Xabaras.1972

Нерезидентный очень опасный зашифрованный вирус, ищет .COM- и .EXE-файлы и записывается вместо них. После заражения файлов выводит текст:

Access denied


и возвращается в DOS. В сентябре форматирует диски и сообщает:


Your PC has been infected by "XABARAS VIRUS" Created by Cracker Jack 1991 (c) IVRL (c) by Italian Virus Research Laboratory Head Quarter: Milan, Italy



Содержит текст:

*.EXE Xabaras...the name of the devil!! *.COM ..






Xak.3132

Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM-файлов при их запуске. При запуске файлов также проверяет их на наличие антивирусного иммунизатора. Если таковой обнаружен, вирус либо не заражает файл, либо уничтожает его. Вирус содержит строки:


+-------------------------------------------------------------------+ | This code, called Xak version 0012, is the ???? generation from | | the original code of the same version number and was created by a | | predecessor code on the ?? day of the month of ?? of the year | | ???? at ?? hours, ?? minutes, and ?? seconds. | +-------------------------------------------------------------------+



где поля "??" заполняются вирусом в соответствии с его "поколением", датой и временем заражения. Вирус также содержит строки:


<ILove&wantUnow> SYSTEM+Z сon 1.3 Copyr Nsn 1.3 Central Point An







Xam.797

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Содержит в себе строки:


Wait viruses XAM Hi, Dimitriy Nikolaevich!







Xandu.2385

Неопасный резидентный вирус. Копирует свою копию в UMB (если таковая память присутствеут) или в обычную память, перехватывает INT 21h и записывается в конец EXE-файлов при их закрытии. При заражении использует недокументированные функции DOS и System File Table. Создает и уничтожает временный файл C:\BCDABKEH. В зависимости от текущих даты и времени выводит сообщение:


XANDU Virus ! (C) 1993 By MTZ - Italy ! <Hit any key to continue>







Xav, семейство

Нерезидентные (кроме "Xavier") зашифрованные вирусы. Ищут .COM-файлы и записываются в их конец.

Xav.Baron

Очень опасен. Ищет .COM-файлы, затем в зависимости от системного таймера либо заражает их, либо записывает в них троянскую программу, стирающую при запуске файла MBR винчестера.

В зависимости от системного таймера выводит текст:

Virus Barвn Rojo! by Xavirus Hacker (AJVM!)


Также содержит строки:


*.COM Barвn... hВroe del cuento, amo de las nubes, seдor del viento Barвn: tu triste misiвn no apagв tu gloria This program borned in the City of Luque, Paraguay, South America! METALMORFOSIS!





Xav.Curepa

Очень опасен. 2-го апреля стирает сектора винчестера и выводит текст:


AntiCUREPA Virus, escrito en Paraguay por Xavirus Hacker. Dios: tu гnico error fue crear a los inflados porteдos. нHitler persiguiв a los judбos porque no conocбa a los porteдos! Las Malvinas son del Reino Unido. нArgentinos cobardes!





Xav.KD

Опасен. По понедельникам устанавливает INT 5 на адрес INT 13h (это может привести к потере информации на диске) и выводит текст:

Virus King Diamond! by Xavirus Hacker (AJVM!)


Также содержит строки:


*.com This virus was coded From the other side, in The Spider's Lullabye Dedicated to the owner of the polimorphic voice: KING DIAMOND! From Paraguay with hate!





Xav.Mandra, Quevedo

Неопасны. В декабре "Xav.Mandra" выводит текст:

MANDRAGORA Group were Arthax, Coder Death, Insane & Xavirus Hacker.


Также содержат строки:

"Mandra":



*.COM Coded by Xavirus in Luque!



"Quevedo":



[Quevedo] by Xavirus Hacker! *.COM





Xav.Xavier.367

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец .COM-файлов при обращениях к ним. Содержит строку:

XAVIER!






XCat.1365

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов при их запуске или открытии. Через некоторое время после инсталляции запускает видео-эффект: символ точки, бегущий по верчней строке экрана слева направо. Спустя некоторое время вирус меняет фонт точки на изображение противогаза, а затем выводит текст:

XCAT version 3.0 (Rage against THE Fish).




Демонстрации вирусных эффектов:

XCAT.COM



Xed.2869

Очень опасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. В зависимости от своего счетчика уничтожает файлы. Содержит строки:


COMMAND.COM by: XED of Danao,Cebu "Vous a eu!"







XEP.1355

Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец EXE-файлов при вызове функций DOS FindFirst/Next. В зависимости от своих счетчиков вирус перехватывает INT INT 13h, 16h, 17h и проявляется различными способами: уничтожает файлы, шифрует сохраняемую на диск информацию, запрещает чтение с диска, "играет" с клавиатурой, выводит на принтер сообщения. Вирус содержит строку:

XEP-06






Xing.1308

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. При каких-то условиях (довольно специфичных) лечит зараженные файлы. В зависимости от даты и времени переставляет символы в текстовых файлах при записи в них.





XIV.2248

Опасный резидентный вирус. Перехватывает INT 21h, 2Fh и записывается в конец EXE-файлов при их запуске, открытии или переименовании. Записывает в MBR винчестера программу, которая периодически выводит (см. также загрузочный вирус "XIV" ):


XIV L.O. Wroclaw Najlepszy polski program antywirusowyMkS_Vir kupisz w firmie: APEXIM Sp. z o.o. ul. Zielna 39 00-108 Warszawa tel. 24-25-79 Hi to friends from the 6th IOI, CEIC & Cluj. M.S. Pol. XIV







XorA.1024

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. При открытии или создании .PAS-файлов уничтожает их. Содержит строку:

xor "a"


за которой следует строка, зашифрованная путем XOR 'a' :

by Grzegorz S productio






XPEH, семейство

Очень опасные ("XPEH.3600" - безобиден) резидентные вирусы. Трассируют INT 21h, перехватывают INT 1Ch, 21h и записываются в конец COM-, EXE- и OVL-файлов при их загрузке в память или при вызове функций DOS FindFirst/Next ASCII.

Используют довольно сложные методы шифровки своего тела, кодируют себя помехозащищенным кодом (см. "Yankee" ). "XPEH.3872,4048" записывают в таблицу векторов по адресам 0000:0004 и 0000:000C (INT 1, 3) строки "ХРЕН" и "ВЗЯЛ". С сентября 1991г. ("XPEH.3872") или с декабря 1991 г. ("XPEH.4048") портят .BAK-, .TXT- и .LEX-файлы: суммируют (XOR) их содержимое со строкой "ХРЕН".

"XPEH.4768" эмулирует работу команды DIR, для этого содержит в себе строки:


Directory of File(s) bytes free <DIR>



Если номер текущего дня совпадает с номером текущего месяца (1 января, 2 февраля, и т.д.), то стирает содержимое диска C:, предварительно сообщив:


Если у вас есть индикатор работы с жестким диском и он горит, то форматизация диска близится к концу Большой привет.



"XPEH.5840" записывает байт C3h (RET) в начало файлов *SAFE.*. Содержит текст:

В связи с получением работы выпуск новых ХРЕНов временно приостанавливается. 1991- МФТИ(77)





Xph, семейство

Резидентные вирусы, перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске. Содержат строки: "XPH", "ASCECLHVSRVINWI", "iV". Не заражают файлы SCA*.*, CLE*.*, VHS*.*, VIR*.*, WIN*.*.

"Xph.1010,1100" периодически записывают в файлы строки:


"Xph.1010": R.A.T. [R]iots [A]gainst [T]echnology -- FIGHT IT BACK !!! "Xph.1100": -- FIGHT IT BACK !!! R.A.T. [R]iots [A]gainst [T]echnology -- FIGHT IT BACK !!!



"Xph.1943" - полиморфик -вирус. В зависимости от некоторых условий стирает сектора дисклв. Содержит строки:


XPH [C] 08/09/93 by McAfee Associates. ASCECLHVSPF-ACPRVINWI







Xram.1000

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит сообщение:

** El COBOL no sirve, es una Mierda **


Также содержит строку:

(C) Karl Xram






X-Ray.2050

Неопасный резидентный зашифрованный вирус. Перехватывает INT 11h, 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Сравнивает первые 4 байта имени файла со строками:

TBAV TBSC TBCL TBME TBFI TBDR TBDI TBGE TBSE TBKE TBLO TBUT F-PR AVP. SCAN CLEA ITAV PV.E DEBU TD.E VPRO VPRU PCSC THDP PROS MSAV NAV. CPAV AVPV BAIT TEST GOAT VIRS CHEC VDS. ORGA XRAY -D.C -U.C

Если имя файла присутствует в этом списке, то вирус 1) не заражает файл 2) на время работы соответствующей функции доступа у файлу шифрует свой TSR код, чтобы предотвратить детектирование своей TSR копии или анализ ее кода.

При заражении каждого файла ищет и уничтожает файлы:


ANTI-VIR.DAT CHKLIST.MS



В зависимости от текущей даты и времени выводит текст:


+---------------------------------+ | The X-Ray virus sends greetings | | to everyone who is reading this | | text... No panic, I'm harmless! | +---------------------------------+







Xtac.1564

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Длина файла COMMAND.COM не увеличивается, см. вирус "Lehigh" . В некоторых случаях ищет и уничтожает файлы с расширениями из строки:

COMEXESYSBATOBJOVROVLINICFGTPUHLPTPLBGICHR


Также содержит строки:


command.com *.* good news! you have justbeen smitten by XTAC - lyndon siao, usc-tc







XTC.2153

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM- и .EXE-файлы (кроме WIN386.EXE, KRNL286.EXE, KRNL386.EXE) и записывается в их конец. Стирает сектора дисков. Содержит строку:

XTC






Xute.1182

Очень опасный резидентный зашифрованнй вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. По четвергам 8-го числа стирает CMOS, сектора винчестера и выводит тексты:


HACKWARE NO ES POT SER TAN SIMPLE COM L`OSOFT AGRAIMENTS A TOTS ELS COL.LABORADORS



Также содержит строку:

Prog: Xute!!!




Демонстрации вирусных эффектов:

XUTE.COM



Xuxa, семейство

Резидентные неопасные вирусы, перехватывают INT 1Ch, 21h и заражают COM-файлы.

Xuxa.1045,1037,1088,1096

Зашифрованы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов (кроме COMMAND.COM). При инсталляции в память заражают файл C:\DOS\FORMAT.COM. В зависимости от текущего времени завешивают компьютер. Уничтожают файлы CHKLIST.MS и ANTI-VIR.DAT. "Xuxa.1037" содержит строки:


Si no viste el Show de Xuxa por T.V, ni en vivo... ahora podes verlo en tu PC!. - XOU DA XUXA 1.0 By Leviathan.



Выводят на экран тексты:

"Xuxa.0188,1096":



Si no viste el Show de Xuxa por T.V, ni en vivo... ahora podes verlo en tu PC!. - XOU DA XUXA 1.2 By Leviathan.



"Xuxa.1045":



Si no viste el Show de Xuxa por T.V, ni en vivo... ahora podes verlo en tu PC!. - XOU DA XUXA 1.3 By Leviathan.





Xuxa.1405,1413

Перехватывают INT 1Ch, 21h и записываются в начало стартующих COM-файлов. Проявляются проигрыванием мелодии.



Xuxa.1656

Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Выводит сообщение:


Xuxa Park 1.0 0 By Hades "Y luchemos para que todos los niдos delmundo tengan derecho a soдar, a soдar por igual"





Xuxa.1984,2058

Зашифрованные стелс -вирусы. Записываются в конец COM- и EXE-файлов. Не заражают некоторые антивирусы и архиваторы. Уничтожают файлы CHKLIST.MS и ANTI-VIR.DAT. Содержат ошибки и могут завесить компьютер. Начиная с 1997 года по 27-м числам выводят тексты:


"Xuxa.1984": 0 XUXA PARK 2.0 0 By Hades 0 Todo el mundo esta feliz ? "Xuxa.2058": XUXA PARK 2.1 0 BY HADES "Y LUCHEMOS PARA QUE TODOS LOS NIеOS DEL MUNDO TENGAN DERECHO A SOеAR, A SOеAR POR IGUAL"





Демонстрации вирусных эффектов:

XUXA.COM



Xvxh, семейство

Очень опасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. "Xvxh.462,514" стирают сектора дисков. "Xvxh.514" содержит строку:

xVXHVIRUS






XWG.1333

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске. Никак не проявляется, содержит строку-идентификатор:

XWG






XXX.1060

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при DOS_вызовах FindNext FCB и ASCII. Портит файда небольшой длины, по 19-м числам форматирует винчестер и выводит текст:


My dear xxx: Happy birthday and happy a new year ! Yours xxx .







Xynet.947

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. При заражении памяти некорректно работает с MCB-блоками и может завесить систему. Ищет резидентные антивирусные мониторы и завешивает систему, если обнаруживает их.





XM.823

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске, открытии, переименовании и чтении/установке атрибутов. При заражении памяти вирус с вероятностью 1/8 (в зависимости от текущего значения таймера) выводит фразу, в которой использует ненормативную лексику. Фраза заканчивается текстом:

(c)Midnigh+Pr0wler


Вирус был разослан в Internet-конференции и затем, естественно, обнаружен "в живом виде".