NightFall, семейство

Неопасные резидентные полиморфик -стелс -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращении к ним. Используют несколько методов, направленных против антивирусных программ. Выводят сообщения:

"NightFall.4480,4518,4519":

Invisible and silent - circling overland : \\\ N 8 F A L L /// Rearranged by Neurobasher - Germany-MY-WILL-TO-DESTROY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-



"NightFall.5765":

"Any means necessary for survival" 0 N8FALL/2XS 0 "By the perception of illusion we experience reality" Art & Strategy by Neurobasher 1994 - Germany"I don't think that the real violence has even started yet"





"NightFall.5765" иногда запускает компаньон -вирус, также содержит строки:

C:\NCDTREE\NAVINOC.DATMIMECHSYSIMFCO-A-VICTORY-THAT-WON'T-LAST-







Nado, семейство

Резидентные вирусы. Перехватывают INT 21h и записывается в конец файлов

April1st

Очень опасный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В результате ошибки портит некоторые файлы при заражении. При вызове DOS-функции GetDiskSpace (AH=36h) создает файл APRIL1ST.BAT и записывает туда строку:

@echo April Fool - 1996 - if u run this batch file your HDD will burn!


При вызове DOS-функции SelectDisk (AH=0Eh) и если указан диск A:, то вирус проверяет системное время и, если значение минут больше 54, выводит текст:

April 1st.......i will now kill your HardDisk


а затем пытается создать 100 подкаталогов с именами типа C:\9<IJKHLN, но завешивает систему в результате ошибки.

Вирус также содержит строку:

[ APRIL-1 (c) made by TorNado/[DC] in Denmark '96 ]




Nado.CyberBug,Fatill

Очень опасные зашифрованные вирусы, "Nado.Fatill" - полиморфик-вирус. Заражают COM-файлы при их запуске. При вызове функции GetDiskSize (INT 21h, AH=36h, "Nado.Fatill") или при заражении системной памяти ("Nado.CyberBug") создают в текущем каталоге файл:

"Nado.CyberBug": CYBERBUG.BAT"Nado.Fatill": FATILL10.BAT



и записывают в него строку:

echo > clock$


Содержат строки:

"Nado.CyberBug":


echo > clock[ CyberBug v. 1.00 ][ made by TorNado DK ]Cyberbug.bat



"Nado.Fatill":


[ Fatal-Illusion (c) made by TorNado in Denmark '95 ][NaE]echo > clock$fatill10.bat



При вызове функции GetDiskSize "Nado.CyberBug" в зависимости от системного времени стирает сектора диска.

При запуске некоторых антивирусов (SCAN, F-PROT, VSHIELD, TBAV) "Nado.Fatill" уничтожает их.



Nado.Lover

Зашифрованные вирусы. Перехватывают INT 21h и заражает запускаемые COM-файлы. "Lover.531" безобиден и никак не проявляется.

"Lover.602" очень опасен. Перехватывает INT 9 (клавиатура) и при нажатии на Del затирает boot-сектор текущего диска строкой:

[Undying Lover v1.01][by WarBlaDE/DC '96]


и затем перезагружает компьютер.



Nado.Rabin

Очень опасный зашифрованный вирус. Заражает COM-файлы при их запуске или при смене их атрибутов. Уничтожает файл ANTI-VIR.DAT.

В зависимости от текущего значения системного таймера перехватывает или INT 9, или INT 26h. Код INT 26h проверяет текущую дату и по 3-м числам стирает MBR винчестера (прямой вызов INT 13h). Код INT 9 перехватывает нажатие на DEL и записывает в boot-сектор текущего диска строку:

[ Yitzhak-Rabin 1.00 (c) made by TorNado in Denmark '96 ]




Nado.RedViper

Опасны. Заражают EXE-файлы при их запуске или при смене их атрибутов. Никак не проявляются, но могут испортить файлы при их заражении. Содержат строки:

"RedViper.584": [ RedViper (c) made by TorNado in Denmark '95 ]"RedViper.602": [ RedViper 1.5 (c) made by TorNado/[DC] in Denmark '95 ]





Nado.RedZar

Безобиден, зашифрован, заражает запускаемые COM- и EXE-файлы. Содержит текст.



[ Red-Zar v. 2.00 (c) made by TorNado/DC in Denmark 1996 ]






Naff.821

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. По причине ошибки в полиморфик-генераторе иногда портит файлы при их заражении. Более никак не проявляется.





Naive.1647

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при их запуске или открытии. При теплой перезагрузке (Alt-Ctrl-Del) пытается (безуспешно) вывести довольно длинный текст. Содержит строку:

NAIVE






Nameless.3000

Очень опасный резидентный зашифрованный вирус. Трассирует INT 13h, 21h, перехватывает INT 21h, 2Fh, лечит и запускает программу-носителя, затем остается резидентно в памяти. При DOS-вызовах Close, Create, GetDiskSpace (INT 21h, AH=3Eh, 3Ch, 36h, 5Ah, 5Bh) вирус ищет .COM- и .EXE-файлы и записывается в их начало. Если длина файла меньше 8000 байт, вирус увеличивает ее до 8000 перед заражением. При открытии или запуске зараженных файлов вирус лечит их.

В зависимости от своего счетчика портит случайно выбранные сектора дисков. Запускает подпрограмму, которая стирает сектора винчестера и выводит счетчик уничтоженных треков.

Содержит строки:

ABCDEFGHabcdefghCOMMANDNameless virus v.2.0Глазовская водка-лучшая в России!Завалим юзеров вирусами!Игорь, помоги назвать вирус (только не Nameless)U my last hope... Please...*.COM *.EXE





Демонстрации вирусных эффектов:

NAMELESS.COM



Nanjing, семейство



Nanjing.1284

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h, 2Fh и записывается в конец запускаемых COM- и EXE-файлов. В зависимости от системного времени выводит текст:

This is a Demo VirusNanjing Normal UniversityWritten by CY8.1994





Nanjing.2976

Неопасный резидентный вирус. Перехватывает INT 21h, 4Ah и записывается в конец запускаемых .EXE-файлов. При вызовах INT 4Ah выводит текст:

+--------------------------------------+| !!!---<<WELCOME>>---!!! || *.*.*.* || || Don't panic I'm harmless! || You have a new friend: TY_VIRUS V3.0 || I hope I haven't inconvenied you! || (c)copyright 1994.3.25 || Made by: || NANJING NORMAL UNIVERSITY || COMPUTER DEPARTMENT || ||--------------------------------------|| OK! Please wait a minute...... |+--------------------------------------+







Nautilus, семейство

Нерезидентные зашифрованные вирусы. Ищут .COM-файлы и записываются в их конец.

Nautilus.1712

Неопасен. Заражает файлы в текущем каталоге. По 1-м числам выводит сообщение:

Prospero Virus(C) Opic [CodeBreakers '98]



и затем печатает на принтере текст:

******************PROSPERO!**************************There is a path to the trancendece of the dollar: Embarkrich beggars! Does magic bring prosperos to his knees?Reading pretty twilight, making grass uncertain?Oh,all that christmas snow shouldered by one birthday suit!The fate of the world under his armpit like a thermometer?Rejoice Villains! Your time has come.**************(C) Opic [CodeBreakers,98]*******************





Nautilus.1824

Неопасный полиморфик -вирус. Ищет и заражает файлы в текущем каталоге, затем переходит в родительские каталоги, затем в каталог DOS, затем WINDOWS, затем WINDOWS\COMMAND - всего заражает до 7 .COM-файлов.

6-го ноября ищет файлы *.TXT и дописывает к ним текст:

The year 1866 was made notable by a series of bizarreevents, a chain of mysterious phenomena which have neverbeen explained, that I am sure no one has forgotten.



Начиная с 23:00 выводит сообщение:

Thus ends the voyage under the seas.


Вирус также содержит строки:

*.com *.txt dos windows command ..[Nautilus]Sea4, Codebreakers







Nax.1402

Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h, 4Bh и записывается в конец запускаемых COM- и EXE-файлов. INT 4Bh использует для детектирования своей TSR-копии при инсталляции в память. Перехват INT 9 (клавиатура) использует для подмены каждого 4-го символа:

\ <-> /: <-> ;< <-> >( <-> )[ <-> ], <-> .9 <-> 0F5, F6 -> F8F8 -> F6







Nazgul, семейство

Безобидные нерезидентные вирусы. Ищут .COM-файлы и записываются в их начало. Содержат тексты:

"Nazgul.209": *.COM"Nazgul.266": *.COM NazgЦl







Nazgul_II.2366

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Содержит ошибки и часто портит файлы при заражении и завешивает систему. Содержит текст:

[Nazgul]






Nculi.1688

Резидентный опасный вирус. Трассирует INT 13h, 21h, перехватывает INT 21h и записывается в конец EXE-файлов. В конце зараженных файлов содержится текст:

NCU LI


Периодически расшифровывает и выводит сообщение, затем завешивает компьютер:

PARITY ERROR ADDR (HEX) = ( 02C14H ) SYSTEM HALTED






Necropolis

Резидентный очень опасный стелс -вирус. Трассирует INT 13h, 21h, перехватывает INT 21h и затем записывается в файлы при обращении к ним: в начало COM-файлов и в середину EXE-файлов (между заголовком EXE-файла и телом модуля):

COM-файл EXE-файл+-------+ +-------+ +--------+ +--------+| |--+ |Вирус | |Header | |Header ||- - - -| | |-------| |--------| |--------|| | | | | | |--+ |Вирус || | | | | |- - - - | | |--------|+-------+ | |- - - -| +--------+ | |- - - - | +->| | +->| | +-------+ +--------+



Использует алгоритм вируса "Beast" : записывает сохраняемый участок файла в свободные сектора его последнего кластера. Длина файла при этом не увеличивается.





Necros.1164

Неопасный резидентный полиморфик -вирус. Перехватывает INT 1Ch, 21h и поражает COM- и EXE-файлы. Записывает себя в начало COM-файлов, EXE-файлы поражает как компаньон -вирус: создает .COM-файл с именем .EXE-файла. 21-го ноября пищит и выводит текст:

Virus V2.0 (c) 1991 Necros The Hacker.Written on 29,30 June in Tralee, Co. Kerry, Ireland.Happy Birthday, Necros!



Также содержит текст:

Virus V2.0 [FrIEND]






Neko, семейство

Резидентные полиморфик -вирусы. Трассируют INT 13h, 21h, перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. По вторникам:

"Neko.1964,1990" записывают в начало файлов программу, которая при запуске сообщает:

Hi! My name is Neko.It is a Japan name.When you see me , please do not worry.New i am a very kind and cute virus.I only kill your this file.But next time i will kill you all.I will be com back and become fierce. Neko version 1.0



"Neko.2697" выводит текст:

Dear Mrs.Grandy:Aloha!It is me,Neko again! This is the lastest version 2.0Undoubtedly,I am not what I was.Let me tell you something about my improvement.I work with the Antilogic Engine I.It is a new invention.So,Showtime! Neko version 2.0 Made by Metal Satan







Nephew.2906

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Уничтожает антивирусные файлы данных: CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT, CHKLST.TAV, SMARTCHK.TAV. Не заражает файлы HIEW, SAFE, SOS, и т.д. в соответствии со строками (по четыре символа на имя):

HIEWSAFESOS./WD.WARNCPAVADINANTIAIDSVIRUVIR.SCANRWEBLD.EGUARCLEA



Пытается (безуспешно) записать поверх файлов из второй строки программу, выводящую при запуске сообщение:

+--------------------------------------------------------------------+| U N R E G I S T E R E D P R O G R A M ! |+--------------------------------------------------------------------+ This version is NOT freeware, you MUST register it! Call (+7-095)135-6253, 137-0150



При инсталляции вирус сканирует ядро DOS и правит код какого-то драйвера, перехватывает какие-то события и в зависимости от них устанавливает свои внутренние флаги. В зависимости от этих флагов вирус записывает какие-то данные в последние сектора корневых каталогов дисков. Вирус использует при этом старый формат INT 26h и не работает с дисками объема более 32M.

Вирус также содержит строку:

(=) Big Nephew (=)






NetBios.4340

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним, при запуске зараженных файлов лечит их. Записывает в некоторые файлы троянскую программу, которая стирает CMOS, сектора дисков(?) и проявляется каким-то видео эффектом. Вирус cодержит строку:

Retix PC-21 NETBIOS






Neumann.752

Очень опасный резидентный вирус. Перехватывает INT 21h и при запуске программ ищет COM-файлы (кроме COMMAND.COM) и записывается в их конец. 5-го мая стирает сектора дисков. Содержит строки:

[ NEUMANN J. (1903-57) V2.7 HUNGARY ]*.COM







Neuro.3100

Опасный резидентный полиморфик -стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает антивирусы: SCAN, NAV, F-PROT, SHIELD. Портит какой-то файл (антивирус?). Содержит строки:

comCOM[Neuromorphosis]ANAVOTLDEManavotldem







Never.1000

Безобидный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в начало COM- и конец EXE-файлов при обращениях к ним. При запуске ADINF, WEB, AIDSTEST, SCAN, ARJ, ZIP, LHA, RAR временно выключает свои процедуры заражения и стелс. Содержит строки:

дАнИлОфФ-дУб,wEb-ГоРбУхАNFEBSTANRJIPHAAR[Never-Never] by Int O`DreamКиев,4:09am,31/03/96







NeverOne.442

Безобидный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы (кроме COMMAND.COM) и записывается в их конец. Содержит строки:

[NEVERONE] NeverOne, Belgium Most HatedCOMMAND.COMCHKLIST.MS*.COMN1







NeverMind.838

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. 65535-е поколение вируса завешивает компьютер. По первым числам ежемесячно создает файл C:\PATRICIA.TXT и записывает туда текст:

A WORD TO PATRICIA:"ER.......... NAH, NEVER MIND"



If this doesn't refer to you, just ignore it.For more information call: ++1-408-988-3773 (USA)







NewAids.1041

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. Выводит текст:

I am the NEW AIDS Virus and your PC is InFeCtEdI'm sorry...



и записывает в boot-сектора флоппи-дисков программу, которая при зигрузке сообщает:

This is the right way to let viruses spread up !Next time be CAREFULL!!



Также содержит строки:

*.COM PATH=Р-Killed







Newgen.1054

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Периодически выводит на экран текст:

New Generation Virus 1.0с by NET CRASHER,a PROUD member in HYPER. This message appears in a generationthat is devided by 20. Please don't remove this virus, it Was created for research purpose only.Get a Life !







NewModel.533

Опасный резидентный зашифрованный вирус. Копирует себя в память по адресу 8E70:0100 без коррекции MCB-блоков, это может привести к зависанию компьютера. Затем перехватывает INT 21h и записывается в начало .COM-файлов при их запуске или открытии. Содержит строку:

New Model v1.1с (c) 20.10.1994 Happy Virus Company






NewYear.1356

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. С 1-го по 3-е января расшифровывает и выводит текст:

Happy New Year.






NextGen.2304

Безобидный резидентный стелс -вирус. Перехватывает INT 21h, 2Fh и записывается в конец EXE-файлов при обращении к ним. Содержит строки:

The NextGen Stealth VirusIL USA, 6-93...(Revision)







Ng, семейство

Неопасные резидентныe вирусы. Перехватывают INT 13h, 28h и при вызове INT 28h ищут COM-файлы текущего каталога и записываются в их начало. Содержат зашифрованные тексты:

"Ng.695,706": New Generation v.2.1 (NG-2.1 Ukr) *.COM"Ng.914": NG-2.2 Ukr *.COM"Ng.1036": NG-2.3 Ukr



"Ng.695,706" также выводят текст:

Bad command or file name






Nguyen.1740

Опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов. Содержит в себе текст:

Hacker: NGUYEN HIEU VINH22 / 1A Truong Quoc DungPhuong 10 Quan Phu Nhuan Thanh Pho Ho Chi Minh South of Viet Nam



Периодически записывает в файлы строку:

Don't use these softwares: ATV, VDW and LF to kill me!!!NgУ Anh Vu, Pham Du LiИm, TrГn Thanh Son, Duong HУng TГnand Dang HУng Quang are too stupid. TrУng giУng nhu heoHa! Ha! These dogs can't touch me. I'm your great fatherPress any key to exit and never use these softwares. Ha! Ha!



или расшифровывает и выводит на экран:

DBSoft-DoЕn ThЕnh Tг lЕ 1 ke "trУm cap" software. He's a professional thief...





Nie.1664

Опасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец, при этом использует FCB доступ к файлу. Затем перехватывает INT 1Ch и оставляет в памяти часть своего кода. Этот код затем проверяет клавиатуру и при некоторых условиях перезагружает компьютер. Вирус содержит текст (все строки, кроме первой - зашифрованы):

Nie znaleziono pliku lub zla sciezka dostepu!Copyright by Krzysztof Jankowski.WARSZAWA 1993.All rights reserved.Printed in Poland.







Nigeb.890

Опасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM-файлов при их запуске.

При записи в файлы заменяет строки "BEGIN" (вне зависимости от строчных или прописных символов) на "NIGEB", при вызовах INT 1Ch (таймер) ищет на экране строкиr "NIGEB" и заменяет их на "BEGIN".

Содержит строки:

igebeginAntiPascal-1 (C)Godzilla Corp.







Night.2048

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от количества заражений портит MBR винчестера, пищит динамиком компьютера, перехватывает INT 1Ch и выводит матерное сообщение на английском.





NightFreddy.938

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. В августе стирает MBR винчестера и портит данные в CMOS. В вирусе присутствует код, который никогда не получает управления, этот код расшифровывает и выводит текст:

I'm Freddy, your nightmare






NightKing.1568

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме AVG.EXE) при их запуске или открытии. При заражении компьютера запоминает в MBR винчестера текущую дату, затем проверяет ее и спустя месяц считывает в память FAT диска C:, стирает FAT с диска и выводит сообщение:

+-----------------------------------------------+| Hello dear friend, your computer is attacking || by NIGHT KING I. virus. If do you like your || data very much, don't reset your computer || before midnight ! |+-----------------------------------------------+





Затем вирус ждет полуночи и восстанавливает FAT. Если перезагрузить компьютер не дожидаясь полуночи, то FAT диска C: оказывается испорченной.



Демонстрации вирусных эффектов:

NIGHTKIN.COM



NightKnight

Опасный резидентный стелс -вирус. Перехватывает INT 20h, 21h, 27h, 28h, 2Ah, 2Fh и записывается в конец COM- и EXE-файлов при обращении к ним. В зависимости от текущей даты уничтожает файлы вместо их заражения. Содержит строку:

Night Knight!






Nightmare.1024

Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. Первоначальный заголовок файла шифрует и записывает в конец файла. Уничтожает файл CHKLIST.MS. По 18-м числам стирает FAT диска C:, затем расшифровывает и выводит текст:

Nightmare Virus! Made in Argentina by D.M.






Nik, семейство

Резидентные вирусы. Перехватывают INT 1Ch, 21h и записываются в начало запускаемых COM-файлов. Содержат текст:

NIK


"Nik.442" опасен, в зависимости от своих счетчиков портит CMOS. "Nik.546" медленно гасит экран используя команды VGA.





Niko.3477

Очень опасный резидентный вирус. Использует большое число антиотладочных приемов, код которых занимает более половины всего кода вируса. При запуске зараженного файла вирус трассирует и перехватывает INT 21h, перехватывает INT 3, остается резидентно в памяти и затем записывается в конец COM- и EXE-файлов при их запуске или открытии.

В зависимости от системного таймера портит данные при их записи на диск (DOS-вызов Write INT 21h, AH=40h). При создании файлов с именами .AS* или .DB* вирус в зависимости от системного таймера портит эти файлы или создает подкаталоги с именами создаваемых файлов. При запуске или открытии каждого файла вирус подсчитывает CRC-сумму своего кода и, если она не совпадает с оригинальной суммой, выводит текст "FUCK YOU", "дергает" экран и завешивает компьютер.

Под отладчиком или в зависимости от таймера вирус вызывает тот же эффект, но выводит другой текст:

No viruses


Вирус также содержит зашифрованные строки:

Николаевский Кораблестроительный институт.Oct(123,123,126) by one of student







Nina, семейство



Nina.256

Крайне примитивные резидентные безобидные вирусы. Перехватывают INT 21h и записывается в их начало COM-файлов. Содержат тексты:

"Nina.256.a,b": Nina"Nina.256.c": RIOT!





Nina.1560,1600,1614

Резидентные очень опасные вирусы. Активизируются только при отсутствии антивирусных блокировщиков, перехватывают INT 21h и затем записываются в конец .COM-, .EXE- и .SYS-файлов, которые ищут в текущем каталоге при каждом вызове INT 21h.

При попытке пройти коды вируса "Nina.1600" отладчиком он (вирус) уничтожает часть данных на диске. Этот вирус содержит тексты:

Dear Nina, you make me write this virus; Happy new year!*:\COMMAND.COM







Nines

Резидентные неопасные зашифрованные вирусы. Перехватывают INT 17h, 21h и записываются в конец запускаемых COM-файлов. Периодически изменяют цифры, выводимые на принтер. "Nines.776" очень опасен: шифрует информацию, сохраняемую в файлы.





Ninja, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и заражают COM- и EXE-файлы кроме COMMAND.COM и AIDSTEST.EXE. При заражении до и после кода вируса дописывают случайные блоки длиной до 255 байт:

+---------------------------+|Файл |XXXXXX|Вирус |XXX|+---------------------------+



Периодически убивают файлы: записывают в их начало программу, которая при старте расшифровывает и выводит на экран текст:

"Ninja.1336": DZINA VIRUS v 4.0 Copyright (C) 1990,91,97 Dzina Corp



"Ninja.1370,1376": Mutant Ninja Version 2.0 Copyright (C) 1990,91 Virus&Worm Software



В 1992 году по 13-м числам в 13.00 стирают FAT диска C:. Некорректно работают с INT 24h. Содержат текст:

COMMAND.COM AIDSTEST.EXE .COM .EXE




Ninja.Craz

Заражает файлы два и более раз. В зависимости от системной даты и времени уничтожает файлы, стирает сектора дисков и перезагружает компьютер. Содержит текст:

Mutant VIRUS Copyright (C) 1996,97 Craz Software




Ninja.Raving

Безобидные резидентные вирусы. Заражают EXE-файлы повторно. "Raving.1195" содержит строки:

В УдГУ никто и ничто не пашет!It's a beautiful life!Can't stop raving







Nipple.208

Безобидный резидентный вирус. Копирует себя в видео-память, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Использует System File Table. Содержит строку:

[Nipple]






NMSG.214

Опасный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их середину. Может испортить файлы при заражении. Содержит строку:

*.exe <<NMSG>>


При заражении файла вирус записывается в область сообщений об ошибках компилятора Microsoft C. Такая область присутствует в файлах, откомпилированных MSC-компилятором, и содержит сообщения об ошибках:

<<NMSG>>R6000 - stack overflowR6003 - integer divide by 0



и т.д.

Вирус ищет внутри файла строку "<<NMSG>>" и записывает себя вместо последующих данных, если такая строка обнаружена. В результате длина файла при заражении не увеличивается.





No25, семейство

Неопасные резидентные стелс -вирусы, "No25.1894" - зашифрован. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или закрытии. Используют антиотладочные приемы. В зависимости от своих счетчиков выводят текст:

Made in No.25 middle school which lived in Beijing China.






No444.474

Безобидный резидентный вирус. Перехватывает INT 21h, 2Fh и записывается в конец .COM-файлов при их запуске. Содержит код, стирающий MBR винчестера, но этот код никогда не получает управления. Содержит текст:

* SCHOOL No.444,MOSCOW *






Nobock.440

Нерезидентный опасный вирус. Ищет .COM-файлы дерева подкаталогов текущего диска и записываются в их конец. Периодически выводит текст:

No Bock today Error, System halted!


и завешивает систему.





Nocopy, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 20h, 21h, 2Fh и записываются в конец EXE-файлов при их открытии. Создают файл NOCOPY.COM, содержащий копию вируса, и вставляют в файл C:\AUTOEXEC.BAT строку "C:\NOCOPY". Корректируют MBR таким образом, что при загрузке с диска вирус получает адрес INT 13h в BIOS'е.





NoDbf.1000

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Не заражает файлы, если их имя кончается на цифру, "EB" или "ST" (WEB, AIDS). Также проверяет расширение имени файла и блокирует открытие .DBF-файлов.





NY, семейство

Неопасные резидентные вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец COM- и EXE-файлов при обращениях к ним.

В зависимости от своего счетчика "NY.1577" проигрывает мелодию "В лесу родилась елочка". Содержит строку:

BETA-Version. Please, don't distribute it!




Демонстрации вирусных эффектов:

NY.COM



Nygus, семейство

Безобидные вирусы, записываются в конец файлов. Содержат строки:

"Nygus.227": Nygus v1.1"Nygus.278": (c)Nygus v1.1"Nygus.295": (c)Nygus v1.2"Nygus.752,757": (c)Nygus v2.0



"Nygus.227,278,295" нерезидентны. При запуске ищут .COM-файлы и записывается в них.

"Nygus.752,757" резидентны. Перехватывают INT 21h и записываются в стартующие .COM- и .EXE-файлы.





Nymphet.1024

Опасный резидентный вирус. Перехватывает INT 21h и при изменениях текущего каталога (ChDir) ищет .COM- и .EXE-файлы и записывается в их конец. Имеет ошибки, в результате зараженные EXE-файлы могут завесить систему. Содержит строки:

*.com *.exeNYMPHET ver. 1.0







Nikki.3133

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии, переименовании или обращении к их атрибутам. У зараженных файлов устанавливает атрибут read-only. Не заражает файлы с именами: VIR*, CLEAN, DEBUG, SCAN, NAV. Уничтожает антивирусные файлы данных CHKLIST.*. Содержит строки:

TO Nikki Edval ng TorOntCan.FROM Putoksa Kawayan. Kathang-isip sa Metro Manila, Philippines







Nucleii.200

Очень опасный нерезидентный вирус. При запуске ищет все файлы в каталогах текущего диска и записывается в их начало не сохраняя старого содержимого файлов. После заражения 4-х файлов пытается стереть 4 первых сектора на диске B:. Содержит строку:

nUcLeii~.E=mc2






NoFrills, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при доступе к ним. Некоторые вирусы семейства заражают COM-файлы некорректно, такие файлы завешивают систему при запуске. Содержат тексты:

"NoFrills.813": +-No Frills by Harry McBungus-+"NoFrills.815": +-No Frills 1.01 by Harry McBungus-+"NoFrills.840": +-NF3.0-H.McB-[PuKE]-+"NoFrills.843": +-No Frills 2.0 by Harry McBungus-+





NoFrills.Bungus

Перехватывает INT 8, 21h. Содержит тексты:

*X-Fungus by Harry McBungus**Nugga!**Greets SCP**Greets RABID** Patricia: Grow some programming knowledge **Grease me!**K-Mart in full effect**Epileptic Downer*



Расшифровывает текст и выводит его на экран:

John Bonham - September 20, 1980 - L E D Z E P P E L I N -





NoFrills.Dudley

Безобидный полиморфик -вирус. Содержит строку текста:

[Oi Dudley!][PuKE]




NoFrills.Kcat.1358

Опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии или изменении их атрибутов. При заражении портит EXE-файлы. Создает файл C:\WIN386.DAT, в который записывает символы, вводимые с клавиатуры. Содержит строки:

Kcat 3.015% - By Sir Twist & Thunderbird, with Many Thankz to Harry McBunguswhose coded we politely nicked.





NoFrills.K-Lame.950

По воскресеньям создает файл C:\HARRY.MCB file и при заражении любого файла дописывает к этому файлу строку:

+-K-Lame Kreation by Harry McBungus-+






NoHook, семейство

Очень опасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 85h и записывают в ядро DOS команду вызова INT 85h. Затем записываются поверх запускаемых файлов. Некторые версии вируса содержат строку:

it's not necessary 2 hook int 21h!






Noiembrie.610

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Выводит тексты и возвращает управление DOS:

9-го ноября: 9 Noiembrie 1979 - Ziua Lui Cosmin NoNov - HCA Romania September 1996



по воскресеньям: Sunday error 262 at 7053:0122






Noki.448

Очень опасный резидентный вирус. При запуске копирует себя в видео-память по адресу BD00:0000 и сохраняет свой код в 17-м секторе винчестера (адрес 17/0/0 - сектор/трек/головка). Затем вирус копирует свой обработчик INT 21h (39 байт) в таблицу векторов прерываний и возвращает управление программе-носителю.

Вирус перехватывает только выполнение файлов (AX=4B00h), считывает свой код из сектора 17 в видео-память и передает туда управление. При этом активизируется подпрограмма заражения файлов. Заражаются только EXE-файлы, которые имеют внутри себя область из 448 последовательно идущих нулевых байт. Вирус записывается в эту область и не увеличивает длину файлов.

По 17-м числам нечетных месяцев (Январь, Март, ...) вирус стирает MBR винчестера. Вирус содержит текст:

NOKI






Nomenclatura

Очень опасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов. Меняет местами слова в FAT. Содержит текст

Nomenklatura


и фразу на болгарском языке.





Noon.1163

Резидентный неопасный вирус. Перехватывает INT 1Ch, 21h и записывается в конец запускаемых COM- и EXE-файлов. Удаляет себя из зараженных файлов, если они запускаются под отладчиком. В полдень 6 раз пищит. Содержит зашифрованную строку:

byMH&MHsoftware




Демонстрации вирусных эффектов:

NOON.COM



NopM.494

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. Содержит ID-байт 'M' следующий за инструкцией NOP.





Normal, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. В зависимости от текущей даты расшифровывают и выводят сообщение:

Нормальные ЛЮДИ по ПЯТНИЦАМ не РАБОТАЮТ !






Norway.673

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. 17-го мая выводит текст:

Happy birthday, Norway!






NoSmoking, семейство

Неопасные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Содержат строку "Kamchatka".

NoSmoking.1000

В зависимости от своего внутреннего счетчика лечит файл-носитель и выводит одну из строк:

Water detect in Co-processor !I am hungry ! Insert hamburger into drive A:No smoking, please ! Thanks.Don't beat me!Attention ! Hard Disk is Radioactive !I'm so much dirty! Clean me !Kiss my keyboard !Keep smiling !Warning ! In drive A: are two diskettes.I don't understand you.Insert tractor toilet paper into printer.Hard Disk's head has been destroyed. Can you borrow me your one ?Coca-Cola is it !





NoSmoking.1575

Нерезидентен, но оставляет резидентную программу, которая перехватывает INT 21h, не заражая файлов. Если при заражении не возникло ошибки записи на защищенный диск, вирус вызывает следующий эффект: он случайно выбирает два компьютера, подключенных к сети, и посылает на второй из них сообщение типа:

NAME: Text


где NAME - сетевое имя первого компьютера, Text - одна из фраз:

Friday I'm in LOVE !No smoking, please !Thanks.



Вирус также содержит строку:

Kamchatka/FRIDAY






Nostardamus, семейство

Очень опасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним.

В зависимости от версии вируса, системного таймера и своих счерчиков вирусы перехватывают INT 10h, или INT 16h, или INT 1Ch и проявляются различными способами: стирают сектора дисков, портят файлы, "пропускает" символы, вводимые с клавиатуры, выводят сообщение:

HOME RUN !!!


Также выводят тексты:

"Nostardamus.2247":


The NOSTARDAMUS-Erase (c) v2.1 betaFormating disk C:40Mb



"Nostardamus.2500,2560":


The NOSTARDAMUS-Erase (CopyLeft) Version 2.9 beta by PopulizerFormatting disk X: 40Mb



"Nostardamus.5995":


The NOSTARDAMUS.Maverick (CopyLeft) Version 3.2 ultra by PopulizerFormatting disk X: 40M



"Nostardamus.5995" также выводит около 100 дурацких текстов типа:

Осторожно - на борту бомба!В дисководе А: две дискеты !!Храните деньги в банке !!Лучше пива только ФАВТ !!!Извините, а как вас зовут ?Can you FUCK me ? May be !Пиво не роскошь, а средство !Выпьем Водки Ваня ...



и т.д. Этот вирус также содержит текст:

Киевскому Международному Университету Гражданской Авиации, и лично Факультету Авиационного РадиоЭлектронного Оборудования посвящается: Вирус - ~Дискоглотатель~. Написан студентом ФАРЭО гр.203 (C) CopyLeft 1994



"Nostardamus.3072,3584" перехватывает INT 22h, ждет завершения работы программы-носителя, перехватывает INT 21h и остается резидентно в памяти. Являются стелс -вирусами - при обращениях к зараженным файлам лечат их. Проверяют имена файлов и не заражают некоторые антивирусы.

"Nostardamus.3072" безобиден и никак не проявляется.

"Nostardamus.3584" очень опасен. В некоторых случаях ищет и уничтожает файлы C:\*.*. Проверяет имена файлов по строкам:

COMEXEOVLOVRPROSCAEXTWEBARJRARLHAZIPCOMWINCHK



и либо не заражает эти файлы, либо выключает свои стелс-подпрограммы.

Вирусы содержат строки:

"Nostardamus.3072.a": EMME v3.0. KILLER."Nostardamus.3072.b": Eternal Maverick Mutation Engine v3.0 Double Dragon !"Nostardamus.3584": -=Unlimited Grief=- Kiev'96 EMME 3 Killer"Nostardamus.RunAway.2560": Run away train never come back ! (c) Eternal Maverick. Stealth Group.







Not.574,586

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске. Никак не проявляются.





Nothing

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их открытии. Записывает свою TSR-копию в сегмент 9800h ничего не меняя при этом в цепочке MCB, что может вызвать зависание компьютера.





NotStoned.1349

Неопасный резидентный вирус. Перехватывает INT 8 и 28h и через случайные интервалы времени ищет COM-файлы и записывается в их конец. Чтобы при этом не завесить систему перехватывает также INT 9, 10h, 13h и проверяет некоторые данные DOS (переменную InDos).

Если системная дата - 6-е декабря 1994 года, то вирус расшифровывает и выводит сообщение:

Don't legalize Marijuana. Your computer is not stoned.






November17, семейство

Очень опасные резидентные вирусы, перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов ("November17.584" только в COM). Используют адрес INT 83h как идентификацтонное слово резидентной части вируса. В зависимости от текущего времени стирают CMOS или сектора дисков. "November17.584" перехватывает также INT 8, 9 и пищит системным спикером компьютера.

Некоторые версии вирусов семейства содержат строку "SCAN.CLEAN.COM.EXE" и не заражают файлы SCAN.EXE и CLEAN.EXE.





Nov7.482

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец COM-файлов, загружаемых в память. 7-го ноября сообщает:

Format ...


и стирает сектора винчестера.





Novosibirsk.1000

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. При запуске каждого зараженного файла также ищет первый EXE-файл в текущем каталоге и заражает его.

При инсталляции в системную память использует некорректные приемы, в результате чего может завесить систему. Блокирует поисх скрытых (hidden) файлов, в результате чего они оказываются невидимыми практически для всех программ (включая команду "DIR /AH"). Содержит строки:

WRANOEMSNovosibirsk







Nowi.1327

Опасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Может испортить файлы при заражении. Расшифровывает и выводит строки:

Out of enviroment space.Not enough memory.Analyzing configuration. Please wait...Hej Sell! Czy to bylo tego warte? (c) by Nowicjusz







NoWin.2576

Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в начало COM- и конец EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. При запуске файла WIN.* перезагружает компьютер. В некоторых случаях пищит спикером компьютера. Содержит строки:

Copyright (c) 1993-94 XY, Zielona Gвra.R_H|PL|







Nr.300

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. В начале зараженных файлов содержится строка "Nr". Периодически вирус стирает CMOS.





NRead.1467

Очень опасный резидентный вирус. Перехватывает INT 8, 9, 13h, 21h, 28h. Перехватчик INT 21h заражает файлы - записывает код вируса в конец .COM-файлов при их запуске или открытии. Перехват INT 2Fh используется для детектирования TSR-копии вируса при инсталляции в системную память. Остальные прерывания вызывают эффект вируса - в феврале вирус выводит сообщение и стирает все файлы на текущем диске, сообщение выглядит следующим образом:

Network Read CRC ErrorRe-reading Packet







NSD.266

Опасный нерезидентный вирус. При запуске ищет .COM-файлы и C:\COMMAND.COM, затем записывается в их конец. В зависимости от значения системного таймера переводит компьютер в графический видео-режим (INT 10h, AX=0013h), выводит сообщение и завешивает PC:

SYSTEM ERROR: DMA DENIED.


Также содержит строки:

c:\command.com *.comNSD







Ntit, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их начало. При заражении "Ntit.1578" переименовывает файл в XXXXXXXX.VIR, заражает и переименовывает обратно. Содержат строки:

NTIT-4IM2*.COM



и "Ntit.1578":

xxxxxxxx.virA-T-T-E-N-T-I-O-N: VIRUS FOR RESEARCH ONLY ! (C)1994 By LinTzuoh-yi,National Taiwan Inst. of Tech.,Dept. of InformationManagement,e-mail:b8109006@cs.ntit.edu.tw









NTU, семейство

Резидентные самошифрующиеся вирусы. Перехватывают INT 21h и записывается в конец EXE-файлов.



NTU.Amour.3312

Очень опасный полиморфик -стелс -вирус. Записывается в EXE-файлы при их запуске или открытии. Содержит строку:

L'AMOUR v1.1 by NTU BACTERIOPHAGE LAB S/N TM1-


в конце которой вирус записывает номер своего "поколения". В некоторых случаях стирает CMOS и сектора винчестера.



T4.2138

Неопасный вирус. Записывается в EXE-файлы при их запуске. Содержит строки:

T4Griffe



T4 virion ----- by NTU BACTERIOPHAGE LABThere Once Was A King, Who Called For The SpringFor His World Was Still Covered In SnowBut The Spring Had Not Been, For He Was Wicked And Mean ...Here I'm Sitting And It's Getting ColdThe Morning Rains Against My Window PaneWhile The World Looks So Cold And GreyIn My Mind I Dream AwayThen I'm On My Way To Tropic IslandsYou'd Always Say I Was A DreamerYou Were RightWhat Do I Say When It's All Over ?And SORRY Seems To Be The Hardest Word ...







NTZ, семейство

Нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы и записываются в их конец.

"NTZ.397" опасен, уничтожают файлы с расширением NTZ, содержит строку:

*.NTZ *M.COM






Nueva.1942

Очень опасный нерезидентный вирус. Ищет EXE-файлы и записывается в их конец. В зависимости от каких=то условий стирает CMOS и сектора дисков A: и B:. Содержит строки:

*.?XE *.?OM *.*(c) IMVGALIZIA 99IMV vK&S '95!!!!!!!1995:Una nueva era de terror informаtico. IMV lo promete.







Nuke, семейство

Нерезидентные зашифрованые вирусы. Ищут COM-файлы и записываются в их конец. Содержат строки:

"Nuke.Awake":


<< AWAKE! >> John Will Die Some Day! TheN HaTs Off to HiM-AWAKE!WE ALL GET OLD AND DIE! DeathBoy will be the DEATH-of John someday!He told me he is fooling himNuKE/ARIS/VA/SUKZ/BaD/CoDE -COPY-WRITE 1994 MuTaTiON_INTERRUPT-



"Nuke.Jak.991":


Jak0 EMPPentiums Suck!Enjoyment to those who ignore!



"Nuke.Sirius.402":


<< Ebbelwoi >> by (Ы)SнRнUS 10-93 D-63225




Nuke.1680

Очень опасный нерезилентный вирус. Ищет .COM-файлы (кроме COMMAND.COM) и записывается в их начало. Иногда стирает сектора дисков. Содержит строки:

*.COM COMMANDEVirus Created by NuKE- GenVirus V1.51 Licence n0 |id# [NuKE]-93|





Nuke.Bob

Неопасный вирус, оставляет в RAM небольшую TSR-программу, которая выводит на экран текст:

Bob Ross lives!Bob Ross is watching!Maybe he lives here...What a happy little cloud!Maybe he has a neighbour right here...You can make up stories as you go along.Never Believe!





Nuke.Clock

В марте форматирует сектора дисков. По понедельникам оставляет в памяти небольшую резидентную программу, которая перехватывает INT 08h (таймер) и периодически вызывает INT 1Ah (clock) со случайными параметрами.



Nuke.DC00L.1811

Оставляет резидентную программу, которая перехватывает INT 8 и выводит тексты:

SHALOMKnock... Guess who's There...Fuck Asi Azulay and Lior Cohen ...It's Dr. Unknown... :-)Fuck Guy Assado for Distributing my Sources...Use XOPEN, MAN!!! FUCK Stick-Buster!!!ViSiON-X is Some C00L Program !!!Call to Support board: +972-X-XXXXXX !!!TNTVIRUS is SHIT!!! Cpav is SHIT!!! Use McAfee!But... McAfee is SHIT too...Borland is the BEST...Too bad, you didn't make Backup for your HD... :)I Wonder, What INT 13h Does with AH=05...Just kiddin'... Ya know?GUY ASSADO IS MONGOL!!!COOLNESS is FOREVER!!!



Вирус также содержит строку:

D-C00L-1 ViRUS




Nuke.Deadpool

Периодически сообщает:

Deadpool by Phalcon/Skism




Nuke.Elvis

Иногда он перехватывает INT 8 (таймер), остается резидентным и периодически выводит сообщения:

ELVIS lives!ELVIS is watching!DonMaybe he lives here...Is he really dead? Or Here?Maybe he has a neighbour next door...You can make up stories as you go along.(C)1991 Elvis/VFriend, INC. All rights reserved.Congratulations, you are now infected with the Elvis Virus.





Nuke.Howard.967

Неопасный нерезидентный вирус. При запуске ищет .COM- и .EXE-файлы и записывается в их конец. Мигает индикаторами NumLock/CapsLock/ScrollLock, содержит/выводит строки:

I'm not working until Howard Stern is done @ 11:00 am !Bow down before the KingSmile ... [NuKE] loves youI'm not working until Howard Stern is done @ 11:00 am !1234567890!@#$%^&*()ascii(c) Ba Ba Stupid...Remember Studderin' John Robin, I love You! Long Live [NuKE]Georgia needs Howard Stern





Nuke.LoneWolf.867

Записывает вместо файлов строку:

[Lone Wolf] 1993 KillRaven - Independant




Nuke.Marauder.a,b

Очень опасен. 2-го февраля записывает в файлы команду INT 20h (возврат в DOS). Содержит текст:

[Marauder] 1992 Hellraiser - Phalcon/Skism...




Nuke.Ministry

Неопасный вирус, оставляет в RAM небольшую TSR-программу, которая выводит на экран текст:

I Get a Flashback!I'm Burning Inside!Breathe You Fucker!Jesus Built My Hotrod!Everyday is Halloween!



The Ministry Virus - Written by NegativX - (c) 1991 -SiTT-




Nuke.Nuke5 и Nuke.Testing

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Содержат строки:

"Nuke.Nuke5.478": [PS/G0] NuKe [NukE5]"Nuke.Testing.438": [PS/G0] Testing [G2 A]





Nuke.Pox.630

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от текущего времени сообщает:

It's past 9pm. Get off the computer and go to bed!!!And remeber this would not have been possible if thereweren't any Youngsters Against McAfee



Admiral bailey [YAM]




Nuke.Pox.609,955,963

Очень опасные резидентные самошифрующиеся вирусы. Перехватывают INT 9, 21h и записываются в COM- и EXE-файлы ("Npox.609" - только COM) при их старте. По 24-м числам при нажатии на клавишу 'S' пытаются форматировать сектора диска C:. Вирусы содержат строки текста:

"Nuke.Pox.609": Rock Steady/NuKE"Nuke.Pox.955": NukE PoX V1.1 - R.S"Nuke.Pox.963.a": Evil Genius V2.0 - R.S/NuKEC:\COMMAND.COM"Nuke.Pox.963.?": (c) 1992 by Igor Ratzkopf - All Rights Reserved July R





Nuke.Pox.1482,1686,1708,1722,1800,1844

Резидентные стелс-вирусы. Перехватывают INT 21h и записываются в COM- и EXE-файлы при их запуске на выполнении или закрытии. EXE-файлы могут быть поражены некорректно, они завешивают компьютер при старте. При открытии зараженных файлов вирус "лечит" их. Вирусы семейства содержат строки:

"Nuke.Pox.1686": NuKE PoX V2.1 - Rock Steady"Nuke.Pox.1800": NuKE PoX V2.0 - Rock Steady"Nuke.Pox.1844": Death by Miscgenation DIE WHITE GOYIM DIE! '94(c) IsRaEl







Nuker, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов при обращениях к ним. "Nuker.Entity" также поражает EXE-файлы. Некоторые из вирусов при вызове функции DOS GetDiskSpace ищут COM-файлы текущего диска и заражают их.

"Nuker.Excess" и "Nuker.Trance.1982" могут иметь различные точки входа в тело вируса для затруднения их детектирования.

Nuker.Entity

Перехватывает также INT 11h (проверяет по этому прерыванию наличие своей резидентной копии). По 1-м числам ежемесячно и в зависимости от текущего значения системного таймера выводит сообщение:

Hello user. I am a computer virus. My name is Entity.First: The keyboard is locked. Don`t worry, it will beunlocked at the end of this message.I am here because of your illegal software copying andI am carrying a message for you from my programmer:



оBuy only ORIGINAL SOFTWARE. Today the risk of infectionby a virus is very high (as you can see) and, next time,you could be visited by an harmful virus which can performserious damage to your hard disk, floppies and backups...So, pay attention while getting pirated software from CDsand/or criminal BBSs. Pirating software is a federal crime.п



[This warning comes from Entity virus (c) 1995 by The Nuker]




Nuker.Excess

По 1-м числам ежемесячно перехватывает INT 8,9 и замедляет работу компьютера ("пустой" цикл при каждом вызове INT 8). При нажатии на Alt-Ctrl-Del вирус выводит текст:

Your PC is working VERY SLOWLY today... What about a good PENTIUM Processor ?


Перед тем, как отдать управление основной программе, вирус проверяет значение системного таймера, и в зависимости от полученного результата выводит сообщения, ждет нажатия на клавишу, сравнивает нажатый символ со случайно выбранным значением, и в зависимости от результата сравнения либо возвращает управление прграмме-носителю, либо стирает сектора дисков:

+-|DANGER!|----------------------------------------------+| You are infected by ExCESS Virus (c) 1995 by The Nuker ||--------------------------------------------------------|| I have destroyed your FATs but I have only ONE copy in || my data area. IF YOU REBOOT NOW ALL DATA WILL BE LOST. || If this isn`t enough, I have altered your Master Boot || Record with a formatting routine in order to low-level || format the primary Hard Disk when executed. If you are || so dude and you don`t believe me, reboot now and look || at your hard disk light spinning... If you don`t want || to loose all your data then try to guess a number from || 0 to 9 and pray for your answer to be correct, else... |+--------------------------------------------------------+You have 3 tries to guess the correct number!!!Enter the number:



You fucking SHIT!!! You guessed the right number!!!You are safe this time but next will come very soonand you will not be so lucky!!!



Sorry, you didn`t entered the correct number!Retry, and hope you lucky!!!



Hum... you are lucky this time...Please wait while reconstructing disk structure...



I WAS JOKING! Your Hard Disk has been fucked up!!! Thank you for choosing another product of... 0T0h0e0 0N0u0k0e0r0





Nuker.Syndrome

Перехватывает также INT 11h (проверяет по этому прерыванию наличие своей резидентной копии). По 1-м числам ежемесячно и в зависимости от текущего значения системного таймера стирает все файлы в текущем каталоге. Не заражает файлы с именами из строки (по два символа на имя):

VATBF-AVSCCL-D-UMSMWNA


Также содержит строку:

[Syndrome virus (c) 1996 by The Nuker]




Nuker.Trance.1688

По понедельникам, которые являются 1-ми числами месяца, вирус перехватывает INT 1Ch и меняет символы на экране. В зависимости от своего поколения вирус стирает сектора дисков. Содержит строку:

Trance Virus (c) 1995 by The Nuker




Nuker.Trance.1982

Перехватывает также INT 8 (трясет экран) и INT 13 - затирает сектора дисков строкой:

This sector has been fucked up courtesy of Trance0 Virus (c) 1995 by The Nuker





Демонстрации вирусных эффектов:

NUKER.COM



NV.732

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

[New Virus] (1992)






N_Xeram.1664

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Уничтожает файлы NAV_._NO, CHKLIST.MS, SCANVAL.VAL. В зависимости от текущей даты либо стирает сектора дисков, либо проявляется каким-то видео эффектом. Содержит строки:

N-XERAM\NAV_._NO \CHKLIST.MS \SCANVAL.VAL