AntiViral Toolkit Pro Вирусная Энциклопедия

LA.802

Безобидный резидентный вирус. Перехватывает INT 2Fh и записывается в конец COM-файлов при их запуске и SYS-файлов при из открытии. Никак не проявляется.

При заражении памяти проверяет свою TSR-копию вызовом INT 21h, AX=FFFFh. Если вирус уже резидентен, он возвращает "LA" в регистре AX.

Lady.873

Очень опасный резидентный вирус. Перехватывает INT 21h. При обращениях к файлам ищет .COM-файлы и записывается в их конец. В зависимости от текущей даты и своих счетчиков стирает сектора дисков, уничтожает файлы, выводит текст:

TOOTHLESS LADY v.3.0

Вирус также содержит строки:

*.COM COMMAND.COM

Lahyani, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. По 11-м числам выводжят текст:

Abnormal program termination.Please consult your vendor's manual page 68 pargraph 6,9to find out the source of the problem.C:\>

затем открывают файл C:\COMMAND.COM, ищут в нем текст "Bad command or" и заменяют его на другой текст:

[Lahyani is ALIVE]

По 14-м числам выводят текст и стирают сектора дисков:

Although two days ago,You my dear I warned;Still you didn't listenAnd thought it was nothing.Now Lahyani, under the shining sunShall proceed and make you run. - said the poet.

Lamah.563

Опасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец. Под отладчиком и на Pentium PC выводит текст и завешивает компьютер:

How DARE YOU try and trace through my code!!!!FuQn LaMaH!!!

Lame, семейство

Эти вирусы ищет .COM-файлы текущего каталога и записываются в них. При этом "Lame.98,173" уничтожают файлы, а остальные вирусы записываются в конец файлов. Вирусы содержит строки:

"Lame.98": Devastator/PHOBIA"Lame.173": Devastator/PHOBIA '95 Lame virus #2 Program too big to fit in memory"Lame.207": Devastator/PHOBIA Lame virus #3"Lame.435": Devastator Look, we are being encrypted, yes? A big improvement, but still very silly <sniff>"Lame.538": Devastator We are very simple, no? But we do work, and we do not corrupt the program we infect, and that is good, yes? It is also all 100% original code, that has not been ripped off from anywhere, like so many so called virus "writers" that seem to appear everywhere with their silly VCL and MPC generated works of "art"

Lame_II.1123

Очень опасный нерезидентный зашифрованный вирус. Ищет .COM-файлы в текущем и родительском каталогах и записывается в их конец. Содержит ошибки и в некоторых случаях портит файлы при их заражении. Под отладчиком выводит текст и завешивает компьютер:

FUCK YOU LAMER!SYSTEM HALTED

По 30-м числам выводит текст:

(C) 1996 Death WizardCreated In The North Of Sweden A Cold Winter Day...Caio, Your Computer Is Infected By Dark RadiationYour Fucking HardDrive Is NoMore!I Suggest You Get A Newer Copy Of Fuck-Prot Or Else...See Ya Later...(Just Kidding About Your HardDrive)

Также содержит текст:

Dedicated To All The Fucking Lamers In This Fuckin World. Hope You Got Really Scared On The 30:Th\

Семейcтво Lamego

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. При инсталляции в оперативную память также заражают файл C:\COMMAND.COM. В августе расшифровывают и выводят текст:

(C) Virгs LAMEGO 1.0Cвpia de virгs ilegal ...

Также содержат строки:

C:\COMMAND.COM*LAMEGO*

Lamento.2690

Очень опасный резидентный зашифрованнй вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. При заражении памяти также записывается в файлы C:\COMMAND.COM и C:\DOS\MODE.COM. При заражении файла проверяет его имя и не заражает, если имя файла начинается с одной из строк:

PCVIR CENTINEL SCAN CLEAN VSHIELD ATM TB CPAV MSAV TNT FINDVIR VC VREMOVE VSMENU VSCHK MM. KEYB.

21-го января устанавливает системную дату в 20-е января, затем уничтожает файлы C:\AUTOEXEC.BAT и C:\CONFIG.SYS, переименовывает в случайные имена все файлы в каталогах диска C:

\DOS \MSDOS \SYS \DRDOS \IBMDOS\WINDOWS \WIN \WIN3 \WIN30 \WIN31 \WIN311

При уничтоженеии файлов в каталогах Windows вирус также ищет подкаталог SYSTEM. Затем вирус выводит сообщение:

Lamento tener que comunicarle que hoy es 21 de Enero ...... ha sido una cortesбa de Woi

LamersSuprise

Неопасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Содержит/выводит строки:

Lamers Suprise v1.00----Oh No!, All your files are as good as dead, Data files manipulated (only slightly) and executables infected with a BIG FAT VIRUS.--YOU FUCKING LAMER--

Lamour.2461

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии и вызовах DOS-функций FindFirst/Next FCB и ASCII.

Содержит ошибки и в некоторых случаях завешивает систему при инсталляции в память и заражении файлов. 19-го сентября стирает сектора дисков. Содержит строку:

L'AMOUR v2.0  designed by NTUBL (National Taiwan University Bacteriophage Lab)

Lapidario, семейство

Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы (кроме COMMAND.COM) и записываются в их конец. Затем вирусы уничтожают файл CHKLIST.MS. По 18-м числам вирусы стирают сектора диска и выводят сообщение:

"Lapidario.766,768": Lapidario - V1.0 - Argentina 1993 -"Lapidario.787": Lapidario - Argentina 1993 -

Lapiddan, семейство

Резидентные вирусы. Заражают SYS-файлы, при этом записываются в их конец. Перехватывают INT 21h и остаются резидентно как системный драйвер при загрузке DOS. Не исправляют адреса Strategy и Interrupt, а записываются как второй драйвер в цепочке драйверов (коректирует поле NextDevice).

"Lapiddan.457" - безобиден и никак не проявляется. Содержит строку:

lapiddan

"Lapiddan.649,1137" 13-го сентября завешивают компьютер и "мигают" экраном и индикаторами Num/Caps/Scroll Lock. Содержат строки:

"Lapiddan.649":  [ESQUILO] by Xavirus Hacker * Programmed in Paraguay"Lapiddan.1137": [XAVIER!] by Xavirus Hacker

"Lapiddan.1137" также заражает систему COM-вирусом "Xav.Xavier.367".

Larry

Неопасный резидентный вирус. При запуске копирует себя в таблицу векторов прерываний и перехватывает INT 21h. Затем записывается в конец выполняемых .COM- и .EXE-файлов. Периодически выводит текст:

Larry on a Screen

Lasky, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в начало COM файлов при их запуске. Содержат строку "lasky". Никак не проявляются.

Late.248

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Начиная с полночи и до 4:00 выводит сообщение:

Get some sleep, will ya? - Late Night Virus - Jack Damn

Later, семейство

Резидентные безобидные вирусы. Перехватывают INT 21h и записываются в начало COM- и конец EXE-файлов при их запуске или открытии. После инсталляции в память вирусы лечат свой файл-носитель. Если на компьютере установлена DOS версии, меньшей чем 3.0, вирусы сообщают:

"Later.959" : Incorrect DOS version"Later.981" : This program required MS-DOS 3.00 or later

"Later.978" по воскресеньям выводит текст:

TRANSPLANT & NETWARE

Опасный резидентный вирус. Длина - 1024 байта. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. Содержит строки:

(c) Light General.LG

При заражении файла записывает в его конец только 146 байт. Оставшуюся часть своего кода вирус записывает в сектора диска, используя вызовы прямого чтения/записи диска. При заражении файлов вирус может испортить информацию на диске (включая boot-сектор). При запуска зараженного файла вирус считывает с диска свое продолжение и вызывает процедуру инсталляции в память. При заражении памяти вирус также ищет какой-то код и правит его.

Lhb.1989

Неопасный резидентный вирус. Перехватывает INT 21h и при вызове DOS-функций FindFirst/Next ищет и записывается в конец .COM- и .EXE-файлов текущего каталога. Файл C:\COMMAND.COM заражается при запуске зараженного файла. В зависимости от значения своего внутреннего счетчика вирус перехватывает INT 1Ch и выводит сообщения:

Bloody! June 4th Made in Chengdun

It's close to midnight and something,evil's lurking in the dark.Under the moonlight you see a sight,that almost stops your heart.You try to scream but terror,takes the sound before you make it.You start to freeze as horror looks.You right between the eyes,you're paralyzed.Cause this is thriller,thriller night,and no one's gonna save you from the beast about to strike.You know it's thriller night.You're fighting for your life!...(LHB)?!

Демонстрации вирусных эффектов:

LHB.COM

Li, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов при их запуске.

"Li.1178" проверяет ввод с клавиатуры (из DOS prompt) и при вводе строки "pajama" выводит текст: "Welcome Great One!". В некоторых случаях посылает какой-то пакет(?) Novell Netware.

"Li.1413" перехватывает также INT 09h (клавиатура) и при вводе строки "kkyyzz" удалает себя из памяти. При запуске программы LI.EXE вирус запоминает ввод с клавиатуры и затем посылает пакет(?) информации через Novell Netware.

Lib.4000

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при доступе к ним. Содержит строки:

.EXE -V.EXE AIDSTEST TNTVIRUS SCAN DOCTOR DIAG TLINKLIB TPU TPL ARJ $00 ZIP ARC LZH ICE

и не заражает файлы из первой строки (начиная с -V.EXE). Проверяет также расширения файлов по второй строке, но я так и не понял, что же он с этими файлами делает. Скорее всего - ничего.

Liberty.1170

Резидентный неопасный вирус. Перехватывает INT 9, 21h и записывается в конец запускаемых COM-файлов. В начале зараженных файлов находится строка:

Liberty

Вирус проверяет клавиатуру: если нажата комбинация Alt-Ctrl-Del, то вирус выводит на экран текст:

WE ARE THE VIRUSESHAVE ATTACKED YOUR DISKS LKBERTY S S S S S CANISIUS COLLEGE

Демонстрации вирусных эффектов:

LIB_1170.COM

LaLiberte.224

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляется. Содержит строку:

La Liberte

Lichen.1024

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Через месяц после заражения перехватывает INT 8,9 и проявляется видео-эффектом.

Демонстрации вирусных эффектов:

LICHEN.COM

LightGeneral, семейство

Безобидные нерезидентные вирусы. Ищут COM- и EXE-файлы и записываются в их конец. Не заражают файл, если в его имени присутствует любое из сочетаний: DR, AI, MS или CO. Содержат строки:

This virus was made for Computer Virus Club `Stealth`Our address : Kiev 148 - box 10(c) Light General.Kiev.1995.For free use!КИЕВСКИЙ МЕЖДУНАРОДНЫЙ УНИВЕРСИТЕТ ГРАЖДАНСКОЙ АВИАЦИИ

LightNing.4251

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии переименовании или чтении/записи их атрибутов. Не заражает антивирусы: AIDSTEST, DRWEB, -V, ADINF, SCAN и ANTI*.

При открытии файлов, содержащих паскалевские исходные тексты (.PAS-файлы) вирус ищет в них строку "BEGIN" и вставляет команду, которая либо перезагружает, либо завешивает компьютер:

inline($b9/$02/$00/$e2/$fb);inline($ea/$f0/$ff/$00/$f0);

При чтении/записи секторов, содержащих текстовую информацию вирус шифрует их.

Вирус содержит строки:

"LightNing" (c) 12.95 by ML, KrasnodarMetaMorphic Generator (MMG) v1.0AIDRWE-VADSCAN

Lightning.2366

Опасный резидентный полиморфик -вирус. Перехватывает закрытие вновь создаваемых файлов и записывается в их конец (т.е. заражает файлы при их копировании, восстановлении с backup или распаковке архивов). Использует метод заражения, напоминающий вирусы "OneHalf" и "Bomber" : в заражаемые файлы по случайным адресам записываются 10 блоков кода, которые последовательно передают управление от блока к блоку, расшифровывают вирус и затем передают управление на код вируса. При этом вирус использует несколько антиотладочных приемов.

При заражении памяти вирус записывает в обработчики INT 1Ch, 21h, 2Fh команды вызова INT A0h, A1h, A2h и затем перехватывает INT A0h-A2h. Перехвата прерываний происходит не всегда корректно, и вирус в некоторых случаях завешивает систему.

После заражения памяти вирус заражает вновь создаваемые файлы. При этом не заражает COMMAND.COM и антивирусы SCAN и NAV (в соответствии со строкой "ANAVNDOD", содержащей по два последних символа имен файлов)

Перехват INT 2Fh используется только для опознавания своей резидентной копии: вирус вызывает INT 2Fh, AX=4C69h, DX=6768h, TSR-копия возвращает AX=746Eh (в ASCII: AX="Li", DX="gh", AX="tn").

INT 1Ch: в зависимости от своих счетчиков и активности клавиатуры вирус записывает какие-то данные в клавиатурные порты.

Li-Jian.631

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Никак не проявляется. Содержит строку:

( C ) Copyright Li Jian

Lilo.1573

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. По 13-м числам в зависимости от системного времени выводит одно из сообщений (см. ниже) и либо перезагружает компьютер, либо выходит в DOS.

Помимо сообщений содержит строки:

LI_LO.1573 virus v.0 (test) by P&CCOMMAND.COM.EXE

Сообщения вируса:

Divide errorProgram too big to fit in memory

+------------------------------------------------------------------+|  If you want to be more SEXY, you must drink a lot of Pepsi !    ||                                                                  ||       ####      ####                                             ||       ####      ####                -----      +--               ||       ####      ####                  |   |--| |-                ||       ####      ####                  |   |  | +--               ||       #######   ####                  |                          ||       #######   ####                                             ||                                                +--+ +-- +-- ---- ||   Greetings to                                 |--| |-  +-+  |   ||    Marek Sell                                  +--+ +-- --+  |   ||       and                                                        || everybody, who can     ####             #####                    ||  read this text        ####          ####   ####                 ||                        ####         ####     ####                ||  from  PiCSof          ########      ####   ####                 ||                        ######## ##      #####     ##             ||                                                                  ||                                                                  |+-------------------------------------------------COPYRIGHT 1996---+

Linc, семейство

Безобидные резидентные вирусы. "Linc.228,318" зашифрованы. Используют различные методы заражения памяти: "Linc.196,228" копируют себя в таблицу векторов прерываний, "Linc.307" выделяет себе память DOS-функциями и правит поля MCB, "Linc.318" использует DOS-вызов Keep (INT 27h).

Перехватывают INT 21h и записывается в конец ("Linc.196,228,307") или начало ("Linc.318") COM-файлов при их запуске,

Содержат строки:

"Linc.196": Winter"Linc.228": Autumn"Linc.307": 'The Waxwork Crew' proudly release their first virus 'aardvark'"Linc.318": [Sleeping]

Linda.517

Очень опасный резидентный вирус. Перехватывает INT 9, 21h и записывается вмето COM- и EXE-файлов при их запуске или закрытии. Выводит текст:

FUCKING TO L.I.N.D.A.

Line.908

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец COM-файлов (кроме COMMAND.COM) при их запуске. В зависимости от своего внутреннего счетчика (после 3000+ нажатий на клавиатуру) переустанавливает INT 9, перехватывает INT 1Ch и проявляет себя движущейся (на медленных PS) или мигающей (на быстрых PS) строкой.

Демонстрации вирусных эффектов:

LINE908.COM

Lion.996

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Содержит строку-идентификатор "Lion". В зависимости от текущей даты и времени расшифровывает и выводит текст, затем перезагружает компьютер:

Kangaroo crossing ERROR at t mod 13please contact your Dealer

LionKing.3531

Очень опасный резидентный стелс -полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. При инсталляции и заражении файлов обходит некоторые антивирусные программы. При запуске некоторых утилит выключает стелс-алгоритм. Проверяет область ENVIRONMENT и заражает COMMAND.COM file. В некоторых случаях выводит текст и стирает сектора дисков:

Ja som virus Lion KingFormatujem ti disk lebo devastujes prirodu

Также содержит строки:

Vypadni z tejto casti RAM!TBMEMXXXTBFILXXXTBCHKXXXTBDSKXXXVIRSCANCLEAANTICPAVGUARSHIELKITTRAPPASCSOLOTBAVMSAVCOMSPEC=tbscan tbsetup cpav msav enav scan viverify avg nodexpkzip arj uc lharc arc lhachkdsk

Lip.286

Очень опасный нерезидентный вирус. Ищет .COM-файлы текущего каталога и записывается в их конец. Некоторые зараженные файлы при запуске выводят на экран текст:

(C)RomlSoft(LipPI)1991

а затем стирают FAT и Boot-сектор текущего диска.

Liquid.1016

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. 30-го марта, 6-го июня, 24-го и 30-го декабря затирает сектора диска C: текстом, этот же текст выводит на экран:

Liquid Power+ Is A Dark Wizard 1996 ProductionHeloooo....I'm Very Very Sorry About Your HardDrive,But Was It Really Worth Existing.?.Soooo... Now It's Gone....(HAHAHAHAHA!!!)Oh, I almost Forgot... The HardDrive Is Allready Fucked UpSooo Don't Try To Reboot....Greets To All Virii Makers!Liquid Power+ 1996 Dark Wizard (Long Live Sweden)

Literak.936

Неопасный резидентный вирус. Перехватывает INT 9, 1Ch, 21h и записывается в начало COM-файлов при их запуске. При помощи INT 9, 1Ch "шутит" с вводимыми с клавиатуры символами - переставляет их местами. Содержит текст:

> LiTeRaK v1.0 <

LittBrother, семейство

Резидентные безобидные компаньон -вирусы. Записывают свою резидентную часть в область данных DOS и перехватывают INT 21h. При старте .EXE-файла создают .COM-файл с тем же именем, но с расширением .COM. Некоторые из них содержат текст: "Little Brother".

3-го ноября некоторые из вирусов выводят тексты:

"LittBrother.349": DID YOU VOTE, SHITHEAD??"LittBrother.385": Elvis is dead!Virus: Elvis is Dead Author: Dead Elvis [FLooD]

1-го января "LittBrother.393,398" выводят тексты:

"LittBrother.393,395": Ein gutes neues Jahr !"LittBrother.398": Working on New year ???

Демонстрации вирусных эффектов:

LITTBROT.COM

LittleCat.2913

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их создании. 29-го декабря стирает сектора дисков и выводит сообщение:

Happy New Year! I am the Little Cat 1.5 - your best friend!

LittleBoy.944

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от своего счетчика выводит текст:

!!! ВЫРУСС !!! УХ КАК СТРАШНО

Также содержит строку:

)by Little Boy.1995.V0.3(SIMPLE

Littlegirl, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлы при их запуске или открытии. Периодически записывают поверх файлов строку:

File was detroyed by virus Little girl ver 2.00

Также содержат текст "COMEXE".

Livewire.220

Очень опасный нерезидентный вирус. Записывается в начало EXE-файлов не сохраняя их старого содержимого. 2 октября 1997 проявляется видео-эффектом. Если при запуске вируса системное время показывает 0 сотых секунд, вирус выдает строку:

[LiveWire GFX] Hiya, Robert.. !

Демонстрации вирусных эффектов:

LIVEWIRE.COM

Lizza.1125

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов, кроме SCAN.EXE и CLEAN.EXE. 17-го мая стирает FAT текущего диска и выводит сообщение. Текст сообщения испорчен, его остатки выглядят примерно так:

Tha MS-DOS se verificare o meno la corretta scrittura deifile sul disco.

VERIFY [ON | OFF]

Digitato senza parametri, VERIFY visualizza l'impostazione corrente.`Visualizza l'etichetta di volume ed r"umero di serie del disco, seTo overri

LJF.1098

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец запускаемых COM- и EXE-файлов. В зависимости от своего счетчика (примерно раз в час) проигрывает мелодию. Содержит строку:

(C) LJF. 96.6.1

LMD.2000

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в начало запускаемых COM-файлов. В зависимости от системного таймера проявляется видео-эффектом и выводит тексты:

DOS/4GW Protected Mode Run-time Version 1.95Copyright (c) Rational Systems, Inc. 1990-1993

Lozinsky MuST DiE!

Демонстрации вирусных эффектов:

LMD.COM

LaDiosa.2369

Неопасный резидентный полиморфик вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. 5 мая выводит текст и завешивает компьютер:

Virus LA DIOSA ,dedicado a ANRUELOvirus demostraciвn del NEP..... ....Virus LA DIOSA por nIgrOmAntE 1998. (VALENCIA)

Также содержит строки:

*** nIgrO_lives_here ***nIgrOmAntE EngInE pOlymOrfIc (NEP)

Light.1010

Опасный резидентный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним или при поиске файлов в подкаталогах. По причине ошибок в некоторых случаях портит файлы при заражении и завешивает систему. Содержит строки:

A long time ago,in very remute institut ...LIGHT in the DARK

Lucy, семейство

Опасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. Не заражают некоторые антивирусы и утилиты (см. ниже). При инсталляции в память ищут в ней некоторые антивирусные мониторы и блокируют их работу. Содержат ошибки и иногда завешивают систему. Под отладчиком "Lucy.5286" выводит текст:

Hi, do you know that AndreaP is actually better than LucyV ?Takze ak sa vam chce, tak to meno zmente. :-).PS. Pochadzam[e] (ja i ona) z GJH. (mozno)Press any key to reset.

Также содержат строки:

* EMM386 *COM EXETBMEMXXXTBCHKXXXTBDSKXXXTBFILXXXCOMMAND

"Lucy.5086":

COM EXE SCAN VSHIELD CLEAN FINDVIRU GUARD VIVERIFY TB -V VIRSTOP NOD HIEW ICE AVG F-PROT CHKDSK DRWEB

"Lucy.5286":

SCAN VSHIELD CLEAN FINDVIRU GUARD VIVERIFY TB AVPVIRSTOP NOD HIEW ICE AVG F-PROT CHKDSK DRWEB TDscanning

Luky.1083

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при вызове DOS-функции FindNext (команда DIR). По 13-м числам (кроме января) выводит текст и ждет ответа Y/N:

My Dear: Happy BirthDay And Wish You Luky Forever !I love you forver .Do you Like this virus ?(Y/N)

В случае 'Y' вирус возвращает управление программе-носителю, в случае 'N' форматирует винчестер. 13 января вирус форматирует винчестер без вывода сообщений.

Lunacy, семейство

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Содержат строку:

scf-tbcpmsvsxcSCF-TBCPMSVSXC

и не заражают файлы с именами из этой строки (по два символа на имя): SC*.*, F-*.* и т.д. 4-го июня (и 10-го марта в зависимости от версии вируса) выводят тексты:

"Lunacy.2865":

HKs VTech Virus v4.0 using VTME v1.0

"Lunacy.2513":

HKs VTech Virus v4.01 using VTME v1.11Please ask S-S Chan to help you! SUPER---^ ^---STUPID

Также содержат строки:

"Lunacy.2513": VTME v1.11"Lunacy.2865": VTME v1.0

Lunch.1756

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы (кроме COMMAND.COM) и записывается вместо них. В зависимости от значения системного таймера либо "трясет" экран, либо выводит одно из сообщений:

It's 12:00, time for lunch!It's 17:00, time to go home!

По субботам 14-го числа запускает вирус "April1st.COM.b2" : создает зараженный файл CLEAN.COM и запускает его.

Lunch.783

Неопасный резидентный зашифрованный вирус. Вставляет в код оригинального обработчика INT 21h команду вызова INT 78h (код CD78) и перехватывает INT 78h. Затем при вызовах DOS-функции GetDiskSpace (AH=36h) ищет .COM-файлы и записывается в их начало. При запуске файлов проверяет системное время и в 12:00 сообщает:

It is TIME FOR LUNCH, Budy!

Lunch_II.404

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

I just had your files for lunch!!!

Luque.666

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается вместо них. Стирает случайно выбранные сектора дисков, уничтожает файлы ANTI-VIR.DAT и CHKLIST.MS, выводит текст:

Virus LUQUEеO!

Также содержит строки:

Escrito por Xavirus Hacker! (AJVM)This program was written in the City of Luque - Paraguay*REPRODUCTION PROHIBITED!*Pehendгna Heavy Metal lo mitГ - HELLOWEEN & IRON MAIDEN rulez

Luri.1216

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при обращениях к ним. Содержит серьезную ошибку - при заражении памяти уменьшает ее размер (слово по адресу 0000:0413), но не корректирует MCB-блоки, что может завесить систему. Содержит частично зашифрованные строки:

+--------------+|    LD '93    |+--------------+(C) May 4th 1993By Luri DarmawanSemarang - 50112-- Indonesia. --

_ _#\ /# ## # ## # ####

File is corrupt with illegal code in this software .....You haven't changed my data , You will dead !!!LD - 93

4-го мая записывает в MBR винчестера программу, которая выводит некоторые из этих строк. Затем вирус выводит их на экран и принтер.

Lurid, семейство

Неопасные нерезидентные зашифрованные вирусы. При запуске поражают файл C:\COMMAND.COM, затем ищут и заражают .COM-файлы текущего каталога. Записываются в конец файлов. В зависимости от текущего времени и даты создают файл READTHIS.1ST, куда записывают нацистские лозунги и текст:

ThIS iS tHE VeRB oF оTNk0ViRaL AvEnGErпA CopYRiGHtEd ViRuS!!! (C) 1993,94 bY [nUKe'eM aLL StORm]

LV.477

Резидентный опасный вирус. Создает TSR-копию по адресам 99C2:xxxx ничего не исправляя в блоках MCB, что может завесить компьютер. Затем перехватывает INT 8, 21h и остается резидентно в памяти.

Поражает только файлы с именем COMMAND.COM: при запуске зараженного файла и из своей TSR-копии при открытии файлов. Записывается в середину файла (алгоритм "Lehigh" ).

При резидентном вирусе динамик периодически исполняет мелодию BEEP (INT 10h, ax=0E07h).

Lviv.600

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Содержит ошибку в процедуре инсталляции в память, в результате которой копия вируса оказывается не в выделенном под нее блоке памяти, а в свободном блоке. В результате, если этот блок памяти выделяется другой программе, то система зависает.

Вирус содержит строку-идентификатор:

Lviv

LX, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске, открытии или чтении/изменении их атрибутов. По 13-м числам записывают в файл C:\AUTOEXEC.BAT команды:

clsecho  Hi! I am LX 1358 Version 1.03echo Y | format c: >nulcls

Также содержат строки:

"LX.1358":

SET VIRUS=LX 1358 Version 1.03 (why LX ? - see below)SET CopyLeft=(c) 1996 Sergey K. & Alex C.

"LX.1996":

Set Virus=LX 1996 Version 2.50 (why LX ? - see below)CopyRight=(C) 1996 Sergey K. & Alexey C.

Lyby.612

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. По первым числам в черверг вирус выводит картинку:

   /|\/|\ |  |

Содержит строку:

Matrix V2.04 by LyByYy,COPYRIGHT (C) 1992

Lyceum, семейство

Резидентные неопасные вирусы. Перехватывают INT 8, 9, 21h и записываются в конец COM- и EXE-файлов ("Lyceum.1975" только COM-файлы). Если некоторое время не нажимать на клавиши, то вирус выводит на экран картинку (телефон и адрес очень просили не сообщать, но поскольку новую версию вируса я получил из другого источника, то привожу текст полностью):

+-----------------------------------+|         Вас приветствует !        ||  Лицей Информационных Технологий  ||              Москва               ||     Ломоносовский проспект, 16    ||         Телефон 133-20-60         |+-----------------------------------+

"Lyceum.1832" также содержит текст: "Welcome to Lycee of Information Technologies !".

"Lyceum.1888,1950" выводят текст

+------------------------------------------------------------------+| You are welcome ! || Moscow Institute of Radioengineering, Electronics and Automation || Moscow || Vernadsky Avenue 78 || Phone of MIREA: 433-00-66 |+------------------------------------------------------------------+

или

+------------------------------------------------------------------+| Вас приветствует ! || Московский Институт Радиотехники, Электроники и Автоматики || Москва || Проспект Вернадского, 78 || Телефон МИРЭА: 433-00-66 |+------------------------------------------------------------------+

"Lyceum.703" в зависимости от своего счетчика создает файл README.!!! и записывает туда текст:

Поздравляем Профорга группы А1-94 с 8 марта !

"Lyceum.944" в зависимости от текущей даты шифрует MBR винчестера.

Демонстрации вирусных эффектов:

LYCEUM.COM

LunchTime.2050

Неопасный резидентный вирус. Перехватывает INT 21h и при запуске каждого файла ищет на диске C: EXE-файлы и записывается в их конец. Не заражает файлы с именами MKS* (польский антивирус). Уничтожает антивирусные файлы данных: CHKLIST.MS, CHKLIST.CPS. С 12:00 до 14:00 выводит текст:

+--------------------------------------------------------+|             Po co tak ciezko pracujesz ?               ||          Zrвb sobie przerwe i idz na lunch.            || Twвj dysk twardy zostal zakodowany do godziny 14:00.   || O tej godzinie zostanie odkodowany. Jesli wylaczysz    || komputer wczesniej, stracisz na nim dane bezpowrotnie. ||                                                        ||            Czas do konca przerwy :    1:59:00          ||                                                        ||      NIE WYLACZAJ ANI NIE RESETUJ KOMPUTERA !!!        |+--------------------------------------------------------+

Также содержит строки:

Jakze tu wszedles,powiedz i dlaczego?Nielatwo wspiac sie na ten mur wysoki.I smierc tu znajdziesz,zwazywszy, kimjestes, Jesli cie spotka ktвrys z moich krewnych.Lunchtime Krakвw -styczen 97

Leo.3948

Неопасный нерезидентный достаточно примитивный вирус. Ищет .COM-файлы и записывается в их конец. 31-го декабря выводит картинку:

* * * 0 0000 00 00 000 00 000 0000 0 0 ##### ### ### #### ### #### ##### 0 * 0 ### ####### #### ### #### ## ## 0 0 ### ### ### #### #### #### ##### 0 * 0 00 00 00 000 000 000 0000 0 * * Hallo, I've got a virus for you.. *

Today is the 31 of December, because I want to congratulate with a Happy New Year... Today is * * a holiday and I want a pair of COM files... :) You have a holiday and you'll have many presents tommorow. I would like to join at this tradition* Could you take me a present as a file, please... I'll be glad! Thank you for all, good bye.. * Santa Leo... * *

Lotus.2407

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Отключает антивирусные мониторов VSafe и ThunderByte, не заражает файлы (антивирусы) с именами, начинающимеся на: TB, F-, FV, IB, VS, IM, SC, MS, DE.

Содержит строки:

TBF-FVIBVSIMSCMSDE

Black Lotus virus ver 2.0 Created by: Killer Bee. Finished on 96-08-15

i'm losing ground you know how this world can beat you down i'm made of clay i fear i'm the only one who thinks this way i'm always falling down the same hill bamboo puncturing this skin and nothing comes bleeding out of me just like a waterfall i'm drowning in 2 feet below the surface i can still make out your wavy face and if i could just reach you maybe i could leave this place i do not want this i do not want this don't you tell me how i feel don't you tell me how i feel you don't know just how i feel i stay inside my bed i have lived so many lives in my head don't tell me that you care there really isn't anything, is there? you would know, wouldn't you? you extend your hand to those who suffer to those who know what it really feels like to those who've had a taste like that means something and oh so sike i am and maybe i don't have a choice and maybe that is all i have and maybe this is a cry for help i do not want this i do not want this don't you tell me how i feel don't you tell me how i feel you don't know just how i feel i want to know everything i want to be everywhere i want to fuck everyone in the world i want to do something that matters.'i do not want this' NIN -trent reznor

Louse.919

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращениях к ним. Если в конце файла присутствует область нулевых байт, то вирус записывается в нее без увеличения длины файла. В зависимости от системного таймера вирус выводит текст:

Your disk is abso-fucking-lutely infested with lice!

Также содержит строки:

Louse (pl. lice) - small insect living on plants, bodies of animals, human beings and disks under dirty conditions.(c) 01-01-1994

LoveBuzz, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец файлов. Содержат строки:

"LoveBuzz.381": Lyubasha"LoveBuzz.591": LoveBuzz

"LoveBuzz.381" заражает только .COM-файлы и портит их при заражении.

"LoveBuzz.591" заражает .COM- и .EXE-файлы. При 16-м запуске зараженного файла стирает сектора диска.

LoveChild, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов.

LoveChild.488

При создании своей резидентной копии копирует себя в таблицу векторов прерываний по адресу 0000:01E0. Затем заражает .COM-файлы при их загрузке в память, при открытии и создании. Изменяет первые 4 байта файла на команду мерехода на тело вируса (STI; JMP Loc_Virus).

Если на компьютере установлена DOS 3.30, то вирус предпринимает маскирующие действия - вирус "знает" адрес обработчика INT 21h и адрес, по которому хранится исходное значение INT 13h. Используя это, вирус модифицирует память, занятую операционной системой, таким образом, что обрабатывает вызов прерывания 21h непосредственно перед DOS (записывает вместо первых пяти байт обработчика прерывания 21h команду перехода на вирус - JMP FAR Loc_Virus). С INT 13h вирус поступает проще - восстанавливает его первоначальное значение.

Имеет деструктивные функции: в зависимости от счетчика времени может уничтожать файлы или создавать вместо файла подкаталог с таким же именем. Вирус периодически модифицирует EXE-файлы таким образом, что их запуск вызовет стирание секторов винчестера (стирается часть информации, расположенной на секторах, соответствующих 0-3 головкам записи/чтения).

Содержит тексты:

v2 (c) Flu Systems (R)LoveChild in reward for software sealing

LoveChild.2710

Резидентный очень опасный стелс -вирус. Перехватывает INT 13h, 21h и записывается в конец COM-файлов. Работает только в DOS 3.30, т.к. делает "врезку" в теле операционной системы. Если на машине стоит другая версия DOS, выводит фразу:

Тебе мама не говорила в детстве, что лучше DOS 3.30 версии нет?

после чего портит MBR. С полуночи до 4 часов утра при запуске зараженных программ распечатывает экран. 22 февраля, 32 апреля (?!), 23 июня, 24 августа, 6 октября и 5 ноября занимается гнусностью: пишет "Привет от ГКЧП", затем очищает экран и выводит длинное послание, после чего стирает информацию на винчестере. Вот часть этого сообщения:

Вирусисты всех стран, соединяйтесь. Об"единение MMM предлагает зарубли, по ценам ниже рыночных отечественные вирусы, совместимые с IBMPC/AT PC/XT с любой периферией. Поставка со склада в Москве.Гарантийное и послегарнтийное обслуживание. У МММ не было проблем.LoveChild v4 in reward for software stealing. LoveChild virus family.(c) Flu Systems intnl. Россия-Украина. Вирусы LoveChild будутпоявляться до тех пор, пока в СССР (или как его там) не будет принятз-н об авторских правах. А пока- червонец в зубы и к Лозинскому

LoveMe, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h. При запуске программ и смене текущего каталога ищут EXE-файлы и записываются в их конец. При открытии каких-то файлов (если полное имя файла содержит символы "LO" по смещению 31 или "T$" по смещению 19) записывают какие-то данные (имя файла?) в файлы:

"LoveMe.610": vol2:usr95034\ \love.me"LoveMe.804": vol2:usr95225\!\$.$

Также содержат строки:

"LoveMe.610":  (Jestem Rumburak)"LoveMe.804":  <I'm merry SPERM v2.5>

Loz, семейство

Резидентные опасные вирусы, зашифрованы, некоторые из них используют полиморфик -технологию. Перехватывают INT 21h и записываются в конец COM-, а более поздние версии и EXE-файлы, при выполнении, открытии, переименовании и изменении атрибутов файла. Изменяют первые 4 байта COM-файлов (JMP Loc_Virus; DB '+'). При создании резидентной копии уменьшают значение слова [0000:0413].

"Loz.1018,1023" корректируют системную информацию в Boot-секторах дискет (обнуляют слово, соответствующее числу головок дисковода). При запуске AIDSTEST.EXE сообщают "Welcom to demo version (C) Zherkov. Лозинский-ДУБ, AIDSTEST-горбуха". "Loz.1018" уничтожает программу AIDSTEST.

"Loz.1940" содержит текст: "(C) Правдиченко А.".

"Loz.1882,1915" при запуске файла AIDSTEST.EXE уничтожают его и выдают сообщение типа:

+--------------------------+|   Антинаучный центр СП   ||      "ИНВАРИАТРОН"       ||          ВИРУС           ||   Версия 5 от 12.11.90   ||     Лозинский - ПЕНЬ     ||      Москва, тел.03      |+--------------------------+Подробное объяснение смотри в следующем AIDSREAD.ME

"Loz.2968" время от времени выводит на экран картинку:

"Loz.2435" определяет виртуальный режим процессоров 80x86 (используется, например, при отладке программ) и блокирует отладку.

Loz.724

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов, кроме COMMAND.COM. Организует в MBR винчестера счетчик, который увеличивает при каждой инсталляции в память. При 100-й инсталляции перехватывает INT 9 (клавиатура) и в зависимости от нажатых клавиш записывает какие-то данные в порт контроллера винчестера. Содержит строку:

by ShADow Al

LptOff, семейство

Опасные резидентные вирусы. Перехватывают INT 17h, 21h и записываются в конец запускаемых COM-файлов. Блокируют вывод на принтер. Содержат строки:

"LptOff.256": (c) 1992 , ВМШ ВМиК МГУ"LptOff.271": Balashiha-2

LR, семейство

Опасные резидентные полиморфик -вирусы. При запуске ищут COM- и EXE-файлы и записываются в их конец. Затем перехватывают INT 15h, 1Сh, 21h и заражают запускаемые COM- и EXE-файлы. Уничтожают файлы CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT, SMARTCHK.CPS.

В некоторых случаях выводят сообщение:

"LR.2884": LR1#nnnnn"LR.3720": LR2#nnnnn

где 'nnnnn' - "поколение" вируса. В зависимости от текущей даты и времени проявляются каким-то видео эффектом, выводят на экран тексты. Содержат строки:

CHKLIST.MS CHKLIST.CPS ANTI-VIR.DAT SMARTCHK.CPS

и:

"LR.2884":

I love you, I'll kill you, but I love you for ever. (-) Enigma.... bum, bum, bum (...) bang, bang ... It's nice to be importantbut it's more important to be nice. (..?) Uprzejmie prosimy pana Sella o ponowne umieszczenie opisвw wirusвw wСwnЖtrz programu 'MkS'.Hello! I'm LastReplicator1 virus.

"LR.3720":

Uwazam, ze MKS_VIR nie sprawdza sieMIEKKIE NARKOTYKI NIE SA CHYBA SZKODLIWEDALSZE ZYCIE NIE MA SENSUBAWMY SIE !JESTEM NICZYMENIGMAPHARAOHAZALAST REPLICATORSCIENTISTS LIEONI MI ZAZDROSZCZAIf you believe in light It's because of obscurityIf you believe in enjoy It's because of sadenessAnd if you believe in God That's because of the Devil (-) EnigmaBluжniercy Nie wiedzЖ, co czyniЖZapomnieli, зe i ich czeka ЮmierН Z rСki Antychrysta

Wirus Vico-1000 zwiСksza rok pliku o 100(co jest chyba oczywiste), a nie o 200.

Hello! I'm LastReplicator2 virus.

LSD.1600

Очент опасный нерезидентный вирус. Записывает себя вместо всех файлов текущего каталога. Проявляется видеоэффектом, затем выводит текст:

        LSD ViRuS 1.0Coded By Death Dealer 4/29/94        [TeMpEsT -94]

Также содержит строку:

Author:Death Dealer Of [TeMpEsT]Virus:[LSD]

Демонстрации вирусных эффектов:

LSD.COM

Lseek.1461

Очень опасный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их конец. 7-го октября стирает boot-сектор диска C: Содержит строки:

OK open and lseek a fileNot open a fileread a fileI/O errorOK infect !no find*.exe

LTS, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец ("LTS.271") или начало ("LTS.291"). В зависимости от текущей даты выводят текст и перезагружают компьютер:

(C)Long Tall Silver

"LTS.271" также стирает сектора дисков.

Lubak.466

Неопасный(?) нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Затем запускает на выполнение файл F:\HOME\STUDENTS\LUBAK\ALL\SPEED.EXE. Вирус содержит зашифрованную строку:

f:\home\students\lubak\all\speed.exe

Lucas.1871

Неопасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы, записывает цикл расшифровки в начало файла, шифрует свой код и записывает его в конец файла. Перед тем, как вернуть управление программе-носителю вирус выводит картинку и тексты:

# # # # ###### # # ##### #### # # #### # # # ### ###@@@@@@@@ ## ##@ ####@@#####@% ### #####@@#@@@@@% %@######@@@@@@@@% @@######@@#####@% %@######@#@@#####@% ########%#@@@@@@@@% @@####@@@%#@@#####@% # ##@@#@@@#@% # ##@@@@@@@@% # ##@@#####@% # ##@@#####@% # # (R)#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@#@@#@###@@@|@@@@@+--+@@+-+@@@+--+@@@%#@@###@#@@@|@@@@@|--|@@|--+@@+--+@@@%#@@@@@@@@@@+--+@@-@@-@@+--+@@+--+@@@% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

It is a time of Civil War. Using fear and intimidation, the Empire seeks to impose a New Order on the galaxy. Only the Rebel Alliance stands in the way of their evil plans. Not yet willing to confront the Empire directly, the Rebels are marshalling their forces in secrecy. Even now a group of their prized Calamari Cruisers is being intercepted by a squadron of Imperial Star Destroyers. The Rebel Fleet is outnumbered but, they have a surprise... the X-Wing Starfighter!

Luce.4628

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 1Ch (таймер), 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии, переименовании и поиске (FindFirst ASCII). Если файл находится в каталоге F77\, MSFORT\, GAMES\, GAME\ или UTIL\, вирус в зависимости от номера текущего дня записывает вместо этого файла программу, которая при запуске выводит текст:

ПРИВЕТ ОТ ХАКЕРА

ПРОГРАММА УНИЧТОЖЕНА УСПЕШНО

Затем вирус стирает в CMOS информацию о флоппи-дисках (делает их недоступными). После этого, если текущий день - понедельник, вирус записывает вместо MBR винчестера программу, которая при загрузке выводит текст:

Hard disk destroyed by mutant-virus "LUCIFER"

В зависимости от текущей даты и времени вирус также проявляется видео-эффектом: сдвигает экран вверх/вниз. Вирус также содержит строки:

Virus Luce.4619 by OVER-X.POLYMORPHIC ALGORITHM IS CREATED BY OVER-X

Lucifer, семейство

Опасные резидентные полиморфик-вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске или открытии. Содержат ошибки, в результате которых портят некоторые файлы при заражении и заражают не-COM файлы. Содержат строки:

"Lucifer.1799": Lucifer Messiah [PROTO 2с]

LoadError

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске на выполнение. При запуске .EXE-файлов вирус заражет файл COMMAND.COM. При загрузке своей TSR-копии вирус в некоторых случаях выводит сообщение: "load error".

LoadHigh.1467

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало запускаемых .COM-файлов, при запуске .EXE-файлов создает компаньон .COM-файлы, куда записывает свою копию. 6-го февраля портит MBR винчестера, 24-го июня выводит текст:

Happy Birthday !

При запуске компаньон-файла может вывести:

Bad command or file name

Также содержит строку:

LoadHigh

Lobotomy, семейство

Опасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. Уничтожают базы ADINF. В зависимости от текущего времени выводят тексты:

Lobotomy.824:

Lobotomy.966:

LOBOTOMYRESET your machine and soon, you`ll know,that I`m the Natural_Born_Killer ...v1.1 (c)95_MSfVC Bye ...

"Lobotomy.966" также стирает CMOS.

LockCD.2045

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. При заражении памяти меняет установки драйвера SMARTDRV. В зависимости от системного таймера вызывает какие-то функции CD-ROM и выводит картинку:

+--------------------------+|          #####           ||          #####           ||           ###            ||    ##################    ||  +-#----------------#-+  ||  | #   LockCD '96   # |  ||  +-##--------------##-+  ||          ######          ||         ########         ||         #  ##  #         ||        #        #        ||         #      #         ||        #        #        ||       #          #       ||      #            #      ||    ###            ###    ||--------------------------||(v) dedykowany politykom, ||    biskupom i biznesmenom|+--------------------------+

Lockup.2969

Очень опасный резидентный вирус, перехватывает INT 8, 21h и записываетс в конец EXE-файлов и в начало COM-файлов при их запуске. Не поражает файлы COMMAND.COM и CV.EXE. Периодически шифрует сектора дисков и сообщает:

Lock-up Ver 3.0Try doing your best. God bleSs

Содержит также строки:

No.1COMMAND.COMCV.EXE

Демонстрации вирусных эффектов:

LOCKUP.COM

Locust, семейство

Неопасные резидентные вирусы. Перехватывают INT 9, 21h, 2Fh и записываются в конец запускаемых .COM-файлов. В зависимости от системного таймера вирусы меняет местами фонты символов '1' и '2', каким-то образом меняет содержимое буфера клавиатуры. "Locust.1158" также проявляется каким-то звуковым эффектом и видео-эффектом на EGA. Вирусы содержат строки:

.COMLocust

Loki, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h, 71h и записываются в конец COM- и EXE-файлов ("Loki.971,973" - только COM). INT 71h используется для детектирования уже загруженной TSR копии вируса. Содержат тексты:

"Loki.971,973": Scan me, I LIKE IT!!!!-Loki-nator!"Loki.1234": LOKI Loki"Loki.1237": Loki

Lokjaw, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и поражают .COM-файлы при их запуске. При запуске некоторых антивирусных программ (SCAN, CLEAN, NAV, F_PROT) выводят картинку, совпадающую с эффектом вируса "Malmsey" .

Lokjaw.493,499,501,507,518,520,522,894,898

Компаньон -вирусы. При запуске .EXE-файлов создают компаньон-файлы с расширением .COM. Содержат строки:

"Lokjaw.493": loulou"Lokjaw.493.b": Arclight"Lokjaw.499": Good Night"Lokjaw.501": SLEEPWALKER"Lokjaw.507": Starry Night Bornio Baby"Lokjaw.518,520,522": Black Knight EXE COM Tempest - т Of Luxenburg"Lokjaw.808,894": Lokjaw-Zwei"Lokjaw.898": Lokjaw-Drei

При запуске некоторых антивирусных программ "Lokjaw.493,499,507,520" стирают сектора дисков, "Lokjaw.808,898" выводят картинку (см. выше) и завешивают компьтер, "Lokjaw.894" уничтожает запускаемый файл и выводит картинку.

Lokjaw.1041,1050,1052,1053

Записываются в конец .COM-файлов. При запуске некоторых антивирусов выводят картинку (см. выше) и уничтожают запускаемую антивирусную программу. Содержат строку-идентификатор "CD" и:

"Lokjaw.1052":

KenSON IV Infection Module VIRUS Proto-T Variant 94/Lobo/435 Thanks To Brian! - BF?

Lokjaw.Firefly

Опасные резидентные зашифрованные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец .COM-файлов при их обращении к ним. В зависимости от своих внутренних счетчиков меняют флаги клавиатуры. Уничтожают некоторые антивирусные программы. Содержат строки:

"Lokjaw.Firefly.1087":

[Firefly] By NikademusGreetings to Urnst Kouch and the CRYPT staff.American JesusDont Pray On MeRecipe for HAteAtomic GardenIts Dead Jim

"Lokjaw.Firefly.1106":

[Firefly] By NikademusGreetings to Urnst Kouch and the CRYPT staff.Psalm 69Every day is HalloweenHappiness in SlaveryThe land of Rape and HoneyIts Dead Jim

Lokjaw.Kenson

Компаньон -вирусы. Создают компаньон-файлы С расширением COM при запуске .EXE-файлов. Содержат строки:

"Lokjaw.Kenson.573":

[ Its the KenSON III virus ]EXE COM For My Very Best Friend ...By Lobo 435 of Covina CA...

"Lokjaw.Kenson.887":

KenSON V - Lobo/435 BF! :)EXE COM For My Best Friend, the Fifth in a Series!!!

При запуске некоторых антивирусных программ "Lokjaw.Kenson.573" стирает сектора дисков, "Lokjaw.Kenson.887" проявляет себя видео-эффектом.

Lokjaw.Pfeiffer,Scramble

Безобидные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при их запуске или при вызове функций FindFirst/Next FCB (при вызове команды DIR). Содержат строки:

"Lokjaw.Pfeiffer": Pfeiffer

"Lokjaw.Scramble.1253":

 BEER and TEQUILA forever ! [Scramble] By Nikademus Read CRYPT Today!.

"Lokjaw.Scramble.1254":

 Windows 95 forever ! [ResEvil] By Crypto Copyright(c)1997 -Germany-

Lonely.1000

Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 1Ch, 21h и записывается в конец EXE-файлов при их запуске или закрытии. При открытии зараженного файла лечит его. Также отключает свою процедуру заражения, если с клавиатуры введено какое-то слово. Проявляетcя "залипанием" славиши Left Shift. Содержит строку:

"Одиночка" v1.0 ХАИ к.506 1995г.

LordZer0, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Содержат строки:

"LordZer0.370": I LOVE YOU AMBER!Virus: Amber.3A"LordZer0.372": Swedish Warrior v1.0 by Lord Zer0."LordZer0.374": Virus: CheeseAuthor: Velveta [FLooD]

Loren, семейство

Очень опасные резидентные вирусы, перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. После 20-ти успешных заражений форматируют сектора дисков и сообщают:

Your disk is formated by the LOREN virus.Written by Nguyen Huu Giap.Le Hong Phong School *** 8-3-1992

LosLobos, семейство

Неопасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. По воскресеньям портят системную дату (скорее всего DOS не позволяет сделать этого, так как вирусы вызывают DOS-функцию SetDate с некорректными аргументами), затем выводят сообщение:

bailos los lobos

Также содержат строку:

*.666

Lost.2878

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. Иногда форматирует текущий диск и сообщает:

I'm sorry,you have lost your diskette

LostFriend, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Содержат строки:

Daniel, why did you have to die so young ?I will never forget you my friend!Your ashes in the wind,free to travel anywhere,a soul out of a deadbodylike a bird rising so highaway reaching the blue sky,to a place calledparadise,your first step to eternity,leaving behind pain and misery.[LOST FRIEND] 1995 by CoKeTo LYNN, my love, and to MANDY, a true friend !

LostHorizons.703

Очень опасный нерезидентный зашифрованный вирус. Ищет COM-файлы и записывается в их конец. В зависимости от системного времени либо стирает boot-сектор диска C:, либо выводит текст "Lost Horizons!", либо создает файл \DOS\KEYB.COM и записывает в него программу, которая при запуске выводит:

Los t Ho

Вирус также содержит строки:

The Future you have!!!!!!!*.COM .. \dos \dos\keyb.com

LostLove.853

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускеемых COM- и EXE-файлов. Никак не проявляется. Содержит строки:

[L0ST LOVE] by Murmandamus (prt2)Louise

Lena.1000

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. 20-го февраля расшифровывает и выводит текст:

Сегодня Леночкин день рожденияМосква - Санкт-Пeтербург, Июль-Август 1994г.

Lenin.943

Неопасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. При заражении не изменяет значения регистров в EXE-заголовке, а вставляет в точку входа в файл команду CALL FAR virus и корректирует Relocation Table. В зависимости от своих счетчиков выводит тексты:

САМЫЙ! ЧЕЛОВЕЧНЫЙ! ЧЕЛОВЕК!Ленин и сегодня всех живых держит мертвой хваткой упыря

Также содержит строки:

*.EXEPATH=

Leningrad, семейство

Неопасные резидентные вирусы. "Leningrad.1499,2000.b" зашифрованы. Перехватывают INT 1Ch, 21h и записываются в конец COM-файлов при их запуске. Периодически проигрывают мелодию "7:40". "Leningrad.2000" содержат строки:

Leningrad Leningrad Leningrad Leningrad Leningrad Leningrad LeningradLeningrad Leningrad Leningrad Leningrad Leningrad Leningrad LeningradЭта пpогpамма написана мной

"Leningrad.2000.a": Виpус-Кваpтиpус. Ленингpад 1992"Leningrad.2000.b": Виpус-Кваpтиpус-2. Ленингpад 1993

Демонстрации вирусных эффектов:

LENINGRA.COM

Leo.293

Безобидный нерезидентный довольно простой вирус. Ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строку:

- Virus "Leo", created in 1997 -

Leonard, семейство

Безобидные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. При заражении файлов временно переименовывают их в TMP01431.$$$. Никак не проявляются, содержат строку:

(c) Leonard. Constanta, Romania.

Leonardo.2085

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Уничтожает антивирусные файлы данных: ANTI-VIR.DAT, FINGERP.VVF, FILES.VVL, CHKLIST.MS, *.CRC. В зависимости от системной даты выводит текст:

This is Leonardo - another virus Ninja TurtlePress any key....

Содержит строки:

Origin :Slovakia (not Hungaria or Austria)

Leprosy.Taz

Семейство Leprosy . Ищут и записываются вместо .COM- и .EXE-файлов. Выводят различные сообщения и картинки, например:

Error #2307 - Too big to fit in memory

######### ############## ## ### ############## ##### ## ##### ################ ############ # # # # ############ ## ######## ###### # #### # ########## ## ########## ##### # # # # # # ####### ### ###### ############# # # # ##### ###### ######### ############## ########## ##### ## ####### ######## ###### ########### ####### ## ###### #### ## ####### ############# ######### ## ##### ################## ########### ######## ## #### ############## ## ############## ########## ###### ##### ###### ### ## ######### ######## ############### ###### ######## ############ ########### ###### ######### ########## ######## ####### ###### ####### ######## ###################### #################### ######################### ####################### ####################### ##################### ## ############ ############# ### The Tazmanian Devil Virus (TAZ!) - Released 12-14-1992 - Sector Infector

Демонстрации вирусных эффектов:

LEP_TAZ.COM

Leproso.1221

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов (кроме COMMAND.COM) при их запуске или открытии. В зависимости от текущей даты выводит сообщение:

Felicitaciones su mаquina esta infectada por el virus LEPROSO creado porJ.P.G., hoy es mi cumpleaдos y lo voy a festejar formateando su rбgido!!!Bye...(Vamos еull que con Diego somos campeones)CopyRight (C) 1993 hasta 2000, J.P.G., Rosario, Argentina

и завешивает компьютер. Также содержит строки:

Diego_es.NOBMOC.DNAMMOC

Leprosy, семейство

Очень опасные нерезидентные зашифрованные вирусы. Записываются поверх .COM- и .EXE-файлов каталогов текущего диска. Зараженные файлы при старте сообщают:

Program too big to fit in memory

и выходят в DOS, эти файлы не восстанавливаются. Некоторые версии вируса "Leprosy" стирают FAT текущего диска. Содержат текстовые строки "*.EXE *.COM .." и:

"Leprosy.BadBrains.554,570":

SKISM Bad Brains

"Leprosy.562": *------------------------------* NIGHTCRAWLER VERSION 3.0 (C) SECTOR INFECTOR *------------------------------*

"Leprosy.Busted.570,571,572": Busted! This is based on Leprosy-B. Thanx PCM2Busted, Strain A, version 1.0

By ШАЧ@&ю·іЅ (Psychogenius), September '91

"Leprosy.Sandra.535,573,579": This Virus is dedicated to Sandra H., V0.02 NazgЦl

"Leprosy.585": I'm sorry, Dave... but I'm afraid I can't do that! Dedicated to the dudes at SHHS The BOOT SECTOR Infector ...

"Leprosy.591": Autopsy indicates the cause of death was THE PLAGUE Dedicated to the dudes at SHHS VIVE LE SHE-MAN!

"Leprosy.600": I'm sorry John McAfee (NOT!)...Secret Service Virus has arrived... Dedicated to all virus makers! By: Agent #13/Nuke Member Killed by:

"Leprosy.625": Why did he have to die? ---PLEASE!--- I miss him. He was my only true friend in the whole god-damned world! Life sucks. IT ISN'T FAIR!

"Leprosy.647": Oh, life. I apologize for this terrible thing. It is time for a chance. I'm a person with a message. Fratricide - Murders a brother. -- By Cone -- be ready to see more

"Leprosy.664": Betrayal is a sin, if it comes from another.. The Unforgiven / Immortal Riot Dedicated to Ellie! - Lurve you! Sweden 15/09/93

"Leprosy.666.a": NEWS FLASH!! Your system has been infected with the incurable decay of LEPROSY 1.00, a virus invented by PCM2 in June of 1990. Good luck!

"Leprosy.666.b,c,h": ATTENTION! Your computer has been afflicted with the incurable decay that is the fate wrought by Leprosy Strain B, a virus employing Cybernetic Mutation Technology(tm) and invented by PCM2 08/90.

"Leprosy.666.d": Program too big to fit in memory NEWS FLASH!! Your system has been infected with the incurable decay of LEPROSY 1.00, a virus invented by PCM2 in June of 1990. Good luck!

"Leprosy.666.e": Come to RMIT for your Comm Eng. degree with a major in VIRUS This is what you can do. HAHA!!

"Leprosy.666.i": I have taken over your PC, and I have full control. You can try to catch me, even try to stop me... But I don't plan on leaving peacefully. Muhahaha!! ((This is the part where you say 'OH SHIT!'))

"Leprosy.666.j": File allocation error. The Roger-1 Virus has made you sick! FUCK THOSE GOD DAMN NIGGERS! Virus dedicated to Ken N. Hahaha!

"Leprosy.666.k": ATTENTION! Your computer has been afflicted with the incurable decay that is the fate wrought by Leprosy Strain D, a virus employing Cybernetic Mutation Technology(tm) and invented by PCM2 08/90. W/ Mods By CopyFright Inc. 02/94

"Leprosy.666.o": Hello all, I'm John Fag Mcafee and I wrote the whale virus.. I would like to say all you out there are just so stupid using my scan program Since I even write viruses just to screw with you!!

"Leprosy.736":       The SILVER DOLLAR VIRUS v2.00f       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

"Leprosy.808": Skism Rythem Stack Virus-808. Smart Kids Into Sick Methods Dont alter this code into your own strain, faggit. HR/SSS NYCity, this is the fifth of many, many more.... You sissys.....

"Leprosy.814": If You Think You Saw A Part Of Your Source Code In This You're Probably Right! When Making This I Used Pieces From Other Sources...heheh...What Can I Say? I'm A Pirate At Heart! -Lithium Chloride

"Leprosy.907": YAM 92 -Mind Riot Strain B- LiCl The Mind Riot - Strain B -LiCl -YAM '92 Howrya: Mr. M, Nap, N.S, S.M, Displ, Lov, Otto, A.B, K.P Whatsup: RABID, SKISM, SAC, CPI, Etc, Etc. Middle Finger To: McAffee

"Leprosy.Beavis": HE-HE-HE-COOL, BEAVIS & BUTTHEAD

"Leprosy.Jas.792": Error #107 - Packed Data file corrupt -- THE STUMPINATOR VERSION 1.0 -- -- (C) SECTOR INFECTOR 1992 -- -- WRITTEN FOR J.G.C.- JAS! -- -- PROGRAMMED BY THE WEASEL -- Hoo-leee Sheep shit, eh? It looks like your hard drive is REALLY FUCKED, HUH???? TEE HEE! TEE HEE! TEE HEE! TEE HEE!

"Leprosy.Flood.999":

Virus: Northern Light Kind

       Author: Delta-9-Tetrahydrocannabinol [FLooD]       Smoke out to all pot smokers/growers out there - Legalize       (c) -FLooD 1995-

"Leprosy.Merci.308":

Merci virus infected :

"Leprosy.YH.880":

This is a virus. Press (Y) to continue.. or (H) for help! This is a virus goddamnit.. no /options needed to run! I see.. you dont want enuff about viruses? It will simply overwrite all your EXE-files in this dir with its own code! No damage will be done, unless you accept it yourself! Now releasing the virus... Thanks for pressing YES! This virus created by Pottie Rottie, Sweden 1994 :) Hiya..time to play dude! If you press (Y) all sectors from drive C-Z will be overwritten! If you press something else.. nothing will happen! Dont make virus writing illegal! I dont wanna be unemployed :)

По пятницам 25-ого числа "Leprosy.1580" выдает сообщение:

I'll be back... HELLRAISER

и пытается отформатировать сектора винчестера. Он также содержит внутри себя строки:

*.EXE ARMOR Written by Dennis Yelle-=PHALCON=-Hellraiser/SKISM

"Leprosy.946" выводит:

Error in ExecutableI've never been able to ascertain its exact nature, but I'm certain of itssymptoms - dementia, paranoia, shizophrenia, hallucinations. The end resultis always death...The virus lives to reproduce - it seems to have no otherpurpose...Once infected, the organism's central nervois system suffers acomplete breakdown, leading to death.

-- Silver Surfer #61The Silver Surfer Virus - Lep-B variant - by

"Leprosy.946" рисует цветную картинку. Он также содержит тексты:

The man who brought you622, Skism One, CaptianTrips, and Sub-Zero nowshanks you again, withhis latest...Skism 1992 - VirusGet a late pass!McAfee wrote Whale!!!!!!

"Leprosy.Echo.425" выводит сообщение "Bad command or file name", затирает AUTOEXEC.BAT строками:

ECHO OFFCLSECHO Greetings from RigorMortis and SCP/NuKe,Oz!

"Leprosy.Lubec" содержит текст:

LUBECLubec II ,Microsoft MS-DOS 6062PTCH '93 .. (c) Microsoft......zooooooottt.........

"Leprosy.Misery" выводит:

Metal up your ass..My friend of Misery...Hearing only what you want to hearand knowing only what you've heardyou you're smothered in tragedyyou're out to save the world

"Leprosy.Oss" выводит:

I'm sorry, man ... but I'm afraid I can't do that!Dedicated to the dudes at Dixons OssThe BOOT SECTOR Infector ...

"Leprosy.Peace_SA.777" содержит строку "COMMAND.COM *.com chklist.ms", выводит сообщение:

Peace, like racism is a two way thing,Black and white must come together if we all are going to win in the end.. - love from Ol' Jim Blue...Let's have Peace in S.A. - from Ol' Jim Blue

"Leprosy.Riot.666" содержит строки:

That is not dead Which can eternal lie Yet with strange aeons Even death may die LiVe AfteR DeATH...Do not waste your time Searching For those wasted years! (c) 93/94 The Unforgiven/Immortal Riot Thanks to Raver and Metal Militia/IR Maria K - Life is limited, love is forever... Open to reality, forever in love... Program too big to fit in memory ***HUMAN GREED*** The answer of all evil on earth! Do You Belive? Farwell!....

"Leprosy.Riot.808" содержит строки:

Metal Militia / Immortal Riot...and Justice for allJustice is lostJustice is rapedJustice is gonePulling your stringsSeeking no truthWinning is allFind it so Grimso trueso real

"Leprosy.Riot.808.c" содержит строки:

Skism Rythem Stack Virus-808. Smart Kids Into Sick MethodsDont alter this code into your own strain, faggit.HR/SSS NYCity, this is the fifth of many, many more....You sissys.....

"Leprosy.Sector.827" содержит строки:

(C) Sector Infector 1992 - The WРТsИl will be BACK!Attempts to read, and/or alter this code are prohibitedNow wasn't all that ANTI-VIRUS software really worth it?NOT!! MUHAHAHAHAHAAA!!! ьььTHE WРТSИL!ььь

"Leprosy.Seneca" стирает сектора логических дисков, 25 ноября сообщает:

HEY EVERYONE!!!Its Seneca's B-Day! Let's Party!

В другие дни выводит сообщения:

You shouldn't use your computer so much,its bad for you and your computer.

FATAL ERROR -- EXE is Fucked!!!

"Leprosy.Smap.1306" содержит/выводит строки:

ARRRRGGGGHHHHH! THIS IS A LITTLE DATA AREA!ARRRRGGGGHHHHH!THIS IS A LITTLE DATA AREA!ARRRRGGGGHHHHH! THIS IS A LITTLE DATA AREA! BUT THIS ONE IS BIG![SPAM] BY PAVA OF CDCHEY... IT LOOKS LIKE YOU MIGHT HAVE A VIRUS! BETTER HURRY ANDBUY A NEW HARD DRIVE!ERR... BLECH!

"Leprosy.Ultra.1306" содержит/выводит строки:

Arrrrgggghhhhh! This is a little data area!Arrrrgggghhhhh!This is a little data area!This is a little data area! But, this one isbig!HuGZ aND KiSSeS, ToNYa!...this is just the beginning, next time, we come in force! HeLLo THeRe CoMPuTeR uSeR, WeLCoMe!i HaVe BeeN iNVaDiNG YouR SySTeM, i ReaLLY HoPe YouDoNT MiND! i ReaLLy LiKe THe eNViRoNMeNT You HaVe FoR MeQuiTe eaSiLy iNFeCTaBLe! You eND uSeR GeeKS WiLL NeVeRWiN! JuST KeeP PLaYiNG WiTH YouR WiNDoWS aND SHuT uP!

THe aTTiTuDe aDJuSTeR, ViRuLeNT GRaFFiTi

NAME: uLTRa V, a KiCKaSS GuiTaR FRoM CaRViN!BY: THE ATTITUDE ADJUSTER ViRuLeNT GRaFFiTi, CLeVeLaND GiMMie a GooD eNTRy iN VSuM, PaTTi, You BiTCH! PiCK a SCaN STRiNG, JoHN, THe NeXT oNe ReaLLy MuTaTeS! GReeTZ To SKiSM/PHaLCoN aND ViPeR!

Leprosy.1207

Семейство "Leprosy" . Записывается вместо .COM-файлов текущего каталога. Содерижт строку "*.CoM" и выводит сообщения:

+--------+-----+-----+----+------+-------+| IlDono | (C) | '93 | by | GROG | Italy |+--------+-----+-----+----+------+-------+

* Il dono *

Era il periodo delle feste. Ella e suo marito avevano deciso di assistere a una rappresentazione di Re Lear.

Era la prima volta che uscivano insieme da mesi. Durante il secondo atto uno degli interpreti si senti' male.

Il direttore del teatro venne in palcoscenico e chiese: "C'e' un dottore in teatro?"

Il marito di lei si alzo' e grido': "Io ho una laurea ad honorem in teologia!"

Fu in quel momento che ella decise di non regalargli niente per* Natale. *

Leprosy.5120

Семейство "Leprosy" . Записывается вместо .EXE-файлов текущего каталога. Периодически запускает вирус "Frodo" . "Leprosy.5120" содержит текст:

Dedicated to_all^those-idiots_that have^been_wasting their-time_to^crack this simply^encrypted_CRYPTO vir WHY^DO_YOU BOTHER-AT_ALL!^Farewell-to_all^you

Leprosy.Sandra_II

Семейство Leprosy . Очень опасный нерезидентный полиморфик вирус. Ищет .COM- и .EXE-файлы и записывается вместо них. Содержит в себе строки:

SANDRA*.eXe *.cOmThis Virus is dedicated to Sandra H., V0.07(c) NazgЦl

Уничтожает файлы из списка:

ANTI-VIR.DATC:\TBAV\VIRSCAN.DATCHKLIST.CPSC:\CPAV\CHKLIST.CPSC:\NAV_._NOC:\NOVIRCVR.CTSC:\NOVIPERF.DATC:\TOOLKIT\FILES.LSTC:\FSIZES.QCVC:\UNTOUCH\UT.UT1C:\UNTOUCH\UT.UT2C:\VS.VS

Демонстрации вирусных эффектов:

LEPROSY.COM

Lesson, семейство

Безобидные нерезидентные вирусы. При запуске записываются в конец файла C:\COMMAND.COM. Содержат строки:

C:\COMMAND.COMby Dark Slayer in Keelung, Taiwan <R.O.C>

и:

"Lesson.189": This is [LESSON ONE] virus"Lesson.208": This is [LESSON TWO] virus

Leathal.722

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Содержит/выводит строки:

Leathal$virus$Leathal Virus Striked your fuking computer...Do not worry, I am not destructive...

Letter_H, семейство

Резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске.

"Letter_H.446" безобиден, никак не проявляется. Содержит байт-идентификатор 'H'.

"Letter_H.665" по 7-м числам выводит текст:

Virus TV N O V AExtremly a n t iheuristic systemTechnical infos:All is S H I TGreets go to allvirus developinggroups in Brno !Czech republic96

Level3.4870

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. При заражении проверяет имя файла и не заражает файлы с именами:

SCAN VSHIELD CLEAN FINDVIRU GUARD VIVERIFY TB -VVIRSTOP NOD HIEW PASCA NETENVI F-PROT CHKDSK

При инсталляции в системную память и при окончании работы программ вирус ищет резидентные антивирусные мониторы TBAV и VSAFE и блокирует их работу, при поиске этих мониторов использует строку:

TBMEMXXXTBCHKXXXTBDSKXXXTBFILXXX

В зависимости от своего поколения и системной даты выводит строку:

Welcome to the Explosion's Mutation Machine !Dis is level 3.

Также содержит строки:

* EMM 1.0 *COM EXE

Lewd, семейство

Неопасные резидентные вирусы. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Имеют длины 726, 1656 и 32107 байт. При заражении увеличивают длину файла на ДлинаВируса + [A00h - B00h] байт. "Lewd.b,c" не заражают DRWEB.EXE и AIDSTEST.EXE. В зависимости от текущего времени выводят тексты:

"Lewd.a": Главный Центр Напугивания."Lewd.b": Люся-а-а...

"Lewd.c" выводит довольно много дурацких текстов, размеры некоторых из них достигают 2K.

"Lewd.b" содержит текст "1996 by LewD-H". Он также перехватывает INT 9 (клавиатура), при вводе символов увеличивает свой счетчик и через некоторое время завешивает компьютер.

"Lewd.c" также перехватывает INT 0,8,13h. При вызове этих прерываний в зависимости от некоторых условий выводит тексты или замедляет работу компьютера. Иногда записывает на диск испорченный самораспаковывающийся архив.

Lation.897

Опасный нерезидентный вирус. Ищет .EXE-файлы и записывается в их конец. Также ищет какие-то не-EXE-файлы и записывает в них какие-то данные (портит файлы?). Содержит строку:

fUCKUp(C++), by <mutilation.h> 1997

Laufwerk

Безобидный вирус-компаньон . Ищет .EXE-файлы в дереве подкаталогов случайно выбранного диска, переименовывает обнаруженный файл в случайное имя и записывает свое тело вместо первоначального файла. При запуске вирус ищет файлы для заражения, а затем запускает на выполнение переименованный файл. Вирус содержит строки:

.exe Laufwerk:Runtime error at .Portions Copyright (c) 1983,90 Borland

Lauren, семейство

Неопасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. Проверяют системную дату и 32-го (!!) мая собираются выводить текст:

[Lauren] Virus 0.1bDedicated with love to Lauren....Have fun in NYC sweetums!!! *snuggles* Love, Cody

Также содержат строку:

*.COM .. TBAV\

LAVI, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске или открытии. Содержат строку:

[LAVI 1.0] (c)1994 FaTHer MaC

и/или:

"LAVI.1445":  [LASNEEZE SNEEZE SNEEZE SNEEZE"LAVI.1495":  [LABARF BARF BARF BARF BARF HI"LAVI.1536":  TE GUSTA TU NUEVO BOOT RECORD??, CORTESIA DE ANTI-RA              c:\RA\RA*.*"LAVI.F5":    SaLuDoS a KaLo!              Ячряk|-0|чЪ$ Я5 01.0с (Ы)Яфс1994 [юня$TЭ]              C:\AUTOEXEC.BAT C:\CONFIG.SYS"LAVI.USA":   [USA 94] (c)1994 ANuBiS              -USA 94-

В зависимости от текущего времени и даты вирусы либо пищат спикером компьютера, либо выводят сообщения:

"LAVI.789,836": Poner aca el texto deseado"LAVI.838": I feel a sickness coming on!"LAVI.1445,1495": Cough Cough Cough Cough Ch"LAVI.1470": Poner aca el texto deseado

"LAVI.789" в зависимости от текущего времени и даты печатает экран (INT 5).

"LAVI.1496" проявляется звуковым эффектом.

"LAVI.1536" стирает сектора дисков.

"LAVI.F5" уничтожает файлы C:\AUTOEXEC.BAT и C:\CONFIG.SYS.

Демонстрации вирусных эффектов:

LAVI.COM

Lazy.720

Резидентный опасный вирус. Копирует свою TSR-копию в адреса 7000:A350, перехватывает INT 10h, 21h и записывается в конец запускаемых .COM-файлов. Замедляет вывод на экран - в обработчике INT 10h организует холостой цикл. Содержит текст:

[ lazy ]

LazyToday.1203

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущей даты выводит текст:

Forget it, I'm lazy today!

и выходит в DOS вместо того, чтобы передать управление программе-носителю.

Lct, семейство

Нерезидентные неопасные вирусы. Ищут все .COM-файлы текущего каталога и записываются в их конец. 25-го декабря при запуске "Lct.559,602" немедленно возвращаются в DOS. Содержат внутри себя тексты:

"Lct.559,602":  *.COM <T3> <tm>LiquidCode 92"Lct.762":      LiquidCode<tm> *.COM

Lcv.864

Нерезидентный безобидный вирус. Записывается в начало .COM-файлов текущего каталога. Содержит текст "*.COM".

Leda.820

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их обращениях к ним. С 6-го по 11-е ноября в зависимости от текущего времени выводит сообщение и завешивает компьютер:

Masz wirusa LEDA (BDv3.0)  , (c) B.D. 27.V.1994P.S. Dzieki dla autora wirusa FLOOR 1153

Leech, семейство

Резидентные зашифрованные вирусы. Перехватывает INT 21h и записывается в COM-файлы при их запуске или закрытии. Если первая команда файла - JMP, то записывается в середину файла по адресу перехода по команде JMP (т.е. начало файла не изменяется!), в противном случае записывается в начало файла. При заражении файлов использует System File Table.

В зависимости от текущего времени "Leech.1024", "Glist.1014" и "Tazta.1008" выводят текст и стирают сектора корневого каталога текущего диска:

"Leech.1024": The leech live..."Leech.Tazta.1008": Super, Super! ... March 1993, Tazta."Leech.Glist.1014": Mr.Tapeworm

"Leech.Warrier.768" безобиден, содержит текст:

The WARRIER!

Legion.3274

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Не заражает файлы с именами из строки: "COSODETSANIB-D-UWIPU" (по два символа на имя: COMMAND.COM, SO*.*, ...).

Если номер дня совпадает с номером месяца (1-е января, 2-е февраля,...) вирус выводит текст:

  ATTENTION !!! PERM RESEARCH CENTER OF AUTO-TRANSFERRING SOFTWARE PRESENT:+-+   +-----++-----++-----++----++--+ -+|||   |+--   || --++  |||  ||  |||| ++||+----++-----++-----++-----++----++-  +-+              Version 5.00   (C) TEAM O'SHEEN DA    12-Feb-1997    PRESS <ENTER> TO EXECUTE PROGRAM

Lego.1000

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. После 400-го заражения за один сееанс работы стирает контрольную сумму CMSO и выводит строки:

SzВtszedtem a gВped! Rakd Фssze, LEGO-zz!LEGO virusMESTER (C) 1995

Lehigh

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в середину файла COMMAND.COM при его запуске или просмотре оглавления, содержащего COMMAND.COM, функцией FindFirst (AH=4Eh).

Вирус размещается в области стека COMMAND.COM и не увеличивает его длину. Изменяет 2-й и 3-й байты файла (JMP Loc_Virus).

В теле вируса хранится счетчик, увеличивающийся на 1 при каждом успешном поражении очередного COMMAND.COM. Счетчик сохраняется на диск только в том случае, если зараженный COMMAND.COM был запущен с винчестера. Иначе состояние счетчика обнуляется при каждой перезагрузке DOS. При достижении счетчиком значения 4 вирус стирает первые 32 логических сектора диска, с которого был запущен.

Lemena.3544

Неопасный резидентный полиморфик -вирус. При запуске зараженного файла копирует себя в видео-память по адресу BC00:0000, перехватывает INT 22h (Terminate), возвращает управление программе-носителю, ждет окончания ее работы (INT 22h) и перехватывает INT 21h (для этого записывает в ядро DOS команду длинного перехода на свой INT 21h). Затем вирус записывается в конец COM- и EXE-файлов при их запуске, открытии и чтении/записи их атрибутов.

Довольно хорошо прячет себя в DOS-памяти: при запуске программ копирует себя в XMS, стирает свою копию в видео-памяти, восстанавливает INT 21h в первоначальном виде и перехватывает INT 22h. Свой обработчик INT 22h при этом копирует в ядро DOS (для этого ищет там свободное место). В результате при работе программ (включая антивирусы) код вируса отсутствует в DOS-памяти - его зашифованная копия хранится в XMS, а обработчик INT 22h (частично зашифрованный) ждет окончания работы программы, чтобы восстановить "статус-кво": перенести код вируса из XMS в видео-память и перехватить INT 21h.

Вирус также использует антиотладочные приемы и шифровку "на-лету": перед вызовом своих процедур расшифровывает их, а затем зашифровывает при выходе из процедуры.

Не заражает антивирусы -V.EXE, ADINF, AIDSTEST, AVP, CPAV, и т.д. в соответствии со строкой (по два символа на имя):

-VADAIAVCPDRF-FIGUIMIVMSNAPCSCSPSSSVTBTOV-VAVSWE

Уничтожает антивирусные базы данных: ANTI-VIR.DAT, AVP.CRC, CHKLIST.CPS, CHKLIST.MS, CHKLIST.TAV, CRC.SVS, FILES.VVL FINGERP.VVF IM.PRM IVB.INI, IVB.NTZ, MSAV.CHK, SMARTCHK.CPS, \AV.CRC, \BOOT.CPS, \BOOT.MS, \BOOT.NTZ, \BOOT.TAV, \IV.INI, \PART.NTZ

В зависимости от своего случайного счетчика выводит тексты:

LEMENA'97BOKEPH'97

Также содержит строки:

TBDRVXXX[LEMENA'97] by Bokeph from Batavia, Indonesia[MENA]

Демонстрации вирусных эффектов:

LEMENA.COM

Lemming, семейство

Неопасные резидентные самошифрующиеся стелс -вирусы. Трассируют и перехватывают INT 21h и записываются в конец COM- и EXE-файлов при запуске или закрытии файлов. При открытии файлов лечат их. Проверяют имена файлов и не заражают некоторые антивирусные программы в соответствии со строкой:

TBAVTBSCANNAVVSAFEFPROT

Ищут в памяти антивирус ThunderByte и подправляют его код. При запуске некоторых антивирусных программ перехватывают INT 1Ch и следят за их работой.

Также содержат строки:

TBDRVYou Will Never Trust Anti-Virus Software Again!!COMcomEXEexePacked file is corrupt

и:

"Lemming.2144": ThunderByte-1994-Australia. ver 1.0 [HiTMaN]

"Lemming.2151,2160": The Rise and Fall of ThunderByte-1994-Australia. [LEMMING] ver .99с

"Lemming.2247" содержит строки:

Choise virus ver 1.0 !!!!!!!!!!!!!!!!!!!!!!!!!!!(c) Copyright 1996 by Gurre in Moscow...Голосуй за Генадия Андреевича Зюганова на выборах !!!Банду Эльцина - в отставку ! Банду Эльцина под суд !!!DRWEBAVPAIDSTESTVSAFEFPROTCOMcomEXEexe