехватывает INT 1Ch. Записываться могут как в конец, так и в середину файлов, для чего определяют наличие цепочки одинаковых символов в файле. Так как эта подпрограмма написана с ошибками, портят некоторые файлы, делая их длину больше 64K. Имеется подпрограмма, которая должна стирать файлы антивируса ADINF, но управления эта подпрограмма не получает. Содержат текст:

И начальник заставы поймет меня,И беспечный рыбак простит.

Pieces.1374

Резидентный неопасный вирус. Перехватывает INT 9, 13h, 21h и записывается в конец EXE-файлов при их запуске или открытии. После 1F4h-го нажатия по клавишам выводит текст:

One of these days I'm going to cut you into little pieces

- сразу видно фана старого доброго Pink Floyd'а.

Pifpaf.760

Резидентный безобидный вирус, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их выполнении. Содержит в себе текст:

PIF-PAF B v1.0Nincs kegyelem !

Piolin.1176

Очнень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. 31-го октября портит файлы вместо их заражения. 8-го октября стирает сектора винчестера, расшифровывает и выводит сообщение:

Virus PIOLIN

Plutto.602

Нерезидентный очень опасный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. Если обнаруженный .COM-файл имеет EXE-формат, то вирус "убивает" его: записывает в заголовок файла (EXE header) строку "pLuTto_B". Такие файлы не восстанавливаются.

Ply, семейство

Опасные нерезидентные вирусы. При запуске ищут .COM- и .EXE-файлы и записываются в их конец. Не зашифрованы, но используют алгоритм "перемешивания" своего кода, по мощности близкий к полиморфик-алгоритмам. В различных зараженных файлах приктически нет постоянных байтов кода, которые можно использовать для детектирования вируса.

Вирусы состоят их трех блоков: блока основного кода, блока данных и блока перенаправленных вызовов.

+----------------+|основной код    ||                ||----------------||данные          ||----------------||перенаправленные||вызовы          ||                |+----------------+

Все ассемблерные команды основного блока имеют длину не более трех байт, и каждая команда занимает ровно три байта в теле вируса. Если длина команды меньше трех байт, то оставшиеся байты заполняются командой NOP.

При заражении файлов вирусы в зависимости от случайного счетчика двигают короткие команды в их блоках:

8C C8 MOV AX,CS <--> 90 NOP90 NOP 8C C8 MOV AX,CS

Так же в зависимости от случайного счетчика они перемещают команды в блок перенаправленных вызовов и замещают команду на вызов CALL или JMP:

Заменено CALL             Заменено JMP              Первоначальный код-------------             ------------              ------------------E8 xx xx CALL -+    <-->  E9 xx xx JMP  -+   <-->   90       NOP         ... <-|---+               ... <-|---+      8C C8    MOV AX,CS         ...   |   |               ...   |   |         ...   V   |               ...   V   |8C C8    MOV AX,CS |      8C C8    MOV AX,CS |      <помечено как90       NOP       |      90       NOP       |       свободный блок>C3       RET    ---+      E9 xx xx JMP back -+

Таким образом, любая команда вируса может быть либо сдвинута в своем трехбайтовом блоке (если команда короткая), либо перемещена по случайному адресу в блок перенаправленных вызовов и заменена на JMP или CALL, а уже существующие команды CALL и JMP могут быть заменены на первоначальный код. В результате ни один байт вируса не зашифрован, но в вирусе нет практически ни одного постоянного байта.

Этот довольно сложный механизм не свободен от ошибок, и вирусы часто портят файлы при их заражении.

Вирусы проверяют имена файлов и не заражают:

"Ply.4224,4722":

AVP, AVPLITE, AVPVE, EMM386, F-PROT, FV386, FV86, MSAV, MVTOOL10, SCAN, TBSCAN, TBAV, TBCHECK, TBCLEAN, TBDISK, TBDRIVER, TBFILE, TBGENSIG, TBKEY, TBLOG, TBMEM, TBSETUP, TBSCANX, TBUTIL, VALIDATE, VIRSTOP, VPIC, VSAFE.

"Ply.5133":

AVP, AVPLITE, AVPVE, EICAR, EMM386, F-PROT, FV386, FV86, MSAV, MVTOOL10, SCAN, TBSCAN, TBAV, TBCHECK, TBCLEAN, TBDISK, TBDRIVER, TBFILE, TBGENSIG, TBKEY, TBLOG, TBMEM, TBSETUP, TBSCANX, TBUTIL, VALIDATE, VIRSTOP, VPIC, VSAFE.

"Ply.5175":

AVP, AVPLITE, AVPVE, BAIT, EICAR, EMM386, F-PROT, FV386, FV86, MSAV, MVTOOL10, SCAN, TBSCAN, TBAV, TBCHECK, TBCLEAN, TBDISK, TBDRIVER, TBFILE, TBGENSIG, TBKEY, TBLOG, TBMEM, TBSETUP, TBSCANX, TBUTIL, VALIDATE, VIRSTOP, VIRUS, VPIC, VSAFE.

"Ply.4722,5133,5175" уничтожают файл \NCDTREE, если он есть.

PM.733

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. Содержит строку-идентификатор:

PM_Wanderer.3684

Один из первых известных файловых вирусов, работающих в защищенном режиме процессора i386. Заражает COM- и EXE-файлы (кроме COMMAND.COM) при их запуске или открытии. При заражении файлов шифрует себя полиморфик-методом и записывается в начало COM-файлов и в середину EXE-файлов (между EXE-заголовком и основным телом файла). Первоначальный код/данные файла вирус записывает в его конец.

При запуске зараженного файла вирус копирует себя в расширенную память, переходит в защищенный режим процессора i386 и перехватывает INT 1 (трассировка) и INT 9 (клавиатура). В результате перехода в защищенный режим оказывается невидимым для обычных DOS'овских антивирусов и утилит просмотра памяти.

Для перехвата DOS-функций запуска и открытия файлов вирус использует особенности отладочного режима процессора i386: устанавливает одну из отладочных точек останова на адрес INT 21h. В результате, когда управление передается на INT 21h, процессор генерирует прерывание INT 1, и вирус получает управление и заражает файлы.

Ищет в DOS-памяти какой-то код (антивирус?) и правит его. Не устанавливает себя в память, если нет EMS-драйвера. При работе Windows вирус выключает свой отладочный механизм перехвата INT 21h и восстанавливает его после выхода из Windows при первом же нажатии на какую-либо клавишу. Содержит ошибки и в некоторых случаях завешивает систему. Содержит текст:

WANDERER,(c) P. Demenuk

PMM.575

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Содержит строку:

*PMM r1.0*

Использует довольно необычный алгоритм мутирования - при заражении файлов дизассемблирует свой собственный код и заменяет некоторые команды на их "синонимы", например:

XOR Reg,Reg  ->  SUB Reg,Reg

MOVSB -> MOVSWMOVSW MOVSB

и т.д. В результате вирус не шифруется, но в различных зараженных файлах его код содержит различные инструкции.

PMT.867

Безобидный резидентный зашифрованный компаньон -вирус. Перехватывает INT 21h и создает компаньон COM-файлы при запуске EXE-файлов. Вирус содержит строки:

Anke Huber for Everо-=0 AP.CC.DV.EV.DF.T2T.TC.M.SR.RA 0=-пFuck John McAfeeEat my ButterflySuck her Spinkta muscleBruce Sterling; I'd like to shove ya texan accent down ya throatOprah Winfrey sings AC\DC's classic PMTI've got PMTPMTI'm dynamitePMTBut I'll win the fightPMTI'm a powerloadPMTJust watch me explodeThe funky dyin' brain cellCRYPTO-KING v1.0

Poem.1825

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 1, 3, 21h и записывается в конец COM-файлов, загружаемые в память. Свою резидентную часть помещает в старшие адреса памяти, не корректирую при этом MCB-блоки. Под отладчиком или 21-го декабря сообщает:

Void - Composed by Marvin Giskard for T

In a field a million buds stood,Over them a million days came - a day a bud -opening up one by one with their directed light. But one didn't do as others did,It waited for only your loving rays to shine upon itto open its pedals revealing the pure beauty of its sincere love. Never being unfaithful to its dream of the day of your light,Forced to resist any other light but yours - because of it -until the day the brilliance of your life sustaining light shines

it will be there : wanting, wishing, waiting.

Many were the buds you rather shined uponopening them - revealing their phony colours. I willed your light onto me but others you tried instead,No subtle motion reached you,still I refused other's light - holding out for you - Even when your light will fade,Not having found one to do your light justice,

mine will still be there : wanting, wishing, waiting.

Press Escape to continue.

после чего стирает сектора диска C: и перезагружает компьютер. Также содержит строку:

22 Nov - 21 Dec

Pojer, семейство

Неопасные резидентные зашифрованные вирусы, перехватывают INT 1Ch, 21h и записываются в конец запускаемых COM- и EXE-файлов. 6-го февраля и 17-го ноября расшифровывают и выдают послание типа:

** B R A I N 2 v1.40 **WARNING ! Your PC has been WANKed !>> 17.11.1989 <<Viruses against political extremes , for freedom and parliamentary democracy.>> STOP LENINISM , STOP KLAUSISM , STOP BLOODY DOGMATIC IDEOLOGY !! <<Remarks: - for John McAfee: John,your SCAN = good program. - for CN and his company: Boys,the best ANTI-VIRUSES are Zeryk,Saryk and Vorisek ! - for F : Girls are better than computers and programming !This program is copyright by SB SOFTWARE All rights reserved.O.K. Your PC is now ready !

Содержат список нескольких антивирусных утилит, файлы из этого списка не заражаются:

TNTVIRUS.E CLEAN.E SCAN.E VSHIELD.E VSHIELD1.E NETSCAN.E

Pojer.4028

Неопасный резидентный полиморфик-стелс-вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При создании или открытии файлов запоминает handle файла, а затем заражает файл при его закрытии. При открытии зараженных файлов лечит их. Проверяет имена файлов и не заражает файлы:

ASTA.EXE F-PROT.EXE DEFRAG.EXE NDD.EXE CPAV.EXE MSAV.EXE SCANDISK.EXE CHKDSK.EXE VSAFE.COM UCOM.COM UEXE.EXE GUARD.EXE GUARD.COM TNTVIRUS.EXE CLEAN.EXE SCAN.EXE VSHIELD.EXE VSHIELD1.EXE NETSCAN.EXE IBMBIO.COM IBMDOS.COM CHKAVAST.COM STROJ_F.EXE STROJ_P.EXE STROJ_S.EXE KRNL286.EXE KRNL386.EXE

17-го ноября и 6-февраля пищит спикером компьютера, расшифровывает и выводит текст:

** BRAIN2 v2.00beta - upgrade from POJER **BETA tester, thank you,.. have a nice day in cyberspace ...This crazy program is (c) 12/93 by SB

В январе, ноябре и сентябре по нечетным числам перехватывает INT 1Ch и выводит в левый верхний угол экрана мигающий символ 'Ь'.

Вирус также содержит строку:

Kernel1.41

Демонстрации вирусных эффектов:

POJER.COM

Polifemo, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы текущего и корневого каталогов, каталогов \DOS, \WINDOWS, \QEMM, \DV и записываются в конец файлов. Содержат строку:

**** Polifemo ****

Polimer.512

Нерезидентный неопасный вирус. Ищет и записывается в начало .COM-файлов. При старте зараженные файлы выводят строку:

A le'jobb kazetta a POLIMER kazetta ! Vegye ezt !

Также содержит строки:

????????COMERROR

Polish.1769

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Никак не проявляется.

Polonaise, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске или закрытии, при открытии зараженных файлов лечат их. В зависимости от текущего времени проигрывают мелодию.

"Polonaise.812" поражает COM- и EXE-файлы при их запуске. Никак не проявляется.

"Polonaise.812,2502" содержат строки:

WIZARD!C

Демонстрации вирусных эффектов:

POLONAIS.COM

Poopie.284

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы в текущем каталоге диска C: и каталоге C:\DOS, затем записывает себя вместо обнаруженных файлов. По 30-м числам стирает сектора дисков, по воскресеньям ставит системную дату на 1-е января 2000 года. Содержит строки:

*.COM \DOS[Poopie/MDK]

PoorMan.1168

Очень опасен, нерезидентен. При запуске поражает файлы "C:\COMMAND.COM", "C:\DOS\COMMAND.COM" и "\COMMAND.COM", затем ишет .COM-файлы текущего каталога и также поражает их. Записывается в конец файлов. В зависимости от текущего времени выводит сообщение и стирает MBR винчестера:

Good morning, sir! How nice it is! Please give me some money, I,m a poor man. Do some good things, sir!

Poppy, семейство

Безобидные резидентные вирусы.

Poppy.513

Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и затем записывается в конец запускаемых COM- и EXE-файлов. Содержит строку:

STRONG.POPPY by VicodinES greetz to Klonopin.Jones

Poppy.535

Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляется, содержит строки:

VicodinESTarget.PoppyLife is hard when your target is the poppy :)

Populizer, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в начало запускаемых COM-файлов. Содержат ошибки и иногда портят файлы и вешают систему. Другими способами не проявляются, содержат строку:

COMPUTER_VIRUS_CLUB_'STEALTH'_KIEV._VIRUS_SMALL3._WRITTEN_BY_POPULIZER.

Porridge.1384

Неопасный нерезидентный вирус. Заражает COM-файлы текущего каталога. Если файлов для заражения не найдено, выводит фразу 'Овсянка, Сэр...'. Написан очень изобретательно. Кроме приведенной выше фразы, содержит слово 'Error'.

Poss, семейство

Резидентные опасные вирусы. Перехватывают INT 8, 21h и записываются в конец COM- и EXE-файлов, кроме COMMAND.COM. Периодически уничтожают файлы. Проявляются появлением рожицы на экране. Содержат строки:

COMMAND.COMPOSSESSED! Bwa! ha! ha! ha! ha!Author: JonJon Gumba of AdU:*.COM :*.EXE

Демонстрации вирусных эффектов:

POSS.COM

Potpis.696

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM-файлов. 1-го мая выводит текст:

Matija Papec 4.k Maturalna radnja 1994.

Также содержит строку:

Potpis

Pottie.246

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Использует некорректный антиотладочный прием, в результате чего зараженные программы не работают на Pentium-PC. Содержит строку:

[CONFUSION MELTDOWN] (c) Pottie Rottie, Sweden 1994*.com

PowerOff.798

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системной даты ищет и портит .EXE-файлы, стирает сектора дисков, выводит текст:

Power off immediatley... oh it is too late !Your system is dead.-VAMPIR- See you later !

PowerPump

Нерезидентный компаньон -вирус. При запуске создает файл DOS\POWER.EXE куда записывает свое тело. Затем ищет .EXE-файлы и создает компаньон-файлы с расширением .COM, в которые записывает небольшую программу, запускающую файл POWER.EXE. Различные версии этого вируса содержат строки:

Null pointer assignmentDivide errorAbnormal program terminationA:POWER.TST A:POWER.TST *.comA:\ A:\ B:\ B:\ C:\ C:\DOS\ C:\ \POWER.EXE \ POWER.EXE*.EXE power.exe POWER.EXE COM C:\DOS \POWER.EXE A:\POWER.EXEC:\DOS\POWER.EXE \ EXE

а также выводят сообщения:

"PowerPump": Power Pump v1.2 Virus - Silent But Dead."PowerPump.b": Power Pump v1.1 - A New Kind Of Virus Power Pump v1.1 - The Choice Of A New Generation

Powertrip.423

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец COM-файлов при их запуске. Содержит строку, которая выводится вирусом 25-го апреля:

Jackie's on a POWERTRIP!

При нажатии на Alt-Ctrl-Del вирус выводит:

PowerTrip!

Ppsp.1526

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов. Содержит строки текста:

в начале пораженного файла: "PP" and "SP",

в теле вируса: "*.COM" and "COMMAND.COM".

Prague.604

Опасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец COM-файлов при их запуске. В зависимости от текущего времени запрещает дисковые операции и некоторые функции INT 21h.

Pray, семейство

Неопасные резидентные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец COM-файлов при их запуске. В зависимости от текущей даты выводят текст:

Keep On Praying,Jesus !

Predator, семейство

Очень опасные резидентные вирусы, "Predator.1072,1154,1449" - самошифрующиеся вирусы. Перехватывают INT 13h, 21h и записывают себя в конец COM-файлов при их запуске или открытии. Используя INT 13h вирусы проверяют сектора, считываемые с дисков, и периодически изменяют один бит считанной информации. Содержат тексты:

"Predator.1063,1137,1148,1154,1195":

Predator virus (c) Mar. 93In memory of all those who were killed...Wookies ain't the only ones that drop! Priest

"Predator.1072":

Predator virus (c) Mar. 93  Priest

"Predator.1449":

C:\COMMAND.DATPredator virus2 (c) Sep. 95  Mc Fly

Pregnant.1199

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. По пятницам после 22:00 при вызове DOS'овскоrй команды DIR вирус выдает сообщение:

# I am the Sexual Virus - I Just Made WILD PASSIONATE LOVE to a Whole Bunch ## of Promiscuous Files. But Please Relax - I Promise NOT to DAMAGE ANYTHING. ## The Files That Spread Their Hot, Moist Pointers For Me - Are all PREGNANT! ## You ll See the Sluts on Friday at 22:00 - Love From PASSION JUNE 1991 (C). #

и заменяет имена зараженных файлов на "PREGNANT.!!!".

Press.1024

Нерезидентный неопасный вирус. При старте обходит каталоги и записывается в конец EXE-файлов. Периодически выдает сообщение:

Press any key

PressReset.607

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от текущего времени выводит текст:

For Main Menu press RESET

Prime.580

Опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. При сохранении старого содержимого начала файла шифрует его. Запрещает сигналы IRQ, это может завесить компьютер. По первым дням ежемесячно выводит текст:

Prime Evil! (C) Spellbound, Line Noise 1992.Coded in Stockholm, Sweden.Please spell my name right!

и 'сдвигает' экран (если он CGA или EGA).

Primus, семейство

Опасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. В коде вирусов нет ничего опасного, однако при заражении они стирают часть области данных BIOS по адресу 0000:0400, что может привести к потере данных и зависанию компьютера. Содержат строки:

"Primus.512":

AcTiOnBoX vIrUs 3PrImUs(A)bort, (R)etry, (C)ry

"Primus.528":

Alien Nation VirusPrImUsMake My Day Monkey Boy!

PrintDevil.716

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При инсталляции в системную память также заражает файл C:\COMMAND.COM. 31-го октября перехватывает также INT 17h (принтер) и при печати изменяет каждый 102-й символ. Содержит строку:

This is the Print Devil Virus!

Printer.778

Опасный резидентный вирус. Перехватывает INT 17h, 21h и записывается в конец COM- и EXE-файлов, кроме COMMAND.COM. У COM-файлов заменяет начало на команды MOV BX,Loc_Virus; JMP BX. При работе с принтером (INT 17h) переводит выводимую на него информацию в код ASCII-7 (обнуляет старший бит). В результате принтер отказывается "говорить" по-русски и печатать псевдографику.

PrintMonster

Опасный нерезидентный вирус. Ищет в текущем каталоге COM-файлы и записывается в их конец. Портит файлы длиной меньше, чем 18 байт. Нерезидентен, но оставляет в памяти резидентную часть, которая перехватывает INT 17h и при выводе на принтер меняет буквы. Содержит в своем теле строку:

PrintMonster30

Prion.313

Безобидный нерезидентный вирус. Ищет в текущем каталоге NewEXE- и DLL-файлы (Windows, OS/2) и записывается в их процедуру DOS Stub. В результате вирус способен размножаться только при запуске под "чистой" DOS. При запуске под Windows или OS/2 код вируса не получает управления. Вирус содержит строку:

*.* [Prion] [Darkman/29A]

Privet.1152

Неопасный резидентный вирус. Записывается в конец .EXE-файлов кроме тех, которые упакованы PKLite. При запуске зараженного файла вирус ищет и заражает .EXE-файлы в текущем каталоге, затем перехватывает INT 21h и остается резидентно. Затем при запуске каждой программы также ищет и заражает .EXE-файлы в текущем каталоге. В зависимости от своего поколения выводит текст:

привет всем

Также содержит строки:

*.exe skhплохо дело

Pro-Alife.3423

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. При окончании работы программ выводит одно из сообщений:

Kill an evil satanic ANTI-VIRAL product for Jesus today!Stop Disinfectants NOW!Ain't aLife A Beautiful Choice?And God Said, "Let There Be Life!", and there was.....Save the Viruses! They're People Too!!!!PRO-aLIFE and PROUD! STOP THE VIRUS KILLERS! HALT THE AV!STORM THE COMPU-CLINICS! DON'T LET THEM KILL THE VIRUSES!!!Operation Rescue-II, Save the HELPLESS UNBORN Viruses!!!

При запуске антивирусных программ:

F-PROT.EXE TBSCAN.EXE TBAV.EXE TBCLEAN.EXE SCAN.EXE CLEAN.EXE VIRSTOP.EXE MSAV.EXE VSAFE.EXE CPAV.EXE FSP.EXE VDEFEND.EXE

вирус записывает вместо них троянскую программу, которая при запуске выводит сообщения:

Eddie Lives, Somewhere in time! ############ 1704 JerusalemCasino :( ;( =( Smeg off! ##### #### \ Frodo Lives! APRIL FOOLS! Get a late pass! Datacrime ############### Brain Void-Poem Your PC is now STONED! ## OO ##### O # Copy me, I want to travel!

1,000,000,000 Viruses DIED Today!And yesterday, and more will die tomorrow!_/\_STOP THE KILLING!_/\_Look What You're Doing To Them!Below is an aborted virus... Support PRO-aLIFE Activism!This program has been TERMINATED by the Virus Survival Underground Movement.It had long stood as a horrible BABY VIRUS KILLER, and had to be removed.Life, What a Beautiful Choice (tm).--==000[OPERATION RESCUE II - SAVING THE BABY VIRUSES!]000==--Thank you for choosing life over destruction.Have a Nice Day (tm).

"Pro-Alife.3423.b" выводит тексты:

Демонстрации вирусных эффектов:

PRO_ALIF.COM

Probe.2140

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов (кроме COMMAND.COM) при их запуске. Дополнительно заражает файлы на текущем диске:

\DOS\SMARTDRV.EXE \WINDOWS\SMARTDRV.EXE \DOS\DOSKEY.COM \DOS\KEYB.COM

С 1-го по 5-е декабря выводит текст:

Please wait, Smartdrive is checking your disk structure.Warning, interrupting this task could cause disk damage !

затем стирает сектора дисков и добавляет:

Oh, you are using MS-DOS. Now you see what you have got !Greetings from Bill Gates ...

Также содержит строки:

.EXE.COMCOMMAND.COMMSDOSImperial Probe V 1.09

Problem, семейство

Резидентные безобидные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Содержат текст:

THIS IS YOUR PROBLEM !

или:

"Problem.845": dATA KILLER !"Problem.857": by Mojo Risin for 1605

Prohibit.1500

Безобидный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при обращении к ним. Пытается также заражать .COM-файлы, но содержит ошибку и не поражает их. Содержит код, который выводит на экран сообщение и завешивает компьютер, однако этот код никогда не получает управления. Вирус содержит строки:

Prohibit MARYJUANACOMEXEWill see you next time . Stone 93

Promis

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Не заражает файлы: SC*, TB*, WI*, PE*, TH*, VI*, CH*, PR*. Уничтожает антивирусные и прочие файлы: ANTI-VIR.DAT, CHKLIST .MS, CHKLIST.MS, THIMAGEN.ARC, ACUARIO.SEX, TH.RPT. Содержит текст:

pRoMiScUo ViRuS DeDiCaDo A ToDaS MiS MuJeReS!!

Protect, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и INT 1Ch или 33h в зависимости от версии, затем записываются в конец COM- и EXE-файлов при их запуске на выполнение. "Protect.1157,1196" снимают атрибуты файлов и блокируют работу мыши. "Protect.1355" проявляется на EGA и VGA мониторах мелким и очень противным дрожанием экрана. Содержат текст:

File protection

Демонстрации вирусных эффектов:

PROTECT.COM

Proto.695

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при из запуске на выполнение. С 16:00 пищит и завешивает компьютер. Содержит в себе текст:

This program is sick. [PROTO-T by Dumbco, INC.

Демонстрации вирусных эффектов:

PROTO.COM

ProtoVirus, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM-файлов. Содержат строку:

** ProtoVirus v1.0 by Chr'92 **

и проверяют ее при инсталляции. Если строка изменена, то вирусы вешают компьютер.

Pdp, семейство

Резидентный очень опасные вирусы. Перехватывают INT 21h и записываются в COM- и EXE-файлы при доступе к ним ("Pdp.822" поражает только COM-файлы). При запуске эти вирусы поражают файл C:\COMMAND.COM. Содержат в себе текстовые строки:

PDP11C:\COMMAND.COMAID,VIR,DINF,CHK,TEST,AUR,PAV,NAV,-V,SENT,ASM,SCAN,LEAN,ANT,SAFE,BOOT,STRA,

Последняя строка содержит имена файлов, которые будут уничтожены при обращении к ним.

Peace.2064

Неопасный резидентный вирус. Перехватывает INT 21h и записывает себя в конец EXE-файлов при их запуске. В некоторых случаях удаляет себя из файлов и из оперативной памяти. Зараженные файлы содержат строку "GG". Начиная с 6-го декабря выводит картинку и сообщения:

peace man, peace !!!!leuk hВ

Демонстрации вирусных эффектов:

PEACE.COM

PeaceKeeper

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. При заражении COM-файлов вставляет в них несколько участков полиморфик-кода, управление передается от одного участка к другому до тех пор, пока управление не получит участок, отвечающий за расшифровку основного тела вируса (см. вирус Bomber ). Перехватывая INT 13h вирус в случайные моменты запрещает запись на диски, это может пивести к потере данных. В случайные моменты записывает в сектора дисков программу, которая при запуске выводит текст:

Peace-Keeper Virus V2.10 Written by Doctor Revenge 18-May-1994 , Italy

Вирус также содержит строки:

EXECOMSCCLVIVSMSCPF-IMVHTB[MCG v0.31с]

Первая строка используется вирусом при заражении файлов: вирус проверяет расширение имени по строке COMEXE, не заражает файлы из продолжения строки (два символа на имя - SC*.*, CL*.* и т.д.).

Peach.887

Резидентный неопасный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов. Изменяет 13h байт начала COM-файлов на процедуру Jmp-Virus. Уничтожает файлы CHKLIST.CPS, периодически записывает в область данных BIOS по адресу 0040:00FC строку:

Roy CuatroNo 2 Peach GardenMeyer Rd. Spore 1543

Peasant.1243

Опасный резидентный вирус. При запуске зараженного EXE-файла ищет командный процессор (COMMAND.COM) по строке "COMSPEC=" и записывается в его середину. При этом вирус стирает часть кода файла, сохранив его перед заражением в неиспользуемых секторах винчестера. Затем вирус передает управление программе-носителю.

При запуске зараженного COMMAND.COM вирус считывает его код из секторов винчестера, перехватывает INT 21h и возвражает ему управление. Затем при обращении к .EXE-файлам вирус записывается в их конец.

По понедельникам блокирует функции DOS SetDir, RemoveDir и ChangeDir, вместо уничтожения файлов "прячет" их соответствующими атрибутами, при записи в файлы добавляет в их конец строку:

пппNoImportRICE!ооо

Эту же строку выводит при окончании работы программ.

Вирус также содержит строку:

(c)KoRea-PeaSant

Pempe, семейство

Неопасные резидентные вирусы, "Pempe.1943" зашифрован. Трассируют INT 13h, 21h, перехватывают INT 8, 21h и при вызовах DOS-функций обращения к файлам ищут .EXE-файлы и записываются в их конец. В зависимости от своих счетчиков расшифровывают и выводят текст:

+-----------------------------+|  P     E     M     P     E  ||  AMACC (Makati,Phils) [PM]  |+-----------------------------+

"Pempe.1811" также содержит строку:

PEMPE 1.2

Penetrator.984

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. При 77h-ом заражении стирает сектора дисков и выводит текст:

Cat scratch fever.(CSF)by Penetrator (IRI).Special thanks to Dr.Armageddon.Writing such funny things is not a crime!

Penza, семейство

Резидентные неопасные вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец запускаемых COM- и EXE-файлов. "Penza.700" при заражении EXE-файлов переводит их в COM-формат (см. вирусы "Yankee" ). Если при заражении файла вирусом "Penza.1210" произошла ошибка, то на экран выводится текст:

Best wished from Penza!

Pepper, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. В зависимости от текущего времени устанавливают системные часы на предыдущий день и сообщают:

"Pepper.529": GOL Strikes again!"Pepper.529": yesterday once more

Также содержат строки:

*.COM [pepper]

Perfume, семейство

Резидентные очень опасные вирусы. Записываются в конец .COM-файлов. При запуске заражают файл COMMAND.COM, затем перехватывают INT 21h и заражают файлы при их запуске.

Создают свою TSR-копию, ничего не изменяя в блоках MCB, чем могут вызвать зависание системы. Периодически стирают случайные секторы на флоппи-дисках. При 80-й попытке заражения уже инфицированного файла начинают диалог с пользователем: выводят текст:

Bitte gebe den G-Virus Code ein :

и ждут ввода строки "4711". Если набрана именно эта строка, вирус сообщает:

Tut mir Leid !

"Perfume.731" также содержит строку:

G-VIRUS V1.3

"Perfume.731.b" содержит/выводит строки:

IRA Virus 18Irish Republican Army v18 Virus :hatBy Capt Picard

Permutan.544

Очень опасный резидентный вирус. Перехватывает INT 13h, 20h и остается в памяти. При этом оставляет в памяти не только свой код, но и код программы-носителя. При вызовах INT 20h (Terminate) берет из PSP имя активной программы и записывается в конец соответствующего файла.

В зависимости от системного таймера портит данные при их записи на диск (INT 13h). Содержит текст:

Permutan

Pest.2728

Очень опасный резидентный полиморфик -вирус. Трассирует INT 13h, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Проверяет имя файла по строке:

ASCECLHVSPF-ACPRVINWI

и не заражает файлы, имена которых начинаются на: SCA, CLE, VSH, F-P, CPA, VIR, WIN. При заражении файла проверяет его на какой-то код и правит его, если такой код обнаружен.

Под отладчиком или по 13-м числам в зависимости от системного таймера вирус стирает данные на винчестере и перезагружает компьютер. После 4096-го (1000h) заражения вставляет строку в данные, записываемые на диск:

PRIEST V.D.G.I. hopes you can recover your data !!!

Также содержит строку:

Pest (c) 12/10/93 by (and best wishes from) PRIEST Int., Gbw/Germany

Peterburg.529

Бехобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске. Никак не проявляется.

Phantasmagoria

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы текущего каталога и записывается в их конец. Перед возвратом управления программе-носителю расшифровывает и выводит текст:

PHANTASMAGORIA ! Sleep Well

Устанавливает INT 20h на команду JMP RESET. В результате, если программа-носитель использует INT 20h для возврата в DOS, компьютер перезагрузится.

Phantom.2201

Опасный резидентный зашифрованный вирус. Перехватывает INT 20h, 21h, 24h и записывается в конец .COM-файлов, начинающиеся с команды JMP, при их открытии или выполнении. Создает в FAT сбойные кластеры, сдвигает и переворачивает экран, выводит текст

HI ROOKIE! I`m a THESEASE! I live in YOUR computer - sorry... Thanks to Brains in the Computer Siences!

К .EXE-, .DBF- и .ARC-файлам дописывает тексты:

The PHANTOM Was HERE - Sorry...

Copyright (c) PHANTOM -- This virus was designed in the HUNGARIAN VIRUS DEVELOPING LABORATORY. (H.V.D.L.)v1

Демонстрации вирусных эффектов:

PHANTOM.COM

Pirate.1344

Опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец .EXE-файлов при их запуске. Проверяет ввод с клавиатуры и в некоторых случаях стирает данные BIOS по адресу 0040:xxxx. Содержит строку:

Pirate

Pirates.2170

Безобидный(?) резидентный полиморфик-вирус. Перехватывает INT 13h и 21h, при этом записывает в код INT 21h команду INT C2h и перехватывает INT C2h, затем записывает в код INT 13h команду "FAR JMP Virus". При вызовах INT 21h вирус восстанавливает код INT 21h перед тем, как вернуть управление первоначальному обработчику INT 21h. При вызовах INT 13h вирус опять записывает в INT 21h команду INT C2h.

Вирус записывается в конец EXE-файлов при обращениях к ним. Вирус содержит код, который записывает в файлы данных строку:

sono solo stronzate

однако этот код не получает управления. Вирус также содержит строки:

ocxtas.cppodroorsmspldakrgbfpsiprj[For pirates... (C)1993-94 nessuno]

Pit, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. "Pit.611" Уничтожает файл CHKLIST.CPS. Содержат строки:

"Pit.492": The Pit. V 1.03"Pit.611": The Pit v1.20

Pitch.593

Нерезидентный неопасный вирус. Ищет .COM-файлы и записывается в их начала. Оставляет в памяти небольшую программу, которая перехватывает INT 1Ch, ждет некоторое время и затем пищит динамиком компьютера.

Демонстрации вирусных эффектов:

PITCH.COM

Piter.708

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец открываемых EXE-файлов. Содержит серьезную ошибку и портит большинство заражаемых файлов. Содержит строку:

Piter

Pivrnec.795

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. 10-го октября стирает сектора дисков, затем расшифровывает и выводит текст:

MВ jmВno je Pivrnec a cht+l bychVаm pod+kovat za poskytnutбpodmбnek pot0ebnьch pro mojiinkubaci a zdаrnь vьvoj mВ osobnosti ...!?...Pivrnec `95PS: Doufаm, зe Vаs nep0eчla

Pixel (Amstrad), семейство

Семейство нерезидентных опасных вирусов. При запуске ищут все .COM-файлы в текущем каталоге и записываютсе в начало файла. Некоторые вирусы заражают файлы повторно и портят файлы большой длины. Содержат строку:

*.COM

Многие вирусы семейства также содержат строку в начале файла:

Некоторые версии вируса быстро проявляются: начиная с пятого "поколения" вируса при старте зараженной программы с вероятностью 1/2 на экране появляется сообщение:

Program sick error: Call doctor or buy PIXEL for cure description

Другие модификации вируса сообщают:

"Pixel.257,275": Fucking hell:You wet pussy"Pixel.283": What a stupid you are !!!!!!!!"Pixel.296": En tu PC hay un virus RV1, y esta es su quinta generacion"Pixel.299.b": Software Failure. Task Held. Guru Meditation #456789:#34567?????"Pixel.837": I love you so much!!! -- Francis"Pixel.847.b": Buy AMSTRAD it is THE CHEAPEST COMPUTER thatyou can buy THE END IS NEAR!! THE SIGNS OF THE BEAST ARE EVERYWHERE!! Hello, John Mcafee,please uprade me.Bests regards,Jean Lu"Pixel.847.c": En tu PC hay un virus RV1, y Вsta es su quinta generaciвn"Pixel.877": Sector not found error fucking defoult drive! Please buy me a new disk drive!"Pixel.899": COMMAND.COM Fucking Hell: What a smelly ass hole!!Do you want to fuck it!!!"Pixel.Ill": You are ill.

"Pixel.936" (сообщение появляется 1-го апреля):

Fucking Hell: What a smelly ass hole!!Do you want to fuck it!!! HaHaHa...What a Good Friday!!

Некоторые версии выдают на экран политические лозунги на болгарском языке.

Другие версии вируса содержат строки:

"Pixel.1268,1271" выводят текст "ENTER THE PASSWORD:" и ждут ввода "Ken Sent Me". Если пароль введен неправильно, то вирус выводит "YOU HAVE ENTERED THE WRONG PASSWORD!!" и выходит в DOS. Вирус также содержит строку "PreComFileRunSyndrome 1993".

Pixcel.Cheef

Ежемесячно 3-го числа стирают FAT и поздравляют:

Happy Birthday,Cheef!

Также содержат строку:

ShMoscow

Pixel.Hydra

При старте записываются в начало одного из .COM-файлов текущего каталога. Если ни одного такого файла не обнаружено, то вирусы, в зависимости от своей версии, либо уничтожают COMMAND.COM или все .EXE-файлы текущего каталога, либо записывают в .EXE-файлы программу, которая при старте расшифровывает и выводит на экран текст: "Who is John Galt?", либо выводят на экран сообщения:

HYDRA Copyright (c)  1991 by C.A.V.E.

Также содержат тексты типа:

HyDra-1 Beta - Not For Release.

Coalition of American Virus Engineers -=-=- Dedicated to supporting theanti-virus industry without recognition or reward. -=-=-

Мне кажется, что в последнем утверждении автор вируса несколько неправ - он путает причину со следствием.

Pixel.Ill

При запуске перехватывает INT 1Ch и возвращает управление программе-носителю. При запуске во второй раз проверяет код INT 1Ch. Если этот код содержит идентификационный байт кода INT 1Ch вируса, то вирус ищет и заражает .COM-файлы (кроме COMMAND.COM). Таким образом, вирус заражает файлы только при запуске во второй раз (и более).

Проявляется видео-эффектом: сдвигает экран вниз/вверх.

Pixel.Self

Первые 8 байт вируса состоят из четырех пар, которые случайно выбираются из PUSH CX - POP CX, PUSH DX - POP DX, PUSH DS - POP DS, PUSH ES - POP ES. Периодически выдает на экран случайные данные.

"Pixel.Self.550" в зависимости от времени может уничтожать .EXE-файлы. Снимает атрибут read-only и не восстанавливает его.

Piz.2025

Опасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Под отладчиком уничтожает содержимое CMOS. Иногда выдает сообщение:

+---+-   - +-+   ++ ---+ -   -|   ||  +|  --+ ++| |--  |   |-   -+--+++---++---+----++----+  npuxogum He3aMemHo .... >-E

Pizelun.3599

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. При вызове DOS-функции GetDir ищет и заражает файлы текущего каталога. В мае 1995-го года перехватывает также INT 8, 10h, 15h и проявляет себя различными способами: мигает индикаторами Num/Caps/ScrollLock, меняет цвета экрана, переводит в маленькие буквы выводимые на экран сообщения, перехватывает Alt-Ctrl-Del, завешивает компьютер и выводит "кашу" на экран и системный спикер, выводит сообщение:

PIZELUN attivato, attivatissimo!Premere un tasto per continuare . . .

Также содержит строку:

AlБra? ALF

PK.4096

Опасный резидентный стелс -полиморфик -вирус. Записывается в конец COM- и EXE-файлов. Зараажет файлы при их копировании на дискеты, также при инсталляции в память ищет и заражает несколько файлов на диске C:. В зависимости от своих случайных счетчиков заражает COM-файлы вирусом "Small.66.b"

Использует несколько уровней шифрования. Первый уровень - полиморфик, второй - с использованием антиотладочных приемов, третий - шифровка "на лету": большая часть кода вируса постоянно зашифрована, при необходимости вирус расшифровывает процедуру, выполняет ее и снова зашифровывает с новым ключем. Вирус использует и другие анти-отладочные приемы, некоторые из них некорректны, и вирус завешивает систему на Pentium PC.

Резидентен, но оставляет в системной памяти (в области данных DOS по адресу 0054:0000) всего 200 байт кода своего обработчика INT 21h. Полностью свой код шифрует и записывает в неиспользуемые сектора первого трека диска C:. При необходимости вирус считывает этот код в видео-память, расшифровывает и вызывает его. При перехвате INT 21h патчит ядро DOS.

Перехватывает несколько функций INT 21h: Read, Write, Seek, FindFirst/Next, Get File Date&Time (все перечисленные используются в стелс), Execute, Create, Close. При создании COM- и EXE-файлов на дискетах вирус запоминает их Handle и заражает при закрытии. При запуске ADINF.EXE вирус выводит на экран "кашу" и текст:

Divide overflow

Содержит также строки:

JESUS CHRIST SUPERSTAR(C)PK 10/94

PL0006.480

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. В зависимости от системной даты перезагружает компьютер. Содержит строки:

PL*.comPL006 Virus

Plague.2647

Безобидный резидентный стелс вирус. Перехватывает INT 21h и записывается в конец COM-, EXE- и SYS-файлов при обращении к ним. Содержит строку:

PLAGUE

Planters.360

Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается вместо .COM- и .EXE-файлов при изменении их атрибутов (INT 21h, AH=43h, или команда DOS ATTRIB). В зависимости от своего счетчика расшифровывает и выводит текст:

When you think of nuts,you think of PLANTERS!

Platov, семейство

Очень опасные резидентные частично зашифрованные вирусы. Копируют себя по адресу 9800:0000 и перехватывает INT 8, 17h, 21h. При запуске программ ищет COM-файлы (кроме COMMAND.COM) и записывается в их конец. В зависимости от текущей даты уничтожает запускаемые файлы, перезагружает компьютер. При печати заменяет символ 'е' на 'э', после запятой вставляет матерный неопределенный артикль.

При переходе на диск A: выводит текст:

Не пользуйтесь дискетами.Там могут быть вирусы.

и стирает сектора дискеты. При переходе в каталоги GAMES или ANT соответственно выводит:

Компьютер создан не для игр!Не пытайтесь меня уничтожить!

и добавляет:

Access Denied Software presentsThe PC VirusProgrammed by Andrey Platov

Вирус также содержит строки:

15 years old on 09.07.1992Hello to Igan, Pershin ЧМОgamesantCOMMAND*.COM

Playboy.1039

Безобидный нерезидентный вирус. При запуске ищет .COM- и .EXE-файлы и записывается в их конец. Содержит строку:

(- PLAYBOY -)

Plovdiv, семейство

Резидентные очень опасные вирусы. Перехватывают INT 21h.

Plovdiv.800

Записывает свою TSR-копию в две области: в облясть данных DOS по адресу 0000:0600 и в старшие адреса 640K RAM. Записывается в начало .COM-файлов. Форматирует сектора дисков, содержит тексты:

*.com(c)Damage inc.Ver 1.1,Plovdiv,1991

Plovdiv.984,1000

Записываются в конец .COM- и .EXE-файлов. Форматируют сектора дисков, содержат тексты:

Plovdiv.984 : "(c)Damage inc. Ver 1.3 1991 Plovdiv S.A."Plovdiv.1000: "(c)Damage inc. S.A. Ver 1.3B IX.91 Plovdiv"

Prudents.1205

Нерезидентный очень опасный вирус. Ищет .EXE-файлы и записывается в их конец. Если при заражении файла возникает ошибка (например, реакция резидентного антивирусного монитора при записи в EXE-файл), то файл уничтожается. Содержит текст:

#Prudents virus. Barcelona 20/8/89#

PSFL.1005

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Перехватывает также функции FindFirst/Next (команда DIR) и заражает файлы при их поиске. По 13-м числам форматирует винчестер и выводит в углы экрана четыре символа:

H A

T E

Содержит строки:

[WowWowGirl][  PSFL   ]

Psycho.723

Нерезидентный очень опасный вирус, записывается вместо всех файлов текущего каталога. Содержит тексты:

Written by  (Psychogenius)  12/28/91

NKOTB JORDAN The Cover Girl Virus *.*

Psyco.804

Неопасный нерезидентный вирус. При запуске ищет C:\COMMAND.COM и .COM-файлы текущего каталога и записывается в их конец. Содержит строки:

INFECTCOMMAND.COM

Расшифровывает и выводит сообщение:

Psyco ITALY!

Puf.581

Опасный нерезидентный вирус. Ищет COM-файлы (кроме COMMAND.COM) и записывается в их конец. 30-го декабря записывает в \AUTOEXEC.BAT команды:

@echo offecho PUFessional Anti-Windows Virus v1.2\PUFAWV12.COM

Затем создает файл \PUFAWV12.COM и записывает в него код, завешивающий компьютер. Затем вирус перезагружает компьютер.

Puke.393

Резидентный неопасный вирус, копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку:

[PuKE]

Pulce.1840

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и при запуске файлов ищет в текущем каталоге COM- и EXE-файлы и записывается в их конец. Не заражает файлы из строки:

COMMAND.SCAN.CLEAN.F-PROT.KRNL286.KRNL386.QBASIC.VPIC.

В зависимости от системного времени перехватывает INT 08h и проявляется различными эффектами, выводит строки:

Hey! C'e' una PULCE nella CPU!!!PULCE! v2.1 24/4/94 by AL...Ingegneri d'Ancona succhiate il cazzo e fatemi usare il PC!Adesso e' ora di fare festa!BERLUSCONI BOIA!PULCE! Libera di andare dove vuole

Punisher.1632

Безобидный резидентный зашифрованный вирус. Трассирует INT 13h, 21h, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает файлы: A*.*. S*.*, I*.*, C*.*. Содержит строку:

The Punisher-I

Puppets.960

Неопасный резидентный вирус. Перехватывает INT 9, 10h, 21h и записывается в конец .COM-файлов при их запуске или открытии. При "теплой" перезагрузке (Alt-Ctrl-Del) вирус пытается сохранить свою резидентную часть. При этом он выводит текст:

затем некоторое время ждет, потом вызывает INT 19h (bootstrap loader), перехватывает вызовы INT 10h, затем перехватывает INT 9 и 21h.

С января по октябрь при перезагрузке вирус выводит текст:

This virus written 1990. (C) Copyrigth The Master of PuppetsPublic Domain Software.

Put.1939

Неопасный нерезидентный зашифрованный вирус. Ищет .EXE-файлы и записывается в их конец. В начале тела вируса присутствует слово "PUT". Периодически вирус выдает на экран текст:

+--------------------------------------------------------------+| Serdeczne gratulacje infekcji ||Prosze sie nie obawiac , ten wirus jest nie grozny dla systemu||Sluzy on badaniom socjologicznym mozliwosci rozprzestrzeniania||sie wirusa VIR v1.0. W celu uzyskania programu antywirusowego ||nalezy sie zglosic do Krzysztofa Trzesickiego w godzinach ||wieczornych. || Don`t be too angry for that. |+--------------------------------------------------------------+

A teraz maly test ... Hi,hi. Piotr Panek Corp 1992 version v1.4 Ile to jest ### razy ###

Pux.1295

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку "chklist.cps chklist.ms" и уничтожает эти файлы. При открытии некоторых файлов (антивирусов?) портит данные на диске. Меняет данные в CMOS.

Pyramid.457

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их закрытии. В зависимости от системного таймера выводит изображение пирамиды.

Демонстрации вирусных эффектов:

PYRAMID.COM

Pysk, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов.

Pysk.1536

Заражает файлы при их запуске. В зависимости от текущего дня перехватывает INT 09h, или INT 15h, или INT 1Ch, затем меняет флаги клавиматуры или коды клавиш (INT 15h, 1Ch), выводит сообщение при нажатии на Alt-Ctrl-Del (INT 09h). В зависимости от некоторых условий расшифровывает и выводит одно из сообщений:

I can't find this file, but I love you?Co to za bzdura?Cmoknij mnie w dysk!!!KEEP SMILINGVIRUS PYSKKILLER v 5.47 (c) MSDRAGON SOFTWAREALL DATA WILL BE DESTROY!!! TURN OFF COMPIUTER!!!One, two, three... TEST SOUNDHave a good time! - M.S.STRAJK!Incorrect DOS version or virus(perhaps PYSKKILLER)You are dupek!LEGIA IS THE BEST

Pysk.2464

Зашифрованный стелс-вирус. Заражает файлы при их запуске и закрытии. При открытии файлов лечит их. Перехватывает также INT 8 (таймер) и постоянно подсчитывает CRC-сумму своего кода. Если код вируса изменен, то вирус перезагружает компьютер.

В зависимости от системной даты и своего счетчика вирус перехватывает INT 1Ch. При каждом вызове INT 1Ch ищет на экране строки "disk" или "dysk" и заменяет их на "pysk".

В зависимости от своего счетчика создает файл C:\Q.COM и записывает туда резидентный COM-вирус.

Вирус содержит строки:

CHKDSKc:\q.comVIRUS PYSKKILLER written by SMOK 9-IX-1994 W-waACID ZONE !!! W.Hury was here.COMMAND SMOK NO NAME HOST_FOR_C NEPTUN413 BAZIC DISK!

Python.1142

Очень опасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец .COM- и EXE-файлов при их запуске или загрузке как оверлеев. В зависимости от своего внутреннего таймера стирает MBR винчестера. Содержит строку:

PYTHON

PZ, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Зараженные файлы содержат слово "pz". По 13-м пятницам стирают сектора винчестера и выводят сообщения:

"PZ.826": I'm virus Johnny! Now your Hard disk is destroyed. You can restart the computer."PZ.955": I'm virus Angel! Now your Hard disk is destroyed. You can restart the computer.

Pusher.374

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Содержит строку:

[PUSH]

Наиболее интересной особенностью вируса является его полиморфик-генератор, который конвертирует код вируса (374 байта) в полиморфичную последовательность команд, которые помещают этот код в стек (в результате размер зараженных файлов возрастает на различные значения - около 740 байт). После того, как код вируса оказывается в стеке, вирус передает туда управление:

MOV AX,Opcode1PUSH AXADD AX,Data1 ; Opcode2PUSH AXSUB AX,Data2 ; Opcode3PUSH AXINC AX ; Opcode4PUSH AX...JMP SP

При этом управление получает процедура инсталляции вируса в память, которая выделяет необходимый блок памяти, перехватывает INT 21h и возвращает управление программе-носителю.

Parity.441

Нерезидентный неопасный вирус. Записывается в конец .COM-файлов текущего каталога. Изредка сообщает:

PARITY CHECK 2 2000 (S)

Paris.4909

Нерезидентный очень опасный вирус. Ищет COM- и .EXE-файлы дерева подкаталогов (кроме IBMBIO.COM и IBMDOS.COM) и записывается в их конец. Изменяет номера первых кластеров файлов, такие файлы становятся недоступными. Содержит текстовые строки:

IBMBIO COMIBMDOS COMAUTOEXECBATCOMMAND COMSYSEXECOM

ParityError, семейство

Нерезидентные очень опасные вирусы. Ищут .COM-файлы текущего каталога и записываются в их конец. Содержат текст "*.COM", выводит сообщения:

Water detected in math-co-processorPARITY ERROR System haltedSomething wonderful has happened, your PC is alive...

Стирают сектора дисков.

Particle.690

Очень опасный нерезидентный самошифрующийся вирус, записывается в конец .COM-файлов текущего каталога. По 14-м числам записывает в начало файлов текст:

Particle man, particle man Doing the things a particle can What's he like? It's not important Particle man Is he a dot, or is he a speck? When he's underwater does he get wet? Or does the water get him instead? Nobody knows, Particle man

Также содержит строки:

Particle 1.4(c) Copyright Drizzt Do'Urden '92*.COM *.* ..

Party, семейство

Неопасные нерезидентные вирусы. Ищут .COM-файлы и записываются в их конец. 1-го июля выводят текст:

This is Weeding Party 1.0 virus by Dark Judge in Tainan, Taiwan <R.O.C>

Pathhunt.1231

Нерезидентный опасный зашифрованный вирус. Ищет .COM- и .EXE-файлы и записывается в их конец. EXE-файлы переводятся в COM-формат. При заражении переименовывает файлы в 'PATHHUNT', заражает, а затем переименовывает обратно. Портит .DBF-файлы, содержит текст:

*.COM *.DBF *.EXE PATHHUNT PATH=

PathVir.1020

Опасный нерезидентный вирус. При запуске ищет COM-файлы (кроме COMMAND.COM) в текущем каталоге и каталогах PATH и записывается в их конец. 30-го декабря создает файл \PATH-VIR.COM, записывает в него команды, которые при запуске завешивают компьютер. Затем создает на текущем диске файл \AUTOEXEC.BAT и записывает в него команды запуска файла \PATH-VIR.COM:

@echo offecho PATH-Virus v1.0 from AWVC laboratories...\PATH-VIR.COM

Patoruzu, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец (931-байтовая версия) или начало (1024-байтовая версия) COM-файлов (кроме COMMAND.COM) при их запуске.

"Patoruzu.931" зашифрован, по 17-м числам ежемесячно блокирует функцию DOS CreateDir.

"Patoruzu.1024" при заражении файлов переименовывает их в имя "TOMY", заражает и затем переименовывает обратно. Перехватывает также и INT 13h и периодически пытается корректировать содержимое секторов при их чтении, но эти попытки, скорее всего, неудачны - вирус содержит ошибку.

По 17-м числам "Patoruzu.1024", 17-го ноября "Patoruzu.931" выводят тексты:

"Patoruzu.931":

Huijaaa !! La proxima vez sera tarde...Si sos MENEMISTA reza por tus discos.>> Virus PatoruzU 2.0 - Argentina <<

"Patoruzu.1024":

Viva Sumo! y Muera MENEM - Virus PatoruzU 1.0 - Argentina.

Patr.1536

Опасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. По 14-м числам стирает CMOS. Содержит строки:

*.exe *.*Co sie patrzysz?Retaliator v1.0

Patsy, семейство

Неопасные резидентные вирусы. Перехватывают INT 10h, 21h и записываются в конец запускаемых COM-файлов. 6-го марта и 8-го сентября выводят текст:

RIP Patsy Cline 8th September 1932 - 6th March 1963

Paulus.1804

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит ошибки и портит файлы небольшого размера. В зависимости от системной даты и времени перехватывает также INT 8, 9 и проявляется видео-эффектами: меняет на экране большие символы на маленькие и наоборот, в зависимости от своих счетчиков выводит текст и завешивает компьютер:

Paulus de DOSkabouter lives here... (C) MeThOxY 1996

PC_Ogre.386

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. 5-е поколение вируса стирает сектора диска и выводит текст:

PC-Ogre V1.00

Pcbb, семейство

Опасные резидентные зашифрованные (кроме "Pcbb.1141") вирусы. Перехватывают INT 9, 1Ch, 21h и записываются в конец COM-файлов при обращениях к ним. Могут поражать также файлы данных - это ошибка в алгоритме вируса. В конце зараженных файлов можно обнаружить строку "PCBB". Перехватывают прерывание клавиатуры и после нескольких нажатий меняют палитру EGA. Содержат внутри себя зашифрованные тексты:

"Pcbb.1141":    Pc Byte-Bandit  (c) VaXiNe '92"Pcbb.1656":    Pc Byte-Bandit (c) NoViA 1992"Pcbb.1658":    Pc Byte-Bandit (c) Demoralized Youth 1992"Pcbb.1658.b":  Pc Byte Bandit ver5"Pcbb.1701":    <> Demoralized Youth <>                PCBB, version 3.0  Written by <: Charlie! :>"Pcbb.1800":    Patrick Koehrs R.B R.B. Pc Byte Bandit, version 0.70

"Pcbb.1656,1658" записывают код поверх Windows EXE-файлов: участок DOS-программы заменяется небольшой программой, которая удаляет файл-носитель вируса при старте; часть Windows заменяется текстом:

This is thy present world, said the Flame to the Spark.Thou art myself, my image, and my shadow. I have clothedmyself in thee, and thou art my vehicle to the day, "Bewith us," when thou shalt re-become myself and others,thyself and me.

"Pcbb.1658.b,1701,1800" содержат в себе семь вариантов расшифровщика. В зависимости от дня недели эти вирусы выбирают один из них, записывают его в файл, затем шифруют и записывают в файл свое тело.

"Pcbb.2277" неопасен. Перехватывает INT 9, 1Ch, 21h. Проявляется какими-то видеоэффектами. Содержит текст "5FI5SH5&W5HA5LE". При заражении файлов дописывает к ним случайное число команд NOP, затем расшифровщик и зашифрованное тело вируса. Расшифровщик выбирается из 7 различных вариантов.

"Pcbb.3072.*" являются вариантом "Pcbb.2277", содержат строки:

When you are demoralized.... there is NO way out!5FI5SH5&W5HA5PCBB

Также содержат строки:

"Pcbb.3072.a": PCBB v11 (c) Hannibal Lechter of Demoralized Youth Norway."Pcbb.3072.b": Pc Byte Bandit, version 0.71"Pcbb.3072.e": PCBB v11 (c) -*DRE/\MER*- of Demoralized Youth

Pcbb.J4j

Резидентные безобидные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. В конце зараженных файлов содержится слово:

J4J

Также содержат тексты:

"Pcbb.J4j.833": Jump 4 Joy, alpha-release. Not to be distributed!"Pcbb.J4j.1273": EloЛ, EloЛ, lamа sabaktаni? Charlie says: Support ()DEMORALIZED YOUTH()

Pcflu, семейство

Pcflu.763,802

Опасные резидентные вирусы. Записывают свои TSR-копии по адресу 9A00:xxxx ничего не изменяя в MCB-блоках, что может вызвать зависание компьютера. Ищут в памяти резидентные антивирусные мониторы и пытаются их обойти. Затем перехватывают INT 21h и записываются в конец .COM-файлов при их запуске или открытии.

Pcflu.2112,2134,2141,2156

Опасные резидентный полиморфик -вирусы. Перехватывают INT 21h, 27h и записываются в нафало COM-файлов и конец EXE-файлов (некоторые из вирусов поражают только EXE). При запуске могут вывести текст:

Incorrect DOS version

Также содержат текст:

PC-FLU Mk II by Wizard 1991

Иногда перехватывают INT 8, 9 и периодически "пропускают" символы при их нажатии на клавиатуре.

Pcvrs.1904

Резидентный очень опасный зашифрованный вирус. Перехватывает INT 21h, 16h и записывается в начало .COM- (кроме COMMAND.COM) и конец .EXE-файлов при их открытии или выполнении. В конце зараженных файлов присутствует строка

PcDos

В понедельник 23-го числа форматирует винчестер и сообщает:

PcVrsDs Version 1.00 Copyright (C) VirOP 1990.

и подменяет каждый 13-й вводимый с клавиатуры знак. Через некоторое время после активизации начинеат уничтожать файлы при их открытии.

PD.1070

Безобидный нерезидентный зашифрованный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. По воскресеньям лечит файлы вместо заражения. Содержит строку:

Hi!PD