F1.337

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов (кроме COMMAND.COM) при их запуске, открытии и переименовании. При старте проверяет свою уже загруженную копию вызовом INT 21h, AX=F1h. Более никак не проявляется.





F3.1901

Опасный резидентный вирус. Перехватывает INT 08h, 21h и записывается в конец COM- и EXE-файлов при их запуске. В вирусе присутствует строка "f3", которая используется как идентификатор зараженных файлов. В зависимости от текущей даты вирус проявляется различными способами: стирает CMOS, замедляет работу компьютера, изменяет цвета на экране, портит системные данные.





F4.1403

Безобидный резидентный самошифрующийся вирус. Перехватывает INT 08h, 12h, 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. В конце зараженных файлов можно обнаружить слово "F4". Использует INT 12h для вызова "Ты здесь?", INT 08h и INT 13h для проявления: периодически вирус 'дергает' головки винчестера.





F_Word

Безобидный нерезидентный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. Содержит текст:

FUCK YOU






Fab.1755

Опасный резидентный вирус, упакован LxExe. Перехватывает INT 21h и записывается в начало EXE-файлов при их запуске или открытии.

При запуске вирус распаковывает себя, определяет имя программы-носителя, читает из него свой упакованный код и оставляет его в памяти (это необходимо для дальнейшего заражения файлов). Затем вирус выделяет блок системной памяти, создает в нем Program Segment Prefix, считывает туда код файла-носителя, корректирует необходимые поля и передает управление этому блоку, т.е. возвращает управление программе-носителю.

Для того чтобы остаться резидентно, вирус корректирует MCB-блоки, трассирует и перехватывает INT 21h. При трассировке INT 21h вирус использует довольно необычный прием. Он берет адрес сегмента DOS недокументированным вызовом INT 21h, выделяет блок памяти и копирует туда сегмент кода и данных DOS. Затем он затирает сегмент DOS байтом CCh (вызов INT 3), перехватывает INT 3 и вызывает INT 21h. Этот вызов проходит код всех обработчиков INT 21h до сегмента DOS, затертого CCh, и в результате происходит вызов INT 3. Вирус перехватывает этот вызов, запоминает адрес соответствующей команды CCh (т.е. адрес первоначального обработчика INT 21h) и восстанавливает содержимое сегмента DOS. В результате такой процедуры вирус "трассирует" INT 21h, не перехватывая INT 1 и не устанавливая флаг трассировки.

При заражении файлов вирус создает временный файл с именем $$$$$$$$, записывает в него свой упакованный код, добавляет код файла, уничтожает заражаемый файл и переименовывает временный файл в имя заражаемого.

Если при заражении памяти происходит ошибка, вирус выводит текст и возвращает управление DOS:

Error in ЕХЕ file


("ЕХЕ" - кириллица). В зависимости от системного таймера, если компьютер находится в графическом режиме, вирус вызывает случайную функцию DOS, что может завесить систему.





Face.2521

Неопасный резидентный вирус. Поражает COM-, EXE- и SYS-файлы (кроме COMMAND.COM). При запуске зараженного COM- или EXE-файла записывается в начало первого SYS-файла, отмеченного в C:\CONFIG.SYS, затем возвращает управление программе-носителю. При загрузке из пораженного SYS-файла вирус перехватывает INT 21h и остается резидентным. Затем он записывается в конец COM- и EXE-файлов при их запуске. Периодически запускает по экрану рожицу (ASCII 01). Содержит строку:

COMMAND.COMEXECOMSPEC=C:\CONFIG.SYS DEVICE



Демонстрации вирусных эффектов:

FACE.COM



Face.2848

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и .EXE-файлов. По 4-м числам месяца создает пару файлов, имена которых выглядят следующим образом:

o o 0___0



Затем проигрывает мелодию и выводит сообщения:

Hej ludziu! Moj Autur ma urodziny pozwol wiec, ze:


RESET TERAZ TO STRATA DANYCH NA ZAWLSZE Szyfrowanie tablicy FAT Blokada glowic Zwarcie baterii CMOS Teraz spokoj ! I lepiej nic nie ruszaj Dlugo bedziemy sie tak mierzyc osle ? Jestes niezdecydowany ? Idz do mamy ! Powiedzialbys cos... No,no! Tylko nie ku*wa ! I wylacz NumLock bo prad zreI co pekasz ! Jestem niegroznyMam przeciez serce.Chcesz zobaczyc ?Kutasika tez mam. Pedal ?A teraz nacisnij dowolny wcisk...bym zaczal formatowac dysk.To juz koniec.Na przylosc przytrzymaj ESC, zeby przebiec szybko te textyPS. Jak masz szczescie to nie bedziesz mial dzis klopotow z windows (tfu...), bo moze sie z mojego powodu nie uruchomia. Niestety nie jest to regula; ku rozpaczy gawiedzi







Fack, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. "Fack.180" содержит ошибку и в некоторых случаях портит заражаемые файлы. "Fack.330" содержит строку:

Fack Virus #6...






Faerie, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы кроме COMMAND.COM и записываются в их конец. Содержат строку "COMMAND.*.COM" и:

"Faerie.276,286": Faerie"Faerie.349": W+П- -+ю +ЪАK I$ -+I$ WщRЬD АщMIеG -щ? $MПЪG ЬIVю$.







Faggot.1009

Нерезидентный очень опасный вирус. Ищет и записывается в конец .COM-файлов текущего каталога и каталогов, отмеченных в PATH. Форматирует первые треки всех доступных дисков. Стирает содержимое некоторых секторов. Выводит текст:

Drive Fucked Up by the Anti-Faggot Virus! Hey you! I am the anti-faggot virus!! Insert your fingers in the ears and eat something! Excuse me.....now I must fuck up your disk!! I am sorry!





Fair, семейство

Неопасные резидентные самошифрующиеся вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним.

Fair.2083

При запуске некоторых файлов (вирус проверяет их заголовок) выводит сообщение:

This is an [ illegal copy ] of KeyPress virus removerSystem Halted



Также содержит текст:

Eternal Fair




Fair.2340

Не заражает файлы SCAN.EXE и COMMAND.COM. При 800h-м обращении к уже зараженному файлу вирус выводит текст:

Time Machine, Running.






FallenAngel.338

Безобидный нерезидентный вирус. При запуске ищет COM-файлы, затем файл C:\COMMAND.COM и записывается в их конец. Содержит строки:

*.COM C:\COMMAND.COMFALLEN_ANGEL_







Falus.1181

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или при вызове DOS-функций FindFirst/Next FCB (команда DIR). При заражении памяти оставляет в ней не только свой код, но и код программы-носителя. Если при заражении файла произошла ошибка, вирус стирает на диске случайно выбранный сектор. Содержит строку:

FALUS POTRUS Is Fucking You.






Fans.560

Резидентный безобидный зашифрованный вирус. Перехватывает INT 01, 21h и заражает COM-файлы при их запуске. Шифрует себя и записывает в конец файла, затем записывает подпрограмму расшифровки в начало файла. В результате вирус состоит из двух блоков: блок расшифровки (в начале файла) и основной блок кода (в конце файла).

Используя перехваченный вектор INT 01 вирус запрещает трассировку. Содержит текст:

COMEXE Fans Ver 0.01






Fantasma.1000

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или открытии. Начиная с 2000-го года 5-го марта записывает в MBR и первый boot-сектор винчестера программу, которая при загрузке с диска расшифровывает и выводит текст:

Internal Error


Вирус также содержит зашифрованную строку:

Virus FANTASMA. Mexico 1996






Findme, семейство

Нерезидентные неопасные вирусы. Заражают COM-файлы текущего каталога. "Findme.695" иногда выводит фразу

You is infected by virus... Find me !






Fingers.1322

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. С 11-го ноября перехватывает также INT 9 и после 1500-го нажатия на клавиши выводит текст:

CRITICAL ERROR 08/15: TOO MANY FINGERS ON KEYBOARD ERROR.






Finnish, семейство

Резидентные безобидные вирусы. Перехватывают INT 21h и записываются к конец открываемых или запускаемых .COM-файлов. Никак не проявляются. Записывают в начало файлов коды:

"Finnish.706":


LOCK MOV AX, offset Virus JMP AX



"Finnish.357":


XCHG BX,AX MOV AX, offset Virus JMP AX







Fire.2682

Безобидный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку:

Fire walk with me.






First.343

Безобидный резидентный вирус, перехватывает INT 21h и заражает .COM-файлы при обращениях к ним. Содержит текст:

First 1.1 Copyright (с) 1997 DataLife+ Corp.






Fis.736

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их начало. В зависимости от своего счетчика либо меняет экранные фонты, либо выводит текст:

#Kocham EWE P.- FiS#






Fish#6, семейство

Резидентные опасные зашифрованые стелс-вирусы. Перехватывают INT 13, 21h и записываются в конец COM- и EXE-файлов при их выполнении или закрытии. У заражаемых файлов увеличивают на 100 значение года последней модификации яфайла.

Поддерживают практически все функции стелс-вируса (см. описание вируса "Frodo" ). Шифруют свое тело не только в файлах, но и в своей TSR-копии. При входе в вирус по цепочке INT 21h вирус расшифровывает себя, при выходе - зашифровывает.

Начиная с 1991г завешивают систему, предварительно сообщив:

FISH VIRUS #6 - EACH DIFF - BONN 2/90


Помимо этой содержит строки:

COD SHARK CARP BASS TROUT MUSKYZ SOLE PIKE MACKEREL FISH TUNA FISH FI


"Fish#6.b" очень опасен: если текущая дата совпадает с номером месяца стирает сектора диска C:. Содержит в себе строки:

Don't trouble trouble until trouble troubles you.(c)Fly







Fisher, семейство

Непасные резидентные стелс -вирусы. Перехватывают INT 21h и записываются в конец файлов.

Fisher.1100

Поражает COM-файлы. Содержит в себе строку "COMcom". Безуспешно пытается вывести фразу:

Copyright 1992 by Fisher. Version 3.0 . PUNK-ROCK & BEER FOREVER !


Fisher.2420

Поражает COM- и EXE-файлы. Перехватывает также INT 17h и при выводе на принтер текстовой информации вставляет после знаков препинания матерные слова. Содержит в своем теле тексты:

COMcomEXEexe(c) Copyright 1991-92 by Fisher. Version 2.0 .Идея эффектов на принтере - ДАС-2, комната 1405 .







Fission.517

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Содержит строку:

[Binary Fission] v1.0 [ML/PS]






Fist, семейство

Безобидные зашифрованные вирусы. Записываются в конец файлов.

Fist.403,625

Нерезидентные вирусы, ищут в текущем каталоге .COM-файлы и заражают их. Содержат тексты:

"Fist.403": *.COM Screaming Fist (c)1"Fist.625": *.COM Screaming Fist (c)10/91



Fist.683

Резидентный вирус, не зашифрован, перехватывает INT 21h и заражает .COM-файлы при доступе к ним. Содержит текст: "Screaming Fist (c)10/91 C:\COMMAND.COM COMSPEC=".

Fist.692,696,711,732,838,855,862, Fist.Stranger

Резидентные вирусы, "Stranger.709.b" - не шифруется. Перехватывают INT 21h и записываются в COM- и EXE-файлы (включая COMMAND.COM). Содержат тексты:

"Fist.696,732": C:\COMMAND.COM Screaming Fist II"Fist.692,711": Screaming FistC:\COMMAND.COM"Fist.855,862": Screaming Fist IIC:\COMMAND.COM"Stranger.709.a": I am a stranger in a strange land..."Stranger.709.b": I am a Stranger in KOREA ...







Fistik.1280

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Выводит текст:

DБnyalar TatlНsН Sevgilime3.14 Seni Аok Seviyor FISTIK.







FITA.401

Опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Проверяет наличие антивирусов в системной памяти и завешивает компьютер, если обнаруживает некоторые из них. Содержит строку:

Fist in the air, in the land of hypocrisy






Flaco, семейство



Flaco.1330

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. Может испортить файлы при заражении. Уничтожает файлы ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS. Содержит строку:

por El Flaco anti-vir.dat chklist.ms chklist.cps




Flaco.Megadeath

Резидентные зашифрованные вирусы. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске.

"Flaco.Megadeath.687" безобиден, содержит строку:

Megadeath v0.04с... (c) El Flaco


"Flaco.Megadeath.1017" опасен, в зависимости от своего внутреннего счетчика ищет .TXT-файлы и дописывает в их конец строки:

Che, que mal!, tu sistema estа infectado por un virus,pero no te preocupes, si no lo jodes el tampoco te va a joder a vos...Megadeth v0.07 por El Flaco





Flaco.Ozzy

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку:

Ozzy Osbourne virus por El Flaco






Flagyll, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются вместо .EXE-файлов при их запуске. Содержат строки:

-=[Crypt Newsletter 13]=- EXE COM



и:

"Flagyll.316,318": Flagyll"Flagyll.369,371": Flagyll-Z







Flash, семейство

Неопасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец .COM- и .EXE-файлы при их запуске. Проявляются только на адаптере CGA какими-то видеоэффектами.





Flavour, семейство

Неопасные резидентные вирусы. "Flavour.989" зашифрован. Перехватывают INT 21h и записываются в конец COM-файлов при обращениях к ним. 9-го сентября выводят тексты:

"Flavour.911":


Hello !! I am [Flavour V1.3с] By Dark Killer ... at Taiwan Power Virus Organization !! 1995/07/06



"Flavour.989":


Hello !! I am [Flavour V1.2] By Dark Killer ... At Taiwan Power Virus Organization ! 1995/07/02/Sunday







Fletan, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. После 7-го заражения записывают себя вместо всех файлов текущего каталога. Содержат строку:

UPC-Fletan (C) Suprunaman'95






Flex.491

Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в конец COM-файлов при их запуске. По 17-м числам после 22:00 при нажатии на клавишу 'Del' вирус выводит текст:

Flex-It-Up gal! Time to have sex!


Вирус содержит в себе и другие тексты:

Admiral Bailey [FLEX]






Flood.304

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается вместо COM- и EXE-файлов при их запуске. Содержит/выводит строки:

Burn:CycleYou picked the leave with the virus on it!(c) Atomic Morphine/ FLooD 1999Hey Bud.. You picked the leave with the virus on it!Bad command or filename







Floriana.939

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. 17-го ноября выводит сообщение:

  Floriana Bertelli  2 occhi da sognare  2 occhi da baciare  







Flower.883

Очень опасный нерезидентный зашифрованный вирус, ищет .EXE-файлы и записывается в их конец. Периодически записывает вместо файлов небольшую программу, которая при старте выводит на экран текст:

FLOWER


Support the power of women Use the power of man Support the flower of woman Use the word FUCK The word is love



Originally released 7 April '92






Flowers.1688

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и .EXE-файлов. Перед заражением каждого файла пытается заразить C:\COMMAND.COM. По 1-м числам в 3:30 стирает CMOS и сектора дисков. Содержит строки:

GOLDEN FLOWERS!VEGERATABLES!PLEASE REMEMBER239C:\COMMAND.COMSAE7







Floyd.1542

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Проверяет имена файлов и не заражает антивирусы в соответствии со строкой "tbscclhirsf-" (по два байта на имя - TBAV, SCAN, CLEAN,...). В зависимости от своих счетчиков выводит текст:

Now life devalues day by day, as friends and neighbours turn away,And there's a change, that even with regret, cannot be undone... PiNK FLOYD, The Division Bell. MCH' 97 [Any Key]



Содержит также строку:

FLOYD ViRUS v.1.01.095






Flu.1160

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Не заражает антивирусы TBAV и FINDVIRU. При вызовах INT 9 (клавиатура) ищет на экране тексты:

password:Hola! Hello! Como estas?



затем в зависимости от каких-то условий записывает какие-то коды в буффер клавиатуры.

Содержит зашифрованный текст:

This harmless virus was made in Argentina on 8/95 by Rla, it is used to get passwords in some BBSs like Giga-System or SION, the name of the virus is GetPass ASS







Flue.1179

Неопасный нерезидентный полиморфик -вирус. При запуске ищет .COM-файлы и записывается в их конец. Перед заражением добавляет к файлу случайно выбранный блок данных случайной длины. При удачном заражении переворачивиет экран. Содержит строки:

"Ээц ртю 0нЗ#<", 0рy0: [DрRkRрY]Hatsjeee!! (C) 1992/1993 by TridenT / [DрRkRрY]Oh, BTW it's from Holland,and is called THE FLUEFor those who are interested......





Демонстрации вирусных эффектов:

FLUE.COM



Fly.1769

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов. Иногда перехватывает также INT 1Ch (таймер) и проигрывает мелодию. Содержит в себе строку:

Fly 1.1




Демонстрации вирусных эффектов:

FLY1769.COM



Fm.765

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит в себе строки:

MsDosCOMMANDFMCIKLMOFR







FNS_Monster.298

Безобидный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Никак не проявляется. Содержит строку:

F.N.S. Monster 2.0






Folco.512

Безобидный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. При заражении использует недокументированные System File Table. Никак не проявляется. Содержит строку:

Folko






Foma, семейство

Неопасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец COM-файлов при их запуске или открытии. При запуске AIDSTEST выводят одно из сообщений и завешивают компьютер:

Abnormal program termination?KMON-F-System read failure halt 177640Unrecognised error. DMA failure.



В зависимости от текущей даты и своих счетчиков меняют палитру экрана или выводят текст:

У меня был друг, его звали Фома,Он забыл все слова кроме слова "чума".С утра было лето, а теперь - зима;Наверное мой реверс сошел с ума.



Я устал пить чай и стал пить вино,Зажег весь свет, но стало темно.Десять лет я озвучивал фильм,Но это было немое кино.



Панки любят грязь, а хиппи - цветы;И тех и других берут менты.Ты можешь жить любя, ты можешь жить грубя,Но если ты не мент - возьмут и тебя.



Я видел чудеса обеих столиц -Святых без рук и женщин без лиц.Все ангелы в запое, я не помню кто где;У рокеров - рак мозга, А джазмены в ...!



Я устал пить чай и стал пить вино,Зажег весь свет, но стало темно.Десять лет я озвучивал фильм,Но это было немое кино.





Вирусы содержат также строки:

"Foma.972": STIN V:1.02"Foma.1000": STIN V:1.01"Foma.1200": STIN V:1.00 ( CGA/EGA/VGA Terminal Color Invertor ) 11-Nov-1991. Kpyтым тоpчальникам и неслабым шизовикам посвящается ........"Foma.1733": FOMA V:1.01"Foma.1900": FOMA V:1.00







Forger.1000

Очень опасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец .EXE-файлов. Периодически изменяет информацию, записываемую на диск. Содержит текст:

*.exe






Formas.1146

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. По пятницам "осыпает" символы на экране и выводит текст:

Ez aztаn FORMПS kis gВp !?! ( lett )






FP.332

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается вместо них. Оставляет в памяти резидентную программу, которая перехватывает INT 8 (таймер) и периодически добавляет в буффер клавиатуры текст:

Fisher Price 96


Вирус содержит строки:

Ok.*.COMDos Auto-exctractible archive,







Fr.1013

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит внутри себя слово "FR".





Freak.938

Неопасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. При заражении выводит одно или несколько сообщений:

YOUR SYSTEM HAVE A HARMFULL VIRUS : FREAK !!!This program was written in the city of Istanbul by Freakeinstein,(c)1992-93Press any key to return to DOS



Any key to continue


(Freakeinstein 92-93 Version ggБ.4)Killing



Fuck of Armenian SlaughtersPress any key to continue



Также содержит строку:

Freak Was Here...






Fred.657

Безобидный резидентный вирус. Перехватывает INT 9, 13h, 21h и записывается в конец COM-файлов при обращении к ним. Никак не проявляется. Содержит в себе строку:

Fred






Freddy, семейство

Резидентные очень опасные вирусы. Перехватывают INT 21h и записывается в конец COM- и EXE-файлов. Файл COMMAND.COM поражается по алгоритму вируса "Lehigh" , длина файла при этом не увеличивается.

Freddy.1870

Содержит текст "COMMAND.COM *.COM". Затирает сектора дисков строками:

Freddy Krg


Freddy.2271

Полиморфик-вирус. При каждом вызове INT 21h ищет COM- и EXE-файлы и записывается в их конец. Периодически записывает в файлы мусор. Содержит тексты:

COMMAND.COM *.COM *.EXEFreddy KRueGer 2.1Fridrik!







FreddySoft.1663

Безобидный нерезидентный зашифрованный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Содержит строки:

FREDDY_SOFTjln lobilobi blok Q27 Kalibata indah JAKARTA SelatanGreetings to STACK RIPPER, DOUBLE CLICK, SINGLE DRIVECOMEXESYSAUTOEXEC.BATIBMBIO.COMIBMDOS.COM







Freedom, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 3, 21h и записываются в конец COM- и EXE-файлов (кроме COMMAND.* и AIDS*.*) при обращении к ним функциями FindFirst/Next. Кроме того перехватывают команду записи в файл (AH=40h; "Freedom.3600" также обрабатывает чтение: AH=3Fh) и ищут в записываемом ("Freedom.3600" - и считываемом) буфере строки:

"Freedom.2248": воен, солдат, оруж"Freedom.3600": военком, полковник, призывн, вооружен



Если такие строки найдены, то вирусы стирают сектора дисков, CMOS и выводят сообщения:

"Freedom.2248": F R E E D O M"Freedom.3600": С В О Б О Д А



Под отладчиком "Freedom.2248" проявляется тем же образом: стирает диски, CMOS, выводит сообщение. Вирусы также содержат строки:

"Freedom.2248":


COMMAND AIDS .EXE .COMЗакон о всеобщей воинской обязанности - ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека !ВвОоЕеНнСсОоЛлДдАаТтОоРрУуЖжС В О Б О Д А * 1.45/2/01.02.1995ПОМНИТЕ - УНИЧТОЖИВ ЭТУ ПРОГРАММУ ИЛИ ЕЕ СОЗДАТЕЛЯ,ВЫ УНИЧТОЖИТЕ СЛЕДСТВИЕ, НО НЕ ПРИЧИНУ ...



"Freedom.3600":


* 2.15/3/09.05.1995ПОМНИТЕ - УНИЧТОЖИВ ЭТУ ПРОГРАММУ ИЛИ ЕЕ СОЗДАТЕЛЯ, ВЫ УНИЧТОЖИТЕСЛЕДСТВИЕ, НО НЕ ПРИЧИНУ ...COMMAND AIDS ADINF WEB .EXE .COMВвОоЕеНнКкОоМмПпОоЛлКкОоВвНнИиКкПпРрИиЗзЫыВвНнВвОоОоРрУуЖжЕеНнЛюбой Человек имеет право на С В О Б О Д У, право Ж И Т Ь,право Н Е У Б И В А Т Ь. Закон о всеобщей воинской обязанностиЛИШАЕТ Человека всех этих прав.







Freemun.200

Безобидный нерезидентный вирус. Ищет COM-файлы и записывается в их начало. Никак не проявляется, содержит строку:

*.com






Freew

Очень опасный нерезидентный вирус. Сканирует диски и записывается в начало .COM-файлов (кроме COMMAND.COM). Может записывать вместо файлов небольшую программу, которая при запуске выводит на экран:

Program terminated normally


и возвращается в DOS.

Вирус также содержит тексты:

Freew.. *.* *.com COMMAND.MKS_VIR.







Freezer, семейство

Опасные резидентные вирусы, "Freezer.980" зашифрованный. Перехватывают INT 8, 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своих счетчиков стирают CMOS. Содержат строки:

"Freezer.830": I am Freeze"Freezer.980": I am Freezer. V2.0







Fricker.395

Неопасный нерезидентный вирус. Записывается в конец .COM-файлов. При запуске сначала заражает файл C:\COMMAND.COM, затем .COM-файлы текущего каталога. В зависимости от системного времени расшифровывает и выводит текст:

FRICKER-1 is glad to meet YOU!






Frida.538

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске или открытии. 1-го августа выводит текст:

FRIDA


Содержит строку:

LoRD Zer0




Демонстрации вирусных эффектов:

FRIDA.COM



Friday13, семейство

Нерезидентные очень опасные вирусы. При запуске ищут все .COM-файлы текущего каталога (кроме COMMAND.COM) и записываются в их конец. По 13-ым пятницам уничтожают файл-носитель. Содержат строки:

*.COMCOMMAND.COM



и:

"Friday.540": INFECTED"Friday.613": ENET_INF





Выводят на экран тексты:

"Friday.540":


WARNING!!!! THIS PROGRAM IS INFECTED WITH VIRUS-B!IT WILL INFECT EVERY .COM FILE IN THE CURRENT SUBDIRECTORY!.



"Friday.613" (по воскресеньям, в вирусе текст зашифрован):


ENET Nз37 Virus benigno - Por EDGE BAND!Realizado por un alumno del Enet 37 (?) 25/5/92Hmmm.. иTe parece usar la computadora un Domingo?Presiona una tecla....







Friends.1361

Резидентный неопасный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при обращениях к ним. Содержит текст "*. *.exe", периодически расшифровывает и выводит на экран:

FRIENDS OF MAIS and CLAUDIA SCHIFFER






Frodo, семейство

Резидентные очень опасные стелс -вирусы. Трассируют и перехватывают INT 13h, 21h, затем записываются в конец COM- и EXE-файлов при их запуске или закрытии. Возможно поражение файлов данных. Дописывают свою копию так, чтобы размер файла увеличился ровно на 4096 байт (см. описание вируса "Eddie .2000"). У пораженных файлов увеличивают значение времени последней модификации на 100 лет. У COM-файлов изменяют первые 6 байт, у EXE-файлов - заголовок.

При создании резидентной копии располагаются в старших адресах, что приводит к заражению файла COMMAND.COM. Устанавливают в своем MCB адрес владельца (owner), совпадающий с адресом владельца первой MCB в системе, маскируясь под DOS. В дальнейшем копия вируса может перемещаться по памяти в направлении младших адресов, выделяя себе новые участки памяти и освобождая старые.

Полноценные "стелс"-вирусы: обрабатывают 20 функций INT 21h, (FindFirst, FindNext, Read, Write, Lseek, Open, Create, Close, Exec и т.д.) и хорошо маскируются. При обращении DOS к зараженному файлу вирусы подставляют его первоначальную длину и время модификации. При чтении файла или загрузке его в память модифицируют считанную с диска информацию таким образом, что файл предстает в незараженном виде. При открытии файла для записи вирусы лечат его (так как запись в файл может уничтожить часть вируса) и снова заражают при закрытии.

Проявляются с 22 сентября по 31 декабря ежегодно: уничтожают загрузочный сектор флоппи-дисков и MBR-сектор винчестера, записывая в них собственный код. При загрузке с такого диска на экран большими буквами (при помощи псевдографики) выводится фраза:

FRODO LIVES!




Демонстрации вирусных эффектов:

FRODO.COM



FrodoSoft, семейство

Безобидные нерезидентные вирусы. Ищут COM-файлы и записываются в их конец. Содержат в себе строку: "(c) Frodo Soft". "Frodo.563,633,656" - зашифрованы.

"FrodoSoft.590" в некоторых случаях изменяет атрибуты файлов. Иногда возвращается в DOS без выполнения программы-носителя. Содержит строку:

(c) fotos rofd


"FrodoSoft.633,656" уничтожают файлы MKS*.EXE.





Frogalley.1500

Резидентный очень опасный вирус. Перехватывает INT 20h, 21h, 2Fh, затем TSR-копия вируса периодически ищет .COM-файлы текущего каталога и записывает вирус в их начало.

Определяет защищенный от записи диск чтением/записью по INT 13h. 5 числа устанавливает INT 9 и по 55-му нажатию по клавишам клавиатуры уничтожает файлы и выводит текст:

(V) AIDS R.2A - Welcome to Frog's Alley !, (c) STPII Laboratory - Jan 1990





Froll.1665

Опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строки:

*.COM S\C:\DOS\*.COM C:\COMMAND.COM C:\CHKLIST.CPS C:\DOS\CHKLIST.CPS C:\SENTRY.LOG C:\NAV_._NOHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHeyHowDo YouDo HowDo YouDo HowDo YouDo HowDo YouDo HowDo YouDo HowDoLayOf LayOf LayOf LayOf LayOf Lay Of Lay Of Lay Off layofffffffff/up/fffffv[V]=r[ъ]*i[A]Hey Hey Hey Hey Hey Hey Hey HeyFroll



Уничтожает файлы из второй строки, проявляется видео и звуковым шумом, завешивает компьютер.



Демонстрации вирусных эффектов:

FROLL.COM



Fruit.1623

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и EXE-файлов при их запуске или переименовании. Ищет в памяти строку "@AST94" и, если таковая обнаружена, каким-то образом правит этот участок памяти. Блокирует открытие файлов CHKLIST.* и возвращает код ошибки. Содержит строки:

@AST94.COM.EXECHKLISTFRUIT







Frz.1567

Опасный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывает себя в конец .COM- и .EXE-файлов при их запуске. При 666-м заражении стирает CMOS компьютера. Под отладчиком стирает таблицу векторов прерываний и завешивает компьютер. Содержит в себе текст:

Frz






FSMM.2971

Опасный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в середину EXE-файлов при их запуске или открытии. При заражении вирус считывает 2971 байт из начала EXE-модуля (сразу за EXE-заголовком), шифрует и записывает этот блок в конец файла. Затем вирус шифрует свой код и записывает его в образовавшуюся "дыру". При заражении вирус может испортить файлы - при запуске они вешают систему.

Вирус проверяет имена файлов и не заражает файлы: AI*.*, AD*.*, WE*.*.

Содержит строку:

Fire/Space version 1.0, from Новгоpод, with FSMM v1.0(Fire/Space Mutant Machine)







FSN.1279

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит текст:

+-------------------------------+| Have you voted F.S.N.? || Well, you can fuck it now ... |+-------------------------------+



Также содержит строки:

*.COM FSN






Fuga.969

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в середину запускаемых COM- и EXE-файлов. При заражении ищет в файле область постоянных данных и записывается вместо них, в результате длина файла не изменяется. Перед тем, как вернуть управление программе-носителю, вирус восстанавливает эти данные.

В зависимости от системной даты и времени вирус расшифровывает и выводит текст:

<------- ERROR CRITICO: Fuga de presiвn en el monitor.


затем вызывает видео-эффект.



Демонстрации вирусных эффектов:

FUGA.COM



FullDead.526

Очень опасный нерезидентный зашифрованный вирус. Ищет COM-файлы и записывается в их конец. В зависимости от своего счетчика форматирует дискету A: и выводит текст:

Full Dead


Содержит также слово-идентификатор:

Ok






Fumble, семейство

Опасные нерезидентные вирусы. При запуске ищут .COM-файлы текущего каталога и записываются в их конец. По окончании своей работы вирусы оставляют резидентную программу, которая перехватывает INT 17h и меняет знаки, выводимые на принтер. В начале вируса содержатся тексты:

V1*.COM



Fumble.867

Оставляет в памяти резидентную программу, которая подменяет некоторые знаки, вводимые с клавиатуры. На время работы зараженного файла устанавливает на себя прерывания 16h, 20h, 21h.





Funeral, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их открытии или загрузке в память. Примерно раз в час играют похоронный марш, "Funeral.921" после этого перезагружает компьютер. "Funeral.900" перехватывает также INT 1Ch, "Funeral.921" - INT 8.



Демонстрации вирусных эффектов:

FUNERAL.COM



Funky.692

Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в запускаемые COM-файлы. При заражении ищет в файле "дыру", содержащую постоянный байт и, если таковая обнаружена, записывается в эту "дыру". В противном случае записывается в конец файла.

При нажатии на Alt-Ctrl-Del проигрывает мелодию и затем перезагружает компьютер.



Демонстрации вирусных эффектов:

FUNKY.COM



Futhark.968

Безобидный резидентный зашифрованнфй вирус, перехватывает INT 21h и записывается в начало COM-файлов при их выполнении. Содержит в себе строки:

[Futhark] by -:\) DEMORALiZED YOUTH (/:-Ni S Solu Sot Uk Ni Sakse Stain Skorin







Future.3180

Безобидный резидентный стелс -вирус. При запуске зараженного файла ищет в области ENVIRONMENT строку COMSPEC=, заражает командный процессор (COMMAND.COM) и лечит свой файл-носитель. При запуске зараженного командного процессора вирус перехватывает INT 21h и затем записывается в конец COM- и EXE-файлов при обращениях к ним. Содержит строки:

COMSPEC=C:\COMMAND.COM command.com\ARJ. .COM .com .EXE .exe \AIN. \ain. \RAR. \MSAV. C:\COMMAND.COMPATH=C:;C:\NC;C:\UTILS;C:\RBASE_4;Terminator Model 1.3 *Future Virus*







Fva.1635

Опасный резидентный вирус. Записывает свою TSR копию по адресу 9F60:0000 без коррекции MCB, что может завесить компьютер. Затем перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит строку:

Fva iitd






Fyodor.145

Очень опасный нерезидентный вирус. Ищет .COM-файлы, записывается вместо них, выводит сообщение "Bad command or file name" и возвращает управление DOS. Единственная интересная особенность вируса заключается в том, что он имеет формат ZIP-файла, т.е. заголовок файла содержит идентификатор ZIP-архива ("PK") и прочие необходимые поля. Вирус также содержит строки:

*.comfyodor







FCL.2044

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает файлы с именами HW*, V3* и т.д. в соответствии со строкой (по два символа на имя):

HWV3F-J2T2TKTVTBWCCODEVIFIGIRAFEMTBRWI


Стирает CMOS: 25 декабря, или если системная дата - 3 декабря 1997, или в зависимости от системных условий (если установлен какой-то резидентный антивирус?).

Содержит строки:

[FCL virus ] Nice Meet You See AgainNO WORK LAW







Falopa.548

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. 25-го декабря выводит текст:

No se metan en elcamino de la drogaque somos muchosy hay poca.Falopa Virus Parana







Face.1281

Опасный резидентный зашифрованный вирус. Перехватывает INT 8, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Перехват INT 8 (таймер) используется вирусом при шифровке. Вирус содержит ошибки и иногда заражает файлы данных, что может привести к их порче. Содержит строки:

.EXE.COMCOMMFACE! Virus v0.11 (c)1998. The FINAL Release at the FACE's Generation







Faod.1433

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. Для детектирования своей TSR-копии вызывает INT 21h AH=FAh, TSR-копия возвращает AH=0Dh (причина для выбора имени вируса).

Содержит ошибки и может завесить систему. По 23 и 24 числам в зависимости от текущего времени выводит текст:

### ## ### ############ ############ ############ ########## ### ### ## ## ### ## ###### ## ## ## ## ############ ########## ### ### ## ## ### ###### ## ### ############ ## ## ## ##







Farside, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в начало .COM- (кроме COMMAND.COM) и середину .EXE-файлов при их запуске или открытии. В некоторых случаях выводят тексты:

"Farside.3008":


For cryin'out loud! My circuits are haunted by the ghost of a porcupine. . .


"Farside.3012":


This program has been infected with a nondestructive virus ! For an antivirus call (034).32.09.87 (with CHRIS)



Также содержат строку "COMMAND.COMCOMEXE" и:

"Farside.3008": FARSIDE virus 1.00 (C) Windom Earle ROMANIA






FartStorm.3794

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, закрытии или окончании их работы. Нe заражает антивирусы и утилиты TBAV, F-PROT, CHKDSK, также не заражает COMMAND.COM и файлы, в имени которых присутствует символ 'V'. При открытии или запуске зараженных EXE-файлов вирус лечит их и заражает при закрытии или окончании работы файла.

По понедельникам, которые приходятся на 1, 3, 5, 7, или 9 число любого месяца вирус стирает сектора винчестера. Если при этом на клавиатуре нажимаются какие-либо символы, вирус выводит текст:

The "FartStorm" coded by Demon Emperor >Big hello to Cmoskiller&Xorboot<Are you wild? Hey don't... wait... let us talk... No? Be off lame fuckhead!







Fasola.2215

Неопасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Ищет в Environment строку "JAREK=OFF" и не заражает файлы, если такая строка обнаружена. В зависимости от текущего времени и даты вирус выводит на экран фотографию (автора вируса?) и выводит текст:

Jarek Szczukowski wita !!!


Вирус также содержит строки:

*.* *.exeVirus (C) JaЮ Fasola'95 all rights reservedTylko MKS-VIR to porzЖdny program antywirusowyNie daj siС naciЖgnЖc na jakieЮ Norton Antivirus albo inne badziewie wТadnej graficznej oprawiePamietaj... MKS-VIR





Демонстрации вирусных эффектов:

FASOLA.COM



Fasolo, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются вместо них. 4-го декабря стирают сектора винчестера. Содержат строки:

*.com0 Fasolo VIRUS 0







FastKiller.481

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .EXE-файлы и записывается вместо них, затем выводит сообщение:

Hello, here FAST KILLERWhat happend with your DISK?







FatherVirus.456

Неопасный резидентный вирус. Копирует себя в область данных DOS по адресу 0000:0538, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. 24-го декабря выводит текст:

+---------------------------------+| Merry Xmas & a Happy New Year || from Father Virus! |+---------------------------------+







Fault.9209

Опасный резидентный вирус. При запуске проверяет тип и режим процессора и остается резидентно в памяти только на i386 и выше и только если процессор находится в real mode. Переводит процессор в защищенный режим и оставляет в памяти две свои копии. Одна копия располагается в обычной DOS-памяти, вторую копию вирус оставляет в XMS и объявляет ее супервизором (DOS-окно с этого момента работает в режиме V86).

Первая копия вируса не перехватывает никаких прерываний и вызывается вирусом при заражении файлов. Эта копия никак не маскируется вирусом и видна практически для всех утилит просмотра карты памяти. Вторая копия вируса (как супервизор) перехватывает все прерывания и при вызове INT 21h FindFist/Next FCB (AH=11h, 12h) вызывает код первой копии вируса, который, в свою очередь, записывается в конец EXE-файлов.

Вирус содержит ряд ошибок и часто завешивает систему. Иногда перед этим успевает сообщить:

General Protection Fault. Halting system!Unimplemented Fault. Halting system!







Favor.2576

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-, EXE- и SYS-файлов при обращениях к ним. При создании файлов с расширениями:

ARJ BSA BSN RAR LZH ZIP ARC ZOO PAK SYS


вирус печатает экран (INT 5).





FaxFree, семейство

Очень опасные резидентные самошифрующиеся вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов (кроме SCAN.EXE и VSHIELD.EXE) при их запуске.

FaxFree.1536

25-го и 26-го числа ежемесячно стирает часть данных DOS. В некоторых случаях форматирует диски. Содержит строки:

FaX Free!!P. 0.9 Welcome





FaxFree.Abstract.1024

Безобидный самошифрующийся вирус, содержит строку:

MOSQUITO DOS 7.00 NODOSACT SPECIAL THANKS TO MAXCC (c)91-92 rel.2soon ABSTRACTSPACE P. 0.98 Rev 4 24IX89 bye bye Copy at your own risk



FaxFree.Darkover.1536

Очень опасен, записывает в boot-сектора дисков троянскую пргограмму. Выводит сообщение:

P. 1 Rev 5 DarkOver bye bye


Также содержит строки:

Work Area stopHello this is the core Rev 5 5/17/91 P 1cDarkOver CopyRight Fry/05/17/91 S.U.D., Inc.





FaxFree.Fago_t2

В некоторых случаях выводит текст:

Umb ho utilizzato solo il virwork di DarkOver bye byeFago_T2 new name 2/4/92



Иногда записывает в boot-сектор текущего диска троянскую программу. Также содержит строки:

Work Area stopHello this is the core Rev 5 5/17/91 P 1cFago_T2 data add0022 year 0025Fago_T2 count add 0027 cs 002b



FAM Associates. Kill with us F.A. from PE, Italy. Help us!




FaxFree.Mecojoni

В зависимости от текущей даты стирают сектора дисков и выводят сообщения:

Ti sentivi sicuro. Avevi lo SCAN !!! Invece lo hai preso nel culo. Infatti il virus MECOJONI ti ha formattato l Hard disk. MECOJONI К un virus self-modifying!

Также содержат строки:

Microsoft BASIC 7.1 (C) 1990-91VDSOFT91





FaxFree.Mosquito

Периодически завешивает компьютер. Содержит внутри себя тексты:

WorZ ,Сa stopHello this is the core Rev 3 26/4/91 P 0.98cP. 0.98 Rev 4 24IX89 bye byeMosquito





FaxFree.Pinniz

Зашифрованы. В зависимости от текущей даты стирают область данных DOS по адресу 0000:05xx. Содержат строки:

"FaxFree.Pinniz.a,b":


Noi Otto **Pinniz** Campagna contro la Pirateria Partecipate tutti!!!Vettore PISello ver 2.01 12-2-91



"FaxFree.Pinniz.c,d":


Noi Otto **Pinniz** Campagna contro la Pirateria Partecipate tutti!!!P. 0.9 Welcome





FaxFree.Pisello

"FaxFree.Picello.1024" безобиден, "FaxFree.Picello.1536" стирает данные DOS. Содержат строки:

"FaxFree.Picello.1024": My name is PISello BYE 31-1-91"FaxFree.Picello.1536": PISello ver 2.0 12-2-91





FaxFree.Sultan.2766

Неопасен, выводит текст:

Your pc is ready to leave this world! See u later :)Friendly, your Sultan.



Также содержит строку:

Hello Sultan (c)1992 AZV inc. copy at your own risk!




FaxFree.Topo

Безобидный вирус, содержит зашифрованные строки:

FaX Free!!0.9 WelcomeCOMSPEC=C:\DOS\COMMAND.COMPATH=C:\DOS;C:\WIN3;C:\;C:\TOPO;C:\UTILITYPROMPT=$p$gTEMP=C:\WIN3\TEMP





FaxFree.Tower

Неопасен. Если зараженный файл был изменен, вирус расшифровывает и выводит текст:

THE LEANING TOWER antibiotic Virus activedWarning!! I have detected a dangerous VIRUSin the file you have now loadedRe-Boot your system and delete the file







Fbd.1000

Очень опасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Содержит ошибку и при заражении может испортить файлы. По 2-м числам ежемесячно в зависимости от текущего времени выводит тексты (см. ниже) и либо возвращает управление DOS, либо перезагружает или завешивает компьютер:

Non-System disk or disk errorReplace and strike any key when ready



Insert diskette for drive C: and strikeany key when ready



Program too big to fit in memory


Cannot load COMMAND, system halted






FCruncher.296

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается вместо запускаемых COM- и EXE-файлов, при этом первоначальное содержимое файлов не сохраняется. 255-е поколение вируса форматирует винчестер. Вирус выводит сообщения:

File Cruncher!!Bad command or filename-<([CRUNCH])>-







Fdate1111, семейство

Нерезидентные вирусы, зашифрованы, ищут в текущем каталоге .EXE-файлы и записываются в их конец. Содержат текст "*.EXE". Изменяют дату и время зараженных файлов на 17 августа 1991 г., 2 часа, 8 минут (1111h).

"Fdate1111.537" безобиден и никак не проявляется. "Fdate1111.570" в зависимости от текущего значения таймера может записать в MBR случайную информацию.





Fear.1823

Резидентный опасный самошифрующийся вирус, перехватывает INT 21h (для заражения) и INT 2Fh (для вызова "Ты здесь?"). Записывает себя в конец .COM-файлов при их запуске. Иногда шифрует файлы некорректно - они завешивают систему и не восстанавливаются. Периодически форматирует винчестер и сообщает:

########## ########### ###### ###################### ############ ####### ####################### ############ ######### #################### ####### #### ##### ###### ############## ########### ##### ##### ######################## ########### ############# ################### ####### ############# ################## ############ ##### ######## ################### ############ ###### ######## ###### ############# ############ ###### ######## ###### ######



I am afraid that you have been bitten by the FEARbug. Just think, you may have passed in on to all ofyour friends! What fun that will be when it goes offall of their systems!



FEAR Copyright (c) 1992 NecroSoft Technologies Developed in: The Metropolis of Sodium Chloride in Hydrogeon Dioxide



-AM




Демонстрации вирусных эффектов:

FEAR.COM



February12.1167

Потенциально опасный (см. ниже) резидентный вирус. Трассирует INT 13h, 21h, правит ядро DOS, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. 12-го февраля вирус отключает клавиатуру и аккуратно считывает все сектора винчестера. Похоже на то, что это - "отладочная версия" вируса, а окончательный вариант будет стирать диски вместо чтения с них.





FeelBad.1124

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Выводит сообщение:

Hello...We're very sorry for disturbing your session.We just wanted to state that we feel bad about Ritzen.We have taken the utmost care to insure that nothing has been damaged.Please go on with whatever You were doing.







Feist.670

Резидентный опасный вирус. Записывает свою TSR-копию по адресу 9800:0000 ничего не меняя в полях MCB, что может вызвать зависание системы. Затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит зашифрованную строку:

R.Feist






Felices.1121

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. 17-го февраля стирает MBR винчестера и выводит текст:

**TSB virus, by TSB**нн17/2/1996, Felices 22!!







Feliz.658

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. 22-го декабря расшифровывает и выводит текст:

Pena que Hitler era incompetente. Feliz Natal, Rapha!






Fellow.1019

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .EXE-файлов. В сентябре сообщает:

This message is dedicated toall fellow PC users on Earth Towards A Better TomorrowAnd A Better Place To Live In



В конце зараженных файлов содержится текст:

03/03/90 KV KL MAL




Демонстрации вирусных эффектов:

FELLOW.COM



Fewster.1781

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системного таймера выводит одно из сообщений:

Hahahahahahahahfuckinhahahahahahahah!


You wrote a new virus ? Upload the fucker!


scratches nuts


Anyone who claims his AV software provides 100% detection ofor protection against 100% of viruses is full of shit!



farts anj laxghs


-. .- _..-'( )`-.._ ./'. '||\\. (\_/) .//||` .`\. ./'.|'.'||||\\|.. )o o( ..|//||||`.`|.`\. ./'..|'.|| |||||\`````` '`"'` ''''''/||||| ||.`|..`\. ./'.||'.|||| ||||||||||||. .|||||||||||| ||||.`||.`\. /'|||'.|||||| ||||||||||||( )|||||||||||| ||||||.`|||`\ '.|||'.||||||| ||||||||||||( )|||||||||||| |||||||.`|||.`'.||| ||||||||| |/' ``\||`` ''||/'' `\| ||||||||| |||.`|/' \./' `\./ \!|\ /|!/ \./' `\./ `\|V V V )' `\ /' `( V V V` ` ` V ' ' 'rod.bat



You have 37 virus-writing users ? Wow! I run an *AV* BBS, andTДLФN and Qark and several other Name Brand virus writers callhere regularly. Who have you got ? Deathboy, Nostradamus, and35 other nobodies! Don't try to impress *me* with your |\/|eGakФ0L K-RДD GRuNcHy World's #1 VX BBS bullshit! I wouldn't swap*one* of my users for *all* of yours!



jumps on his harlie




Вирус также содержит строки:

[Rod Fewster's Gonads] Metabolis/VLAD!






FF_Char.1000

Неопасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец EXE-файлов при их запуске. Использует System File Table. В зависимости от своих счетчиков записывает в системную область (keyboard queue) символ FFh.





FFFF, семейство

Опасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в конец COM-файлов при их запуске. В своем начале содержат шестнадцатеричное слово FFFFh. В зависимости от текущей даты "FFFF.432" стирает сектора диска C:, "FFFF.440" проявляется каким-то видео-эффектом.





Fgt.651

Нерезидентный опасный вирус, ищет и записывается в начало COM-файлов. Устанавливает в CMOS 'diagnostics status byte' в FFh. Содержит зашифрованную строку: "*.COM PATH=".





FI.2179

Неопасный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске, переименовании или открытии. Вирус уничтожает антивирусные файлы данных:

ANTI-VIR.DAT AV.CRC AVP.CRC CHKLIST.CPS CHKLIST.MS MSAV.CHK


Начиная с 1996 года, если день совпадает с номером месяца (1-е января, 2-февраля, ...), вирус выводит текст и завешивает компьютер:

+----------------------------------------------------------------------------+| EBOLA@RNA1.polymorphic.virus.FI || || (c) 1995 KL / LAN Vision || MH / Data Fellows Ltd || || (fax +358-0-478 44 599 to get an antivirus program) || ||DISCLAIMER: THIS PROGRAM HAS BEEN SPREAD "AS IS", SO NO WARRANTY OF ANY KIND|+----------------------------------------------------------------------------+





Демонстрации вирусных эффектов:

FI.COM



Fiber, семейство

Безобидные резидентные стелс -полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. При запуске некоторых утилит компрессии файлов и антивирусов вирусы временно отключают стелс-механизм и подпрограмму заражения, для определения этих программ вирусы используют строку:

PKZ ARJ LHA RAR MSB CPB BAC NDD CHK SCAND SPEE DEFSC VE IV F- AV TB LI MFT SI MI SYSI MEM



Вирусы также содержат строки:

Lady Death : DarkFiber [NuKE]Stainless Steel Armadillo







Fichv, семейство

Резидентные очень опасные вирусы, зашифрованы. Перехватывают INT 21h и записываются в начало .COM-файлов. Устанавливают время файла в xx1Fh. В марте стирают содержимое дисков A: и B:, если они - текущие. Содержат текст:

*.com COMMAND****FICHV 2.1 vous a eu*****


Fichv.897

Записывается в конец .EXE-файлов. Содержит текст:

*.exe ** FEXE 1.0 vous a eu **






Fifo, семейство

Безобидные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и при вызове DOS-функции GetDiskSpace (INT 21h, AH=36h) ищут .COM-файлы и записываются в их начало. Содержат строку:

*.COM FIFO






FileHider, семейство

Резидентные вирусы, перехватывают INT 21h и записываются в конец .COM-файлов при их открытии или запуске. При инсталляции так хитро ищут в DOS адрес обработчика INT 21h, что могут завесить компьютер.

FileHider.789

Опасный вирус. По пятницам после заражения очередного .COM-файла устанавливает атрибут hidden у одного .EXE-файла текущего каталога.

FileHider.1057,1067

Неопасный вирусы, периодически выводят одно из сообщений:

Fucky machine! How about buying an AT?Good machine you have!Monochrome is out! Try VGA graphics!Making day out of night again?Give me a rest!Your disk is quite full, isn't it?







Find, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при вызове DOS-функций FindFirst and FindNext (AH=4Eh,4Fh).

"Find.666" очень опасен. При инсталляции стирает один из секторов FAT.

"Find.BigX.610" содержит строку:

BigX