"NightFall.4480,4518,4519":
Invisible and silent - circling overland : \\\ N 8 F A L L /// Rearranged by Neurobasher - Germany-MY-WILL-TO-DESTROY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-
"NightFall.5765":
"Any means necessary for survival" 0 N8FALL/2XS 0 "By the perception of illusion we experience reality" Art & Strategy by Neurobasher 1994 - Germany"I don't think that the real violence has even started yet"
"NightFall.5765" иногда запускает компаньон -вирус, также содержит строки:
C:\NCDTREE\NAVINOC.DATMIMECHSYSIMFCO-A-VICTORY-THAT-WON'T-LAST-
Nado, семейство
Резидентные вирусы. Перехватывают INT 21h и записывается в конец файловApril1st
Очень опасный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В результате ошибки портит некоторые файлы при заражении. При вызове DOS-функции GetDiskSpace (AH=36h) создает файл APRIL1ST.BAT и записывает туда строку:@echo April Fool - 1996 - if u run this batch file your HDD will burn!
При вызове DOS-функции SelectDisk (AH=0Eh) и если указан диск A:, то вирус проверяет системное время и, если значение минут больше 54, выводит текст:
April 1st.......i will now kill your HardDisk
а затем пытается создать 100 подкаталогов с именами типа C:\9<IJKHLN, но завешивает систему в результате ошибки.
Вирус также содержит строку:
[ APRIL-1 (c) made by TorNado/[DC] in Denmark '96 ]
Nado.CyberBug,Fatill
Очень опасные зашифрованные вирусы, "Nado.Fatill" - полиморфик-вирус. Заражают COM-файлы при их запуске. При вызове функции GetDiskSize (INT 21h, AH=36h, "Nado.Fatill") или при заражении системной памяти ("Nado.CyberBug") создают в текущем каталоге файл:"Nado.CyberBug": CYBERBUG.BAT"Nado.Fatill": FATILL10.BAT
и записывают в него строку:
echo > clock$
Содержат строки:
"Nado.CyberBug":
echo > clock[ CyberBug v. 1.00 ][ made by TorNado DK ]Cyberbug.bat
"Nado.Fatill":
[ Fatal-Illusion (c) made by TorNado in Denmark '95 ][NaE]echo > clock$fatill10.bat
При вызове функции GetDiskSize "Nado.CyberBug" в зависимости от системного времени стирает сектора диска.
При запуске некоторых антивирусов (SCAN, F-PROT, VSHIELD, TBAV) "Nado.Fatill" уничтожает их.
Nado.Lover
Зашифрованные вирусы. Перехватывают INT 21h и заражает запускаемые COM-файлы. "Lover.531" безобиден и никак не проявляется."Lover.602" очень опасен. Перехватывает INT 9 (клавиатура) и при нажатии на Del затирает boot-сектор текущего диска строкой:
[Undying Lover v1.01][by WarBlaDE/DC '96]
и затем перезагружает компьютер.
Nado.Rabin
Очень опасный зашифрованный вирус. Заражает COM-файлы при их запуске или при смене их атрибутов. Уничтожает файл ANTI-VIR.DAT.В зависимости от текущего значения системного таймера перехватывает или INT 9, или INT 26h. Код INT 26h проверяет текущую дату и по 3-м числам стирает MBR винчестера (прямой вызов INT 13h). Код INT 9 перехватывает нажатие на DEL и записывает в boot-сектор текущего диска строку:
[ Yitzhak-Rabin 1.00 (c) made by TorNado in Denmark '96 ]
Nado.RedViper
Опасны. Заражают EXE-файлы при их запуске или при смене их атрибутов. Никак не проявляются, но могут испортить файлы при их заражении. Содержат строки:"RedViper.584": [ RedViper (c) made by TorNado in Denmark '95 ]"RedViper.602": [ RedViper 1.5 (c) made by TorNado/[DC] in Denmark '95 ]
Nado.RedZar
Безобиден, зашифрован, заражает запускаемые COM- и EXE-файлы. Содержит текст.[ Red-Zar v. 2.00 (c) made by TorNado/DC in Denmark 1996 ]
Naff.821
Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. По причине ошибки в полиморфик-генераторе иногда портит файлы при их заражении. Более никак не проявляется.
Naive.1647
Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при их запуске или открытии. При теплой перезагрузке (Alt-Ctrl-Del) пытается (безуспешно) вывести довольно длинный текст. Содержит строку:NAIVE
Nameless.3000
Очень опасный резидентный зашифрованный вирус. Трассирует INT 13h, 21h, перехватывает INT 21h, 2Fh, лечит и запускает программу-носителя, затем остается резидентно в памяти. При DOS-вызовах Close, Create, GetDiskSpace (INT 21h, AH=3Eh, 3Ch, 36h, 5Ah, 5Bh) вирус ищет .COM- и .EXE-файлы и записывается в их начало. Если длина файла меньше 8000 байт, вирус увеличивает ее до 8000 перед заражением. При открытии или запуске зараженных файлов вирус лечит их.В зависимости от своего счетчика портит случайно выбранные сектора дисков. Запускает подпрограмму, которая стирает сектора винчестера и выводит счетчик уничтоженных треков.
Содержит строки:
ABCDEFGHabcdefghCOMMANDNameless virus v.2.0Глазовская водка-лучшая в России!Завалим юзеров вирусами!Игорь, помоги назвать вирус (только не Nameless)U my last hope... Please...*.COM *.EXE
Демонстрации вирусных эффектов:
NAMELESS.COM |
Nanjing, семейство
Nanjing.1284
Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h, 2Fh и записывается в конец запускаемых COM- и EXE-файлов. В зависимости от системного времени выводит текст:This is a Demo VirusNanjing Normal UniversityWritten by CY8.1994
Nanjing.2976
Неопасный резидентный вирус. Перехватывает INT 21h, 4Ah и записывается в конец запускаемых .EXE-файлов. При вызовах INT 4Ah выводит текст:+--------------------------------------+| !!!---<<WELCOME>>---!!! || *.*.*.* || || Don't panic I'm harmless! || You have a new friend: TY_VIRUS V3.0 || I hope I haven't inconvenied you! || (c)copyright 1994.3.25 || Made by: || NANJING NORMAL UNIVERSITY || COMPUTER DEPARTMENT || ||--------------------------------------|| OK! Please wait a minute...... |+--------------------------------------+
Nautilus, семейство
Нерезидентные зашифрованные вирусы. Ищут .COM-файлы и записываются в их конец.Nautilus.1712
Неопасен. Заражает файлы в текущем каталоге. По 1-м числам выводит сообщение:Prospero Virus(C) Opic [CodeBreakers '98]
и затем печатает на принтере текст:
******************PROSPERO!**************************There is a path to the trancendece of the dollar: Embarkrich beggars! Does magic bring prosperos to his knees?Reading pretty twilight, making grass uncertain?Oh,all that christmas snow shouldered by one birthday suit!The fate of the world under his armpit like a thermometer?Rejoice Villains! Your time has come.**************(C) Opic [CodeBreakers,98]*******************
Nautilus.1824
Неопасный полиморфик -вирус. Ищет и заражает файлы в текущем каталоге, затем переходит в родительские каталоги, затем в каталог DOS, затем WINDOWS, затем WINDOWS\COMMAND - всего заражает до 7 .COM-файлов.6-го ноября ищет файлы *.TXT и дописывает к ним текст:
The year 1866 was made notable by a series of bizarreevents, a chain of mysterious phenomena which have neverbeen explained, that I am sure no one has forgotten.
Начиная с 23:00 выводит сообщение:
Thus ends the voyage under the seas.
Вирус также содержит строки:
*.com *.txt dos windows command ..[Nautilus]Sea4, Codebreakers
Nax.1402
Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h, 4Bh и записывается в конец запускаемых COM- и EXE-файлов. INT 4Bh использует для детектирования своей TSR-копии при инсталляции в память. Перехват INT 9 (клавиатура) использует для подмены каждого 4-го символа:\ <-> /: <-> ;< <-> >( <-> )[ <-> ], <-> .9 <-> 0F5, F6 -> F8F8 -> F6
Nazgul, семейство
Безобидные нерезидентные вирусы. Ищут .COM-файлы и записываются в их начало. Содержат тексты:"Nazgul.209": *.COM"Nazgul.266": *.COM NazgЦl
Nazgul_II.2366
Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Содержит ошибки и часто портит файлы при заражении и завешивает систему. Содержит текст:[Nazgul]
Nculi.1688
Резидентный опасный вирус. Трассирует INT 13h, 21h, перехватывает INT 21h и записывается в конец EXE-файлов. В конце зараженных файлов содержится текст:NCU LI
Периодически расшифровывает и выводит сообщение, затем завешивает компьютер:
PARITY ERROR ADDR (HEX) = ( 02C14H ) SYSTEM HALTED
Necropolis
Резидентный очень опасный стелс -вирус. Трассирует INT 13h, 21h, перехватывает INT 21h и затем записывается в файлы при обращении к ним: в начало COM-файлов и в середину EXE-файлов (между заголовком EXE-файла и телом модуля):COM-файл EXE-файл+-------+ +-------+ +--------+ +--------+| |--+ |Вирус | |Header | |Header ||- - - -| | |-------| |--------| |--------|| | | | | | |--+ |Вирус || | | | | |- - - - | | |--------|+-------+ | |- - - -| +--------+ | |- - - - | +->| | +->| | +-------+ +--------+
Использует алгоритм вируса "Beast" : записывает сохраняемый участок файла в свободные сектора его последнего кластера. Длина файла при этом не увеличивается.
Necros.1164
Неопасный резидентный полиморфик -вирус. Перехватывает INT 1Ch, 21h и поражает COM- и EXE-файлы. Записывает себя в начало COM-файлов, EXE-файлы поражает как компаньон -вирус: создает .COM-файл с именем .EXE-файла. 21-го ноября пищит и выводит текст:Virus V2.0 (c) 1991 Necros The Hacker.Written on 29,30 June in Tralee, Co. Kerry, Ireland.Happy Birthday, Necros!
Также содержит текст:
Virus V2.0 [FrIEND]
Neko, семейство
Резидентные полиморфик -вирусы. Трассируют INT 13h, 21h, перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. По вторникам:"Neko.1964,1990" записывают в начало файлов программу, которая при запуске сообщает:
Hi! My name is Neko.It is a Japan name.When you see me , please do not worry.New i am a very kind and cute virus.I only kill your this file.But next time i will kill you all.I will be com back and become fierce. Neko version 1.0
"Neko.2697" выводит текст:
Dear Mrs.Grandy:Aloha!It is me,Neko again! This is the lastest version 2.0Undoubtedly,I am not what I was.Let me tell you something about my improvement.I work with the Antilogic Engine I.It is a new invention.So,Showtime! Neko version 2.0 Made by Metal Satan
Nephew.2906
Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Уничтожает антивирусные файлы данных: CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT, CHKLST.TAV, SMARTCHK.TAV. Не заражает файлы HIEW, SAFE, SOS, и т.д. в соответствии со строками (по четыре символа на имя):HIEWSAFESOS./WD.WARNCPAVADINANTIAIDSVIRUVIR.SCANRWEBLD.EGUARCLEA
Пытается (безуспешно) записать поверх файлов из второй строки программу, выводящую при запуске сообщение:
+--------------------------------------------------------------------+| U N R E G I S T E R E D P R O G R A M ! |+--------------------------------------------------------------------+ This version is NOT freeware, you MUST register it! Call (+7-095)135-6253, 137-0150
При инсталляции вирус сканирует ядро DOS и правит код какого-то драйвера, перехватывает какие-то события и в зависимости от них устанавливает свои внутренние флаги. В зависимости от этих флагов вирус записывает какие-то данные в последние сектора корневых каталогов дисков. Вирус использует при этом старый формат INT 26h и не работает с дисками объема более 32M.
Вирус также содержит строку:
(=) Big Nephew (=)
NetBios.4340
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним, при запуске зараженных файлов лечит их. Записывает в некоторые файлы троянскую программу, которая стирает CMOS, сектора дисков(?) и проявляется каким-то видео эффектом. Вирус cодержит строку:Retix PC-21 NETBIOS
Neumann.752
Очень опасный резидентный вирус. Перехватывает INT 21h и при запуске программ ищет COM-файлы (кроме COMMAND.COM) и записывается в их конец. 5-го мая стирает сектора дисков. Содержит строки:[ NEUMANN J. (1903-57) V2.7 HUNGARY ]*.COM
Neuro.3100
Опасный резидентный полиморфик -стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Не заражает антивирусы: SCAN, NAV, F-PROT, SHIELD. Портит какой-то файл (антивирус?). Содержит строки:comCOM[Neuromorphosis]ANAVOTLDEManavotldem
Never.1000
Безобидный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в начало COM- и конец EXE-файлов при обращениях к ним. При запуске ADINF, WEB, AIDSTEST, SCAN, ARJ, ZIP, LHA, RAR временно выключает свои процедуры заражения и стелс. Содержит строки:дАнИлОфФ-дУб,wEb-ГоРбУхАNFEBSTANRJIPHAAR[Never-Never] by Int O`DreamКиев,4:09am,31/03/96
NeverOne.442
Безобидный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы (кроме COMMAND.COM) и записывается в их конец. Содержит строки:[NEVERONE] NeverOne, Belgium Most HatedCOMMAND.COMCHKLIST.MS*.COMN1
NeverMind.838
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. 65535-е поколение вируса завешивает компьютер. По первым числам ежемесячно создает файл C:\PATRICIA.TXT и записывает туда текст:A WORD TO PATRICIA:"ER.......... NAH, NEVER MIND"
If this doesn't refer to you, just ignore it.For more information call: ++1-408-988-3773 (USA)
NewAids.1041
Очень опасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. Выводит текст:I am the NEW AIDS Virus and your PC is InFeCtEdI'm sorry...
и записывает в boot-сектора флоппи-дисков программу, которая при зигрузке сообщает:
This is the right way to let viruses spread up !Next time be CAREFULL!!
Также содержит строки:
*.COM PATH=Р-Killed
Newgen.1054
Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Периодически выводит на экран текст:New Generation Virus 1.0с by NET CRASHER,a PROUD member in HYPER. This message appears in a generationthat is devided by 20. Please don't remove this virus, it Was created for research purpose only.Get a Life !
NewModel.533
Опасный резидентный зашифрованный вирус. Копирует себя в память по адресу 8E70:0100 без коррекции MCB-блоков, это может привести к зависанию компьютера. Затем перехватывает INT 21h и записывается в начало .COM-файлов при их запуске или открытии. Содержит строку:New Model v1.1с (c) 20.10.1994 Happy Virus Company
NewYear.1356
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. С 1-го по 3-е января расшифровывает и выводит текст:Happy New Year.
NextGen.2304
Безобидный резидентный стелс -вирус. Перехватывает INT 21h, 2Fh и записывается в конец EXE-файлов при обращении к ним. Содержит строки:The NextGen Stealth VirusIL USA, 6-93...(Revision)
Ng, семейство
Неопасные резидентныe вирусы. Перехватывают INT 13h, 28h и при вызове INT 28h ищут COM-файлы текущего каталога и записываются в их начало. Содержат зашифрованные тексты:"Ng.695,706": New Generation v.2.1 (NG-2.1 Ukr) *.COM"Ng.914": NG-2.2 Ukr *.COM"Ng.1036": NG-2.3 Ukr
"Ng.695,706" также выводят текст:
Bad command or file name
Nguyen.1740
Опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов. Содержит в себе текст:Hacker: NGUYEN HIEU VINH22 / 1A Truong Quoc DungPhuong 10 Quan Phu Nhuan Thanh Pho Ho Chi Minh South of Viet Nam
Периодически записывает в файлы строку:
Don't use these softwares: ATV, VDW and LF to kill me!!!NgУ Anh Vu, Pham Du LiИm, TrГn Thanh Son, Duong HУng TГnand Dang HУng Quang are too stupid. TrУng giУng nhu heoHa! Ha! These dogs can't touch me. I'm your great fatherPress any key to exit and never use these softwares. Ha! Ha!
или расшифровывает и выводит на экран:
DBSoft-DoЕn ThЕnh Tг lЕ 1 ke "trУm cap" software. He's a professional thief...
Nie.1664
Опасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец, при этом использует FCB доступ к файлу. Затем перехватывает INT 1Ch и оставляет в памяти часть своего кода. Этот код затем проверяет клавиатуру и при некоторых условиях перезагружает компьютер. Вирус содержит текст (все строки, кроме первой - зашифрованы):Nie znaleziono pliku lub zla sciezka dostepu!Copyright by Krzysztof Jankowski.WARSZAWA 1993.All rights reserved.Printed in Poland.
Nigeb.890
Опасный резидентный зашифрованный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM-файлов при их запуске.При записи в файлы заменяет строки "BEGIN" (вне зависимости от строчных или прописных символов) на "NIGEB", при вызовах INT 1Ch (таймер) ищет на экране строкиr "NIGEB" и заменяет их на "BEGIN".
Содержит строки:
igebeginAntiPascal-1 (C)Godzilla Corp.
Night.2048
Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от количества заражений портит MBR винчестера, пищит динамиком компьютера, перехватывает INT 1Ch и выводит матерное сообщение на английском.
NightFreddy.938
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. В августе стирает MBR винчестера и портит данные в CMOS. В вирусе присутствует код, который никогда не получает управления, этот код расшифровывает и выводит текст:I'm Freddy, your nightmare
NightKing.1568
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме AVG.EXE) при их запуске или открытии. При заражении компьютера запоминает в MBR винчестера текущую дату, затем проверяет ее и спустя месяц считывает в память FAT диска C:, стирает FAT с диска и выводит сообщение:+-----------------------------------------------+| Hello dear friend, your computer is attacking || by NIGHT KING I. virus. If do you like your || data very much, don't reset your computer || before midnight ! |+-----------------------------------------------+
Затем вирус ждет полуночи и восстанавливает FAT. Если перезагрузить компьютер не дожидаясь полуночи, то FAT диска C: оказывается испорченной.
Демонстрации вирусных эффектов:
NIGHTKIN.COM |
NightKnight
Опасный резидентный стелс -вирус. Перехватывает INT 20h, 21h, 27h, 28h, 2Ah, 2Fh и записывается в конец COM- и EXE-файлов при обращении к ним. В зависимости от текущей даты уничтожает файлы вместо их заражения. Содержит строку:Night Knight!
Nightmare.1024
Очень опасный нерезидентный вирус. Ищет .COM-файлы и записывается в их начало. Первоначальный заголовок файла шифрует и записывает в конец файла. Уничтожает файл CHKLIST.MS. По 18-м числам стирает FAT диска C:, затем расшифровывает и выводит текст:Nightmare Virus! Made in Argentina by D.M.
Nik, семейство
Резидентные вирусы. Перехватывают INT 1Ch, 21h и записываются в начало запускаемых COM-файлов. Содержат текст:NIK
"Nik.442" опасен, в зависимости от своих счетчиков портит CMOS. "Nik.546" медленно гасит экран используя команды VGA.
Niko.3477
Очень опасный резидентный вирус. Использует большое число антиотладочных приемов, код которых занимает более половины всего кода вируса. При запуске зараженного файла вирус трассирует и перехватывает INT 21h, перехватывает INT 3, остается резидентно в памяти и затем записывается в конец COM- и EXE-файлов при их запуске или открытии.В зависимости от системного таймера портит данные при их записи на диск (DOS-вызов Write INT 21h, AH=40h). При создании файлов с именами .AS* или .DB* вирус в зависимости от системного таймера портит эти файлы или создает подкаталоги с именами создаваемых файлов. При запуске или открытии каждого файла вирус подсчитывает CRC-сумму своего кода и, если она не совпадает с оригинальной суммой, выводит текст "FUCK YOU", "дергает" экран и завешивает компьютер.
Под отладчиком или в зависимости от таймера вирус вызывает тот же эффект, но выводит другой текст:
No viruses
Вирус также содержит зашифрованные строки:
Николаевский Кораблестроительный институт.Oct(123,123,126) by one of student
Nina, семейство
Nina.256
Крайне примитивные резидентные безобидные вирусы. Перехватывают INT 21h и записывается в их начало COM-файлов. Содержат тексты:"Nina.256.a,b": Nina"Nina.256.c": RIOT!
Nina.1560,1600,1614
Резидентные очень опасные вирусы. Активизируются только при отсутствии антивирусных блокировщиков, перехватывают INT 21h и затем записываются в конец .COM-, .EXE- и .SYS-файлов, которые ищут в текущем каталоге при каждом вызове INT 21h.При попытке пройти коды вируса "Nina.1600" отладчиком он (вирус) уничтожает часть данных на диске. Этот вирус содержит тексты:
Dear Nina, you make me write this virus; Happy new year!*:\COMMAND.COM
Nines
Резидентные неопасные зашифрованные вирусы. Перехватывают INT 17h, 21h и записываются в конец запускаемых COM-файлов. Периодически изменяют цифры, выводимые на принтер. "Nines.776" очень опасен: шифрует информацию, сохраняемую в файлы.
Ninja, семейство
Очень опасные резидентные вирусы. Перехватывают INT 21h и заражают COM- и EXE-файлы кроме COMMAND.COM и AIDSTEST.EXE. При заражении до и после кода вируса дописывают случайные блоки длиной до 255 байт:+---------------------------+|Файл |XXXXXX|Вирус |XXX|+---------------------------+
Периодически убивают файлы: записывают в их начало программу, которая при старте расшифровывает и выводит на экран текст:
"Ninja.1336": DZINA VIRUS v 4.0 Copyright (C) 1990,91,97 Dzina Corp
"Ninja.1370,1376": Mutant Ninja Version 2.0 Copyright (C) 1990,91 Virus&Worm Software
В 1992 году по 13-м числам в 13.00 стирают FAT диска C:. Некорректно работают с INT 24h. Содержат текст:
COMMAND.COM AIDSTEST.EXE .COM .EXE
Ninja.Craz
Заражает файлы два и более раз. В зависимости от системной даты и времени уничтожает файлы, стирает сектора дисков и перезагружает компьютер. Содержит текст:Mutant VIRUS Copyright (C) 1996,97 Craz Software
Ninja.Raving
Безобидные резидентные вирусы. Заражают EXE-файлы повторно. "Raving.1195" содержит строки:В УдГУ никто и ничто не пашет!It's a beautiful life!Can't stop raving
Nipple.208
Безобидный резидентный вирус. Копирует себя в видео-память, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Использует System File Table. Содержит строку:[Nipple]
NMSG.214
Опасный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их середину. Может испортить файлы при заражении. Содержит строку:*.exe <<NMSG>>
При заражении файла вирус записывается в область сообщений об ошибках компилятора Microsoft C. Такая область присутствует в файлах, откомпилированных MSC-компилятором, и содержит сообщения об ошибках:
<<NMSG>>R6000 - stack overflowR6003 - integer divide by 0
и т.д.
Вирус ищет внутри файла строку "<<NMSG>>" и записывает себя вместо последующих данных, если такая строка обнаружена. В результате длина файла при заражении не увеличивается.
No25, семейство
Неопасные резидентные стелс -вирусы, "No25.1894" - зашифрован. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или закрытии. Используют антиотладочные приемы. В зависимости от своих счетчиков выводят текст:Made in No.25 middle school which lived in Beijing China.
No444.474
Безобидный резидентный вирус. Перехватывает INT 21h, 2Fh и записывается в конец .COM-файлов при их запуске. Содержит код, стирающий MBR винчестера, но этот код никогда не получает управления. Содержит текст:* SCHOOL No.444,MOSCOW *
Nobock.440
Нерезидентный опасный вирус. Ищет .COM-файлы дерева подкаталогов текущего диска и записываются в их конец. Периодически выводит текст:No Bock today Error, System halted!
и завешивает систему.
Nocopy, семейство
Неопасные резидентные зашифрованные вирусы. Перехватывают INT 20h, 21h, 2Fh и записываются в конец EXE-файлов при их открытии. Создают файл NOCOPY.COM, содержащий копию вируса, и вставляют в файл C:\AUTOEXEC.BAT строку "C:\NOCOPY". Корректируют MBR таким образом, что при загрузке с диска вирус получает адрес INT 13h в BIOS'е.
NoDbf.1000
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Не заражает файлы, если их имя кончается на цифру, "EB" или "ST" (WEB, AIDS). Также проверяет расширение имени файла и блокирует открытие .DBF-файлов.
NY, семейство
Неопасные резидентные вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец COM- и EXE-файлов при обращениях к ним.В зависимости от своего счетчика "NY.1577" проигрывает мелодию "В лесу родилась елочка". Содержит строку:
BETA-Version. Please, don't distribute it!
Демонстрации вирусных эффектов:
NY.COM |
Nygus, семейство
Безобидные вирусы, записываются в конец файлов. Содержат строки:"Nygus.227": Nygus v1.1"Nygus.278": (c)Nygus v1.1"Nygus.295": (c)Nygus v1.2"Nygus.752,757": (c)Nygus v2.0
"Nygus.227,278,295" нерезидентны. При запуске ищут .COM-файлы и записывается в них.
"Nygus.752,757" резидентны. Перехватывают INT 21h и записываются в стартующие .COM- и .EXE-файлы.
Nymphet.1024
Опасный резидентный вирус. Перехватывает INT 21h и при изменениях текущего каталога (ChDir) ищет .COM- и .EXE-файлы и записывается в их конец. Имеет ошибки, в результате зараженные EXE-файлы могут завесить систему. Содержит строки:*.com *.exeNYMPHET ver. 1.0
Nikki.3133
Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии, переименовании или обращении к их атрибутам. У зараженных файлов устанавливает атрибут read-only. Не заражает файлы с именами: VIR*, CLEAN, DEBUG, SCAN, NAV. Уничтожает антивирусные файлы данных CHKLIST.*. Содержит строки:TO Nikki Edval ng TorOntCan.FROM Putoksa Kawayan. Kathang-isip sa Metro Manila, Philippines
Nucleii.200
Очень опасный нерезидентный вирус. При запуске ищет все файлы в каталогах текущего диска и записывается в их начало не сохраняя старого содержимого файлов. После заражения 4-х файлов пытается стереть 4 первых сектора на диске B:. Содержит строку:nUcLeii~.E=mc2
NoFrills, семейство
Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при доступе к ним. Некоторые вирусы семейства заражают COM-файлы некорректно, такие файлы завешивают систему при запуске. Содержат тексты:"NoFrills.813": +-No Frills by Harry McBungus-+"NoFrills.815": +-No Frills 1.01 by Harry McBungus-+"NoFrills.840": +-NF3.0-H.McB-[PuKE]-+"NoFrills.843": +-No Frills 2.0 by Harry McBungus-+
NoFrills.Bungus
Перехватывает INT 8, 21h. Содержит тексты:*X-Fungus by Harry McBungus**Nugga!**Greets SCP**Greets RABID** Patricia: Grow some programming knowledge **Grease me!**K-Mart in full effect**Epileptic Downer*
Расшифровывает текст и выводит его на экран:
John Bonham - September 20, 1980 - L E D Z E P P E L I N -
NoFrills.Dudley
Безобидный полиморфик -вирус. Содержит строку текста:[Oi Dudley!][PuKE]
NoFrills.Kcat.1358
Опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии или изменении их атрибутов. При заражении портит EXE-файлы. Создает файл C:\WIN386.DAT, в который записывает символы, вводимые с клавиатуры. Содержит строки:Kcat 3.015% - By Sir Twist & Thunderbird, with Many Thankz to Harry McBunguswhose coded we politely nicked.
NoFrills.K-Lame.950
По воскресеньям создает файл C:\HARRY.MCB file и при заражении любого файла дописывает к этому файлу строку:+-K-Lame Kreation by Harry McBungus-+
NoHook, семейство
Очень опасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 85h и записывают в ядро DOS команду вызова INT 85h. Затем записываются поверх запускаемых файлов. Некторые версии вируса содержат строку:it's not necessary 2 hook int 21h!
Noiembrie.610
Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Выводит тексты и возвращает управление DOS:9-го ноября: 9 Noiembrie 1979 - Ziua Lui Cosmin NoNov - HCA Romania September 1996
по воскресеньям: Sunday error 262 at 7053:0122
Noki.448
Очень опасный резидентный вирус. При запуске копирует себя в видео-память по адресу BD00:0000 и сохраняет свой код в 17-м секторе винчестера (адрес 17/0/0 - сектор/трек/головка). Затем вирус копирует свой обработчик INT 21h (39 байт) в таблицу векторов прерываний и возвращает управление программе-носителю.Вирус перехватывает только выполнение файлов (AX=4B00h), считывает свой код из сектора 17 в видео-память и передает туда управление. При этом активизируется подпрограмма заражения файлов. Заражаются только EXE-файлы, которые имеют внутри себя область из 448 последовательно идущих нулевых байт. Вирус записывается в эту область и не увеличивает длину файлов.
По 17-м числам нечетных месяцев (Январь, Март, ...) вирус стирает MBR винчестера. Вирус содержит текст:
NOKI
Nomenclatura
Очень опасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов. Меняет местами слова в FAT. Содержит текстNomenklatura
и фразу на болгарском языке.
Noon.1163
Резидентный неопасный вирус. Перехватывает INT 1Ch, 21h и записывается в конец запускаемых COM- и EXE-файлов. Удаляет себя из зараженных файлов, если они запускаются под отладчиком. В полдень 6 раз пищит. Содержит зашифрованную строку:byMH&MHsoftware
Демонстрации вирусных эффектов:
NOON.COM |
NopM.494
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске. Содержит ID-байт 'M' следующий за инструкцией NOP.
Normal, семейство
Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. В зависимости от текущей даты расшифровывают и выводят сообщение:Нормальные ЛЮДИ по ПЯТНИЦАМ не РАБОТАЮТ !
Norway.673
Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. 17-го мая выводит текст:Happy birthday, Norway!
NoSmoking, семейство
Неопасные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Содержат строку "Kamchatka".NoSmoking.1000
В зависимости от своего внутреннего счетчика лечит файл-носитель и выводит одну из строк:Water detect in Co-processor !I am hungry ! Insert hamburger into drive A:No smoking, please ! Thanks.Don't beat me!Attention ! Hard Disk is Radioactive !I'm so much dirty! Clean me !Kiss my keyboard !Keep smiling !Warning ! In drive A: are two diskettes.I don't understand you.Insert tractor toilet paper into printer.Hard Disk's head has been destroyed. Can you borrow me your one ?Coca-Cola is it !
NoSmoking.1575
Нерезидентен, но оставляет резидентную программу, которая перехватывает INT 21h, не заражая файлов. Если при заражении не возникло ошибки записи на защищенный диск, вирус вызывает следующий эффект: он случайно выбирает два компьютера, подключенных к сети, и посылает на второй из них сообщение типа:NAME: Text
где NAME - сетевое имя первого компьютера, Text - одна из фраз:
Friday I'm in LOVE !No smoking, please !Thanks.
Вирус также содержит строку:
Kamchatka/FRIDAY
Nostardamus, семейство
Очень опасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним.В зависимости от версии вируса, системного таймера и своих счерчиков вирусы перехватывают INT 10h, или INT 16h, или INT 1Ch и проявляются различными способами: стирают сектора дисков, портят файлы, "пропускает" символы, вводимые с клавиатуры, выводят сообщение:
HOME RUN !!!
Также выводят тексты:
"Nostardamus.2247":
The NOSTARDAMUS-Erase (c) v2.1 betaFormating disk C:40Mb
"Nostardamus.2500,2560":
The NOSTARDAMUS-Erase (CopyLeft) Version 2.9 beta by PopulizerFormatting disk X: 40Mb
"Nostardamus.5995":
The NOSTARDAMUS.Maverick (CopyLeft) Version 3.2 ultra by PopulizerFormatting disk X: 40M
"Nostardamus.5995" также выводит около 100 дурацких текстов типа:
Осторожно - на борту бомба!В дисководе А: две дискеты !!Храните деньги в банке !!Лучше пива только ФАВТ !!!Извините, а как вас зовут ?Can you FUCK me ? May be !Пиво не роскошь, а средство !Выпьем Водки Ваня ...
и т.д. Этот вирус также содержит текст:
Киевскому Международному Университету Гражданской Авиации, и лично Факультету Авиационного РадиоЭлектронного Оборудования посвящается: Вирус - ~Дискоглотатель~. Написан студентом ФАРЭО гр.203 (C) CopyLeft 1994
"Nostardamus.3072,3584" перехватывает INT 22h, ждет завершения работы программы-носителя, перехватывает INT 21h и остается резидентно в памяти. Являются стелс -вирусами - при обращениях к зараженным файлам лечат их. Проверяют имена файлов и не заражают некоторые антивирусы.
"Nostardamus.3072" безобиден и никак не проявляется.
"Nostardamus.3584" очень опасен. В некоторых случаях ищет и уничтожает файлы C:\*.*. Проверяет имена файлов по строкам:
COMEXEOVLOVRPROSCAEXTWEBARJRARLHAZIPCOMWINCHK
и либо не заражает эти файлы, либо выключает свои стелс-подпрограммы.
Вирусы содержат строки:
"Nostardamus.3072.a": EMME v3.0. KILLER."Nostardamus.3072.b": Eternal Maverick Mutation Engine v3.0 Double Dragon !"Nostardamus.3584": -=Unlimited Grief=- Kiev'96 EMME 3 Killer"Nostardamus.RunAway.2560": Run away train never come back ! (c) Eternal Maverick. Stealth Group.
Not.574,586
Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске. Никак не проявляются.
Nothing
Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их открытии. Записывает свою TSR-копию в сегмент 9800h ничего не меняя при этом в цепочке MCB, что может вызвать зависание компьютера.
NotStoned.1349
Неопасный резидентный вирус. Перехватывает INT 8 и 28h и через случайные интервалы времени ищет COM-файлы и записывается в их конец. Чтобы при этом не завесить систему перехватывает также INT 9, 10h, 13h и проверяет некоторые данные DOS (переменную InDos).Если системная дата - 6-е декабря 1994 года, то вирус расшифровывает и выводит сообщение:
Don't legalize Marijuana. Your computer is not stoned.
November17, семейство
Очень опасные резидентные вирусы, перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов ("November17.584" только в COM). Используют адрес INT 83h как идентификацтонное слово резидентной части вируса. В зависимости от текущего времени стирают CMOS или сектора дисков. "November17.584" перехватывает также INT 8, 9 и пищит системным спикером компьютера.Некоторые версии вирусов семейства содержат строку "SCAN.CLEAN.COM.EXE" и не заражают файлы SCAN.EXE и CLEAN.EXE.
Nov7.482
Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец COM-файлов, загружаемых в память. 7-го ноября сообщает:Format ...
и стирает сектора винчестера.
Novosibirsk.1000
Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. При запуске каждого зараженного файла также ищет первый EXE-файл в текущем каталоге и заражает его.При инсталляции в системную память использует некорректные приемы, в результате чего может завесить систему. Блокирует поисх скрытых (hidden) файлов, в результате чего они оказываются невидимыми практически для всех программ (включая команду "DIR /AH"). Содержит строки:
WRANOEMSNovosibirsk
Nowi.1327
Опасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Может испортить файлы при заражении. Расшифровывает и выводит строки:Out of enviroment space.Not enough memory.Analyzing configuration. Please wait...Hej Sell! Czy to bylo tego warte? (c) by Nowicjusz
NoWin.2576
Неопасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в начало COM- и конец EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. При запуске файла WIN.* перезагружает компьютер. В некоторых случаях пищит спикером компьютера. Содержит строки:Copyright (c) 1993-94 XY, Zielona Gвra.R_H|PL|
Nr.300
Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске или открытии. В начале зараженных файлов содержится строка "Nr". Периодически вирус стирает CMOS.
NRead.1467
Очень опасный резидентный вирус. Перехватывает INT 8, 9, 13h, 21h, 28h. Перехватчик INT 21h заражает файлы - записывает код вируса в конец .COM-файлов при их запуске или открытии. Перехват INT 2Fh используется для детектирования TSR-копии вируса при инсталляции в системную память. Остальные прерывания вызывают эффект вируса - в феврале вирус выводит сообщение и стирает все файлы на текущем диске, сообщение выглядит следующим образом:Network Read CRC ErrorRe-reading Packet
NSD.266
Опасный нерезидентный вирус. При запуске ищет .COM-файлы и C:\COMMAND.COM, затем записывается в их конец. В зависимости от значения системного таймера переводит компьютер в графический видео-режим (INT 10h, AX=0013h), выводит сообщение и завешивает PC:SYSTEM ERROR: DMA DENIED.
Также содержит строки:
c:\command.com *.comNSD
Ntit, семейство
Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их начало. При заражении "Ntit.1578" переименовывает файл в XXXXXXXX.VIR, заражает и переименовывает обратно. Содержат строки:NTIT-4IM2*.COM
и "Ntit.1578":
xxxxxxxx.virA-T-T-E-N-T-I-O-N: VIRUS FOR RESEARCH ONLY ! (C)1994 By LinTzuoh-yi,National Taiwan Inst. of Tech.,Dept. of InformationManagement,e-mail:b8109006@cs.ntit.edu.tw
NTU, семейство
Резидентные самошифрующиеся вирусы. Перехватывают INT 21h и записывается в конец EXE-файлов.NTU.Amour.3312
Очень опасный полиморфик -стелс -вирус. Записывается в EXE-файлы при их запуске или открытии. Содержит строку:L'AMOUR v1.1 by NTU BACTERIOPHAGE LAB S/N TM1-
в конце которой вирус записывает номер своего "поколения". В некоторых случаях стирает CMOS и сектора винчестера.
T4.2138
Неопасный вирус. Записывается в EXE-файлы при их запуске. Содержит строки:T4Griffe
T4 virion ----- by NTU BACTERIOPHAGE LABThere Once Was A King, Who Called For The SpringFor His World Was Still Covered In SnowBut The Spring Had Not Been, For He Was Wicked And Mean ...Here I'm Sitting And It's Getting ColdThe Morning Rains Against My Window PaneWhile The World Looks So Cold And GreyIn My Mind I Dream AwayThen I'm On My Way To Tropic IslandsYou'd Always Say I Was A DreamerYou Were RightWhat Do I Say When It's All Over ?And SORRY Seems To Be The Hardest Word ...
NTZ, семейство
Нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы и записываются в их конец."NTZ.397" опасен, уничтожают файлы с расширением NTZ, содержит строку:
*.NTZ *M.COM
Nueva.1942
Очень опасный нерезидентный вирус. Ищет EXE-файлы и записывается в их конец. В зависимости от каких=то условий стирает CMOS и сектора дисков A: и B:. Содержит строки:*.?XE *.?OM *.*(c) IMVGALIZIA 99IMV vK&S '95!!!!!!!1995:Una nueva era de terror informаtico. IMV lo promete.
Nuke, семейство
Нерезидентные зашифрованые вирусы. Ищут COM-файлы и записываются в их конец. Содержат строки:"Nuke.Awake":
<< AWAKE! >> John Will Die Some Day! TheN HaTs Off to HiM-AWAKE!WE ALL GET OLD AND DIE! DeathBoy will be the DEATH-of John someday!He told me he is fooling himNuKE/ARIS/VA/SUKZ/BaD/CoDE -COPY-WRITE 1994 MuTaTiON_INTERRUPT-
"Nuke.Jak.991":
Jak0 EMPPentiums Suck!Enjoyment to those who ignore!
"Nuke.Sirius.402":
<< Ebbelwoi >> by (Ы)SнRнUS 10-93 D-63225
Nuke.1680
Очень опасный нерезилентный вирус. Ищет .COM-файлы (кроме COMMAND.COM) и записывается в их начало. Иногда стирает сектора дисков. Содержит строки:*.COM COMMANDEVirus Created by NuKE- GenVirus V1.51 Licence n0 |id# [NuKE]-93|
Nuke.Bob
Неопасный вирус, оставляет в RAM небольшую TSR-программу, которая выводит на экран текст:Bob Ross lives!Bob Ross is watching!Maybe he lives here...What a happy little cloud!Maybe he has a neighbour right here...You can make up stories as you go along.Never Believe!
Nuke.Clock
В марте форматирует сектора дисков. По понедельникам оставляет в памяти небольшую резидентную программу, которая перехватывает INT 08h (таймер) и периодически вызывает INT 1Ah (clock) со случайными параметрами.Nuke.DC00L.1811
Оставляет резидентную программу, которая перехватывает INT 8 и выводит тексты:SHALOMKnock... Guess who's There...Fuck Asi Azulay and Lior Cohen ...It's Dr. Unknown... :-)Fuck Guy Assado for Distributing my Sources...Use XOPEN, MAN!!! FUCK Stick-Buster!!!ViSiON-X is Some C00L Program !!!Call to Support board: +972-X-XXXXXX !!!TNTVIRUS is SHIT!!! Cpav is SHIT!!! Use McAfee!But... McAfee is SHIT too...Borland is the BEST...Too bad, you didn't make Backup for your HD... :)I Wonder, What INT 13h Does with AH=05...Just kiddin'... Ya know?GUY ASSADO IS MONGOL!!!COOLNESS is FOREVER!!!
Вирус также содержит строку:
D-C00L-1 ViRUS
Nuke.Deadpool
Периодически сообщает:Deadpool by Phalcon/Skism
Nuke.Elvis
Иногда он перехватывает INT 8 (таймер), остается резидентным и периодически выводит сообщения:ELVIS lives!ELVIS is watching!DonMaybe he lives here...Is he really dead? Or Here?Maybe he has a neighbour next door...You can make up stories as you go along.(C)1991 Elvis/VFriend, INC. All rights reserved.Congratulations, you are now infected with the Elvis Virus.
Nuke.Howard.967
Неопасный нерезидентный вирус. При запуске ищет .COM- и .EXE-файлы и записывается в их конец. Мигает индикаторами NumLock/CapsLock/ScrollLock, содержит/выводит строки:I'm not working until Howard Stern is done @ 11:00 am !Bow down before the KingSmile ... [NuKE] loves youI'm not working until Howard Stern is done @ 11:00 am !1234567890!@#$%^&*()ascii(c) Ba Ba Stupid...Remember Studderin' John Robin, I love You! Long Live [NuKE]Georgia needs Howard Stern
Nuke.LoneWolf.867
Записывает вместо файлов строку:[Lone Wolf] 1993 KillRaven - Independant
Nuke.Marauder.a,b
Очень опасен. 2-го февраля записывает в файлы команду INT 20h (возврат в DOS). Содержит текст:[Marauder] 1992 Hellraiser - Phalcon/Skism...
Nuke.Ministry
Неопасный вирус, оставляет в RAM небольшую TSR-программу, которая выводит на экран текст:I Get a Flashback!I'm Burning Inside!Breathe You Fucker!Jesus Built My Hotrod!Everyday is Halloween!
The Ministry Virus - Written by NegativX - (c) 1991 -SiTT-
Nuke.Nuke5 и Nuke.Testing
Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Содержат строки:"Nuke.Nuke5.478": [PS/G0] NuKe [NukE5]"Nuke.Testing.438": [PS/G0] Testing [G2 A]
Nuke.Pox.630
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В зависимости от текущего времени сообщает:It's past 9pm. Get off the computer and go to bed!!!And remeber this would not have been possible if thereweren't any Youngsters Against McAfee
Admiral bailey [YAM]
Nuke.Pox.609,955,963
Очень опасные резидентные самошифрующиеся вирусы. Перехватывают INT 9, 21h и записываются в COM- и EXE-файлы ("Npox.609" - только COM) при их старте. По 24-м числам при нажатии на клавишу 'S' пытаются форматировать сектора диска C:. Вирусы содержат строки текста:"Nuke.Pox.609": Rock Steady/NuKE"Nuke.Pox.955": NukE PoX V1.1 - R.S"Nuke.Pox.963.a": Evil Genius V2.0 - R.S/NuKEC:\COMMAND.COM"Nuke.Pox.963.?": (c) 1992 by Igor Ratzkopf - All Rights Reserved July R
Nuke.Pox.1482,1686,1708,1722,1800,1844
Резидентные стелс-вирусы. Перехватывают INT 21h и записываются в COM- и EXE-файлы при их запуске на выполнении или закрытии. EXE-файлы могут быть поражены некорректно, они завешивают компьютер при старте. При открытии зараженных файлов вирус "лечит" их. Вирусы семейства содержат строки:"Nuke.Pox.1686": NuKE PoX V2.1 - Rock Steady"Nuke.Pox.1800": NuKE PoX V2.0 - Rock Steady"Nuke.Pox.1844": Death by Miscgenation DIE WHITE GOYIM DIE! '94(c) IsRaEl
Nuker, семейство
Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов при обращениях к ним. "Nuker.Entity" также поражает EXE-файлы. Некоторые из вирусов при вызове функции DOS GetDiskSpace ищут COM-файлы текущего диска и заражают их."Nuker.Excess" и "Nuker.Trance.1982" могут иметь различные точки входа в тело вируса для затруднения их детектирования.
Nuker.Entity
Перехватывает также INT 11h (проверяет по этому прерыванию наличие своей резидентной копии). По 1-м числам ежемесячно и в зависимости от текущего значения системного таймера выводит сообщение:Hello user. I am a computer virus. My name is Entity.First: The keyboard is locked. Don`t worry, it will beunlocked at the end of this message.I am here because of your illegal software copying andI am carrying a message for you from my programmer:
оBuy only ORIGINAL SOFTWARE. Today the risk of infectionby a virus is very high (as you can see) and, next time,you could be visited by an harmful virus which can performserious damage to your hard disk, floppies and backups...So, pay attention while getting pirated software from CDsand/or criminal BBSs. Pirating software is a federal crime.п
[This warning comes from Entity virus (c) 1995 by The Nuker]
Nuker.Excess
По 1-м числам ежемесячно перехватывает INT 8,9 и замедляет работу компьютера ("пустой" цикл при каждом вызове INT 8). При нажатии на Alt-Ctrl-Del вирус выводит текст:Your PC is working VERY SLOWLY today... What about a good PENTIUM Processor ?
Перед тем, как отдать управление основной программе, вирус проверяет значение системного таймера, и в зависимости от полученного результата выводит сообщения, ждет нажатия на клавишу, сравнивает нажатый символ со случайно выбранным значением, и в зависимости от результата сравнения либо возвращает управление прграмме-носителю, либо стирает сектора дисков:
+-|DANGER!|----------------------------------------------+| You are infected by ExCESS Virus (c) 1995 by The Nuker ||--------------------------------------------------------|| I have destroyed your FATs but I have only ONE copy in || my data area. IF YOU REBOOT NOW ALL DATA WILL BE LOST. || If this isn`t enough, I have altered your Master Boot || Record with a formatting routine in order to low-level || format the primary Hard Disk when executed. If you are || so dude and you don`t believe me, reboot now and look || at your hard disk light spinning... If you don`t want || to loose all your data then try to guess a number from || 0 to 9 and pray for your answer to be correct, else... |+--------------------------------------------------------+You have 3 tries to guess the correct number!!!Enter the number:
You fucking SHIT!!! You guessed the right number!!!You are safe this time but next will come very soonand you will not be so lucky!!!
Sorry, you didn`t entered the correct number!Retry, and hope you lucky!!!
Hum... you are lucky this time...Please wait while reconstructing disk structure...
I WAS JOKING! Your Hard Disk has been fucked up!!! Thank you for choosing another product of... 0T0h0e0 0N0u0k0e0r0
Nuker.Syndrome
Перехватывает также INT 11h (проверяет по этому прерыванию наличие своей резидентной копии). По 1-м числам ежемесячно и в зависимости от текущего значения системного таймера стирает все файлы в текущем каталоге. Не заражает файлы с именами из строки (по два символа на имя):VATBF-AVSCCL-D-UMSMWNA
Также содержит строку:
[Syndrome virus (c) 1996 by The Nuker]
Nuker.Trance.1688
По понедельникам, которые являются 1-ми числами месяца, вирус перехватывает INT 1Ch и меняет символы на экране. В зависимости от своего поколения вирус стирает сектора дисков. Содержит строку:Trance Virus (c) 1995 by The Nuker
Nuker.Trance.1982
Перехватывает также INT 8 (трясет экран) и INT 13 - затирает сектора дисков строкой:This sector has been fucked up courtesy of Trance0 Virus (c) 1995 by The Nuker
Демонстрации вирусных эффектов:
NUKER.COM |
NV.732
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:[New Virus] (1992)
N_Xeram.1664
Очень опасный нерезидентный зашифрованный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Уничтожает файлы NAV_._NO, CHKLIST.MS, SCANVAL.VAL. В зависимости от текущей даты либо стирает сектора дисков, либо проявляется каким-то видео эффектом. Содержит строки:N-XERAM\NAV_._NO \CHKLIST.MS \SCANVAL.VAL