Технологический лицей г.Сыктывкар

Поиск



15years

Очень опасный резидентный зашифрованный boot-вирус. Перехватывает INT 13h, 16h и записывается в MBR винчестера и boot-сектора флоппи-дисков. 7-го апреля записывает в сектора дисков строку: 



Esto te pasa por programas que a nosotros nos cuesta tanto 

trabajo hacer. Que te quede de Experiencia, MВxico,1994


В зависимости от своих счетчиков меняет знаки, вводимые с клавиатуры. Содержит также строку: 

This Virus is from MEXICO, I have 15 years old




ABCD

Безобидный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков. Винчестер поражается при загрузке с зараженного флоппи-диска. Вирус содержит слово-идентификатор ABCDh.




ABS3

Очень опасный boot-вирус. Перехватывает INT 13h и поражает boot-сектора дискет и MBR винчестера по алгоритму вируса "Stoned" . Периодически уничтожает содержимое первых 7-ми секторов дискет.




Aija

Очень опасный загрузочный стелс -вирус. При загрузке с пораженного флоппи записывается в MBR винчестера и возвращает управление загрузчику DOS. При загрузке с пораженного MBR перехватывает INT 13h и записывается в boot-сектора дискет при обращении к ним. Вирус сохраняет свою вторую часть и первоначальный сектор в двух последних секторах диска (первого логического диска на винчестере). 25-го марта стирает сектора дисков и сообщает: 

FINNISH_SPRAYER.1. Send your Painting +358-0-4322019 (FAX), [Aija]

Также содержит строки: 



Ai

Tks to B.B., Z-VirX ..... [Aija]





Aircop

Очень опасный вирус. Перехватывает INT 12h, 13h, 1Bh и поражает boot-сектора дискет, сохраняя старый boot-сектор по адресу 39/1/9 (трек/головка/сектор). Данные, расположенные по этому адресу, будут уничтожены. Пытается пережить перезагрузку. При попытке загрузки с диска, не содержащего системных файлов DOS, выводит на экран "Non-system". Периодически сообщает: 

RED STATE, Germ offensing --Aircop




Andrew (boot)

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При заражении системной памяти в зависимости от системного таймера форматирует диск. Содержит ошибки и в некоторых случаях завешивает систему. Содержит строки: 



ANDREW

Fuck'em Off





Anticmos

Очень опасный вирус. При загрузке с пораженного флоппи-диска записывается в MBR винчестера, затем перехватывает INT 13h и записывается в boot-сектора дискет. Оригинальное содержимое секторов не сохраняет. Периодически стирает содержимое CMOS.

"Anticmos.Lixi" содержит строку: 

I am Li Xibin!




AntiExe, семейство

Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и заражают boot-сектора дискет и MBR винчестера. При обращениях к секторам диска проверяют их на наличие заголовка EXE и портят некоторые EXE-файлы при их запуске или при чтении/записи этих EXE-файлов.




AP, семейство

Безобидные загрузочные стелс -вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет и MBR винчестера (см. вирус "Stoned" ). Сожержат ID-слово "AP".

"AP.NightCity" содержит ошибку: вместо того, чтобы увеличивать значение своего внутреннего счетчика, вирус портит обин байт своего кода. В зависимости от значения этого счетчика вирус выводит текст: 

Night City. Visit the Forgotten Realms. AD&D ICE-T [KF]






April

Неопасный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков и диска C: на винчестере. Винчестер поражается при загрузке с зараженного флоппи-диска, дискеты - при обращениях к ним.

В апреле вирус перехватывает также INT 17h и при печати заменяет символы "." на "!" и "<цифра>" на "<цифра - 1>".




Armee, семейство

Очень опасные резидентные загрузочные вирусы. Поражают boot-сектора флоппи-дисков и активный boot-сектор винчестера ("Armee.a") или MBR винчестера ("Armee.b").

При загрузке с инфицированного флоппи заражают винчестер, при этом старый сектор сохраняется в последнем секторе диска. Затем вирусы перехватывают INT 13h и при обращении к флоппи-дискам записываются в их загрузочные сектора по методу вируса "Brain" . 7-го февраля ("Armee.a") или 11-го февраля ("Armee.b") вирусы выводят тексты и затем стирают сектора дисков: 



"Armee.a": Schafft die Schweizer Armee ab !

"Armee.b": AuslДnder raus aus der Schweiz !





ASBV

Очень опасный резидентный загрузочный стелс-вирус. Перехватывает INT 9, 13h и записывается в MBR винчестера и boot-сектора дискет. В зависимости от своего счетчика стирает сектора дискет. Перехватывает "теплую" перезагрузку и пытается ее "пережить". Содержит строки: 



I'm ASBV

No System!





Asterisk

Опасный резидентный boot-вирус. Копирует себя по адресу 7000:7C00 (что часто вешает систему), перехватывает INT 13h, 17h и записывается в MBR винчестера и boot-сектора дискет. "Играет" с принтером, выводит на экран символ '*'.




Azusa, семейство

Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и поражают загрузочные сектора дискет и MBR винчестера. Первоначальный загрузочный сектор сохраняют в последнем секторе дискеты, исходный MBR не сохраняют: при загрузке с пораженного диска самостоятельно ищут активный загрузочный сектор и считывают его в память.

Проявляются различными способами в зависимости от версии: завешивают COM- и LPT-порты, форматируют винчестер.




Baboon

Опасный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. Винчестер поражается при загрузке с зараженного флоппи-диска. 11 сентября стирает сектора на винчестере.




Bagoes

Неопасный резидентный загрузочный вирус. Перехватывает INT 13h, 17h и записывается в boot-сектора дискет и MBR винчестера. При печати заменяет символы "R" и "r" на "L" и "l", Содержит строки: 



B.A.G.O.E.S

STMIK BUDI LUHUR

INDONESIA





Zeus

Неопасный резидентный зашифрованный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и диска C:. В зависимости от своего "поколения" меняет фонт символа '5'. Содержит строку: 

Zeus



Демонстрации вирусных эффектов:

ZEUS.COM


Zim

Опасный резидентный загрузочный вирус. Копирует себя в область данных DOS по адресу 0000:0540, перехватывает INT 13h и затем записывается в boot-сектора дискет. Заражает MBR винчестера при загрузке с зараженной дискеты. Содержит ошибку и может испортить сектора и завесить систему при заражении.




Zuzana

Безобидный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строку: 

ZUZANA-0001FAT12




NYB (B1, Stoned.i) this text was written by Mikko Hypponen, DataFellows ltd



Вирус NYB широко распространен во всем мире. Является он довольно простым вирусом, заражающим дискеты и Master Boot Record винчестера. Заражение винчестера происходит только при загрузке системы с зараженного флоппи-диска - вирус записывает свой код в MBR, затем он остается резидентным в DOS-памяти при каждой загрузке с зараженного диска. Для своей резидентной копии вирус выделяет 1K системной памяти.

После инсталляции в память вирус заражает практически все незащищенные от записи дискеты, к которым идет обращение. Вирус использует стелс-приемы, в результате чего код вируса в зараженной MBR оказывается невидим, если в памяти компьютера присутствует копия вируса.

При каждом обращении к диску с вероятностью 1/512 вирус позиционирует головку флоппи-диска последовательно на все сектора/треки от 0/0 до 62/255 (на стандартных дискетах такой адрес отсутствует). Некоторые (старые) дисководы не содержат проверки на такие "запредельные" адреса, в результате чего головка дисковода может достаточно интенсивно биться об ограничитель, что может привести к физической поломке дисковода.

В коде вируса присутсвует еще одна процедура, разрушающая информацию на диске, если информация записыватся на винчестер в 0:0 (сразу после полуночи).

Вирус по причине ошибок также может портить информацию на некотороых дискетах.

Первоначальная версия вируса не содержит тестовых строк. "NYB.d" содержит текст: 

SVK by RAVEN




AntiWin

Неопасный загрузочный вирус. Перехватывает INT 9 (клавиатура), INT 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. Винчестер поражается при загрузке с зараженного флоппи-диска, дискеты заражаются при обращениях к ним. При нажатии на клавишу "Windows" (клавиатура Microsoft) вирус завешивает компьютер. В вирусе содержится строка: 

AntiWin95




Peru

Опасный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и винчестера. Винчестер поражается при загрузке с зараженного флоппи-диска, дискеты заражаются при обращениях к ним. По причине ошибки при заражении дискет записывает оригинальный загрузочный сектор в один из секторов FAT, что может испортить данные на дискете.

После 5 заражений выдает сообщение: 

No Existe Otra Mujer Como JOHANA

Также содержит строку: 

Peru




Amjads

Очень опасный резидентный загрузочный полиморфик -стелс -вирус. Заражает MBR винчестера и загрузочные сектора дискет. При загрузке системы с зараженного диска вирус перехватывает INT 1Ch, ждет некоторое время и затем перехватывает INT 13h. При загрузке с дискет вирус также заражает MBR винчестера. Заражение дискет происходит при обращениях к ним.

6 марта вирус стирает сектора винчестера и выводит текст: 



You PC is now Stoned!

This virus was written in the city of Taipei.

Amjads 1997.





VMF

Неопасный резидентный загрузочный стелс -вирус. При старте с зараженной дискеты заражает память и MBR первого жесткого диска. Оригинальный boot-сектор записывает на последнюю дорожку дискеты, предварительно пометив в FAT эти сектора как сбойные. Оригинальный MBR сохраняет по адресу 0/0/5. Содержит текст: 

 VMF v1.0




Ghost

Опасный резидентный загрузочный вирус. Записывается в MBR винчестера и загрузочный сектор дискет. MBR винчестера сохраняет по адресу 0/0/8, boot-сектор сохраняет в последнем секторе корневого каталога дискет.

При старте записывается в таблицу векторов прерываний по адресу 0020:0000 и перехватывает INT 13h. Затем заражает дискеты при обращениях к ним. MBR винчестера заражается при первой загрузке с зараженной дискеты.

При загрузке с зараженной дискеты, если MBR винчестера уже заражен, то вирус лечит диск: переносит оригинальный код MBR из сектора 0/0/8, а на место этого сектора записывает нули. В последний раздел таблицы разбиения диска при этом записывает строку: 

 GHOST

Вирус использует достаточно рискованный анти-отладочный прием и в результате не работает на Pentium-компьютерах.




Blacksun

Очень опасный резидентный зашифрованный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет при обращении к дискам. В качестве ключа расшифровки использует код ошибки определения параметров диска и о этой причине зависает на компьютерах с AMI BIOS (возвращаемый код ошибки не совпадает с ожидаемым). Если номер месяца совпадает с числом, текущее время - 0 секунд, то вирус стирает CMOS-память компьютера. Содержит строку: 

BlackSun




Pebble

Опасный резидентный загрузочный вирус. Перехватывает INT 9, 13h и записывается в MBR винчестера и boot-сектор дискет при чтении с диска. Оригинальный boot сохраняет в последнем секторе корневого каталога, оригинальный MBR - в 7-ом секторе винчестера. При заражении дискет портит их таблицу параметров.

При нажатии на клавишу (INT 9) изменяет атрибут цвета для левого верхнего символа. Более никак не проявляется.




WorldPeace

Опасный резидентный загрузочный вирус. Перехватывает INT 13h, 1Ch и записывается в boot-сектора дискет. Оригинальный boot-сектор сохраняет в последнем секторе корневого каталога. При заражении дисков емкостью 1.44 Мб портит второй сектор корневого каталога.

Перехватчик таймера (INT 1Ch) периодически выводит на экран мигающий разными цветами текст: 

World Peace




Uniform

Безобидный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строки: 



UNIFORM

Rajaat





Urkel

Неопасный резидентный зашифрованный стелс boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Выводит строку: 

Urkel




Vendetta

Неопасный резидентный boot-вирус. Перехватывает INT 9, 13h и записывается в MBR винчестера и boot-сектора дискет. Работает только на PC-XT. Иногда портит буфер клавиатуры. Содержит строку: 

VENDETTA




Verify

Очень опасный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. По 25-м числам ежемесячно заменяет команду записи (INT 13h, AH=3) на команду проверки (verify, INT 13h, AH=4), что может вызвать порчу файлов и системных секторов.




Visionar

Безобидный резидентный загрузочный стелс-вирус. Перехватывает INT 13h, при ображении к загрузочным секторам и MBR винчестера заражает их. Никак себя не проявляет.




Volga, семейство

Этот вариант самого распространенного загрузочного вируса "Stoned" впервые обнаружен в Волгоградском государственном университете. Первая версия вируса из семейства "Volga" датирована июлем 1991, последняя - апрелем 1992. На диске вирус занимает один сектор, в памяти в зависимости от версии - 1 или 2Kb. Первоначальный загрузочный сектор дискет при заражении не сохраняется.

Как и стандартный "Stoned", этот вирус после загрузки с дискеты инсталлируется в верхние адреса оперативной памяти, после чего проверяет зараженность MBR винчестера. Если винчестер не был заражен - заражает его, причем сохраняемая копия MBR зашифровывается. Методы шифровки MBR в разных версиях различны. После заражения винчестера (или сразу после загрузки, если винчестер уже был заражен) вирус считывает зараженный MBR и передает управление ему.

В вирусах применен новый вид пакости на дисках, который при лечении вирусов в памяти делает невозможным дальнейшую работу с диском без дополнительного его исправления. Вирусы перехватывают прерывание INT 13h (обращение к диску) и следят за операциями чтения/записи.

Вирус использует тот факт, что команды стандартного и длинного чтения/записи имеют практически совпадающий формат. При записи сектора или секторов через обычную функцию (AH=03h) вирус записывает сектора по одному с помощью функции "запись длинных секторов" (AH=0Bh). Посекторная запись сделана потому, что для чтения нескольких секторов (число секторов чтения/записи указывается в регистре AL) потребовался бы соответствующих размеров буфер, равный числу байт в секторе, умноженному на число секторов.

При чтении секторов с помощью обычной функции чтения (AH=02h) вирусы также меняют функцию на "чтение длинных секторов" (AH=0Ah), которая читает как сектора, записанные функцией AH=02h, так и записанные функцией AH=0Bh.

В результате часть секторов диска (те, в которые произошла запись) оказываются в формате LONG, а остальные - в стандартном формате. То есть карта секторов винчестера выглядит как черно-белая шахматная доска: один или несколько стандартных секторов, затем один или несколько 'длинных', затем опять несколько стандартных и так далее.

В зараженной системе диски читаются как обычно, но после удаления вируса из памяти или после удаления вируса из MBR и загрузке с чистого диска начинает твориться невесть что: все пораженные сектора перестают читаться средствами DOS. Диск становится недоступным после удаления вируса! Перестают читаться все сектора диска, которые были перезаписаны под активным вирусом. Первые 63 сектора диска вирус не портит. В большинстве случаев эти сектора занимает таблица размещения файлов (FAT) - но FAT без файлов (файлы записаны long'ом) все равно, что компьютер без процессора.

Для исправления таких секторов требуется специальная программа, которая должна читать подряд все сектора на диске с помощью обычной функции чтения (INT 13h AH=02h), пока не найдется сбойный сектор. Сбойный сектор читается функцией "чтение длинных секторов" (INT 13h, AH=0Ah). Если чтение прошло успешно, записывается обратно через обычную функцию записи (INT 13h AH=02h). На исправление пораженного таким образом диска требуется значительное время: от нескольких минут до часа и более (в зависимости от объема диска и его времени доступа).




Voodoo

Опасный нерезидентный загрузочный вирус. При загрузке с зараженного диска записывает себя вместо boot-секторов дисков A: (если дискета в дисководе) и C: (если загружается с дискеты). Первоначальный код загрузчика не сохраняется - вирус сомостоятельно грузит DOS. Содержит несколько ошибок и может завесить систему или испортить не-DOS диски. Содержит строки: 



[VooDoo]

Yar harddisk's gone now..


Пытается (безуспешно) вывести вторую из них.




VSign, семейство

Неопасные резидентные загрузочные вирусы. Перехватывают INT 13h и поражают boot-сектора флоппи дисков и MBR винчестера, при этом изменяет в зараженном секторе около 40 байт кода.

"VSign.a" лечит диски и системную память, зараженную вирусом "Stoned".

При каждом 64-ом заражении "VSign.a" рисует на экране большую букву 'V' и завешивает компьютер.

При каждом 16-м заражении "VSign.b" выводит текст: "VERONIKA" и тоже завешивает компьютер. Этот вирус содержит слово-идентификатор: 

VP

См. также файловый вирус "Veronika" .



Демонстрации вирусных эффектов:

VSIGN.COM


Wet

Опасный резидентный стелс -вирус. Перехватывает INT 13h и записывается в boot-сектор винчестера и флоппи-дисков. При заражении дискет не сохраняет первоначальное содержимое boot-сектора, при загрузке с такой дискеты вирус выводит текст: 



No system disk or disk error

Replace and strike any key when ready


Вирус также содержит строку: 

- (c) 1990 W.E.T. -




Windmill

Резидентный неопасный вирус, перехватывает INT 13h, 1Ch и записывается в boot-сектора дискет. Старый boot-сектор запоминает в последнем секторе 360K диска. Периодически проявляется видео-эффектом: сдвигает экран и крутит символ '-'. Содержит текст: 

WINDMILL Strain 2Windmills in your mind..LLCPHP



Демонстрации вирусных эффектов:

WINDMILL.COM


Wolleh

Неопасный резидентный загрузочный стелс -вирус. Занимает на диске 4 сектора. При загрузке с зараженного диска перехватывает INT 10h, 12h, 13h, 17h, 19h, 1Ch. Затем заражает загрузочные сектора дискет и диска C:. Свой основной код и первоначальный код зараженного сектора хранит в последних секторах диска.

Периодически изменяет цифры при их печати на принтере (INT 17h). Перехват INT 13h используется для вызова процедур заражения и стелс. Остальные прерывания используются для установки и изменения внутренних флагов и счетчиков вируса. Вирус содержит строку: 

? wolleH




XIV

Неопасный резидентный boot-вирус. При загрузке с зараженной дискеты записывается в MBR винчестера и неиспользуемые сектора перед первым boot-сектором. При загрузке с зараженного винчестера копирует часть своего кода (128 байт) в таблицу векторов прерываний, перехватывает INT 13h и затем записывается в boot-сектора дискет. После инсталляции в памяти остается только кусок кода вируса, поэтому при заражении дискет вирусы приходится копировать себя из секторов винчестера в сектора заражаемой дискеты.

В зависимости от системного таймера выводит текст: 



XIV L.O. Wroclaw

Najlepszy  polski  program  antywirusowy

MkS_Vir  kupisz  w  firmie:

         APEXIM Sp. z o.o.

         ul. Dzielna 74/76

          01-029 Warszawa

           tel. 38-92-82


Также содержит строки: 



Pozdrawiam wszystkich uczniвw Czternastki!

AutorXIV LO




Демонстрации вирусных эффектов:

XIV.COM


XOR

Безобидный резидентный зашифрованный (метод XOR) загрузочный вирус. Перехватывает INT 8, 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строку: 

Independent SLOVENIA !




Yale

Очень опасный резидентный загрузочный вирус. Перехватывает INT 9 и INT 13h. Инфицирует диски только при "теплой" перезагрузке, записывая себя в boot-сектор диска A:. Первоначальный boot-сектор сохраняет в секторе 0/39/8 (сторона/трек/сектор). Никаких проверок при этом не делает.




Svin.Boot

Неопасный резидентный загрузочный вирус. При загрузке с дискеты вирус не остается резидентно в памяти, а только заражает MBR винчестера и отдает управление первоначальному загрузчику. При загрузке с MBR вирус перехватывает INT 13h и заражает дискеты. В некоторых случаях вирус расшифровывает и выводит на экран: 

< SVINOLOBOVA SYKA >S0_MBR (C) 04.1994 by @SOURCE  (ЛИАП).




SVS

Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Корректно заражает только 360K-дискеты, на прочих дискетах может испортить данные. Не сохраняет первоначальный MBR - при загрузке с такого диска вирус самостоятельно ищет активный boot-сектор и передает на него управление.




Szatan

Безобидный резидентный загрузочный вирус. Перехватывает INT 8, 13h, 1Ch и записывается в boot-сектора 1.4Mb дискет и MBR винчестера. Содержит строку: 

virus SZATAN dedicated to BARTCZAR




Taekwondo

Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет. В MBR винчестера записывается при загрузке с зараженной дискеты. При заражении сохраняет первоначальные boot/MBR по адресу 27/09/01 (трек/сектор/головка) и может испортить данные. Содержит строку: 

TaeKwonDo




Tiddler

Довольно короткий резидентный загрузочный вирус - длина всего 84 байта. Перехватывает INT 40h. Поражает только boot-сектора дискет. При загрузке с зараженной дискеты инсталлирует себя в память, а затем грузит систему с винчестера.




Tomalak

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает boot-сектора дискет и MBR винчестера. Начиная c 100-го поколения стирает сектора дискет. Содержит зашифрованную строку: 

TOMALAK




Tony

Резидентный неопасный вирус, перехватывает INT 13h и поражает boot-сектора дисков, первоначальный boot-сектор записывает в самый последний сектор диска. Содержит текст: 

Tony




Tornado

Неопасный резидентный зашифрованный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. В зависимости от своего внутреннего счетчика и значения системного таймера "сдвигает" экран. Содержит строку: 

TORNADO



Демонстрации вирусных эффектов:

TORNADO.COM


Traveller

Безобидный резидентный стелс boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строку: 

Traveller.




TrkSwap

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и поражает boot-сектора флоппи-дисков при обращениях к ним и при "теплой" перезагрузке. При обращении к зараженному диску меняет содержимое 0-го и 39-го треков диска.




Tubo

Неопасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. В некоторых случаях расшифровывает и выводит текст: 

ШstanbulCCC was here. He He




TurboBasic

Опасный резидентный загрузочный вирус. Поражает MBR винчестера при загрузке с зараженной дискеты, перехватывает INT 13h и заражает boot-сектора флоппи-дисков при чтении или записи их секторов. Мешает запуску некоторых EXE-файлов (TorboBasic?). Содержит текст: 

Don't run TurboBasic!




TypoBoot

Опасный резидентный загрузочный вирус, методом "Brain" поражает boot-сектора винчестера и флоппи-дисков при чтении с них (INT 13h, ah=2). На диске располагаются способом "Brain". Работает только на компьютерах IBM PC/XT, так как содержит команду MOV CS,AX (межсегментный JMP), которая выполняется только процессором 8086 (IBM PC/XT). Перехватывает INT 13h, 17h. Подменяет знаки, которые выводятся на принтер.




Ufro

Неопасный резидентный зашифрованный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При заражении не сохраняет первоначального содержимого сектора. При загрузке с зараженного сектора передает управление на первый boot-сектор винчестера.

По 6-м числам ежемесячно выводит текст и завешивает компьютер: 



UFRO

IEE-1987





Unashamed, семейство



Unashamed.a,b



Безобидные резидентные загрузочные вирусы. Перехватывают INT 9, 13h и записываются в MBR винчестера и boot-сектора дискет. В вирусах содержится код, который после двух заражений выводит текст и завешивает PC: 

the UNashamed Naked!

однако по причине ошибки этот код никогда не вызывается.



Unashamed.c

Вместо INT 9 перехватывает INT 8 (таймер) и в зависимости от системного времени выводит на экран текст: 



I'm the great UN, say, the Unashamed Naked!

Yeah! of course, I'm the pride of yo nud(ll)ity!

I'm here to nakedly spread my HELPS, say, my AIDS

along with my UNashamed & AmeriKindily famous dinocracy,

yo girl & pearl$ in my heart! Uh! I  this game!

Pray fo peace guys, while I seize, strip, kis & $queeze!

You'd enjoy the scene & hold yo hate, I've no shame,

once I'm spreading AIDS, for(the)sake (of)yo peace!

Sure! In Songola, Moznia, Amalia, Bozambique,...



my stripsqueeze's going on, UNashamed & NAKEDly!




UN, watch yoself!... Black Synapse advises!




SeeYou, семейство

Очень опасные резидентные загрузочные "стелс" -вирусы, частично зашифрованы. Заражают загрузочные сектора дискет и диска C:. При загрузке с пораженного диска "отрезают" себе блок памяти (уменьшают слово по адресу 0000:0413), перехватывают INT 13h, ждут загрузки DOS, перехватывают INT 21h и при запуске первого файла (COMMAND.COM) выделяют блок DOS-памяти, копируют себя в него и восстанавливают размер DOS-памяти (слово 0000:0413). В результате вирус прячет себя между ядром DOS и резидентной копией COMMAND.COM.

В зависимости от системной даты стирают сектора дисков и выводит одно из сообщений: 



See you later ...

Happy birthday, Populizer !





Sepultura (boot)

Безобидный резидентный стелс boot-вирус. Перехватывает INT 13h и заражает boot-сектора дискет и MBR винчестера. Никак не проявляется. Содержит строку, которая после отключения русификатора читается как "[2fu]Sepultura": 

[2ЯБ]SРpЧLчБrТ




SheHas

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строку: 

Virginia / Shirley  ---  She has BREASTS, yes she has !!!




Shin

Неопасный резидентный зашифрованный boot-вирус. Перехватывает INT 8, 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит подпрограмму заражения файлов, но она не получает управления ни при каких условиях. INT 8 используется вирусом для блокировки трассировки. Вирус выводит сообщение: 

[DarkElf]v2.0 Shin




Sierra

Неопасный резидентный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Расшифровывает и выводит текст: 

El Monвculo del Conde Sierra

Также содержит строку: 

NENO*15/47




Snow

Неопасный резидентный стелс boot-вирус. Перехватывает INT 10h, 1Ch, 13h и записывается в MBR винчестера и boot-сектора флоппи-дисков. При заражении шифрует первоначальные boot и MBR сектора. Иногда проявляется видео-эффектом: на экране начинает падать снет. Содержит зашифрованную строку: 

Snow



Демонстрации вирусных эффектов:

SNOW.COM


SP3

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h, 16h и записывается в boot-сектора дискет и MBR винчестера. Содержит ошибку и может испортить данные на дискетах при их заражении. В зависимости от своего счетчика, который увеличивается при каждом вводе с клавиатуры, вирус блокирует запись на диск. Это может привести к потере данных на диске. Вирус содержит строку: "SP3".




Stb

Опасный резидентный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Не совсем корректно заражает некоторые типы винчестеров.




StealthBoot

См. "Havoc" .




Stoned, семейство

Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и заражают первые физические сектора дисков: начальный сектор флоппи-дисков и MBR винчестера. Дискеты инфицируются при чтении с них (INT 13h, AH=02), винчестер - при загрузке DOS с зараженной дискеты.

Состоят из двух частей. Первая часть содержит тело вируса и хранится в первом физическом секторе диска, вторая содержит первоначальный сектор зараженного диска и занимает один из редко используемых секторов: на винчестере - сектор между MBR и первым загрузочным сектором, а на дискете - один из секторов, отведенных под корневое оглавление. Например, вирус "Stoned.a" записывается в последний сектор корневого каталога 360K дискет.

Ранние версии вируса сохраняют на дисках свою вторую часть по фиксированным адресам: на дискете - 1/0/3 (головка/трек/сектор), на винчестере - 0/0/7. При этом никаких проверок не производится, поэтому вирус может уничтожить часть информации на дисках (на дискетах - один из секторов FAT или корневого каталога, на винчестере - один из секторов FAT).

Содержат строки текста, в некоторых вирусах они зашифрованы: 



"Stoned.Angelina":   Greetings for ANGELINA !!!/by Garfield/Zielona Gora

"Stoned.Antigame":   Antigame from The Rat

"Stoned.Archub":     ARC HUB 8A

"Stoned.Arcv.a":     [HiDos] By Apache

"Stoned.Arcv.b":     [SCYTHE2] by Apache

"Stoned.Arcv.c":     [X-3a] ICE-9

"Stoned.Bite":       I'm made in  B I T E Soft. !

"Stoned.BlackWorm":  BLACK WORM

"Stoned.Bunny":      BUNNY


"Stoned.Canadian":   Canadian

"Stoned.Dallas":     MаsfВl perc mгlva DALLAS !

"Stoned.Damcdoom":   DAMCDOOM




"Stoned.Daniela":    EU TE AMO DANIELA


"Stoned.Diablo":     DIABLO

"Stoned.Digital93":  ^DIGITAL'93

"Stoned.Intruder":   Intruder

"Stoned.J&M":        J&M

"Stoned.Jugador":    MARADONA

                     ESTE ES EL VIRUS DEL MEJOR JUGADOR DEL MUNDO

                     SALUDA A UD. MUY ATTE. DIEGO ARMANDO MARADONA

"Stoned.Kenya":      KENYA

"Stoned.Lera":       IF YOU WANT TO FUCK CALL 575-52-94 LERA!!!!

"Stoned.Magic":      Magic

"Stoned.Micola.a":   Mikola

"Stoned.Mikola.b":   MIKOLA V15 GHOST

"Stoned.Military":   EXPERIMENTAL MILITARY VIRUS Do not distribuite

                     whitout Pentagon S21 office permission!

"Stoned.Neardark.a": MARIJUANA++

"Stoned.Ok":         o.k.

"Stoned.Vaucher":    "VAUCHER" BY DARK DOC

"Stoned.Scrlock.a":  ScrLock Protection

"Stoned.Scrlock.b":  (C)91 Scroll Lock Protects the HDD

"Stoned.Sepultura":   -=>SРpЧLчБrТ<=-

"Stoned.Service":    "Service-1" presents

                     bootER 1991
made in Russig 


"Stoned.Spirit":     SPIRIT (c) MW



"Stoned.Survivor":   Survivor2




"Stoned.Zoboot":     ЗаBOOTовка




Stoned

При загрузке с зараженного флоппи-диска с вероятностью 1/8 на экране появляется сообщение "Your PC is now Stoned!". Помимо указанной, содержат строку "LEGALISE MARIJUANA!". Вирус "Stoned.c" при заражении MBR винчестера уничтожает таблицу разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска. "Stoned.d" 1 октября уничтожает информацию на винчестере.



Stoned.Alive

При F0h-том обращении к диску (INT 13h) выводит текст "A AM ALIVE" в верхнюю часть экрана. Использует стелс-алгоритм при обращении к MBR винчестера.



Stoned.AntiExe

Блокирует запуск некоторых EXE-файлов, использует стелс-алгоритм.



Stoned.Antigame

Устанавливает INT 1, 3 на команду IRET. Запрещает переход в некоторые видеорежмы.



Stoned.Aragon

Зашифрован.



Stoned.Bloody.a,b

Периодически расшифровывают и выводят на экран текст: "Bloody! Jun. 4, 1989".



Stoned.Canadian

При обращении к зараженной MBR винчестера подставляет старый MBR-сектор.



Stoned.Cancer

В зависимости от текущего времени выводит: "This computer is dying of cancer!".



Stoned.COMx

После 25 мая что-то пишет в порты COM1 и COM2.



Stoned.Copy77

77-я копия вируса сообщает "Copy 77 in job ...".



Stoned.Daniela

5 апреля стирает сектора дисков.



Stoned.Dinamo

Сохраняет старый boot-сектор дискет в последний сектор корневого каталога вне зависимости от объема диска. Если при инсталляции вируса происходит ошибка, то он расшифровывает и выводит текст: 

Dinamo(Kiev)-champion !!!



Stoned.DiskWasher

Периодически форматирует диски и выдает текст: 

 From DiskWasher with love 



Stoned.Donald

Периодически выводит строку: 

Donald Duck is a lie!!!



Stoned.Elythnia

При загрузке с вероятностью 1/8 выводит на экран: 

Aaronexus of Elythnia!



Stoned.Face

Записывает в FAT дискет данные, расположенные по оффсету FACEh.



Stoned.GKCHP

Стелс-вирус. Содержит текст: "ГКЧП". При 90-й загрузке с винчестера стирает часть его содержимого.



Stoned.Gozar

11 ноября расшифровывает и выводит текст: 

Gozar lives !



Stoned.Hysteria

19 октября стирает сектора дисков и выводит сообщение: 

Turbo Hysteria



Stoned.IntFF

Иногда меняет вводимые с клавиатуры буквы. При записи на диск ищет в записываемом буфере команду INT 21h и меняет ее на INT FFh.



Stoned.Intruder

Перехватывает INT 1Ch и через некоторое время перезагружает компьютер.



Stoned.Lavot

Периодически расшифровывает и выводит на экран текст: "LAVOT NO ENSEеA".



Stoned.Lch15

Стелс-вирус. Содержит тексты: "Lch15", "For pirates". При 90-й загрузке с винчестера стирает часть информации в CMOS (ту часть, в которой хранятся пароли некоторых BIOS'ов), затем стирает сектора диска C:.



Stoned.Leo

2 апреля выводит текст: 

Happy birthday to Leo!



Stoned.Leszop

Расшифровывает и выводит текст: 

leszoptad!



Stoned.Light

Расшифровывает и выводит текст: 



(c)Light General

THE LAST TEMPTATION




Stoned.Love

Содержат текст ("Love.b" выводит его при загрузке с вероятностью 1/8): 

 Your PC is now STNED in LVE with AT 

"Love.a" содержит также строку: 

 From U of A with LVE 



Stoned.LovChild

В зависимости от своего внутреннего счетчика может уничтожить всю информацию на винчестере. Содержит текст "LoveChild b3 in reward for software stealing.". Использует стелс-механизм.



Stoned.Lucky

Иногда расшифровывает и выводит текст: "I wish you a lucky"



Stoned.March6 (Michelangelo)

Обрабатывает дискеты объема 1M. 6 марта уничтожает диск, с которого загрузился.

Прочие варианты этого вируса заражают также и 360K дискеты, проявляются различными эффектами.

"March6.Tocoto" выводят тексты: 



"March6.Tocoto.a": MBF virus *MENEM TOCOTO* B.B.

"March6.Tocoto.b": MENEM TOCOTO virus 2"00




Stoned.March29

29 марта стирает сектора дисков.



Stoned.May21

Если обнаруживает на диске вирус "Stoned.March6", то удаляет его. 21 мая выводит на экран сообщение: "ANTI March6 Karpachev Dmitr.".



Stoned.Micola

"Mikola.b" при загрузке распечатывает экран.



Stoned.Military

В ноябре пытается форматировать винчестер.



Stoned.Million

Не сохраняет старый boot-сектор дискет. При загрузке с такой дискеты заражает MBR и пишет "Non-System disk". Вместо строки OEM записывает другую строку: "1000000".



Stoned.Near.a,b

С вероятностью 1/16 выводят на экран текст "Near Dark", а затем стирают MBR. Используют стелс-механизм.



Stoned.Nichols

Периодически выводит текст: "[Nichols] by Apache".



Stoned.Nov7

В октябре при загрузке выводит на экран символ рожицы (01h ASCII), а 7 ноября стирает MBR.



Stoned.PC-AT

Зашифрован. Содержит в себе незашифрованную строку "PCAT".



Stoned.Rostov

Прислан из Ростова-на-Дону. Почти полностью повторяет вирус "Stoned". Не содержит текстовых строк и не выводит текст на экран. При загрузке с зараженного флоппи-диска с вероятностью 1/32 стирает на винчестере восемь секторов.



Stoned.Scrlock

Вирусы "Scrlock" запрещают запись на винчестер, если нажата клавиша ScrollLock.



Stoned.Scroll

Сдвигает часть экрана, если одновременно нажат NumLock и не нажат ScrollLock.



Stoned.Sex.a,b

Поражают диски при обращении к ним (INT 13h, AH=2,3). Сохраняют старое содержимое изменяемых секторов (boot-сектор у флоппи-диска и MBR винчестера) по адресу 1/0/3 (головка/трек/сектор) для дискет и 0/0/8 (или 0/0/7 в зависимости от версии вируса) для винчестера. При загрузке с зараженного флоппи-диска с вероятностью 1/8 сообщают: 



"Stoned.Sex.a":  EXPORT OF SEX REVOLUTION ver. 1.1

"Stoned.Sex.b":  EXPORT OF SEX REVOLUTION ver. 2.0




Stoned.Spook

Содержит тексты "Spook 1.0", "LIM". При заражении винчестера вместо одного MBR записывает подряд восемь секторов, в результате чего может произвести на диске серьезные разрушения.



Stoned.Swedish

Выводит на экран текст: "The Swedish Disaster".



Stoned.Torm

При загрузке с вероятностью 1/8 выводит на экран: 



Repent for ye shall be tormented...

Tormentor B - RABID Int'nl Dev. Corp. '91




Stoned.TurboManiac

19 октября выводит текст: 

The Turbo Maniac was here..



Stoned.WXYC

Поражает загрузосные сектора дискет и первый загрузочный сектор винчестера (не MBR). Содержит строки: "JAM WXYC" и "WXYC rules this roost!". Последнюю строку периодически выдает на экран при перезагрузке компьютера.



Stoned.YMP

По первым числам ежемесячно выводит текст: "HAVE A NICE DAY (c)YMP".



Stoned.Zappa

4 декабря стирает сектора дисков и выводит сообщение: 

Dedicated to ZAPPA...



Stoned.Zapped

Стирает сектора дисков и выводит сообщение: 

ZAPPED YOU!



Stoned.Loa

Семейство "Stoned" . В зависимости от системного времени исполняет юго-восточно-азиатскую мелодию.



Stone.MidNigh

Семейство "Stoned" . В полночь выводит сообщение: 

IT'S MID NIGH



Stoned.Satria

Семейство "Stoned" . При заражении MBR выводит картинку.



Stoned.Scale

Семейство "Stoned" . Boot-сектор и MBR сохраняет по адресу 0/0/9. Иногда проигрывает простейшую гамму.






Strafer

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и boot-сектор активного раздела винчестера. Через 30 дней после заражения системы стирает сектора винчестера. Содержит строку: 

Boot Strafer




Strange

Резидентный загрузочный вирус. Занимает четыре сектора (три сектора - тело вируса, один сектор - старый загрузочный сектор или MBR). На жестком диске записывает старый MBR и свое продолжение начиная с 17 сектора первого трека, на гибких дисках использует для этого последние четыре сектора диска.

При загрузке системы вирус размещается в область верхних адресов оперативной памяти, уменьшая значение по адресу 0000:0413 на 3 и перехватывает INT 8. При появлении обработчика прерывания INT 2Ah (вектор по адресу 0000:00A8h не равен 0000:0000) восстанавливает INT 8 и перехватывает INT 21h. При загрузке COMMAND.COM увеличивает длину области драйверов и копирует свое тело в эту область. При этом восстанавливается старое значение INT 21h и перехватываются INT 9 и INT 13h. Область памяти, занимаемая ранее вирусом, освобождается: значение по адресу 0000:0413 увеличивается на 3, величина последнего MZ-блока увеличивается на 3K. Если копирование вируса в область драйверов невозможна, вирус выводит фразу: 

Hmm... Strange drivers you have, very strange... ;-)

При обработке INT 13h вирус проверяет наличие трассировки. Для этого он запрещает аппаратные прерывания (команда CLI), заталкивает в стек регистр AX, выталкивает его и сравнивает содержимое стека со значением регистра. Если эти значения не совпадают, вирус возвращает код ошибки "disk write-protect" независимо от функции. По-видимому, подразумевалась передача управления дальше, чтобы произошла запись случайного сектора, но в вирусе стоит RET FAR.

Вирус перехватывает INT 9 (клавиатура) и дублирует одну случайно выбранную клавишу. Помимо этого если при записи секторов через прерывание INT 13h первые два байта - 'MZ', то вирус заменяет их на 'ZM'.

Кроме прерываний INT 9 и INT 13h, которые вирус использует по "прямому" вирусному назначению (эффекты на клавиатуре и заражение дисков), вирус перехватывает еще одно из аппаратных прерываний - либо INT 0Dh, либо INT 76h. Эти прерывания соответствуют аппаратному запросу компьютера - hardware interrupt request (IRQ). INT 0Dh соответствует IRQ5 на PC/XT fixed disk, INT 76h - IRQ14 на PC/AT hard disk controller. При обращении к винчестеру компьютерное железо генерирует соответствующий IRQ (IRQ5 на PC/XT и IRQ14 на компьютерах класса IBM/AT), основной процессор реагирует на полученный запрос вызовом прерывания.

Для того чтобы правильно перехватить прерывание винчестера, вирус должен определить класс компьютера (т.е. тип процессора), на котором он работает. Вирус делает это с помощью команды SHR AX,CL (AX=0002h, CL=41h). Если значение регистра AX после этого равно 1, то компьютер класса i286 и выше (вирус перехватывает INT 76h), если 0 - i86 (иначе перехватывается INT 0Dh).

С помощью прерываний INT 0Dh и INT 76h вирус организует "стелс"-механизм на винчестере. Для этого он постоянно хранит в памяти оригинальный (незараженный) MBR и при чтении зараженного MBR подставляет незараженный.

На PC/XT при вызове INT 0Dh вирус считывает адрес дискового буфера из порта 6, после чего проверяет зараженность этого сектора. Если сектор заражен, вирус копирует в дисковый буфер код оригинального MBR.

На PC/AT при вызове INT 76h вирус считывает номера сектора, трека и головки через порты 1F3h, 1F4h, 1F5h и 1F6h. Если их значения соответствуют MBR, вирус записывает в вышеуказанные порты адрес сектора, содержащего оригинальный MBR.

Если попытаться протрассировать прерывание INT 13h (с учетом того, что вирус проверяет наличие трассировки) при чтении MBR, то трассировка доходит до ROM BIOS, изменений в значениях регистров нет, но тем не менее в буфер считывается оригинальный MBR, а не вирус! Можно установить INT 13h напрямую в BIOS, но вирус все равно останется невидимым!

Удаление вируса с дисков при условии незараженой памяти - занятие несложное. Старый MBR хранится вирусом по адресу 0/0/11 (сторона/трек/сектор), а флоппи-диски легко восстанавливаются простой перезаписью стандартного загрузочного сектора.

Однако перед тем как проделывать эти процедуры, следует удалить вирус из памяти либо перезагрузкой компьютера с незараженной дискеты, либо обеззараживанием оперативной памяти компьютера.

В памяти вирус слудует искать при помощи трассировки прерывания INT 13h, поскольку кроме области драйверов и верхней памяти вирус может находиться в конце одного из MZ-блоков. У нас, например, он садился в 'хвост' NC.EXE (Norton Commander). Для поиска вируса на жестком диске необходимо лечение вируса в памяти, причем лечения прерывания INT 13h недостаточно из-за "стелс"-механизма. Поэтому лечить кроме INT 13h нужно еще INT 0Dh и INT 76h.




Strike

Опасный резидентный boot-вирус. Перехватывает INT 13h и заражает boot-сектора дискет и MBR винчестера. При заражении дискет не сохраняет первоначальный boot-сектор, при загрузке с зараженных дискет вирус (не система) выводит собщение: 



Non-System disk or disk error

Replace and strike any key when ready


Вирус портит считываемую с диска информацию, если в ней находится заголовок EXE-файла, упакованного LzExe.




Putrid

Опасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает начальные сектора дискет и MBR винчестера. Содержит строку: 

>PUTRID<

В зависимости от своего счетчика вирус также перехватывает INT 21h и при запуске файлов ищет в них образ стандартного загрузочного сектора - строку "MSDOS" и идентификатор boot-сектора 55AAh. Если такие данные найдены, вирус записывает в них свой код. В результате вирус превращает утилиты форматирования дисков в "дропперы" своего кода: при форматировании дисков такие утилиты вместо обычного загрузчика будут записывать в загрузочные сектора дисков код вируса.




Quandary

Безобидный резидентный стелс загрузочный вирус. Частично зашифрован. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора 1.44Mb дискет. При заражении дисков проверяет их boot-сектора на наличие какого-то кода (драйвер диска? другой boot-вирус?) и заражает эти диски без изменения их загрузочных секторов.




Quarter

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от системного таймера стирает сектора дисков.




Quox

Безобидный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Никак не проявляется. Первая (авторская) копия вируса содержит текст: 

_QUOX_




Rabbit, семейство

Безобидные резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет и MBR винчестера. Содержат строки: 



"Rabbid.a": [Rabbit!]

"Rabbid.b": Rabbit





Reggie

Неопасный резидентный зашрузочный вирус. Перехватывает INT 9, 12h, 13h и записывается в MBR винчестера и boot-сектора дискет. При нажатии на Alt-Ctrl-Del вирус может проявиться видео-эффектом - вирус выводит текст: 



   REGGIE

    AIDS






    5000

PHILIPPINES




Демонстрации вирусных эффектов:

REGGIE.COM


Rose

Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. В 6-й сектор диска записывает строку "@@ ROSE && (". Это может привести к потере информации в FAT и порче файлов на диске.




Rotceh

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. При заражении дискет записывает первоначальный boot-сектор в один из сектров FAT и, таким образом, портит FAT дискет. В ноябре должен стирать сектора дисков, расшифровывать и выводить сообщение, однако неправильно проверяет текущую дату и соответствующая процедура никогда не выполняется. Сообщение выглядит так: 



Claudia H.E.:

  Quisiera poder no sentir, lo que ahora quisiera poder olvidar.

     Te ama

     rotcВh





RP, семейство

Неопасные резидентные загрузочные вирусы. Перехватывают INT 12h, 13h и записываются в MBR винчестера и boot-сектора дискет. В зависимости от текущей даты расшифровывают и выводят сообщения, "RP.a,Lazar" - 17-го декабря, "RP.b" - в мае: 



"RP.a":     RP wants to say hello!

"RP.b":     Only bugs exist! RP 1995 Bucharest

"RP.Lazar": REMEMBER PROMOTION 95 (GH. LAZПR)! RP





RPS, семейство

Очень опасные резидентные стелс boot-вирусы. Копируют себя в таблицу векторов прерываний и перехватывают INT 13h. Записываются в MBR винчестера и boot-сектора флоппи-дисков, при этом не сохраняют первоначальное содержимое секторов. При загрузке с такого диска вирусы самостоятельно ищут в MBR винчестера активный загрузочный сектор, считывают его в память и передают на него управление. При 50-й загрузке с пораженного диска, или при записи в MBR на зараженном компьютере, или если активный boot-сектор не найден при загрузке системы, вирусы стирает сектора винчестера. Вирусы содержат строки: 



"RPS.a": RPS

"RPS.b": RPS2

"RPS.c": RPS3





RSY

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и активный boot-сектор винчестера. В зависимости от своих счетчиков стирает и форматирует диски. Содержит строку: 

/RS.Y/




Sailor.Boot

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Содержит строки: 

Sailor.Jupiter




Sampo

Неопасный резидентный boot-вирус. Перехватывает INT 9, 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. Перехватывает нажатие на Alt-Ctrl-Del, эмулирует перезагрузку и остается резидентно в памяти. В некоторых случаях заражает дискеты вирусом "Telefonica.3700". 30-го ноября перехватывает также INT 8 и выводит вообщение: 



+--------------------------+

|        S A M P O         |

|       "Project X"        |

| Copyright (c)1991 by the |

| SAMPO X-Team. All rights |

| reserved.                |

|  University Of The East  |

|          Manila          |

+--------------------------+





Sea

Безобидный резидентный стелс boot-вирус. Копирует себя в таблицу векторов прерываний и перехватывает INT 13h. Записывается в MBR винчестера и boot-сектора флоппи-дисков. Содержит строку:

SEA.Moscow.5-29-1992.I think, it is a smallest stealth virus.It occupies memory 002D3-00339.It workes with 1.2M diskette as good as with 360K.It is harmless and do nothing(if you don't use BASIC).You can remove it with overwriting (even in ill computer).Good bye!




Sebek

Очень опасный резидентный загрузочный вирус. При загрузке с пораженного диска "отрезает" себе кусок памяти (уменьшают слово по адресу 0000:0413). Перехватывает INT 13h и заражает boot-сектора дискет и MBR винчестера. Содержит много ошибок, поэтому работоспособен только при конкретных настройках в AUTOEXEC.BAT и CONFIG.SYS. В начале вируса содержится строка "SEBEK".




Secretar

Неопасный резидентный загрузочный вирус. Перехватывает INT 13h. Заражает MBR винчестера и boot-сектора дискет. 30 числа в 15 часов выдает сообщение: 



Hard disk is very bad. Zuganov is very good.

Do you want format drive C: (Y/N) ?





Payback

Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет и MBR винчестера. 27-го января стирают CMOS, форматируют диски и выводят тексты: 

"Payback.a,b":








That was for ARCV, mother fucker!

Payback! (c) 1993




"Payback.c:








PAUL FERGUSON IS A MOTHER FUCKER!






EAT SHIT FERGUSON





Pentagon

Опасный резидентный загрузочный вирус. Частично зашифрован. Перехватывает INT 9, 13h и поражает boot-сектор флоппи-дисков при обращении к ним. При заражении диска объявляет в FAT сбойные сектора и записывает туда свое продолжение и первоначальный boot-сектор (см. вирус "Brain" ). Если при этом дискета уже была поражена вирусом "Brain", то "Pentagon" лечит boot-сектор этого диска, изменяет его метку и затем заражает своей копией. На заражаемом диске создается файл PENTAGON.TXT. Вирус "выживает" при теплой перезагрузке. Содержит тексты: 



(c) 1987 The Pentagon, Zorell Group

first sector in segment





PeterII

Обыкновенный резидентный загрузорчный стелс -вирус. Поражает boot-сектора дискет и MBR винчестера. При загрузке копирует себя по адресу 9F00:0000 и перехватывает INT 13h. При загрузке с флоппи-диска поражает MBR винчестера. Флоппи-диски поражаются при доступе к ним, при этом заражаются только 1.2 Mb 5"1/4 дискеты. Вирус записывает себя в 80-й сектор, который форматируется при заражении.

27-го февраля вирус выдает сообщение: 



Good morning,EVERYbody,I am PETER II

Do not turn off the power, or you will lost all of the data in Hardisk!!!




WAIT for 1 MINUTES,please...

и шифрует сектора жесткого диска. Затем вирус задает три вопроса: 



Ok.If you give the right answer to the following questions,I will save

your HD:






A. Who has sung the song called "I`ll be there" ?


 1.Mariah Carey  2.The Escape Club  3.The Jackson five  4.All  (1-4):






B. What is Phil Collins ?

 1.A singer  2.A drummer  3.A producer  4.Above all   (1-4):






C. Who has the MOST TOP 10 singles in 1980`s ?

 1.Michael Jackson  2.Phil Collins (featuring Genesis)

 3.Madonna  4.Whitney Houston   (1-4):


Если дать три правильных ответа, то вирус расшифровывает сектора винчестера и сообщает: 



CONGRATULATIONS !!! YOU successfully pass the quiz!

AND NOW RECOVERING YOUR HARDISK ......


В противном случае информация на диске остается зашифрованной, а вирус сообщает: 

Sorry!Go to Hell.Clousy man!




PF

Безобидный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Использует слово "PF" как идентификатор зараженности.




PG

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков и первый boot-сектор винчестера. Первоначальный boot-сектор сохраняет в последнем секторе диска. Содержит строку: "PG".




Pilgrim

Неопасный резидентный вирус. Перехватывает INT 13h и заражает только boot-сектор диска A:. Если в процессе работы удается заразить 13 дискет, выводит на экран сообщение: 



+-------- PILGRIM-1 --------+

| Ваш диск отформатирован ! |

|           * * *           |

|   Хлопайте ушами дальше.  |

+---------------------------+





Ping-Pong, семейство

Вирусы семейства заражают boot-сектора дисков при обращении к ним (INT 13h). На диске располагаются способом "Brain" . Содержат команду MOV CS,AX (межсегментный JMP), которая выполняется только процессором 8086 (IBM PC и IBM PC/XT). Поэтому вирус не распространяется на компьютерах на базе процессоров 80x86.

Ping-Pong

Не опасен. Перехватывает INT 8, 13h. Имеет байт, содержащий номер версии вируса. Если обнаруживает диск, зараженный своей предыдущей версией, то "обновляет" ее. Вызывает видеоэффект скачущего шарика (знак 07h ASCII), который перемещается по экрану, отражаясь от знаков и границ экрана.

Hacked Ping-Pong

Почти полностью повторяет "Ping-Pong". Отличие - вместо запуска скачущего шарика происходит установка INT 13h на подпрограмму уничтожения первых восьми секторов флоппи-диска.

Ping-Pong modified by Yankee

Является результатом модификации вируса "Ping-Pong" вирусом "Yankee" . Изменения произведены таким образом, что при каждой очередной загрузке вируса его версия (байт, содержащий ее значение) увеличивается на 1. При достижении версией нулевого значения (255+1), вирус дезактивируется.



Демонстрации вирусных эффектов:

PING_PON.COM


Pirate

Неопасный резидентный boot-вирус. Перехватывает INT 13h и заражает MBR винчестера и boot-сектора дискет. В зависимости от своего счетчика расшифровывает и выводит текст: 

PIRATE!, you have a virus.




PMBS

Опасный резидентный загрузочный вирус. При загрузке с пораженного диска копирует себя в расширенную память, переводит компьютер в защищенный режим (если, конечно, это возможно) и запускает виртуальную машину (V86). Загрузка DOS и выполнение приложений будет происходить уже на этой виртуальной машине.

Вирус перехватывает все 256 прерываний (от 00h до FFh) и проверяет критические ситуации. При критической ситуации чтения с флоппи-диска вирус заражает его (винчестер поражается при загрузке с зараженного флоппи-диска). При остальных критических ситуациях вирус выводит одно из двух сообщений: 



Unimplemented Interrupt:

Offending instructions:






General Protection Fault:

Offending instructions:

Offending CS:IP:


В вирусе также содержится строчка "PMBSVIRS".

Этот вирус является "стелс" -вирусом при доступе к винчестеру. Он проверяет ввод/вывод в порты (используя особенности защищенного режима процессора i386) и корректирует соответствующие данные.

Содержит несколько ошибок, включая принципиальные. Основная программистская ошибкой - некорректное поражение флоппи-дисков. Вирус записывает на него только ту свою часть, которая работает в реальном режиме. Часть, отвечающая за обработку прерываний в защищенном режиме, не записывается на диск. При загрузке с такой дискеты компьютер зависает.

Принципиальной ошибкой является то, что пораженную 386-ю машину можно использовать только как PC-86, поскольку вирус переходит в режим супервизора и не позволяет другим программам стать таким супервизором. Не позволяет он также получить доступ к расширенной памяти. В результате такие популярные программы, как EMS386, QEMM386, Windows не будут работать на пораженном компьютере. Более того, зависание компьютера вызывает стандартная DOS'овская программа MEM, поскольку она проверяет расширенную память.




Pow

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Никак не проявляется. Содержит строку: 

-Pow-




Pretty

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и boot-сектор диска C:. В зависимости от своих внутренних счетчиков стирает случайно выбранные сектора дисков. Содержит текст: 

A pretty girl came into the world on 1-9-1968 I love her




PrintScreen

Очень опасный вирус, длина 512 байт (1 сектор). Перехватывает INT 13h. Заражает boot-сектор дискет и винчестера при чтении с них (INT 13h, AH=2). Первоначальный boot-сектор сохраняет на флоппи-диске по адресу 0/1/3 (трек/сторона/сектор), на винчестере - по адресу 1/3/13. При этом может уничтожить один из секторов FAT или данных (в зависимости от объема диска). При заражении винчестера предполагает, что его boot-сектор расположен по адресу 0/1/1 (это говорит о низкой квалификации автора вируса).

Судя по листингу вируса при инфицировании диска с вероятностью 1/256 (в зависимости от значения своего внутреннего счетчика) вирус должен вызывать INT 5 (печать экрана), но допущена ошибка, в результате которой новое значение счетчика не сохраняется.

PrintScreen.b

Неопасен, перехватывает INT 10h, 40h и записывается в boot-сектора флоппи-дисков. При выводе символов на экран конвертирует их в lowercase.




Procuror

Очень опасный резидентный стелс -вирус. Перехватывает INT 8, 13h, 17h и записывается в MBR винчестера и boot-сектора дискет. Стирает CMOS, форматирует сеттора дисков, меняет символы, вводимые с клавиатуры, и цифры, выводимые на принтер. Содержит строку: 

PROCUROR




Pur'Cyst

Опасный резидентный загрузочный "стелс" -вирус. Перехватывает INT 13h и записывается в MBR винчестера и загрузочные сектора дискет и диска C:. Содержит строку: 

PUR'CYST

Использует алгоритм вируса ExeBug для того, чтобы заразить память компьютера даже при холодной перезагрузке с заведомо незараженного системного диска. Этот алгоритм усовершенствован следующим образом: "Pur'Cyst" не обнуляет ячейки CMOS, а всего лишь устанавливает disk A: на 360K (если его объем 1,2Mb) или на 720K (если 1.4Mb). Компьютер, имеющий диск A: объема 1,2Mb или 1.4Mb в данном случае все равно загружается с винчестера, даже если в BIOS Setup указано грузить систему сначала с диска A, а затем с винчестера, и в дисководе A: находится системная дискета. Таким образом вирус прячется от невнимательного пользователя.

Данный алгоритм несовместим с некоторыми BIOS, в результате чего пораженный компьютер может зависнуть.




PurpleCum

Опасный резидентный загрузочный стелс -вирус. Перехватывает INT 13h, 2Fh и записывается в MBR винчестера и boot-сектора дискет. Использует INT 2Fh для того, чтобы восстанавливать значение системной памяти (слово по адресу 0000:0413). Использует метод вируса "ExeBug" для того, чтобы заразить память компьютера даже при загрузке с чистой системной дискеты.

Вирус содержит ошибки и может завесить систему. Содержит строку: 

PURPLE:CUM




Mongolian

Очень опасный загрузочный стелс -вирус. При загрузке с пораженного диска записывается в MBR винчестера, перехватывает INT 13h и поражает boot-сектора дискет. 30 мая стирает сектора дисков, расшифровывает и выводит текст: 



Mongolain Virus VERSION 1.00

Mongolian Brain Co.Ltd 1992

Today is birthday of my babby !!!





Monkey, семейство

Резидентные безобидные вирусы, перехватывают INT 13h и поражают boot-сектора флоппи-дисков и MBR винчестера по методу вирусов семейства "Stoned" . При сохранении на диск первоначального сектора шифруют его содержимое. Содержат в себе зашифрованную строку: 

Monkey




MPHTI, семейство

Очень опасные вирусы. Перехватывают INT 13h и заражают boot-секторы винчестера и дискет. Старый boot-сектор сохраняет в предпоследнем ("MPHTI-a") или последнем ("MPHTI-b") секторе корневого каталога заражаемого диска. В зависимости от своего счетчика могут уничтожать информацию на первых 8-ми треках на всех доступных дисках. Содержат текст "1991,МФТИ".




MrHu

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. В зависимости от своих счетчиков стирает сектора дисков и выводит сообщение: 

(C) Copyright Mr. Hu 1992-93 V1.00




Multiani

Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и первый boot-сектор винчестера. При заражении сектора правит код стандартного загрузчика - в его начало записывает команду JMP на свой собственный загрузчик, а код этого загрузчика (37h байт) записывает в область системных сообщений в boot-секторе по адресу 01A4h. Затем вирус записывает свой основной код в последний сектор корневого каталога диска.

При загрузке с такого диска выполнение стандартного загрузчика прерывается кодом вируса, который считывает в память свой основной код, перехватывает INT 13h, а затем возвращает управление стандартному загрузчику.

Такой способ заражения портит boot-сектора, код которых отличен от стандартного загрузчика MS-DOS. При загрузке с таких дисков система виснет.

В декабре вирус выводит текст: 

La multi ani !

Содержит строки, вторая строка зашифрована: 



SoSo3

! ina itlum aL





Murky

Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается MBR винчестера и boot-сектора дискет. Содержит строку: 

Murky

Проявляется тем же эффектом, что и вирусы "Volga" - меняет формат записи секторов из стандартного в Long. В результате после удаления вируса из оперативной памяти необходимо восстановить формат секторов при помощи специальной утилиты.




MusicBug

Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает boot-сектора винчестера и флоппи-дисков методом "Brain" . При обращении к дискам проигрывает несколько мелодий. Содержит текст: 

MusicBug Made in Taiwan



Демонстрации вирусных эффектов:

MUSBUG.COM


Nail

Неопасный резидентный стелс boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При загрузке заставляет DOS выделить неиспользуемый блок памяти, куда и копирует свое тело. Таким образом размер свободной памяти (слово по адресу 0000:0413) не изменяется. В 1996 году расшифровывает и выводит текст: 

Heal the world ...




NKTU_LUH

Опасный резидентный boot-вирус. Копирует себя по адресу 8F00:0000 (что часто вешает систему), перехватывает INT 13h, 1Ch и записывается в MBR винчестера и boot-сектора дискет. В некоторях случаях стирает сектора дисков и выводит сообщение: 

NCTU LYH




Nice

Неопасный резидентный зашифрованный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Первоначальное содержимое секторов шифрует и записывает в 4-й сектор винчестера (MBR) или в последний сектор корневого каталога дискет. В некоторых случаях выводит текст: 

Virus "NICE"




NOP

Безобидный резидентный стелс boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора 360K флоппи-дисков. Первая инструкция вируса (NOP, 90h) используется как ID-байт зараженных дисков.




Nova

Безобидный резидентный boot-вирус. Перехватывает INT 13h, 1Ch и записывается в MBR винчестера и boot-сектора 1.2Mb дискет. Не изменяет размер системной памяти (слово по адресу 0000:0413), при загрузке уменьшает его, ждет загрузки DOS (использует INT 1Ch), а затем восстанавливает размер памяти.




Ordure

Очень опасный резидентный загрузочный полиморфик -вирус. При загрузке с зараженной дискеты вирус перехватывает INT 1Сh (таймер), ждет инсталляции DOS, затем перехватывает INT 13h и заражает MBR винчестера и загрузочные сектора дискет при обращениях к ним. В зависимости от своих случайных счетчиков уничтожает данные на винчестере.




Ornate

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и boot-сектор активного раздела винчестера. В зависимости от своего счетчика стирает сектора винчестера.




Palma5

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При записи на винчестер использует прямые обращения к портам контроллера. Содержит строку-идентификатор: 

Palma5.




Parity, семейство

Опасные резидентные вирусы, перехватывают INT 9, 13h и записываются в boot-сектора флоппи-дисков и MBR винчестера при чтении из них. Вирусы используют INT 9 (клавиатура) для обработки нажатия на Alt-Ctrl-Del и вызывают при этом INT 19h (reboot). Периодически вирусы расшифровывают и выводят текст: "PARITY CHECK", а затем завешивают компьютер.




Korea

Резидентный безобидный вирус, перехватывает INT 13h и поражает методом "Stoned" boot-сектора флоппи-дисков. Содержит текст: 

virse program messge Njh to Lbc




Leandro

Неопасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дисков (флоппи и винчестера). 21-го октября выводит текст: 



Leandro and Kelly ! GV-MG-Brazil 

You have this virus since


Затем добавляет к нему дату заражения данного компьютера.




Lilith

Неопасный резидентный полиморфик и стелс загрузочный вирус. Ищет в BIOS'е команду INT 18h (CDh 18h), устанавливает на нее адрес INT 13h и перехватывает INT 18h (т.е. INT 13h). Затем записывается в boot-сектора дискет и MBR винчестера. В зависимости от системного таймера перехватывает также INT 5 (PrintScreen) и при вызове INT 5 выводит текст: 



     L 0 I 0 L 0 I 0 T 0 H

   Tu del creato prima Donna

  del Sesso Maestra infernale

accogli le Nostre dannate Carni

    nel Tuo satanico Ventre


Также содержит строку: 

Milan Italy 95



Демонстрации вирусных эффектов:

LILITH.COM


LP

Безобидный резидентный стелс-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и первый boot-сектор винчестера.

При инсталляции в системную память вирус уменьшает размер DOS-памяти (слово по адресу 0000:0413). При загрузке DOS вирус в некоторых случаях может восстановить этот размер. Таким образом, блок памяти, занятый вирусом, располагается либо за пределами DOS-памяти, либо как отдельный блок DOS-памяти.

Вирус содержит строку-идентификатор: "LP".




LuciferBoot

Неопасный нерезидентный загрузочный вирус. При загрузке с зараженного флоппи записывается в загрузочный сектор диска C:, при загрузке с зараженного винчестера записывается в начальный сектор диска B:, при этом не сохраняет первоначальный сектор и пытается загрузить DOS самостоятельно. Если на диске нет системных файлов, вирус спрашивает: "Sys?". Вирус не перехватывает векторов прерываний и не остается резидентно в памяти. Содержит строки: 



Lucifer

Lucifer Messiah -- ANARKICK SYSTEMS v6.1 (c)1990

Sys?





LZR

Очень опасный загрузочный вирус. При загрузке с пораженной дискеты записывается в MBR винчестра. При загрузке с зараженного диска перехватывает INT 13h и поражает boot-сектора дискет. В некоторых случаях стирает сектора дисков. Содержит строку "LZR".




Mail

Неопасный резидентный boot-вирус. Перехватывает INT 8, 9, 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. В зависимости от своих внутренних счетчиков вирус "глотает" символы, вводимые с клавиатуры, стирает(?) CMOS, выводит картинку: 



+------------------- Help for users E-Mail ----------------------+

| Send/Receive Mail                              Manual page 137 |

|----------------------------------------------------------------|

|  This command starts Commander Mail and sends any messages in  |

|  the OUT directory via MCI Mail.  It also copies any new       |

|  messages from MCI Mail to the IN directory.                   |

|                                                                |

|  Use the commander maiL command if you just want to browse     |

|  through messages in your IN directory, or if you want to      |

|  create new messages.                                          |

|                                                                |

|  Use the Send files item in the Files menu if you want to send |

|  files to someone via MCI Mail.                                |

|                                                                |

|    Note:  This function is provided by the MCI.EXE and         |

|           MCIDRIVR.EXE programs, which must be in the same     |

|           directory as the Norton Commander (NC.EXE).          |

+----------------------------------------------------------------+





Maniak

Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. 31-го декабря расшифровывает и выводит текст: 

DEJ SI ASPON DNESKA POHOV, MANIAKU ! 31thDEC




Mega

Безобидный резидентный стелс загрузочный вирус. Перехватывает INT 13h и записывается в MBR и первый boot-сектор винчестера, а также в boot-сектора дискет. Вирус никак не проявляется.




MemEater

Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет.

При заражении дискеты запоминает в своем коде номера текущего дня и месяца. При загрузке с такой дискеты уменьшает размер системной памяти на 1K (слово по адресу 0000:0413), если загрузка происходит в тот же день, в который произошло заражение дискеты. В противном случае уменьшает объем системной памяти на 2K и обновляет в своем коде номер текущего дня и месяца, затем уменьшает память на 3K, 4K и т.д. В результате изо дня в день вирус "отъедает" все больше и больше системной памяти при загрузке с зараженной дискеты.




Michael, семейство

Очень опасные резидентные загрузочные вирусы. Занимают 600h байт и располагаются на флоппи-диске двумя блоками: первый блок - в загрузочном секторе, второй - в последних секторах корневого каталога диска.

При загрузке с зараженного диска вирус считывает свою вторую часть, перехватывает INT 8, 13h, а затем записывается в загрузочные сектора дискет при обращениях к ним. Вирус заражает MBR винчестера при загрузке с зараженной дискеты: исправляет адрес активного загрузочного сектора на 0/0/3 (трек/сторона/сектор), а затем записывает свое тело по этому адресу. При заражении ищет на дисках вирус "Stoned" и лечит его.

Если во время инсталляции вируса в память при считывании второй части вируса происходит ошибка, то вирусы расшифровывают и выводят тексты: 



"Michael.a": System halted

































"Michael.b": BIOS fatal error. System halted...


Затем они завешивают компьютер. При инсталляции вирусы проверяют системную дату и 29 июля расшифровывают и выводят текст: 

July 29 today...

и перехватывают INT 9. При нажатии на Alt-Ctrl-Del стирают MBR и выводят тексты: 





"Michael.a": Happy birthday, MICHAEL !

"Michael.b": Happy birthday, B..... M...... !


"Michael.a" портит EXE-файлы, написанные на Borland C и затем запакованые LzExe. Помимо перечисленных выше вирусы содержат зашифрованные строки: 



"Michael.a": Oh, sectors... I like to move it! My name is July29!

"Michael.b": v3.1





Mik

Очень опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Блокирует каждый 256-й вызов INT 13h WriteSector, что моюет привести к потере данных. Содержит строки: 



Mik Virus is Your Computer,T.M.E.Varna'96

Black Love!





MiniMax

Очень опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При чтении секторов вирус ищет в них строки "MIN" и "MAX" (символы могут быть как большими, так и маленькими), а затем заменяет "MAX" на "MIN", а "MIN" на "MAX". Затем вирус записывает исправленный сектор на диск.

Вирус содержит зашифрованный текст: 

MiniMax




Misis, семейство

Неопасные boot-вирусы. Поражают MBR винчестера при загрузке в память и boot-сектора флоппи-дисков при чтении или записи секторов. Перехватывают INT 13h. Иногда выводят фразы: 

"Misis.a":








МИСиС Май'92. Жаринов Soft 236-25-35.

"Жаринов" пришел!..

Я  СУБД NIKA!

Отойдите от машины!

Работу программистам!

Слава Лозинскому!

Тебя МИНЗДРАВ предупреждал?!

Молитесь...




"Misis.b":








YOU ARE SILLY ORGANIC CREATION

I'M AMUSING

GO OUTSIDE!

...GOOD BY...

I LOVE F117!

HIGHT LOZINSKY!

I'M BACK!!!!

FREDDY BACK ALREADY!




"Misis.a":








МЭСИ Маpт'93. Жаринов - УРОД !



Автоp виpуса - ГАД.Ты подохнешь !













Пpидуpки из МИСиС!!

Гнать таких надо !!!!

Долой Лозинского!

Испоганили винт моей PC!!!!!

Пpивет!





Moloch

Неопасный резидентный полиморфик boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Каким-то образом меняет некоторые байты CMOS. Содержит строки: 



OH-MY-GOD! Moloch (tm) is here!

Moloch is a trademark of SquiBoyz





Incubus, семейство

Безобидные резидентные загрузочные вирусы, при загрузке с зараженного флоппи-диска записываются в MBR винчестера. Затем вирусы перехватывают INT 13h (или INT 40h в зависимости от версии) и записываются в boot-сектора дискет. Содержат тексты: 



"Incubus.a": Incubus PRiEST - Phalcon/Skism".

"Incubus.b": Incubus virus - Little Loc





India

Неопасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора флоппи-дисков. Выводит сообщение: 

Made in India




Int10, семейство

Неопасные загрузочные вирусы. Перехватывают INT 10h, 13h и 1Ch. Int 10h используется для перехвата INT 13h (которое в свою очередь необходимо вирусу для заражения очередных дисков), INT 1Ch используется для вызова какого-то видеоэффекта. Вирус записывается в MBR винчестера и boot-сектора флоппи-дисков. При заражении первоначальный сектор шифруется.




Int12 (boot)

Безобидный резидентный загрузочный вирус. Заражает boot-сектора дискет и диска C:. При заражении сектора ищет в нем строку "non-system disk" (большими/маленькими символами) и записывает в последующий текст свой инсталлятор (40 байт). Затем вирус записывает свой основной код в последний сектор диска.

При загрузке с зараженного диска инсталлятор вируса считывает его основной код и передает ему управление. Основной код перехватывает INT 12h, ждет загрузки DOS, затем перехватывает INT 13h и заражает диски при обращениях к ним.

Вирус содержит зашифрованные строки: 



LOVE

non-system disk





Int40

Безобидный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 40h и затем записывается в boot-сектора дискет. При загрузке с пораженной дискеты записывается в MBR винчестера. Никак не проявляется.




IR&MJ

Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Использует полу-легальные приемы программирования, в результате чего често вешает систему. 30-го декабря расшифровывает и выводит: 

December 30th (C) By IR&MJ Compu Serve 1993






IsraeliBoot

Резидентный неопасный вирус, перехватывает INT 8, 13h и поражает boot-сектора флоппи-дисков. Проявляется падением букв на экране.




JackRipper

Опасный резидентный boot-вирус. При загрузке с пораженного флоппи-диска записывается в MBR винчестера и перехватывает INT 13h. Затем поражает флоппи-диски при доступе к ним. Периодически меняет местами байты в записываемой на диск информации. Содержит строки: 



FUCK 'EM UP !

(C)1992 Jack Ripper





JindraBoot

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает загрузочные сектора дискет и диска C:. При 101-м заражении стирает CMOS и сектора дисков. Содержит строку: 

JINDRA_0




Jobi

Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектор диска C: и boot-сектора дискет. Сохраняет первоначальный boot-сектор в конце диска. 27-го июля завешивает компьютер. Содержит строку: 

Ugly Jo's birthday




Joshi, семейство

Очень опасные стелс -вирусы, длина 4086 байт (9 секторов). Перехватывают INT 8, 9, 13h, 21h и заражают boot-сектора флоппи-дисков и MBR винчестера при обращениях к ним (INT 13h, ah=2,3,4,0Ah,0Bh).

Состоят из двух частей: первая часть содержит тело вируса и хранится в boot-секторе (или MBR) диска, вторая содержит первоначальный сектор зараженного диска и остальные 8 секторов вируса и хранится на флоппи-диске на 40-м или 80-м треке в зависимости от формата диска (используется нестандартное форматирование); на винчестере - начиная со 2-го сектора 0-го трека. При сохранении своей копии на винчестер вирусы могут уничтожить FAT.

Вирусы перехватывает INT 21h. Для этого они после активизации (загрузки системы) постоянно опрашивают значение вектора прерывания 21h и, как только оно изменяется, считывают его. Перехватывают INT 9h (клавиатура). Обрабатывают нажатие клавиш Alt-Ctrl-Del (перезагрузка) и эмулируют ее: гасят экран и т.д. При этом вирус остается резидентным даже при загрузке с незараженного защищенного от записи диска.

Проявляются 5-го января, при этом выводят сообщение: 

Type `Happy Birthday, Joshi'!

и ждут ввода с клавиатуры фразы: 

Happy Birthday, Joshi!




Kein

Безобидный резидентный загрузочный стелс-вирус. Перехватывает INT 13h, при ображении к загрузочным секторам заражает их. Никак себя не проявляет. Содержит строки: 



Kein System oder Laufwerksfehlr

Wechseln und Tast





Keydrop

Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и поражает boot-сектора дискет по методу "Brain" при обращении к ним. MBR винчестера поражается при загрузке с зараженной дискеты. Проявляется эффектом "падающих букв" (коды этого алгоритма полностью скопированы из вируса "Cascade" ). Содержит текст: 

(c) Copyright 1990 Keydrop inc.



Демонстрации вирусных эффектов:

KEYDROP.COM


Kilroy, семейство

Опасные нерезидентные загрузочные вирусы: записываются вместо начальных секторов флоппи-дисков и винчестера при загрузке с пораженного сектора. В отличие от подавляющего большинства остальных загрузочных вирусов не оставляют своей резидентной копии в системной памяти: заражение происходит исключительно в момент загрузки с зараженного диска. Затем вирусы передают управление оригинальному загрузочному коду и управления на себя более не получают вплоть до очередной перезагрузки.

Вирусы содержат/выводят тексты: 



"Kilroy":      KILROY

               Kilroy was here!









"Kilroy.Turd": DAVIES

               YOU BLACK-COATED TURD!





KL

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит слово-идентификатор "KL".




Koh

Резидентный загрузочный вирус. Перехватывает INT 9 (клавиатура) и INT 13h. При загрузке с зараженного флоппи заражает винчестер, предварительно спросив разрешение у пользователя: 

KOH-Encrypt your HARD DISK now (please backup first)?

и записывается в MBR винчестера, если ответ 'Y', в противном случае передает управление программе нормальной загрузки. При заражении винчестера шифрует его сектора, для чего спрашивает у пользователя пароли шифровки: 



Now, enter 2 passwords, 1 for HD, 1 for FD. FD PW can be changed anytime

with Ctrl/Alt-K, C/A-O stops FD infect, C/A-H uninstalls on HD. Enter HD

PW at power up. WRITE THIS DOWN!






CASUAL encryption=fast but breakable--keeps out snoops.

STRONG encryption=good but slow--keeps out all. Use disk cache.

Do you want STRONG encryption?


При загрузке с зараженного винчестера вирус спрашивает пароли и продолжает загрузку только в том случае, если пароли введены правильно. Заражает/шифрует также и флоппи-диски. Зашифрованные вирусом диски можно расшифровать и даже удалить вирус с диска, используя его же (вируса) функции. Вирус перехватывает прерывание клавиатуры и расшифровывает/дезинфицирует диски при нажатии Alt-Ctrl-A,O,H.

Вирус также содержит/выводит и другие строки: 



Initial load failed... aborting.

Load successful. A: now infected with KOH.




Sure you want to uninstall?






Should change be permanent?






Enter FLOPPY PW now.






Now enter HD PW.








Enter

Password:

Verify Password:




Verify failed!






KOHv1.00




Frankenstein

Очень опасный резидентный загрузочный стелс -вирус. Перехватывает INT 8, 12h, 13h и записывается в MBR винчестера и boot-сектора дискет. При заражении дисков вирус шифруют первоначальный boot-сектор и MBR перед их сохранением. В зависимости от своих внутренних счетчиков вирус может стереть сектора дисков. Содержит строки:

ЯrЕдkКдstКЛд's MЕgЛc v1.00a (C) Copyright 1992, Megatrends 2000 Corp. ThК JФhЕд ЯЕmЛly

---- HISTORY --- I born at 11 October 1992 - 7 pm o'clock. My mission is make all Diskette DESTROY if my 3 Counter same. My name is ЯrЕnkКnstКЛn's MЕgЛc v1.00a my Copyright is (C) Copyright 1992, Megatrends 2000 Corp. ThК JФhЕд ЯЕmЛly is my best family. WARNING : I will DESTROY you disk if touch me!!! if you want my listing, please write you name in MikroData this change only three times. I protect you HardDisk from Illegal hand and I count my children, Good bye.




Galicia

Неопасный резидентный зашифрованный boot-вирус. При загрузке с пораженного диска перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дисков при обращении к ним. 22-го мая в 12:00 выводит сообщение: 

Galicia contra telefonica!

Содержит также слово-идентификатор: 

V1




Gena

Крайне безграмотный очень опасный вирус. Перехватывает INT 13h и поражает MBR винчестера и boot-сектора флоппи-дисков, не сохраняя их старое содержимое. При возникновении дисковых ошибок выводит на экран мусор. Содержит в своем теле текст 



by Gena 1992 . Drink "TAMARISI" !!! is a best of hilins !!!

Help me AIDSTEST.EXE !!!

Oh my got !!!

Ik Ik Ik Ik , man !

locked vector !!!

SIGNATURA PROLETARIATA. PARANOjA. AZOV !!!





Gentry

Опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h. Поражает boot-сектора дискет и MBR винчестера. После 32-й загрузки компьютера выдает сообщение "AVV was here!" и завешивает машину.




Grox

Очень опасный резидентный вирус. Перехватывает INT 13. Поражает boot-сектора дискет и MBR винчестера. Содержит ошибки и завешивает систему. Содержит текст: 

[Gr0x Virus] (c) 1997, Dark Chakal [SLAM]




Gullich

Опасный резидентный зашифрованный стелс загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектор дискет и активный boot-сектор винчестера. Перехватывает также INT 10h и выводит в центр экрана сообщение: 

Wolfgang GБllich

затем проверяет текущее время и с 11:00 до 12:00 перезагружает компьютер. Также содержит строку: 

In memory of  Wolfgang GБllichMilan Italy 94




Haharin

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от своего счетчика стирает сектора дисков и выводит текст: 

Haharin is not dead !




Hal

Неопасный резидентный вирус. Перехватывает INT 13. Поражает boot-сектора дискет и MBR винчестера. Выводит сообщение: 

HAL 3001




HappyBox

Очень опасный резидентный boot-вирус. Записывается в boot-сектора дискет и MBR винчестера. Перехватывает INT 8, 9, 13h, 21h и проявляется различными звуковыми и видео-эффектами, выводит сообщение "Happy Box", стирает сектора дисков и портит открываемые файлы.




HardCore

Очень опасный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При загрузке с зараженного диска в зависимости от системного таймера вирус форматирует винчестер. Вирус содержит строки: 



[HardCore_II] by SangueSujo

Made in Brazil - SC - BC

Death to Dance and Techno, long live HardCore

Kill a playboy today... Make happy...

[|Td|]





Havoc (Stealth_Boot), семейство

Загрузочные стелс -вирусы. При загрузке с пораженного флоппи записываются в MBR винчестера. Затем перехватывают INT 13h и поражают флоппи-диски при чтении с них. Заражение дискет происходит по алгоритму "Brain" .

В зависимости от системного таймера "Havoc.a,b,Innocent" стирают сектора дисков. "Havoc.Amse" безобиден, никак не проявляется. "Havoc.Alfredo" расшифровывает текст и выводит его на принтер: 



LIMA - PERU

(c) Laboratorio Luz de Luna

ANGEL X TE SALUDA


Содержат строки: 



"Havoc.a":        The HAVOC Virus

"Havoc.b":        The Havoc ][ Virus

"Havoc.Alfredo":  ALFREDO

"Havoc.Amse":     AMSESLIFVASRORIMESAEP

"Havoc.Innocent": innocent





HDD_Error

Неопасный резидентный загрузочный вирус. При загрузке с пораженной дискеты вирус записывается в MBR винчестера. Затем (также как и при загрузке с пораженного винчестера) копирует себя в таблицу векторов прерываний, перехватывает INT 40h и затем записывается в boot-сектора дискет. Вирус "откусывает" блок системной памяти (уменьшает слово по адресу 0000:0413) и использует этот блок как буфер чтения/записи при заражении дисков.

Вирус не сохраняет первоначальное содержимое заражаемых секторов. Для того, чтобы вернуть управление системе при загрузке с зараженного диска вирус самостоятельно подсчитывает адрес активного boot-сектора винчестера, считывает его в память и передает на него управление.

При загрузке с зараженного диска вирус может расшифровать и выдать сообщения: 



FATAL ERROR: CPU FAILED.

HDD ERROR.





HDKiller

Очень опасный резидентный boot-вирус. Перехватывает INT 13h, 1Ch и записывается в MBR винчестера и boot-сектора дискет. Через год после заражения компьютера записывает в сектора диска строку: 

HDKiller By Rasek.н0UT Meilаn!




Hex

Безобидный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строки: 



CocaColato jest to!

Wirus HEX dedykowany E.D. i M.Sellowi





Hippie

Безобидный резидентный загрузочный вирус. При загрузке с зараженного диска записывает себя в MBR, используя прямые вызовы портов винчестера, "отрезает" блок системной памяти (слово RamSize по адресу 0000:0413), копирует туда свой код, перехватывает INT 1Ch, 2Fh и ждет загрузки DOS. После этого перехватывает INT 13h и заражает диски при обращениях к ним. При загрузке DOS вирус восстанавливает RamSize и, таким образом, оказывается не в "отрезанном" блоке, а в последнем блоке DOS.

Вирус содержит строки: 



DrW-4

RPL

Dr White - Sweden 1996

Hippie Virus - Written in Malmo...B01F





Hoppity

Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Никак не проявляется, но при заражении системы копирует себя в сиистемную память по фиксированному адресу 9FC0:0000 и может этим завесить компьютер.




Ekaterinburg

Неопасный резидентный загрузочный вирус. При загрузке с пораженного диска копирует себя в таблицу векторов прерываний и перехватывает INT 13h. Затем поражает boot-сектора флоппи-дисков обращении к ним. MBR винчестера заражается при загрузке с пораженного флоппи-диска. В зависимости от значения системного таймера вирус стирает экран и ждет ввода с клавиатуры. Содержит зашифрованную строку: 

Ekaterinburg




Empire

Неопасный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и поражает boot-сектора флоппи-дисков. При загрузке с зараженного флоппи записывается в MBR винчестера. Сектора заражаются по алгоритму "Stoned" . Содержит текст "PCAT", периодически расшифровывает и сообщает:

I'm becoming a little confused as to where the "evil empire" is these days.

If we paid attention, if we cared, we would realize just how unethical this impending war with Iraq is, and how impure the American motives are for wanting to force it.

It is ironic that when Iran held American hostages, for a few lives the Americans were willing to drag negotiation on for months; yet when oil is held hostage, they are willing to sacrifice hundreds of thousands of lives, and refuse to negotiate .......




EncePhalyt

Безобидный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h и затем записывается в boot-сектора флоппи дисков. В MBR винчестера записывается при загрузке с пораженной дискеты. Содержит зашифрованную строку: 

EncePhalyt




Energy

Опасный резидентный загрузочный стелс -вирус. Заражает MBR винчестера и загрузочные сектора дискет. Перехватывает INT 8, 13h, 2Fh. При заражении MBR записывает в буфер клавиатуры символ 'Y' и обходит таким образом антивирусную защиту BIOS. Содержит ошибки в процедуре заражения дискет. В результате заражает корректно только дискеты объема 1.4Mb и портит информацию на прочих. Через один месяц после заражения диска выводит текст: 



INT 13h points to => xxxx:xxxx   Virus detected!     (c) 1997 п-п нEnergy!

Boot anti-virus! For details & upgrades call :       Tel:  (401) 778.08.48


где "xxxx:xxxx" - адрес обработчика INT 13h.




Ester

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При заражении не сохраняет первоначального содержимого MBR и boot-секторов. При загрузке с зараженного диска вирус самостоятельно ищет активный раздел на винчестере и грузит с него систему.

Содержит зашифрованный текст: 

E s t e r




Experimental

Нерезидентный флоппи-boot-секторный вирус. При загрузке с зараженного флоппи-диска выдает сообщение: 



WARNING:  This is an experimental boot sector virus.

          Ignore the instructions below, remove the

          diskette from drive A, and shut off your


          computer.

          Restart your computer from a "safe" diskette.

          If you insert a system diskette and press a key,

          that diskette will become infected!!






          Non-system disk.

          Insert system disk and press any key.


и затем делает все то, что говорится в этом сообщении. При заражении записывается вместо boot-секторов заражаемых дискет.




Facade, семейство

Резидентные загрузочные вирусы. Перехватывают INT 13h и заражают MBR винчестера и boot-сектора дискет. "Facade.a" очень опасен - 27-го февраля выводит текст: 

Facade

затем стирает сектора винчестера и завешивает компьютер. Также содержит строку: 

[Written by Methyl]

"Facade.b,c" при загрузке системы в зависимости от того, нажата ли клавиша Ctrl, выводят бесконечное сообщение: 

Cody  's  Lauren  's  Cody  's  Lauren  's Cody  's  Lauren  's

"Facade.c" также содержит текст: 



Death to the [Black Tide]

Love to Lauren from Cody







Falcon

Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора диска C: и дискет. 5-го августа завешивает систему. Содержит строку: 

fALCON!




FatAvenger

Безобидный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора флоппи дисков. Содержит строки: 



THIS PROGRAM WAS WRITTEN IN INDIA.(c)1993 FAT AVENGER

PS. this program is not meant to be destructive





Feint

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Никак себя не проявляет.




FindMe

Опасный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. 23-го мая и 26-го декабря стирает CMOS. Содержит строку: 

FIND_ME




Fish (Boot)

Безобидные резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в MBR винчестера и boot-сектора дискет. Содержат строки (вторая строка у "Fish.a" зашифрована): 

"Fish.a":








FISH 1 (c) SD

Oto moj pierwszy wirus, ktory nazywa sie FISH 1 (c) S.D. 1996.05.17




"Fish.b":








Paskuda 1,Copyright in 1996 by   . 

Greetings for Troja !!! She is pretty cool !!!





Fisu

Неопасный(?) резидентный стелс загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Что-то делает с CMOS-памятью, содержит строку: 

"FiSU" BsAs @@ VS93




Flame

Опасный резидентный вирус. Перехватывает INT 13h и поражает boot-сектор гибких дисков и MBR винчестера. Старый boot-сектор гибкого диска сохраняет по адресу 1901/01, в результате чего может испортить часть информации на диске. Старый MBR винчестера не сохраняет. Иногда выводит на экран нечто, напоминающее языки пламени.



Демонстрации вирусных эффектов:

FLAME.COM


Form

Очень опасный резидентный загрузочный вирус. Перехватывает INT 9, 13h и поражает boot-сектор флоппи-дисков при обращении к ним и boot-сектор винчестера при загрузке с флоппи-диска. На винчестере располагается в последних секторах диска, на дискете - методом "Brain" .

Проявляется 16-го числа ежемесячно - при нажатии на клавиши вирус совершает холостой цикл. При работе с винчестером может произойти потеря данных.

Содержит текст: 



The FORM-Virus sends greetings to everyone who's reading this text.

FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.





Darnok

Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h, 4Ah (User Alarm Handler) и записывается в boot-сектора дискет и MBR винчестера. При заражении дисков (в том числе винчестера) записывает первоначальный boot/MBR сектор по адресу 39/0/8 (трек/сторона/сектор), при этом стирает его содержимое. При вызове INT 4Ah выводит текст и завешивает компьютер: 



DARNOK virus activated.

Scorpio's anagram





Defo

Безобидный резидентный загрузочный "стелс"-вирус. Перехватывает INT 5, 8, 13h и записывается в MBR винчестера и загрузочные сектора дискет. При заражении MBR записывает свой код в неиспользуемые сектора первого трека винчестера. При заражении дискет форматирует дополнительный трек, содержащий единственный сектор длиной 4096 байт, и записывает туда свой код.

При заражении памяти определяет свою копию вызовом INT 13h, AX=DEF0h. Если при считывании своего продолжения с диска возникла ошибка, то вирус выводит одно из сообщений: 



Invalid Partition Table

Error Loading Operating System

Missing Operating System

Runtime error 504D:5658


После нажатия на PrintScreen (INT 5) вирус выключает свои процедуры стелс и заражения и через 15 минут (INT 8) снова включает их.




DenZuk, семейство

Очень опасные вирусы, длина - 9 секторов. Перехватывают INT 9, 13h и заражают boot-сектор дискет при обращении к ним (INT 13h,ah=2,3,4,5). При сохранении на диск второй части вируса никаких проверок не производится, поэтому вирус может уничтожить часть информации на диске (расположенной на 40-м треке).

При "теплой" перезагрузке крупными буквами выводят на экран свое имя: "Den Zuk". Изменяют метку заражаемого диска на "Y0C010E0R0P". Не имеют деструктивной функции, но очень опасны, так как могут уничтожить информацию на 40-м треке заражаемого диска. Содержат тексты: 



Welcome to the C l u b --The HackerS-- Hackin' All The Time

The HackerS




Демонстрации вирусных эффектов:

DENZUK.COM


Devil, семейство

Неопасные резидентные boot-вирусы.

"Devil.a" поражает MBR винчестера при загрузке в память и boot-сектора флоппи-дисков при чтении или записи секторов. При каждой 6-й перезагрузке или при возникновении ошибок выводит на экран фразу "(c) Devil Production Ver 1.0 28/08/1972".

"Devil.b" поражает активный boot-сектор винчестера и boot-сектора флоппи-дисков. Содержит текст: 

(c) Devil v2.0




DiskFiller

Очень опасный "стелс"-вирус. Перехватывает INT 13h, 1Ch, 21h и поражает boot-сектор флоппи-дисков и MBR винчестера при обращениях к дискам. При заражении boot-сектора дискеты форматирует на ней дополнительный трек (40-й у 360К и 80-й у 1.2М) и записывает туда свой код. Затем вирус встраивает свою головную часть в boot-сектор дискеты таким образом, что коды первоначального boot-сектора практически не изменяются. При заражении винчестера располагает свое тело сразу за MBR. В самой MBR вирус изменяет лишь адрес активного boot-сектора и устанавливает его на сектор, содержащий начало вируса.

При запуске COMMAND.COM перемещает себя в область памяти с меньшими адресами. В зависимости от системного времени расшифровывает и выводит на экран фразу 



Haha,vбrus van a gВpben!!















Ez egy eddig mВg nem kФzismert vбrus. De hamarosan az lesz.

A neve egyszerБen tФltФgetФ

Ezt a nevВt onnan kapta, hogy feltФltФgeti a FAT-tаblаt

kФlФnbФzФ alakzatokkal.

Ez mаr meg is tФrtВnt !!!


а затем "рисует" в секторах FAT картинку 



 ******  ******

*      **      *

* *  * ** *  * *

*      **      *

* **** ** **** *

 *    *  *    *


  ****    ****


Вирус также содержит текст "command.com".




DiskKiller

Очень опасный вирус, длина - 5 секторов. Состоит из двух частей: первая часть вируса, оформленная как загрузочный сектор, располагается в загрузочном секторе диска и содержит начало вируса; вторая часть располагается в пяти последовательных секторах и содержит продолжение вируса (4 сектора) и оригинальный загрузочный сектор диска (5-й сектор).

Перехватывает INT 8, 9, 13h и заражает загрузочные сектора дисков при обращении к ним (INT 13h, AH=2). На флоппи-диске вирус располагается по типу "Brain" . Винчестер заражается только в том случае, если число скрытых секторов (т.е. расположенных между загрузочным сектором и первым сектором FAT) больше или равно 5. Вторая часть вируса при этом записывается в последние 5 скрытых секторов.

Вирус может уничтожить всю информацию на диске. При чтении с диска (INT 13h, AH=2) вирус опрашивает свой внутренний счетчик времени, и, если значение счетчика удовлетворяет некоторым условиям, совершаются следующие действия:

- на экране появляется сообщение: 



Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/1989

Warning !!

Don't turn off the power or remove the diskette

while Disk Killer is Processing!

PROCESSING


- уничтожается информация на всех треках диска: все байты информации на нечетных треках двоично суммируются (XOR) с байтом 55h, все байты на четных секторах - с байтом AAh;

- на экране появляется сообщение: 



Now you can turn off the power

I wish you luck !


- компьютер зависает (совершает холостой цикл).




Disque

Неопасный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Устанавливает дату - 2097 год. Содержит текст: 

Disque non-syst




Dodgy

Очень опасный резидентный загрузочный стелс-вирус. Занимает два сектора (1024 байт). Поражает boot-сектора дискет и MBR винчестера. При заражении MBR записывает первоначальный MBR-сектор и свой второй сектор на нулевой трек/нулевую сторону винчестера, начиная с сектора 14 (обычно эти сектора не заняты программами и данными). На дискетах вирус сохраняет boot-сектор и свой код в последних секторах корневого каталога.

При загрузке с зараженного диска вирус уменьшает размер свободной памяти (слово по адресу 0:0413h), копирует туда свой код, перехватывает INT 8, 13h, 40h и вызывает системный загрузчик (т.е. инициирует повторную загрузку с диска). Поскольку вирус реализует стелс-алгоритм, системный загрузчик при повторном запуске считывает с диска и выполняет не код вируса, а первоначальные boot/MBR-сектора.

При инсталляции вирус также считывает в память MBR винчестера - уже установленная в память резидентная копия вируса перехватывает этот вызов и заражает MBR.

При заражени вирус использует несколько приемов, направленных против антивирусной защиты, встроенной в BIOS - вирус снимает флаг проверки в CMOS и записывает в буфер клавиатуры символ 'Y'.

Перехват INT 13h, 40h используется вирусом для заражения дисков, к которым идет обращение. При этом вирус также вызывает стелс-процедуру, если диски уже заражены. При помощи перехвата INT 8 вирус постоянно сканирует область памяти, куда DOS загружает свой код, и ищет там строку "PEC=" (остаток от строки "COMSPEC=", обычно присутствующей в области Environment DOS-программ). Если эта строка найдена, вирус перехватывает DOS-прерывания INT 21h, 2Fh и увеличивает (т.е. восстанавливает в прежнее значение) размер системной памяти (0:0413h). В результате TSR-копия вируса оказывается за пределами DOS. Затем вирус "отключает" свой перехватчик INT 8.

INT 21h: вирус проверяет имена программ и при запуске файла RAV* вызывает свою подпрограмму уничтожения данных на диске (см. ниже). Эта подпрограмма не вызывается, если компьютер работает под Windows. В этом случае вирус вызывает ее при окончании работы Windows (вирус перехватывает этот момент при помощи INT 2Fh).

INT 2Fh: вирус перехватывает запуск и окончание работы Windows. При запуске Windows вирус стирает в рабочем каталоге Windows файл SYSTEM\IOSUBSYS\HSFLOP.PDR. При окончании работы Windows вирус вызывает процедуру уничтожения данных на диске, если в процессе работы Windows был запуск программы RAV*.

Через три месяца после заражения (или при запуске RAV*) вирус проявляет себя следующим образом: переводит компьютер в графический видео-режим, выводит текст "RAVage is wiping data! RP&muRphy", отключает клавиатуру и стирает сектора на винчестере.




Dragon1

Очень опасный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и записывается в boot-сеткора дискет и MBR винчестера. Стелс-процедура вируса содержит ошибки, в результате которых вирус в некоторых случаях портит FAT дискет. При заражении 12-го диска вирус меняет палитру экрана. Под отладчиком вирус вешает систему. Содержит строки: 



Dragon 1

(C) Snake's.

Death





Dream (загрузочный)

Опасный резидентный "стелс" boot-вирус. При загрузке с зараженной дискеты вирус поражает MBR винчестера, затем копирует часть своего кода (65h байт) в таблицу векторов прерываний, перехватывает INT 13h и затем заражает boot-сектора дискет. Так как в памяти резидентно остается только 65h байт вируса, то при заражении дискет вирус должен считать свой код откуда-нибудь. Он это делает с зараженного MBR-сектора.

Вирус содержит ошибки, и система может повиснуть при обращении к зараженной дискете. Вирус содержит строку: 

dream




DullBoy

Опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и первый boot-сектор винчестера. Записывает свои данный по адресу вектора прерывания карты VGA и вешает VGA-компьютеры. Содержит строку: 

All computing and no play makes Cheolsoo a dull boy!




Duran

Резидентный очень опасный boot и MBR-вирус. При загрузке с пораженного флоппи-диска поражает MBR винчестера, затем перехватывает INT 13h и записывается в boot-сектора дискет при обращении к ним. Сохраняет старый MBR-сектор во втором физическом секторе винчестера, старый boot-сектор в самом последнем секторе дискеты. В некоторых случаях стирает MBR винчестера. Содержит строки: 



(c)AVB91

Duran-Duran lives...





Edv

Резидентный очень опасный вирус, поражает MBR винчестера и boot-сектора флоппи-дисков. Копирует свою TSR часть в UMB или видео-память и перехватывает INT 13h и 16h. При заражении дискет и винчестера сохраняет первоначальный сектор по адресу 1/39/8 (сторона/трек/сектор). При обращении к этому сектору эмулирует ошибку чтения/записи. Пятое поколение вируса стирает сектора дисков и сообщает: 

That rings a bell,no ? from Cursy

В вирусе также присутствует строка: 

MSDOS Vers. E.D.V. EV




Edwin

Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и диска C:. После заражения 63-го диска завешивает систему. Содержит слово-идентификатор: 

JB




EE

Неопасный резидентный загрузочный вирус. При загрузке с флоппи-диска записывается в MBR винчестера, затем перехватывает INT 1Ch, ждет загрузки DOS, перехватывает INT 21h и записывается в boot-сектора дискет при вызове DOS-функций Select Disk и Keyboard Input (INT 21h, ah=0Eh,0Ah). В зависимости от значения системного таймера заполняет экран символом 'ю' (ASCII EEh).



Демонстрации вирусных эффектов:

EE.COM


Carcel

Неопасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h. При обращении к загрузочным секторам и MBR винчестера заражает их. 25 мая перехватывает INT 1Ch, в текстовом виде рисует на экране полоски и в верхнюю строку экрана выводит текст: "CARCEL !" (см. также эффект DOS-вируса "Barrotes" ).



Демонстрации вирусных эффектов:

CARCEL.COM


Catman

Резидентный очень опасный вирус, перехватывает INT 9, 13h и заражает boot-сектора флоппи-дисков по методу вируса "Brain" . Резидентную копию записывает по случайным адресам ничего при этом не проверяя и не изменяя системные блоки памяти. Проверяет клавиатуру и 'пищит' при нажатии на Alt-Ctrl-Enter. Периодически стирает FAT и DIR дисков.




Cekov

Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дисков. Содержит строки: 



4.d.93 (C) Aldo SS

Virus Cekov TUni Gabrovo





Chance

Неопасный резидентный стелс boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и диска C:. 8-го декабря расшифровывает и выводит текст: 

оAll we are saying is give peace a chanceп (J. Lennon)

Также содержит зашифрованную строку: 



The John Lennon virus wishes love and peace to everyone

who's got the chance to read this! All my loving to INO!!





ChineseFish

Неопасный резидентный загрузочный стелс -вирус. При загрузке с зараженного флоппи-диска он поражает MBR винчестера. Копирует себя в памяти по адресу 8F20:0000 без изменения размера памяти DOS, это может привести к зависанию компьютера. Затем вирус перехватывает INT 13h (так же, как и при загрузке с зараженной MBR) и поражает boot-сектора дискет. Удаляет с зараженных дисков некоторые версии вируса "Stoned" . В зависимости от текущей даты выводит сообщение: 



Hello! I am FISH, please don't kill me.

Congratulate 80th year of the Republic Of

China Building,Fish will help to kill stone

Written by Fish in NTIT. TAIWAIN  80.10.18





Cicada

Очень опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора флоппи дисков. 10-го июля стирает сектора винчестера и сообщает: 



################################################################################

##@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@##

##@@+----------------------------------------------------------------------+@@##

##@@|                                                      +--------------+|@@##

##@@|   #####@            ##@      ##@                     |Golden Cicada ||@@##

##@@|  ##@  ##@   ####@   ##@   #####@    ####@   ##@ ##@  |    Virus!    ||@@##

##@@|  ##@       ##@ ##@  ##@  ##@ ##@   ##@ ##@  ####@##@ | Version Pro. ||@@##

##@@|  ##@ ###@  ##@ ##@  ##@  ##@ ##@   ####     ##@  ##@ |June 10, 1994.||@@##

##@@|   #####@    ####@   ##@   ######@   ####@   ##@  ##@ +--------------+|@@##

##@@|                                                                      |@@##

##@@|         #####@                              ##@             ##@      |@@##

##@@|        ##@  ##@  ##@   ####@   ####@     #####@    ####@    ##@      |@@##

##@@|        ##@            ##@     ##@ ##@   ##@ ##@   ##@ ##@   ##@      |@@##

##@@|        ##@  ##@  ##@  ##@     ##@ ##@   ##@ ##@   ##@ ##@            |@@##

##@@|         #####@   ##@   ####@   ######@   ######@   ######@  ##@      |@@##

##@@|                                                                      |@@##

##@@|----------------------------------------------------------------------|@@##

##@@|   Something wonderful was happened! Your PC is now Stoned! And your  |@@##

##@@| PC was out of order that all the doctor's efforts were in vain! Ha!  |@@##

##@@| Ha! Ha! Ha! Serve you right!! I dont' want to damage your hard disk! |@@##

##@@| But...write some trash into your hard disk now!! Well! Beware of this|@@##

##@@| virus, don't copy software without any payments! Okay! Goodbye!!.... |@@##

##@@+----------------------------------------------------------------------+@@##

##@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@##

################################################################################






Golden Cicada Virus Version Pro.

(C) Copyright CVEX Corp.,1994.

All rights reserved.

Made in Taiwan!





Clock

Опасный загрузочный вирус. Перехватывает INT 8, 13h и поражает boot-сектора дискет при обращении к ним и MBR винчестера при загрузке с зараженной дискеты. В зависимости от своего внутреннего счетчика перезагружает компьютер или меняет настройку винчестера (на тех контроллерах, где это возможно).




CMOS

Опасный резидентный загрузочный стелс вирус. Портит CMOS. Копирует себя по адресу 9F80:0000, перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Оригинальный MBR сохраняет по адресу 0/0/2, оригинальный boot-сектор флоппи-диска - в последнем секторе корневого каталога.




CmosDeath

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от системного таймера стирает CMOS. Содержит строку: 

CMOS Death




CrazyBoot

Опасный резидентный стелс -вирус. Перехватывает INT 13h и поражает MBR винчестера и boot-сектора флоппи-дисков. При заражении флоппи-дисков сохраняет свое тело по некорректному адресу и может испортить файлы данных. В зависимости от своих внутренних счетчиков выводит текст: 



Don't PLAY with the PC !

Otherwise you will get in 'DEEP,DEEP' trouble !...


Crazy Boot Ver. 1.0





Cruel, семейство

Опасные резидентные boot-вирусы. Перехватывают INT 13h и записываются в boot-сектора винчестера и дискет, иногда при этом портят код системного загрузчика.

"Cruel.d" файлово-загрузочный вирус. Он перехватывает также INT 21h и записывается в конец .COM-файлов при обращениях к ним.

В зависимости от системной даты вирусы стирают CMOS. Содержат строки: 



"Cruel.a":  CRUE(L)


"Cruel.b":  CRUELv2

"Cruel.c":  CRUE(L)v3

"Cruel.d":  T-PHAG





DaBoys

Неопасный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h и записывается вместо boot-секторов дисков при доступе к ним. Содержит строку: 

DA'BOYS




Damanaegi

Резидентный неопасный вирус, перехватывает INT 13h и поражает boot-сектора флоппи-дисков. Периодически выводит текст "DAMANAEGI" и перезагружает компьютер.




DAN (загрузочные)

Резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет. При загрузке с пораженной дискеты записывается в MBR винчестера ("DAN.ARG,Ejemplo") или в первый boot-сектор винчестера ("DAN.Camaleon").

"DAN.Camaleon,Ejemplo" безобидны. "DAN.ARG" очень опасен. 14-го марта или в зависимости от своего счетчика выводит большими буквами "ARG" и стирает сектора винчестера.

Содержат строки: 



"DAN.Camaleon": CAMALEON VIRUS Ver 1.0 5/1/1994 Por Bugs Bunny CASTELAR BsAs.

"DAN.Ejemplo":  Bugs Bunny [DAN] para Minotauro Magazine.(C)1994

                Virus Ejemplo.




Демонстрации вирусных эффектов:

DAN_BOOT.COM


DarkElf (boot)

Очень опасный резидентный стелс boot-вирус. Перехватывает INT 3, 8, 13h и записывается в boot-сектора флоппи дисков при обращении к ним. Записывает свой второй сектор и первоначальный boot-сектор в сектора FAT, при этом корректно заражает только 360K дискеты. Если при инсталляции вирус не может прочитать первоначальный boot-сектор, он форматирует диск, затем выводит на экран и принтер строку: 

The Dark Elf strikes again!

Также содержит строки: 



V.I.R.U.S. Rules!

DARKELFv0.1





BanBan

Неопасный резидентный загрузочный стелс -вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Довольно часто расшифровывает и выводит текст: 

[сТе сТе сRв$ 9222500088]

Если отключить драйвер кириллицы, то это сообщение читается как: 

[BAN BAN BROS 9222500088]




Beryllium

Безобидный резидентный загрузочный стелс -вирус. Поражает MBR винчестера и boot-сектора флоппи-дисков. Перехватывает INT 13h. Содержит строку: 

BERYLLIUM!




Bhorse

Резидентный безобидный вирус, перехватывает INT 13h и поражает boot-сектора дискет и MBR винчестера. Старые сектора сохраняет по адресам: Boot - 39/9/1, MBR - 0/7/0 (трек/сектор/сторона).




Bleah, семейство

Безобидные резидентные boot-вирусы, "Bleah.c" зашифрован. Заражают boot-сектора дискет и MBR винчестера. При загрузке с зараженного диска уменьшают размер системной памяти (слово по адресу 0000:0413), копируют туда свой код, перехватывают INT 8 (таймер), ждут загрузки DOS, затем восстанавливают размер системной памяти и перехватывают INT 13h. В результате вирусы оказываются в блоке памяти, отрезанном от DOS, но количество DOS-памяти не изменяется.




Bounty

Безобидный boot-вирс. При загрузке с пораженного диска перехватывает INT 1Ch, затем ждет загрузки DOS и перехватывает INT 21h. Затем ждет запуска первой программы, копирует себя в конец первого блока памяти, перехватывает INT 13h и записывается в boot-сектора дискет и винчестера. Содержит строки: 



Bounty Bob Strickes Back!

By United Virus Writers,(C) 1990.All rights Reserved.Version 2.00.





BR (boot)

Опасный резидентный загрузочный вирус. Перехватывает INT 8, 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит ошибки и может завесить систему. После заражения очередного диска "дергает" экран. Содержит строки: 



Svetlana

Bloody Revenge





Brain, семейство

Состоит из двух практически совпадающих безобидных вирусов: "Brain-Ashar" и "Brain-Singapore". Они заражают загрузочные сектора дискет при обращении к ним (INT 13h, AH=02h). Продолжение вируса и первоначальный загрузочный сектор размещаются в секторах, которые принадлежат свободным кластерам диска. При поиске этих кластеров вирусам приходится анализировать таблицу размещения файлов (FAT). В FAT эти кластеры помечаются как сбойные (так называемые "псевдосбойные" кластеры). У зараженного диска устанавливается новая метка "(C) Brain". Вирусы используют "стелс"-механизм: при попытке просмотра загрузочного сектора зараженного диска они "подставляют" истинный сектор.




Brasil

Очень опасный резидентный вирус. Перехватывает INT 13. Поражает boot-сектора дискет и MBR винчестера по алгоритму вируса Stoned . Периодически расшифровывает и сообщает "Brasil virus!", а затем стирает сектора винчестера.




Bravo

Очень опасен. При загрузке с пораженного диска копирует себя в таблицу векторов прерываний и перехватывает INT 13h. Затем поражает boot-сектора флоппи-дисков обращении к ним. MBR винчестера заражается при загрузке с пораженного флоппи-диска. В зависимости от значения системного таймера вирус записывает в MBR-сектор строку "Bravo".




Breaker

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При этом не сохраняет первоначальное содержимое сектора, а при загрузке с пораженного диска грузит систему самостоятельно. При нажатии на Ctrl-Break вирус стирает сектора дисков.




Brr

Очень опасный резидентный загрузочный стелс -вирус. Записывается в boot-сектора дискет и MBR винчестера. Корректно заражает только дискеты 360K и портит системную информацию на остальных типах дискет.

При загрузке копирует себя в таблицу векторов прерываний и перехватывает INT 9, 13h. С вероятностью 1/16 выводит текст: 

Brr...!

При нажатии на Alt-Ctrl-Del вирус заражает дискету, если она вставлена в дисковод.




Bucharest

Неопасный резидентный загрузочный вирус. Перехватывает INT 12h, 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от системной даты и времени расшифровывает и выводит текст: 

ENJOY THIS BUG! RP VirusLab Bucharest




Bug70

Безопасный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h и записывается в boot-сектор первого диска винчестера и boot-сектора дискет. Содержит идентификатор 070Ah.




Bupt, семейство

Резидентные boot-вирусы. Перехватывают INT 13h и записываются в MBR винчестера и boot-сектора дискет.

"Bupt9146" безобиден, содержит строку: 

Welcome to BUPT 9146,Beijing!

"Bupt.b" при заражении MBR изменяет адрес активного boot-сектора. По 1-м числам расшифровывает и выводит текст: 

(C) Bupt 91. Computer LTS  1993.2.




Bye

Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. В зависимости от текущего времени расшифровывает и выводит текст: 

Bye by C&C




Cannabis (загрузочный)

Резидентный неопасный вирус, поражает boot-сектора дискет. Перехватывает INT 13h. Содержит слово "Cannabis". Выводит на экран тексты: 

Hey man, I don't wanna work. I'm too stoned right now...








Non-System disk or disk error

Replace and press a key when ready