Baba.353

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов (кроме COMMAND.COM) при их запуске. Содержит строку: "=>COMMAND.COM<=". При детектировании своей резидентной части засылает в регистр AX значение BABAh.





Babe.1584

Неопасный резидентный вирус. Перехватывает INT 16h, 21h и записывается в конец запускаемых COM- и EXE-файлов. При помощи перехвата INT 16h (клавиатура) "переставляет" некоторые клавиши: Home<->End, Up<->Down, PgUp<->PgDn, Left<->Right, Ins<->Del. Название свое вирус получил по причине своего вызова "ты здесь?" при инсталляции в память: INT 21h, BX/CX=B0B0h/BABEh. Резидентная копия вируса возвращает BABEh/B0B0h в тех же регистрах.





Babilon.1000

Безобидный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. При открытии или отладке зараженного файла лечит его. Содержит строку:

BABILON






Baby, семейство

Безобидные резидентные компаньон-вирусы. Перехватывают INT 21h. При запуске файла переименовывают его в другое имя и создают компаньон-файл с именем запускаемого файла. Вирусы имеют небольшую длину, но создают компаньон-файлы случайной длины.





Baby_L.674

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. По 12-м числам ежемесячно стирает сектора дисков и выводит текст:

...my baby Lyubashenka love the sweet...






Bace.338

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. Никак себя не проявляет.





Bach.498

Опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от текущей даты перехватывает INT 13h и перенаправляет информацию читаемую/сохраняемую на диск. Содержит строку:

J.S. Bach by TXQ






BachKhoa, семейство

Очень опасные резидентные зашифрованные вирусы. Используют антиотладочные приемы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. Уничтожают файлы: CHKLIST.MS, CHKLIST.CPS, FILESIGN.SAV, FILE_ID.DIZ. 25-го ноября стирают информацию на винчестере. Содержат строки:

"BachKhoa.3544":


Ha Noi University of technologyYour PC was infected by BACHKHOA virus



"BachKhoa.3999":


Ha Noi University of technologyYour PC was infected by BACH KHOA virus version 1.5



"BachKhoa.4426":


Ha Noi University of technologyYour PC was infected by BACH KHOA virus version 2.5







Backfont, семейство

Резидентные вирусы. Перехватывают INT 21h и записывается в конец EXE-файлов при их запуске на выполнение.

Backfont.900,905

Неопасные вирусы. Перехватывают INT 8 и INT 21h. Текстовых строк не содержат. Проявляются в зависимости от своих внутренних счетчиков и текущего года, месяца, дня и только при наличии адаптера EGA. При этом наблюдается достаточно интересный видеоэффект: приблизительно через 20 минут после активизации вируса все знаки, отображенные на экране, "перевернутся вверх ногами": 'P'->'Ь', 'U'->'П' и т.д. (начертание приблизительное). Знаки остаются на своих местах, изменяется лишь их изображение. Приблизительно через 10 секунд первоначальное состояние экрана восстановится, еще через 10 секунд знаки опять перевернутся и т.д.

Backfont.765,821

Очень опасны. При каждом вызове функции DOS ChDir (INT 21h, ah=3Bh) правят FAT таким образом, что один из кластеров становиться сбойным (псевдосбойный кластер).

Backfont.896

Безобиден, никак не проявляется. Больше об этом вирусе сказать нечего.

Backfont.1172

Неопасен, перехватывает INT 8, 21h, периодически выводит текст:

Вас можно поздравить! Теперь у Вас тоже есть вирус Не отчаивайтесь! Он почти безобиден Слегка размножится в вашей АЙтишке и все Если будут проблемы то в этом виноваты только Вы сами Такому Козлу как вы следует пасти баранов в горах Агалыка





BackFormat, семейство

Опасные резидентные вирусы. "BackFormat.2354" - зашифрован. При старте заражают файл COMMAND.COM, длина файла COMMAND.COM не увеличивается - вирусы используют алгоритм вируса "Lehigh" . Затем перехватывает 21h ("BackFormat.2000" перехватывает также INT 13h) и записывается в конец COM- и EXE-файлов при их создании (копировании) на флоппи-диски. При заражении COM-файлов вирусы проверяют их начало, и, если в начале файла присутствует команда JMP, вирусы записывают команду перехода на себя вместо участка кода, куда указывает этот JMP.

Содержат строку ":\command.com"

"BackFormat.2000" при форматировании 360K дискет изменяет системные таблицы так, что форматирование идет в обратном порядке - от последнего сектора к первому. Если дискета не 360K, то после форматирования она будет недоступна.

"BackFormat.2435" иногда портит данные при их записи на диск.





Backtime, семейство

Опасные резидентные вирусы. Перехватывают INT 8 (таймер) и INT 21h и записываются в конец запускаемых COM-файлов. Содержат строки:

"Backtime.496": Joker"Backtime.512": Shaker"Backtime.528": BackTime



"Backtime.528" запускает системный таймер в обратную сторону: при каждом вызове INT 8 уменьшает системный счетчик времени на 1. В результате глухо виснут все программы, которые используют временные характеристики компьютера (например, BenchMark'и).

"Backtime.496": периодически не восстанавливает значения регистров при вызове INT 8.

"Backtime.512" проявляется только на адаптерах CGA, он 'трясет' экран.

"Backtime.1234" заражает диски загрузочным вирусом "Stoned.March6".





Bad.389

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в .COM-файлы при их загрузке в память. При первом старте на незараженной машине выводит текст:

Bad command or file name


и возвращается в DOS.





Badboy, семейство

Неопасные резидентные вирусы. Перехватывют INT 21h и записываются в начало COM-файлов при их запуке на выполнение. Состоят из 9-ти блоков кода (блок инсталляции, блок данных, блок обработчика INT 21h и т.д.). При инсталляции в память 8 из этих 9-ти блоков могут быть переставлены местами в произвольном порядке. При заражении вирус записывает в файл копию своей резидентний части, т.е. расположение блоков в инфицированных файлах будет различным.

Файл 1 Память Файл 2+-----+ -----> +-----+ -----> +-----+|@@@@@| |@@@@@| |@@@@@||-----| ---+ |-----| |-----||-----| +-|-> |%%%%%| |%%%%%||%%%%%| -+ +-> |-----| |-----||-----| |-----| |-----||#####| ---+ | | | ||#####| +-|-> ... ...|-----| | | |-----| |-----| ... | +-> |#####| |#####|| | -+ |#####| |#####|+-----+ +-----+ -----> +-----+



При доступе к файлам используют System File Table.

"Badboy.1000.a" при 10-м заражении сообщает:

The bad boy halt your system...


и действительно завешивает компьютер. Остальные вирусы семейства содержат строки:

"Badboy.991": Cure_ME_DANIEL! ANTI CRI I HOPE YOU BURN IN HELL ASSHOLES"Badboy.1000.a": The Bad Boy virus, Copyright (C) 1991."Badboy.1000.c": Pile of shit The Worthless Piece of shit virus that is a joke."Badboy.1001": Make me better! The Bad Boy virus, Version 2.0, Copyright (C) 1991"Badboy.1001.b": The MRMS boy halt your system... The Bad Boy virus, Copyright (C) MRMS."Badboy.1074": The Worthless Piece of shit vi-rus that is a joke"Badboy.Lubec": Lubec II ACME93 Microsoft MS-DOS 6062PTCH ,(c) Microsoft 93,ACME 93"BadBoy.MadSatan.a": 1994 By ( Mad Satan ) in TAIWAN 1994 Satan Virus By [Mad Satan] Ver 4.0"BadBoy.MadSatan.b": Make me better! 1994 Stan Virus by [ Mad Satan ] in TAIWAN. Ver 4.01"Badboy.Riot": Senseless Destruction... Protecting what we are joining together to take on the world.. METAL MiLiTiA [iMM0RTAL Ri0T]







BadCommand.967

Очень опасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. 1-го сентября стирает сектора винчестера. При инсталляции своей TSR копии выводит текст "Bad Command or file name", затем возвращает управление DOS, а не программе-носителю вируса.





BadCOM, семейство

Неопасные нерезидентные частично зашифрованные вирусы. При запуске ищут .COM-файлы и записываются в их конец. В зависимости от системного таймера

"BadCOM.557" перезагружает компьютер"BadCOM.600" выводит текст и возвращает управление DOS:



Bad COM format.






Badguy, семейство

Очень опасные нерезидентные вирусы. Записываются в начало .COM-файлов текущего каталога. Старое содержимое файла не сохраняется. Содержат текст "*.COM".

По понедельникам "Badguy.265" что-то творит с портами монитора CGA, а затем завешивает компьютер. Содержит текст:

BadGuy Virus (c) by Cracker Jack 1991 (IVRL) Italian Virus Research Laboratory (C) 1990,1991 IVRL Head Quarter, Milan Italy

По понедельникам "Badguy.208" расшифровывает и выводит фразу:

New BadGuy Virus - (c) By Cracker Jack 1991 IVRL Head Quarter Milan, Italy





Badless.494

Очень опасный нерезидентный вирус. При запуске ищет *.COM-файлы и проверяет их внутренний формат. Если файл является не EXE-файлом, то вирус записывается в его конец, если же формат файла является EXE, то вирус записывает в начала файла троянца (файл при этом портится). При запуске такого троянца на экран выводится текст:

Only in God we trust...


Вирус также содержит строку:

Badless 1992






BadSectors, семейство

Опасные резидентные вирусы. Перехватывают INT 8, 16h, 21h, 25h, 26h. При вызове функций DOS FindFirst/FindNext FCB/ASCII вирусы ищут и записываются в конец COM- и EXE-файлов. Также поражают файлы при их запуске, переименовании или открытии. Не поражают файл с именем SCAN. Периодически создают псевдо-сбойные кластеры на дисках. "Играют" с клавиатурой. Содержат строки:

COMEXESCAN



и:

"BadSectors.3150": BadSectors 1.0"BadSectors.3422": BadSectors 1.1"BadSectors.3428": BadSectors 1.2"BadSectors.3627:: BadSectors 1.3







BadSize.369

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. При заражении файла выводит его имя и добавляет одну из строк:

- infected- already infected- bad size to infect



Вирус также выводит текст:

Frodo lives !!!






Bagnara.694

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При заражении записывает в конец файла один из двух возможных вариантов расшифровщика, в результате длина файла увеличивается либо на 694, либо на 699 байт.

6-го июня перехватывает INT 8 и мигает индикаторами Num/Caps/Scroll-Lock. Содержит "строку текста" (если отключить русификатор, то можно прочесть "Bagnara"):

срgдрчГ






Bailey, семейство



Bailey.270

Очень опасные нерезидентные вирусы. При запуске ищут .COM- и .EXE-файлы текущего каталога и записывается вместо них.

"Bailey.270" поражает только .EXE-файлы. В зависимости от системного таймера стирает FAT диска C:.

Содержат/выводит строки:

"Bailey.270"


The Jasmine Virus is loose, better protect your computer.Beware!There now it works! [JD]Admiral Bailey [YAM]



"Bailey.380"


[Consumed] v1.0Coded by Data Disruptor(c) 1993 RABID DevelopmentPurpose: Full Moon "Virus Lessons Part 1" taught by Admiral BaileyNo host files found in this directory





Bailey.334

Безобидный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их конец. Содержит строку:

Demo-Exe Virus






Bait.425

Опасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. В сентябре завешивает PC. Содержит строку:

\DOS *.COM Bait Virus 2.0. Finland (C) 1994 JH






Ball.691

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от своих внутренних счетчиков перехватывает INT 1Ch и проявляется видео-эфектом.



Демонстрации вирусных эффектов:

BALL691.COM



Bandersnatch

Неопасный резидентный стелс и полиморфик -вирус. Трассирует и перехватывает INT 21h, затем записывается в конец COM- и EXE-файлов при обращении к ним. Сильно замедляет работу компьютера. Иногда вызывает видео-эффект, который медленно гасит экран. Содержит строки:

Злопастный БрандашмыгDOS-UPWhat's fuck?







Baran, семейство

Резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. "Baran.3294" заражает файлы при их запуске или закрытии. "Baran.4968" также заражает запускаемые и закрываемые файлы, но делает это также и при вызове FCB-функции закрытия файлов.

Перехватывают INT 21h нестандартными способами. Обработчик INT 21h в вирусе "Baran.3294" содержит всего одну команду - вызов INT 1 (CDh 01h). Вирус также перехватывает INT 1, и управление в результате передается на обработчик INT 1 в теле вируса. Этот обработчик содержит подпрограммы заражения файлов.

"Baran.4968" трассирует INT 13h, 21h, записывает в код INT 21h в области DOS (первоначальный DOS-обработчик INT 21h) вызов INT 29h (CDh 29h), затем записывает в код обработчика INT 29h команду FAR JMP_Virus. В результате в код вируса попадают вызовы INT 21h и INT 29h. Вирус проверяет адрес вызвавшей программы и передает управление либо на первоначальный обработчик INT 29h, либо на подпрограмму обработки вызовов INT 21h. Если вирус не может перехватить INT 21h таким способом, то он заражает командный процессор (COMMAND.COM), на который указывает системная строка COMSPEC=. Если загружен MS Windows, то вирус также заражает файл, который запускается при выходе из Windows.

"Baran.4968" является стелс -вирусом. При открытии зараженного файла (FCB или Handle), при его загрузке как оверлея или отладке вирус лечит файл. Вирус также проверяет имена файлов и не заражает IBMBIO.* и IBMDOS.*.

"Baran.3294" неопасен. В зависимости от системного времени выводит текст:

Gwadera to baran !


"Baran.4968" очень опасен. В зависимости от своего счетчика портит данные, записываемые на диск. Содержит строку:

Unknown destroyer v1






Barcelona

Резидентный неопасный вирус. Перехватывает INT 21h и записывает себя в начало запускаемых .COM-файлов (кроме COMMAND.COM). В зависимости от текущей даты очищает экран, рисует желтые и красные линии, затем выводит текст:

CATALUNYA LLIUREFORA LES FORCES D`OCUPACIOMORT ALS TERRORISTES TRICORNUTS





Демонстрации вирусных эффектов:

BARCELON.COM



Barrotes, семейство

Очень опасные резидентные вирусы. При запуске поражают файлы C:\COMMAND.COM. Затем перехватывают INT 21h и поражают COM- и EXE-файлы при их выполнении. Содержат строку "c:\command.com". 5-го января стирают MBR винчестера, перехватывают INT 1Ch, выводят на экран несколько вертикальных линий и текст:

Virus BARROTES por OSoft


"Barrotes.849" поражает только COM-файлы.

"Barrotes.1310.d" не портит MBR. Использует команду процессора i386. Выводит текст: "Virus MIKELON por MSoft".

"Barrotes.1461" 3-го марта шифрует сектора диска и выводит текст:

This is virus RETRETE!Don't attempt to recover your disk yourself!



"Barrotes.1463" безуспешно пытается вызвать видео-эффект, содержит зашифрованную строку:

ViRUS de G.D.R. (c)PutoSOЯT, NO HAY NADA COMO G.D.R. ии VERDAD ?? ;-)


"Barrotes.1874" проигрывает мелодию.

Barrotes.Tecla.1303

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При инсталляции поражает файл COMMAND.COM. 23-го сентября перехватывает INT 16h и изменяет скан-коды вводимых символов. Также содержит строки:

C:COMMAND.COMSta Tecla (MAD1)ST





Демонстрации вирусных эффектов:

BARROTES.COM



Bashar, семейство

Опасные зашифрованные резидентные вирусы, в цикле расшифровки используют команды сопроцессора i387. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Иногда по причине ошибки портят файлы при заражении. Содержат строку:

"[Bashar_Teg] by C.W. - 1997 (JAofM)"






Basilisk.1639

Неопасный резидентный полиморфик -вирус. Вариант на тему Eddie . Перехватывает INT 31h, 27h и записывает себя в конец COM- и EXE-файлов. При запуске файла SCAN*.* вирус выводит текст:

Packed file is corrupt


и возвращается в DOS. Вирус также содержит тексты:

Basilisk v1.0(c) 1992 YAM/RABID InternationalThe slave thinks he is released from bondageonly to find a stronger set of chains







Bastard.1979

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COMMAND.COM и EXE-файлов при обращении к ним. Не записывает в COMMAND.COM свой код целиком и не размножается из этого файла. Уничтожает файлы MS*.* и CP*.*. Содержит строку с именами файлов, которые не заражаются: "SCCLF-TBVSVIIMMSCV" (SC*.*, CL*.*, F-*.* и т.д.). В зависимости от текущего времени стирает сектора дисков и выводит сообщение:

BASTARD!! Virus <Unlawful Auto-Format Program>CopyRight (c) 1993-94 by Doctor Revenge-Italy-Please wait,formatting your precious Hard Disk...



Также содержит строки:

This virus was written by Doctor RevengeNovember 23 - December 29 1993 -Italy-COMMAND.COM







BatMan_II.2844

Опасный резидентный зашифрованный вирус. При запуске перехвает INT 1,3,9 и расшифровывает себя при помощи нескольких циклов расшифровки, при этом некоторые циклы расположены в обработчиках перехваченных прерываний. Затем перехватывает INT 13h, 28h и остается резидентно в памяти. При вызовах INT 28h вирус ищет EXE-файлы и записывается в их конец. При заражении может испортить файлы, такие файлы завешивают систему при запуске. Вирус содержит строки:

Bat Man II*.EXE COMMAND \NAWIAT *.*







Bauhaus.974

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало запускаемых .COM-файлов. При инсталляции в память также заражает файл C:\DOS\KEYB.COM. Уничтожает антивирусные файлы данных CHKLIST.*. По 12-м числам ежемесячно выводит текст:

BAUHAUS estа vivo


По 28-м числам также перехватывает INT 15h и при каких-то вызовах меняет значения регистра AL.





Bazil.1956

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Выводит текст:

****************************************************************** THIS FILE IS INFECTED AS WELL AS ALL COM FILES ON THIS DISC! ** Пока вы там ушами хлопали я уже по всему диску расплодился! ** Куда-же смотрит тов. Лозинский?! ** [BaZiL] ******************************************************************



Также содержит строки:

Привет вcem Питерским хакерам, тов. Данилову и Лозинскому!ФМЛ 239 - самая лучшая школа в мире!!!Вирус конечно не слишком хитрый, но для первого раза сойдет.[BaZiL]







BDay.512

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их начало. При заражении использует FCB-функции. В зависимости от текущей даьы и времени стирает файлы. Содержит строки:

Happy Birthday!!????????COM







Beaches.1091

Очень опасный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их конец. После заражения лечит файл-носитель. В зависимости от своего "поколения" затирает файлы программой, которая при запуске выводит текст:

sandy beachesbridges sinking into the seabeautiful confusionyou're a fading memory







Beast, семейство

Семейство содержит практически совпадающие очень опасные стелс-вирусы. При запуске вирусы "отрезают" один системный буфер от цепочки буферов, копируют туда свое тело, перехватывают INT 21h и затем записываются в начало .COM-файлов при запуске или закрытии файла. Начало файла сохраняется в первом неиспользуемом секторе последнего кластера файла.

| <----------- Файл --------------------------> |+------------------------- --------------------------+| кластер | кластер | ... | кластер | кластер |+------------------------- --------------------------+ ^ ^ ^ +- Начало вируса. Сохраненное начало файла ---+ | Неиспользуемый сектор ------+



Таким образом, при заражении длина файла не изменяется. У файла устанавливается время последней модификации - 62 секунды. В качестве рабочей области вирусы используют таблицу векторов прерываний (0:0200 - 03FF). Активно используют недокументированную область DOS - System File Table.

Поражают файлы, которые имеют расширение имени .CO? (? - любой знак) и могут заразить файлы данных. Может произойти утеря файла при его копировании (последний кластер файла копируется не целиком). Произойдет потеря файла на диске, имеющем один сектор на кластере. Некоторые версии вируса содержат строку "666".





Beast.644

Неопасный нерезидентный зашифрованный вирус. Ищет COM-файлы и записывается в их конец. Начиная с 4-го поколения выводит сообщения и некоторое время двигает головки винчестера (не форматирует):

You have BEAST VIRUS now!Turn OFF computer or begin format... You have X seconds!Formatting... May be C: or may be....Congratulation!







Beavis, семейство

Неопасные резидентные вирусы. Копируют себя в Upper Memory Blocks, перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. В зависимости от системного таймера выводят одну из строк:

FIRE FIRE FIRE!Hey butthead this sucks change the channel!Shut up butthead or I'll kick your ass!We're there dude.The Beavis virus kicks ass!



Также содержат строки:

"Beavis.655,657": [BEAVIS]"Beavis.671,673": [BEAVIS] by Crypt Keeper







Bebe, семейство

Нерезидентные опасные вирусы. Ищут и заражают .COM-файлы текущего каталога. Увеличивают размер заражаемого файла до параграфа, копируют себя в конец файла и изменяют его первые 14 байт ( PUSH AX; ... ; JMP FAR Loc_Virus).

Содержат ошибку - не восстанавливают DTA при возврате управления к программе-носителю. Это может привести к зависанию компьютера. Еще одна тонкая ошибка: не учитывают наличие конвейера у процессоров Intel 80x86 и модифицируют следующую за текущей выполняемую команду, в результате чего работают только на старых моделях IBM PC и Pentium PC.

Нерезидентны, но создают резидентные программы. Для этого копируют часть своего тела в таблицу векторов прерываний по адресу 0000:01CE и устанавливают на нее INT 1Ch или 21h.

"Bebe.486" перехватывает INT 21h и при записи в файл (INT 21h, f.40h) меняет знаки '+' на '-' и '-' на '+' в записываемом буфере.

"Bebe.1004" перехватывает INT 1Ch (таймер) и через некоторое время выводит на экран сообщение:

+-------- VIRUS ! ------+| Skagi "bebe" > |+-----------------------+



После того как с клавиатуры вводится "bebe", вирус отвечает: "Fig Tebe!". По словарному запасу вируса можно вполне точно определить его происхождение.



Демонстрации вирусных эффектов:

BEBE.COM



Beda, семейство

Резидентные стелс -вирусы. Перехватывают INT 21h и записываются в конец файлов при их запуске или закрытии. При открытии файлов лечат их, а затем снова заражают при закрытии. Используют шестнадцатеричное слово BEDAh как идентификатор зараженных файлов и при детектировании своей копии в оперативной памяти.

"Beda.883,1301" поражают только COM-файлы, "Beda.1530" поражает как COM-, так и EXE-файлы, при заражении EXE-файлов часто портит их (вирус содержит ошибку).

"Beda.883,1301" неопасны, в зависимости от своих счетчиков вызывают видео-эффект.

"Beda.1530" опасен, уничтожает антивирусные программы -V, WEB, AIDSTEST, A-DINF. Перехватывает также INT 09h и в зависимости от своего счетчика заменяет вводимые с клавиатуры символы: '?'-> 'B', 'n' -> 'Y', 'N' -> 'Y'.



Демонстрации вирусных эффектов:

BEDA.COM



BedBug.1160

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущей даты расшифровывает и выводит текст:

+---------------------+| DON'T WORRY ! || MY NAME IS BED-BUG. || and I AM HERE !!!  |+---------------------+







Beep.2000

Неопасный резидентный вирус. Перехватывает INT 08h, 21h и записывается в конец COM- и EXE-файлов при их запуске на выполнение. Периодически пищит динамиком компьютера.



Демонстрации вирусных эффектов:

BEEP2000.COM



Beer, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или просмотре. Шифруются и в файлах и в памяти. Начиная с 1992 года, при некоторых условиях выводят фразу "Сейчас бы пивка" и играют мелодию. При запуске AIDSTEST проигрывают мелодию без вывода фразы, после чего запускают не AIDSTEST, а RIDSTEST.

Некоторые из вирусов "Beer" опасны, при открытии он уничтожает содержимое файлов

DISKDATA.DTLVIRUSES.INFA-DINF-%.%%%DIRINFO-V.MSG



"Beer.3164" записывает туда текст "Сейчас бы пивка".

"Beer.Kalinka" проигрывает мелодию "Жили у бабуси два веселых гуся", записывает в вышеуказанные файлы строку:

Калинка-малинка-малинка-малинка моя !


Содержат/выводят тексты:

"Beer.2473": Виpус,Виpус ха-ха-ха. ПРЯМО СВЕРXУ xa-xa-xa-xa !!!


"Beer.3225":


DISKDATA.DTL VIRUSES.INF A-DINF-%.%%% DIRINFO REPORT.WEB REPORT.TXTADINF-C.LOG ADINF-D.LOG ADINF-E.LOG CHKLIST.MS AVPTSR.EXE -D.COM -D3.COMVSAVE.EXE ANTI4US.EXE COMMAND.COM AIDSTEST.EXE+---------------------------------------+| Жили у бабуси ТPИ веселых гуся: || лОЗ,дАНИЛОВ и кАСПЕPСКИЙ - || Я ОТ НИХ ТАЩУСЯ !!! |+---------------------------------------+





"Beer.3307":


+---------------------------------------+| (c) Испытательный центp || самоходного пpогpаммнoго обеспечения || имени Ячменного колоса |+---------------------------------------+





"Beer.3399":


Lozinsky! I know you to be old beer drinker.How about a mug of beer or two?It would be amazing to meet you at our beer party.You are welcome at Solntsevo railway stationAbout 17.00 p.m. every friday and wednesday.





"Beer.3490":


AIDS617.EXEEGA - text mode demonstrationCopyright (c) by Wadim 1990.I love you ,Ann !ANNAWadim S.





"Beer.3774":


+---------------------------------------+| (c) Испытательный центp || самоходного пpогpаммнoго обеспечения || имени Ячменного колоса |+---------------------------------------+Beer-2850/3109 (См. AIDSVIR.TXT)************************************************************************** Если "тот" вирус играл "Семь сорок",то что же тогда играет этот, если ** учесть, что в этом другая мелодия и называется она как раз "8-51" ** RESUME:Дедушке LozInSky (ю) давным-давно пора на пенсион !!! Да-с-с-с ** И в музыке ты не Х. не разбираешься ! Поучись лучше у меня !!!!!!!!!! **************************************************************************





"Beer.2X2.3434":


DISKDATA.DTL VIRUSES.INF A-DINF-%.%%% DIRINFO REPORT.WEB REPORT.TXTADINF-C.LOG ADINF-D.LOG ADINF-E.LOG ADINF-F.LOG ADINF-G.LOG CHKLIST.MSAVPTSR.EXE -D.COM -D3.COM VSAVE.EXE ANTI4US.EXE F_PROT.LOGCOMMAND.COM AIDSTEST.EXE******************************************* Русская народная песня Калинка-Малинка ** Исполняется впервые ******************************************************************************* В семье все взвесив заново ** Решили окончательно: ** Компартию Зюганова ** Поддержим Обязательно !!! ************************************





"Beer.2X2.3441":


DISKDATA.DTL VIRUSES.INF A-DINF-%.%%% DIRINFO REPORT.WEB REPORT.TXTAVPTSR.EXECOMMAND.COM AIDSTEST.EXEThis is a LAST VERSION of Virus Beer(c) 1992 by BEER (MSU) and(c) 1993-96 by Gurre (MGAP)Good Bye !Вируски семейства пиво были написаны в 1992-1996 by Я&Я corp. Эта версия вышла в свет 20 Апреля 1996 года. Москва, Старые Черемушки





"Beer.2X2.3522":


DISKDATA.DTL VIRUSES.INF A-DINF-%.%%% DIRINFO REPORT.WEB REPORT.TXTADINF-C.LOG ADINF-D.LOG ADINF-E.LOG ADINF-F.LOG ADINF-G.LOG CHKLIST.MSAVPTSR.EXE -D.COM -D3.COM VSAVE.EXE ANTI4US.EXE F_PROT.LOGCOMMAND.COM AIDSTEST.EXE******************************************* 2Х2 - Четыре, 2X2 - Четыре !!!!! ** (а не 3, а не 5 - это надо знать !!!!! ******************************************************************************* Эх-ма, Эх-ма ** Вышли Н Е П О Н Я Т К И;** Голосуй за Борового- ** И будет все в порядке ! ************************************





"Beer.2X2.3612":


DISKDATA.DTL VIRUSES.INF A-DINF-%.%%% DIRINFO REPORT.WEB CHKLIST.MSAVPTSR.EXECOMMAND.COM AIDSTEST.EXEСергей Мавроди - П И Д О Р !!! Вам псина улыбнулась !!! <-------Прочтите справа налево - выйдет палиндром (сырой)************************************ В семье все взвесив заново ** Решили окончательно: ** Компартию Зюганова ** Поддержим Обязательно !!! ************************************







Демонстрации вирусных эффектов:

BEER.COM



Beethoven

Осень опасный резидентный самошифрующийся вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своиего внутреннего счетчика и значения системного таймера вирус записывает в файлы и MBR винчестера троянскую программу, которая при запуске выводит сообщение и проигрывает мелодию:

Beethoven is here.... And now, enjoy the music...




Демонстрации вирусных эффектов:

BEETHOVE.COM



Before.2915

Неопасный резидентный вирус. Написан на языке Ассемблер, "рабочий" код вируса - 1164 байт. Однако вирус затем был запакован при помощи AIN, в результате чего код вируса вырос до 2915 байт (упакованный "рабочий" код и код распаковщика).

Вирус перехватывает INT 21h и записывается в начало запускаемых COM- и EXE-файлов. Не заражает файлы: CO*, WI*, EM*, SH*, GD* (COMMAND, WIN, EMM386, ...). В зависимости от видео-режима и таймера запрещает запуск программ (блокирует работу игр?). Содержит строки:

COWIEMSHGDBEFORE.CE.1136 (C) PC Soft Club







Belorussia, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в середину запускаемых .COM-файлов. При заражении ищут в файле область, содержащую постоянный байт, и записывает туда свой код. Вирусы содержат строку:

Belorussia!






Bengal, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, при этом заражают файлы только при нажатом ScrollLock. При инсталляции поражают файл COMMAND.COM. Содержат строки:

COMSPEC=# Bengal Tiger, v3p0x ## By Trurl, the great constructor, 1993## Buenos Aires, Argentina #Trurl



"Bengal.1170" также содержит строки:

Special Thanks To Bottaro, for all he the knowledge he gave me, and to all the CNBA computer for leting me spread my first viruses! EL TOPO SANGUINETTI CARECE DE MIEMBRO ERECTIL Cyberpunks, Hackers, Phreakers, Crackers, Viruckers detodo el mundo: UNIOS! El digital Underground se mueve violentamente: Preparense! Un Mensaje de TтUтLTrurl





Berlin, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Уничтожают файлы: CHKLIST.TAV, TNTVIRUS.SUM, CHKLIST.MS, CHKLIST.CPS. Также пытаются (безуспешно) стирать сектора винчестера. Содержат строку:

[ GrEEtZ fr0m ThE BeRliN UnDeRgRoUnD! Thiz ViRuS wAs wRiTTen bY Nitrate.






BerlinHQ.434

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. Выводит текст:

Type "XeroX rulez!" or die !


затем ждет ввода строки "XeroX rules!" и, если строка введена неправильно, то завешивает компьютер. В противном случае выводит сообщение:

Call our Berlin HQ ++49-30-7069929 !






Berserker

Очень опасный резидентный полиморфик -стелс -вирус. Перехватывает INT 8, 21h и проверяет функции DOS открытия, закрытия и выполнения файлов. При открытии зараженного файла лечит его, при закрытии COM- и EXE-файлов записывается в их конец, при запуске файла сначала лечит его, а затем снова заражает. Стирает сектора дисков (заполняет их строкой "Berserker"), также стирает CMOS. При этом выводит сообщение:

Its time for me to commit suicide! I'm taking you with me! Can you handle a Berserker Death frenzy?I GUESS NOT! HAHAHA!



Также содержит строки:

Berserker Death by Voxuzkin! ATM0S7=999DT911







BestWishes, семейство

Резидентные очень опасные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при их открытии или запуске. При каждом пятом заражении модифицируют BPB Boot-сектора текущего диска: уменьшают на единицу (если при этом текущий день -"тринадцатая пятница", то обнуляют) содержимое слова, указывающего число кластеров на диске. "BestWishes.970" очень грубо работает с памятью и файлами и в результате может завешивать систему и портить файлы.





BetaBoys, семейство



BetaBoys.441

Нерезидентный безобидный вирус, ищет .COM-файлы и записывается в их конец. Никак не проявляется. Содержит строки:

-+( Severe Head-Ache Virus V2.oo )+-Created by The Vile One & MaZCopyright (c)1992 The BetaBoys Development Corp.-Sweden 04/19/92-





BetaBoys.450

Неопасный резидентный вирус. Копирует себя в системную область DOS, перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. При запуске SCAN.EXE выводит текст:

THE WORLD WiLL NEVER FORGETT US! -BetaBoys-


Также содержит строку:

Blood Rage (c)1992 The BetaBoys




BetaBoys.459

Нерезидентный очень опасный вирус, ищет .COM-файлы и записывается в их конец. Уничтожает файлы:

c:\autoexec.batc:\config.sys\windows\win.com



Также стирает сектора дисков, содержит тексты:

*.com C:\Command.Com C:\Autoexec.Bat C:\Config.Sys \windows\win.comWhy Windows (c)1992 MaZ / BetaBoys B.B





BetaBoys.457,538

Очень опасные нерезидентные вирус, ищут .COM-файлы и записываются в их конец. 12-го мая и 25-го февраля стирают сектора дисков C:, D: и E:.

"BetaBoys.538" зашифрован, содержит тексты:

*.COM:+:+ The Data Molester Virus V1.oo +:+:(c)1992 MaZ & The Vile One / The BetaBoys Development Corporation.



"BetaBoys.457" содержит тексты:

*.COM-+( Severe Head-Ache Virus V2.oo )+-Created by The Vile One & MaZCopyright (c)1992 The BetaBoys Development Corp.-Sweden 04/19/92-





BetaBoys.575,615

Опасные резидентные зашифрованные вирусы. При запуске копируют себя в оперативную память по адресу 9000:0100 без коррекции MCB блоков. Это может вызвать зависание компьютера. Затем вирусы перехватывают INT 21h и записываются в конец COM-файлов при их запуске. Содержат в себе строки:

"BetaBoys.575" -


Mexican Mud (c)1992 MaZ The BetaBoys Development Corp. +Sweden+



"BetaBoys.615" -


DEATH RATTLE V1.OO (c)1992 The BetaBoys Development Corp. +S+W+E+D+E+N+





Демонстрации вирусных эффектов:

BETABOYS.COM



Beware.442

Очень опасный нерезидентный вирус. Ищет .COM-файлы в текущем каталоге и записывается в их конец. В понедельник 1-го числа стирает несколько секторов флоппи-диска. Содержит текст:

BEWARE ME - 0.01, Copr (c) DarkGraveSoft - Moscow 1990






BF.677

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. При инсталляции в память также заражает файл E:\COMMAND.COM, если таковой присутствует. Вирус также перехватывает DOS-функцию OpenHandle и блокирует открытие файлов *.?BF (DBF?).





BG, семейство



BG.1348

Неопасный резидентный зашифрованный вирус. Перехватывает INT 8, 21h и записывается в конец EXE-файлов при их запуске или переименовании. В апреле возвращает неверные данные при вызове DOS-функции GetTime. В январе выводит текст:

Seems so simple nowNow that the sky is clearMaybe the road was toughBut at last we're hereI've nothing to hide from youNothing to explainJust this vision of broken wingAnd the raven cries in pain...



Enter the name of song:


Затем вирус ждет ввода строки, подсчитывает ее CRC и завешивает компьютер, если введена неправильная строка.

В зависимости от своих счетчиков осыпает символы на экране, выводит большими буквами:

Б.Г.




BG.2135

Неопасный резидентный зашифрованный вирус. Перехватывает INT 8, 21h. При вызове DOS-функций CreateDir, ChangeDir, Close, Execute, Get/Set FileAttributes, Rename вирус ищет COM- и EXE-файлы и записывается в их конец.

Если одновременно нажаты клавиши F12, NumLock, CapsLock и ScrollLock, вирус выводит текст:

И, может быть, тогда откроется дверь, И звезды замедлят свой ход. И мы встанем на пристани вместе,Взявшись за руки, глядя на парусный флот.



Содержит строки:

=> БГ Virus0 Ver. 2.0 <=*.COM *.EXE





BG.3178

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. Выводит текст:

Рок-н-ролл мертв, а я еще нет...


В файлы с расширениями TXT, PAS, CPP, DIZ, NFO записывает один из текстов:

Я буду учиться не оставлять следов,Учиться мерить то, что рядом со мной:Землю - наощупь, хлеб и вино - на вкус,Губы губами, небо - своей звездой;Я больше не верю в то, что есть что-то еще;А глаза с той стороны прицела ясны.Все назад! Я делаю первый шаг,Я начинаю движение в сторону весны...



То ли вынули чеку,То ль порвалась связь времен.Подружились господа,Да с Господней сранью.На святой горе МонмартрЕсть магический Семен,Он меняет нам тузыНа шестерки с дрянью.Раньше сверху ехал Бог,Снизу прыгал мелкий бес,А теперь мы все равны,Все мы анонимы.Через дырку в небесахВъехал белый Мерседес,Всем раздал по три рубляИ проехал мимо...



Также содержит строку:

=> БГ Virus0 Ver. 3.0 <=




Демонстрации вирусных эффектов:

BG.COM



BGU, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h, 28h и записываются в конец COM- и EXE-файлов при обращениях к ним. Через некоторое время после инсталляции выводят бело-красно-белый флаг (Белорусский флаг до референдума 1995г) и пищат системным спикером (на старых XT - это мелодия из кинофильма "Крестный отец"). Вирусы содержат строку:

BGU 1992




Демонстрации вирусных эффектов:

BGU.COM



BigMouse, семейство

Резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. Содержат в себе строку "SCANCLEAVIRSF-PRCPAV" и не поражают файлы с именами из этой строки (SCAN*.*, CLEA*.*, VIRS*.*, F-PR*.* и CPAV*.*).

23-го ноября "BigMouse.900" сообщает:

G+A=Press a key to go on



По 23-м числам ежемесячно "BigMouse.1007" выводит текст:

BigMouse and Anna love each otherPress any key to go on



"BigMouse.998" в апреле стирает сектора дисков. Содержит строку:

-=GC73=-






BigV.1441

Неопасный резидентный зашифрованный вирус. Перехватывает INT 8, 10h, 16h,21h и записывается в конец COM-файлов при их запуске. В зависимости от своих счетчиков проявляется какими-то эффектами. Содержит строку:

* Beetlejuice Testversion 2.0 by 'BIG V', Magdeburg (D) Nov'92 *






Billy.836

Безобидный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Содержит строки:

*.EXEHi folks, I'm the Billy Ray Virus and I'm here to sing my number onesmash hit, Achey Breaky Hard Disk. +------ ++0000=-+------| -----\---------+ / |0000=-| @ +++ | |# |0000=-| -> |#|0=- 000|--------|---|0000=-| @ +++ | |# |0000=-+------| ------/---------+ \ | +------ ++







BillBoard, семейство

Безобидные нерезидентные самошифрующиеся вирусы. При запуске ищет .COM-файлы ("BillBoard.835") или .EXE-файлы ("BillBoard.540") и записываются в их начало. Содержат строки:

"BillBoard.540":


Billboard Variant VirusI eat EXEs fer lunch! HA HA HA





"BillBoard.835":


Billboard 1.0, (c)1993 Slююzю [Nuke].Jeff K. - You are a lying prick, just like all politiciansPatty - This was written from the ground up, in AustraliaAlan - You are wasting your time chasing Rock SteadyFrisk - Pull your head out of your ass, [NuKE] is way ahead of you AV wankersJohnny - Scan is just too lame to worry about ha ha







Billiard.2658

Неопасный резидентный частично зашифрованный вирус. Является вириантом вируса "Meihua" . При запуске перехватывает INT 1 и расшифровывает себя используя антиотладочные приемы, затем перехватывает INT 9 (клавиатура) и остается резидентно в памяти. При вызовах INT 9 вирус перехватывает INT 2Fh и восстанавливает первоначальный адрес INT 9. При вызовах INT 2Fh вирус проделывает те же действия, но наоборот: перехватывает INT 9 и восстанавливает INT 2Fh. Таким образом, в каждый момент времени вирус перехватывает либо INT 9, либо INT 2Fh.

При вызовах функции INT 2Fh, AX=AE00h (COMMAND INSTALLATION CHECK - этот вызов происходит при запуске копии командного процессора COMMAND.COM), если командныя строка начинается со строки DIR, вирус ищет .COM- и EXE-файлы и записывается в их конец. На время работы DIR вирус временно перехватывает INT 21h и "уменьшает" длины зараженных файлов при вызовах FindFirst/Next.

По 31-м числам проявляется видео-эффектом - играет в бильярд с символами на экране.



Демонстрации вирусных эффектов:

BILLIARD.COM



Bios.2048, семейство

Резидентные вирусы, перехватывают INT 9, 1Ch, 21h и поражают COM- и EXE-файлы. "Bios.2048.a,b" безобидны, зашифрованы. Периодически пищат динамиком компьютера. Содержат тексты:

Producted by Mr.Watshira Sae-eu KMIT-NB Date 12/28/1990 BIOSBIOS



"Bios.2048.c" опасен. 28-го декабря стирает первые физические сектора дисков. Содержит строку:

We are PRO Version 1.0 Producted by Mr.Watshira Sae-eu KMIT-NBDate Dec 28,1990 See U Next Version. BIOS SOIB 12281972279182211







Bishkek.319

Очень опасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. По 31-м числам стирает MBR винчестера, по 22-м числам расшифровывает и выводит текст:

Scorpions by Sch(5) in Bishkek




Bishkek.559

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Содержит строку:

Bishkek software *.* My rights reserved 23.08.1994. *.com






Bishop, семейство

Очень опасные нерезидентные полиморфик -вирусы. Ищут .COM-файлы и записываются вместо них. Используют нестолько уровней самошифровки, некоторые части кода и данных зашифрованы более чем шесть раз. Вирусы также используют антиотладочные приемы. Содержат в себе строки, некоторые из которых иногда выводятся на экран:

"Bishop.2855":


STOP HERE!CULOWe are waiting for..A mutant BISHOP in this program21-3-93, milan-PARMA : 0-1.*.COM-BISHOP-



"Bishop.4517":


WHY DEBUGGER?PARMA CAMPIONE !!!!!!!!ANOTHER YEARA mutant ROOK in this program*.COM- UAH UAH UAH! Non puoi fregare ROOK come fregasti BISHOP! -- ROOK -The ROOK virus !!!Understand?DECEMBER VERSIONA variant of the DECEMBER VERSION+---+-----------------------+---+| R | n | b | q | k | b | n | R |+---+---+---+---+---+---+---+---+| p | p | p | p | p | p | p | p ||---+---+---+---+---+---+---+---|| | | | | | | | ||---+---+---+---+---+---+---+---|| | | | | | | | ||---+---+---+---+---+---+---+---|| | | | | | | | ||---+---+---+---+---+---+---+---|| | | | | | | | ||---+---+---+---+---+---+---+---|| p | p | p | p | p | p | p | p |+---+---+---+---+---+---+---+---+| R | n | b | q | k | b | n | R |+---+-----------------------+---+







BitAddict, семейство

Резидентные вирусы, перехватывает INT 21h и записывается в конец файлов.



BitAddict.432,477

Очень опасны. Копируют себя в видео-память, заражают COM-файлы. 100-е поколение вируса стирает сектора дисков и сообщает:

The Bit Addict says:"You have a good taste for hard disks, it was delicious !!!"



Вирусы содержит также строку:

BIT ADDICTMZ




BitAddict.512.a,b

Очень опасны. "BitAddict.512.a" зашифрован. При запуске вирусы заражают файл COMMAND.COM. Копируют свою TSR-копию в системные буфера, заражают только COM-файлы.

"BitAddict.512.a" стирает сектора дисков, содержит строку:

Bit Addict\COMMAND.COM


100-е поколение вируса "BitAddict.512.b" стирает сектора дисков и сообщает:

Bit Addict says:"You have a good taste for hard disks, it was delicious!"





BitAddict.979,1190,1459,1601

При запуске ищут строку "COMSPEC=" и заражают файл, на который сия строка указывает. Копируют свою TSR-копию в системные буфера. Некоторые из этих вирусов трассируют INT 21h. Записываются в COM- и EXE-файлы.



"BitAddict.1459,1601" стирают сектора дисков, остальные вирусы - безобидны.

Содержат строки:

"BitAddict.979": COMSPEC=BIT ADDICT 2.00"BitAddict.1190": COMSPEC=BIT ADDICT 2.10"BitAddict.1459": COMSPEC= 12/19/91"BitAddict.1601": COMSPEC=Bit Addict Version 3







Bizarre

Безобидный резидентный полиморфик -вирус. Перехватывет INT 21h, 2Fh и записывается в начало COM-файлов при обращении к ним. Содержит строку:

Bizarre by Dreamer


Содерижит участки кода с грубыми ошибками, однако обращения к этому коду не происходит - вирус оправдывает свое название.





BJK.2814

Очень опасный резидентный вирус. Перехватывает INT 13h, 16h, 21h, 40h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при обращениях к ним. Перехватывает большое число разнообразных вызовов INT 13h,16h,21h,40h и самостоятельно обрабатывает их (симулирует присутствие каких-то резидентных программ?). Подсчитывает CRC своего кода и стирает сектора дисков если этот код изменен. При удалении подкаталогов выводит картинку:

EN BUYUK KARA KARTAL CIMBOM,U SOYDULAR FENER,E KOYDULAR SAMPIYON OLDULAR##########%%%%%%%%%###################%%#####%%########%%##################### %% %% %% %%##########%%#######%%#################%%#####%%######%%####################### %% %% %% %% %%##########%%########%%################%%#####%%####%%######################### %% %% %% %% %%##########%%#######%%#################%%#####%%%%%%########################### %% %% %% %% %%##########%%#######%%#################%%#####%%####%%######################### %% %% %% %% %%##########%%########%%########%%######%%#####%%######%%####################### %% %% %% %% %% %%##########%%#######%%#########%%######%%#####%%########%%##################### %% %% %% %% %% %%##########%%%%%%%%%############%%%%%%%%######%%##########%%################### BJK BJK BJK BJK BJK BJK BJK BESIKTAS BJK BJK BJK BJK BJK BJK BJK BJK BJK







Black.1000, семейство

Неопасные нерезидентные самошифрующиеся вирусы. Ищут выполняемые файлы и записываются в их конец. "Black.1000.a" заражает только COM-файлы, "Black.1000.b" - COM и EXE.

29-го ноября вирусы сообщают:

Your computer is breaking . . .


и завешивают компьютер. Вирусы также содержат текст:

Black Hacker's revenge.






BlackAdder.1015

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает файлы: *AV.*, *AN.*. Уничтожает файл CHKLIST.MS. Cодержит строки:

Black Adder(C)94/95-made in Italy by Doctor Who--Life's a journey not a destination...-CHKLIST MSWh







BlackIce.1930

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Не заражает антивирусы SCAN, CLEAN, F-PROT. Начиная с августа стирает все файлы во всех каталогах текущего диска, при этомвыводит список уничтожаемых файлов:

+--------------------+|Deleted <filename1> | Don0t Worry BlackIce is Working for U|Deleted <filename2> | Don0t Worry BlackIce is Working for U. . .|Deleted <filename > | Don0t Worry BlackIce is Working for U+--------------------+



Также содержит строку:

<BlackIce> by Phil Katz ITALY. See U Soon






BlackMonday

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске. По понедельникам после заражения очередного .COM-файла форматирует винчестер. Содержит текст:

Black Monday 2/3/90 KV KL MAL






BlackSlash.813

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Не заражает файлы: TB*, SC*, KR*, WI*, F-* (антивирусы и Windows). Содержит ошибки, в результате чего портит некоторые файлы при их заражении или завешивает систему при инсталляции в системную память. Содержит строки:

G:\LoGiN\LoGiN.eXeFAIRGROUND (c) BlackFlash!







BlackSun.2372

Очень опасный резидентный зашифрованный стелс-вирус. Трассирует и перехватывает INT 21h, затем записывается в конец COM- и EXE-файлов при обращениях к ним. При открытии зараженного файла лечит его, а затем снова заражает при закрытии файла.

При открытии файла вирус также проверяет его имя и собержимое. Если имя файла CHKLIST, или файл собержит строку (большими/маленькими буквами):

DISKINFOSCOPE


то вирус уничтожает файл.

В зависимости от системного времени вирус меняет символы на экране - прописные на строчные и наоборот. Вирус также содержит строку:

BlackSun v1.0 "Shaker"




Демонстрации вирусных эффектов:

BLACKSUN.COM



BlackWind

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. По 6-м числам форматирует винчестер и выводит сообщение (частично испорченное):

BLACK WIND VIRUS...Copyright (C) 1992, Destructive Technologies, Unlimited.







Blava.787

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при обращениях к ним. Содержит строку:

BLAVA 3.0 by RGB






Blaze.284

Очень опасный нерезидентный вирус, записывается вместо .COM- и .EXE-файлов текущего каталога. Содержит строку "*.com *.exe", выводит сообщение:

The Eternal Blaze Virus has been unleashed...Beware!






Blazer.1000

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет файл C:\COMMAND.COM, затем .COM-файлы текущего каталога и записывается в их конец. Перед тем, как вернуть управление программе-носителю вирус проверяет системную дату и время. Если номер дня равен номеру месяца, а текущий час - минутам, то вирус стирает файлы текущего каталога и выводит текст:

/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\\ CSEG:OFFS OPCODE PSEUDO INSTR. // 1F47:0103 90 NOP \\ 1F47:0104 0000 ADD [BX+SI],AL // 1F47:0106 E80000 CALL 0109 \\ 1F47:0109 5D POP BP // 1F47:010A 81ED0901 SUB BP,0109 \\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/ -=0сL/\ZфR0=- (c)'1994



Вирус также содержит строки:

*.com c:\command.com *.*






Blind.549

Опасный нерезидентный вирус. Ищет .COM-файлы (кроме COMMAND.COM) в текущем каталоге и каталогах, отмеченных в PATH=, и записывается в их конец. По причине ошибок иногда портит файлы при заражении. Содержит строки:

=Blind Guardian 1995=PATH=*.COM







Blink.501

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h, 65h и записывается в конец COM-файлов при их запуске. INT 65h используется при инициализации вируса, INT 21h - для заражения файлов, INT 1Ch - при вызове видеоэффекта. Видеоэффект вызывается после заражения 4-го файла: вирус "мигает" экраном.



Демонстрации вирусных эффектов:

BLINK501.COM



Blinker

Резидентный неопасный вирус. Перехватывает INT 8, 21h и записывается в конец запускаемых COM-файлов. Периодически что-то творит с видеопортами. Содержит строку:

Blinker






Bljec, семейство

Опасные нерезидентные вирусы, ищут и заражают COM-файлы текущего каталога. Записываются в начало файлов.

У некоторых вирусов семейства начало кода содержит текстовую строку:

"Bljec.440": Digital F/X Virus - Created on 2/5/92 by Phoney Phreak"Bljec.441": XYZVirus 1.0 - Buddy and Chloe 5/27/89



Эти строки выполняются как код, однако в этом коде присутствуют команды процессора i286/386.

Вирусы также содержат строку "*?.com". В сентябре "Bljec.300,307" стирают сектора дисков и сообщают:

Sad virus - 24/8/91






Blood.418

Неопасный нерезидентный вирус. При старте ищет .COM-файлы текущего каталога и записывается в их конец. Периодически выдает текст:

File infected by BLOOD VIRUS version 1.20






Bloodlust.302

Нерезидентный очень опасный зашифрованный вирус, ищет и записывается вместо всех *.C* файлов текущего каталога. Содержит текст:

Hi! This is the virus Blood Lust striking! Sorry to tell you, but your system is infected.*.C*





BloodyRevenger

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В некоторых случаях удаляет все файлы из корневого каталога текущего диска, а затем создает файл ZXKMORD.UPA. Вирус содержит строки:

п> Bloody Revenger :( , ver. 1.0 - (c) Saint R. 1994 <оZXKMOR dupa*.COMCOMSPEC







BloodyWarrior

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращении к ним. 4-го июля стирает FAT текущего диска и записывает в boot-сектор строку:

Hello, world ! I am the Bloody Warrior. Nice to meet you. What about this virus ? Funny ? There is no hope for you. This virus was released in Milan 1993. Bloody Warrior

Вирус также содержит строку "SCANSTOPSHIELDCLEANCVDEBUGTD" и не заражает файлы с именами из этой строки. Также содержит строки:

FUCK YOUEXECOM







Blos.1087

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. Никак не проявляется, содержит строку:

The BLOS SUX - Kill J. Brienen, J. Robbins, J. Dijkstra and therezzt....(C) 1993 YAB - spreading is allowed hehehehe....







BlueNine, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске или при обращении к ним функциями FindFirst/Next. Содержат строки:

"BlueNine.925": 00- Blue Nine Virus by Conzouler 1994 -00"BlueNine.1725": >-/\-> The_Cranberries virus <-/\-(



"BlueNine.925" безобиден, никак не проявляется.

"BlueNine.1725" в зависимости от системного таймера выводит текст:

Lying in my bed againAnd cry cos you're not hereCrying in my head againAnd I know that it's not clearPut your hands, put your handsInside my face and see that it's just youBut it's bad and it's mad and it's making me sadBecause I can't be with youBe with you, be with you, be with youBaby I can't be with youThinking back on how things wereAnd how we loved so wellI wanted to be the mother of your childAnd now it's just farewellPut your hands in my handAnd come with me, and find another handAnd my hand my handOn anyone's sholderCause I can't be with youBe with you, be with you, be with youBaby, I can't be with youCause you're not here, you're not hereBaby I can't be with you







BMBB.766

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. В некоторых случаях выводит одно из сообщений:

Call this virus what you will.Boza still makes Bontchev barf :P



Bad command or file name


Также содержит строки:

'Boza makes Bontchev Barf' by Metabolis*.c?m *.lzh



После заражения COM-файлов ищет LZH-архивы и добавляет к ним файл BB.COM, который при запуске выводит текст:

I'd like to dedicate this useless com fileto all the people I met while I was in vlad.Metabolis







BNB.1278

Опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Записывает в неиспользуемую область MBR cтроку текста, затем выводит ее на экран:

Phalcon/Skism was here!Guns N' Roses - Get in the ring

--------------------------------

And that goes for all you punks in the pressthat want to start shit by printin' liesinstead of the things we said.That means you Andy Secher at Hit Parader,Circus Magazine, Mick Wall at Kerrang,Bob Guccione Jr at Spin.What, you pissed off cuz your dad gets morepussy than you?Fuck You! Suck my fuckin' dick!



You be rippin' off the fuckin' kidswhile they be payin' their hard earnedmoney to read about the bandsthey want to know about.Printin' lies startin' controversy.You wanta antagonize me?Antagonize me motherfucker! Get in the ring motherfuckerand I'll kick your bitchy little ass!Punk!!!



Также содержит строки:

*.COM \*.COM \DOS\*.COMBeware the Beast-N-Black (c) 1992-95, Night Crawler - Phalcon/Skism 3.1







Bob.718

Очень опасный нерезидентный вирус, сканирует дерево подкаталогов и записывается в начало .COM-файлов. Содержит строки "*.COM", "COMMAND.COM". В 1993 году записывает в файлы небольшую программу, которая при старте сообщает:

Program terminated normally






Bobas, семейство

Опасные резидентные вирусы. Перехватывают INT 9, 21h и записываются в конец EXE-файлов при их запуске или открытии. В зависимости от своих счетчиков выводят сообщение и портят CMOS:

"Bobas.754": VIRUS :BOBAS v1.1"Bobas.814": VIRUS :BOBAS v1.2







Bobby.513

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. По причине ошибки портит файлы, длины которых кратны 100h (256). По пятницам расшифровывает и выводит текст:

Пpивет, я - безобидный виpyс Bobby Friday.Я не пpичиню вpеда вашемy компьютеpyЯ только бyдy говоpить по пятницам, чтомоемy автоpy очень нpавится девyшка по имени СВЕТА.







Bobo, семейство

Резидентные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов. Содержат строку: "BOBO".

"Bobo.427,530" неопасны, заражают файлы при их запуске. "Bobo.530" перехватывает также INT 1Ch. В зависимости от текущей даты выводят сообщения:

"Bobo.427": Help Croatia NOW !"Bobo.530": Happy birthday,Bobo!



"Bobo.1355,1363" очень опасны, зашифрованы, заражают файлы при обращении к ним. Перехватывают также INT 09h и в зависимости от текущей даты выводят сообщение или записывает в MBR фразу:

Welcome to Bobo virus !Written in the town of Zagreb.Copyright (C) by Boris P., September 1992Love goes to Ivana H.I'll be back ...







Body.884

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущего времени выводит текст:

BODYBUILDING!


Также содержит строку:

OpalSoft






Bog.233

Безобидный нерезидентный вирус. Ищет Windows EXE-файлы и записывается в их DOS-часть. Делает это достаточно любопытным способом. Вирус использует тот факт, что многие Windows EXE-файлы содержат DOS-код, который выполняется при запуске файла под DOS. Причем эта часть кода имеет практически одинаковый формат в различных Windows EXE-файлах. Этот код содержит строку типа "This program requires Microsoft Windows." и несколько инструкций ассемблера, которые выводят это сообщение и возвращают управление DOS. Обычно эти инструкции выглядят так:

MOV AH,9INT 21h ; вывести сообщениеMOV AX,4C01hINT 21h ; вернуться в DOS



Вирус считывает первые 80h байт кода DOS'овской программы и ищет в ней строку "WIN" или "Win". Если строка найдена, вирус ищет инструкции ассемблера, приведенные выше. Если этот код присутствует, вирус записывает 233 байта своего кода сразу после него, стирая последний вызов INT 21h.

MOV AH,9INT 21h ; вывести сообщениеMOV AX,4C01hCALL $+3 ; код вируса



При запуске под Windows зараженный файл будет работать как обычно. При запуске из DOS файл выведет сообщение о необходимости присутствия Windows, а затем начнет действовать вирус.

Вирус также содержит строку:

BOG (C) '93 by GROG - Italy






Boing.349

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строку:

[BOING]






Bolek.1326

Неопасный резидентный вирус. При старте ищет EXE-файлы и заражает их. Затем перехватывает INT 21h и поражает EXE-файлы при их запуске. При заражении записывается в конец файлов. Перехватывает также INT 1, 3, 9, 15h, 1Ch и в зависимости от некоторых условий выводит на экран различные символы. Вирус содержит строку:

Bolek






Bolero, семейство

Очень опасные резидентный зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при их запуске, открытии или при вызовах DOS-функций FindFirst/Next. Содержат ошибки и могут испортить файлы при заражении, а также заразить файлы данных.

Вирусы перехватывают также DOS-функцию Write и в зависимости от системного таймера портят файлы при записи в них - вирусы записывают в файлы строки:

"Bolero.1000.a": RAVEL - BOLERO."Bolero.1000.b": HANDEL - Carmelite Vesperes."Bolero.1254": Divide Overflow"Bolero.1300": divide overflow"Bolero.1470": Divide Overflow



При запуске "Bolero.1300" заражает также файл C:\DOS\FORMAT.COM. При запуске CHKDSK.EXE, SCANDISK.EXE или NDD.EXE этот вирус не заражает и не портит файлы.





Bomb.1492

Очень опасный резидентный вирус. Остается в памяти резидентно при запуске зараженного COMMAND.COM, перехватывает INT 21h и записывается в конец файлов COMMAND.COM при запуске или открытии файлов, при вызове команды DOS GetDiskSize (AH=36h). В зависимости от текущего времени стирает сектора дисков и выводит сообщение:

---- C h i n e s e B o m b ---- ( Made in China 1989 )



Также содержит строку:

a:\command.com B:\command.com C:\command.com D:\command.com \command.com






Bomber

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и заражает COM-файлы, кроме COMMAND.COM, при их запуске. Содержит внутри себя тексты:

COMMANDER BOMBER WAS HERE[DAME]



Характерной чертой этого вируса является то, что он использует довольно необычный полиморфик-алгоритм. При заражении вирус считывает 4096 байт из середины файла и переносит их в его конец. Себя он записывает в образовавшуюся 'дыру' и приступает к генерации полиморфик-кода. Вирус содержит несколько подпрограмм генерации случайного (но вполне работоспособного!) кода, который записывается в случайные места заражаемого файла. В этом коде может присутствовать около 90% всех инструкций процессора i8086. Управление из одного участка в другой передается командами CALL, JMP, RET, RET xxxx. Первый участок записывается в начало файла, а последний передает управление на основное тело вируса. В итоге зараженный файл выглядит как бы покрытий 'пятнами' кода вируса, а процедура обнаружения основного тела вируса становится чрезвычайно сложной.





Bomzh.3809

Очень опасный резидентный зашифрованный стелс -вирус. Перехватывает INT 17h, 21h и записывается в конец EXE-файлов при их запуске или закрытии. При открытии или переименовании файлов лечит их (стелс). При работе архиваторов RAR.EXE, PKZIP.EXE, ARJ.EXE, ICE.EXE, HA.EXE выключает стелс. Уничтожает файлы:

VSWAP.WL?ILLURIA.MAP*.WAD



При печати документов после запятых добавляет мат. Содержит строки:

Приветствую всех хакеров, читающих этот текст.Этот вирус - типичный "студенческий". Приношу всем пострадавшим от его некорректных действий свои искренние извинения. Он был написан в период летней практики только от скуки. Благодарю за помощь, которую мне оказали: Игоря Данилова(за его VIRLIST), Евгения Касперского(за "Компьютерные вирусы в MS-DOS". Евгений, не пишите больше таких книг - "чайникам" они бесполезны, профи - насрать, а вот вирусописатели...),Карпова Вадима - за литературу, Иванова Олега - за комп. Все замечания в свой адрес приму через FIDONET 2:5033/1.32 с пометкой "Бомжу". Желаю всем жить счастливо! Пока!Ваш Бомж.







Bops.900

Очень опасный нерезидентный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. В зависимости от текущей даты стирает CMOS и создает файл BOPS-BOP.S. Вирус содержит зашифрованную строку:

Bops-Bop.s






Border.781

Резидентный неопасный вирус. Перехватывает INT 8, 21h и записывается в конец запускаемых .COM-файлов. Что-то пишет в видео-порты, содержит строку:

BORDERLINE 1990






Born2Loose.970

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Уничтожает антивирусные файлы: CHKLIST.TAV, CHKLIST.CPS, ANTI-VIR.DAT, CHKLIST.MS. В зависимости от своего счетчика стирает сектора дисков. Содержит строки:

chklist.tav chklist.cps anti-vir.dat chklist.msU R BORN 2 LOOSE :-)







Boso, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от текущего времени перехватывают также INT 28h и через некоторое время "переворачивают" символы на экране.

Содержат строку:

ZTS


и:

"Boso.1037": This is BOSO3 virus from Slovakia/Martin Greets goes to Onehalf...plus PL virus!"Boso.1388": This is BOSO2 virus Only house music.....!!!!! Nebojte sa . Znicim iba vas konektor z klavesnice!!!"Boso.1636": This is BOSO1 virus Greetst goes to my family, SVL and other fuckers!!!.....







Bowl, семейство

Неопасные нерезидентные зашифрованные вирусы. При запуске ищут COM-файлы и записываются в их конец. Под отладчиком вешают компьютер. Содержат строку:

How DARE YOU try and trace through my code!!!!FuQn LaMaH!!!



"Bowl.737,742,754,756" также содержат текст:

Toilet Bowl Virus by The Methyl-Lated SpiritThis is generation of this virus version 1.1 <2nd release>Prepare to control your computer as it enters the Toilet Bowl







Boxes.1086

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Иногда перехватывает INT 1Ch и запускает видео эффект.



Демонстрации вирусных эффектов:

BOXES.COM



Boys.500

Нерезидентный неопасный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. У зараженных файлов устанавливает атрибут Read-Only, а у обнаруженных .EXE-файлов - атрибут System. Содержит текст:

The good and the bad boy






BPU.2269

Очень опасный резидентный частично зашифрованный вирус. Перехватывает INT 9 (клавиатура), 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. В зависимости от своего счетчика заражает файл C:\COMMAND.COM.

При каждом вызове INT 9 проверяет INT 1 и блокирует трассировку своего кода. По 22-м числам портит данные, записываемые на диск. 22-го апреля стирает сектора диска, а начиная c 1999 года выводит текст:

W9604 BPU






BR.1180

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и .EXE-файлов. Содержит строки, вторая строка является идентификатором вируса:

.COM.EXEBR







Brackets.1367

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при вызовах DOS-функций FindFirst/Next FCB (команда DIR). По субботам перехватывает также INT 1Ch и пытается проиграть мелодию, однако этот код содержит ошибку и вирус завешивает компьютер. Вирус содержит строку-идентификатор:

()






Bravo!.502

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При каждом 10-м заражении выводит текст:

Bravo!!! continua cosН...


Также содержит строку:

Virus BRAVO! v1.00 Realizzato nel 1992 da R.R.






Breath.3457

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. При окончании работы каждой программы ищет и заражает файлы в текущем каталоге. Не заражает некоторые антивирусы (см. список ниже). Ищет в памяти резидентный монитор TBAV и блокирует его работу. Уничтожает антивирусные файлы данных ANTI-VIR.DAT и CHKLIST.MS.

7-го августа выводит текст:

Now is time to Breath.2 ! (DCB-1997-Romania,NOT Bulgaria ! <read carefuly>)Stay cool,nothing goona happen,just breath !



Затем записывает в MBR виска программу, которая при загрузке выводит:

Starting MS-DOS...Ce e aia , MS - DOS ?Apasati tasta ANY.



Также содержит строки, вторая из которых содержит начала имен антивирусов:

TBMEMXXXTBCHKXXXTBDSKXXXTBFILXXXVDS TB RAV SCAN F- FP CLEAN MSAV NOD VS GUARD AVIX*.COM *.EXECOMMANDBreath.2!







Breeder.5152

Резидентный зашифрованный компаньон -вирус. Перехватывает INT 21h и при старте .EXE-файлов создает .COM-файл с тем же именем, но с расширением .COM, и записывает туда свой код.

Стелс -вирус. Устанавливает у файлов атрибут HIDDEN, контролирует функцию DOS FindNext и не показывает в списке файлы с атрибутом HIDDEN.

Поражает также и Boot-сектор винчестера и COM-файлы. Записывает туда небольшие программки, которые не размножаются, но периодически выводят на экран сообщения:

I greet you user.I am COM-CHILD, son of The Breeder Virus.Look out for the RENAME-PROBLEM !



I greet you user.I am BOOT-CHILD, son of The Breeder Virus.Born



Вирус также содержит текст:

THIS IS THEVIRUS






Brezhnev.974

Неопасный резидентный зашифрованный вирус. Трассирует и перехватывает INT 21h, затем записывается в конец запускаемых EXE-файлов. По воскресеньям сообщает:

10 нoябpя 1982 гoдa пepecтaлo битьcя cepдцeГeнepaльнoгo Cekpетapя ЦK KПCC,Гepoя Coциaлиcтичeckого Tpyдa,чeтыpeжды Гepoя Coвeтckoгo CoюзaЛeoнидa Ильичa Бpeжнeвa ...







Broadcast.1987

Неопасный резидентный стелс -вирус. Перехватывает INT 21h, 2Fh и записывается в конец COM- и EXE-файлов при их закрытии и окончании выполнения программ. При запуске или открытии зараженных файлов вирус лечит их. Перехватывает функции MS-Windows INIT BROADCAST и INIT COMPLETE BROADCAST (INT 2Fh, AX=1605h,1608h) и не заражает файлы между вызовами этих функций. В зависимости от текущего времени проявляется звуковым и видео-"шумом".



Демонстрации вирусных эффектов:

BROADCAS.COM



BrokenHeart.445

Очень опасный резидентный компаньон -вирус. Перехватывает INT 21h и при запуске .EXE-файлов создает компаньон-файлы с расширением COM. В зависимости от текущего времени уничтожает файл C:\CONFIG.SYS, записывает в файл C:\AUTOEXEC.BAT строки:

@ECHO OFFC:\SANDRINE.COM



затем создает файл C:\SANDRINE.COM в который записывает программу, при запуске которой в MBR записывается строка:

Sandrine Baillieux thoughts of you are in my mind  (c)1994 by BrokenHeart


Эта же строка выводится несколько раз на экран.





Brontozavr.1280

Опасный резидентный вирус. Перехватывает INT 19h, 21h и записывается в конец файлов при их запуске. Содержит такое количество ошибок, что для размножения этого вируса приходится применять специальные средства. Заражает файлы как COM (записывает себя в конец файла и команду CALL Virus в начало файла), но заражаются только файлы, имеющие расширение имени, отличное от "COM". Содержит несколько опечаток в своем ассемблерном коде, в результате чаще портит файлы, чем заражает их.

Содержит строки:

AIDSTEST.EXEVirus BRONTOZAVR ,04.04.94 ,by CRAZYCOMMAND.COM







Brothers

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов. Содержит тексты:

Brothers in arm.Copyright (C) 1990. V1.0:*.EXE







Brownie.688

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в середину COM-файлов при их запуске или открытии. По 13-м числам при запуске каждого 3-го зараженного файла вирус проигрывает мелодию и выводит текст:

brownie for Koliada A.I.




Демонстрации вирусных эффектов:

BROWNIE.COM



BrPI, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Содержат строки:

"BrPI.511": (c) by BrPI Version 2.0 '92"BrPI.555": by BrPI '92



"BrPI.483" 1-го апреля сообщает:

Христос Воскрес!


"BrPI.511" никак не проявляется, "BrPI.555" сдвигает экран.



BrPI.Kobrin

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их начало. По 11-м и 23-м числам ежемесячно записывают в boot-сектора дискет и диска C: троянскую программу, которая при загрузке форматирует сектора дисков. Содержат строки текста, "Kobrin.489" выводит вторую строку на экран:

BrPI-KobrinAndy said:Zarin is dangerous!







Bruces.417

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. 17-го октября стирает сектора дисков. Выводит сообщения:

Spiritual Bruces!Caro - will time really heal my inner wounds?Don't run this program the 17:ten of October any year!







Bryansk.673

Нерезидентный неопасный вирус, ищет COM-файлы и записывается в их конец. По пятницам устанавливает атрибут Read-Only у всех файлов текущего каталога. Содержит текст:

BRYANSK 1992, BITE 0.01 (C)






Bubonic.2181

Очень опасный резидентный вирус. Перехватывает INT 21h, 6Bh и записывается в конец .COM- и .EXE-файлов при обращени к ним. При открытии зараженного файла лечит его. Периодически записывает вместо файлов троянскую программу, которая при запуске стирает сектора винчестера и выводит текст: "Ooops, Sorry...". Вирус содержит строку:

Bubonic[BBP],alpha.02a,fixedFCBbug.Soon:tightercode,anti-(debug,heuristics), norunifanti-virusprog.running(FSP,etc.)bettermemorystealthNEW!genetic, algorithmicdarwin-encryptionandadroplibraryofmanyvirii,alllessthan6k!





Budo, семейство

Резидентные очень опасные вирус. При запуске выводят сообщения:

"Budo.890": Run time error Bad command or file name"Budo.1000": Incorrect DOS version



Затем "Budo.890" перехватывает INT 8 (таймер) и INT 9 (клавиатура), некоторое время выжидает, после чего ищет один .COM-файл и один .EXE-файл текущего каталога и записывается вместо них.

"Budo.1000" перехватывает INT 21h и при запуске любого файла ищет и записывается вместо .COM- и .EXE-файлов текущего каталога.

Вирусы содержат в себе строки "*.COM *.EXE" и:

"Budo.890": BUDO V1.2 THСHV FINLAND FLOW LIKE A RIVER - STRIKE LIKE A THUNDER



"Budo.1000": BUDO V1.0 April/92. TСH & HV Finland. Flow like a river - strike like a thunder.







BuenDia.816

Опасный нерезидентный вирус. Ищет .EXE-файлы текущего каталога и записывается в их конец. Портит некоторые файлы при заражении, эти файлы "не лечатся", при запуске они завешивают компьютер. После заражения вирус выводит картинку и сообщение:

+-----------+|BUEN DIA!!!|| Yo soy un || GUSANO. |+-----------+





Демонстрации вирусных эффектов:

BUENDIA.COM



Buffalo.486

Опасный резидентный вирус. Копирует себя в системные буфера, перехватывает INT 21h и записывается в середину EXE-файлов при их обращениях к ним. При заражении файлов записывается в область стека (если эта область находится внутри файла). В результате размер файла при заражении не увеличивается.

Вирус содержит ошибки и может завесить систему при заражении памяти.





Bug, семейство

Неопасные файловые и копманьон -вирусы. При запуске ищут .EXE-файлы и создают компаньон-файлы с расширением COM. Затем ищут .COM-файлы и записывается в их конец. В результате компаньон-файлы оказываются зараженными дважды.

"Bug.920" нерезидентен, "Bug.1497" перехватывает INT 21h и записывается в файлы при их запуске.

Вирусы уничтожают файлы CHKLIST.*. В зависимости от текущей даты меняют шрифт случайно выбранного символа на изображение клопа. Содержат строки:

*.com *.exe c:\chklist.* c:\command.com


и:

"Bug.920": BUG-2.0




Демонстрации вирусных эффектов:

BUG.COM



Buggeroo.1300

Неопасный нерезидентный зашифрованный компаньон -вирус. При запуске ищет .COM- и .EXE-файлы в текущем каталоге, переименовывает их в случайные имена и записывает на диск свой код под именем заражаемого файла. Для того, чтобы запускать на выполнение зараженные файлы, вирус хранит в себе их имена (в которые файлы переименовываются при заражении).

В зависимости от системного времени выводит текст и завешиваает компьютер:

SPAWM




Демонстрации вирусных эффектов:

BUGGEROO.COM



BugsBunny



BugsBunny.282

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы кроме COMMAND.COM и записывается вместо них. Затем выводит текст:

Datei nicht ausfБhrbar. NeujahrsgrБсe von Bugs-Bunny (сцыи-сцууб)Bugs-Bunny Virus, Created by iRS-EB 03848



Также содержит строку:

BB/iRSCOMMAND*.COM




BugsBunny.497

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов (кроме COMMAND.COM) при их запуске. Содержит строки:

COMMAND.COMBUGS BUNNY







Burger, семейство

Опасные нерезидентные вирусы, записываются в начало .COM-файлов текущего диска, при этом портят файлы.

В сентябре "Burger.301" форматирует дискеты и выводит на экран текст:

Sad virus - 24/8/91


Если при заражении файла происходит ошибка, "Burger.560" стирает случайные сектора дисков. Некоторые представители семейства содержат строки: "Function not supported by network'Required system component n".

"Burger.560.b" выводит текст:

MADE OUT!..[GARDEL] VIRUS.Cada dia infecta mejor.By:STONE FIST & CYBER ELFMADE OUT!..STONE FIST &CYBER ELF.[TANGO] VIRUS.Ind. Arg



и стирает сектора дисков.

"Burger.560.h" содержит текст "RB2 - LiquidCode <tm>".

"Burger.1310" выводит текст "Welcome to Twin Peaks..Your PC now has the Twin Peaks virus".

"Burger.1542" заполняет экран цветной абстрактной картинкой.

"Burger.Pirates.609" стирает сектора дисков, пытается форматировать их, содержит текст:

1989 / 1990 Software Pirates - Fast Serial - Portugal






Burglar, семейство

Неопасные резидентные вирусы. "Burglar.1365" зашифрован. Перехватывают INT 21h и записываются в конец EXE-файлов при обращениях к ним. Проверяют имена файлов и не заражают файл, если в его имени присутствуют символы "V" или "S", либо имя файла начинается с символов "CL", "HW", "TB", "F-", "WC", или "TK". Для этого вирусы сравнивают начало имени файла со строкой "CLHWTBF-WCTK" (по два символа на имя).

"Burglar.1150,1365" при вызове DOS-функций GetDiskSpace и DeleteFCB (AH=13h,36h) ищут EXE-файлы в текущем каталоге и заражают их.

"Burglar.1365" в зависимости от системного времени заражает файлы вирусом "SillyOC.100".

В зависимости от текущего времени вирусы выводят тексты:

"Burglar.820": BURGLAR"Burglar.824": BURGLAR!"Burglar.833": BURGLAR/Type D"Burglar.877": BURGLAR/Type E"Burglar.1004": BURGLAR/Type F"Burglar.1050": BURGLAR/G by SVS"Burglar.1150": Burglar/H"Burglar.1365": Burglar/I



Также содержат строки:

"Burglar.777": Burglar"Burglar.1004": [_THE KNIGHT OF A DOLL - PART I_]"Burglar.1050": [Yally lives...somewhere in Mind]"Burglar.1150": AT THE GRAVE OF GRANDMA..."Burglar.1365": Burglar VIRUS (Type I/Last Ver) with Miny1.100 9192/3/12-4/1 by Corean Virus' leader : KOV (Knight Of Virus).







Burma, семейство

Очень опасные нерезидентные вирусы. При запуске ищут первые .COM- и .EXE-файлы текущего каталога и каталога \DOS и записываются вместо них. При заражении проявляют себя видеоэффектом (кроме "Burma.409"). Выводят сообщения:

"Burma.442": [Tempest - р]"Burma.563,666,756": Reading system configuration, please wait. SwizzleStyxx!



Также содержат тексты:

"Burma.442": Rangoon, Burma"Burma.563,756": DarkAvenger



"Burma.409" паражает файлы *.COM, *.EXE, *.ZIP, *.DAT, *.SYS, *.OVL. Он также стирает сектора дисков, содержит строку:

Tempest - т Of LuxemburgVaginal Discharge




Демонстрации вирусных эффектов:

BURMA.COM



Butt.461

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. По пятницам стирает сектора дисков. Содержит строку:

BuTT ViRuS






BVM.831

Очень опасный нерезидентный зашифрованный вирус. Записывается в конец .COM-файлов. При запуске ищет в области Environment строку COMSPEC= и заражает COMMAND.COM. Затем ищет и заражает .COM-файлы в текущем каталоге. 1-го июля стирает FAT диска C:, в зависимости от текущего времени выводит текст:

This program requires Microsoft Windows.


и возвращает управление DOS вместо программы-носителя. Также содержит строки:

*.COM COMSPEC=Made by BVM







Bward.1024

Очень опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец запускаемых EXE-файлов. В зависимости от установленного BIOS'а вирус выводит текст:

Ъdv!


При вводе с клавиатуры 4000-го символа стирает случайно выбранный сектор диска. Содержит строку:

Bward07/25/87






Bye.641

Опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец запускаемых COM-файлов. Если в течении последнего часа не заражено ни одного файла, вирус выводит текст и перезагружает компьютер:

Meня ты cлишкom долго МУЧАЛ ...Пpoщaй, мой друг ! Я УMИPAЮ ...







ByteWipe.1204

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM-файлов, кроме COMMAND.COM. 5-го апреля выводит текст:

ByteWipe V1.00, released: 26/08/95, Croatia


В заголовке зараженных файлов содержится строка:

CYBERpunk






Bel.2124

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Не заражает файлы с именами: CO*, DR*, WE*, AI*, AD*, VB*, AV*, HI*, CH*, CC*. В зависимости от текущей даты уничтожает файлы расширениями: .CFG, .TIC, .PAC, .PAK, .SAV, .WAD и некоторыми другими.

Содержит строки:

0 reBEL.P1 0 БГУ (Belarus). ФПМИ-ламеры!Hi, Mr. Kolyada!