AntiViral Toolkit Pro Вирусная Энциклопедия

Dada.1356

Резидентный неопасный вирус. Перехватывает INT 8, 21h и записывается в конец EXE-файлов при их загрузке в память. В конце зараженного файла присутствует строка "да,да...". Периодически "передергивает" экран: все четные строки на экране циклически сдвигаются влево, а нечетные строки - вправо.

Демонстрации вирусных эффектов:

DADA.COM

Dada_II.786

Безобидный резидентный вирус. Перехватывает INT 21h, 2Fh и записывается в конец COM-файлов при обращениях к ним. Вирус никак не проявляет себя. Название получил по причине своего ID-вызова при заражении памяти: INT 2Fh AX=ABBAh, резидентный код вируса возвращает AX=DADAh.

Daffy.901

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 8, 16h, 21h и записывается в конец запускаемых .COM-файлов. В зависимости от системного времени и своих счетчиков вирус выводит текст, отключает клавиатуру и форматирует винчестер:

POZOR! Ve vasem PC je umistena bomba, ktera vybuchne behem pristich peti sekund!!

Вирус также содержит строку:

<-DfY->V1.0 by M.J.96

Dagger.882

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При заражении очередного файла вирус может (в зависимости от значения системного таймера) записать в случайно выбранный сектор строку:

DaGGER A.S.

Dalian.1366

Неопасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .EXE-файлов при вызове функций FindFirst/Next FCB (команда DIR). Содержит строку:

Gene_1991_in DUT (Dalian China)

В зависимости от своего счетчика выводит текст:

Gene !

Damir.878

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при обращении к ним. При открытии зараженных файлов лечит их. Содержит строку:

(C) DAMIR V.сZadar 1994 :))))))

DAN вирусы

DAN.585

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Уничтожает файлы ANTI-VIR.DAT и CHKLIST.MS. 18-го января стирает CMOS. Содержит строку:

ANTI-VIR.DAT CHKLIST.MS

Dan.1500

Неопасный нерезидентный полиморфик -вирус. При запуске ищет .COM-файлы и записывается в их конец. 1-го августа выводит текст:

Virus 786 Version 3.00Zeta [786v3Z]Escrito por Vixer [DAn]Digital Anarchy Group of ArgentinaMade in ArgentinaTest de Swap, no polimorfico

Также содержит строки:

*.C?Mnti-vir.datAqui no estoy!

DAN.AntiEnter.1092

Опасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в конец COM-файлов при их запуске. После заражения уничтожает файлы:

C:CHKLIST.MS C:CHKLIST.CPS C:ZZ##.IM anti-vir.dat ANTI-VIR.DAT

В зависимости от своего счетчика "пропускает" нажатия на Enter. В зависимости от текущей даты выводит текст:

Virus ANTI-ENTER v1.0с(c) 1995 El Cancerbero [DAN]ARGENTINA

DAN.Chiche.1436

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Записывает в MBR винчестера программу, которая в зависимости от системной даты выводит текст:

Un regalito para el JUAN XXI

Вирус также содержит строки:

Virus Chiche Ver. 0.99с (C)Bugs Bunny [DAN] Digital Anarchy 2/11/94Fuck! Telefonica Argentina

DAN.DiskFull.1871

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от своего счетчика вирус стирает сектора дисков и выводит сообщение:

Вирус уничтожает файлы:

C:CHKLIST.MSC:CHKLIST.CPSC:ZZ##.IManti-vir.datANTI-VIR.DAT

Также содержит строку:

Greetings to all [DAN] members

DAN.Killer

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

Killer by Cancerbero

DAN.Mosca

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM-файлов. При запуске .EXE-файлов "Mosca.1278,1372" создают компаньон-файл с расширением .COM и заражают его. "Mosca.1372" также поражает файлы при из открытии и при вызовах Get/Set File Attribute.

Вирусы содержат ошибки, в результате которых щараженные файлы при запуске могут завесить систему. Содержат строки:

"Mosca.849":  Mosca v1.0с por WMТ [DAN]"Mosca.1278": Mosca v2.0с por WMТ [DAN]"Mosca.1372": Mosca v2.1с por WMТ [DAN]

DAN.Octubre

Очень опасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h и pfgbcывается в конец COM- и EXE-файлов (кроме TB*.*) при их запуске или закрытии. При инсталлировании в системную память ищет в Environment строку COMSPEC= и заражает командный процессор. Уничтожает файлы CHKLIST.MS и ANTI-VIR.DAT. Если системная дата установлена на 18 декабря 1995 или 6 октября любого другого года, то вирус стирает сектора дисков и выводит текст:

Feliz aniversario Digital Anarchy!!

Также содержит строки:

Virus OKTUBRE Ver. 1.0с By Bugs Bunny [DAN](c) 26/12/94 Digital Anarchy BsAs Arg.

DAN.SFT

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Уничтожает файлы:

C:CHKLIST.MS C:CHKLIST.CPS C:anti-vir.dat C:ANTI-VIR.DAT

Содержит строки:

- SFT Virus v1.0с - Written by Cancerbero [DAN]

DAN.WMA

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, "DAN.WMA.709" поражает только EXE-файлы.

"DAN.WMA.709" содержит строку (смотреть надо при выключенном драйвере кириллицы):

сТсТsэяiЫэs hюЫhэ pэr wmТ

"DAN.WMA.995" зашифрован. 1-го января выводит текст:

Androide 1с by WMТ [DAN]

DAN.WMA.Dumb

Очень опасный резидентный вирус. Копирует себя по адресу 8D00:0000 не изменяя цепочку MCB, что может привести к зависанию компьютера. Затем перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии.

При запуске зараженной программы с аргументом "help" вирус выводит:

Dumс сЭ WMТ[filename] fucktrashes HD

При запуске зараженной программы с аргументом "fuck" вирус форматирует винчестер.

DAN.WMA.Jason

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. 11-го августа расшифровывает и выводит сообщение, затем стирает MBR винчестера:

Jason Virus 2.0 Written By Jason.

Danny.872

Неопасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец запускаемых .COM-файлов (кроме COMMAND.COM). Если год системной дяты меньше 1992, вирус расшифровывает и выводит текст, а затем завешивает компьютер:

Invalid date. System halted.

17 октября вирус в зависимости от своего счетчика расшифровывает с выводит текст:

Today is Danny's birthday! She is now ?? years old.Press any key

где 'xx' - текущий год минус 1973.

Вирус также содержит строки:

[Uni}amp] virus 1992command.com

Darek.434

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний и перехватывает INT 21h. При запуске файлов ищет в текущем каталоге .COM-файлы и записывается в их начало. 14 июня выводит текст:

DAREKSOFT ss

Dark, семейство

Очень опасные нерезидентные вирусы. При запуске ищут COM- (кроме COMMAND.COM) и EXE-файлы и записываются в их конец. По 16-м числам, если это - понедельник, записывают в boot-сектор текущего диска программу, перезагружающую компьютер при запуске, затем выводят на экран текст:

Welcome to the Dark Apocalypse... Your computer willnever escape... You might as well read this and weep!

The Dark Apocalypse v1.00  by Crypt Keeper [RoT]000Reign of Terror000  [DARK APOCALYPSE]

Press any key to continue...

и печатают экран (вызывает INT 5), затем перезагружают компьютер. Вирусы также содержат строки:

COMMAND.COM *.EXE *.COM

DarkAngel.3550

Неопасный резидентный вирус, полиморфик и стелс. Трассирует INT 13h, 21h, затем перехватывает INT 21h. Записывается в конец COM- и EXE-файлов при обращениях к ним. При заражении каждого 13-го файла заражает текущий диск boot-вирусом "DarkAngel".

Содержит строки:

D.Angel.COM.EXEKDSKOMMACopyright (C) Dark Angel Corp 1992-1993.

DarkElf, семейство

Безобидные резидентные зашифрованные вирусы, "DarkElf.3691" - полиморфик -вирус. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. Не заражают файлы: AIDS*.EXE, DRWEB*.EXE, WEB*.EXE, SCAN*.EXE, -*.*, AVP*.*, AVSP*.EXE, TB*.EXE, COMMAND.COM, IBM*.*, WIN*.COM

Используют антиотладочные приемы, зашифрованы несколькими циклами шифровки. Содержат строки:

"DarkElf.2200":

[Dark Elf] version 2.1 CopyLeft (cl) MSTUdent18/08/96 03:50:303:41 AM - ... Сижу ... Сочиняю это послание ...3:44 AM - ... Мыслей нет ...3:45 AM - Ну это все на фиг, пойду лучше спать. Вот только компильну ...AIDS????EXEDRWEB???EXEWEB?????EXESCAN????EXE-??????????AVP????????AVSP????EXETB??????EXECOMMAND?COMIBM????????WIN?????COM

"DarkElf.3691":

[Dark Elf] version 3.0 CopyLeft (cl) MSTUdent13/11/96 18:04:13Ты прости меня, Лозинский, славный программист отважный,Написавший AIDSTEST'ы и убивший всех MORGOT'ов.

AIDS????EXEDRWEB???EXEWEB?????EXESCAN????EXE-??????????AVP????????AVSP????EXETB??????EXECOMMAND?COMIBM????????WIN?????COM

[DEME] Dark Elf Mutation Engine v1.0 CopyLeft (cl) MSTUdent13/11/96 18:04:13

Darkend.1188

Очень опасен, рнзидентен. Перехватывает INT 8, 21h и записывается в конец COM-, EXE- и OVL-файлы при их загрузке в память. 15-го октября стирает сектора диска C:, периодически переустанавливает видеорежим в стандартный текстовой. Содержит строку:

(c) Dark End.

DarkFiber.423

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. В зависимости от своего внутреннего счетчика вызывает какой-то видео-эффект. Содержит строки:

AIH:SLOWDOWN:BY DARK FIBERSNOWING

DarkLord.273

Резидентный безобидный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске на выполнение, файл COMMAND.COM заражается по алгоритму "Lehigh" и его длина не увеличивается. Содержит текст:

Dark Lord, I summon thee! MANOWAR

DarkMank.764

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. В зависимости от своего поколения выводит текст на китайском и завешивает компьютер. Содержит строки:

JapanReseachInstituteOfSelfReproducingProgram[JRIOSRP-6]DarkManko3/5/95

DarkParanoid

Резидентный полиморфик-вирус. Перехватывает INT 1, 21h и заражает выполняемые файлы DOS - записывается в конец EXE-файлов и начало COM-файлов. Файлы заражаются при их открытии или копировании. Не заражаются файлы, содержащие в начале своего имени символы: AV, SC, CL, GU, NO, FV, TO, TB (AVP, AVG, SCAN, CLEAN, GUARD, TBAV, e.t.c.) При заражении размер файла увеличивается на случайное значение - 5297 байт зашифрованного кода вируса и от 0 до 1001 байт случайных данных.

Вирус успользует очень сложный алгоритм шифровки своего кода - в каждый момент времени только одна инструкция вируса оказывается расшифрованной, а все остальные инструкции - зашифрованы. Для реализации этого алгоритма вирус перехватывает INT 1 и переводит процессор в режим трассировки. В этом режиме после исполнения каждой ассемблерной инструкции процессор генерирует INT 1, вирус перехватывает управление, зашифровывает только что выполненную инструкцию и расшифровывает следующую.

Более того, вирус за/расшифровывает не исключительно предыдущую/следующую инструкции, но несколько байт по нескольким оффсетам от текущей инструкции. В результате следующая/предыдущая инструкции являются полу-расшифрованными, через одну - на 2/3 за/расшифрованными и т.д. Работа вируса, таким образом выглядит как "ползущее" по коду вируса "пятно" - в центре этого пятна находится полностью расшифрованная текущая инструкция, остальные инструкции лишь частично расшифрованы, а за пределами пятна находится полностью зашифрованный код вируса.

В вируса присутствуют три блока, которые не могут быть зашифрованы описанным выше способом. Это - стартовый код в зараженном файле, код обработчика INT 21h и непосредственно код за/расшифровщика в перехватчике INT 1. Однако и этот код является непостоянным - вирус случайным образом получает его при помощи своего полиморфик-генератора. "Точки входа" в зараженный файл и в INT 21h содержит достаточно короткие программы, которые перехватывают INT 1 и отдают управление на зашифрованный основной код вируса.

В зависимости от своего случайного счетчика вирус выводит в середину экрана текст "DaRK PARaNOiD" и пищит динамиком компьютера. Вирус также содержит строку:

ENGINE OF ETERNAL ENCRYPTION

Демонстрации вирусных эффектов:

DARKPARA.COM

Darkray.1525

Неопасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец EXE-файлов при их запуске. При каждом вызове INT 13h вирус выводит в верхний левый угол экрана изображение 3" флоппи-диска, на котором находится текст:

(C)1993[DрRkRрY]Trident

Демонстрации вирусных эффектов:

DARKRAY.COM

Darkray_II.466

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит тексты:

This file contains a virus!!! Please COLD-boot from a write protectedsystem disk and use you anti virus software!!!Dit virus is ter RESEARCH en STUDIE geschreven!!Misbruik hiervan is strafbaar onder de Nederlandse wet!!(C) 1994 - [DрRkRрY] retired virus writer...

DarkRevenge

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов (кроме COMMAND.COM) при их запуске. По понедельникам перехватывает также INT 09h и при нажатии на ESC перезагружает компьютер. Содержит строку:

Dark Revenge

Darth, семейство

Резидентные очень опасные вирусы. Встраиваются в сегмент DOS, подменяют адрес функции Write (AH=40h) в таблице функций INT 21h и затем поражают .COM-файлы при записи в них (INT 21h, AH=40h). Записываются в начало файла не сохраняя его старое содержимое. Содержат текст:

Darth Vader

DARV.1024

Неопасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Содержит/выводит строки:

VIRUS TERMINATED OK AND PASSED THE CONTROL !!!*** ERROR ****** END OF VIRUS ***DARV

Dashel.1804

Нерезидентный очень опасный вирус, ищет .EXE-файлы и записывается в их конец. Ищет файл C:\DASHEL и, если находит его, стирает сектора дисков. Стирает сектора также и при некоторых других условиях.

Datacrime, семейство

Нерезидентные очень опасные вирусы. При запуске зараженного файла ищут и записываются в конец не более одного COM- или EXE-файла во всех текущих оглавлениях всех доступных дисков ("Datacrime.1168" не поражает COMMAND.COM и EXE-файлы). В зависимости от таймера и своих внутренних счетчиков выдают на экран тексты:

"Datacrime.1168,1280": DATACRIME VIRUS RELEASED: 1 MARCH 1989"Datacrime.1480,1514": DATACRIME II VIRUS

и после этого форматируют несколько треков винчестера.

DataFire.1080

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. По 13-м пятницам стирает сектора дисков, выводит сообщение и завешивает компьютер:

DataFire IThe Pyro of The Underground

В декабре по воскресеньям оставляет резидентную программу, которая перехватывает INT 1Ch, 21h и тормозит работу компьютера (INT 1Ch). INT 21h используется как идентификатор уже загруженной копии вируса.

Datalock, семейство

Резидентные опасные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов.

С августа 1990 г. "DataLock.920" блокирует открытие .DBF-файлов. Содержит текст:

DataLock version 1.00

"DataLock.1000" безобиден, содержит строку:

Tiger Heli V1.0, (C) TBD 11 CT AMS

Davis

Резидентный неопасный зашифрованный вирус. Перехватывает INT 8 (таймер), INT 21h и записывается в конец EXE-файлов при их запуске. Периодически пищит несколько раз динамиком компьютера и сообщает:

            +--------------------------------------+            |              DAVIS VIRUS        V1.01|            |--------------------------------------|            |          Author  : Davis             |            |          Date    : JUNE/23/1990      |            |                                      |            |      VIRUS STATION COPY RIGHT (C)    |            +--------------------------------------+

ооо Hi ! How are you today ? Don't worry about ! пппооо DAVIS VIRUS will follow you forever and ever ! пппооо Don't care me! I really do not damage your disk or data. пппооо But..........................make Funny to you sometime. ппп

Демонстрации вирусных эффектов:

DAVIS.COM

Day2.1472

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске. По 2-м числам января, февраля и марта записывает в MBR винчестера программу, стирающую информацию на диске при загрузке системы. По тем же дням меняет цифры в информации, записываемой на диск.

Day24.792

Очень опасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. По 24-м числам четного месяца стирает CMOS и сектора винчестера.

DBCE.3403

Неопасный резидентный зашифрованный вирус. Перехватывает INT 8, 9, 21h и записывается в конец COM- (кроме COMMAND.COM) и EXE-файлов при их запуске. При вводе с клавиатуры строки "virus", она замещается на "clankswerk", на экране строки "virus" заменаются на "clank". Вирус содержит строки:

COMMAND.COM[DBCE]

и выводит сообщения:

Amidst Dale Beaudoin'sdrivelingclank clunking craprubishy rubishthe following wisdom spews forth:

You have the Dale Beaudoin Clankswerks Engine by pseudoVirus writer Virotech!This crude clankswerks was quickly and sloppily put together just likeDale's Fido messages.

In my assesment there is ways and means to break new ground in thecomputer sciences. virus not= virus. virus = clankswerks engine!

A "virus" or "trojan" that attempts to do a DIRECT WRITE bypassing theoperating system is not a virus. It is a mathclanking engine.

The clankswerks "appears" to have a measure of stealth by passing DOS butthe intent is more deliberate than stealthy. The "formula" or "equation"is designed with a directive.

PseudoViruses deliberately mathclank other software programs. They arenot true viruses.

Computer "virus" (clankswerks) do not replicate, they iterate,decrementally and incrementally through a math engine dependent on aspecific order of operations.

RPM is not software intergrated. IDE drives I have worked with oftenhave the platter scored after subject to a clankswerks. If the controllerwould to do a seek in a tight loop the harmonics would be enough to allowthe heads to crash through the air-bearing.

The purity of the overall engine is mathclanked by the deliberatealteration of one of the subsets. That alteration is dependent on theworks of an human idiot math-clanker. It is illegal and not natural.

Any so called virus that can take instrucution to lift attributes has tobe artificially intelligent.

If a pseudoVirus consults the COMSPEC to find the original copy ofCOMMAND.COM, all you have to do is use debug and rename COMSPEC andCOMMAND.COM. Change the varialbe and tell your virus to decipher it! Ifit does consult or decipher then it's AI, not virus.

DBF, семейство

Опасные(?) нерезидентные зашифрованные вирусы. При запуске ищут COM- и EXE-файлы и записываются в их конец. Содержат строку:

*.DBF *.EXE *.COM

Портят(?) DBF-файлы.

Dead, семейство

Очень опасные резидентные вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец COM- и EXE-файлов при их запуске, создании, закрытии и открытии. При старте ищут COMMAND.COM и заражают его. 256-я версия вируса стирает сектора диска C:. Вирусы содержит слово-идентификатор DEADh (hex) и строки текста:

COMSPEC=07/29/88

Dead.790

Резидентный очень опасный вирус, перехватывает INT 21h и записывается в конец COM-файлов при их старте или открытии. По понедельникам, которые одновременно являются 7, 15, 23 или 31-м числом месяца стирает сектора винчестера. В начале зараженных файлов содержится строка "DE", в конце - "AD".

DeadWin, семейство

Опасные резидентные зашифрованные стелс-вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженного файла лечат его. При заражении файлов могут испортить их.

Проверяют имя запускаемого файла. Если имя начинается с "WI" (WIN.COM), то вирусы проявляют себя (см. ниже).

"DeadWin.1088": при запуске файлы WIN.COM в зависимости от системного времени (если текущий час равен секундам) выводит текст: "Dead to Windows!" и перезагружает компьютер. Также содержит текст:

Dracula lives Resucitated somewhere in timeby Dust Group, Tucumаn, Argentina

"DeadWin.1228": проверяет системную дату и 13-го ноября и 21-го июня форматирует винчестер и выводит текст:

hard disk destroyed!

По пятницам при запуске WIN.COM проверяет системный таймер. Если текущий час равен секундам, то вирус выводит текст и перезагружает компьютер:

Dead to Windows!

Демонстрации вирусных эффектов:

DEADWI.COM

Death.1001

Неопасный нерезидентный самошифрующийся вирус. Ищет .COM-файлы и записывается в их конец. При 10-м заражении выволит сообщение "Bad command or file name" и оставляет в RAM резидентную программу, которая перехватывает INT 9 (клавиатура). При нажатии на Alt-Ctrl-Del эта программа выводит сообщение и завешивает компьютер:

Your PC has lapsed into a higher state of being...D E A T HPlease, feel free to cold boot,as nothing has been damaged,it was only a near deathexperienceYour PC should meditate more often,'cuz with all the evil virusesflowing around neurospacewe wouldn't want thisto become a realD E A T H[Death] The Attitude Adjuster, VG, 12/02/92

Демонстрации вирусных эффектов:

DEATH.COM

DeathBoy, семейство

Опасные нерезидентные шифрующиеся вирусы. При запуске ищут COM- и EXE-файлы и записываются в их конец. При заражении стирают часть системной памяти компьютера, что может повлечь его зависание. "DeathBoy.912" портит CMOS. Содержат строки:

"DeathBoy.640": KaLi-4 / KФhntark"DeathBoy.893": 1994 virus=DeathBoy was here"DeathBoy.912": [BAD MOTHER BOARD] VIRUS=DeathBoy was here

DeathDragon, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец.

DeathDragon.499

Частично зашифрован. По воскресеньям в апреле выводит сообщение и завешивает компьютер:

Warning 3456:5432 : computer over worked - Shut down for 24 hours

Также содержит строки:

[*  DКAtH DrПgOn  *]c:\command.com *.com

DeathDragon.528

В апреле дописывает к файлу C:\AUTOEXEC.BAT строки:

@echo offecho Fuck you, arsehole! You are a SHITTY user andecho I hate you!echo.pauseEddie has returned on tour (1993) - VMAG versionpress a key...

а затем выводит текст:

Eddie has returned on tour (1993) - VMAG versionpress a key...

Также содержит строки:

[DEATH DRAGON]*.com c:\autoexec.bat

Deathead.1585

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Выводит на весь экран "мертвую голову" с сообщением:

DEATHS HEAD VIRUS

Abandon Hope All Ye Who Contract Me

Демонстрации вирусных эффектов:

DEATHEAD.COM

Deathrider.729

Очень опасный нерезидентный вирус. Ищет .COM- и EXE-файлы и записывается вместо них. Длина зараженных файлов увеличивается на 39 байт. 8-го числа ежемесячно выводит текст:

и затем форматирует винчестер и стирает CMOS. По другим дням месяца выводит одно из сообщений:

Packed File CorruptSharing violationRequired system component not installed

и возвращается в DOS. Содержит в себе также текст:

ViRuZееZ

Debilas.2000

Очень опасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец .COM- и .EXE-файлов при их запуске или открытии. Проверяет имя файла и не заражает его, если в имени содержится любая из строк:

AI CL WE AD AN SC V. LD PR MM

16-го сентября вирус стирает сектора дисков, расшифровывает и выводит текст:

Copy right Antanas Vidziunas ,VDU, 1996.Buvai DEBILAS , esi DEBILAS ir busi DEBILAS !!!-=DMS=-Fuck you b.tAMULYNAS and to your crack of Print_Screen

Также содержит зашифрованные строки:

AICLWEADANSCV.LDPRMMI `LL BE IN KTU SOMEDAY

Dec3rd.1333

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии, при вызове некоторых функций DOS вирус ищет файлы и заражает их (для этого вирус использует строку "*.COM *.EXE"). При запуске под DOS 6.0 и некоторыми другими вирус выводит текст:

Dec 3 92 is my 20th birthday (V6)

Dei, семейство

Неопасные резидентные самошифрующиеся стелс -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от текущего времени создают или уничтожают файл DEI.COM в корневом каталоге текущего диска. При запуске этого файла он выводит сообщение:

Devils & Evangels, Inc. [DEI] MnemoniX

Вирусы также содержат строку "\DEI.COM" и:

"Dei.1502": v1.50"Dei.1634": v1.99"Dei.1680,1792": v2.00"Dei.1948": v2.50

Deicide, семейство

Нерезидентные вирусы, ищут .COM-файлы и записываются в их начала.

Deicide.358,359

Безобидные вирусы, содержат в себе текст:

Dutch [Breeze] by Glenn Benton

Deicide.622,623

Неопасны, с 3-го по 18-е августа выводят сообщение:

This Personal Computer has been struck by the uncurable disease that iscalled "The Doom of Morgoth".

Deicide.665,666

Нерезидентные очень опасные вирусы. При старте записываются вместо .COM-файлов текущего каталога, а затем выдают текст:

File corruption error.

Если .COM-файлов не обнаружено, то вирусы стирают FAT диска C: и сообщают:

Glenn (666) says : BYE BYE HARDDISK!!

Содержат также строки:

DEICIDE!Next time be carufull with illegal stuff......*.COMThis experimental virus was written by Glenn Benton to see if I can make avirus while learning machinecode for 2,5 months. (C) 10-23-1990 by Glenn.I keep on going making virusses.".

Deicide.639

Нерезидентный неопасный вирус, ищет .COM-файлы и записывается в их начала. Выводит на экран одно из сообщений:

Brotherhood... I am seeking my brothers "DEICIDE" and "MORGOTH"...Found my brother "MORGOTH"!!!Found my brother "DEICIDE"!!!*** Glenn Benton ***

Deicide.1335

Нерезидентный неопасный вирус, ищет .COM-файлы и записывается в их начала. Выводит на экран текст:

As the good times of DEICIDE will be remembered, I started to make a newvirus. You are now facing the dark tombs of "Morgoth". Humble regards to :Pazuzu Kingu Absu Mummu Tiamat | |Baxaxaxa Baxaxaxa Yog Sothoth Iak Sakkath | |Kutulu Humwawa Xaztur | |Hubbur Shub Niggurath --+--|--+-- |Also my lovely regards go to Stephanie, the only one who |makes my heart beat stronger. Want to make love with a --+--Morbid Angel? Glenn greets ya. |Press a key to start the program... (This time no damage!).

Deicide.2404,2405,2569,2570

Неопасные вирусы. После заражения выдают одно из сообщений:

Cycle sluts from hellVirus Mania IV2 Live Crew is fucking coolLike Commentator I, HIP-HOP sucksDr. Ruth is a first-class lady!Dont be a wimp, be dead!This dick was made for laying girls.No virus entry, just me!Dont bite it, you horny bitch!Stroke my keys, oh YES!Sex Revolution 4000Buck Rogers is fake(C) by Glenn BentonRegistration number requiredThe fly is aliveDont fuck with me, or I will kick some ass...Hey, dont hit the keys that hard!You will feel me...BEER BEER BEER BEER BEER BEER BEER!!!YOU HAVE A VIRUS, BWAH AH AH EH EH HEH ARF!I would alter Michael Jacksons face with my fists...WIM KOK IS STILL A COMMUNIST!Welcome to COMMENTATOR IICommentator I & II released!Legalize ABORTUS!Ronald McDonald goes Oude-Pekela!Source code soon aveable...Dont use a rubber against this virus!Swimming holiday in Bangladesh!Neo Nazis are a pile of shit.Virus researchers are a pile of meat on the street.World Championship Cat-ThrowingYo Yo Yo Yo Yo Yo Yo, James Brown is DEAD!Yech, you are reminding me of my mother-in-law...How is the weather out there?Indalis is a fat bitch who looks like a glass-bin.Lubbers should be castrated for a long time ago.Legalize hookers (at a low prize!)Fist fucking sounds irrelevant to you, eh?I will be Back...Today it is..... JUDGEMENT DAY!!!Never mind the dog, beware of owner.You still owe me a CO-PROCESSOR!Do not drink and driveLast name ALMIGHTY, first name DICKFrodo lives!The leech livesHey, Cracker Jack! Nice virus you made!A depressive Prince Claus looks like fun!Happy EasternThank god for AIDSArt is incredible stupidOut of semen errorIncorrect BEF versionOf je stopt de stekker erin?!?Jean Claude van Damme kicks ass.Cannabis expands the mindWhat is this memory? EMS XMS LIM HMA UMB?NOOOOOO NOT AN IBM SYSTEM, PLEASE!!!!!Dutch Virus Research Laboratory

Deino.1000

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Уничтожает файлы *.DBF, CHKLIST.MS и ANTI-VIR.DAT. 18-го января стирает сектора диска и выводит текст:

--Deinonychus--

Также содержит строки:

chklist.msanti-vir.dat*.DBF

Destructor, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Содержат строки:

"Destructor.1150":  DESTRUCTOR V4.00 (c) 1990 by ATA                    The Time is my!"Destructor.2082":  (C)'91 ATA

В зависимости от значения системного таймера "Destructor.2082" проявляется звуковыми и видео-эффектами.

Демонстрации вирусных эффектов:

DESTRUCT.COM

Detic.1514

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске, переименовании или открытии. После успешного заражения создает каталог C:\(_FREE_D.) и пытается (безуспешно) установить системную дату в 1977,март,23.

С 13-го до 15-го ежемесячно перехватывает также INT 13h и запрещает запись на винчестер. По 1-м числам выводит ноль в порт 9Bh.

Содержит строки:

[Friends] Virus V1.00Virus Deticadet To My ExFriends.Virus Written By [_Free_D.]Made In ALBANIA.C:\COMMAND.COMC:\(_Free_D.)IO

Devastator_II, семейство

Очень опасные резидентные стелс -вирусы. Копируют себя в таблицу векторов прерываний (адрес 0000:0200) или в область данных DOS (адрес 0000:0500), перехватывают INT 13h, 21h и записываются в начало .COM-файлов при обращениях к ним DOS-вызовами FindFirst/Next ASCII. При запуске файлов DOS вызывает FindFirst, и вирусы, следовательно, поражают файлы также при их запуске.

При заражении файлов используют метод, похожий на метод вируса "Int13" : перемещают начало файла в его конец и запоминают абсолютный адрес (INT 13h), по которому сохраняется начало файла. Затем записывают себя в начало файла и не изменяют его длину. При необходимости (возврат управления программе-носителю или при чтении из зараженного файла) вирусы считывают первоначальный заголовок файла, используя вызов INT 13h. Естественно, что при копировании зараженных файлов копии вируса содержат неверные адреса и файлы оказываются испорченными.

Вирусы содержат строку:

Devastator

Devastator, семейство

Очень опасные нерезидентные зашифрованные вирусы. Содержат строки:

"Devastator.174": *.COM Devastator X"Devastator.301": *.COM Devastator XI Now includes destructor code! 1994 / 12-21-94"Devastator.636": *.* .. Devastator

Devastator.174,301

При запуске ищут .COM-файлы и записываются вместо них. 26-го мая "Devastator.301" стирает сектора винчестера.

Devastator.636

Ищет .COM- и .EXE-файлы и записывается в их конец. При заражении необратимо портит .EXE-файлы.

Deviant, семейство

Deviant.429,526

Очень опасные нерезидентные зашифрованные вирусы. Ищут .COM-файлы и записывается вместо них. "Deviant.526" выводит текст:

Program too big to fit in memoryComKiller has rectified your .com file overpopulation crisis!*DeViANT MiND

Deviant.448,547,721

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. По первым числам ежемесячно "Deviant.721" расшифровывает и выводит текст:

*******Ever wished there was something more to your life?A bit of serendipity, spontenaety, randomness..Maybe even a tiny bit of demented chaos?

Well buddy, if you want demented chaos, you've got it.Welcome to Henon2 - The Edge of Chaos

DeViANT MiND*******

Punch a key to continue...

Devices.2000

Безобидный резидентный полиморфик-вирус. Записывается в начало SYS- и конец EXE-файлов. При запуске зараженного EXE-файла вирус открывает файл C: C:\CONFIG.SYS, ищет в нем указание на драйверы, заражает их и возвращает управление программе-носителю. При заражении SYS-файла создает временный файл DEVICES.$$$, записывает туда свою копию, затем код заражаемого файла, уничтожает SYS-файл и переименовывает DEVICES.$$$ в его имя.

При загрузке зараженного SYS-файла вирус инсталлируется в память как системный драйвер, перехватывает INT 1Ch, некоторое время ждет, затем перехватывает INT 21h и при обращениях к дискетам ищет EXE-файлы и заражает их.

Содержит строки:

XMSXXXX0:\devices.$$$ \ config.sys *.exe

Devil.941

Резидентный очень опасный вирус. Записывается в конец .COM-файлов. При запуске ищет их в текущем каталоге, затем перехватывает INT 9, 21h и остается резидентно в памяти, затем заражает .COM-файлы при их запуске.

Периодически изменяет цвет некоторых знаков на экране. В зависимости от своих счетчиков расшифровывает и выводит на экран текст:

Have you ever danced with the devil under the weak light of the moon? Pray for your disk!The_Joker...Ha Ha Ha Ha Ha Ha Ha Ha Ha Ha

При этом также в зависимости от счетчиков может стереть MBR винчестера. Также содержит строки:

Drk*.com

Демонстрации вирусных эффектов:

DEVIL.COM

Devore.633

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Никак не проявляется, содержит текст:

> Age of Loneliness - DeVore 1997 <

Dex.1356

Безобидный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращениях к ним. Содержит строку:

dex

DHeart, семейство

Неопасные нерезидентные вирусы. При запуске ищут файлы и записывается в их конец. После заражения выводят на экран сообщения.

"DHeart.452" поражает EXE-файлы. Выводит на экран два символа 03h ASCII:

"DHeart.539,553,639,645,649" заражают COM-файлы кроме IBMBIO.COM и IBMDOS.COM. В зависимости от значения своих внутренних счетчиков расшифровывают и выводят сообщения:

From Russia with love!

Dialogos, семейство

Неопасные нерезидентные вирусы. При запуске ищут файлы: C:\COMMAND.COM C:\DOS\COMMAND.COM C:\MSDOS\COMMAND.COM C:\DRDOS\COMMAND.COM, затем файлы *.COM, затем записывается в конец обнаруженных файлов. 10-го июня выводят текст и завешивают компьютер:

1984-1994 10з Aniversario de DIALOGOS-3 de RNE.Dedicado a Ramon por estos 10 anos, y por venir a la SALA-4.Buscad la belleza es la unica protesta que merece la pena,en este asqueroso mundo.10/03/95 Valencia ESPANA

Diametric.3514

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске, открытии и при изменении атрибутов файла. Свою TSR-копию хранит в ядре DOS, XMS-памяти и видео-памяти. Содержит ошибки и иногда вешает компьютер. При заражении файлов проверяет их имена и не заражает антивирусы в соответствии со строкой (два символа на имя):

-VADAIAVCPDRF-FIGUIMIVMSNAPCSCSPSSSVTBTOV-VAVSWE

Уничтожает антивирусные файлы данных:

ANTI-VIR.DAT AVP.CRC CHKLIST.CPS CHKLIST.MS CHKLIST.TAV CRC.SVS FILES.VVLFINGERP.VVF IM.PRM IVB.INI IVB.NTZ MSAV.CHK SMARTCHK.CPS \AV.CRC \BOOT.CPS\BOOT.MS \BOOT.NTZ \BOOT.TAV \IV.INI \PART.NTZ

Довольно сложно инсталлирует себя в память: выделяет блок XMS-памяти, копирует туда свой код, затем вычисляет адрес System FCB Tables, уменьшает их количество и в освободившееся место записывает 94h байт своего "XMS manager". Затем перехватывает INT 22h, отдает управление программе-носителю, ждет окончания ее работы (INT 22h) и записывает команду перехода на INT 21h вируса в оригинальный обработчик INT 21h в ядре DOS (перехватывает INT 21h).

В результате вирус хранит свой код только в XMS, за исключением кода своего "XMS manager". При необходимости вирус копирует свой код из XMS в видео-память по адресу BBF0:0100 и стирает эту копию, если она не нужна.

Помимо перечисленных выше содержит строки:

TBDRVXXX[DIAMETRIC by Rajaat / Genesis][RTFM]

16 мая в зависимости от своих счетчиков вирус проявляется видео-эффектом: выводит текст "DIAMETRIC" и передвигает сивмолы так, что получается текст "MATRICIDE".

Демонстрации вирусных эффектов:

DIAMETRI.COM

Diamond, семейство

Семейство резидентных вирусов. Перехватывают INT 8, 21h и записываются в конец COM- и EXE-файлов при их загрузке в память. Указывают "уменьшенную" длину файла при вызове функций FindFirst/Next FCB (команда DIR). Через некоторое время после активизации "запускают" несколько разноцветных шариков, в беспорядке перемещающихся по экрану (эффект напоминает движение шарика у вируса "Ping-Pong" ).

"Diamond.1110,1063,Greemlin,RockSteady" очень опасны, в зависимости от текущей даты форматируют диск.

Содержат тексты:

"Diamond.1063": DAMAGE!!!!"Diamond.1110": Jump for joy!!! DAMAGE-B!!"Greemlin.1146": Greemlin"Lucifer.1086": Lucifer (C) by C.J."RockSteady.666": !RocK STeaDY!

Демонстрации вирусных эффектов:

DIAMOND.COM

Dicker.400

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов (кроме COMMAND.COM) при их запуске. Содержит строки:

Dicker 1.0C:\COMMAND.COM

Die, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске.

В некоторых случаях "Die.666" расшифровывает и выводит сообщение:

VIRUS INFO.

Он содержит также строку:

Die

Die_Lamer.1090

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 10h, 21h и записывается в конец .EXE-файлов при их запуске или закрытии. Ищет файлы SMARTC*.CPS и CHKLIST.* и уничтожает их. Сравнивает значение регистра AL при подряд идущих вызовах INT 10h со строкой "-=*@DIE_LAMER@*=-" и стирает сектора винчестера, если вывод через INT 10h совпадает с этой строкой. Также содержит строки:

smartc*.cpschklist.*VLamiX-1

Dieg.1586

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и .EXE-файлов. Содержит строку-идентификатор "DIEG". В августе также перехватывает INT 1Ch, 28h и через 15 минут после инсталляции в память "сдвигает" экран влево.

DieHard2.4000

Опасный зашифрованный резидентный стелс -вирус. Перехватывает INT 10h, 21h и записывается в конец COM- и EXE-файлов при обращении к ним. В памяти копия вируса также зашифрована практически целиком за исключением кода перехватчика прерываний.

Проявляет себя несколькими способами. По вторникам, которые являются 3-м, 11-м, 15-м или 28-м числом, вирус при вызове DOS-функции Write выводит на экран и в порт COM1 строку:

SW Error

Записывает в начало .ASM- и .PAS-файлов строки:

.model small.codeorg 256s: push cs pop ds call tdb '-е$'t: pop dx mov ah,9 int 33 mov ah,76 int 33end s

beginwrite('-е');end.

и реализует стелс-алгоритм при обращении к этим файлам (т.е. эти строки не видны, если в памяти компьютера сидит вирус).

В зависимости от своего поколения вирус выводит в графическом режиме большими фиолетовыми буквами:

Вирус также содержит строку:

SW DIE HARD 2

Демонстрации вирусных эффектов:

DIEHARD2.COM

Digger, семейство

Неопасные нерезидентные вирусы. Зашифрованы. Обходят дерево каталогов и записываются в крнец COM- и EXE-файлов. Оставляют небольшую резидентную программу, которая периодически переворачивает экран вверх ногами. Содержат текст:

(C) DIGGER

Digger.1000

Неопасный резидентный зашифрованный вирус. При запуске удаляет себя из зараженного файла, выполняет его, затем перехватывает INT 21h и записывается в середину запускаемых COM- и EXE-файлов. При заражении EXE-файлы преобразуются в COM-формат (см. "Vacsina" ). При 30-м заражении (вирус увеличивает каждый раз свой внутренний счетчик) вирус запрещает работу с клавиатурой (перехватывает INT 09h) и выводит текст:

Ты долго в DIGGER не играл - теперь я грустный терминал

Кстати, при запуске файла DIGGER вирус сбрасывает счетчик в 0.

Демонстрации вирусных эффектов:

DIGGER.COM

Dillinger.547

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. В зависимости от системного таймера выводит строки:

Hey YOU !!! Don't be silly ... I'm DILLINGER.

Dima.1024

Неопасный нерезидентный вирус. При старте сканирует дерево подкаталогов и записывается в конец обнаруженных .COM- и .EXE-файлов. В 21:00 выводит на экран строку:

9pm

Содержит тексты:

The -9pm-. Call the Dima & Dima corporation if it will be difficult..com.exe

Dima.325

Dima

DirDropper, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их начало. Также ищут прочие выполняемые файлы и записывают вместо них вирус DIR_II . В октябре стирают сектора дисков и завешивают компьютер.

DirFiller.1409

Очень опасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от значения своего счетчика шифрует корневой каталог диска C:

DirII, семейство

Резидентные очень опасные "стелс" -вирусы, поражают .COM- и .EXE-файлы при чтении и записи секторов каталогов, содержащих информацию об этих-файлах. Свое тело хранят в последнем кластере инфицированного логического диска, этот кластер помечается как последний в цепочке кластеров. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске приходится только одна копия вируса.

При инициализации проникают в ядро DOS, изменяют адрес системного драйвера дисков и затем перехватывают все обращения DOS к этому драйверу. В вирусе реализован мощный "стелс"-механизм на уровне системного драйвера, в результате чего вирус в зараженных файлах не виден при чтении файла ни через INT 21h, ни через INT 25h. При этом вирус обращается напрямую к ресурсам DOS и "пробивает" практически любые антивирусные блокировщики.

Стремительно распространяются: при попытке запуска несуществующего файла DOS будет искать его во всех каталогах, отмеченных в PATH. При этом вирус перехватывает обращения DOS к каталогам и заражает файлы во всех каталогах, указанных в PATH. При первом старте вирусы семейства поражают все файлы текущего каталога диска C:.

Некоторые вирусы семейства содержат тексты:

"DirII.1024.c": For pirates..."DirII.1024.v": Не забудь поздравить себя с дн0м рождения 20 октября."DirII.1024.w": По Интегралу плывет пирога,в ней едут хиппи,их очень много. БОИНГ-748 ПО-2 ТУ-144

"DirII.2048" занимает два сектора на диске. Он также перехватывает INT 8 (таймер) и проигрывает мелодию. Не заражает COMMAND.COM.

"DirII.Dragon" для заражения корневого каталога диска C: открывает файл c:\dragon.com. В зависимости от некоторых условий стирает файлы строкой:

DRAGON ver 1.0 Copyright (c) MicroVirus Corp. 1993The Lords of the Computers !DRAGON - the Lord of Disks !anti

"DirII.TheHndv" ("ByWai") - полиморфик -вирус, создает файл CHKLIST.MS и записывает туда свою копию. Проигрывает мелодию, выводит текст:

TRABAJEMOS TODOS POR VENEZUELA !!!

Также содержит строки:

The-HndVCHKLIST MS<by:Wai-Chan,Aug94,UCV>

Демонстрации вирусных эффектов:

DIRII.COM

Dirty.483

Безобидный резидентный вирус. Перехватывает INT 21h и записывает себя в конец COM-файлов при их запуске. При закрытии файлов вирус устанавливает их дату/время. Вирус содержит ошибку и их дата/время принимает случайное значение. Вирус содержит строку:

HI ! I'm The Dirty Fucker !!

DirVirus, семейство

Резидентные очень опасные вирусы. Поражают .COM-файлы при вызове функций FindFirst и FindNext FCB (эти функжии использует команда DIR, что и дало название вирусам). Записываются в конец файлов, изменяя 6 байт их начала (PUSH Loc_Virus; RET). Снимают и не восстанавливают атрибут read-only, устанавливают время создания файла - 60 секунд. Периодически стирают FAT. Перехватывают INT 21h.

"DirVirus.760" содержит строки:

COMMAND.COMSBK (C) 1989 Varna. All rights reserved.MANOWAR

Dis.1024

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В зависимости от системного таймера стирает сектора дисков и выводит текст:

Демонстрации вирусных эффектов:

DIS1024.COM

Disillu, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в начало COM-файлов.

"Disillu.341" заражает файлы при их запуске. Никак не проявляется.

"Disillu.1108" зашифрован. Трассирует INT 13h, 21h и использует полученные при этом адреса при заражении файлов. Заражает файлы при их запуске и открытии, не заражает COMMAND.COM. В апреле с 5-го по 9-е выводит текст:

 Your Computers Just A   Microscopic  Cog,In My Catastrophic Plan.Designed  and Directed -By My Red Right Hand....[DЛSiLLБSНФNЛSч] by -=SРpЧLчБrТ=-Dedicated To Kurt Cobain,1967 - 1994.<< PRESS A KEY >>

DiskBoomer.576

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. Уничтожает антивирусные файлы данных ANTI-VIR.DAT и CHKLIST.MS. По 17-м числам стирает данные на диске C: и выводит текст:

DISKBOOMER  (C) 1995  RP Virus Lab Bucharest

Disnomia.1516

Неопасный резидентный зашифрованный вирус. Трассирует и перехватывает INT 21h, записывается в конец EXE-файлов при их запуске или открытии. 19-го мая в 12:00 выводит текст:

!!! Virus DisnomiA !!! code: 42805770-2e872!!! Happy Bitrhday !!!!!! 2 ME !!!

Disruptor.1129

Неопасный резидентный зашифрованный вирус. Записывается в конец EXE-файлов. При запуске любого зараженного файла создает и заражает два файла-дроппера: STARTME.EXE в текущем каталоге и README.EXE в корневом каталоге текущего диска. Затем вирус возвражает управление программе-носителю. При запуске дропперов вирус выводит текст:

SYSERR1764: Not enogh memory to start this program. Try again!

затем перехватывает INT 21h, остается резидентно в памяти и заражает запускаемые EXE-файлы.

Вирус также создает скрытый (hidden) файл ION.DAT в корневом каталоге текущего диска и использует его как счетчик запускаемых зараженных файлов. Если этот счетчик достигает 120, вирус завешивает компьютер (по причине ошибки вируса счетчик останавливается на 119). При достижении значения счетчика 60 вирус остается резидентно в памяти не только при запуске дропперов, но также и при запуске любой зараженной программы.

Вирус блокирует удаление файлов и подкаталогов. Содержит также строки:

Sector Disruptor II 1001SDII

Dith.1502

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Никак не проявляется, содержит строку:

AL-DITH FOREVER

DIW, семейство

Нерезидентные вирусы. Ищут .COM-файлы и записываются в их конец. Содержит строку:

*.com

и:

"DIW.386": *.dbf"DIW.389": *.exe"DIW.512": *.dbf aidstest.* adinf.* *.txt *.doc"DIW.565": *.dbf clip????.* ?link.* *.obj *.arf Перчатка брошена ! Защищайтесь, сударь !"DIW.597": ELEFANT

"DIW.212,229,288" безобидны, никак не проявляются.

"DIW.377" с 1999 года завешивает систему, снимает флаг активного раздела в MBR.

"DIW.386,389" проверяют системную дату и время. Если номер дня совпадает с номером месяца, а текущее значение минут - с текущим часом, то эти вирусы ищут и уничтожают файлы:

"DIW.386": *.BDF-файлы"DIW.389": *.EXE-файлы

"DIW.393" выводит текст:

DIW 1.0*** MORNING STAR ***Press any key to continue ...

Также содержит строку:

Привет Д.Н. Лозинскому !... от тружеников клавиатуры ...

"DIW.428" изменяет палитру экрана. "DIW.480" "трясет" экран. "DIW.488" изменяет установки системного таймера.

"DIW.512,565" ищут и уничтожают файлы:

"DIW.512": *.DBF AIDSTEST.* ADINF.* *.TXT *.DOC"DIW.565": *.DBF CLIP????.* ?LINK.* *.OBJ *.ARF

"DIW.555" перезагружает компьютер или выводит текст:

Засунь 1000 рублей в дисковод

ждет ввода с клавиатуры, затем "жужжит" дисководом и добавляет:

ПРОДОЛЖАЙ РАБОТАТЬ..

Этот вирус также содержит текст:

DIW 2.0

"DIW.597" "съедает" экран.

"DIW.600" уничтожает файлы:

CHK*.* *.%%%

По 13-м числам также уничтожает *.EXE-файлы, 28-го ноября портит CMOS и выводит текст:

User PC - I N F E C T E D   !Call Lozinsky !(c) VIRUSOFT Inc.

Демонстрации вирусных эффектов:

DIW.COM

DJIFX.2372

Очень опасный резидентный вирус. Перехватывает INT 5, 9, 17, 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии, переименовании или при вызове DOS-функции Get/Set File Attributes. До и после заражения файла дописывает в его конец блок данных случайной длины. Не заражает файлы:

DRWEB.EXE AIDSTEST.EXE COMMAND.COM

По пятницам при нажатии на Alt-Ctrl-Del вирус выводит текст, строка "Phone:1.6687.746498" зашифрована:

+------------------------------------------------+|     DJ[I]-FX, Ver. 0.53., (c) 1996 by 000      ||     Just call my name and I'll be back...      || Password: (D&I) Enigma: (Phone: 1.6687.746498) |+------------------------------------------------+

В зависимости от системного таймера вирус записывает в начало файлов программу, выводящую то же самое сообщение.

По понедельникам в зависимости от системного таймера вирус проигрывает мелодию Yankee Doodle (см. "Yankee" ).

При печати цифр вирус заменяет их на обратные (0<->9, 1<->8,...). При вызовах INT 5 (печать экрана) перезагружает компьютер. Содержит ошибки и иногда завешивает систему.

DKiller, семейство

Неопасные нерезидентные вирус. При запуске ищут выполняемые файлы и записываются в их конец. Содержат (некоторые вирусы выводят) строки:

"DKiller.Clouds.588":

This is [Clouds] Virus, Written By Dark Killer.|oмO [Clouds] мr, з@к|мO Dark Killer.

"DKiller.Clouds.657":

This is [Clouds II] Virus, Written By Dark Killer.|oмO [Clouds II] мr, з@к|мO Dark Killer.

"DKiller.Clouds.718":

This is [Clouds v3.1] Virus, Written By Dark Killer.(1994/10/23)

"DKiller.DK.693":

This is <DK> VirusWritten by Dark Killer

"DKiller.DK2.269":

I'm <DK2>, Written By Dark Killer.

"DKiller.DK2.269" записывается в начало файла, шифрует тело заражаемого файла.

"DKiller.DK.693" написан при помощи генератора PS-MPC, заражает COM- и EXE-файлы.

Dlsu.477

Опасный нерезидентный вирус. Ишет .COM-файлы и записывается в их начало. 20-е поколение вируса сообщает:

DLSU - Destructive!

и стирает файлы текущего каталога.

DM, семейство

Резидентные очень опасные ("DM.330" - безобиден) вирусы. Копируют свою резидентную копию в таблицу векторов прерываний по адресу 0000:0200, перехватывают INT 21h, затем записываются в конец COM-файлов при их загрузке в память. "DM.330" также поражает файлы при их открытии, переименовании и изменении атрибутов.

"DM.400.a,b" при каждом 256-м заражении файла форматирует диск. "DM.310" перезагружает систему при каждой 256-й попытке заражения. Содержат тексты:

"DM.330" - "(C)DM 1991 1.05 DM"; "DM.400.a" - "(C)DM 1990"; "DM.400.b" - "(C) 1990 1.01 DM".

DM.674

Нерезидентный очень опасный вирус. Обходит подкаталоги текущего диска и записывается в конец .COM-файлы. Начало зараженных файлов изменяется на команды:

MOV  BX,offset Virus;JMP  BX;DB   'DM'.

В зависимости от некоторых условий стирает первые 80h секторов винчестера.

DMR.1200

Неопасный резидентный зашифрованный вирус. В январе 1998 обнаружен "в живом виде" в Мурманске. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. По причине ошибки портит некоторые файлы при их заражении (лечатся такие файлы без проблем).

По 13-м числам ежемесячно выводит текст:

DMR, Pantera & Ale Forever !D M R F o r e v e r !Dis iz ChaosTraveller ver. 2.0Nightmare, yeah ? Try to be clean !Suck off, fucksider ! Today`s 13th !

DNA.1206

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Уничтожает антивирусные файлы данных:

CHKLIST.MS CHKLIST.CPS ANTI-VIR.DAT

Содержит строку:

Wrong copied DNA = Evolution I am Life. Greetings ,ThE wEiRd GeNiUs

Dnepr.377

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 1Ch, 21h и записывается в конец COM-файлов при их запуске. В зависимости от своего счетчика выводит текст:

DNEPR-CHAMPION

Dodo.2456

Опасный резидентный вирус. Записывается в конец .COM-файлов. При запуске поражает файл C:\COMMAND.COM и возвращает управление к программе-носителю. При запуске зараженного COMMAND.COM копирует себя в конец памяти DOS без коррекции MCB-блоков (это может вызвать зависание компьютера). Затем вирус перехватывает INT 21h и записывается в .COM-файлы при их запуске. 28-го августа выводит текст:

Today we commemorate the DODO.The bird who has become the victim of human civilization !!!!!

Dof, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записывается в конец .COM-файлов при их запуске или вызовах DOS-функций FindFirst/Next. Не заражают COMMAND.COM. Содержат ошибки и часто портят файлы при заражении. В зависимости от системного таймера записывают в файлы тексты:

"Dof.983": RAVEL - BOLERO"Dof.962,1000.b": RAVEL - Carmen"Dof.1000.a": divide overflow"Dof.1294": Divide Overflow

Содержат также строки:

"Dof.1000.b": BUCURESTI 1994.

DogLasi.1537

Неопасный резидентный частично зашифрованный вирус. Перехватывает INT 22h, возвращает управление программе-носителю, ждет окончания ее работы, затем перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. Перед тем, как вернуть управление программе-носителю, ищет COMMAND.COM по строке "COMSPEC=" и заражает его. В зависимости от своего счетчика выводит текст:

BUAA is very W.C. !!! ----DogLasi.H

Donbass.444

Безобидный нерезидентный зашифрованный вирус. При запуске ищет файл COMMAND.COM, затем COM-файлы и записывается в их конец. Содержит строку:

Donbass3 COMSPEC= *.COM

Doom, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и INT 1Ch или INT 08h (таймер). Записываются в конец .COM- и .EXE-файлов. Стирают на дисках сектора со случайными номерами. Периодически перезагружают компьютер. Содержат тексты:

\COMMAND.COMDOOM II (c) Dr.Jones, NCU...

Doomsday, семейство

Нерезидентные очень опасные зашифрованные вирусы. Ищут и записываются в конец .COM-файлов текущего каталога. Содержат тексты:

\*.comA scion to noneCertainly no funTotal destruction when doneIntroducing DOOMSDAY ONEWritten in Orlando, FL on 05/13/91

Периодически шифруют содержимое логических секторов текущего диска и выдают на экран текст:

Your disk is dead!Long live DOOMSDAY 1.0

Doperland.490

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При окончании работы программ заражает файл C:\COMMAND.COM. 25-го февраля выводит:

Happy Birthday Doperland!!!

Также содержит строки:

c:\command.comTrif

Dos, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. При заражении используют FCB-функции. Содержат строку: "DOS-1".

Dos7, семейство

Нерезидентные безобидные вирусы. Записываются в начало .COM-файлов текущего каталога. Содержат текст:

Doshunter.483

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их выполнении. 26-го июня стирает FAT диска C:, затем выводит текст:

DOSHUNTER I ACTIVE. (C) ACORN.

и завешивает систему.

Dosver.2062

Безобидный резидентный вирус, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При инсталляции своей TSR копии вирус проверяет версию DOS, и в зависимости от ее номера устанавливает INT 20h, 21h, 25h, 26h, 27h в их первоначальные значения в ядро DOS.

Dot.944

Нерезидентный опасный вирус. Анализирует блок ENVIRONMENT, ищет в нем строку "COMSPEC=" и по ней заражает файл COMMAND.COM (или заменяющий его), затем записывается в конец .COM-файлов текущего каталога. Нерезидентен, но может оставить небольшую резидентную программу, которая перехватывает INT 16h (клавиатура) и в зависимости от вводимых с клавиатуры символов запускает по 25-й строке экрана справа налево и обратно символ рожицы (ASCII 1). Движение рожицы сопровождается жужжанием. Достаточно жестко обходится с INT 16h, может завесить систему. Снимает атрибут Read-Only, значение времени файла устанавливает в 62 секунды.

Демонстрации вирусных эффектов:

DOT944.COM

Dotter.3961

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. При заражении файлов создает временный файл NCTEMP.TMP. В зависимости от системной даты и времени выводит одно из сообщений (всего в вирусе - около 3K таких сообщений):

"Не богатей дуpными сpедствами" (Фалес)."Чем поддежал ты своих родителей, такого жди и от детей" (Фалес)."Заводи друзей не спеша, а заведши, не бросай" (Солон)."Не злословь о ближнем, чтобы не услышать такого, чему сам не порадуешься"(Хилон из Спарты).

и т.д.

Dowcipas

Резидентный неопасный вирус, перехватывает INT 08h, 15h, 21h (при этом трассирует INT 21h). Поражает COM- и EXE-файлы при их выполнении. Периодически изменяет флаги клавиатуры (Shift, Alt, Ctrl) и выводит на экран один из текстов:

Incorrect DOS version.KONIEC PRACY. WYLACZ KOMPUTER!!!Twoj procesor przeciekaJestem glodny! Wloz hamburgera (bez ketchupu!!) do stacji A:Jestem spragniony! Wlej Coca-Cole do napedu B:Jestem madrzejszy od ciebie 3.1415926535xOKO razyUWAGA!!. Stacja C: wciaga tasme!!!Nudzi mi sie-DRUKARKA.Co ty robisz?? Pisac nie umiesz? -KLAWIATURADARK DOWCIPAS v.1.00 by Piotr Z. & Marcin I. (c)1992

DPN.623

Опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов при их запуске или открытии. В зависимости от системного времени перезагружает компьютер. Содержит строки:

DPN

DR&ET.1710

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Под отладчиком и по 13-м числам в зависимости от текущего времени стирает сектора винчестера и перезагружает компьютер. Содержит строку:

(c) 23.5.3945 / DR & ETASCECLHVSPF-ACPRVINWI

Dracula.827

Опасный резидентный вирус. При запуске копирует себя по адресу 9500:0000 без коррекции системных блоков памяти. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. В зависимости от текущей даты выводит текст и завешивает компьютер:

DRACULA

Dragon.414

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при их запуске или при обращениях к ним DOS-функцией FindFirst ASCII. При заражении COMMAND.COM записывается в его область стека и не увеличивает длину файла. Содержит зашифрованные строки:

COMMAND.COMQuick Dragon v.7

Dream, семейство

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 13h, 21h и записываются в конец .COM- и .EXE-файлов при вызове функции 12h (FindNext FCB). Содержат строку "SCCLF-VIMSVSWI" и не заражают файлы с именами из этой строки (два байта на имя): SC*.*, CL*.*, F-*.*, VI*.*, MS*.*, VS*.*, WI*.*. В зависимости от своих внутренних счетчиков возвращают флаг ошибки при вызове INT 13h. Также содержат строку:

[ Dream Man / Doctor Revenge ] 12-02-94 Italy

Dreamer, семейство

Неопасные резидентные вирусы, перехватывают INT 1Ch, 21h и записываются в конец запускаемых COM-файлов. Периодически проговаривают несколько слов через динамик компьютера. Содержат в себе тексты:

"Dreamer.4808": Hitler Virus by Dreamer/DY"Dreamer.8869": [Dar Mandra] by Simpson #1

Демонстрации вирусных эффектов:

DREAMER.COM

Drepo, семейство

Неопасные резидентные зашифрованные вирусы. При запуске зараженного EXE-файла вирус шифрует себя и записывает результат в область стека файла C:\COMMAND.COM, длина файла при этом не увеличивается (см. "Lehigh" ), затем записывает в точку входа файла (куда указывает JMP в начале COMMAND.COM) 2Eh байт процедуры расшифровки. Затем вирус возвращает управление зараженному EXE-файлу.

Перед открытием на запись файла COMMAND.COM вирус считывает корневой каталог диска C: через INT 25h, ищет в считанном блоке запись "COMMAND COM", заменяет ее на "COMMAND LOM" и снимает атрибуты файла. Затем записывает результат на диск, заражает файл COMMAND.LOM (бывший COMMAND.COM), после чего восстанавливает первоначальное содержимое корневого каталога диска. Этот довольно сложный прием рассчитан, скорее всего, на обход резидентных мониторов.

Остается резидентно в памяти при запуске зараженного COMMAND.COM, перехватывает INT 21h и записывается в конец EXE-файлов при их открытии или закрытии. При запуске архиваторов ARJ.EXE или RAR.EXE вирус резервирует область памяти для того, чтобы заражать пакуемые или распаковываемые файлы.

Также перехватывает INT 9 (клавиатура) и через два месяца после заражения системы в зависимости от нажимаемых клавиш начинает пищать динамиком компьютера. Содержит строки:

ARJ.EXE RAR.EXEC:\COMMAND COMPod na jedno DREPO!Shareware version.Do not forget to register!

Drizzle.1600

Опасный резидентный вирус. Перехватывает INT 16h, 21h и записывается в конец запускаемых .COM-файлов (кроме COMMAND.COM). Создает в MBR винчестера счетчик и увеличивает его при каждой инсталляции в память и при каждом заражении файла. При достижении счетчиком значения 256 вирус замедляет работу компьютера при каждом вызове INT 16h (клавиатура), при достижении 512 - меняет вводимые символы, 1024 - портит код MBR, что завешивает компьютер при следующей перезагрузке. Вирус содержит строку:

COMMAND.COM

DrJohn.2000

Неопасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их открытии. При запуске зараженного файла первым делом записывается в COMMAND.COM. Через месяц после заражения перехватывает также INT 9 и выводит текст:

Пpивет от *Doctor John*! Пpиятель, да ты оказывается чайник последний !

Также содержит строки:

c:\command.comДанные из заголовка EXE

Dron.1024

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В зависимости от своих счетчиков выводит какую-то картинку (мусор?) и текст:

Moscow Institute of Physics and Technology (c) 1994

Также содержит строку:

* DRON Ver 1.00, PhysTech,(c) 1994 *

Drop.1131

Резидентный неопасный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. В зависимости от значения своего внутреннего счетчика довольно активно осыпает буквы на экране.

Демонстрации вирусных эффектов:

DROP.COM

DrunkAvenger, семейство

Резидентные безобидные вирусы, перехватывают INT 21h и записываются в конец .COM-файлов при вызове DOS-функций FindFirst/Next FCB (команда DIR). Содержат в себе текст:

DIR by Drunk Avenger [PuKE] x92!

Drwatson.1503

Резидентный очень опасный вирус. При старте создает файл C:\DRWATSON.COM, куда записывает свою копию, а затем добавляет в начало файла C:\AUTOEXEC.BAT команду "@drwatson". Прочие файлы не поражаются. При ображении к файлу AUTOEXEC.BAT использует "стелс"-алгоритм.

Блокирует трассировку - сообщает:

Tracing mode has been destroyed

и выходит в DOS. Если же трассируются коды вируса, то он (вирус) стирает FAT текущего диска и перезагружает компьютер.

DS.512

Опасный резидентный стелс -вирус. При инсталляции в память не корректирует MCB-блоки, это может вызвать зависание компьютера. Затем вирус поражает файл \COMMAND.COM, перехватывает INT 13h, 21h и записывается в середину COM- и EXE-файлов при их запуске. Некоторые файлы поражаются некорректно, это вызывает зависание компьютера при запуске таких файлов. INT 13h используется для реализации стелс-механизма. Содержит строку:

DST, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. Никак не проявляются.

"DST.231,242" сохраняют первоначальный адрес INT 21h в адресах INT 4Bh и затем используют вызовы INT 4Bh при заражении файлов.

"DST.330,347,396" некорректно работают с блоками памяти и могут завесить компьютер при заражении системной памяти. Содержат строку:

DST

DSU, семейство

Неопасные резидентные зашифрованные стелс -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или закрытии, при открытии зараженных файлов лечат их. "DSU.1414" перехватывает также INT 17h и при выводе на принтер заменяет символ "р" на "г". 31-го декабря "DSU.1414" сообщает:

Happy New Year !!!

Вирусы также содержат строки:

"DSU.1414":  (c) 1994 DSU RadioFuck"DSU.1422":  = DSU RFF =             = Dark Angel =

Dumb, семейство

Безобидные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. Содержат строку:

*.com

и:

"Dumb.215": HtTM's Dumb Virus v1.1

Dumb.4722

Опасный резидентный полиморфик-вирус. Перехватывает INT 9, 21h, 22h, ACh и записывается в конец COM- и EXE-файлов при их запуске. Содержит ошибки и иногда портит файлы при заражении. Заражает файлы по несколько раз.

Уничтожает файл ANTI-VIR.DAT. При запуске антивирусов SCAN, F-PROT, TB*.* выводит текст:

I dunno what you think about me but i am NOT dumb !

а затем выводит какие-то данные в порты 388h и 389h.

Подсчитывает число нажатий на клавиатуру и через некоторое время выводит тексты:

I'm the first version of the first Romanian Polimorphic Virus.Because I was borned in Romania, all the talking from now-onwill be in my language.--DECI-- sa ne intelegem romaneste ca de la virus la posesor de virus : Ma lasi sa traiesc linistit, te las sa traiesti linistit ! De acord ?

Bine mosule, tu ai vrut-o !! Works for me...

O.K. man...I'm with you.

Bine mai ... Si nu mai fi asa de speriat !!

Dune, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при их запуске или открытии. Если длина COM-файла меньше 3000 байт, то "Dune.640" выводит:

Hmm ...

Вирусы также содержат строки:

"Dune.483": Vangelis 1.0COMCOMMAND.COMROMANIA - 1993"Dune.579": DUNE 1.1 - ROM COMMAND.COM"Dune.640": S.R.I Vangelis 1.0ROMANIA Dec 1993-BUCCOMMAND.COM

Del5th.773

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске, Уничтожает каждый 5-й открываемый файл кроме файлов *.386, *.COM, *.DLL, *.DRV, *.EXE and *.OV?.

Deliver, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец файлов. Стирают сектора дисков, проявляются видео- и звуковыми эффектами.

Deliver.BlueShark.1771

Перехватывает INT 21h и записывается в конец EXE-файлов при обращении к ним. 1-го ноября затирает сектора винчестера строкой:

! MAYBE ONE DAY WE BE UNITED !

затем проигрывает мелодию, выводит на экран флаг США и строку:

!!! MY NAME IS DISKDELIVER * THIS IS ONLY BEGIN * I BE BACK !!!

Также содержит строку:

ооо CREATED BY BLUE SHARK - FINISHED 7.VIII.1994 15:30 - CIESZYN POLAND ппп

Deliver.Digi.3547

Полиморфик стелс -вирус. Перехватывает INT 1, 3, 1Ch, 21h записывается в конец COM- и EXE-файлов при их запуске. При открытии или создании COM- и EXE-файлов запоминает их имена, затем заражает эти файлы при их закрытии. При открытии зараженных файлов лечит их. При вызовах DOS-функций FindFirst/Next вирус "уменьшает" длины зараженных файлов. Уничтожает файлы CHKLIST.*, при запуске утилиты CHKDSK выключает стелс-функции, при запуске антивируса MKS прекращает заражение файлов. Блокирует отладчики.

С 28-го по 31-е мая затирает сектора винчестера строкой:

DIGI POWER

затем проявляет себя видео- и звуковыми эффектами, выводит сообщение:

DIGI POWERTHIS IS A NEW ...DELIVER II SТЙГlТH (R) WRITE BY DiGiT! ... SOUTH POLAND 1995

Демонстрации вирусных эффектов:

DELIVER.COM

Delphine.761

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Уничтожает антивирусные файлы данных ANYCHECK.VAL и ANTI-VIR.DAT. Если CountryCode=21h (Франция), вирус 25-го марта стирает CMOS и выводит текст:

Remember me, Delphine ? I do !

Также содержит строку:

Delphine by WiNTeRMuTe

Delta, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при их запуске или открытии. 4-го ноября стирают часть полей CMOS, выводят сообщение и перезагружают компьютер:

Good bytes from (DEL)ta Virus !!!        Reset in 30 seconds !

Также содержат текст:

Brazil - 02/96

Delta_II.1006

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает антивирусы: SCAN, WSCAN, VSHIELD, TBAV, F-PROT, VSAFE, CPAV, TOOLKIT. Содержит строку:

Delta Forever X SCAN.WSCANVSHIETBAV.F-PROVSAFECPAV.TOOLK - July/97.

Dementia.4207

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строки:

!#TEMP#!REQUEST.IVARECEIPT.IVACALLFAST.COM*.*Dementia] Copyright 1993 Necrosoft enterprises - All rights reservedI am the man that walks aloneAnd when I'm walking a dark roadAt night or strolling through the parkWhen the light begins to changeI sometimes feel a little strangeA little anxious when it's dark

При открытии любого ZIP-файла вирус ищет в нем файл REQUEST.IVA. Если такового в ZIP-архиве нет, то вирус создает файл CALLFAST.COM, записывает туда свой видео-эффект, заражает этот файл и сохраняет его в ZIP-архиве. Таким образом вирус "заражает" ZIP-файлы: после "заражения" ZIP-файл содержит копию вируса.

Если в ZIP-архиве присутствует файл REQUEST.IVA и этот файл имеет специальный формат (в начале файла есть строка-идентификатор 92h,14h,76h,17h, за которой расположены имена файлов или маски поиска файлов), то вирус создает файл RECEIPT.IVA, ищет указанные в REQUEST.IVA файлы, записывает их в RECEIPT.IVA, шифрует результат и добавляет его (под именем RECEIPT.IVA) в ZIP-файл. Таким образом вирус может "воровать" файлы с зараженного компьютера.

При обработке ZIP-файлов вирус не пользуется утилитами PKZIP/PKUNZIP, а самостоятельно разбирает записи ZIP-файлов, читает, записывает, добавляет новые записи. При создании новых записей вирус не пакует их, а записывает в неупакованном формате (метод "stored").

При запуске файла CALLFAST.COM (который записывается в ZIP-файлы) на экране появляется сообщение:

DEMENTIA   (512)PRI-VATE  0  0 day wares  0  V-X     800 megs online  0  USR Dual 16.8k                          -\- Psychotech <Image> -/-

Демонстрации вирусных эффектов:

DEMENTIA.COM

Democracy, семейство

Неопасные резидентные вирусы. Перехватывают INT 1, 3, 16h, 21h, 28h, 2Fh и записываются в конец COM- и EXE-файлов при их запуске или поиске. Периодически выводят какие-то сообщения (текст испорчен). Содержат строку:

Democracy

Demolited.1585

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов (кроме COMMAND.COM) при их открытии или запуске. Периодически проявляется черной гусеницей, ползающей по экрану. По 17-ым числам записывает вместо MBR программку, которая при загрузке сообщает:

DEMOLITION is here!

Записывает вместо файлов текст:

Sorry, this file was destroyed by DEMOLITION! from THE YODAS CREW Italy

Также содержит текст:

DEMOLITED COMMAND.COM

Демонстрации вирусных эффектов:

DEMOLITE.COM

Demon, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и файл C:\COMMAND.COM и записываются в их конец. Содержат строку:

0=-DEMON-=0

Demon3b, семейство

Опасные резидентные стелс -полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. Используют довольно мощный стелс-механизм, в некоторых случаях лечат зараженные файлы.

Demon3b.4313,4390

Очень опасены. Содержат несколько ошибок, которые часто приводят к повисанию компьютера и порче заражаемых фйайлов. Содержат тексты:

"Demon3b.4313": [demon4] Hellfire"Demon3b.4390": [demon4] BETA! DONT DISTRIBUTE Hellfire

"Demon3b.4390" выводит на экран:

Demon4 is Watching...

Demon3b.4767,5670

Уничтожают антивирусные файлы данных, блокируют трассировку, не заражают некоторые антивирусные программы. При обращении к диску, защищенному от записи, выводят сообщение:

Disk is Write ProtectedPlease Unprotect it ANDPress any key to continue . . .

Также содержат строки:

TBDRVXXXCHKDSK.EXE ZIP.EXE ARJ.EXE SCANDISK.EXE DEFRAG.EXESCANANTIVIRAV.AN.F-PROT.EXETBDRIVER.EXENAVTSRVSAFE.COMTBSETUP.EXETBUTIL.EXEVSHIELD.EXE[demon3b] Hellfire

Demonhyak, семейство

Очень опасные вирусы. Записываются в начало .COM-файлов текущего каталога. Старое содержимое файла не сохраняется. По вторникам стирают FAT диска C:, а затем сообщает:

Error eating drive C:

Также содержит строки:

*.COM"Demonhyak Viri X.X (c) by Cracker Jack 1991 (IVRL)

Dennis, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец файлов. Содержат строки:

"Dennis.689":  v1.0(CrazyPrinter)ByDennisDavydov"Dennis.1000": execom0D.Davydov

Dennis.539

Безобиден. заражает запускаемые EXE-файлы. Никак не проявляется.

Dennis.656

Неопасен, заражает запускаемые EXE-файлы. 20-го июня перехватывает также INT 1Ch и мигает индикаторами Num/Caps/Scroll Lock.

Dennis.689

Неопасен, заражает запускаемые EXE-файлы. Также перехватывает INT 17h изменяет информацию, выводимую на принтер.

Dennis.1000

Безобиден, заражает COM- и EXE-файлы при их запуске или открытии. Также перехватывает INT 13h и не возвращает код ошибки при заражении файлов на защищенных от записи дисках.

Desperate.633

Очень опасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. В зависимости от текущей даты стирает MBR винчестера, затем расшифровывает и выводит текст:

*** Desperate chemist ***

Также содержит строки:

>T.J.&K.K.&R.W.&G.Z.<*.com

Desperado

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Уничтожает файлы CHKLIST.MS, содержит строки:

DrW-2Dr White - Sweden 1993Desperado Virus - Written in Malmo...F02ESCANCLEAVSHITOOLMSAVCPAVVSAFF-PRVIRSTBAVTBSCTBCLTBUT-V UTSCUT

и не поражает файлы с именами из последней строки: SCAN.EXE, CLEAN.EXE, ... -V.EXE.

Dupa.725

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец EXE-файлов при их запуске или открытии. При копировании себя в память записывает в свой MCB строку "vir Dupa". Периодически вызывает (из своего обработчика INT 1Ch) цикл чтения случайно выбранных секторов через INT 13h. Вирус также содердит строку:

( G & L )

Dust.457

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается вместо их кода. Содержит/выводит строки:

[TAD1B] Memory Lapse -- Toronto, CANADAThe Atomic Dustbin 1B -- This is almost the second stepProgram execution terminatedThe Atomic Dustbin - YOUR PHUCKED!*.COM ..

Dutch_Tiny, семейство

Нерезидентные безобидные вирусы, достаточно примитивны. Записываются во все .COM-файлы текущего оглавления. Поражают только файлы, начинающиеся с команды JMP (E9h xxxx), записываются в конец файла и изменяют значение xxxx на адрес перехода на тело вируса. Некоторые из них содержат строки:

*.COM Tiny-F version 1.1Released 10-19-91

"D_Tiny.251" сообщает:

Tiny-D version 1.1 by

Содержат строки:

"D_Tiny.284": *** NIGHTCRAWLER V 2.0 *** Written by the Weasel! (C) Sector Infector Inc"D_Tiny.286": *** NIGHTCRAWLER V 1.0 *** Written by the Weasel! (C) Sector Infector Inc

D_Tiny.Brenda

Периодически расшифровывает и выводит сообщение:

(C) '92, Stingray/VIPER Luv, Brenda

D_Tiny.Kennedy

6 июня, 18 и 22 ноября выводит сообщение:

Kennedy er dЫd - lСnge leve "The Dead Kennedys"

Также содержит строки:

Kennedy*.COM\COMMAND.COM

D_Tiny.Stigmata

Cодержит текст:

-------------------

  StigMata!  v1.0    By NegativX  (c) 1991 -SiTT-

-------------------

Greetings to Ps!ko, The Dark Avenger, Zodiac, Data Disruptor, John McAfee(Who would probably be living in a cardboard box if it weren't for peoplelike us...), ProTurbo, Jennifer (FUCK YOU BITCH!), Flash Force, Heidi (TheHomosexual Greek Warrior), Lazarus, Phoney Phreak, Banadon, Traci (you slutyou), The Maggie, Duckee, Daniel (The Homosexual French Pimp with aPurple Hat), The Dead Milkmen, Circle Jerks, Ministry, Nirvana, Nine InchNails, Pixies, and all the other virus authors out there, wherever they may be. Remember: Drugs don't use Winners! And.. I'm not as think as you stoned I am.

 (c) 1991 -SiTT-

D_Tiny.Wild

При ошибке во время заражения выводит:

This is a Wild ThingProgrammed By Admiral Bailey [YAM](C) 1992 YAM Inc.

DVA, семейство

Неопасные нерезидентные вирусы. Ищут .COM-файлы и записывается в их конец. Содержат строку:

*.com

и:

"DVA.437,443,445":

DVA желает вам хороших сновидений....Completed!!!-Осторожно у вас в файле код Вируса FS-First!!!Бойтесь меня

"DVA.490":

Hello Victor&Igor!!!Victor`s Virus...Warning!Warning!Warning!Warning!Warning!Warning!Warning!

"DVA.640,753":

Hello Victor&Igor!!!Victor`s Virus For Igor&ALL!!!Warning!Here IS The Virus FOR YOU!!!Hello!!HI!!CONNECT-DISCONNECT!!!ALL OK!!!DON'T WORRY

"DVA.749":

Hello Victor&Igor!!!Victor`s Virus For Igor&ALL!!!Warning!Super Virus!!!Hello!!HI!!!!ALL OK!!!DON'T WORRY

28-го февраля "DVA.749,753" расшифровывают и выводят сообщение:

Happy birthday VICTOR!!!

DVC.336

Безобидный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Никак не проявляется. Содержит строку:

DVC*.com

Dwbomk.607

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов (кроме COMMAND.COM). Записывает какие-то данные в порты таймера - в результате мой тестовый компьютер выдавал ошибку при обращении к дискетам.

17-го января стирает сектора винчестера и выводит текст:

Воть етя вирясь "DWBoMK" МИСиС,ПМП,ТЭМ-96-1

DWI, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записывают себя в конец запускаемых EXE-файлов. При запуске файла WIN.COM записывают вместо него сообщение, которое затем выводится на экран:

You've been caught, you DWI! You're nothing but a Damn  Windows  Idiot!Well, we at Virulent Graffiti have  had it...  you're  not going  to berunning that bullshit for a while, 'cuz, hey, friends don't let friendsuse Windows!  (and you're damn right we're your friends!)

Вирусы также содержат строки:

[DWI] AccuPunk/The Attitude AdjusterVirulent GraffitiWIN.COM

Dy.278

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. При заражении каждого очередного файла уменьшает размер свободной памяти. Содержит строку-идентификатор:

Dzino.1000

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы текущего каталога и записывается в их конец. В зависимости от значения системного таймера выводит текст:

Cau Dzino, padaj votad

DogPaw.720

Опасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в начало EXE-файлов при их закрытии. При открытии зараженных файлов лечит их (стелс) и затем заражает при закрытии. Содержит ошибку и в некоторых случаях завешивает компьютер. Содержит зашифрованный текст:

DogPaw JxQ/29A

DeadHead.992

Опасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их начало. Содержит ошибки и часто завешивает систему. В зависимости от своих данных портит загрузочный сектор диска C: и выводит текст:

[XtZ] by dEAdhEAd (StupidVir).

В случае ошибки при заражении файлов выводит текст и возвращает управление DOS:

Incorrect D0S version

DW.736

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец COM- и EXE-файлов при их открытии. Перехватывает ввод комбинации символов "DW" и вместо них записывает в буфер клавиатуры строку:

Dream Warriors

December12.1914

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. 12 декабря также перехватывает INT 1Ch (таймер) и примерно через полчаса осыпает символы на экране (см. также вирус "Cascade" ).

Dre.756

Неопасный зашифрованный нерезидентный вирус. Заражает .СОМ-файлы в текущем каталоге. Содержит текст:

 Я вирус?EXE Wr. by Doctor Dre 1997(c).King V1.2