AntiViral Toolkit Pro Вирусная Энциклопедия

V3b.699

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало COM- и EXE-файлов при их запуске. Содержит зашифрованную строку:

7.11.V3b

V3Scan.1633

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме V3.* и SCAN.*) при их запуске. Содержит строку:

V3SCAN

Valentine.2332

Очень опасный резидентный зашифрованный вирус. При запуске ищет EXE-файлы и записывается в их конец. Затем перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. 14-го февраля вирус удаляет все файлы в каталоге \WINDOWS, при этом вирус выводит сообщения:

Internal SCAN V2.01 McAfee Inc. (c) Copyright, 1994 Self-check failed! WARNING! Windows.xxx Virus Found! This virus is known to be extremely harmful to your health ! Remove virus (Y/Y) ?

Cleaning started... ,Done ! Virus removed. Have a nice day and sleep well!


[A Happy Valentine To All Secret Lovers In The World]

[Greetinx From BlitzBit@:TwiLightZone!]

Valentine.600

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от текущей даты выводит текст:

Be my valentine.

Vampire.417

Нерезидентный очень опасный вирус, ищет и записываются в начало .COM-файлов текущего диска не сохраняя первоначальные данные файла (overwriting). В случае успеха выдает сообщение:

Memory stack overflow.

Если заражать больше нечего, выдает сообщение:

Program too big to fit into memory.

Vampiro, семейство

Опасные зашифрованные вирусы. В зависимости от текущей даты и времени выводят тексты:

"Vampiro.1000":

Zarathustra & Drako les comunican que llego la hora de ir a dormir. Shh! Vampiro Virus.

"Vampiro.1623":

NO NO NO!! Que hace todavia despierto?!?! Drako & Zarathustra le OBLIGAN a dormir. Que sea la гltima vez, ok?!?! En caso contrario, morira.. JAJAJAJAJAJA Vampiro 2.4 Versiвn de Batalla - (C) Digital Anarchy Viral Development

Vampiro.1000

Нерезидентен. При запуске ищет COM-файлы (кроме COMMAND.COM) и записывается в их конец. Уничтожает файл CHKLIST.MS.

Vampiro.1623

Резидентен. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Уничтожает файлы CHKLIST.MS и ANTI-VIR.DAT, не заражает файлы из строки:

TBF-SCANCHKDSKCOMMAND.COM

Vampirus.1499

Неопасный резидентный зашифрованный вирус. Перехватывает INT 1, 1Ch and 21h. При выполнении COM- и EXE-файлов (кроме COMMAND.COM) поражает их. Периодически проигрывает мелодию. Содержит в себе строки:

GCSBRO COMMAND.COM ROMANIAN VAMPIRUS

Демонстрации вирусных эффектов:

VAMPIRUS.COM

Vandal.1895

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или вызовах DOS-функций FindFirst/Next ASCII. Использует антиотладочные приемы. В зависимости от системного таймера выводит текст:

Вас приветствует:

очень опасный полиморфный файлово-загрузочный стелс-вирус: Вандал. 1996г. г.Волгоград. Етот вирус написан великорусским вирусописателем пока не очень извесным под кличкой Dark Vandal!!!

Vandor

Неопасный нерезидентный самошифрующийся вирус. При запуске ищет COM-файлы и записывается в их начало. Ищет и заражает COMMAND.COM (используя строку "COMSPEC="). В зависимости от номера поколения, вирус выводит текст:

Magyar Vаndor `92 VбrMiki Ez a program fertУzФtt (volt)! Most megyek, csУ!

Vanitas, семейство

Опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при обращениях к ним. Не заражают файлы: EMM386, SCAN, F-PROT. При инсталляции в память также заражают файлы C:\WINDOWS\COMMAND.COM и C:\COMMAND.COM (они имеют EXE-формат в DOS 7.x).

Содержат ошибки и часто вешают систему. 27-го марта проявляются видео-эффектом. Содержат строки:

"Vanitas.2040":


VANITAS++ v1.1 (c)GR97 by ANAX.Member of <VBB>.

Everyone is     Original. [E-75]Chill-Out.

"Vanitas.3712":


VANITAS++ v2.0 GR(c)97 by ANAX.

[E-75] goes to Hell. Have a nice death...

Демонстрации вирусных эффектов:

VANITAS.COM

Vbasic, семейство

Нерезидентные очень опасные вирусы, ищут и записываются в конец COM- и EXE-файлов. Периодически стирают CMOS и MBR всех доступных винчестеров. Содержат строку:

KEYB*.COM KEYB*.EXE BASRUN BRUN COBRUN NET$OS *.COM IBMBIO.COM IBMDOS.COM COMMAND.COM *.* .. \ .. *.EXE Access denied. *.EXE

Некоторые версии "Vbasic" периодически сообщают "ACCESS Denied" и возвращаются в DOS.

VCM.493

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Стирает сектора дисков. Содержит строку:

V.C.M

VCode, семейство

VCode.1633

Безобидный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при обращении к ним. При запуске открывает файл CONFIG.SYS, ищет строки "SHELL" и "COMSPEC=", и заражает файл, на который указывает эта строка. При нажатии на Alt-Ctrl-Del сканирует область Enviroment и заражает командный процессор (COMMAND.COM). Содержит строки:

COMMAND.COM SHELL Program made in UV januar 93 CONFIG.SYS COMSPEC=

VCode.1886,2540

Очень опасные нерезидентные вирусы. При запуске ищут .EXE-файлы и записываются в их конец. В зависимости от текущей даты стирают сектора дисков. Содержат строку:


"VCode.1886": .93 ............[[[   S   C   A   N   N   E   R   ]]]

"VCode.2540": COMMAND.COM X:\CONFIG.SYS

VCode.2246,2262

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращении к ним. При запуске открывают файл CONFIG.SYS, ищут строку "SHELL" и заражают файл, на который указывает эта строка. В зависимости от своих внутренних счетчиков перехватывают INT 8 (таймер) и периодически меняют флаги клавиатуры.

VCOMM, семейство

Нерезидентные опасные вирусы. При запуске заражают не более одного EXE-файла в текущем оглавлении: выравнивают файл на границу блока (512 байт), дописываются в его конец и добавляют один элемент таблицы настройки адресов в заголовке файла. Записывают в видеопамять (сегментный адрес BFFEh) небольшую резидентную программу, блокирующую запись на диск.

VCS, семейство

Нерезидентные очень опасные зашифрованные вирусы, ищут и записываются в конец .COM-файлов в дереве подкаталогов текущего диска. Содержат строку:

c:\autoexec.bat c:\config.sys

и стирают содержимое файлов C:\AUTOEXEC.BAT и C:\CONFIG.SYS, затем записывают в них текст:

"VCS.Manta":


RAM Parity Error at 0F67:1B2C

(C)ontinue  (S)hut off NMI  (R)eboot

Mantafahrer hДlt an einer Ampel. Neben ihm hДlt ein Porsche. Beide kurbeln die Scheiben runter und der Porschefahrer fragt: "Was hat vier Beine und ist unheimlich blФd ?" Mantafahrer: "Keine Ahnung" Porschefahrer: "Du und deine Freundin" An der nДchsten Ampel haelt ein Golf neben dem Manta. Mantafahrer: "Was hat vier Beine und ist unheimlich doof ?" Golffahrer: "Keine Ahnung" Mantafahrer: "Meine Freundin und ich"

"VCS.Ruf" (выводит также его на экран):

########## ### # # ### #### # # #### #### #### #### # # ######## # # # # ### # # # # # # # ########## #### # # # # # # # # #### ########## # # #### # #### #### #### # # ########## ## ## #### # #### ## # # Deutsche Bundespost ##### # # # # # ##### # # # #### # #### # ## Telekom # # # # #### # # # # #

"VCS.Paranoimia" (выводит также его на экран):


You have just been infected with the Paranoimia Virus!!!

If you have gotten this, then the odds are that you pirated

software you shouldn't have...

Might as well press <Ctrl>-<Alt>-<Del> now...

"VCS.Manta" выводит текст:


RAM Parity Error at 0F67:1B2C

(C)ontinue  (S)hut off NMI  (R)eboot

Voice.1495

Неопасный резидентный вирус. Поражает COM- и EXE-файлы. Работает только на компьютерах PC XT, да и то, далеко не на всех. При нажатии Ctrl-Alt-Del выводит на экран фразу:

Пользуясь случаем, хотим пеpедать пpивет, Всем кто нас сейчас ощущает. П Р И В Е Т !!!".

Voices.1500

Неопасный резидентный полиморфик-вирус. Трассирует и перехватывает INT 21h, затем записывается в конец COM- и EXE-файлов при обращениях к ним. При вызовах DOS-функции FindFirst FCB (команда DIR) поражает файл COMMAND.COM. В зависимости от своего случайного счетчика заражает файлы повторно.

17-го июля выводит текст:

Hearing Voices, when I'm all Alone Hearing Voices, but there's nobody Home

Также содержит строки:

discharge sofia command.com you keep this love tuturutki s.t. possessed SUICIDAL TENDENCIES

Void.2304

Опасный резидентный вирус. При запуске зараженного файла вирус ищет и записывается внутрь файла IO.SYS, при этом проверяет, чтобы внутри файла было достаточно свободного места. При загрузке DOS с пораженным IO.SYS вирус перехватывает INT 21h и остается резидентным. Затем при создании (копировании) .EXE-файлов вирус создает компаньон .COM-файлы. При запуске файлов вирус записывается в файл IO.SYS текущего диска. Вирус выводит сообщения (на японском?) и перезагружает компьютер. Также содержит текст:

"Void.2304.a": avoid_a_void rel3.40 (c)1991 Youichi Kusakabe and his studio.

"Void.2304.b,c": TViR ver2.1 (C)1988,89 Toshimi Nakae

Vole, семейство

Очень опасные нерезидентные зашифрованные вирусы. Ищут в текущем и родительском каталогах .COM-файлы и записываются в их конец. Перед тем, как вернуть управление программе-носителю, стирают сектора дисков и выводят текст:

Inherit the Wind !!!

Также содержат строки:

Inherit the Wind Vole Puppy *IW* *VP*

Volkov.1684

Неопасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец EXE-файлов при их запуске. В зависимости от своих счетчиков выводит сообщения:

Do you work with DOS ? Do you like free memory ? Do you like space on disk ? YOUR SOLUTION IS The Volkov Commander You can drive it like Norton Commander 4.0 The SIZE of Volkov Commander is ONLY 62 KB! The VC brings many new functions! All actions of VC are very quick! The VC is ShareWare but please don't make black copies, it's not fair.

Демонстрации вирусных эффектов:

VOLKOV.COM

Voronezh, семейство

Voronezh.370,600

Резидентные вирусы, безобидны. Часть вируса "Voronezh.600" (50 байт) зашифрована (XOR DDh). Перехватывают INT 21h и записываются в начало .COM-файлов при загрузке их в память для выполнения, "Voronezh.370" не заражает COMMAND.COM. При внедрении в файл переписывают его начало в конец файла, а свою копию помещают на освободившееся место в начале. При этом переписываемая часть файла шифруется (XOR BBh).

Никак не проявляются и не имеют деструктивных функций. "Voronezh.600" содержит зашифрованный (XOR 1Ah) текст "Oleynikoz S., 1990". Видимо, проба пера начинающего программиста, так как невооруженным глазом заметно достаточно слабое знание возможностей языка ассемблера.

Voronezh.650

Резидентный неопасный вирус. Перехватывает INT 21h и поражает выполняемые COM-файлы по алгоритму вируса "Voronezh.600". При запуске файлов (приблизительно 1 раз на 60 запусков) сообщает:

Video mode 80x25 not supported

Также содержит текст:

16.01.91, v1.00, Химик & Слон

Voronezh.1600

Резидентный опасный вирус. Перехватывает INT 21h и поражает файлы при их выполнении или открытии. COM-файлы заражаются по схеме вируса "Voronezh.600". EXE-файлы инфицируются по сложному алгоритму: у них изменяется пять байт точки входа в программу на код команды CALL FAR Loc_Virus, при этом изменение адреса точки входа в заголовке файла не требуется. Вирус корректирует таблицу настройки адресов (ТНА): добавляет в нее один элемент, соответствующий команде CALL FAR Loc_Virus; необходимым образом изменяет один элемент ТНА, указывающий на измененные 5 байт (если такой элемент существует). Затем вирус дописывает к файлу свою копию.

Вирус содержит ошибки: анализируются не более 640 элементов ТНА; не анализируется случай, когда модифицируемый элемент ТНА указывает на пятый байт от точки входа (т.е. слово, которое настраивается при загрузке файла, лежит на границе изменяемых 5 байт). При запуске такого файла возможно зависание компьютера.

Vortex, семейство

Очень опасные резидентные вирусы. Перехватывают INT 9, 21h и записываются в конец запускаемых COM- и EXE-файлов. При запуске уже зараженного файла записываются в C:\COMMAND.COM. При нажатии на DEL форматируют винчестер: "Vortex.Day5" по 5-м числам, "Vortex.Day7" по 7-м числам, "Vortex.Elvis" по 24-м числам. Содержат строки:

"Vortex.Day5": Day 5 - Vortex "Vortex.Day7": Day 7 - Vortex "Vortex.Elvis": Elvis has left the building - Vortex "Vortex.Stealthy": Stealthy - Vortex

VotaDC.591

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В апреле расшифровывает и выводит текст:

Messaggio Promozionale: Vota DC!

Vote.1000

Нерезидентный неопасный вирус, ищет и записывается в конец .COM-файлов. Расшифровывает текст и выводит его на экран:

Гла@|вай#е за СДС!

Также содержит строку

*.COM PATH=

Voyager.1134

Неопасный нерезидентный вирус. При запуске ищет COM-файлы кроме CO*.COM и WI*.COM (COMMAND.COM и WIN.COM), затем записывается в их конец. 10-го октября выводит текст:

Voyager (.com) is here.

Также содержит строку:

\*.* \*.vom

Voyager2.508

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. Никак не проявляется, содержит строки:

[Voyager2] by Davor N.

VP.909

Нерезидентный неопасный вирус. Обходит дерево каталогов всех логических дисков и поражает обнаруженные .COM-файлы. Проверяет диски на защищенность от записи: считывает Boot-сектор диска и пробует записать его обратно. Если при этом возникает ошибка - то диск защищен от записи. Если метка Boot-сектора - "VP", то файлы на этом диске не заражаются. Периодически пытается вывести на экран какой-то текст (в моем образце вируса текст стерт).

VPK.1430

Опасный резидентный зашифрованный вирус. Оставляет свою TSR-копию в DOS- и видеопамяти, перехватывает INT 10h, 21h, 4Ah и возвращает управление программе-носителю. Перехватчики INT 10h, 21h указывают на копию вируса в видеопамяти, INT 4Ah (Alarm Clock) - в DOS-памяти.

Перехват INT 21h используется для заражения - при запуске COM-файлов вирус записывается в их конец. Перехват INT 10h, 4Ah используется для восстановления TSR-копии в видеопамяти: при некоторых вызовах INT 10h (смена видеорежима и т.п.) вирус деактивирует свою копию в видео-памяти, при вызовах INT 4Ah - восстанавливает ее.

Вирус записывает в MBR винчестера программу, которая через несколько перезагрузок портит данные и код MBR. В зависимости от своих счетчиков проявляется каким-то видеоэффектом, выводит текст:

<< Russian killer! >>

Также содержит строку:

Привет Лозинскому от ВПК !

VrapExe.3730

Очень опасный нерезидентный вирус. При запуске ищет .EXE-файлы в дереве подкаталогов и записывается в их конец. Является "медленным" вирусом: заражает файлы достаточно редко, в зависимости от текущей даты и времени и только по четным дням недели.

Использует элементы полиморфизма: в коде вируса присутствует большое число команд-"пустышек", которые вирус случайно заменяет на другие "пустышки". Вирус также использует антиотладочные приемы. В сентябре стирает информацию на всех дисках, начиная с C:. Содержит зашифрованные строки, но никак их не использует:


<VRAPEXE Programed in Spain>

COMMAND.COM

X:\CONFIG.SYS

Vriest.1280

Резидентный неопасный вирус, записывается в начало .COM-файлов при их создании: перехватывает вызов INT 21h, AH=3Ch, самостоятельно создает файл, записывает туда свое тело и передает управление вызвавшему INT 21h коду. Затем DOS (или другая программа) дописывают копируемый .COM-файл к телу вируса. В результате вирус обходит практически любые антивирусные блокировщики и CRC-ревизоры. Также не требуется обработка INT 24h.

Маскируется в памяти - если зараженная программа остается резидентной, то вирус оставляет свой резидентный код вместе с ней и становится невидим для утилит просмотра карты памяти.

Начаная с 3-го мая выводит текст:

Something's coming up ...

затем свистит динамиком компьютера, и снова выводит:

Vriest of g greets Vic ear Moeli~

Демонстрации вирусных эффектов:

VRIEST.COM

Virion.245

Очень опасный нерезидентный вирус. При запуске ищет COM-файлы, начинающиеся с команды JMP NEAR (E9h), ищет в их начале область, заполненную постоянным байтом, и записывает туда свой код. Вирус не сохраняет значение байта, заполняющего эту область. В результате зараженные файлы невозможно восстановить в первоначальном виде. Вирус содержит строку:

Virion*.COM

Virogen, семейство

Опасные резидентные полиморфик -вирусы. Перехватывают INT 21h и при вызове функции DOS SetDrive (AH=0Eh) и запуске программ (AX=4B00h) ищут и заражают .COM- и .EXE-файлы. Записывается в конец .COM-файлов. При заражении .EXE-файлов создают компаньон -файлы с расширением COM. В зависимости от текущей даты изменяют данные BIOS, находящиеся по адресу 0040:0016. Уничтожают файлы CHKLIST.* и ANTI-VIR.*. Содержат строки:

COMMAND.COM CHKLIST.* ANTI-VIR.* *.EXE *.COM


"Virogen.1520,1535": (c)1993 - Virogen  ASeXual Virus V1.00

"Virogen.1673":      (c)1993 - Virogen

"Virogen.1673,1680" выводят текст:

ASeXual Virus V0.99 - Your computer has been artificially Phucked!

Virogen.BombTrack

Очень опасный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Уничтожает файлы CHKLIST.MS и CHKLIST.CPS, в зависимости от текущей даты уничтожает все файлы текущего каталога и создает там подкаталоги NEVERэne и BOMBTRA.CK. Также содержит строку:

BOMBTRACK v1.00 - Coded by NEVERэne (BELGiUM)

Virogen.Drunk

Неопасный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Уничтожает файлы CHKLIST.MS, CHKLIST.CPS и ANTI-VIR.DAT, в зависимости от текущей даты выводит сообщение:


Your computer is a little bit thirsty.

So let us drink together and get [DRUNK].

Says Freddy Heineken of the mighty Dutch AA group.

[DRUNK] vers. 1.0

Virogen.Offspring

"Virogen.Offspring.711" поражает только .EXE-файлы. В зависимости от текущей даты выводит сообщение, печатает экран (INT 5) и мигает индикаторами NumLock, CapsLock и ScrollLock:

"Offspring.711":

"Offspring.1294":

"Offspring.1127": OFFSPRING V0.8 "Offspring.1130,1134": OFFSPRING V0.81 "Offspring.1555": OЯЯspring Virus V0.89

Также содержат строки:

"Offspring.711": *.EXE "Offspring.1127,1130,1134": COMMAND.COM (c)1993 negoriV *.EXE *.COM "Offspring.1294": COMMAND.COM *.EXE *.COM "Offspring.1555": COMMAND.COM (c) 0irogen CHKLIST.* ANTI-VIR.DAT *.EXE *.COM

Virogen.Pinworm

Опасные резидентные полиморфик-вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске. Уничтожают файлы CHKLIST.MS и CHKLIST.CPS, портят некоторые антивирусные программы.

По первым числам ежемесячно "PinWorm.2040,2150" создают каталог:

PIяWщrM.0g!

и создают там файлы:

I hope y ou have enjoyed your inf estation by the mighty P inworm p arasite Fuck you all! -0irogen

Прочие вирусы проявляются следующими способами: портят системные данные в памяти, создают троянские программы, создают текстовые афйлы и записывают туда сообщения.

Содержат строки:

"PinWorm.2150": PIяWщrMv1.00 - Coded by 0irogen in April 1994 "PinWorm.2171": PI_W_rM_v1.00 - Coded by _irogen in April 1994 "PinWorm.2371,2566":

Thank you for allowing Pinworm v1.7 to reside within your computer! You will be rewarded for your kindness by the gods which reign over the cyber world. You may thank the holy god of heart and kindness, 0irogen, for bringing this life into the cold and dead realms of your computer.

"PinWorm.2585,2780":

Thank you for allowing Pinworm v1.6 to reside within your computer! You will be rewarded for your kindness by the gods which reign over the cyber world. You may thank the holy god of heart and kindness, 0irogen, for bringing this life into the cold and dead realms of your computer. -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6 -----END PGP PUBLIC KEY BLOCK-----

Virogen.Simplex

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку:

[0irogen SimpleX-ce]

Viros.429

Опасный резидентный вирус. Копирует себя по адресу 6800:0000 (это может завесить систему), перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Выводит сообщение:


+-------------+

| VIROs  v1.1 |

+-------------+

Virus.286

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Выводит слово:

VIRUS

Virus, семейство

Virus90

Опасный нерезидентный вирус. Записывается в конец COM-файлов текущего диска. Использует некоторые способы программирования, затрудняющие трассировку и дизассемблирование кодов вируса. Периодически сдвигает часть символов на экране и перезагружает компьютер. Выводит на экран фразу:

Infected!

Virus101

Очень опасный нерезидентный вирус. Записывается в конец COM- и EXE-файлов текущего диска, файл COMMAND.COM поражается по алгоритму вируса "Lehigh" . Выводит на экран текст:

This file has been safely infected by VIRUS101 - the safe, educational virus utility This copy furnished to John McAfee.

Заменяет в Boot-секторах дисков строки "Non system disk or disk error" на приведенную выше фразу. В кодах вируса встречаются фрагменты, затрудняющие его трассировку и анализ. Опасен: в заголовках зараженных EXE-файлов устанавливает значения полей SS:SP в 5555:5555 и не сохраняет их старое содержимое.

VirusB.1000

Нерезидентный неопасный "демонстрационный" вирус. При запуске выводит текст:

"This is TESTVIRUS B V1.4 !


 1 = infect COM-files of this directory + run orig. prog.

 5 = run only orig. program

 9 = abort"

и в дальнейшем работает в соответствии с ответом. Во время работы вирус выводит следующие сообщения:


"INFECTED: ------>";

"Already infected:";

"Giving control to orig. program ...",

Вирус также содержит строку "*.com".

VirusC.496

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Выводит текст:

* VIRUS C * made in USA

ViruSoft.655

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в середину COM-файлов при их открытии. При заражении ищет в середине файла область, содержащую постоянное слово (два байта), запоминает это слово и записывает свой код в обнаруженную область. В результате длина файла не увеличивается.

Содержит строку:

(C)ViruSoft

Vis, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в начало или середину COM-файлов при обращениях к ним DOS-вызовами FindFirst/Next ASCII. При запуске файлов DOS вызывает FindFirst, и вирусы, соответственно, также поражают файлы при их запуске. При заражении частично шифруют файл. Содержат ошибки и в некоторых случаях вешают систему.

Visite.232

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается вместо них. В зависимости от текущей даты расшифровывает и выводит текст:

VISITE TRELEW (ARGENTINA)

VIV.524

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

VIV

Vivisex.683

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается вместо них. Содержит/выводит строки:

Vivisex Virus 1.0 - Created by Cracker Jack 1993 HVRF !!!! NO VIVISEZIONE !!!! Vivisezione=una parola tragica che evoca immagini agghiaccianti di animali avvelenati,accecati,mutilati,ustionati.............. Per nascondere la brutalitЕ di immagine viene anche chiamata sperimentazione animale. Cambia il termine, non cambia l'orrore e l'inutilitЕ che vi si cela dietro...di anche tu.............. BASTA ALLA VIVISEZIONE!

VLAD, семейство

Резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращении к ним. Уничтожают файлы ANTI-VIR.DAT, MSAV.CHK, CHKLIST.CPS, CHKLIST.MS. Содержат строки:


"VLAD.1221":         [VLAD virus] by VLAD!   [VIP v0.01]

"VLAD.Antipode.737,802":

                     COMcomTBSCAN.EXE [Antipode 1.0] by Automag/VLAD

"VLAD.Antipode.1007,1087":

                     TBDRIVER COMcomTBSCAN.EXEPROT.EXE

                     [Antipode 2.0] co nm /nomem

"VLAD.August":       [The Hot August Night Virus] by [The Lamer Tamers]

"VLAD.Daddy":        [Incest Daddy]"VLAD.Dir":          [VLAD-DIR] [Darkman/VLAD]

"VLAD.Idle":         [DOS Idle] [Darkman/VLAD] DI

"VLAD.Insert.260":   [Insert v 1.7] [Darkman/VLAD]

"VLAD.Insert.273":   [Insert] [Darkman/VLAD]

"VLAD.Insert.292":   [Insert v 2.0] [Darkman/29A]

"VLAD.Lazuli":       [Lapis-Lazuli], Rhince/VLAD

"VLAD.MonAmi":       [Mon ami la pendule] - Metabolis/VLAD

"VLAD.MonAmi.1085":  [ Blue Sad v1.1 by Jimmy Sad at T.P.V.O ]

"VLAD.MonAmi.1098":  [ Blue Sad v1.1с by Jimmy Sad at T.P.V.O ]

"VLAD.Monkeys":      Monkeys out of Control

"VLAD.Neither":      I love you P, always will

                     [neither here, nor there] Metabolis/VLAD

"VLAD.QMagick":      Quantum Magick

"VLAD.Replicator":   *.EXE [Replicator] [Darkman/VLAD]

"VLAD.Republic":     Go the Republic! Fuck off Royal Family!

                     Qark/VLAD of the Republic of Australia

"VLAD.Daddy,Republic" безобидны. В зависимости от текущей даты "VLAD.August" стирает сектора винчестера.

VLAD.Antipode

При запуске антивируса TBSCAN вирус "VLAD.Antipode" обнуляет значение длины файла, выдаваемое функциями FindFirst/Next, что приводит к выключению эвристического сканера TBSCAN. При запуске TBSCAN или F-PROT вирус добавляет в командную строку "co nm" или "/nomem", в результате данные антивирусы не сканируют оперативную память.

VLAD.Arme

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от текущего времени дописывает в конец файла C:\AUTOEXEC.BAT строку:

@ECHO din mamma har paa sig arme stoevlar!

Также содержит строку:

Metabolis/VLAD

VLAD.Goodbye

Опасен, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Содержит ошибки и портит EXE-файлы. Не заражает файлы: TBSCAN.EXE, AVP.EXE, F-PROT.EXE, SCAN.EXE, DV.EXE, PROGMAN.EXE. При сравнении имен файлов использует довольно сложный алгоритм контрольных сумм. Содержит строки:

Goodbye everyone! Viruses were fun, but I've got other things I'd like to do Qark/VLAD

VLAD.Idle

Безобиден, зашифрован. Перехватывает INT 28h и при вызовах этого прерывания определяет имя файла, выполняемого в данный момент, и записывается в его конец.

VLAD.Insert

Безобиден. Перехватывает INT 21h и обрабатывает функции создания файлов. При создании (копировании) .COM-файлов записывается в их начало.

VLAD.KatyDid

Неопасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или закрытии. Если установлен драйвер FOSSIL, то вирус перехватывает также INT 14h и в некоторых случаях делает FOSSIL-вызывы (помещает текст в буффер FOSSIL?). Содержит строки:

[KatyDid Tar] Nostradamus / NuKE --------------------------------------------------- The joke of Interpol Ь100 reward by M5 for the person who can successfully connect this Brisbane, Australia, based virus writing group to the recent wave of viruses found in Britian's economic community. If you have any information, send it to frisk@isle.com, and it will be dealt with in the manner of utmost confidentiality!

Constable Alan Solomon New Scotland Yard, CCU

VLAD.Mummy.471

Безобидный резидентный зашифрованный компаньон -вирус. Перехватывает INT 21h и при запуске EXE-файлов создает компаньон-файлы с расширением COM. Содержит строку:

[Mummy Incest] by VLAD of Brisbane. Breed baby breed!

VLAD.NoOne.1237

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и при запуске COM-файлов записывается в их конец. Содержит строку:

VLAD.NoOne.Mutate.0_01.1187 (c) July 1995 by NoOne the unknown VLAD-member

VLAD.Padania

Безобидный резидентный полиморфик -стелс -вирус. Записывается в конец COM- и EXE-файлов. При запуске ищет COM-файлы в текущем каталоге и заражает их. Затем перехватывает INT 21h, остается резидентно в памяти и заражает файлы при обращениях к ним.

Не заражает программы:

AV* (AVP, AVSCAN), TB* (TBAV,...), IV*, PR*, -V (AVP old name).

Если активны некоторые утилиты (см. список ниже), то выключает свои стелс-подпрограммы:

PKZIP, ARJ, UUENCODE, BACKUP, LHA, RAR, MODEM, SPEEDISK, DEFRAG, MSBACKUP, CPBACKUP

При запуске некоторых антивирусов добавляет к командной строке ключ "не тестировать память":

антивирус ключ

TBSCAN: CO NM TBSETUP: RM AVP: /M F-PROT: /NOMEM /COMPAT SCAN: /NOMEM AVSCAN: /NM

В результате вирус прячет вебя в памяти, и единственный способ обойти его - переименовать антивирус в какое-нибудь другое имя.

Вирус содержит строки:

Padania Virus by Qark/VLAD This virus is dedicated to all the people in Padania (Northern Italy) who seek separation from Southern Italy and to their party Lega Nord. Questo virus e' dedicato agli abitanti della Padania, in cerca dell' indipendenza dal sud italia, ed al loro movimento Lega Nord

VLAD.Prodigy.393

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строки:

[Prodigy] v3.0 by Metabolis/VLAD "Feel the jungle vibe baby" "In the jungle, In the jungle.."

VLAD.Sister.792

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращении к ним. Содержит строку:

[Incest Sister]

VLAD.Systa.231

Безобидный нерезидентный вирус. При запуске ищет .SYS-файлы и записывается в их конец. Содержит строки:

SySta by Qark/VLAD *.sys

VLAD.Tasha

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращении к ним. Иногда перехватывает INT 14h (COM порт) и при некоторых вызовах (вход на BBS?) выводит в COM-порт картинку:

######## ####### ####### ### ## ######## ## ## ######## ######## ### ####### ###### ######## ######## #### ### ######## ## ### ### ####### ###### ######## ######## ###### ######## ###### ### ## ## ######## ## ## ## ### ### ## ## ### ### Proudlyy Presentedd by Quantuum

Также содержит строку:

[Tasha Yar] by Quantum / VLAD

VLAD.Fire

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Содержит несколько ошибок и часто завешивает систему. В зависимости от системного таймера проявляется видео-эффектом. Содержит строки:

You know, they say time is the fire in which we burn The Fire In Which We Burn by Quantum / VLAD

Демонстрации вирусных эффектов:

VLADFIRE.COM

VM, семейство

Безобидные нерезидентные полиморфик -вирусы. При запуске ищут .COM-файлы и записываются в их начало. Никак не проявляются.

Vodka.560

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Выводит сообщение:


(copyleft) ДИБИЛИЗАТОР ver. 1.2

Пиво,Водку пить - здоровью вредить!? (Y/N)

Vofca, семейство

Очень опасные вирусы. Записываются в начало файлов, при этом нигде не сохраняют первоначальное содержание начала файла. Содержат строку:

VoFcA

Vofca.174

Резидентен. При запуске перехватывает INT 21h, выводит сообщение:

EXEC failure

и возвращает управление DOS. При запуске файлов записывается вместо них.

Vofca.238,275

Ищут .COM- и .EXE-файлы и записываются вместо них, затем выводят сообщение:

Incorrect DOS version

и возвращают управление DOS. Также содержат строку:

\\/ar Cannibal Animal

Vico, семейство

Неопасные резидентные вирусы. Перехватывают INT 15h, 21h и записываются в конец запускаемых COM-файлов. При вызове INT 15h, AX=8501h выводят символ "~" (7EH ASCII), содержат строки:

"Vico.500": Hello! I`m Wirus VICO "Vico.1000": Hello! I'm nowy Wirus VICO

"Vico.1000" перехватывает также INT 01h, 1Ch, под отладчиком выводит строку "Ok" и завешивает компьютер.

Victor.2442

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов. В 9, 11, 13 и 15 часов по системному времени уничтожает случайно выбранные файлы. Содержит тексты:

*.* COMEXE Victor V1.0 The Incredible High Performance Virus Enhanced versions available soon. This program was imported from USSR. Thanks to Ivan.

Video.109

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. При заражении использует для копирования своего кода видео-память по адресу B900:0100. Никак не проявляется.

Vienna, семейство

Нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Ищут файлы текущем каталоге и в зависимости от версии вируса в корневом каталоге, либо в каталогах, отмеченных системной переменной PATH. Заражение происходит при запуске инфицированной программы, при этом заражается не более одного файла.

Многие вирусы семейства при попытке заражения проверяют у файла значение секунд (или месяца в зависимости от версии вируса) последней модификации файла. Если оно равно 1Fh (62 секунды, соответственно 0Dh - 13-й месяц), то файл не заражается. Некоторые представители семейства в зависимости от таймера могут "убивать" файлы, записывая в их начало 5 байтов либо команды перехода на перезагрузку JMP F000:FFF0, либо JMP C800:0005, JMP C800:0000 или JMP C800:0006 в зависимости от версии вируса. Вирус "Vienna.648.b" ("Lisbon") записывает в начало файла текст "@AIDS". Восстановить в первоначальном виде такие файлы невозможно.

Содержат строку "*.COM" или:


"Vienna.457":     (C) ITV85020203

"Vienna.458":     DUSHANBE M&A

"Vienna.466":     Gosia


"Vienna.483":     Kiev 1990

"Vienna.534":     Microsoftyright Microsoft 1988

"Vienna.547":     Hey you! You are lucky! YOU HAVE ME!!!

                  written in WARSAW (c) Plumbum

"Vienna.547":     IBM

"Vienna.573":     PERSEUS by Mr Doctor

"Vienna.625":     Greetings from Ivanov V." (string is encoded);

"Vienna.648.b":   @AIDS";

"Vienna.679":     -+[BetaBoys]+-

"Vienna.700":     <* Vienna-D Scan String Eliminator Field Test, (C) 1991

                  RABID International Development Corp *>

"Vienna.726":     (c) Copyright IBM Corp 1981,1987 Licensed Material -

                  Program Property of IBM

"Vienna.732":     SKISM ReplicatoR

                  FiRe is a LAMER... destroy InFiniTy!

"Vienna.742":     BlackICE [FoG] Mobius Sobriquet

"Vienna.777":     I come to you from The Ayatollah! (c)1990, VirusMasters

                  An Iraqui Warrior is in your computer...

"Vienna.777.b":   -=IWG=-=IWG=-=IWG=-=IWG=-=IWG=-=IWG=-=IWG=-=IWG=-=IWG=-

                  IraquiWarriorG (C) '93 by Grog - Italy

"Vienna.939":     (C) Monxla

"Vienna.Norilsk.481": /I l A.B./

"Vienna.Norilsk.520": /MW Soft./1993Feb6/Norilsk/Shura M./Depeche Mode/

"Vienna.SPb.641": C-641.SPb  Sankt-Petersburg  (C) 1992

"Vienna.W13.600": I am back... The world will hear from me again.

                  Pray for your disks NEW (c)W13 1994

Некоторые версии периодически выводят на экран текст:

"Vienna.494": REQ ! Ltd (c) 18:41:22 3-I-1991"; "Vienna.776": Я, кажется, подхватила какую-то заразу... Срочно звоните Дмитрию Николаевичу Лозинскому по телефону 292-40-76 (Москва) и приобретите ПРОГРАММУ AIDSTEST !!! "Vienna.757": Безвредный вирус: Долой Кузьмичей !!! "Vienna.810": Мы на горе всем буржуям мировой пожар раздуем !!! Кузьмичи "Vienna.827": Alan Solomon Doctor of what? Thinks he's a copper, A copper he's not. "Vienna.961": Sorry, I'm INFECTED! I'm already NOT infected! "Vienna.1000": Arf Arf Got you! -- RABID '90

"Vienna.311" переименовывает файл COMMAND.COM в COMMAND.CON.

"Vienna.457" по 13-м пятницам освобождает оперативную память, занимаемую программой-носителем.

"Vienna.644" поражает файлы, только если значение минут таймера меньше 20. Изменяет 5 байт начала файла (PUSH CS; POP DS; CALL Loc_Virus). Устанавливает некоторые биты времени файла (OR 1234h).

"Vienna.716,1000" периодически пытаются форматировать диски.

"Vienna.730" стирает сектора дисков, уничтожает файлы, содержит текст:

BetaBoys

"Vienna.757" изменяет первые 4 байта файла, не поражает файл "COMMAND.COM".

"Vienna.774" записывает в .COM-файлы программу, которая при старте стирает FAT диска C: и сообщает :


 <<>> THE GRITHER <<>>

 Courtesy of Elexion

"Vienna.778" расшифровывает и выводит текст: "Only GHOSTBUSTERS would repair this disk now !!!". Также содержит зашифрованную строку: "STANISLAV SLACKA".

"Vienna.849" стирает сектора дисков и выводит текст на экран:

Matthew Stolarski - "A Loser in deep trouble..." Matthew Stolarski is a born loser... Let's kill him!!!! YAM '92. Remember that name.

"Vienna.851,943" стирают сектора дисков и выводят тексты:

Sorry this computer is no longer operational due to an outbreak of Bushishiro Have a NICE day


VIPERizer, Strain B

(c) 1992, Stingray/VIPER

Happy Valentines Day!

"Vienna.988" при старте сообщает: "Vio-Lite, TAA, Virulent Graffiti, (k) 1992". Периодически выводит другое сообщение:

a MeSSaGe FRoM ViRuLeNT GRaFFiTi, PLeaSe ReMeMBeR:

VG DoeS NoT BeLieVe iN PeRMiNaNTeLY DeSTRoyiNG DaTa, JuST FuCKiNG WiTH YouR MiND! aNoTHeR oNe FRoM VG GoeS DoWN WiTHouT a HiTCH!

        SMaSH a KeY [ ]

"Vienna.1014" в ноябре форматирует винчестер, содержит текст: "Interceptor - (c) by Cracker Jack 1991 IVRL Milan, Italy".

"Vienna.1055" пытается форматировать диски. Содержит текст:

TransMogrified (TM) 1990 by RABID N`tnl Development Corp.

!!!!!!!!!!!!!!!!!!!!!!!!!!! !Copyright (C) 1990 RABID ! ! ! !Activation Date: 08/15/90! ! ! ! - Violator Strain B - ! ! ! !(Field Demo Test Version)! ! *NOT TO BE DISTRIBUTED* ! !!!!!!!!!!!!!!!!!!!!!!!!!!!

"Vienna.1059" содержит строки:


Pat Tinaggio

Dan Zerino

Al Galoppo

=- DanZerino (C) '93 by GROG - Italy -=

>>7/93<<

---------------------------------------------------------------

| Dan Zerino, il famoso pattinatore, era preoccupato.           |

| La sua partner, Pat Tinaggio, era innamorata.                 |

| Partecipando a uno spettacolo a Denver,                       |

| aveva avviato una relazione con un cowboy di nome Al Galoppo. |

---------------------------------------------------------------

"Vienna.1881" с 19 декабря по 1 января рисует елочку:

* * **%** *****%***** **%** ****%**** *******%******* ***********%*********** ****%**** ******%%%****** *********%%%********* ************%%%************ ****************%%%**************** ********************%%%******************** ************************%%%************************ @ Merry Christmas @ * @ & @ * *#* @ a Happy New Year @ *#* **#** @ for all my lovely friends @ **#** ****#**** @ from @ ****#**** ******#****** @ FATHER CHRISTMAS @ ******#****** @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

"Vienna.5286,5302" обходят некоторые резидентные мониторы, форматируют диски. Выводят на экран картинку с елочкой. Записывают в MBR текст:

Violator Strain B4 - Written by The RABID Nat'nl Development Corp. RABID would like to take this opportunity to extend it's sincerest holiday wishes to all Pir8 lamers around the world! If you are reading this, then you are lame!!! Anyway, to John McAffe! Have a Merry Christmas and a virus filled new year. Go ahead! Make our day!

Remember! In the festive season, Say NO to drugs!!! They suck shit! (Bah! We make a virus this large, might as well have something positive!)".

Vienna.Ambalama.493

Содержит строку:

(C) BLACK STAR Inc., 1991. USA,BOX 13263,Ambalama Called from: BBS (095) 135-62-53

Vienna.BigPiter

Состоит из двух блоков. Первый блок ("голова") практически полностью повторяет вирус "Vienna.648"; он осуществляет заражение файлов и вызов второго блока. Второй блок (основной) получен при помощи компилятора Microsoft C (об этом говорят тексты в теле вируса). Основной блок выводит на экран изображение компьютера и текст "regional engeneering centre LENINFORMATIKA ...", после чего может (в зависимости от некоторых условий) оставить резидентную программу, блокирующую запись на винчестер. Очень опасен - может уничтожить COM-файлы длиной более 40K. Помимо указанного текста содержит все строки, которые вставляет в тела программ компилятор Microsoft C. Изменяет прерывание 60h - использует для вызова основного блока.

Vienna.BNB.429

Безобидные вирусы. Содержат строки:

*.COM \*.COM \DOS\*.COM

Vienna.ByteWarrior

Неопасен, зашифрован. Содержит/выводит строки:

---> BYTE WARRIOR GOTCHA! <--- BYTE WARRIOR says: We spit on those who choose to pose and trash with all the rest. Your Harddisk(s) had choosen to pose ... now they are trashed like the rest! WARRIOR is gotcha!

Vienna.DDrUS

Стирает сектора дисков, содержит текст:

DDrUS (C) - 1990

Vienna.Feliz.518

В зависимости от текущих даты и времени выводит одно из сообщений:

нFeliz Navidad! нFeliz Aдo Nuevo!

Vienna.Feliz.923

В зависимости от текущих даты и времени проигрывает мелодию и выводит сообщение:

Si amas algo dВjalo libre. Si regresa es tuyo si no, nunca lo fuВ. Feliz Cumpleaдos.

Vienna.Oscar

Являются модификацией "Vienna.648", содержат строку: "(C) OSCAR".

Vienna.Pivi.568

Записывает поверх файлов строки:


-=[ Poison Ivy ]=-

Slowly strangle your system.

Poison you programs.

Vienna.Violator

Стирают/форматируют сектора дисков, выводят/содержат тексты:

"Vienna.Violator.779,801,821"":

"Vienna.Violator.843":

Violator Strain B3 - RABID Nat'nl Development Corp. PATH=*.COM

"Vienna.Violator.957":

Violator B2 (C) '9O RABID Nat'nl Development Corp.

"Vienna.Violator.2262":

Big Caibua! RABID is Actually NAMBLA... Go figure... High Evolutionary Sucks BIG CAIBUA! You bastardize code, I bastardize it again! Fuck You! Difference is you cocksucker, I can actually program in assembler... Read about it in VSUM! btw, Patty, Howabouts ya lick my BIG CAIBUA? Oh, And John, Just in case you think I forgot your sorry ass... The next one is for you!!! Muhahahahahahahahahaha!!!! O.J. IS GUILTY!! Tempest, Live for yourself... You do not know what love is yet... wait, it will come... No worries... ;)

Демонстрации вирусных эффектов:

VIENNA.COM

Vigo.1000

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске и при изменении даты/времени создания файла. Содержит строки:

*HPK* E.T.S.I. de TELECO.1992 VIGO HPK 92

Vik, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в начало .COM-файлов при обращениях к ним. В зависимости от системного таймера записывают в файлы текст:

"Vik.480": Queen Viktoria lives...everytime in my heart! "Vik.550": Queen ViKtoria is dead...but I have a new LIFE&LOVE!

Viking, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. При заражении EXE-файлов используют алгоритм "Vaccina" : переводят EXE-файлы в COM-формат. Содержит в себе строку "Viking".

Viking.700

Безобиден. Поражает файлы при их запуске. Версии вируса содержат строки:

"Viking.700": Viking1 In "Viking.700.b": Viking3 In

Viking.1000

Неопасен. Поражает файлы при их запуске. COMMAND.COM поражается при первом старте зараженного файла. Содержит строки:

To Nataly from Viking In

Иногда перехватывает INT 10h и при выводе на экран функциями INT 10h переводит большие буквы в маленькие и наоборот. Иногда проигрывает мелодию.

Viking.1000.b,c,1400

Опасные вирусы. "Viking.1400" зашифрован. Заражают файлы при их запуске или открытии. Также ищут файлы и заражают их при обрпащении к файлам другими функциями DOS. Поражают COMMAND.COM при первом старте зараженного файла. При заражении пытаются установить INT 13h в адрес обработчика этого прерывания в DOS, но часто ошибаются и завешивают компьютер. Содержат строки:

"Viking.1000.b": *.COM *.EXE Viking4 In "Viking.1000.c": *.COM *.EXE Viking5 "Viking.1400": *.COM *.EXE Viking7

Viking.1600,2000

Неопасные вирусы, зашифрованы. Трассируют и перехватывают INT 21h, записываются в файлы при их запуске, открытии или переименовании. Также ищут файлы (используя строки "*.COM *.EXE") при DOS-вызовах OpenFCB и GetDiskSpace.

При поражении EXE-файлов "Viking.2000" проверяет их длину. Если она оказывается больше 64K, вирус поражает EXE-файл обычными манипуляциями с заголовком EXE-файла. При этом заражаемый EXE-файл сохраняет EXE-формат. Если же длина файла меньше 64K, вирус переводит его в COM-формат (см. "Vaccina" ).

Вирусы содержат строки:

"Viking.1600":

CLEAVACCFMAPDIR2BDS.VSHIVIRS

"Viking.2000":

-V.EACADAIDSANTIBDS.BUSTCLEADBLSDIR2DOCT EMM3F-PRFATCFLUSFMAPNC.ENCMAPROTQAPLSCAN SMARSTACTESTTLINVACCVIRSVSHIWIN.

и перед заражением проверяют имена файлов по этим строкам. Если первые четыре символа имени файла присутствуют в строке, то вирусы не поражают такой файл. В результате "Viking.1600" не трогает файлы CLEA*.*, VACC*.* FMAP*.*, DIR2*.*, BDS.*, VSHI*.*, VIRS*.*. "Viking.2000" не заражает -V.E*, ACAD*.* и т.д.

"Viking.1600" выводит сообщение:

On 1 Mar. 1992 I met NATALY, and she changed my life! The 365th copy of <Viking8> is dedicated to our first anniversary

"Viking.2000" перехватывает INT 08h и выводит на экран либо случайные байты, либо текст "Viking". Вирус также содержит текст:

String carrier space! Available for messages! No more viruses! LOOKING FOR WORK! Address available in LCV_BAS!

Viking.Mixtura

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строки:


Crypted Here->

ViKing-Mixtura,CopyLeft (L) 1993 by ViKing.

ViKing is The Real King of Viruses' Kingdom.

Демонстрации вирусных эффектов:

VIKING.COM

Vinchuca.925

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. По 3-им числам ежемесячно выводит текст:


+----------------------------------------+

| Virus ViNCHuCa  V1.0  1993.            |

| Creado por MURDOCK.                    |

| Buenos Aires ,Argentina.               |

|                                        |

| Su PC tiene Mal de Chagas....jajaja... |

+----------------------------------------+

3-го июля стирает сектора дисков. Также содержит строку:

Saludos para SaTaNiC BRaiN y Patoruzu

Vindicator.734

Опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в начало .COM-файлов при их загрузке в память. Старое начало файла шифрует, причем в качестве ключа использует 10h байт BIOS'а. Т.е. правильно расшифровываться и нормально выполняться файлы будут только на компьютерах с одной серией BIOS'ов. Если же расшифровать старое начало файла не удалось, то вирус блокирует работу файла (выполняет INT 20h), предварительно запустив свои счетчики. В зависимости от их состояния (примерно 1 раз в час) вирус рисует на экране красный крест, в центре которого расположена надпись:

VINDICATOR

Демонстрации вирусных эффектов:

VINDICAT.COM

Vinnitsa, семейство

Очень опасные резидентные зашифрованные вирусы. Трассируют и перехватывают INT 21h, записывается в конец COM- и EXE-файлов при обращении к ним. Портят .DBF-файлы. В зависимости от своих внутренних счетчиков стирают сектора дисков. Содержат строку:

Vinnitsa 1992 year Hacker all country, united!!!

Violetta.3840

Резидентный безобидный вирус, перехватывает INT 21h и записывается в начало запускаемых .COM-файлов. Содержит строки:

Version 4.00 VIOLETTA

Viper.840

Осень опасный нерезидентный зашифрованный вирус, ищет .COM- и .EXE-файлы и записывается вместо них. Содержит строки "*.COM *.EXE". При каждом запуске выводит на экран текст:

Stack overflow, terminating

и иногда выводит сообщение:

-/\-] S.C.P.[-/\- Welcome, you have just joined the SCP Wasted Victims club!, yep thats right.. your've got the ViPER-I virus! and Lord Venom wont even charge you for it!. NO CRIPPLE WAREZ HERE!!! |------------------------------------------| Copyright by Lord Venom & S.C.P. Australia

VirDem, семейство

Опасные нерезидентные вирусы, записываются в начало .COM-файлов текущего диска.

"Virdem.833" двигает по экрану изображение жука. "VirDem.1542" заполняет экран цветной абстрактной картинкой. "VirDem.1336.a" снимает и не восстанавливает атрибуты файла. Выводит на экран строки:

Virdem Ver.: 1.06 (Generation 1) aktive. Copyright by R.Burger 1986,1987 Phone.: D - 05932/5451

This is a demoprogram for computerviruses. Please put in a number now. If you're right, you'll be able to continue. The number is between 0 and

Sorry, you're wrong More luck at next try ....

Famous. You're right. You'll be able to continue.

All your programs are struck by VIRDEM.COM now.

"VirDem.1336.b" выводит тот же текст на немецком языке:

Virdem Ver.: 1.06 (Generation 5) aktiv. Copyright by R.Burger 1986,1987 Tel.: 05932/5451 Dies ist ein Demoprogramm fuer Computerviren. Geben Sie nun bitte eine Zahl ein. Wenn Sie richtig raten,duerfen Sie weiterarbeiten. Die Zahl liegt zwischen 0 und Bedauerlicherweise war Ihre Antwort nicht richtig. Mehr Glueck beim naechsten Mal ....

Bravo. Richtige Antwort. Sie duerfen weiterarbeiten. Alle Ihre Programme sind nun infiziert.

"VirDem.1336.c" содержит текст:

*.com * Virus Infestation ACTIVE KILLER SOMETHING WONDERFUL HAS HAPPENED !!!

"VirDem.463" содержит слово "ZY". По 13-м пятницам пытается форматировать диски.

"VirDem.601" расшифровывает и выводит на экран "Kewl Dewdz!", он также содержит зашифрованный текст "Made in STL (c) '91".

"VirDem.824" выводит текст:

Datum falsch Bitte DATE aufrufen

Демонстрации вирусных эффектов:

VIRDEM.COM

Virgin.281

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы (кроме COMMAND.COM) и записывается в их конец. Содержит строки:

COMMAND*.com irVirgin

VD.1664

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. Содержит ошибку и портит файлы небольшой длины. Такие файлы завешивают компьютер при их запуске. Использует слово по адресу 0000:0467 для своего идентификатора - "VD".

VD.568

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку-идентификатор "VD". В зависимости от длины файла-носителя выводит текст:

[2J[10;25H[5;33m--- Be careful VIRUS !! ---

VirusDead.2308

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. Содержит строки:

T H I S I S D E A D COMMAND .EXE C:DEAD +-----------------------------------------------+ | | | V I R U S D E A D

Vdv, семейство

Vdv.390

Резидентный неопасный вирус, записывает свою TSR-копию в таблицу векторов прерываний, перехватывает INT 21h и заражает запускаемые .COM-файлы. Выводит в верхний левый угол экрана текст:

VDV 91

Vdv.853

Нерезидентный очень опасный зашифрованный вирус, ищет и записываются в конец .COM-файлов текущего диска. С 24 по 26 декабря записывает вместо файлов текст, этот же текст выводит на экран:

### ##### ####### FrФhliche Weihnachten wБnscht ####### ########### der Verband Deutscher Virenliebhaber #

Ach ja, und dann wБnschen wir auch noch viel Spaс beim Suchen nach den Daten von der Festplatte!

gez. VDV, Dezember 1990.

Vector.441

Очень опасный резидентный вирус, копирует себя в таблицу векторов прерываний и перехватывает INT 21h. Записывает себя в конец COM-файлов при их запуске или открытии. При записи на диск (INT 21h, AH=40h) периодически изменяет указатель на блок записываемой информации, это приводит к потере файлов. Содержит строки:


V3.0 [VECTOR] (c) Necros the Hacker

Written Aug 1991 in Tralee, Ireland

Velocet.2000

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и заражает запускаемые .EXE-файлы. Записывает свой зашифрованный код в конец файла как оверлейные данные - не увеличивает поля заголовка EXE-файла, содержащие длину выполняемого EXE-модуля. Для того чтобы получить управление записывает в середину файла 68-байтную программу, которая при старте зараженного файла получает управление, считывает из файла основной код вируса и выполняет его.

Начиная с 8-го поколения, или начаная с 256 успешных заражений, или 19-го января вирус стирает на винчестере FAT-ы, расшифровывает и выводит текст:

Velocet. By Dogor...

Vengence, семейство

Нерезидентные вирусы, ищут и поражают '*.C*'-файлы.

Vengence.252,390,435

Очень опасны: записывают себя вместо файлов. Содержат строки текста:

"Vengence.252":

*.C* Vengence-B virus. Lastest release from Swedish Virus Association. Released 8:th of May 1992. Satan will come and rule his world and his people!

"Vengence.390":

*.C* Vengence-C virus. Lastest release from Swedish Virus Association. Released 8:th of May 1992. Satan will come and rule his world and his people!

"Vengence.435" выводит текст на экран:

Vengence-D virus. Lastest release from Swedish Virus Association. Released 12:th of May 1992. Satan will come and rule his world and his people!

Vengence.613,639,656,657

Неопасные нерезидентные вирусы, ищут '*.C*'-файлы и записываются в их начала. Выводят на экран тексты:

"Vengence.613,639": Vengence-E virus. Debugging session unlimited. "Vengence.656,657": Vengence-F virus. Debugging session unlimited.

Vengence.723

Очень опасен и нерезидентен. Ищет и записываются в конец .COM-файлов. Стирает сектора дисков, затем сообщает:

*** Vengeance is ours! *** SKISM/Phalcon '92

Veronika.1549

Опасный резидентный самошифрующийся вирус. Трассирует и перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. В зависимости от своего внутреннего счетчика записывает в boot-сектора дискет троянскую программу, которая при запуске выводит текст: "VERONIKA". Вирус также содержит строки:

Veronika Veronika P.

Демонстрации вирусных эффектов:

VERONIKA.COM

Version.705

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. При копировании своей резидентной части допускает ошибки, что может повлечь непредсказуемые последствия. Содержит текст:

Version Virus .. January 1992

Verwolf, семейство

Неопасные(?) нерезидентные полиморфик -вирусы. При запуске ищут EXE-файлы и записываются в их конец или середину. При заражении файлов зачем-то перехватывают INT 13h и устанавливают себя как Device Driver. Иногда оставляют резидентную программу, которая перехватывает INT 21h и как-то реагирует на открытие некоторых файлов. Содержат строки:

"Verwolf.3308": My name is VERWOLF ! "Verwolf.3502": My name is VERWOLF1 !

Veselie.486

Нерезидентный неопасный вирус. При запуске ищет .COM файлы и записывается в их начало. Выдает сообщение:


Veselie-Virus ,  Copyright(C) 1994 by SS. SRL!

ATRIA cere un <ENTER> !

Vesna, семейство

Неопасные нерезидентные вирусы. При запуске ищут файлы по маскам *.COM, *.EXE, CH*.* и *.°°° , а затем записываются в их конец.

Vesna.1000

Заражают только .COM-файлы. "Vesna.1000.a" проявляется видео-"мусором", по 13-м пятницам выводит текст:

Friday 13th ? Friday 13th ... Friday 13th ! Good bye !

"Vesna.1000.b" 22-го июня ищет .EXE-файлы и портит их.

Содержат строки:

"Vesna.1000.a": AIDS My name is GARRY "Vesna.1000.b": *TULA*

*KILLER*

Vesna.1614,1700

Не заражают файлы с именами из строки:

"Vesna.1614": drwetbmsmvavaiscadutanatsdncvcdnwiioibvi "Vesna.1700": vsdrmswechaiioadscibutvranclavdowiatsdwsidvi

(по два символа на имя: VS*.*, DR*.*, и т.д.).

"Vesna.1614" зашифрован, выводит тексты:

Весна пришла! Unpress key TURBO to continue... Format drive c: completed PRESS RESET TO CONTINUE Пора пить кофе! Здесь был Игорь Д. Слышь, ты... чувак... передай привет Веденеевой Лорисе! VESNA (c) 1994,96 -=* Uni Tula *=-

В марте "Vesna.1700" выводит текст, ждет нажатия на любую клавишу, а затем перезагружает компьютер:

Bad command or file name DOS not support! You have virus! Press any key to reboot...

Также содержит строки:

*.exe *.com ch*.* *.%%% Это зделано в Туле TULA Пришла весна ! Здесь был Игорь Д. ОЛЕЧКА c:\command.com

Vesna.1833

28-го ноября выводит:

TYPE "HAPPY BIRTHDAY GARRY" !

По 13-м пятницам выводит одно из сообщений:

Friday 13th ! You have virus ! My name is GARRY ... I fuck your PC !

VFSI

Нерезидентный неопасный вирус. Ищет .COM-файлы и записывается в их конец. В зависимости от текущего времени расшифровывает и выводит строку:

HELLO!!! HAPPY DAY and success from virus 1.1 VFSI-Svistov

Viaggio.1051

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. По перввым числам ежемесячно перехватывает INT 8 и через некоторое время выводит текст:

Questo sistema В totalmente impestato da virus, buon anno!

Также содержит строки:

C:\^^___#@.$$$ OLLELLE OLLALLA FACCELA VEDE FACCELA TOCCA UN VIAGGIO skuaus *IL VIAGGIO*

Vic, семейство

Неопасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец .COM-файлов при их запуске или открытии. Вирусы запускают системный таймер назад (уменьшают соответствующий счетчик при каждом вызове INT 8).

"Vic.793" - polymorphic -вирус. Содержит строку:

VZDY MAS O JEDEN VIRUS VIC, NEZ SI MYSLIS.

VS, семейство

VS.612

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит текст:

VS-01. (C) 1993, ViruSystems inc.$VS

VS.2790

Неопасный резидентный стелс-вирус. Перехватывает INT 1Ch, 21h. Поражает COM- и EXE-файлы при их запуске и открытии. Через некоторое время после внедрения в память проигрывает одну из трех мелодий. Содержит текст:

VS-061-"STEALTHIE". (C) 1993, ViruSystems inc.$VS

VS.3900,4000

Неопасные резидентные полиморфик -стелс -вирусы. Перехватывают INT 1Ch, 21h. Поражают COM- и EXE-файлы при их запуске и открытии. Через некоторое время после внедрения в память проигрывают одну из трех мелодий. Содержат текст:

"VS.3900":

"VS.4000":

VS-II, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске, переименовании или закрытии. Никак не проявляются.

Демонстрации вирусных эффектов:

VS.COM

V-Silence, семейство

Очень опасные резидентные полиморфик-вирусы. При запуске лечат файл-носитель, выполняют его, а затем снова заражают. После этого вирусы перехватывают INT 21h и записывается в начало EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечат их. Проверяют имена запускаемых программ и не лечат файлы, если запущен один из архиваторов: ARJ.EXE, PKZIP.EXE, AIN.EXE, RAR.EXE или UC.EXE.

При заражении вирусы шифруют начало файла, переносят его в конец и затем записывают свой код в начало файла. При лечении файлов выполняют обратную процедуру. Собержат ошибки и могут испортить файлы при их заражении.

Уничтожаит файлы:

C:\WIN\SOL.EXE C:\WINDOWS\SOL.EXE C:\WIN\WIN.COM C:\WINDOWS\WIN.COM

Не заражают и не лечат файлы, имена которых начинаются с указанных ниже строк, или если файл находится в каталоге, имя которого начинается с тех же строк:

"V-Silence.4096":

WIN EXCE MSO ACAD MICROG COREL CD PM PAG

"V-Silence.5120":

WIN EXCE RumS MSO ACAD MICROG COREL CD PM DOS

Вирусы также содержит строки:

"V-Silence.4096":

1113 Sofia, Acad G.Bontchev str. bl.8 room 104, EUGENE NIKOLOV, eugene@virbus.bg

Virtual Silence... written by The Kid,Burgas,Bulgaria 30 December 1995.

Greets to Fridrik Skulason.Without the technical analysis of some viruses in his F-PROT I would have never written this virus.

Question to Eugene Nikolov:You are the Dark Avenger,aren't you? MtE

"V-Silence.5120":

1113 Sofia, Acad G.Bontchev str. bl.8 room 104, EUGENE NIKOLOV, eugene@virbus.bg

This is The Virtual Silence virus(LL Cool J alias)...written by The Kid,Burgas,Bulgaria January'96.

You heard of the new album "Mr.Smith" from LL Cool J,no?It's the best thing I've ever heard...especially this cool tune "Hey Lover" featuring Boyz II Men.Go buy the album,you won't regret.

Once a marine,always a marine.

"It does not take a genius to write a virus - any average(!?) assembly language programmer can easily(?) do it.".Oh,God,forgive them...they don't know what they are talking about."After all,being a virus-researcher is a risky job with various side effects - mental disorder for example...You must be grateful at least a bit to us.We are the guys who make your money. MtE

VSP3.443

Безобидный резидентный вирус. Копирует себя в область данных DOS по адресу 0000:0534, перехватывает INT 21h и записывается в начало запускаемых COM-файлов. Содержит текст:

VSP3

Vulcan, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в начало COM- и конец EXE-файлов при их запуске. Младшие версии вируса (до 480) заражают только COM-файлы. "Vulcan.496" не заражает файлы A*.*. Вирусы никак не проявляются. Содержат строки:

V-Ver, семейство

Безобидные нерезидентные вирусы, крайне примитивны. При запуске ищут .COM-файлы в текущем каталоге и записываются в их конец. Никак не проявляются, содержат строки:

"V-Ver.266": *.com V - Version 3.1 "V-Ver.268": *.com V - Version 3.0 "V-Ver.274": *.com V - Version 3.2

VXT.550

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Под отладчиком перезагружает компьютер. Содержит строку:

* [VXT-1 Virus] (c) 1996 SMSoft *

Vzpomen.1400

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. Перезаписываемую часть файла сохраняет в его конце, перед сохранением эта часть шифруется. В зависимости от некоторых условий вирус создает файл "vzpomen.si", в который записывает строку:

17. listopadu 1989 byl patek !!!

Вирус также содержит строки:

Program too big to fit in memory. *.COM

VRN.2276

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- (кроме COMMAND.COM) и EXE-файлов. Не заражает антивирусы: SCAN, NAV, F-PROT, GUARD, FINDVIRU, TOOLKIT, AVP. При запуске AVPLITE добавляет к командной строке опции, отключающие тест памяти и эвристический анализатор. Вирус также уничатожает антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.MS, SMARTCHK.CPS, AVP.CRC, IVB.NTZ, CHKLIST.TAV.

Вирус содержит несколько ошибок и портит некоторые файлы при их заражении. Под отладчиком стирает CMOS. 4 июля стирает сектора винчестера, CMOS и выводит текст:

-- VrN vIrUs coded by ThE_WiZArD in Spain (1998) -- !! DEDICATED TO VeRoNica !! The injustice and ignorance can only end by force If we must end this ourselvers, we will stop at nothing This is one Strike, in what will soon become MANY You may stop this individual, but you can not stop us all...

Также содержит строки:

->#ThE_WiZArD draziw@usa.net !! S70p K1ll1n 0uR B4byS 0r w3 w1ll d3s7r0y y0ur d474 4g41n !!