Waca.1700
Satana brings you much pain! You forgot that ! If you want to die DO IT IN MIDNIGHT! [acaW]
Wadim, семейство
Wadim.481
Wadimka v2.1 (c)Copyright 1996 Wadim in Moscow
Wadim.531
Wadimka v1.1 (c)Copyright 1996 Wadim&Gurre in Moscow
Walhala.1283
WALHALA
Walker.3846
WALKER V1.00 - This absolutely harmless and selfdestructive program is written by UJHPTTLZ in the city of Istanbul, 1992
Демонстрации вирусных эффектов:
|
WALKER.COM |
Wally, семейство
Virus Wally versao programa.Tente me encontrar.
Walrus.482
В зависимости от системной даты и времени выводит одно из сообщений:
/* CHRiSTiAN iS A GooN */ /* JiREE HoSAN */
Также содержит строки:
/* May 19th */ /* ANTi-VLAD CoDE */ /* WALRUS */
Wanderer_M, семейство
Wanderer_M.1029
Wanderer_M
Wanderer_M.1756 - 1884
HWF-TBCLCO2SWC CHKLIST.SMARTCHKANTI-VIR
Содержат зашифрованные строки:
"Wanderer_M.1756":
HA!HA!HA! *[ The WANDERER.II VIRUS 1995/02/10 ]* (c) Copyleft 9187-9192 by SVS / KOREA Shit!! Turbo Vaccine! sibal.. Kaesaekki!
"Wanderer_M.1783":
*[ The WANDERER.II VIRUS 1995/02/21 ]* (c) Copyleft 9187-9192 by SVS / COREA Shit!! Vaccine ?! kkak .pet!!!
"Wanderer_M.1809":
*[ The WANDERER.II VIRUS 1995/02/27 ]* (c) Copyleft 9187-9192 by SVS / COREA Shit! I hate it.. too..wet!!
"Wanderer_M.1811":
*[ The WANDERER.II VIRUS 1995/03/01 ]* (c) Copyleft 9187-9192 by SVS / COREA Kaesibalnom..too..wet!!
"Wanderer_M.1845":
*[ The WANDERER.II (TypeE) VIRUS 1995/03/02 ]* (c) Copyleft 9187-9192 by SVS / COREA Ya! Sibalnoma.. Don't excute a Vaccine. !tcarttA setisoppO
"Wanderer_M.1884":
*[ The WANDERER.II (Type G/Last Version) VIRUS 1995/03/09 ]* (c) Copyleft 9187-9192 by SVS / COREA Please, Don't excute a Vaccine. NEWS FLASH!! SVS WILL NOT MAKE A VIRUS... BUT SVS IS FOREVER ... GOOD-BYE!!
Wanderer, семейство
As wolfs among sheep we have wandered
Warblade.1052
I loved you, I always loved you, but it was nothing but a waste of time. May you burn in the Hell, if it really exists, my little slut, or suffer what you made my fragile and tender heart suffer. This should be the right Doom for each fucking cheater ......... if it was, it wouldn't be this one the Hell.
Ti amavo poiche' mi facevi tenerezza....adesso ti odio poiche' mi fai schifo
a proposito: Tanti Auguri, Valentina
ChEaPeXe v1.0 ...by WГrсlДDР/LT...
Warez.1341
- W A R E Z D 0 0 D -
and
+-+ +--+ ---+ ---+ - - +--+ --+ +--+ - - +---+ +---+ - - ---+ +-+ | | |--+ |--+ +--| |--| |--+ | | | | | | |--| |- +--+ +--+ - - - - +--+ - - ---+ +--+ +--+ - - - - ---+
### ### ###### ####### ######## ######## ### ## ### ### ### ### ### ### #### ########## ######## ####### ###### #### ########## ### ### ### ### ### #### ### ### ### ### ### ### ######## ########
------+ - - ------+ ------+ | | | | | | | | | | | | | |-- | | | | | | | ------+ +-----+ ------+ ------+
Демонстрации вирусных эффектов:
|
WARE1341.COM |
Waria.479
byWARIA!v1.0
Warlock, семейство
В некоторых случаях портят .DBF-файлы. Содержат строки:
"Warlock.1676":
WARLOCK .COM .EXE .OVL .DBF
"Warlock.1817"
Revenge of WARLOCK! COMMAND.COM EXE OVL DBF
Warrior.1024
... and justice for all! (US constitution) Dream Over ... And the alone warrior is warrior.The powerfull WARRIOR!
Warsaw.850
Warsaw - virus 1990
WSI.853
ННННННННННННННННННННННННННННН
Welcome to WSI Opole stay cool it`s only... V I R U S !!!
ННННННННННННННННННННННННННННН
Wsurc.1630
Создает на дисках файлы WSURC.DMA, пытается выполнить файл C:\WIN95\WRIVDR.CNF, в зависимости от системного времени и номера диска записывает в .BAK-, .CPP- и .C-файлы строку:
Сpочно обpатитесь к администатоу сети.
Wvp.782
WW1.2473
WW1 LIVE HERE!
WW.217
WW.658
Вирус записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущего времени уничтожает запускаемые EXE-файлы.
Содержит строку:
WW
WWPE.Rsa.4568
В зависимости от текущего значения системного таймера вирус блокирует запись на диск - это может привести к потере данных. Содержит ошибки и иногда завешивает систему и портит файлы при их заражении. Содержит строки:
$$temp$$ Wild W0rker /RSA WWPE v0.1
Wypi.1100
I co sie tak gapisz wypierdku ?
Woytek.1656
Who is MR GUZEK ? MR GUZEK was here MR GUZEK is alive MR GUZEK ForEver! Immortal MR GUZEK
Вирус также содержит строки:
BioTech I, The Digital Form of Life (c) by Woytek W. Lodz, 28 Nov 1996
Weekend.866
ВЫХОДНЫЕ ДЛЯ ОТДЫХА
Wit.1319
##@%@## NO REGRET ##@%@##
Уничтожает файлы: *.°*, CHKLIST.*, ANTI-VIR.DAT, MSAV.CHK, *.AVB, *.LOG, TBSCAN.SIG, SMARTCHK.CPS, *.MS. 15-го апреля или в зависимости от своего "поколения" выводит текст:
Корабелка - rulez forever !
Также содержит строки:
*.COM *.EXE Virus NoRemorse v1.8. Copyright (c) by Wit 1996
Witch, семейство
*.eXe \dOs ChKdSk.exE XcOPy.eXE MeM.ExE cHkLiS*.*
Периодически выводят одно из сообщений и завешивают компьютер:
IT'S WITCHING HOUR... YOUR COMPUTER IS BEING HAUNTED ! HAHAHA... Bad luck... You've got a virus in your system ! Think about using a virus-scanner which is more up-to-date ! Here lies a program in its coffin, executed by a user one time too often...
Witcode.966
Gee, I wanna sleep now! Merry Christmas! You really shouldn't work on Sundays... You got a fine machine!
Также содержит текст:
WitCode
Wizard, семейство
"Wizard.268": I'm WIZARd 3.0 "Wizard.495": I'm WIZARd 4.0
WMA.678
ТV ЯuЫkюr сЭ WMТ
Wolfman.2064
Демонстрации вирусных эффектов:
|
WOLFMAN.CO |
WoodGoblin.2413
AI*.EXE, AD*.EXE, WE*.EXE, VD*.EXE, VS*.EXE, MS*.EXE, HI*.EXE, DR*.EXE
При записи на диск (INT 21h, AH=40h) в зависимости от системного таймера вирус стирает случайно выбранный сектор на диске. Вирус содержит строки:
AIADWEVDVSMSHIDR WG03 Copyright (C) 1995-1996 by WoodGoblin
Word, семейство
"ОШИБКА ПРИ ЗАПИСИ НА ДИСК" -> "ПРИ ОШИБКА НА ЗАПИСИ ДИСК"
"Word.1387,1391,1485,1503" зашифрованы, причем "Word.1391,1485,1503" используют полиморфик -алгоритм. Содержат тексты:
"Word.1387": COPYRIGHTKievVirus "Word.1503": Kiev V1.1COPYRIGHT
WorkHard.1664
Перехватывает также INT 8 (таймер), постоянно проверяет видео-режим и, если в течении получаса установлен графический режим 13h, выводит текст и завешивает компьютер:
Don't play game ! Work hard for China !
Worm!.913
Worm!
Wormsign.1710
Wormsign !
Оставляет в памяти резидентный код, который перехватывает INT 13h, 1Ch, 26h и при обращении к boot-секторам обнуляет байт, содержащий количество головок у данного диска. Некоторые DOS вешают компьютер при обращении к таким дискам. Через некоторое время резидентный код выводит сообщение:
W o r m s i g n !
Вирус также содержит строку:
*** THE SANDWORM ***
WpcBats, семейство
При инсталляции в систему "WpcBait.3072" в некоторых случаях форматирует текущий диск. В зависимости от системного времени и своих счетчиков оба вируса выводят тексты:
a l a - e h ! ##### # ##### ##### # # |#####|# |##### ## |#### |##### |#--+#|#####|#--+# |#####|#--+# ++ +++----+++ ++ +----+++ ++ ------ A.R.Jr W P C B A T S -------
Wra.512
Don't give up! Have a nice Num! Have a nice Lock Moon-Lock-Trouble. Copyright (c) 1993 by WRA.
Write.474
Wrzod.1043
Hello !!! My name is Wrzod. I'm fucking your PC now !!! By Shadow Man ...
WG.728
AI*.* AD*.* WE*.* VD*.* VS*.* MS*.* HI*.*
В зависимости от системного таймера портит информацию, записываемую на диск (INT 21h, AH=40h). Содержит строку:
WG02
Whale, семейство
Создают файл C:\FISH-#9.TBL, в который записывают MBR винчестера и текст:
FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her Cave
С 19-го февраля по 20 марта завешивают систему и выводят на экран строку:
THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG
Вирусы также содержат строки:
THE WHALE 5HS5IF 5IF5HS
Анализ вируса "Whale" является очень трудоемким занятием, так как его 9Кб(!) кодов буквально нашпигованы программными "штучками", затрудняющими трассировку, дизассемблирование и анализ вируса. Для того чтобы получить его листинг, приходится разобраться с десятком специальных способов программирования (динамическое рас/зашифрование, "пустышки", использование конвейера, несколько вложенных шифровок кода и т.д.). При заражении к файлу дописывается зашифрованное тело вируса и расшифровщик, который выбирается из 30 вариантов. Т.е. при поиске вируса в файле необходимо использовать 30 масок.
Whimsy.256
*WHIMSY*.CO?
WhiteLion.942
WHITE LION Silent worrior in the jungle of softwares
WhiteNoise.4853
This is first step on the way to Perfection Noise ,Version 1.0 (C) by White Angel /RSA
Wilbur, семейство
"Wilbur.512" выводит: "Wilbur sez Hi!". Содержит в себе строку: "Origin: Berlin, Maryland 7Apr92".
12-го октября "Wilbur.512.b" расшифровывает и сообщает:
Columbus Raped America. Now I Rape your Hard Disk. NOT!! The procedure is a bit off. Hehe
"Wilbur.512.c" выводит сообщения, которы комбинирует из нескольких строк текста:
I am not I am Akuku. an Animal. Wilbur! a Human Being! Wilbur sez Hi!
"Wilbur.512.d" содержит зашифрованные строки:
*.COM Berlin, MdТ Japanese Components Detected in Your Computer. Format Underway. Just Kidding. Wilbur Again.
7-го декабря он перехватывает INT 9, запрещает работу с клавиатурой, выводит вторую строку и циклически считывает сектора диска.
WildFire.2222
WildFire
WildLicker.3372
3... 2... 1... WILD LICKER !!! a PKWARE+NUKE+TRIDENT virus for your fucked pentium (bug inside)
thanks to [NuKE] N.R.L.G. AZRAEL thanks to PKWARE PKLITE Copr. 1992 PKWARE Inc. All Rights ReservedNot enough memory and thanks to [ MK / TridenT ] [TPE 1.4]
Является компиляцией конструктора вирусов NRLG , генератора полиморфик-кода TPE и паковщика PKLITE. Процедура инсталляции вируса в системную память позаимствована из NRLG-вирусов, тело вируса зашифровано при помощи TPE 1.4, а команда перехода на код вируса спрятана в коде, упакованном PKLITE.
Последнее является основной отличительной чертой вируса: команда JMP-Virus не присутствует в теле зараженного файла, но распаковывается и выполняется кодом PKLITE.
Заражение
При заражении файла вирус переносит 200h байт из заголовка файла в его конец, записывает в начало файла 1CFh байт кода PKLITE, шифрует себя при помощи TPE и записывает результат в конец файла:
0000 +-----------+ -------+ +------------+ |File header| | |PKLITE entry| | | | |code | | | | |------------| 0200 |-----------| -+ | |------------| | | | | | | | | | | | | FEnd +-----------+ | +-> |------------| | |Original | | |file header | | | | FEnd+0200 +-------> |------------| |TPE polymorp| |loop | |------------| |Encrypted | |virus code | | | +------------+
Запуск
При запуске зараженного файла управление получает код PKLITE. Этот код совпадает на 100% с оригинальным кодом распаковщика, который PKLITE 1.15 записывает в начало COM-файлов при их паковке. При заражении файла вирус корректирует данные блока PKLITE таким образом, что код PKLITE распаковывает 1CFh-байтный блок заголовка в 200h байт. После распаковки эти 200h байт оказываются заполненными нулями, за исключением первых трех байт - там содержится команда JMP_Virus.
Таким образом, при запуске зараженного файла код PKLITE замещает первые 200h байт зараженной программы на команду JMP_Virus и нули:
Программа в памяти до распаковки: после распаковки:
0000 +------------+ +------------+ |PKLITE entry| |JMP Near | ---+ |code | | | | |------------| | | | 0200 |------------| |------------| | | | | | | . . . . . . . . | | | | | | |------------| |------------| | |Original | |Original | | |file header | |file header | | | | | | | |------------| |------------| <--+ |TPE polymorp| |TPE polymorp| |loop | |loop | |------------| |------------| |Encrypted | |Encrypted | |virus code | |virus code | | | | | +------------+ +------------+
Затем полиморфик-цикл расшифровывает код вируса, вирус перехватывает INT 21h, оставляет свой код резидентно в памяти, восстанавливает 200h байт начала программы и возвращает ей управление.
Кстати, если распаковать зараженный файл при помощи PKLITE или популярной утилиты UNP, то результатом распаковки будет являться 200h-байтный файл, в начале которого находится команда JMP за пределы файла. Таким образом, распаковка зараженного файла портит его.
WildThing, семейство
Wild Thing ][
По пятницам выводят текст и перезагружают компьютер:
It's Friday... Enjoy the weekend with your computer! [YAM '92]
Также содержат в себе строку:
By: Admiral Bailey [YAM]*.com \command.com
Wildy, семейство
WILDY
По пятницам в зависимости от текущей даты и времени выводят сообщения:
"Wildy.399" (в 12:00): НЕ ЗАБУДЬТЕ ВЫКЛЮЧИТЬ ТЕЛЕВИЗОР!!! "Wildy.402" (по 13-м числам): ОСТАВЬ МЕНЯ,СТАРУШКА,- Я В ПЕЧАЛИ!!! "Wildy.421": Toлькo LSD cдeлaeт тeбя cчacтливым...
"Wildy.421" после этого ждет ввода "lsd".
WilliWonka.1088
Вирус содержит зашифрованную строку:
WilliWonka
Willow, семейство
WILLOW come in
Willy.1030
Вирус пытается (безуспешно) создать файл WILLY91, содержит строки:
WILLY.91 Willy the Worm was here! Experimental virus by author of Ontario COMMAND.COM
Wintermute.1052
Содержит строку:
Apocalyptic by Wintermute/29ACOM
Wirusek.2723
To ja - nieszkodliwy wirusek reklamowy. Przekaze tylko pewna informacje i juz mnie nie ma. Wszystko jest OK. A oto ta oczekiwana informacja: Ognisko Muzyczne F R A Z A we Wroclawiu uczy gry na : - pianinie, - akordeonie, - syntezatorach, - gitarze, - skrzypcach, - uczy rowniez spiewu solowego.
Ognisko Muzyczne F R A Z A organizuje rowniez kursy CHWYTOW GITAROWYCH. Juz po czterech miesiacach poznasz tajniki gry na gitarze badz syntezatorze. I TY mozesz umiec grac na roznych instrumentach muzycznych. Kontakt : Wroclaw, tel. 25-90-97
+---------------------------------------------------------------------------+ | Nacisnij dowolny klawisz abys mogl pracowac | |---------------------------------------------------------------------------| | Jesli chcesz umiescic reklame w programie samokopiujacym, pisz do: | | Agencji Wydawniczej: skr. poczt. 1009, WROCLAW 3 | +---------------------------------------------------------------------------+
Демонстрации вирусных эффектов:
|
WIRUSEK.COM |
Wisconsin.815
Death to Pascal
и удаляет все .PAS-файлы текущего каталога. Перед удалением каждого файла выводит на экран точку.
Wasp.1655
+------------------------------+ | Hello - Im Your New Virus | | - WASP - | | A.J.Poshukaev Call Neighbour | +------------------------------+
Также содержит в своем теле текст:
"Wasp"ver 1.0 - Underground Laboratory "FLY" - Moscow 1993
Wasp_II.1312
В зависимости от системной даты и своих счетчиков проявляется различными способами: записывает с область системных сообщений файла C:\IO.SYS строку "Fucking"; оставляет в памяти резидентную программу, которая периодически "трясет" экран; записывает в boot-сектора диска A: текст:
I'm W.A.S.P. Fuckyourself !
выводит сообщения:
Insufficient memory Incorrect DOS version
Вирус также содержит строки:
W.A.S.P. PATH= c:\io.sys *.com tmp.$$$
Wave.454
Демонстрации вирусных эффектов:
|
WAVE.COM |
Wawah.787
- G 124 HA - Assembled by WaWaH
Weak.1253
Перехватывает INT 21h, 22h, 23h, 24h и записывается в начало .COM-файлов при их создании (т.е. при копировании файлов): перехватывает DOS-функцию Create, создает файл, записывает в него тело вируса и передает управление DOS, которая, в свою очередь, дописывает к вирусу тело копируемого файла. Как следствие, вирус обходит резидентные антивирусные мониторы и CRC-ревизоры диска. Вирусу также нет необходимости анализировать INT 24h, восстанавливать время и атрибуты файла.
При обращении к файлу вирус реализует "стелс"-алгоритм: перехватывает функцию DOS Lseek (AH=42h) и корректирует указатель чтения/записи таким образом, что файл "выглядит" незараженным. Обрабатывает функции FindFirst/Next ASCII и корректирует выдаваемые значения длин зараженных файлов. Не обрабатывает соответствующие функции FCB, что может стать причиной некорректной работы некоторых утилит.
При создании резидентной копии использует легальный метод - INT 27h. В свой PSP записывает, что блок памяти принадлежит программе COMMAND.COM, благодаря чему маскируется на карте памяти.
Содержит текст:
Et tu vulneratus es sicut et nos, nostri similis effectus es...
Weed.4080
Имеет ошибки и портит файлы небольшой длины. Уничтожает файлы CHKLIST.MS. Содержит строки:
WEED - v1.1 *.exe *.com path chklist.ms
Week.1614
WeihNacht, семейство
Ich hoffe, sie haben zu Weihnachten einen Virus-Scanner bekommen!
Демонстрации вирусных эффектов:
|
WEIHNACH.COM |
Weird.1800
Уничтожает антивирусные файлы данных: CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT. Создает файл C:\DOS\MSD.INI и записывает в него текст:
You are now looking at the name/passwords of your network! Greetings, ThE wEiRd GeNiUs. Check your MSD.INI once in a while!
Затем оставляет в памяти резидентную программу, которая перехватывает INT 16h, 21h и при запуске LOGIN сохраняет вводимый пароль в тот же файл C:\DOS\MSD.INI. По 1-м числам ежемесячно печатает этот файл на принтер.
Вирус также содержит строки:
LOGIN PRN PATH=*.COM .TXT TBDRVX COMM CHKLIST.MS CHKLIST.CPS ANTI-VIR.DAT GETPASS! V3.X
Weirdo.555
Out of memory [Weirdo (c) 93 CC/TridenT] EMMXXXX0
Wench.2537
Yanch + Wench
Демонстрации вирусных эффектов:
|
WENCH.COM |
Werehere.836
We're here!
Вирус содержит в своем теле также и текст:
-- Press a key
WereWolf, семейство
"Werewolf.Wave" - полиморфик-вирусы. "Wave.2845" по причине ошибки портит заражаемые COM-файлы.
Вирусы содержат строки:
"WereWolf.658,678": Home Sweap Home (C)1994-95 WereWolf "WereWolf.684.a": CLAWS"WereWolf.684.b,685": FANGS"WereWolf.1152": SCREAM"WereWolf.1168": SCREAM!"WereWolf.1192,1193,1208": BEAST"WereWolf.1367": FULL MOON (C)1995-96 WereWolf "WereWolf.1450": [WULF]"WereWolf.1500.a": WULF"WereWolf.1500.b": [WULF]"Wave.2662,2845": WAVE v0.9 WereWolf Advanced Viral Encryption [HOWL] (c)1996 WereWolf
"WereWolf.658,678,684,685" нерезидентны, зашифрованны. При запуске ищут .EXE-файлы и записываются в их конец. Ищут и уничтожаут файлы *.MS, *.CPS, ANT*.DAT.
"WereWolf.1152,1168,1208,1367,1500" являются резидентными вирусами, "WereWolf.1152,1367,1500" зашифрованы. Перехватывают INT 21h и заражают COM- и EXE-файлы при при их запуске или открытии. "WereWolf.1192,1193,1208" записываются в начало COM- и конец EXE-файлов, остальные вирусы записываются в конец файлов.
Не заражают файлы:
"WereWolf.1152": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV CHKDS F- "WereWolf.1208": CLEAN AVP TB QB SCAN COMM NAV V FINDV GUARD FV CHKDS F-PR "WereWolf.1367": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV CHKDSK F- "WereWolf.1500": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV CHKDS F- "Wave.2662,2845": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV F- MEM CHKDSK
WestUkrain.274
*.COM Western Ukraine