AntiViral Toolkit Pro Вирусная Энциклопедия

T555.556

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

T555 the terminator - And when we will succed , a new era will begin for manthe century of the machine ,QzSaEcFD!

T_Power, семейство

Опасные резидентные зашифрованные вирусы. Перехватывают INT 1Ch, 21h и при запуске, открытии, переименовании файлов ищут COM- и EXE-файлы и записываются в их конец. Не заражают некоторые антивирусные программы, уничтожают файлы данных антивирусных программ. В зависимости от своих счетчиков "T_Power.Cowa" перезагружает компьютер, "T_Power.Zarma" включает/выключает video refresh. Вирусы содержат строки:

OMSPEC= *.COM *.EXE SMART*.* CHK*.* ANTI-VIR.DAT *.VIR NAV_._* SCAN F- VIR VSH AV .S BMB BMD TB IM IV

и:

"T_Power.Cowa": COWA-BUNGA VIRUS (C) 1994 by Turbo Power *** Claudia Schieffer Lives !!!

"T_Power.Sodo": [Sodomizator/T.Power] Do you like me ?

"T_Power.Zarma": ZARMA-VIR by T.Power *** Claudia Schiffer Lives !!!

Tabulero, семейство

Неопасные резидентные вирусы, перехватывают INT 9, 21h и записываются в конец EXE-файлов при их загрузке в память. Выводят на экран текст:

TABULERO

Также содержат строки:

"Tabulero.2048.a": IUPLCM Wilmer "Tabulero.2048.a": ODALUBAT atse CP us, otreum ah LEMRAC --IUP LUIS CABALLERO MEJIAS--Wilmer 86- ISRAEL

Tack, семейство

Нерезидентные очень опасные вирусы. Ищут .COM-файлы текущего каталога и записываются в их конец. Заражают файлы некорректно: изменяют первые 6 байт файла на команды перехода на тело вируса (MOV AX,offset Virus / JMP AX), но восстановить можно только первые 5 байт. Выводят на экран текст:

----------------- Hello, I am virus ! ------------

"Tack.449" содержит слово "TACK".

Tadinho.971

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 8, 21h и записывается в конец .COM-файлов при их запуске. В зависимости от текущей даты запускает внутренний счетчик и через некоторое время форматирует винчестер, затем пытается (безуспешно) вывести сообщение. Содержит строки:

.com UNICAMP Tadinho... Perdeu o HD... Vinganca!!!

Tadpole.2792

Неопасный резидентный вирус. Перехватывает INT 21h, 2Fh и записывается в конец COM- и EXE-файлов при их запуске. Начиная с 28-го числа ежемесячно перехватывает IN 8, 9 и, если клавиатура неактивна в течении нескольких минут, проявляется видео-эффектом и выводит текст:

PHILIPPINES 2000, Greetings!

This tadpole lurks behind your empty mind... It wriggles thru your brain just to remind: You ought to have a sense of real concern On virus strains that plagued, you've got to learn.

What have you done to clean this dirty world? Have you taken steps on bogus softwares sold? What have you done to lethal engineers Who did create those worms and viral smears?

This tadpole lurks behind your empty mind... If you've done nothin' you will surely find: This tadpole leaps out of you brainless fools! To breed a million more of wriggling--- TADPOLES...

Soon, silicon-based artificial life-forms will rule this organic world... The creator will disavow any knowledge of my actions. (Sgd) CCCv (c) Outlawed Technology Section, CCC CompE... Hail U.C.!

Демонстрации вирусных эффектов:

TADPOLE.COM

Taek family

Неопасные резидентные зашифрованные вирусы, "Taek.1846" - полиморфик-вирус. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. "Taek.1965" при инсталляции также ищет и заражает все EXE-файлы в текущем каталоге.

Проверяют имена файлов и не заражают COMMAND.COM, IO*.*, OS*.*, SC*.*, WI*.*. "Taek.1965" также не заражает F-*.*.

Начиная с 22:00 после заражения каждого файла вирусы выводят тексты:

"Taek.1846":


Welcome to Scorpion Virus

Copyright (C)

"Taek.1956":


Red Scorpion

Copyright (C) 1995-1996 Taek Software.

Ver Red.1912

TaiPan, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. Содержат строки:


"TaiPan.434": CoSmO

"TaiPan.437": [ Hi from SERG !!! ( FAVT )]

"TaiPan.438": [Whisper presenterar Tai-Pan]

"TaiPan.Doom2.666":

DOOM2.EXE Illegal DOOM II signature Your version of DOOM2.EXE matches the illegal RAZOR release of DOOM2 Say bye-bye HD The programmer of DOOM II DEATH is in no way affiliated with ID software. ID software is in no way affiliated with DOOM II DEATH.

"TaiPan.Hoose.513": [Hooze Virus 1.0 (Tai-Pan clone)]

"Taipan.Chroot" заражает файлы при их запуске, открытии или при чтении/установке атрибутов файла. Уничтожает антивирус F-PROT. Не заражает файл с именем CHROOT.

"TaiPan.Hoose" 8-го августа перехватывает INT 1Ch и проялвяется Каким-то видео-эффектом.

Taiwan, семейство

Семейство нерезидентных очень опасных вирусов. Обходят подкаталоги и записываются в начало .COM-файлов. При заражении файлов блокируют клавиатуру (видимо, действие направленное против резидентных антивирусных мониторов).

Если ни один .COM-файл не найден, то вирусы "Taiwan.708,743" могут стереть часть секторов текущего диска и после этого сообщают:

Greetings from National Central University! Is today sunny?

8 числа ежемесячно "Doom.677,752" стирают FAT текущего диска и диска C:, а затем сообщают:

"Doom.677": DOOM I,(c) NCU Taiwan. "Doom.752": DOOM I. Greetings from National Central University !

Tajfun

Tajfun.250

Безобидный нерезидентный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. Содержит строку:

tajfun1.0

Tajfun.593

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов (кроме файлов MK*.*) при их запуске. Содержит зашифрованную строку:

TAJFUN$MK

TakeControl

Опасный резидентный полиморфик -вирус. Записывается в конец EXE-файлов и COMMAND.COM. При запуске зараженного EXE-файла записывается в файлы C:\COMMAND.COM и C:\DOS\COMMAND.COM, если они присутствуют, затем возвращает управление программе-носителю (EXE-программе). Вирус не проверяет внутренний формат файла COMMAND.COM и портит его, если этот файл имеет формат EXE (COMMAND.COM от Win95).

При запуске зараженного COMMAND.COM вирус перехватывает INT 21h, остается резидентно в памяти и заражает запускаемые EXE-файлы.

Вирус оставляет в памяти только половину своего кода - около 2.8Kb. При заражении EXE-файлов вирус использует свою полную копию из файла C:\COMMAND.COM, предварительно расшифровав ее.

Вирус не заражает файлы с именами из строки (по 4 символа на имя - 3P.E*, AHEL*.*, ALIK*.*, APPE*.*, ...) :

3P.EAHELALIKAPPEASTAATTRAVASAVG.AZORBINOBOOTBUILCHKDCLEADEFRDFA.DISK DOSXDPMIDRVSDSWAEMM3EXE.EXEMEXPAF-PRFASTFC.EFDISFINDGPEGGUARHIEWINI. INSTINTEKERNKRNLLABELGUAMAKEMANDMEMMMOVEMSBAMSCDMSD.MWBANAV.NLSFPAST PCC.POWEREX.REPLRESTRTM.SCANSETVSHARSHIESMARSORTSUBSTB.ETEMCTRAPTSAF UCOMUEXEUNDEVCOPVGUAVIRSVIRTVIRUVIVEVS.EVSHIWIN.WINSWSWAXCOP

Начиная с июля 1997 года выводит текст и завешивает компьютер:

TAKE CONTROL of yor mind, your body and your soul !!! (I'm taking control of your machine - he, he, he ...!) Replace your C:\COMMAND.COM and C:\DOS\COMMAND.COM and it'll be O.K. ... forever!


Zdar Grisofte, McAfee nebo jiny pocitacovy maniaku, jenz tento virus pitvas.

*** Gratuluju ***

>>> Konecne jsi me dekodoval a dostal se az sem. <<<


 At zije D.J.BOBO a jeho TAKE CONTROL!!! 

--- Virus napsany specialne na podporu antivirovych firem. ---

### Preji ti uspesny boj se vsemi moznymi viry, jako je tento. ###

Grisofte, vase AVG je fakt dobry, ale ve verzi 4.0 pro Windows je dost chyb.

No nic, puvodni CS:IP u EXE nebo prvni tri byty u COMMANDu jsou tady --->

TalkHead.519

Очень опасный нерезидентный вирус, ищет файлы *.COM, A:\README.COM, C:\DOS\CHKDSK.COM, COMMAND.COM и записывается вместо них. По пятницам расшифровывает и выводит сообщение:

This ain't no party, this ain't no disco, this ain't no foolin' around!

Содержит в себе также и текст (зашифрованный):

Copyright (C) 1991 Talking Heads Fan Club

Tally.259

Безобидный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их конец. Никак не проявляется, содержит строку:

*.EXE

Tamanna.1857

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске. Заголовок блока памяти, принадлежащего вирусу, содержит строку "Tamanna". В зависимости от текущей даты вирус выводит текст:

Wish... Facts need no recognition RM - A silent friend DHAKA Press T to reconcile with my Wish OK carry on >>

и ждет нажатия на клавишу 'T'. Если файл, зараженный вирусом "Tamanna", заражается каким-либо другим вирусом, то при запуске "Tamanna" выводит сообщение:

File has been modified. Rebuilding... Standby while rebooting

а затем лечит файл и перезагружает компьютер.

Tan, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при их архивации в ZIP-архивы - вирусы перехватывают открытие ZIP-файлов и начиная с этого момента заражают все открываемые .COM-файлы. При закрытии .COM-файлов вирусы лечат их. В результате файлы на диске остаются незараженными, но в архивы попадают их зараженные копии.

Вирусы никак не проявляют себя, содержат строку:

TANxxxxxxx

Telstra.1100

Неопасный нерезидентный вирус. Ищет EXE-файлы и записывается в их конец. Оставляет резидентную программу, которая перехватывает прерывания таймера (INT 1Ch) и ищет в буфере клавиатуры строку "Telstra". Если такая строка обнаружена, вирус переводит дисплей в графический видео-режим, вызывает VGA-эффекты и выводит текст:

TELSTRA IS KILLING THE OZ BBS SCENE!

Демонстрации вирусных эффектов:

TELSTRA.COM

TempVir.466

Безобидный нерезидентный вирус. Ищет COM-файлы только в каталоге C:\TEMP и записывается в их конец. Никак не проявляется, содержит строку:

C:\TEMP\*.COM

TenBytes, семейство

Резидентные очень опасные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при их загрузке в память. При заражении .COM-файлов изменяют его первые 32 байта на команду перехода на код вируса (JMP Far Loc_Virus; ...). В пораженных EXE-файлах возможны два варианта точки входа в вирус.

Вирус активизируется только в том случае, если обработчик прерывания содержит слово FC80h (это условие всегда выполняется, если вектор прерывания 21h указывает в DOS на системный обработчик). Изменяет первые 5 байт обработчика (JMP Far Loc_Virus). Размещает резидентную копию по адресу 9800:0000 без корректировки MCB, что может вызвать зависание компьютера. При этом использует INT 1 и 3 и блокирует работу отладчика. Начиная с сентября при записи на диск (INT 21h, AH=40h) изменяет адрес сохраняемого буфера.

Tenerife.1707

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Содержит строки:

atan ucifer 66 enerife 1993

В зависимости от текущей даты вирус перехватывает также INT 9, 1Ch и проявляется следующим эффектом - при вводе с клавиатуры некоторых символов вирус добавляет строки текста:

'S' - "atan ", 'L' - "ucifer ", '6' - "66 ", 'T' - "enerife ".

Вирус также вызывает какой-то звуковой эффект.

Tentacle_III.10496

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. В точку входа файла записывает JMP FAR на свое тело и корректирует таблицу настройки адресов в EXE-заголовке, используя идею вируса "Voronezh.1600" . Если заражаемый файл содержит оверлей, то вирус сдвигает его вниз и записывает свой код между основным телом файла и оверлеем.

При открытии GIF-файлов в зависимости от своего случайного счетчика переименовывает файл в имя TENTACLE со случайным расширением и записывает в первоначальный файл GIF-изображение щупальца осьминога.

Вирус проверяет системную память на наличие резидентных антивирусов и каким-то образом правит их код. Считывает какие-то данные из IFS$HLP$ и также правит их.

Содержит строки:

IFS$HLP$ TBDRVXXXSCANX TBCHKXXXTBMEMXXXTBFILXXXTBDSKXXXTBLOGXXX WARNING! Your system is contamined with the Tentacle Virus. IMPORTANT: Don't open any GIF file! .GIF.gif.EXE.exe\TENTACLE.

Teraz.2777

Безобидный нерезидентный полиморфик -вирус. Ищет EXE-файлы и записывается в их конец. Никак не проявляется, содержит строку:

~ TERAZ SLUPSK ~

Teraz.4004

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. В зависимости от своих внутренних счетчиков стирает CMOS, выводит сообщение:

и вызывает какой-то видео эффект.

Terminator

Terminator.918,1501

Резидентные очень опасные вирусы. Перехватывают INT 13h, 21h и поражают .COM-файлы кроме COMMAND.COM. "Terminator.918" записывает себя вместо файлов, "Terminator.1501" записывает себя в начало файлов и сохраняет первоначальную информацию в конце файла. Под отладчиком вирусы сообщают:

ERROR IN DEBBUG.

Также стирают сектора дисков, после чего выводят сообщение:

The Terminator Attack Now.

Также содержат в своем теле строку:

*.COM COMMAND.COM

Terminator.526

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. 25-го декабря расшифровывает и выводит на экран сообщение:

TERMINATOR 1991. Made by SVS-009

Terminator.2294

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 8, 9, 13h, 17h, 21h и записывается в конец COM- и EXE-файлов при их открытии или выполнении. Выводит на экран текст:

TERMINATOR

затем стирает CMOS и сектора дисков. Перехватывает INT 8 (таймер) и замедляет работу компьютера, изменяет знаки, выводимые на принтер. Также содержит строку:

.csc.eziarchomanxep

Terminator.3275

Неопасный резидентный зашифрованный вирус. При запуске зараженного COM- или EXE-файла ищет файл CONFIG.SYS и вставляет в него строку "device=\vmem.sys", затем создает в текущем каталоге файл VMEM.SYS, куда записывает свою копию. При загрузке DOS с диска, содержащего VMEM.SYS, вирус остается в памяти как драйвер с именем "DOSxxVMS" (xx - номер текущей версии DOS), перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает диск, если в его корневом каталоге содержится файл MICRO.BUG. В зависимости от текущего времени выдает сообщение:

You have been stupied and careless, so now the TERMINATOR (tm) will take over your computer. You will get it back either when you grow up, or get an ANTI-VIRUS. +-------------------------------------------+ |Remember: Software piracy is forbidden! | | DO NOT MAKE ILLEGAL COPIES OF THIS VIRUS!!| +-------------------------------------------+

Содержит также строки:

TERMINATOR COMSPEC= \micro.bug device=\vmem.sys A:\config.sys A:\msdos.* A:\ibmdos.* A:\command.*

Terminator.3549

Очень опасный нерезидентный вирус. Ищет .EXE-файлы в дереве подкаталогов и записывается вместо них.

Тело вируса скомпрессировано архиватором LZEXE (строка-копирайт "LZ91" стерта). При старте зараженной программы коды архиватора LZEXE разворачивают вирус, который затем находит .EXE-файл, считывает свое тело (архивированное) из стартовавшей программы и записывает его в поражаемый файл.

Тело вируса содержит строки: "....", "my", "on", "*.exe"; после разархивации появляются строки "\", "*.*", а после снятия несложной шифровки - "Divide overflow The Terminator - 2 (C) 1992"

Tero.308

Безобидный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строку:

Tero by ETropf *.com

TerraX, семейство

Неопасные резидентные компаньон-вирусы. "TerraX.2874" - полиморфик-вирус на базе генератора SDFE 1.0.

Перехватывают INT 21h и создают компаньон-файлы с расширением COM при запуске .EXE-файлов. При запуске .COM-файлов переименовывают их в EXE, а затем заражают как .EXE-файлы. Не заражают файлы, если в начале их имени присутствует одна из строк:

COMMAND IBM ET PC TB CKVI KLVI DEVI BTOOL RTOOL TDISK SCAN CLEAN HUNT F- TR G Z

По 18-м числам выводят картинку:


+-------------------------------+#

|          п Terra'X о          |#

|-------------------------------|#

| Written By Zhuge Jin at TPVO. |#

+-------------------------------+#

 #################################

Демонстрации вирусных эффектов:

TERRAX.COM

Terronia, семейство

Безобидные резидентные зашифрованные стелс -вирусы. Перехватывают INT 21h, 2Fh и записываются в конец COM- и EXE-файлов при их запуске или закрытии. При запуске отладчика или при открытии зараженных файлов вирусы лечат их. При запуске Windows выключают свои процедуры заражения и стелс. Содержат строку:

|||-(BOOBS-)||| Virus , Once again deep in Terronia Land 1997 Bari

Terror

Резидентный безвредный вирус. Перехватывает INT 21h и при закрытии или выполнении COM- и EXE-файлов поражает их, при вызове DOS-функции FindFirst пытается поразить COMMAND.COM. Записывается в конец COM- и EXE-файлов, в начало COM записывает 11 байт процедуры Jmp-Virus, при заражении COMMAND.COM записывается в его середину. Содержит текст:

Terror

Tetris, семейство

Резидентные очень опасные вирусы. Перехватывают INT 21h и записываются в конец COM- и OVL-файлов при их загрузке в память.

При открытии .PRG-файлов "Tetris.552" записывает в их начало команду:

?'PLAY TETRIS,HI-HI-HI

При открытии .BAT-файлов "Tetris.633" записывает в их начало команду, стирающую все файлы на текущем диске:


@echo XII-ET 585668 Bath Killer ....

echo y|del *.*>nul

Этот вирус также содержит текст:

XII-ET 578740 Novosibirsk 91

ThatsAll.618

Опасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец COM-файлов при их запуске. Не инсталлируется в память, если присутствует каталог \LAN. Иногда выводит текст и завешивает компьютер:

THAT`S ALL, FOLKS !

TheRat

Резидентный безобидный вирус. При запуске зараженного файла копирует себя в область стека DOS, перехватывает INT 21h и затем записывается в заголовок EXE-файлов при их открытии или выполнении. Содержит строку:

The Rat, Sofia

TimerJack.1106

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме SCAN, CLEAN, VSAFE, FINDVIRU, COMMAND) при их запуске. В зависимости от текущей даты перехватывает INT 8 и портит значение системного таймера. Содержит строку:

Timer by some Jack

Timid, семейство

Очень опасные нерезидентные вирусы. Записываются либо во все (*.*), либо только в .COM-файлы текущего каталога. Если все файлы уже заражены, некоторые из этих вирусов форматируют сектора диска C:. Некоторые из вирусов выводят имя только что зараженного файла. В начале пораженных файлов содержится строка "GR" или "VI".

"Timid.320" выводит:

HEH!HEH!HEH!HEH!

Timishoara.2132

Неопасный резидентный частично зашифрованный вирус. Перехватывает INT 8, 21h. По пятницам также перехватывает INT 9. Записывается в начало COM- и конец EXE-файлов при обращениях к ним. Не заражает COMMAND.COM. Проявляется каким-то звуковым эффектом, выводит текст:


+-----------------------------+

| Greetings from Timishoara ! |

|     Call 0040-61-13821      |

+-----------------------------+

Tina.826

Опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их начало. Записывает в файл AUTOEXEC.BAT строки:

@echo off echo Tina, do you love me? pause >nul

Также содержит строки:

*.COM *.* \AUTOEXEC.BAT

Tiny, семейство

Состоит из нескольких резидентных вирусов. Стандартным образом поражают COM-файлы при их загрузке. Вирусы семейства копируют свою резидентную часть в область памяти по адресу [0000:0600]. Отличаются небольшими размерами - от 126 до 198 или 340 байт.

"Tiny.330" может уничтожать файлы, при запуске программ AV.EXE или SCAN.* сообщает:

This scan program can't find me I'm a GHOST in your machine!!

"Tiny.340" записывает себя в область нулевых байт COM-файлов (если, конечно, такая область существует). Длина файлов при этом не увеличивается.

"Tiny.Fred" содержит строку "Fred". Поражает .EXE-файлы как .COM, в результате они виснут при запуске. Форматирует диски.

Tip.554

Безобидный резидентный вирус. Перехватывает INT 21h и при вызовах DOS-функций Execute, Delete, Create/Remove/Change Directory ищет .COM-файлы и записывается в их конец. Содержит строки:

Virus program message from TIP to YSJ *.COM COMMAND

Tired.1740

Резидентный опасный вирус. Перехватывает INT 21h и записывается в конец COM-, EXE- и OVL-файлов при из загрузке в память для выполнения. Периодически расшифровывает и выводит на экран фразу, после чего перезагружает компьютер:

I think you're tired to the bone. You'd better go home

Titanium.844

Безобидный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их начало. Содержит строки:

*.com `rbase' - Titanium

TMC

Безобидный резидентный частично зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Заражает файлы только на дискетах, при этом проверяет их имена и не заражает файлы: NO*.*, WE*.*, TB*.*, AV*.*, F-*.*, SC*.*, CL*.*, CO*.*, WI*.*, KR*.*.

Вирус использует довольно необычный генератор полиморфик-кода: каждый раз при заражении памяти меняет местами блоки своего кода и данных, вставляет "мусор", в своих ассемблерных инструкциях устанавливает новые значения оффсетов на данные, меняет константы и т.д. В результате несмотря на то что вирус не шифрует свой код, он тем не менее является полиморфик-вирусом, так как в его коде нет постоянного набора команд. Более того, при создании своих новых копий вирус меняет свою длину.

После заражения памяти вирус более не меняет своего кода и заражает файлы своим "текущим состоянием". Вирус создает свою новую модификацию только при очередной инсталляции в память, т.е. после перезагрузки компьтера.

Содержит текст:

0 TMC 1.0 by Ender 0 Welcome to the Tiny Mutation Compiler! Dis is level 6*9. Greetings to virus makers: Dark Avenger, Vyvojar, SVL, Hell Angel Personal greetings: K. K., Dark Punisher

TME.643

Неопасный нерезидентный полиморфный вирус-червь. При запуске записывает себя в файл TME.COM ("обновляет" свою копию).

Tmtm.441

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Периодически выводит на экран текст:

Two Minutes to Midnight [1258] by ICE-9 This virus was precision built in England.

TNSE, семейство

Резидентные зашифрованные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в конец запускаемых COM-файлов.

TNSE.Eat.381

Очень опасен - под "чистой" DOS портит заражаемые файлы. Размножается только под QEMM или многозадачными операционными системами. Содержит текст:

Signature:[EAT SPiCE & Die] by TNSe/LT

TNSE.Faen.450

Опасен - при некоторых условиях (под отладчиком? если неправильно вылечен антивирусом TBAV?) пытается записать в boot-сектор диска A: программу, которая при запуске сообщает:

NO ROM BASIC

Вирус содержит ошибку - вместо INT 13h вызывает INT 21h и записи на диск A: не происходит. Вирус затем перезагружает компьютер.

Вирус также содержит текст:

[(FY) FAEN V1.0 BY TNSe / DC]

Today.477

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. В мае и декабре по 13-м и 31-м числам выводит сообщение и возвращает управление DOS:

TODAY IS SOMETHING REALLY SPECIAL. LET YOUR PC REST IN PEACE

Todor.1993

Болгарская школа компьютерных вирусов всегда славилась своими передовыми разработками в области электронных насекомых. На этот раз миру представлен очередной результат тяжелой работы программиста-энтузиаста (или группы программистов?) - вирус Todor. Свое имя этот вирус получил из строки текста, скрытого внутри тела вируса - "(C)Todor".

Вирус не резидентен, поражает только COM и EXE файлы, чем сродни сотням своих родственников. Выделяет этот вирус среди остальных то, что он использует новый, ранее нигде не встречавшийся, полиморфик-алгоритм генерации расшифровщиков основного тела вируса. Новый - не значит самый мощный, вирусы, основанные на MtE-технологии используют гораздо более мощные алгоритмы шифрования. Новый - значит именно этот конкретный алгоритм не встречался до сих пор и десяткам (сотням?) разработчиков антивирусного software придется поломать голову над 1993-мя байтами кода вируса.

Как работает вирус

При старте вирус первым делом расшифровывает свое тело. Для расшифрования используется довольно простой алгоритм, основанный на команде самой распространенной в вирусных расшифровщиках команде XOR: на каждом шаге работы расшифровщика очередное слов вируса XORится с ключем, который, в свою очередь, изменяется при каждом очередном шаге.

Затем вирус устанавливает новые Disk Transfer Address и адрес INT 24h. Для начала вирус заражает файл, отмеченный в ENVIRONMENT строкой COMSPEC=. В большинстве случаев этим файлом является COMMAND.COM. Итак, COMMAND.COM поражен. После этого вирус ищет сначала EXE файлы текущего каталога, а затем и COM файлы и пытается внедриться в них. При поиске и поражении файлов вирус использует функции DOS FindFirst/Next ASCII (INT 21h, AH=4Eh/4Fh). Он ищет не более 8-ми файлов, из которых поражает не более 5. Итого, после успешной работы вируса, зараженными могут оказаться только первые 8 COM или EXE файлов в текущем каталоге и файл COMMAND.COM.

Особенности

-----------

Вирус перехватывает INT 24h - Fatal Error Handler, но это не все, что он делает для того, чтобы избежать попыток заражения файлов на защищенном от записи диске: перед тем, как перейти к заражению файлов, вирус пытается создать, а затем уничтожить временный файл в каталоге, в котором лежит заражаемый файл. Если при создании файла произошла ошибка - вирус считает, что диск не доступен для записи и не пытается записываться в файлы этого диска.

Вирус также запоминает и восстанавливает атрибуты заражаемого файла. Для хорошего тона осталось только запомнить и восстановить время и дату последней модификации файла - что и проделывается вирусом, за исключением того, что значение секунд в дате файла устанавливается в 22. При поиске файлов вирус проверяет это значение и не заражает такие файлы. Итак, если значение секунд в дате файла - 22, то файл может быть заражен вирусом Todor. Однако команда DIR из DOS не показала мне секунд, не сделали этого и другие имеющиеся у меня утилиты... Только Windows File Manager честно высветил:

todor.exe ... x:xx:22pm

Перед заражением файла вирус проверяет его заголовок. Если в заголовке по смещению 32 находится строка "(C)Todor" то вирус не поражает такие файлы. Это что? Защита автора вируса от собственного детища? Не поражаются также файлы, содержащие смещению 28 от начала строку "LZ9", т.е. все файлы, сжатые утилитой LZEXE.

При поражении EXE-файла вирус сравнивает его реальную длину с длиной модуля, указанной в заголовке EXE-файла. Таким образом, вирус не поражает файлы, содержащие внутренние оверлеи. Вирус проверяет также длину COM файлов, она должна быть не меньше 11000 байт.

Затем вирус модифицирует заголовок файла: в заголовке EXE меняет стартовые значения регистров CS, IP, SS, SP. В начало COM файлов вирус записывает код перехода на программу расшифровки вируса: MOV SI,offset Virus / PUSH SI / RET. Однако этот код выбирается случайным образом из 8 вариантов, в которых постоянными являются только две команды и 3 буквы: MOV SI,offset VIRUS / PUSH SI / "SQR".

Еще одной особенностью вируса является то, что в каждый месяц после августа после 15-го числа вирус шифрует случайно выбранный логический сектор текущего диска. Алгоритм шифрования довольно прост, однако слишком велика вероятность того, что этот сектор будет одним из секторов File Allocation Table или сектором Root Directory. Это делает вирус очень опасным. Пользователи дисков объемом более 32M могут не волноваться: при чтении/записи сектора на диск вирус использует только старый формат вызова INT 25h / INT 26h и, соответственно, работает только с дисками меньшими 32M.

Последней особенностью вируса является то, что он содержит в своем теле строки текста:

*.exe *.com COMSPEC=(C)TodorLZ9

Код расшифровщика

Вирус использует довольно простой алгоритм за/расшифровки своего тела: очередное слов вируса XORится с ключем, после чего тот сдвигается вправо/влево на 1 такт.

Однако вызов подпрограммы расшифровки и сам ее код выглядят значительно сложнее. В целом этот код можно разделить на 3 блока: PUSH-блок, блок загрузки регистров и блок расшифровки.

PUSH-блок заталкивает 7 регистров в стек: PUSH AX,BX,CX,DX,DI,DS,ES. Однако эти команды (7 байт кода) равномерно и в случайном порядке разбросаны среди 'пустых' команд типа NOP, CLC, STD и т.д. - итого 14 байт кода - длина PUSH-блока. Особенностью вируса является также то, что после расшифровки он соответственно порядку в PUSH-блоке корректирует команды POP regs, которые расположены внутри расшифрованного кода.

Функция блока загрузки регистров заключается в том, что регистр SI принимает значение базы вируса, а регистры ES и DS принимают значение регистра CS. Эти коды также не являются постоянными и выбираются из нескольких вариантов (в одном из них - ошибка, но об этом позже).

Блок расшифровки также не является постоянным. В качестве регистра-ключа случайным образом выбирается один из регистров DX или BX. Коды команд расшифровки могут быть переставлены между собой.

Итого всего различных вариантов расшифровщика (не считая количество возможных ключей) - около

15 2.3x10 .

Обнаруженные ошибки

Как и практически любая программа, этот вирус также содержит несколько ошибок.

Первая ошибка, которая бросается в глаза, состоит в следующем. Перед заражением COM файла вирус проверяет его длину, однако делает это не вполне корректно, в результате чего размер зараженного COM файла может превысить 64K. При запуске такой файл скорее всего завесит компьютер. Однако в кодах вируса присутствуют команды, проверяющие это условие, но на них нет передачи управления! Это выглядит так, будто в исходном тексте вируса была допущена ошибка: код и метка присутствуют, однако ссылок на эту метку нет.

Вторая ошибка состоит в том, что в одном из вариантов программы-расшифровщика присутствует одна лишняя команда POP, в результате чего такой зараженный файл неминуемо повиснет при запуске. Этот 'некорректный' расшифровщик записывается в файлы с вероятностью 1/6, в результате чего примерно каждый 6-й зараженный файл будет повисать.

Другие ошибки вируса приходится довольно часто встречать и в других вирусах. К таким ошибкам можно отнести то, что вирус проверяет файл перед заражением только по расширению его имени, а не по внутреннему формату ('MZ' или 'ZM' в начале заголовка EXE). В результате файлы формата EXE и с расширением COM будут заражаться как COM файлы, и, соответственно COM файлы с расширением EXE - как EXE файлы. При запуске таких файлов отработают только команды вируса, при передаче управления на коды зараженной программы та немедленно повиснет.

Последняя обнаруженная ошибка в вируса состоит в том, что он сначала модифицирует заголовок поражаемого файла, а уж затем дописывает к файлу тело вируса. Если при этом произойдет ошибка чтения/записи, или исчерпается свободное место на диске, файл будет непоправимо испорчен.

Tokyo, семейство

Нерезидентные безобидные вирусы, ищут .EXE-файлы и записываются в их конец. Содержат текст:

I am the virus x.

Tomato.2156

Неопасный резидентный вирус. Перехватывает INT 9, 13h, 21h при вызовах INT 28h вирус ищет COM- и EXE-файлы и записывается в их конец. При нажатии на Alt-Ctrl-Del вирус выводит сообщения:

Praise the tomato!

God save the tomato

Big tomato is watching you

Big Tomato says: Fighting for peace is like fucking for virginity

TOMATO says: the pope suffers from AIDS Big Tomato says: NO MERCY have you ever danced with the devil under the red light of a big tomato ? pray for your disks . . .

Call McAfee (408) 988-3832 if you experience problems with this new virus from Tomato Systems Inc ....

Вирус также содержит строки:

TOMATO!!!! \VIRUS \DOS \ *.EXE *.COM COMMAND.COM tomato.tmp

Twer.1000

Нерезидентный неопасный вирус. Ищет COM-файлы текущего каталога и каталогов, отмеченных в PATH, затем записывается в конец файлов. Нерезидентен, но создает резидентную программу, которая ждет нажатия клавиши PrintScreen и затем осыпает символы на экране.

Демонстрации вирусных эффектов:

TWER.COM

Twin.351

"Компаньон -вирус: при запуске .EXE-файла создает компаньон-файл, имеющий имя запускаемого файла и расширение .COM (например, XCOPY.EXE -> XCOPY.COM), и записывает в него свою копию. При запуске любого файла из DOS'овского PROMPT'а DOS сначала ищет .COM-файлы, а только затем - .EXE. В результате первым будет запущен .COM-файл, содержащий вирус. Вирус, в свою очередь, инсталлирует свою TSR-копию и запускает файл .EXE.

Реализует довольно оригинальный "стелс" -механизм: устанавливает у компаньон-файла атрибут hidden, перехватывает INT 21h и обрабатывает функцию FindNext таким образом, что на экран не выдаются файлы с атрибутом hidden. В результате .COM-файлы, содержащие тело вируса, не видны ни при использовании команды DIR, ни при работе в Norton Commander.

Twister, семейство

Безобидные резидентные stealth -вирусы (кроме "Twister.451", он не стелс). Перехватывают INT 21h и записываются в начало COM-файлов при их запуске. Вирусы "Twister.1015,1767" заражают COMMAND.COM после заражения любого другого файла. Содержат строки:

"Twister.451": Twister (c) 1992 "Twister.863": Twister (c) 1992 "Twister.1015": Twister (c) 1992 C:\COMMAND.COM "Twister.1767": Twister C:\COMMAND.COM We are demons to some, angels to others So Far... So Good... So What? Children of the Damned Time heals all wounds

"Twister.1767" перехватывает также INT 08h, 09h, 10h, 1Ch, 2Fh. Через некоторое время после инсталляции "трясет" экран. Если клавиатура неактивна, то через некоторое время вирус "осыпает вверх" все сивмолы на экране.

Демонстрации вирусных эффектов:

TWISTER.COM

Txapela.1587

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет EXE-файлы дерева подкаталогов и записывается в их конец. 23-го февраля стирает сектора текущего диска и выводит текст:

En el glorioso dбa del 23-F has sido infectado por el virus Txapela 1.00 la has cagao, macho...

Typebug.951

Неопасный резидентный зашифрованный вирус. Перехватывает INT 16h, 21h и записывается в конец COM-файлов при их запуске или закрытии. В зависимости от своих счетчиков меняет символы, вводимые с клавиатуры. Содержит строки:


The TRUTH is out there...

-=> Typebug v1.02 <=- by Zymotic/[HVM] - Hungarian Virus Academy.

HVM have three members: Zymotic, MindStorm and Wyvern.

Teapa.1609

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Не заражает антивирусы TBAV, F-PROT, RAV, SCAN. Уничтожает файл ANTI-VIR.DAT. По 13-м пятницам стирает сектора винчестера. Содержит строки:

Copywrite DRACULA SOFTWARE. Se pare ca ai luat TEAPA!!!

Tcp.407

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Никак не проявляется, содержит строки:

[Baby Bug, Tcp/29A]

Tigger.1573

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает COMMAND.COM и антивирусы SCAN, F-PROT, MSAV, CPAV, NAV. Никак не проявляется. Содержит строки:


SCANPROTMSAVCPAVMANDNAV.

Greetings From The DCC! This is >Tigger!<

(Spelled TEE-EYE-DOUBLE GUH-RRRrrr)

By Dynamo, [10/01/96] [DCC-V1р]

(c) 1996 Dynamic Contageous Creations ALL RIGHTS RESERVED.

TTFN - That's Tah Tah For Now!

Tobacco.1148

Неопасный нерезидентный частично зашифрованный вирус. Ищет в каталоге C:\DOS и в текущем каталоге .COM-файлы и записывается в их конец. В зависимости от текущего времени блокирует обращения к диску и выводит текст:

WELCOME SMOKING! (c)Copyright 1994.6 * Made in HEFEI INSTITUDE OF TOBACCO *

Timer.2370

Неопасный резидентный вирус. Перехватывает INT 21 и записывается в конец COM- и EXE-файлов при их запуске и вызове DOS-функций FindFirst/Next FCB (команда DIR). По 28-м числам перехватывает также INT 1Ch и выводит в правый верхний угол экрана текущее состояние системного таймера (час:минута:секунда).

Tuesday.1502

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. По вторникам проигрывает мелодию. Дописывает к заражаемым файлам от 0 до 49 случайных байт. Не заражает COMMAND.COM.

Демонстрации вирусных эффектов:

TUESDAY.COM

Tucuman, семейство

Резидентные вирусы, перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. "Tucuman.1408" также заражает открываемые файлы.

"Tucuman.828" неопасен - 9-го июля проявляется видео-эффектом. "Tucuman.1408" опасен - при заражении портит некоторые файлы. 10 июня, 28 октября и 21 ноября также перехватывает INT 1Ch и пытается вызвать видео-эффект, но вешает компьютер.

Вирусы содержат строки:

"Tucuman.828": UTN-FRT Tucumаn, Argentina by Mr. Bithead - 1995

"Tucuman.1408":

El procesador se quema!!! Inserte 586 cm3 de agua por el drive A [Wild Boy] UTN-FRT Tucumаn, Argentina by Mr. Bithead - 1995

Демонстрации вирусных эффектов:

TUCUMAN.COM

Tula, семейство

Резидентные неопасные вирусы. Все (кроме "Tula.419") уменьшают размер памяти DOS (слово 0000:0413), перехватывают INT 8, 13h, 21h и записываются в конец запускаемых файлов. Заражают только COM-файлы или COM- и EXE-файлы в зависимости от версии.

"Tula.417,593" периодически сообщает:

Fuck You!

"Tula.419" очень опасен. Перехватывает INT 21h и записывается в начало запускаемых COM-файлов. В субботу 14-го числа форматирует диски. Содержит текст:

Tula 1990.Sat

"Tula.635" выдает сообщение "Formatting drive..." и читает сектора с диска, хотя очень похоже, что изменением одного байта кода вируса можно добиться того, что диск будет действительно форматироваться.

При запуске каждого 50-го файла:

"Tula.1480" под веселую музычку сообщает популярный среди подростков матерный стишок на английском языке.

"Tula.1540,1656" проигрывает мелодию.

Демонстрации вирусных эффектов:

TULA.COM

Tula96.1997

Очень опасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или закрытии. При чтении из зараженных файлов вызывает свою стелс-подпрограмму. При записи в зараженные файлы лечит их. Начиная с 55555 зараженных файлов форматирует флоппи-диск. Содержит зашифрованный текст:

Tula -96

Tumen, семейство

Резидентные вирусы. При создании TSR-копии уменьшают слово [0000:0413], перехватывают INT 8, 9, 21h и записываются в конец запускаемых COM-файлов.

"Tumen.1092" очень опасен - создает счетчик в 10-м байте Boot-сектора диска C:, когда значение счетчика достигает 70h ('p' латинское), стирает нулевую сторону нулевого трека винчестера. Некорректно правит зараженные программы после инициализации вируса - программы могут зависать. Блокирует работу функций DOS 41h и 56h (Delete, Rename). Содержит текст:

Be carefull... Hackers time tonight... This present was created in Tumen at 1990. v 2.0. (c) Max Soft corporation Hackers of the world, Unite !

"Tumen.1255,1663" неопасны, проявляются мелодией Николо Паганини при нажатии Alt-Ctrl-что-нибудь. "Tumen.1255" содержит текст "Tumen.,V1.2". "Tumen.1663" весьма многословен:

Full moon tonight... The time of Wolfbacks... U...U...U... This is only demonstration version, but you hear some howl. (C) Copyright MMA Company All rights reserved. USSR Tumen 1990-v0.5 This program was created in Tumen by group of three Wolfbacks at April,1990 General System_&_Files affecting effects by Max Main consultant -- Tall Lazy Micle General Music_&_Video harmless effects by Alex BACKWOLFS OF THE WORLD, UNITE ! ! !

Демонстрации вирусных эффектов:

TUMEN.COM

Tupac.1308

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Вирус не зашифрован, однако маскирует свой код достаточно оригинальным способом: код процедур инсталляции в системную память и заражения файлов расположен в обратном порядке. Каждый последующий байт выполняемого кода присутствует не следом за текущим байтом, а перед ним. В результате отладчики и дизассемблеры не в состоянии разобрать такой код, а процессор также неспособен его выполнять. По этой причине при вызове подобных процедур вирус предпринимает специальные действия: перехватывает INT 1 (трассировка) и при вызове каждой последующей инструкции переставляет ее байты.

Вирус содержит текст:

The Tupac Amaru virus, dedicated to all the people of the MRTA who were killed by Fujimori's troops after surrendering at the japanese embassy on Lima, to all the people killed and tortured in his government, and finally to all those who work for democracy and for a better world. Wintermute/29A

TurboExe, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске. При смене текущего каталога ищут первый EXE-файл и заражают его. При запуске файла TURBO.EXE вирусы запрещают запись на диск (INT 21h, AH=40h) и не возвращают флага ошибки. В результате пользователь уверен в том, что данные сохранены, однако это не так. Вирусы вновь разрешают запись на диск при окончании работы TURBO.EXE.

"TurboExe.1129" не запрещает запись, но вместо необходимых данных записывает текст "DAMAGE INC.".

Вирусы содержат строки, все строки в "TurboExe.1129" зашифрованы:

"TurboExe.846": TURBO.EXE "TurboExe.854": turbo.EXE "TurboExe.1129": COMMAND.COMTURBO.EXE

TurboVirus.1919

Неопасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Содержит строки:


TurboVirus (TV) v1.3 (C) 1993-94 by Power Boy.

TV

Выводит первую строку при запуске первой копии вируса.

Turkish.604

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строки:


*.com

Fuck of Serbia , Turkish Cool Boys,(c)1994

Turn, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в начало .COM-файлов при их запуске. Проявляются по 31-м числам довольно забавным видео-эффектом: при каждом заражении файлов переворачивают один символ на экране вверх ногами. Сначала переворачивают символ 'A', затем - 'B' и т.д.

Демонстрации вирусных эффектов:

TURN.COM

Turner.3276

Очень опасный резидентный полиморфик-вирус. При запуске зараженного файла выделяет фрейм EMS и копирует в него свой код, выделяет блок обычной памяти и копирует туда 215 байт своего обработчика INT 21h. Затем вирус трассирует INT 13h, 21h, 25h, перехватывает INT 21h и возвращает управление программе-носителю. При обращениях к COM- и EXE-файлам вирус активизирует фрейм EMS со своей копией и передает ему управление.

Записывается в середину файлов по случайно выбранному адресу, при этом перемещает блок кода файла в конец файла, а затем записывает на освободившееся место свой код. При заражении EXE-файлов вирус дополнительно корректирует таблицу настройки адресов, если в этой таблице есть адреса, перекрывающие код вируса.

В январе вирус стирает CMOS, сектора винчестера и выводит сообщение:

The Turner Virus Version 3.56 This virus was written in Voronezh in July of 1993 Modified and enhanced with mutant engine & high implantation In July-November of 1995 by RingWraith TRY TO CATCH ME IF U RELY K00L! CMOS ...perverted MBR ...perverted Whole disk ...wait...

Вирус также содержит строки:


EMMXXXX0

=YooHoo=

SHUTEND

Turnip.290

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит ошибку и зараженные файлы при запуске часто завешивают систему. Содержит строку:

Turnip Virus Infect

Tutan.1034

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. 4-го ноября выводит текст:

THIS IS THE CURSE OF TUTANCHAMUN

При некоторых условиях также выводит слово:

ACTIVE

TV, семейство

Очень опасны, резидентны, перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. В зависимости от даты и некоторых других условий стирают сектора диска C:, "TV.730" содержит строку:

Tver, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запукскаемых файлов. "Tver.308" поражает только COM-файлы, остальные вирусы. Не работают на PC XT. Содержат строки:

"Tver.308": G.J.V Tver 1991 "Tver.532": G.J.V Tver "Tver.776": --- G.J.V ТВЕРЬ 1992 ---

"Tver.532,776" перехватывают также INT 1Ch и проявляются видео-эффектом.

Демонстрации вирусных эффектов:

TVER.COM

Tangle, семейство

Безобидные нерезидентные зашифрованные вирусы. Ищут .COM-файлы и записываются в их конец. Используют антиотладочные приемы и довольно запутанный алгоритм заражения файлов. Никак не проявляются.

Tankard, семейство

Резидентные безобидные вирусы, перехватывают INT 21h и записываются в конец .COM-файлов, кроме IBMBIO.COM и IBMDOS.COM. Содержат строки в своем теле:

"Tankard.493" - Tankard vers.2.0 "Tankard.556" - Tankard vers. 3.01

Tanpro, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в начало запускаемых COM- и EXE-файлов. Содержат строку:

(c)tanpro'94

"Tanpro.524" безобиден, никак не проявляется. "Tanpro.749" периодически "трясет" экран. Содержит также строку:

Screen Shaker 5th

Tanya, семейство

Опасные нерезидентные зашифрованные вирусы. При запуске ищут .COM- и .EXE-файлы в текущем каталоге и каталогах, отмеченных в PATH, затем записываются в конец обнаруженных файлов.

Tanya.2000

Портит файл AIDSTEST.EXE. 1-го декабря выводит текст:

Сей вирус посвящен Тане. Поздравляю е0 с дн0м рождения ! Таня, я люблю тебя !!!

Начиная с 1-го ноября по понедельникам выводит:

Два Рима пали, третий есть, а четвертому - не быть ! Новосибирск, 17-10-1996. Version 3d

Ищет в Environment строку:

OBSHCHESTVO="Память"

и, если такая обнаружена, выводит текст и завешивает компьютер:

ВНИМАНИЕ ! ! ! Эта программа заражена моим вирусом ! Во избежание недоразумений система завешена.

Также содержит строки:




*.С0M *.ЕХE

PATH=COMSPEC=OBSHCHESTVO="Память"AIDSTEST.EXE

Tanya.3000

Портит файл DRWEB.EXE - записывает в него команду немедленного выхода в DOS. Портит Windows EXE-файлы (NE, PE) - записывает в них программу, которая выводит текст:

This program must be run under OS/2.

Содержит/выводит также строки:


*.С0M *.ЕХE

PATH=COMSPEC=OBSHCHESTVO="Память"DRWEB.EXE

ВНИМАНИЕ ! ! ! Сия программа заражена моим вирусом ! Во избежание недоразумений система завешена.

Очередной вариант сего безобидного вируса снова посвящ0н Тане. Таня, поздравляю тебя с дн0м рождения ! Таня, я очень люблю тебя !!!

Новосибирск, 31-03-1997. Версия 3f.

Tarazona.985

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. 10 октября выводит текст и завешивает компьютер:

Tranquilo chico que si no es en septiembre serа en Junio :-) Que los 12 crВditos mбnimos te acompaдen ..... by nEUrOtIc cPu cOrpOrAtIOn S.A.

Также содержит строку:

Virus Tarazona_Killer por Nigromante

Tashkent, семейство

Неопасные нерезидентные вирус. При запуске ищут .COM-файлы и записываются в их конец. "Tashkent.509" увеличивает длину файлов на 509+nn байт, где nn - номер поколения вируса. Вирусы содержат строку: "*.COM Ташкент(С) 91г". В зависимости от значения системного таймера расшифровывают и выводят тексты:

"Tashkent.490": "Трудна и неказиста жизнь советского программиста..." "Tashkent.509": "Дайте мне в юность обратный билет - я давно заплатил за дорогу..."

Taurus, семейство

Нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Содержат строку:

TAURUS (C) Prymityw 0.3

В зависимости от текущей даты "Taurus.1852" заражает файлы либо своей копией, либо копией вируса "Taurus.358", либо записывает в файлы троянского коня.

Taz, семейство

Опасные резидентные зашифрованные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец .COM-файлов при обращении к ним. При запуске некоторых антивируных программ вирусы удаляют их. "Taz.995" пищит динамиком спикера при каждом вызове INT 1Ch, "Taz.1041" выводит сообщенеи при запуске некоторых антивируных программ (после того, как программа уничтожена). Вирусы содержит строки:

"Taz.987,995":


[TAZ-10] By The WРТ

(C) Sector Infector 1993

%@# TТZ-10 #@%

Released 12-06-93

Yes, it is a Firefly Hack!

I Miss Ya, Taz!

"Taz.1041":


[TAZ-10] By The WРТ

(C) Sector Infector 1993

Released 12-06-93

Yes, it is a Firefly Hack!


Time to FUCK it UP!

FUCKIN IT


uhhh.....

huh huh

Tchantches.3303

Резидентный самошифрующийся вирус, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при доступе к ним. Периодически выдает картинку и начинает диалог с пользователем, во время которого читает/пишет сектора с/на винчестер:

TCHANTCHES dВmineur v1,10 Portez secours Е votre disque dur # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # EntrВe=Drapeau, Espace=Explorer (C)Copyright Setaicossa EefaCm '92

Tchechen, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Пытаются (часто безуспешно) записать в MBR винчестера троянскую программу. При этом детектируют BIOS'ы фирм Megatrends и Award и выключают встроенную защиту от вирусов. Если троянская программа все-таки записана в MBR, то через некоторое время она стирает сектора диска и выводит текст:

"Tchechen.1909,1912,1919":

POLITICAL PRO$TITUTE$ OF THE WORLD, (UN)ITE ! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOU'RE GLAD -YOUR ASS IS SO FAR FROM. WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT !!!

Вирусы также содержат строки:

"Tchechen.1909,1912,1919":

The Tchechen,(C)RUSSIAN BEAR,1995. Данилов и Лоз! Убьете-похороню ваше г и г ваших юзеров!!! Megatrends AWARD

Tchechen.3338-3604

Полиморфик-вирусы. Трассируют INT 13h, 21h, перехватывают INT 22h, возвращают управление программе-носителю и ждут окончания ее работы. Затем перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске. Не заражают файлы: WE*.* AD*.* AI*.* CO*.* DR*.* AV*.* TB*.* CH*.*

Некоторые версии вируса содержат ошибки и могут завесить систему. Вирусы записывают в MBR винчестера троянскую программу, которая через 10 дней стирает сектора винчестера и выводит тексты:

"Tchechen.3338,3370,3604":

HALF YEAR OF WAR HAS GONE. IT STILL DOES. MASS MURDER WAS RECOGNIZED BY THE WORLD COMMUNITY. ACCEPT MY CONGRATULATIONS ! ENJOY THE WORLD'S NEW ORDER ! THE TCHECHEN, v2.0 (C) RUSSIAN BEAR. 1995,JUNE

"Tchechen.3420,3436":

I`M WASTING TIME APPEALING TO YOU. WASTE YOUR.^.TO RESTORE HD. THE TCHECHEN v2.2 Web&BugsFix (C) RUSSIAN BEAR, 12.12.95

Также содержат строки:

"Tchechen.3338,3370,3604":

И.Д.! Это уже не 1914, хотя и тот Тебя вовсю имел ! Я обещал - похороны мира ПК начались! Танцуют все! Ты-РЕБЕНОК перед нами, юзера-ДЕТИ перед Тобой! Расскажи им сказку про надежность WEB'a! Отец- герой! Самолюбие не пустит этот текст в List ! А есть ли оно у автора такой попсы, как WEB ? Хочется верить.До встречи! Megatrends AWARD

"Tchechen.3420,3436":

И.Д.! Моральные похороны DrWEB`а продолжаются. Ну теперь-то потанцуем ?

Teacher.2000

Неопасный резидентный вирус, частично зашифрован. Перехватывает INT 21h, 28h и записывается в конец EXE-файлов. Завешивает систему, если в памяти находится резидентный отладчик. Иногда выводит на экран стишок:

Четвертой кафедре радиофизики посвящается.

Я Фортран бы выучил только за то, что на нем защищался декан мой.

О, хакеры и программисты, От необузданной той страсти познанье кода - путь тернистый пойдут и горе и напасти, и есть ваш крест. Позвольте ж мне и не насытит вас тогда означить путь вам в этой мгле. ООП-овская ерунда.

Пишите только на Фортране, ООП, рекурсии, структуры иль назовут вас сосунками, сгодятся только насмех курам, коль захотите вы в запале когда пред вами встанут коды, попробовать себя в Паскале. всплывут утраченные годы...

Пишите с толком, аккуратней, Ну что ж, сидите, жмите кнопки, чем больше GO TO, тем приятней, глазейте на цветные попки, и боже вас оборони хоть не познали вы авоста, использовать при этом Си. все ж вам привет от Эда Поста.

Есть надежда, что еще можно спастись.

TeaToast.1362

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. Не заражает файлы: SC*, TB*, F-*, TO*, FI*, MS*, VI* (SCAN, TBAV, F-PROT и т.д.). В зависимости от системного таймера записывает в файл C:\DOS\DOSKEY.COM копию файлового вируса "Pottie" .

Содержит строку:

TEA TOAST AND TITANIC TITTIES!

Techno.1123

Неопасный нерезидентный вирус. Ищет файл COMMAND.COM и первый незараженный .COM-файл текущего каталога и записывается в их конец. Иногда проигрывает веселую музычку и много раз выводит слово "TECHNO". Если в это время нажать какую-либо клавишу, то вирус сообщает:

пDon't touch the keyboardо

Демонстрации вирусных эффектов:

TECHNO.COM

Technomaniac.779

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Уничтожает файлы CHKLIST.MS и CHKLIST.CPS. В зависимости от своего внутреннего счетчика расшифровывает и выводит текст, затем пищит динамиком компьютера:

Hi TECHNOMANIAC !!!, techno is only just begin...

Tedy.4350

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним DOS-функциями FindFirst/Next ASCII (AH=4Eh,4Fh). Уничтожает файл CHKLIST.MS. 12-го ноября записывает в MBR винчестера программу, которая выводит тексты:

нн TEDY, el primer virus interactivo de la computaciвn. !!

Responda el siguiente custionario:

иLos programas que usted usa son originales? [s/n] 5 archivos menos por mentiroso. 2 archivos menos por ladrвn.

иLos de Microsoft son unos ladrones? [s/n] Te doy otra oportunidad para responder bien.

TEH.647

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит строку:

TEH

Tongji.1535

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и при обращениях к файлам или вызове DOS-функции GetDiskSpace ищет .EXE-файлы и записывается в их конец. 29-го апреля выводит текст:

Tongji University!

Tony.338

Резидентный очень опасный вирус. При старте записывает свою TSR-копию в таблицу векторов прерываний, перехватывает INT 21h и внедряется в стартующие COM-файлы. При этом записывает себя в область файла, содержащую только нулевые байты (если такая присутствует). При заражении иногда дупускает ошибки, в результате чего некоторые файлы не восстанавливаются при лечении и зависают при запуске. Вирус содержит текст:

Tony

Topa, семейство

Опасные резидентные зашифрованные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. Уничтожают файл CHKLIST.MS. Проверяют имя файла и не заражают файлы с именами:

COMMAND SCAN CLEAN VSHIELD 4DOS NDOS F-PROT VIRSTOP F-TEST TBAV TBSCAN TBSETUP TBGENSIG TBCLEAN TBUTIL VPCSCAN VIREX MSAV

В некоторых случаях "Topa.2520" выводит текст:

TOPA 2.01 is active.

Вирусы записывают в .BAT-, .DOC-, .TXT- и некоторые другие файлы с "текстовыми" расширениями строку:

REM Chi non lecca la Figa il Signore lo castiga.

Также содержат строку:

dummy fcb

"Topa.2456" содержит также строку:

TOPA 1.20 by Steve Cracker

Torero, семейство

Опасные резидентные вирусы. Перехватывают INT 13h, 21h и записываются в конец .COM-файлов при их открытии.

При заражении файла ставят в единицу 7й бит атрибутов файла (этот бит документирован как "shareable") и различают зараженные и незараженные файлы по этому биту. Первоначальные байты заражаемого файла сохраняют не в теле вируса, а в зарезервированных полях Directory Entry этого файла (для этого используют перехват INT 13h).

Оба описанных выше метода могут привести к порче файлов при их копировании или при обращениях к ним.

Если вирусы не могут восстановить первоначальный заголовок программы-носителя, то они выводят текст и возвращают управление DOS:

This program requires Microsoft Windows.

Вирусы также содержат строки:


[Torero А:-) by Mister Sandman/29A]

;)

Torm, семейство

Нерезидентные безобидные вирусы, ищут в текущем каталоге EXE- или COM-файлы (в зависимости от версии вируса) и записываются в их конец. Содержат в себе тексты:

"Torm.205" содержит:


(c) 1992 Tormentor ,Swedish Virus Laboratory /

Demoralized Youth / *.COM

Tormentor, семейство

Резидентны. Перехватывает INT 1Ch, 21h и записываются в начало запускаемых COM-файлов. Ищут на экране строку "TORMENTOR!" и, если таковая обнаружена, то

"Tormentor.425" пищит; "Tormentor.475,476,478,482" стирают некоторые сектора диска.

TotalTrash, семейство

Безобидные резидентные "стелс" -вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов. Заражают файлы не обычным для вирусов способом (при запуске, открытии или закрытии файла), а только в тех случаях, когда файл пакуется в архив или копируется в backup утилитами PKZIP, LZEXE, LHA, RAR, ARJ, ZIP и т.д. (см. список ниже). Таким образом вирусы прячут себя в архивах, backup'ах и в упакованных файлах, а файлы на диске остаются незараженными. Более того, если файл распаковывается или копируется из backup'а, вирусы включают свой "стелс"-механизм. В результате обнаружить зараженный файл практически невозможно.

Вирусы содержат строки текста. Последняя из них является именами утилит, при работе которых вирусы заражают файлы:

[Total Trash] by Sepultura. Immortal Riot/Genesis - Punishing Your Machine in '96 PK LL UC LZE LHA RAR ARJ ZIP TEL XCO BAC QMO MSBA CPBA

Tourist.1871

Опасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец. Трассирует код файла и записывает команду JMP_Virus в середину файла. Содержит ошибки и может испортить файлы или завесить систему. 9-го июня выводит текст:

Do not be afraid , I will do no hurt with you . I am a lonely TOURIST , I come here only because today is the birthday of my dear LITTLE WIND , on this lovely day I am glad to say ' HAPPY BIRTHDAY ' to all the people with my heart . and I want also to say: Thank you very much!

ABOUT ME: 1. Have been in 85.1. 2. Now in Chen du. 3. Some of my classmates: Hu wen shen, Liu lei ji, Wang bo, Wang tao, etc.

Tout, семейство

Безобидные нерезидентные зашифрованные вирусы. Ищут COM-файлы в текущем каталоге и записываются в их конец. Никак не проявляются, содержат строки:

<1994> f4ax A tout le monde, a tout les amis je vous aime, je dois partir...

Toxic

Toxic.171

Очень опасный нерезидентный вирус, ищет .COM-файлы и записывается вместо них. Содержит в себе текст:

*.COM [Toxic] By Toxic Crusader -=ARCV=-

Toxic.208

Безобидный нерезидентный вирус. При запуске ищет .COM- и записывается в их конец. Содержит строку:

*.COM [Toxic] By Toxic Crusader -=ARCV=-

Tps.484

Нерезидентный очень опасный вирус. Записывает себя в начало всех .COM-файлов текущего каталога не сохраняя старого содержимого этих файлов. Пораженные файлы, естественно, не восстанавливаются. Перед тем, как вернуть управление DOS, выводит текст "Program too big to fit in memory" и оставляет резидентную программу, которая пеерхватывает INT 1Ch и периодически выводит текст: "HI!".

В зависимости от текущего времени вирус пытается форматировать жесткий диск, однако содержит ошибку и порчи данных не происходит. Записывает в C:\AUTOEXEC.BAT команды удаления файлов:

@del *.com @del *.exe @del *.sys

Содержит строку "TPS" и зашифрованную строку:

_СПАРТАК ПАРАША, ПОБЕДА БУДЕТ НАША_ V1.01

TPVO, файловые вирусы

TPVO.3345

Неопасный резидентный полиморфик-стелс-вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов обращениях к ним. В конце зараженных файлов находится строка:

TPVO

Вирус выключает свой стелс-механизм, если запущена одна из утилит:

SCANDISK CHKDSK PKZIP LHARC ARJ RAR LHA UUC UC

По 30-м числам и 3-го августа выводит текст:

Declaration of establish of "Taiwan PowerVirus Organization"


  We are member of TPVO, we apologize for interrupt your work,

we would like to let you know some important message, THE TPVO

HAD BEEN ESTABLISHED.

  Due to illegal copy of software and false advertising, we

will make many perfect virus to spread in the world, for your

own benefit and support of "you paid for what you use" concept,

please support the legal copy of software program,please notice

false advertisement, for ex: Taiwan local anti-virus program

"ZLOCK", they claim "they can prevent any kind of future virus"

, we will take out their false mask under general public.

  Please watch out any new information about our cool computer

virus.

                                                    [T.P.V.O]

TPVO.Glacier

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в середину запускаемых .COM-файлов, кроме *AND.COM. 13-го апреля выводит текст:

[ Glacier v0.1с ] Happy Birthday to Amy. Written by Ghost Shadow of TPVO at L.C.T.C.

TPVO.Pitch.1329

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и EXE-файлов при обращенияъ к ним. Не заражает файлы: 4DOS COMMAND EMM386. 1-го мая выводит текст:

[Pitch V1.0] by Dark Killer of [TPVO].

TPVO.Stealth.803

Безобидный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит строку:

- Stealth demo by Dark Slayer of TPVO -

Traceback, семейство

Резидентные неопасные вирусы. Записываются в конец COM-, EXE- и OVL-файлов. При запуске зараженного файла обходят подкаталоги, ищут и заражают обнаруенные файлы. Затем перехватывают INT 20h, 21h, 1Ch, остаются резидентно в памяти и заражают запускаемые файлы из своей TSR-копии. Создавая свою TSR-копию, оставляют в памяти вместе с собой программу-носитель. Периодически "осыпают" символы на экране.

Зараженные файлы отличается тем, что в теле вируса можно обнаружить полное имя файла, из которого стартовала эта копия вируса. Таким образом, имея один зараженный файл, можно пройти всю цепочку пораженных файлов и выйти на самый первый файл, подвергшийся заражению.

Trakia, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов. "Trakia.570" заражает файлы при их запуске.

"Trakia.653" поражает только EXE-файлы. Иногда портит файлы данных.

"Trakia.1070" записывается в файлы при обращении к ним. При запуске зараженного файла этот вирус ищет EXE-файлы и поражает их. Проверяет содержимое файлов на какую-то строку (hex) и, если строка обнаружена, изменяет некоторые байты в файле.

Trance.1721

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или изменении их атрибутов. 1000-е поколение вируса стирает сектора дисков. По первым числам, являющимися понедельниками, перехватывает INT 1Ch и "осыпает" символы на экране. Содержит строки:

Trance Virus (c) 1995 by The Nuker

Демонстрации вирусных эффектов:

TRANCE.COM

TheBestOne.1281

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В зависимости от текущей даты либо стирает сектора дисков либо уничтожает запускаемые файлы. Содержит строки (вторая строка зашифрована):


The Best One !

ADC VIRUS (c) 1991 ITALY

TheClick

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Пищит встроенным в PC спикером. Содержит строку:

The Click

TheDraw, семейство

Очень опасные нерезидентные вирусы. При запуске ищет файлы и записывается вместо них. Выводят картинки, соданные при помощи утилиты TheDraw. Содержат тексты:

TheDraw COM file Screen Save Unsupported Video Mode

TheDraw.2267

При запуске ищет .EXE-файлы и записывается вместо них. Содержит/выводит строки:

Wonderfull BBS - Jedina ponuda komercijalnog softvera (free !!!) Svaki korisnik ima dnevno 45 min i 2 Mb za Download Veliki izbor korisnih programa direktno sa CD-ROM-a Veliki izbor konferencija,biltena i jos mnogo toga ...

TheDraw.6530

Ищет и заражает .COM-, .EXE- и .OVR-файлы. Если установлена EMS-память и компьютер находится в защищенном режиме, вирус как-то манипулирует с функциями EMS, для чего - непонятно. Вирус содержит/выводит строки:

byCoprophage By - Jeff Cook1994 (c) - Thunderbyte P l e a s e S u p p o r t T h e S o c i e t y F o r T h e P r e s e r v a t i o n O f C u l t u r a l C o p r o p h e l i a T a s t e s G r e a t ... L e s s F i l l i n g !

Демонстрации вирусных эффектов:

THEDRAW.COM

TheWanderer.1448

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM- и конец EXE-файлов при обращениях к ним. В зависимости от текущей даты и времени вирус затирает сектора дисков строкой:

[The Wanderer, June 5th,1994 Korea]

Thunder.1543

Опасный резидентный полиморфик -вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Процедуру расшифровщика своего кода записывает в середину файла по случайному адресу.

INT 13h: вирус перехватывает чтение/запись секторов и меняет английские 'O', 'P' и 'M' на русские. Начиная с 20-го декабря перехватывает INT 8 и в зависимости от значения системного таймера выводит:

T H U N D E R

Также содержит строку:

Thunder

Демонстрации вирусных эффектов:

THUNDER.COM

Tib, семейство

Неопасные(?) резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. При завершении программ вызывают какие-то функции Novell Netware.

Tibet.1422

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. При открытии файлов сравнивает расширение имени со списком:

TXT FBD PAM GOL PLH TAD COD SAP GRP

и дописывает в конец таких файлов строку:

Free Tibet! Fucking Chinese!

Вирус также содержит строки:

Please do something for the freedom of Tibet which is occupied by the fucking Chinese money harvesters!

txtTXTfbdFBDpamPAMgolGOLplhPLHtadTADcodCODsapSAPgrpGRP

Tic, семейство

Безобидные нерезидентные вирусы. Ищут .COM-файлы и записываются в их начало. Никак не проявляются.

Tie.619

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

TIE Gjhiufs

(частично зашифрованная строка "TIE Fighter"?)

Tiffany, семейство

Опасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Содержат ошибку и в некоторых случаях портят EXE-файлы при их заражении. Содержат строки:

"Tiffany.440": TIFFANY.TOWERS.440 "Tiffany.458": TIFFANY.TOWERS.458

Tiger.1116

Опасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. 2-го января вирус записывает в OEM-строку boot-сектора диска C: символы "TT", затем расшифровывает и выводит текст:

/|\ tONY tHE tIGER, BY IIRIV, 1995 / \

и вешает компьютер. Вирус также содержит строки:

*.COM \ *.* .. Tony

Tigre, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 9, 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. Уничтожают файлы:

C:CHKLIST.MS C:CHKLIST.CPS C:ZZ##.IM anti-vir.dat ANTI-VIR.DAT

21-го октября при нажатии на клавишу "Del" выводят текст:

"Tigre.1795,1800.a":


Virus TIGRE v1.0 - (c) 1995


Escrito por El Cancerbero [DAN]

17/02/95 - Argentina

"Tigre.1800.b":


Virus TIGRE v2.0 - (c) 1995

Escrito por EL CANCERBERO [DAN]

22/02/95 - Repгblica Argentina

Также содержат строки:

"Tigre.1795,1800.a": DIGITAL ANARCHY "Tigre.1800.b": Digital Anarchy

Tim.1600, семейство

Резидентные вирусы. Перехватывают INT 9, 21h и записываются в конец .COM- и .EXE-файлов при их запуске или открытии. У .COM-файлов заменяют первые 16 байт начала на команды перехода на вирус. В конце зараженного файла можно найти строку: "EDCL".

Tim.1600.a

Очень опасный вирус, не заражает BACKUP.COM. Перехватывает также INT 13h и в зависимости от числа нажатий на клавиши блокирует запись на диск (INT 13h, AH=3). Содержит зашифрованные тексты:

Hi to Eastern Digital. Greetings to Mister L.Megafuck to Mihai Sirbu -- MicroTimSoft.

COMEXEBACKUP.COM

Tim.1600.b

Неопасен. Выводит на экран текст:

+-----------------------------------------------+ | | | MegaFuck from Eastern Digital | | | +-----------------------------------------------+

Tim.1700

Очень опасен. Не заражает файлы COMMAND.COM и BACKUP.COM. Уничтожает файлы с расширениями .DOC, .HLP, .ZIP и .C*. Если системная дата - 13-е ноября 1988, то вирус выводит текст:

*** warning !!!! Lee Pich is right here !!!! ***

В зависимости от своего счетчика стирает сектора дисков и выводит:

*** you have been destroyed by Lee Pich alien v 1.00 ***

Также содержит строку:

COMMAND.COMCOMEXEDOCHLPZIPCBACKUP.COM

Демонстрации вирусных эффектов:

TIM.COM

Time, семейство

Резидентные неопасные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец запускаемых .EXE-файлов. Приблизительно раз в час пищат несколько раз спикером компьютера.

Демонстрации вирусных эффектов:

TIME.COM

TrJP.1067

Неопасный (?) резидентный вирус. Инициализируется только под Novell NetWare. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит строки:

CV0 COMcom TrJP

Обрабатывает функцию INT 21h AX=E3h (NetWare login) и вызывает подпрограмму, которая, видимо, считывает и запоминает имя и пароль пользователя при его входе в систему.

Troi, семейство

Резидентные безобидные вирус. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в конец запускаемых файлов.

Troi.322

Заражает .COM-файлы. Содержит текст: "The Troi virus".

Troi.512

Заражает .EXE-файлы. Содержит текст: ">>>-Troi Two-->".

Tron.754

Опасный резидентный вирус. Перехватывает INT 8, 16h, 21h и записывается в конец .COM-файлов при их запуске. При этом использует такой изощренный метод внедрения в файлы, что некоторые из них записают при запуске.

В зависимости от своих счетчиков либо проявляется каким-то видео-эффектом (содержит ошибку и проявляется только на мониторах Hercules), либо меняет знаки при вводе их с клавиатуры. При запуске сообщает:

Tron is now active

Также содержит строки:

FIST TRON

Trooper.2259

Неопасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов вирус лечит их. При вызове команд FindFirst/Next (команда DIR) вирус заменяет имена файлов CLIPPER.* на TRIPPER.*. Вирус содержит строки:

TROOPER V1.0 Hungary-7500 EXECOMCLIPPERCOMSPEC=

Trout2.6804

Опасный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM-файлов (кроме IBMBIO, IBMDOS, COMMAND) при обращениях к ним. При запуске также ищет COM-файлы по маскам C:*.COM, C:\DOS\KEYB.COM, C:\DOS\*.COM, *.COM и заражает не более пяти обнаруженных файлов. После заражения уничтожает антивирусные базы данных:

CHKLIST.MS CHKLIST.CPS ANTI-VIR.DAT \SCANCRC.CRC \_CHK.CHK \NAV_._NO

Вирус проверяет имена запускаемых файлов и перехватывает запуск антивирусов и некоторых других программ. Список соответствующих имен в теле файла выглядит так:

SCAN.NETSCAN.CLEAN.VSHIELD.F-PROT.VSAFE.MSAV.CPAV.NAV.TBAV.TBSCAN. VDS.NOVI.AVP.-V.-VPRO.VIREX.AVSCAN.VI-SPY.GUARD.FINDVIRU.TNT.TNTAV. HTSCAN.NEMESIS.NOD.ITAV.VI.VIRIT.IM.WIN.TD.DEBUG.

Если одна из этих программ стартует, то вирус предпринимает ряд действий, чтобы скрыть свою копию в системной памяти: освобождает INT 21h, шифрует себя полиморфик-методом, перехватывает INT 22h и устанавливает его на вход полиморфик-расшифровщика, стирает свою незашифрованную копию и отдает управление запускаемой программе.

В результате во время работы антивирусов в памяти присутствует лишь зашифрованная копия вируса, перехватывающая только INT 22h. При завершении работы программы вирус получает управление по INT 22h, расшифровывает себя и снова перехватывает INT 21h.

Вирус также содержит строки:


This is "The Second NewBorn Trout" virus

Programmed in the city of Milan, North Italy

[C] The Tricky Trout 1995

Mutation Engine: TT-PEB (Tricky Trout Plurimorphic Encryptor Builder)

version 2.01 (TPE standard)

Trust.2356

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM- и конец EXE-файлов при их запуске. Уничтожает файлы CHKLIST.CPS и SMARTCHK.CPS. 10-го марта стирает CMOS и сектора дисков, расшифровывает и выводит сообщение:

Don~t TRUST any virus scanner! -- HKs VTech --

Trust.687

Неопасный резидентный вирус. Копирует себя в видео-память, перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. Периодически выводит текст:

Принцип взаимного довереия выше взаимных обязательств. С. Мавроди.

Trux, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при обращениях к ним. При инсталляции в память также заражают файлы: C:\DOS\DOSKEY.COM, C:\DOS\EDIT.COM, C:\DOS\FORMAT.COM, C:\DOS\KEYB.COM, C:\DOS\SYS.COM, C:\DOS\UNFORMAT.COM, C:\WINDOWS\WIN.COM.

По 1-м числам каждого месяца выводят сообщения и вызывают эффекты других вирусов ("Flame" and "GoodBye" ):

"Trux.1154":

TRUXESTED virus presents: the demo effect of the virus Flame

"Trux.1472":

TRUXESTED virus presents: the demo effect of the virus GoodBye.839

Содержат также строку:

What??? Truxested??? Me???

Try.1074

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске. Содержит строку:

Try to DIE

TS.1418

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Использует довольно сложный метод за/расшифровки "на лету" (использует INT 01). В зависимости от системной даты стирает сектора дисков или перехватывает INT 13h и запрещает запись на диск.

TSC, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и файл C:\COMMAND.COM и затем записываются в их конец. В зависимости от системного таймера выводят одно из сообщений:

Este fichero ha sido infectado por el TSC virus. Usas mucho el ordenador, no si dejar que sigas con el. Voy a pensarlo un momento.

Esta bien, puedes usarlo.

Lo siento, he decidido que no.

Также содержат строки:

*.com c:\command.com

TSM.5536

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске, открытии или чтении/изменении их атрибутов. Не заражает файлы TB*, IC*, DR*, *AN. Также не заражает файлы, если в их имени есть символы 'V' или '-'.

Основной особенностью вируса является то, что он написан на языке C (с несколькими ассемблерными inline-процедурами) и в то же время является полиморфик-вирусом. По причине своего C-шного происхождения зараженные файлы имеют стандартную структуру программ, откомпилированных при помощи Borland C - код программы начинается с процедуры Startup, затем следует Main, библиотеки C и сегмент данных:


+---------------+

|C startup      |

|- - - - - - - -| 

|Процедура Main | <- код вируса



|- - - - - - - -| 


|Бибилиотеки C  |

|- - - - - - - -| 

|Сегмент данных |


+---------------+

При запуске такого файла управление передается на Startup, который определяет конфигурацию системы, выделяет необходимую память, настраивает библиотечные переменные и передает управление на процедуру Main (в данном случае - на код вируса). Вирус затем расшифровывает себя при помощи полиморфик-цикла, выделяет блок памяти для своей TSR-копии, копирует в этот блок свой код вместе со Startup, Библиотеками и Сегментом данных, перехватывает INT 21h и возвращает управление DOS.

При заражении файлов вирус вызывает свой полиморфик-генератор, зашифровывает Main и Библиотеки, записывает результат в конец заражаемого файла и модифицирует EXE-заголовок (адрес точки входа и т.д.).

Для того, чтобы вернуть управление программе-носителю вирус использует достаточно необычный прием: он перехватывает функцию Terminate и, когда зараженный файл возвращает управление DOS, перенаправляет управление на стартовый адрес программы-носителя.

Вирус является достаточно нестандарнтым полиморфиком, поскольку незашифрованными оказываются Startup и Сегмент данных. Однако их нельзя использовать для детектирования вируса, поскольку такие же или очень похожие Startup и данные могут получиться и при компиляции обычных невирусных программ.

В своем коде вирус содержит строки:

Dis quick test virus was written by The Soul Manager on 5/9/97 (Yes, yes, I *ADMIT* I should find something to do with a Friday night). Greetz to Immortal Riot (from Australia). I am, I am, I am

Вирус также содержит строки, которые компилятор Borland C вставляет в EXE-файлы:

TT.754

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Никак не проявляется. Определяет свою уже загруженную в память TSR-копию вызовом INT 21h AX=5454h ("TT").

TTQ.1009

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Никак не проявляется. Содержит строку:

tImE tO qUiT!

Tu, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записывается в конец запускаемых COM-файлов. Записывают в середину файла опознавательные байты 'Tu'.

"Tu.482" безобиден и никак не проявляется. "Tu.2500" перехватывает также INT 9 (клавиатура) и при нажатии на Alt-Ctrl-Del может перехватить INT 8 (таймер) и сыграть мелодию. Содержит строку:

Tumen.,v2.4;(c)1991

Tu28.535

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. 28-го февраля расшифровывает и выводит строку:

Tu 28.II !A!

TrapDoor.338

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системного таймера перехватывает INT 21h, остается резидентно в памяти и уничтожает файлы при их запуске. Содержит строку:

The Trap Door Virus*.com

Trash.512

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их закрытии. Периодически создает COM-файлы со случайными именами и случайным содержимым.

TrashSoft.1024

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Заголовок зараженных файлов содержит строку "MV", тело вируса содержит также строку:

(C) 1993 Trash Soft & HardWare

Traveller.1220

Резидентный неопасный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их загрузке в память. Также ищет и поражает файлы при вызове DOS-функции GetDiskSpace (INT 21h, AH=36h). Выводит на экран текст:

!!!!!!!--->> Traveller (C) BUPT 1991.4 Don't panic I'm harmless <<---!!!!!!!

Демонстрации вирусных эффектов:

TRAVELLE.COM

Traven.512

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Проявляется видео-эффектом. Содержит строки:


VER 2.1

*.com

by Traven(Traveller)

Демонстрации вирусных эффектов:

TRAVEN.COM

Treb.1426

Безобидный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Никак не проявляется, содержит строку:

[ Treblinka V 2.01 by Blas Pascal ] . Argentina . xx/06/1995

Trebujena.1094

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. В зависимости от текущего времени вирус "переворачивает" экран или перехватывает INT 8 (таймер) и выводит на экран символы 'O' и 'Q' (эти символы невидимы, так как вирус не указывает их цвет при выводе на экран). Вирус содержит строки:

Trebujena

Демонстрации вирусных эффектов:

TREBUJEN.COM

Tremor

Неопасный резидентный полиморфик -вирус. Перехватывает INT 1, 15h 21h и остается резидентно в памяти. Копирует себя в UMB, если там достаточно свободной памяти. В противном случае корректирует последний MCB обычным способом и копирует себя в него. Трассирует вектора прерываний и ищет в памяти некоторые резидентные программы (антивирусные мониторы?).

INT 01h использует для трассировки прерываний, INT 15h - для вызова видеоэффекта: в некоторых случаях вирус выводит сообщение:


-=> T0R0E0M0O0R was done by NEUROBASHER / May-June'92, Germany <=-

-MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-

Иногда вирус "трясет" изображение на экране. Перехват INT 21h используется "стелс" -функциями вируса и для перехвата имен файлов, которые могут быть поражены вирусом. Записывает себя в конец COM- и EXE-файлов при обращении к ним.

Демонстрации вирусных эффектов:

TREMOR.COM

T-Rex.1800

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов, кроме COMMAND, WIN и F-PROT. 1-го января и июня выводит текст:


--- +--+ ---+ ---+ ---+ +--+ +--+

 |  |  | |-   |-   |--+ |  | |  |

--- -  - -    ---+ - -  -  - +--+

Inferno Virus (c) 1996 T-Rex

Также содержит строки:

* Inferno is unleashed... Goodluck ! <g> The Inferno Virus : 1800 Bytes of Sheer Magic From T-Rex

Tricks, семейство

Безобидные нерезидентные вирусы, зашифрованы (кроме "Tricks.142"). При запуске ищут .COM-файлы в текущем каталоге и записываются в их конец. Используют несколько антиотладочных приемов (по одному приему на вирус), "Tricks.193" при этом "обманывает сам себя" и портит заражаемые файлы. Вирусы содержат строку:

*.COM

Trickster

Очень опасный самошифрующийся резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Каждое 10-е поколение вируса при запуске стирает случайно выбранный сектор на винчестере.

В зависимости от значения системного таймера перехватывает также и INT 1Ch и либо замедляет работу компьютера (холостой цикл при каждом вызове INT 1Ch), или меняет цвета символов на экране.

17-го февраля стирает FAT диска C: и сообщает:

Hello.Is April 1st and your HD is fucked!

Также содержит строки:

The Trickster Virus version 1.1beta This virus was written in the city of RC Italy

Dedicated to Linda,who loves my jokes.She is my heart,my brain,my eyes...my life

Демонстрации вирусных эффектов:

TRICKST.COM

Trieda.851

Опасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Содержит ошибку и может испортить файлы при заражении. 3-го июня расшифровывает и выводит текст:

Trieda 4.C v tento den roku 1994 zapasila s maturitami a vyhrala !!!

Trivial, семейство

Нерезидентные очень опасные вирусы, как правило имеют очень маленькие длины. Крайне примитивны. Записывают себя в начало всех .COM-файлов текущего каталога не сохраняя старого содержимого этих файлов. Пораженные файлы, естественно, не восстанавливаются. Некоторые вирусы семейства (например, "Dre.192") записывает себя в .ЕХЕ-файлы, некоторые - записываются вместо всех файлов в каталоге.

"Trivial.18" заражает файл, указанный в командной строке.

"Trivial.99,161" стирают сектора дисков. "Trivial.Exec" выводат на экран "EXEC failure" и также стирают сектора.

"Trivial.123" зашифрован, выводит текст: "T-1000".

"Trivial.127" меняет позицию курсора, содержит текст: "*.COM *ZZ* v 1.0".

Прочие вирусы выводят тексты:

"Trivial.92": Underground Asylum BBS - [904]688.6494 "Trivial.128": T-1000 "Trivial.151": PopooLar ScIencE RoolZ! "Trivial.151": Divide Overflow "Trivial.143": System Hanger! Enjoy! Note: Your system is now hanged.

Press Reset to continue.

"Trivial.202": AM 'ША+@&ю+|+ыS' IN HASTINGS addr error D9EB,02 WOLVERINE v1.01-by Nick(ie) Haflinger. "Trivial.Afraid": Be Afraid "Trivial.Chicken": Chickenchoker Virus by hdkiller has been activated "Trivial.CivilWar": Civil War My hands are tied For all I've seen has changed my mind But still the wars go on as the years go by With no love of God or human rights 'Cause all these dreams are swept aside By bloody hands of the hypnotized Who carry the cross off homicide And history bears the scars of our civil wars File corruption error "Trivial.Diddler": Diddler 95 (newbee) "Trivial.Fire.206": [FirE - KiCKiNG BuTt iN `93!] CoDeD By CRC32 WiTH SaTaNiC GuiDaNCe FRoM UNiQUE ! "Trivial.FTW.192": The FUCK THE WORLD Virus -- Copyright (C) 1992 Virtual Cortex "Trivial.IOE.155": Internal OPCode error "Trivial.IOE.239": Internal opcode error "Trivial.Kode4.90": -=+ Kode 4 V1.1 +=-, The one and ONLY! "Trivial.Kode4.129,131": -=+ Kode4 +=-, The one and ONLY! "Trivial.Nat": Vive la France! Virus NATIONAL. "Trivial.Sneaker": By Sneaker/Dog Fixers: >>Ahoj,ja jsem Eddie Nguyen a budu vas ucit Englictinu!<< "Trivial.SysKiller": Dateifehler! GrБсe vom SYSTEM-KiLLeR (ъцъфkшR) Created by tSA-Hacker /BE 83840- 1994 "Trivial.Tom.59": looky here tom

Некоторые из "Trivial"-вирусов содержат строки:

"Trivial.45.e": KФrtsy rules! "Trivial.64": Trident "Trivial.128.b": Materialism - the religion of today, ain't it sad? "Trivial.139": BANANA, coded by Morbid Angel -92 in Stockholm/Sweden*.COM "Trivial.194": *.C* Vengence-A virus. Lastest release from Swedish Virus Association. Released 7:th of May 1992. Happy hacking and greetings to all virus writers... "Trivial.200": AKA Nick Haflinger... Zopy me I want to travel I can now program in assembler This program was written in the town of Hastings hehehehe! "Trivial.Dre.192": Wr. by Doctor Dre 1997(c).King V1.2 "Trivial.FTW.101": *.COM FTW"Trivial.Iota.56": *IOTA*.COM "Trivial.Mainman": mainman "Trivial.Ratboy": OW-Ratboy "Trivial.Scull": Neo-Trival by Skull of Death "Trivial.Vootie": VЩУ-ЛР "Trivial.Vorbis": (c) 1996 Vorbis T.H.I. *.com .. "Trivial.Ymir": [YMiR]"Trivial.ZZ.127": *ZZ* v 1.0

"Trivial.157" полу-полиморфик -вирус. Выводит текст: "T-1300".

"Trivial.229" выводит текст "Program too big to fit in memory.". В апреле и мае стирает сектора винчестера, а затем сообщает: "Your hard drive is about to explode!". Также содержит текст: "UABBS -/\-] Ajax [-/\-".

"Trivial.342" проявляется видео-эффектом.

"Trivial.346" полу-полиморфный вирус. Сообщает: "TRIDENT".

"Trivial.207" зашифрован, он выводит текст:

A vir 4 da simple minded people of earth Since ya didn't notice dis vir.. YAR LAME....

"Trivial.Anarchy.469" выводит текст:

SpeedUp 12% - Written by Joe Franza! If you can read this, then ANARCHY Has Bestowed You with the ANARCHY Virus! Written in the Boonies of CT - From LIK `92

"Trivial.Kalipornia" содержат тексты:

"Kalipornia.88": *.COM Copyright `96, KALiPORNiAAuVS.TINY.OVERWRITING.0001 "Kalipornia.140": *.COM Copyright `96, KALiPORNiAAuVS.TINY.OVERWRITING.0002 "Kalipornia.154": *.COM Copyright `96, KALiPORNiAAuVS.TINY.OVERWRITING.0003 "Kalipornia.190": *.COM Copyright `96, KALiPORNiAAuVS.TINY.OVERWRITING.0004 "Kalipornia.303": *.COM Copyright `96, KALiPORNiAAuVS.TINY.OVERWRITING.0005

"Kalipornia.303" в зависимости от своего счетчика стирает сектора дисков и выводит текст:

Your Fat FAt FAT is now corrupt. ScanDisk may fix it... but... You should have made backups.

"Trivial.Vorbis" стирают сектора дисков или форматируют диск в зависимости от своей версии.

Демонстрации вирусных эффектов:

TRIVIAL.COM