Uck.475
FFuucckk
Uddy.2617
Uestc.888
92\10\12 U.E.S.T.C Gu.YD
Ufa.1201
UFO.1468
THEY... are here ! We will see who is gonna survive, motherfuckers ! You are all some fuckin Unknown Flying Objects ! UFO has come to destroy the fucking thresh around here !
При 10-м выводе этих текстов стирает CMOS и добавляет:
I am sick of a bullshit like e-Щn-ЩfоЫFоУ
Также содержит строку:
UFO
Ugra.1394
Ugrad.1145
Ugur, семейство
UGUR MUMCU ФLMEDi..
Вирусы проверяют первую букву этой строки, и, если она исправлена, стирают сектора диска.
Ukraine, семейство
.com.exe.ovlcommdrozarj.rar.pkziain.lha.chkd
и выключают стелс-функцию при запуске архиваторов ARJ, RAR, PKZIP, AIN, LHA и утилиты CHKDSK.
По 24-м числам ежемесячно перехватывают INT 1Ch, выводят на экран украинский флаг, проигрывает мелодию (гимн Украины?), стирают сектора дисков, расшифровывает и выводят сообщение:
24 СЕРПНЯ - ДЕНЬ НЕЗАЛЕЖНОСТI УКРАIНИ !!!
Вирусы также содержат строки:
"Ukraine.3201": СЛАВА УКРАIНI !!! "Ukraine.3537,3627": ПАМ'ЯТАЙТЕ КЛЯТI МОСКАЛI ! ОТОЖ !
Демонстрации вирусных эффектов:
|
UKRAINE.COM |
UKTC.769
SlowDeath is New Virus From UKTC
Ultimate, семейство
I twist de truth, I rule the world.
Этот вирус также деактивирует некоторые резидентные мониторы и уничтожает антивирусные файлы данных: CHKLIST.MS, ANTIVIR.DAT, TBUTIL.DAT, CHKLIST.CPS, NAV_._NO, MSAV.CHK, CHKLIST.TAV, SMARTCHK.CPS, AV.CRC, AVP.CRC, IM.PRM, IV.INI, IVB.INI, IVB.NTZ.
Вирусы также содержат строки:
"Ultimate.419": Ultimate Evil by Evil One "Ultimate.487": [Ultimate Evil II] by Vecna. "Ultimate.982": TBMEMXXXTBCHKXXXTBDSKXXXTBFILXXX [Ultimate Evil III] by Vecna.
Ultra.5700
Ultra Violent S.T. - ONE (India) Created by V.S. Since the beginning of time, When from the big bang, The mighty earth was born; Since that first cry of newborn man Amidst a brilliant dawn, twas proclaimed by the Talented Sadist Amidst great laughter, ridicule and scorn... That though a dark star may forever glow, Tis from light that light shalt dawn Quoted from the ST Book of Surrealistic madness - T.Sad, V.Sad & Sadistic T
EXE COM C CPP ASM PAS FOR BAS COB CBL PRG DOC TXT LET WK1 WP PCX BMP TIF GIF XLS DBF WRI BAK SAM PM4 PM5 PAK WK3 XLC CDR FLI ARC ZIP DXF EPS FXP FRM DBT WMF CGM
main() {{ } SEGMENT begin end. Fortran Runtime Module Err 10 END COBOL LINKE RETURN COMSPEC=
Unbidden.507
*.com *.exe *.* <1996Nov3\Fryazino\Mikhail G.\Unbidden v1.00>
Uncouth, семейство
Unerase.329
Unexe.425
Ungame, семейство
Демонстрации вирусных эффектов:
|
UNGAME.COM |
Ungame_II.823
Ungame_3.645
Unhandled, семейство
Запрещают работу с принтером (INT 17h, возвращают ошибку "out of paper"), в зависимости от своих внутренних счетчиков (INT 1Ch) выводят сообщение и перезагружают компьютер:
UNHANDLED SYSTEM ERROR #17 AT 0F00:0FFF
Также содержат строку:
aisaK
Union, семейство
УКРАИНА И РОССИЯ ПОРОДНИЛИСЬ НАВСЕГДА !!! *.exe AIADSCNCPATH=
и
"Union.1449": UNION 2.0 "Union.1531": UNION 2.5
Демонстрации вирусных эффектов:
|
UNION.COM |
Unkempt.1342
DOC TXT PAS C H PRG TEX COB FOR MOD LIS CLA PRO DBF
и при записи в такие файлы в зависимости от своего счетчика заменяет символы в файле в соответствии со строками:
szzsаaВeбiвoгugjEeAaIiUuOoyikcck1223344556677889 <>><= '":=&|!~/*+--+*/^/{{ 12233445566778899104}
Нечетные символы заменяются на четные: 's' -> 'z', '<' -> '>'.
Вирус также содержит строки:
com riS
Unknown, семейство
"Unknown1.1111": Parity error. "Unknown1.1279": Stack overflow.
Также содержат строки:
"Unknown1.1111":
Unknown Virus 1.0 COMMAND
"Unknown1.1279":
UNKNOWN Virus 1.1 10/94 John,put heuristic in SCAN! Tapi dans l'ombre,Il attendait son heure.. COMMAND
Unknown_II.5559
Файлы заражаются вирусом при обращениях к ним. Вирус записывается в конец COM- и EXE-файлов (кроме IBMBIO.COM и IBMDOS.COM). При открытии зараженных файлов вирус лечит их.
Вирус содержит строки:
IBMBIO IBMDOS Unknown 1.0
Unlearned.488
Unskip.1909
Демонстрации вирусных эффектов:
|
UNSKIP.COM |
Unspeed.920
UNSPEED Made in CUBA By ME
UpDown.881
INT 15h: перехватывает системный вызов клавиатуры, подсчитывает количество нажатых Eenter'ов и в зависимости от этого числа вызывает видео-эффект (код эффекта испорчен) - похоже, что вирус "переворачивает" фонты.
UPS.1155
!\ oH iTs X-MAS /!$*.COM .. \ThE_UpS-IsT_HiEr/
Демонстрации вирусных эффектов:
|
UPS.COM |
Uracil.486
[Uracil] by Adenine. Hi:P/S,NTH,John M.
Urfin.317
Уpфин Джюс
Urod.773
С новым годом !!!
Urphin.1621
При запуске компилятора TurboPascal вирус также перехватывает открытие и закрытие файлов. При открытии .PAS-файлов (исходники на Pascal) вирус ищет в них директиву подпрограммы ("BEGIN"), вставляет после нее свой код в в виде шестнадцатеричного дампа и снабжает его необходимыми командами Pascal. При закрытии такого файла вирус удаляет из него свой код. В результате при компиляции паскалевских исходников результирующие EXE-файлы оказываются "дропперами" вируса, а сами .PAS-файлы остаются без изменений.
Содержит строки:
BEGINbegin URPHIN ASM END;
Uruguay, семейство
При инсталляции вирусы трассируют INT 13h, 21h. Некоторые из вирусов "Uruguay" заменяют 5 байт DOS'овского обработчика INT 21h на команду JMP FAR VIRUS и перехватывают INT 2Ah.
"Uruguay.4268" перехватывает INT 9 (клавиатура) и при нажатии Alt-Ctrl-Del (теплая перезагрузка) манипулирует с векторами прерываний и оперативной памятью таким образом, чтобы остаться резидентным и после перезагрузки: он трассирует и устанавливает в исходные BIOS'овские значения "железные" прерывания 8, 9, 10h, 13h, 15h, 16h, 1Ah и 1Ch, блокирует драйвер HIMEM.SYS, уменьшает размер памяти DOS (слово по адресу 0000:0413), копирует себя на освободившееся место, перехватывает INT 8, 9 и вызывает INT 19h (загрузчик системы). Загрузчик считывает файлы DOS, а вирус контролирует это и устанавливает на себя в нужный момент прерывания 21h и 2Ah. Таким образом он остается резидентным в памяти после "теплой" перезагрузки.
Вирусы семейства "Uruguay" проявляются писком внутреннего спикера компьютера и выводят сообщения:
"Uruguay.2313":
I love ROXETTE !!!
Virus 'Uruguay-#2' Programmed in Montevideo (URUGUAY) by F3161. 04/92. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.2379":
The BEATLEMANIA is alive! THE BEATLES, for ever, the best. John, Paul, George and Ringo, ladies and gentlemen, here they are! PLEASE, PLEASE ME. WITH THE BEATLES. A HARD DAY'S NIGHT. BEATLES FOR SALE. HELP. RUBBER SOUL. REVOLVER. SGT.PEEPERS LONELY HEARTS CLUB BAND. THE BEATLES. YELLOW SUBMARINE. ABBEY ROAD. LET IT BE. MAGICAL MISTERY TOUR. Other LP and singles available...
Virus 'Uruguay-#1' Programmed in Montevideo (URUGUAY) by F3161. 03/92. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.2456":
'Uruguay-#3' Virus Programmed in Montevideo (URUGUAY) by F3161. 06/92. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.2623":
'Uruguay-#4' Virus Programmed in Montevideo (URUGUAY) by F3161. 07/92. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.4268":
'Uruguay-#5' Virus Programmed in Montevideo (URUGUAY) by F3161. 08/92. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.4879":
'Uruguay-#6' Virus Programmed in Montevideo (URUGUAY) by F3161. 11/92. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.4906":
Uruguay-#9 Virus Programmed in Montevideo (URUGUAY). 12/93. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.6344":
Uruguay-#7 installed (seg=9CF8) Uruguay-#7 Virus Programmed in Montevideo (URUGUAY). 02/93. This is a research virus - DO NOT DISTRIBUTE.
"Uruguay.6396":
Uruguay-#10 Virus Programmed in Montevideo (URUGUAY). 05/94. This is a research virus - DO NOT DISTRIBUTE.
Все эти вирусы содержат также строку "COMMAND.COM.EXE".
Демонстрации вирусных эффектов:
|
URUGUAY.COM |
Uruk, семейство
Igor 1992 v.2.0 The Uruk-hai and winged Nazgul strikes again!
"Uruk.361" с 10:00 до 11:00 при изменении текущего диска все время устанавливает диск C:. Содержит текст
Igor 1992 v.3.0 It was last assault of the Uruk-hai... We shall meet in Valhalla!
"Uruk.394" в первую минуту каждого часа сдвигает первые символы в строках вниз на одну позицию. Содержит текст
V 1.0 Igor,1992 The Uruk-hai are upon you!
"Uruk.427" в первую минуту каждого часа выводит фразу:
Invalid user. Replace and strike a key
После чего перезагружает систему.
Фанаты Толкиена могут также прочитать описания вирусов "Frodo" , "Nazgul.266" .
UsePascal.2406
If C doesn't work, use Pascal !!! --- many greetings to Niklaus Wirth !!!
---
Содержит также строку:
(C) 1994 by B&J, Swabia
USSR.414
USSR
USTC.919
USTC
UU.1200
UVR.3919
C:\UVR.COM
затем создает файл C:\UVR.COM, куда записывает свое тело (файл-dropper). При запуске файла-dropper (т.е. при загрузке с модифицированным файлом AUTOEXEC.BAT) вирус перехватывает INT 21h и затем записывается в конец COM-файлов при их запуске или открытии.
При повторном запуске в уже зараженной системе файл-dropper сообщает:
UVR Already installed.
Перед заражением файлов вирус лечит их от некоторых вирусов. При попытке вылечить файл, зараженный вирусом "UVR", он создает файл C:\PORNO, куда записывает вирус "Trivial.59". При открытии файлов *.CPS и *._NO вирус уничтожает их. Создает файл C:\00 со строками:
Hai sbagliato! -U.Vr-
19-го марта выводит текст:
+-------------------+ | Vietato FUMARE! | +-------------------+
затем перехватывает INT 10h и проявляется различными эффектами: меняет большие буквы на маленькие и наоборот, меняет размер курсора, и т.д.
Вирус также содержит зашифрованные строки:
- U.Vr, Professional version - Non riuscirai MAI a sapere tutto quello che sono in grado di fare MARZO 1993