"Euripides.564": [Eurбpides] by Int13h."Tembolo.904": [TEMBOLO] by Int13h * Paraguay"Asterix.744":
* ASTERIX * Guiвn: Goscinny Ilustraciones: Uderzo Programaciвn: Int13hGreetz from Paraguay
"Guarani.597":
Virus Guaranб. Ko programa koa ohai vaekue Paraguay pe Int13h.Guaranб, koa ha'e la дe'e iдaranduvВva ko yvy'ari. еaдe'Иke lo mitГ!
"Pombero.2069": [POMBERO] by Int13h. Un animal inmundo que polimorfea.
"Soledad":
[SOLEDAD] by Int13h * Imported from ParaguayHace mucho tiempo, bajos pretВritos soles palpitaba en el corazвnde los hombres el amor romаntico. Y valбan infinitamente mаsun ramo de flores y un poema que un automвvil y una chequera.Pero llegв el hediondo materialismo a contaminarlo todo; hamatado a la inocencia y con ella ha muerto el amor romаntico :-(Quizаs Manrique tenбa razвn: todo tiempo pasado fue mejor!
Asterix.744
Безобиден и никак не проявляется. Заражает COM-файлы при их запуске, открытии, переименовании, удалении и чтении/записи их атрибутов.Dictator.1954
Неопасный зашифрованный вирус. Заражает EXE-файлы при их запуске, открытии, переименовании и чтении/записи их атрибутов. Не заражает антивирусы SCAN, CLEAN, NAV, F-PROT, FINDVIRU and GUARD. В зависимости от системного времени выводит текст:Virus DictatorSHIT, por Int13h. Dedicado a la sufrida AmВrica Latina,tanto tiempo apestada por viles e insanas dictaduras militares;tambiВn dedicado a todas esas personas que elevaron su vozde protesta reclamando libertad y por ello perecieron en las mazmorras ysalas de tortura de dependencias policiales, o bien arrojadas desde unaviвn en vuelo. Quiera Dios que (parafraseando a Gabo) un virus comoeste nunca vuelva a repetirse. Military Service Suck!нNo colabore con los sacerdotes de Ares!. Paz en vuestros pensamientos.
Euripides.564
Безобиден и никак не проявляется. Заражает .COM-файлы при вызовах DOS-функций FindFirst/Next FCB (команда DIR).Guarani.597
Неопасен, в зависимости от текущего времени выводит текст (см. выше), создает файл GUARANI.TXT и записывает в него тот же текст. Заражает COM-файлы при их запуске, открытии, переименовании, удалении и чтении/записи их атрибутов.Paraguay
Очень опасные зашифрованные вирусы, "Paraguay.2867" - полиморфный. Заражают COM- и EXE-файлы. При инсталляции в память "Paraguay.2867" также заражает C:\COMMAND.COM. Не заражают некоторые отилиты и антивирусы: SCAN, NAV, F-PROT, GUARD, FINDVIRU, AVP, CHKDSK, ZIP, ARJ, RAR, LHA. Уничтожают антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, AVP.CRC.13 сентября "Paraguay.1650" стирает сектора диска C: и выводит текст:
#VIRUS A.J.V.M.#
В апреле с 5-го по 8-е число "Paraguay.2618" стирает файлы в каталоге C:\WINDOWS и выводит текст:
This program was written in the City of Luque - Paraguay - South America. Dedicated to the memory of Kurt Cobain. COBAIN! Virus, programmed by Int13h.
В мае "Paraguay.2867" в зависимости от системного времени уничтожает все файлы в каталоге C:\WINDOWS или стирает случайно выбранный сектор на диске C:, затем выводит сообщение:
VIRUS PARAGUAY Ver. 3.0!
Вирусы также содержат тексты:
"Paraguay.1650":
Hi, I am AJVM. Nice to kill you, friend. PaRaGuAy RuLeZ!
"Paraguay.2618":
Hey, with this card you can't see some graphical effects of viruses :-( Buy a VGA card! Next time you'll be punished under Viral Law #1632. You was warned by COBAIN! Virus, coded by Int13h in Paraguay.
"Paraguay.2867":
Programmed by Int13h, in Paraguay, South America.
Pombero.2069
Неопасный полиморфик-вирус. В сентябре перехватывает INT 8 (таймер) и выводит в верхний левый угол экрана символ рожицы (ASCI 1).Tembolo.904
Безобиден и никак не проявляется. Заражает .COM-файлы при их запуске. При открытии зараженных файлов лечит их (стелс).Демонстрации вирусных эффектов:
I13.COM |
I_am.635
Неопасный нерезидентный полиморфик -вирус. При запуске ищет COM-файлы и записывается в их конец. Выводит текст:-- I am virus ! --
I_Love_DOS.3618
Опасный(?) резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает файлы:AVG AVGW AVGSYS SCAN CLEAN ASTA VSAFE MSAV TURBO WIN BP TRAP TBAV TBDRIVER VCOP GUARD VS 286 386 CHKDSK
В зависимости от текущей даты вызывает звуковой и видео-эффекты, портит(?) CMOS, выводит текст:
CMOS
Your computer will be need a psychiatrist...
DEADТакже содержит строки:
IOSYSCOMSPEC=EXECOM I love MS-DOS !
Демонстрации вирусных эффектов:
I_LOVE_D.COM |
I_Owe
Опасный резидентный вирус. Заражает только файл IO.SYS. При заражении записывается в его заголовок в область, содержащую нулевые байты, если таковая присутствует.При загрузке пораженной системы вирус копирует себя в видео-память, перехватывает INT 1Ah, ждет загрузки DOS, перехватывает INT 21h и при первом вызове DOS-функций записывается в файл C:\IO.SYS. Затем вирус удаляет себя из памяти.
Метод заражения крайне необычен и может привести к зависанию системы. Вирус может поразить компьютер только при загрузке с зараженной дискеты. Вирус содержит строки:
C:\IO.SYSI OWE-=Q=-
IBV.742
Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при обращениях к ним DOS-функциями FindFirst/Next ASCII. 1-го апреля стирает сектора винчестера и выводит текст:Ich bin VAGINA Virus !!
Ice, семейство
Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Зараженные файлы содержат ID-строку "Ice"."Ice.734" также перехватывает INT 1Ch и в зависимости от своего счетчика вирус стирает символы на экране.
"Ice.735" также перехватывает INT 10h и в зависимости от системного времени повторяет символы, выводимые на экран.
Демонстрации вирусных эффектов:
ICE.COM |
ID, семейство
Резидентные вирусы. Копируют себя в область данных DOS по адресу 0060:0000, перехватывают INT 21h и записываются в конец COM-файлов при их запуске."ID.166" также заражает EXE-файлы и портит их при этом. Такие файлы вешают систему при их запуске.
"ID.248" безобиден, никак не проявляется. Содержит строки:
IDFuck you
Ida.1490
Опасный резидентный полиморфик -вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM-файлов при обращениях к ним. Использует нстандартные приемы в своем расшифровщике - его код не содержит ключа расшифровки "в чистом виде". При расшифровке вирус перебирает ключи, расшифровывает себя и проверяет CRC-сумму. Если сумма совпадает, вирус передает управление на свой основной код. Этот метод не всегда срабатывает, в результате чего вирус не в состоянии расшифроовать свой код и завешивает систему.Вирус периодически ищет на экране строку "VERA" и добавляет к ней "IVeronika !". Также содержит строку:
[IDA] v0.01 Serg_Enigma
Idiot.2032,2592
Опасные резидентные вирусы, "Idiot.2592" зашифрован. Содержат текст:=\/\= IDIOT VULTURE =/\/=
При запуске зараженного файла вирус получает управление, перехватывает INT 21h и затем записывается в середину EXE-файлов при их запуске, открытии или чтении/записи атрибутов файла. Перед тем, как вернуть управление программе-носителю, вирус заражает файлы: C:\DOS\FDISK.EXE, C:\DOS\UNDELETE.EXE, C:\DOS\MEM.EXE, C:\DOS\EXPAND.EXE.
Делает он это достаточно сложным способом: записывается в середину файлов между EXE-заголовком и основным кодом файла и затем изменяет в файле случайно выбранные команды перехода JMP FAR и CALL FAR. Адреса переходов изменяются таким образом, чтобы при их выполнении управление передавалось на код вируса. Естественно, что вирус запоминает первоначальные значения этих адресов для того, чтобы корректно вернуть управление программе-носителю.
Затем вирус правит таблицу настройки адресов и некоторые другие поля в EXE-заголовке, сдвигает основное тело файла вниз и записывается между ним и заголовком файла:
До заражения Зараженный файл+-------------+ +-------------+|Exe-заголовок| |Exe-заголовок||-------------| |-------------|<<--+-+|... | |Virus | | ||FAR CALL | |-------------| | ||... | |... | | ||FAR JMP | |FAR CALL | --+ ||... | |... | || | |FAR JMP | ----++-------------+ |... | | | +-------------+
В результате такого заражения заголовок и конец файла остаются практически без изменений, а адрес точки входа в файл (CS:IP в EXE-заголовке) указывает на тот же код, что и до заражения. Код вируса оказывается "слинкованным" с кодом зараженного файла.
Подобный способ заражения содержит несколько ошибок: зараженные файлы часто оказываются испорченными и завешивают систему при их запуске.
Ienez.1428
Очень опасный резидентный зашифрованный вирус. Перехватывает INT 17h, 21h и записывается в конец EXE-файлов при обращении к ним. В зависимости от текущего времени затирает MBR строкой:IENEZ II 29-9-93 VETO !!!
и стирает сектора дисков. В зависимости от своего внутреннего счетчика меняет цифры при из выводе на принтер. Также содержит строку:
IENEZ II (c) DEATHMAN 1993
Ieronim, семейство
Резидентные неопасные вирусы. Перехватывают INT 21h и INT 8, или INT 9, или INT 1Ch и записываются в .COM-файлы (кроме COMMAND.COM) при их загрузке в память. В зависимости от версии внедряются либо в конец, либо в начало файла. "Ieronim.1166,2048" записываются в конец .EXE-файлов.Примерно один раз в час выводят тексты:
+--------------------------------------+| Mulier pulchra est janua diaboli, || via iniquitatis,scorpionis percussio.|| St. Ieronim |+--------------------------------------++--------------------------------------+|Beautiful woman is a devil's entrance,||a way of misfortunes,a scorpion's bite|| St. Ieronim |+--------------------------------------+
Содержат также строку "command".
"Ieronim.Condom" в зависимости от значения системного таймера проявляет поэтические способности и выводит на экран стихотворное произведение:
Le voyage de condom Pомантическая баллада
Использованные пpезеpвативы О,сколько их,изделий из pезины,Плывут неспешно по Москве-pеке. Поглотят бездны мpачные моpей!В воде их ловят коопеpативы Но,по волнам скитаясь непpестанноИ сушат за углом невдалеке Не всем тонуть - кому-то и всплывать...И снова пpодают,и будут долго Один из них достигнет океанаПpепятствовать pождению детей... И станет вокpуг света дpейфовать...Но в сpок положенный впадают в Волгу И будет путь его теpнист и долог,Буpжуйских избежавшие сетей. И в ночь,когда муссонный ливень льет,Их pыбы жpут,их чайки жpут,и вскоpе Его поймает тpалом ихтиолог,Сдыхают от закупоpки кишки... Что пятый день,не пpосыхая,пьет.Но уцелевшие впадают в моpе, И внятный голос музы он услышит,Качаясь на волнах,как поплавки. И,ощущая твоpческий поpыв,Нептун колеблет зыбкие глубины, Сейчас же диссеpтацию напишетИ гонит тучи по небу Боpей... На тему:"Контpацепция у pыб".
Iet.3200
Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляет себя.
Ilja.1704
Резидентный опасный вирус. Перехватывает INT 16h, 21h и записывается в конец стартующих .COM-файлов. В начале зараженных файлов содержится строка "CR". Вирус контролирует клавиатуру - если вводится слово "ilja", вирус перезагружает компьютер.
Ill.1016
Нерезидентный неопасный зашифрованный вирус. Сканирует дерево подкаталогов и записывается в конец обнаруженных .COM-файлов. При каждом 5-ом заражении выводит на экран текст:WARNING : USE ONLY ORGINAL PROGRAMSDON^T COPY ITand now .. I AM ILL !!
Также содержит строку:
\ .. * *.com
Imi, семейство
Неопасные резидентные вирус. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске ("Imi.1536.a" поражает только EXE-файлы). "Imi.1536.c,d,e,f" содержат строку "commandCOMMAND" и не поражают COMMAND.COM. 30-го марта вирусы выводят тексты:"Imi.1536.a":
Hello!This is IMI 1.0b.When you see these words, you have been infected the IMI 1.0b virus.This is just for experiment.Please contact me immediately for cure. Fu-Jen U. E.E. Wilbur Dam.1993.4.8.
"Imi.1536.b,c,d,e,f", "Imi.1538", "Imi.1656":
Hello!This is IMI 1.0b virus!
"Imi.1536.g":
Hello! This is [Pandora III ALPHA]. Writen by Blood Mary Soochow Uni.B.A.
или то же самое, но по китайски.
"Imi.1656" также проигрывает мелодию.
Immortal, семейство
Неопасные резидентные вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец EXE-файлов при обращениях к ним. Лечат зараженные файлы при их открытии. 22-го декабря выводят сообщение:I'M IMMORTAL!
Содержат строку:
IMMORTAL (c) 1994 by MW
Демонстрации вирусных эффектов:
IMMORTAL.COM |
Immune.536
Опасный резидентный вирус. Перехватывает INT 15h, 19h, 21h и записывается в конец COM-файлов при их запуске. Пытается блокировать переход в защищенный режим процессора. Содержит строки:UNIXImmune v2.0
Inch, семейство
Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Некоторые вирусы семейства не заражают файлы C*.COM. Никак не проявляется, кроме "Inch.733". Содержат строки:383*.com
"Inch.733" зашифрован. В зависимости от системного таймера выводит текст и завешивает компьютер:
Почтим ЗАВИСАНИЕМ память китайского хакера, убитого подлыми коммунистами.
Также содержит тексты:
383 v1.5 (C)LovinGOD, fUcKRAINE.This program requires Microsoft Windows.
Incom
Нерезидентный неопасный зашифрованный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец, изменяет при этом первые 6 байт заголовка файла на команду перехода на тело вируса (MOV DX,xxxx; JMP Loc_Virus). В зависимости от текущего времени и своих внутренних счетчиков изменяет цветовую палитру экрана. Содержит текст:INCOM
Демонстрации вирусных эффектов:
INCOM.COM |
Indonga, семейство
Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. В зависимости от системной даты портят CMOS, или что-то проигрывают (пищат?) на Sound Blaster, или возвращают управление DOS вместо программы-носителя.Indonga.2062,2125
Заражают файлы (кроме COMMAND.COM) при их запуске. 22-го и 24-го сентября стирают сектора дисков и выводят текст:"Indonga.2062":
PINDONGA Virus V1.4. (Hecho en ARGENTINA)Programado por: OTTO (16/9/77)Saludos a: MAQ-MARIANO-SERGIO-ERNESTRO-COSTRAPD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)
"Indonga.2125":
PINDONGA Virus. (Hecho en ARGENTINA)Programado por: OTTO (16/9/77)Saludos a: MAQ-MARIANO-SERGIO-ERNESTRO-COSTRAPD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)
Indonga.3652,4010
Перехватывают также INT 20h, 2Fh. Заражают COMMAND.COM также как и файлы, к которым идет обращение.16-го сентября, 25-го февраля, 21-го марта, 27-го августа "Indonga.3652" стирает сектора дисков и выводит текст:
PINDONGA Virus V5.6. (Hecho en ARGENTINA)Programado por Otto (16977)Saludos a MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA-PABLINPD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)PINDONGA Virus (Programado por OTTO en ARGENTINA) 16977.
"Indonga.4010" в зависимости от нескольких условий стирает сектора дисков и выводит текст:
+-----+|SARIN||VIRUS||-----||HECHO|| POR ||-NOP-|+-----+
Industrial.1841
Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы (кроме COMMAND.COM) и записывается в их конец. Проверяет область системных переменных: ищет строку "PROTECT=ON" и не поражает файлы, если таковая присутствует. По 20-м числам выводит текст:Warning lights are flashing down at Quality Controlsomebody threw a spanner and they threw him in the holethere's rumors in the loading bay and anger in the townsomebody blew the whistle and the walls came downthere's a meeting in the boardroom they're trying to trace the smellthere's a leaking in the washroom there's a sneak in personnelsomewhere in the corridors someone was heard to sneeze'goodness me could this be Industrial Disease?'('Industrial Disease' by Mark Knopfler).You should have protected your disk better - this could have been a dangerousvirus. You have been lucky this time...(As all other programs this virus is protected against copying by federal law.)Press any key to start your own program:
Infector.822
Нерезидентный безобидный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. При каждом 3-м заражении сообщает:Я подцепила новую заpазу ! Скоpее звони Лозинскому пока она не ...убежала !
Inferno.781
Очень опасный резидентный зашифрованный вирус. Перехватывает INT 12h, 21h и записывается в конец COM-файлов при их запуске. Под отладчиком стирает MBR винчестера. Содержит строку:NAME OF THIS VIRUS IS "INFERNO" NEXT VERSION WILL BE BETTER...
Infiltrator.304
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в область нулевых байт (если такая существует) .COM-файлов при записи в них (INT 21h, AH=40h). Содержит строку:INFILTRATOR
Info.1355
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске на выполнение. Содержит в себе текст:----------------
Welcome into the virus
(c) 1990 by InfoViruses LaboratoyrI4
V-IVL110 ( COM & EXE )
----------------
To inactivate me,just set to "*" the byte in brackets: [#] Next time, be more prudent !
----------------
При инсталляции вирус проверяет знак в скобках '[#]' (см. текст вверху), и, если этот знак - '*', то вирус не инсталлирует себя в память.
Inside, семейство
Неопасные резидентные вирусы. "Inside.1011" зашифрован. Перехватывают INT 21h и записываются в конец EXE-файлов при обращениях к ним. Под отладчиком (также как и на PC-XT и Pentium-PC) расшифровывают и выводят текст:Not enough memory
Также содержат зашифрованную строку "exe" и:
"Inside.752": INSIDE v1.0 created by XMANDedicate for M Sell !!!"Inside.1011": INSIDE v2.0 created by ? Dedicate for M Sell
Int12.818
Безобидный нерезидентный вирус. Ищет .EXE-файлы и записывается в их конец. Затем дописывает к файлам случайное число байт, в результате чего размер файла увеличивается на случайное значение.Вирус берет значение вектора INT 12h, запоминает его и устанавливает INT 21h в адрет INT 12h. При поиске файлов и их заражении вирус вместо естественных вызовов функций INT 21h вызывает INT 12h.
Int13
Резидентный очень опасный "стелс"-вирус. Перехватывает INT 13h, 21h и записывается в начало COM-файлов при вызове DOS-функции FindNext. Использует достаточно экзотические приемы, которые могут привести к сбою в работе компьютера и к потере файлов.При заражении вирус переписывает первые 512 байт файла в его конец, а на освободившееся место записывает себя. При заражении файла вирус не увеличивает его длину, и первоначальное содержимое заголовка файла остается за его пределами, но файл остается работоспособным.
Для этого вирус определяет физический адрес сектора, в котором сохраняется первоначальный заголовок файла, и в дальнейшем при чтении с диска через INT 13h подставляет вместо зараженных секторов истинные ("стелс"-функция на уровне INT 13h). Таким образом, если компьютер заражен этим вирусом, при обращениях к файлам DOS работает с зараженными файлами как с незараженными.
Для определения физического адреса вирус использует следующий прием: переносит начало файла в его конец соответствующим вызовом INT 21h, который попадает в DOS, затем преобразуется в вызов в формате записи по физическим адресам INT 13h. Вирус перехватывает этот вызов INT 13h и запоминает физический адрес сектора (трек/сторона/сектор в формате INT 13h), в который записывает первоначальное содержимое заголовка файла.
При записи в файл вирус также использует вызовы INT 13h, поэтому ему не нужно обрабатывать атрибуты файла, время файла и ошибку записи на защищенный диск (INT 24h). Вирус содержит строку:
Int 13
Int5
Резидентный неопасный вирус. Перехватывает INT 5, 21h и записывается в начало COM-файлов при их открытии или запуске. Периодически вызывает печать экрана (INT 5).
Int78, семейство
Резидентные безобидные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов. При этом устанавливают вектор INT 78h в первоначальный адрес INT 21h и при вызовах функций DOS используют INT 78h. Больше про эти вирусы сказать нечего.
Int86.500
Резидентный безобидный вирус. Записывается в начало COM-файлов. Перехватывает только INT 86h, но при этом получает управление при запуске файлов.Для этого правит резидентную копию COMMAND.COM - по фиксированному адресу записывает вызов INT 86h. Этот вызов срабатывает при запуске файлов и передает управление резидентному коду вируса.
Работает только под DOS 3.30, так как адрес, по которому записывается код INT 86h верен только для DOS 3.30.
Internal, семейство
Неопасные нерезидентные вирусы. Ищут EXE-файлы и записываются в их конец. В зависимости от текущей даты лечат файл-носитель, затем выводят на экран "кашу" и сообщение:INTERNAL ERROR 02CH.PLEASE CONTACT YOUR HARDWARE MANUFACTURER IMMEDIATELY !DO NOT FORGET TO REPORT THE ERROR CODE !
Демонстрации вирусных эффектов:
INTERNAL.COM |
Int_FF.1024
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При инсталляции сохраняет адрес прерывания INT 21h в INT FFh и при заражении файлов вызывает INT FFh вместо соответствующих вызовов INT 21h.
IntFF.647
Безобидный нерезидентный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Устанавливает прерывание INT FFh на адрес INT 21h, а затем вызывает DOS-функции через INT FFh.
IntMaster, семейство
Резидентные файловые вирусы. Перехватывают INT 22h, возвращают управление программе-носителю, затем ждут окончания ее работы (INT 22h), трассируют INT 21h, заменяют начало обработчика INT 21h в ядре DOS на вызов INT 79h и перехватывают INT 79h.Вирусы заражают OBJ-файлы при их закрытии. При заражении сканируют записи OBJ-файлов, добавляют новую запись, содержащую код вируса, и затем записывают в код OBJ-файла вызов CALL_VIRUS. Если зараженный OBJ-файл скомпилирован в выполняемый, то точка входа в этом файле содержит команду CALL_VIRUS, и при запуске такого файла вирус немедленно получает управление.
"IntMaster.1340" безобиден и никак не проявляется. Содержит текст:
(C) IntMaster, Kiev-1995...
"IntMaster.1878" зашифрован. Заражает также запускаемые COM-файлы, кроме C*.*, при заражении записывается в их конец. Очень опасен: при запуске файлов W*.* в зависимости от текущей даты стирает запускаемый файл, выводит сообщение и завешивает систему:
This program wastes a lot of memory,SYSTEM HALTED...
Содержит также строку:
(C) Ace of Spades , Kiev-1995... Don't be a snub - enjoy yourself!
IntOv, семейство
Опасные резидентные вирусы. Перехватывают INT 21h и заражают COM- и EXE-файлы при их запуске или открытии. Записываются в середину и конец файлов: в "точку входа" (entry point) файла записывают код своего "загрузчика" (69h байт), а в конец файла - остальную часть своего кода и первоначальные 69h байт из точки входа в файле.При запуске зараженного файла загрузчик вируса определяет имя файла-носителя, считывает код вируса из конца файла, выделяет себе блок памяти, копирует туда свой код, восстанавливает код точки входа в программе и возвращает ей управление.
Вирусы заражают COM-файлы только в том cлучае, если они ничинаются с команды JMP NEAR (E9h). При заражении EXE-файлов вирусы проверяют таблицу настройки адресов и не заражают файлы, если в код загрузчика вируса попадают настраиваемые адреса.
Вирусы содержат ошибки и в некоторых случаях вешают систему. Содержат строки:
"IntOv.685":
COMEXEexecom[IntOv]
"IntOv.708":
COMEXEexecom[Internal Overlay, Tcp / 29A]
Intrep, семейство
Нерезидентные безобидные вирусы. Ищут .COM- и .EXE-файлы и записываются в их конец. Содержат в себе строку:*.com *.exe
"Intrep.1092" содержит также текст:
A trip into the realm of intelligent replication...
Intruder, семейство
Безобидные нерезидентные вирусы. Ищут EXE-файлы в деревьях подкаталогов всех дисков и записываются в конец обнаруженных файлов. Содержат текст:\*.EXE \*.*
"Intruder.1353" содержит строку:
Product of Wolters Kluwer Peter Martin.
"Intruder.1413" очень опасен. Если в памяти установлена утилита PRINT.COM, то вирус стирает сектора диска и выводит текст:
Anti-Print III virus detonation!
Invol, семейство
Очень опасные резидентные вирусы. Записываются в конец EXE- и SYS-файлов. В EXE-файлах являются полиморфик -вирусами.При старте зараженного EXE-файла анализируют файл C:\CONFIG.SYS и заражают первый SYS-файл, на который указывает строка "DEVICE=". Если таких файлов нет, то вирусы в некоторых случаях создают 'пустой' файл VANSI.SYS и записывают в начало файла CONFIG.SYS команду DEVICE=VANSI.SYS.
При загрузке компьютера с 'зараженного' CONFIG.SYS вирус остается в памяти как системный драйвер, перехватывает INT 21h и заражает запускаемые EXE-файлы.
Вирусы содержат строку:
c:\config.sys EVICE C:\vansi.sys device=vansi.sys vansi
По 19-м числам стирают FAT диска C: и сообщают:
You have helped spread this virus.This has been a message from your friendlyneighborhood infection service.Thank you for your involuntary cooperation.
Ionkin, семейство
Нерезидентные неопасные вирусы. При старте ищут файлы x*.COM, где 'x' - случайный символ от 'A' до 'Z', зависящий от текущего времени, и записываются в конец обнаруженных файлов."Ionkin.2372" создает и запускает файл IONKIN.COM. Этот файл остается в памяти резидентно и периодически выдает сообщение (ошибка - в оригинале):
+---------------- Работает вирус имени Валерия Ионкина... -------------+| Засуньте, пожалуйста, 10 рублей в дисковод A: или форматирую диску ! |+----------------------------------------------------------------------+
Демонстрации вирусных эффектов:
IONKIN.COM |
Iper.1062
Нерезидентный опасный вирус. Ищет и записывается в конец COM-файлов, начинающихся с команды JMP NEAR (E9h). Нерезидентен, но может оставить в памяти резидентную программу, которая перехватывает INT 13h, затем что-то записывает в порты RS232 и изменяет флаги клавиатуры. Вирус содержит слово:IPER
IR.469
Безобидный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Содержит строку-идентификатор "IR".
Iron.188
Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит строку:Evil has an iron fist
IronMaiden.891
Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. 6-го июля, если этот день - суббота (6-й день 6-го месяца, 6-й день недели) вирус расшифровывает и выводит текст:Won't you come into my room,I wanna show you all my wares,I just want to see your blood,I just want to stand and stare.
See the blood begins to flow,As it falls upon the floor,Iron Maiden can't be fought,Iron Maiden can't be sought.
Oh well,wherever,wherever you are,Iron Maiden's gonna get youNo matter how far.See the blood flowWatching it shed,Up above my head,Iron Maiden wants you dead.
IronMaiden
Нерезидентный очень опасный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. С августа 1990г. в зависимости от текущего времени стирает на дисках по два случайных сектора. Содержит текст:IRON MAIDEN
Istanbul, семейство
Безобидные (кроме "Istanbul.1367") резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. В зависимости от текущей даты лечат файл-носитель. В зависимости от текущей даты "Istanbul.1312" пищит спикером компьютера. Содержат строки:"Istanbul.1312": Written in the city of Istanbul (c)1993 Installed"Istanbul.1349": Anti-Virus?? Written in the city of Istanbul (c)1993"Istanbul.1367": Written in the city of Istanbul (c)1994 by REUIUKRGT
"Istanbul.1367" опасен - уничтожает файлы: X.EXE, CIV.EXE, CНV.EXE, WOLF3D.EXE, RETAL.00, RETAL.01, SUP.EXE, TIM.EXE, TНM.EXE, PRE2.EXE, BIRTH0.PIC, DISCOVR1.PAL, ICONPG1.PAL, YEAGER.EXE, LHX.EXE, JF.EXE.
Italian.578
Очень опасный резидентный вирус, перехватывает INT 21h и записывает себя в конец COM-файлов при их запуске. В апреле выводит текст:0 ITALY IS THE BEST COUNTRY IN THE WORLD 0
и стирает сектора диска. Содержит также фразу:
Fucks to Italian Virus Killers
Демонстрации вирусных эффектов:
ITALIAN.COM |
Itavir.3187
Нерезидентный очень опасный вирус. Ищет в дереве каталогов .EXE-файлы и записывается в их конец. Поиск и заражение производит через INT 25h/26h и переименование файлов. У зараженных файлов устанавливает атрибут 60h. Иногда уничтожает содержимое дисков, содержит тексты:Zione rada0OMMAND COMper questa volta................AHI..AHI..AHI.......Ho proprio l`impressione di essere un VirusMaligno,......Molto maligno (naturalmente)Non vi rimane che da azionare l`interruttoreAUGURI!!!.....................
Itv, семейство
Неопасные нерезидентные вирусы, ищут .COM-файлы и записываются в их конец. Содержат в себе строку "PATH=*.COM" и:"Itv.449": (C) ITV85020203 1990."Itv.454": (C) ITV85020203"Itv.474": (C) 1991.
5-го мая, 16-го сентября, 13-го ноября "Itv.449,474" выводят текст:
Viva MВxico!
13-мая "Itv.454" стирает системную информацию в первом MCB-блоке.
I_Was_Here.710
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. 28-го июня стирает сектора диска, содержит строку:I was here ! - JM
Izhevsk.3474
Опасный резидентный зашифрованный вирус. Перехватывает INT 21h, при вызовах DOS-функции FindFirst ASCII ищет .COM- (кроме COMMAND.COM) и EXE-файлы и записывается в их конец. Использует некорректные антиотладочные приемы, в результате чего не работает на Pentium PC. В зависимости от текущей даты и своих переменных перехватывает INT 1Ch, через некоторое время завешивает компьютер и выводит текст:+------------------------------------+| || Waiting for halting system... || |+------------------------------------+
Также содержит строки:
Sys areaCOMMAND*.com *.exe(C) Izhevsk 1996
Illusion.1330
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или чтении/записи их атрибутов. Содержит ошибки и размножается только при очень ограниченных условиях, в противном же случае завешивает компьютер. Уничтожает антивирусные файлы данных:ANTI-VIR.DAT CHKLIST.MS SMARTCHK.CPS AVP.CRC IVB.NTZ CHKLIST.TAV
4-го июля и по пятницам 2-го числа стирает сектора винчестера, CMOS и выводит текст:
-- IlluSioN viRus coded by ThE_WiZArD in Spain (1997) --When you know that your time is close at handMaybe then you will begin to understandLife down there is just a strange Illusion ...
Вирус также содержит текст:
->#ThE_WiZArD
Ifor.1427
Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых .EXE-файлов. Уничтожает антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.MS, MSAV.CHK, AVP.CRC, CHKLIST.CPS, CHKLIST.TAV, SMARTCHK.CPS, IVB.NTZ. Содержит текст:[BodyCount] version POLY-B by iFOR
IDEA.6126
Неопасный резидентный полиморфик -вирус. Зашифрован трижды - первый раз несложным полиморфик-циклом, второй раз - другим несложным алгоритмом, а в третий раз - крипто-алгоритмом IDEA. По этой причине расшифровка кода вируса является достаточно трудоемкой задачей, и зараженные файлы при запуске "засыпают" даже на Pentium-компьютерах.После расшифровки своего кода вирус перехватывает INT 21h и затем записывается в конец запускаемых COM- и EXE-файлов. Не заражает COMMAND.COM и некоторые антивирусы: TBAV, AVP, NAV, FINDVIRU, F-PROT и т.д. Имена антивирусов определяет по строке (два символа на имя):
TBVIAVNAVSFIF-FVIVDRSCGUCO
После заражения ищет и модифицирует файл ANTI-VIR.DAT - портит имя только что зараженного файла (записывает в первый символ имени байт 01h).
При поиске ZIP-архивов дописывает в них зараженный файл с именем README.COM. При этом вирус создает на диске файл-пустышку, заражает ее и добавляет в архив. В качестве пустышки вирус выбирает одну из трех программ, код которых хранит в своем теле. Эти программы при запуске вызывают видео-эффекты и выводят тексты:
Downloaded Fromhttp://www.narkotic.com/~vico
Da BeSt BoaRd In SPaiN: El GriLLo Loco (34-1-352 24 45)
* ROADKILL BBS *Call now 028-6621590
При заражении ZIP-архивов вирус также создает временные файлы: DIR.SKA, END.SKA, ADD.SKA.
В 15:30 вирус создает файл C:\VIRUS.COM, записывает в него стандартный тестовый файл EICAR, затем проявляется видеоэффектом - выводит в графическом режиме вращающееся сообщение:
Warning!strongcryptoinside
Вирус также содержит строки:
IDEA virus (c) Spanska 98Thx to Rajaat (poly),F Mirza (IDEA),Wild Worker (zip),Solar D (road)
Демонстрации вирусных эффектов:
IDEA.COM |
Ichthum.1024
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Если при заражении файлов возникает ошибка записи на диск, вирус расшифровывает и выводит текст:Insufficient Disk Space (0) File Infected By Ithum
Вирус также содержит строку:
-ichthum-vER1.0
Iwag.4183
Неопасный резидентный полиморфик -вирус. Перехватывает INT 8, 17h, 21h, 2Fh и записывается в конец EXE-файлов при обращениях к ним. При запуске программ также проверяет командную строку. Если она содержит текст "iwag" или "iwagstat", то вирус выводит тексты, за которыми следуют значения внутренних счетчиков вируса:Hello! IWAG Virus, Opole , 1997Usuniecie virusa z systemu: mov ax,0ABABh , int 21hHi Master! Status:Pierwszy nosiciel:
При запуске файлов с именами TD*, вирус выводит текст и перезагружает компьютер:
Program too big to fit in memory
В зависимости от своих внутренних счетчиков вирус открывает/закрывает CD-диск или выводит на принтер один из текстов:
To ja-twoja drukarka:Rzeczy, ktore mi kazesz drukowac sa bez sensu!Moze wreszcie kupisz mi dobry papier?Boli mnie glowa :(Daj mi spokoj!
В зависимости от текущей даты вирус также перехватывает INT 17h (принтер) и меняет символы при печати.
Вирус также блокирует драйвер мыши, пищит системным спикером, выводит текст:
Zartowalem :)
Демонстрации вирусных эффектов:
IWAG.COM |