Access denied
и возвращается в DOS. В сентябре форматирует диски и сообщает:
Your PC has been infected by "XABARAS VIRUS" Created by Cracker Jack 1991 (c) IVRL (c) by Italian Virus Research Laboratory Head Quarter: Milan, Italy
Содержит текст:
*.EXE Xabaras...the name of the devil!! *.COM ..
Xak.3132
Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM-файлов при их запуске. При запуске файлов также проверяет их на наличие антивирусного иммунизатора. Если таковой обнаружен, вирус либо не заражает файл, либо уничтожает его. Вирус содержит строки:+-------------------------------------------------------------------+ | This code, called Xak version 0012, is the ???? generation from | | the original code of the same version number and was created by a | | predecessor code on the ?? day of the month of ?? of the year | | ???? at ?? hours, ?? minutes, and ?? seconds. | +-------------------------------------------------------------------+
где поля "??" заполняются вирусом в соответствии с его "поколением", датой и временем заражения. Вирус также содержит строки:
<ILove&wantUnow> SYSTEM+Z сon 1.3 Copyr Nsn 1.3 Central Point An
Xam.797
Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Содержит в себе строки:Wait viruses XAM Hi, Dimitriy Nikolaevich!
Xandu.2385
Неопасный резидентный вирус. Копирует свою копию в UMB (если таковая память присутствеут) или в обычную память, перехватывает INT 21h и записывается в конец EXE-файлов при их закрытии. При заражении использует недокументированные функции DOS и System File Table. Создает и уничтожает временный файл C:\BCDABKEH. В зависимости от текущих даты и времени выводит сообщение:XANDU Virus ! (C) 1993 By MTZ - Italy ! <Hit any key to continue>
Xav, семейство
Нерезидентные (кроме "Xavier") зашифрованные вирусы. Ищут .COM-файлы и записываются в их конец.Xav.Baron
Очень опасен. Ищет .COM-файлы, затем в зависимости от системного таймера либо заражает их, либо записывает в них троянскую программу, стирающую при запуске файла MBR винчестера.В зависимости от системного таймера выводит текст:
Virus Barвn Rojo! by Xavirus Hacker (AJVM!)
Также содержит строки:
*.COM Barвn... hВroe del cuento, amo de las nubes, seдor del viento Barвn: tu triste misiвn no apagв tu gloria This program borned in the City of Luque, Paraguay, South America! METALMORFOSIS!
Xav.Curepa
Очень опасен. 2-го апреля стирает сектора винчестера и выводит текст:AntiCUREPA Virus, escrito en Paraguay por Xavirus Hacker. Dios: tu гnico error fue crear a los inflados porteдos. нHitler persiguiв a los judбos porque no conocбa a los porteдos! Las Malvinas son del Reino Unido. нArgentinos cobardes!
Xav.KD
Опасен. По понедельникам устанавливает INT 5 на адрес INT 13h (это может привести к потере информации на диске) и выводит текст:Virus King Diamond! by Xavirus Hacker (AJVM!)
Также содержит строки:
*.com This virus was coded From the other side, in The Spider's Lullabye Dedicated to the owner of the polimorphic voice: KING DIAMOND! From Paraguay with hate!
Xav.Mandra, Quevedo
Неопасны. В декабре "Xav.Mandra" выводит текст:MANDRAGORA Group were Arthax, Coder Death, Insane & Xavirus Hacker.
Также содержат строки:
"Mandra":
*.COM Coded by Xavirus in Luque!
"Quevedo":
[Quevedo] by Xavirus Hacker! *.COM
Xav.Xavier.367
Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец .COM-файлов при обращениях к ним. Содержит строку:XAVIER!
XCat.1365
Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов при их запуске или открытии. Через некоторое время после инсталляции запускает видео-эффект: символ точки, бегущий по верчней строке экрана слева направо. Спустя некоторое время вирус меняет фонт точки на изображение противогаза, а затем выводит текст:XCAT version 3.0 (Rage against THE Fish).
Демонстрации вирусных эффектов:
XCAT.COM |
Xed.2869
Очень опасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. В зависимости от своего счетчика уничтожает файлы. Содержит строки:COMMAND.COM by: XED of Danao,Cebu "Vous a eu!"
XEP.1355
Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец EXE-файлов при вызове функций DOS FindFirst/Next. В зависимости от своих счетчиков вирус перехватывает INT INT 13h, 16h, 17h и проявляется различными способами: уничтожает файлы, шифрует сохраняемую на диск информацию, запрещает чтение с диска, "играет" с клавиатурой, выводит на принтер сообщения. Вирус содержит строку:XEP-06
Xing.1308
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. При каких-то условиях (довольно специфичных) лечит зараженные файлы. В зависимости от даты и времени переставляет символы в текстовых файлах при записи в них.
XIV.2248
Опасный резидентный вирус. Перехватывает INT 21h, 2Fh и записывается в конец EXE-файлов при их запуске, открытии или переименовании. Записывает в MBR винчестера программу, которая периодически выводит (см. также загрузочный вирус "XIV" ):XIV L.O. Wroclaw Najlepszy polski program antywirusowyMkS_Vir kupisz w firmie: APEXIM Sp. z o.o. ul. Zielna 39 00-108 Warszawa tel. 24-25-79 Hi to friends from the 6th IOI, CEIC & Cluj. M.S. Pol. XIV
XorA.1024
Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. При открытии или создании .PAS-файлов уничтожает их. Содержит строку:xor "a"
за которой следует строка, зашифрованная путем XOR 'a' :
by Grzegorz S productio
XPEH, семейство
Очень опасные ("XPEH.3600" - безобиден) резидентные вирусы. Трассируют INT 21h, перехватывают INT 1Ch, 21h и записываются в конец COM-, EXE- и OVL-файлов при их загрузке в память или при вызове функций DOS FindFirst/Next ASCII.Используют довольно сложные методы шифровки своего тела, кодируют себя помехозащищенным кодом (см. "Yankee" ). "XPEH.3872,4048" записывают в таблицу векторов по адресам 0000:0004 и 0000:000C (INT 1, 3) строки "ХРЕН" и "ВЗЯЛ". С сентября 1991г. ("XPEH.3872") или с декабря 1991 г. ("XPEH.4048") портят .BAK-, .TXT- и .LEX-файлы: суммируют (XOR) их содержимое со строкой "ХРЕН".
"XPEH.4768" эмулирует работу команды DIR, для этого содержит в себе строки:
Directory of File(s) bytes free <DIR>
Если номер текущего дня совпадает с номером текущего месяца (1 января, 2 февраля, и т.д.), то стирает содержимое диска C:, предварительно сообщив:
Если у вас есть индикатор работы с жестким диском и он горит, то форматизация диска близится к концу Большой привет.
"XPEH.5840" записывает байт C3h (RET) в начало файлов *SAFE.*. Содержит текст:
В связи с получением работы выпуск новых ХРЕНов временно приостанавливается. 1991- МФТИ(77)
Xph, семейство
Резидентные вирусы, перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске. Содержат строки: "XPH", "ASCECLHVSRVINWI", "iV". Не заражают файлы SCA*.*, CLE*.*, VHS*.*, VIR*.*, WIN*.*."Xph.1010,1100" периодически записывают в файлы строки:
"Xph.1010": R.A.T. [R]iots [A]gainst [T]echnology -- FIGHT IT BACK !!! "Xph.1100": -- FIGHT IT BACK !!! R.A.T. [R]iots [A]gainst [T]echnology -- FIGHT IT BACK !!!
"Xph.1943" - полиморфик -вирус. В зависимости от некоторых условий стирает сектора дисклв. Содержит строки:
XPH [C] 08/09/93 by McAfee Associates. ASCECLHVSPF-ACPRVINWI
Xram.1000
Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит сообщение:** El COBOL no sirve, es una Mierda **
Также содержит строку:
(C) Karl Xram
X-Ray.2050
Неопасный резидентный зашифрованный вирус. Перехватывает INT 11h, 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Сравнивает первые 4 байта имени файла со строками:TBAV TBSC TBCL TBME TBFI TBDR TBDI TBGE TBSE TBKE TBLO TBUT F-PR AVP. SCAN CLEA ITAV PV.E DEBU TD.E VPRO VPRU PCSC THDP PROS MSAV NAV. CPAV AVPV BAIT TEST GOAT VIRS CHEC VDS. ORGA XRAY -D.C -U.C
Если имя файла присутствует в этом списке, то вирус 1) не заражает файл 2) на время работы соответствующей функции доступа у файлу шифрует свой TSR код, чтобы предотвратить детектирование своей TSR копии или анализ ее кода.
При заражении каждого файла ищет и уничтожает файлы:
ANTI-VIR.DAT CHKLIST.MS
В зависимости от текущей даты и времени выводит текст:
+---------------------------------+ | The X-Ray virus sends greetings | | to everyone who is reading this | | text... No panic, I'm harmless! | +---------------------------------+
Xtac.1564
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Длина файла COMMAND.COM не увеличивается, см. вирус "Lehigh" . В некоторых случаях ищет и уничтожает файлы с расширениями из строки:COMEXESYSBATOBJOVROVLINICFGTPUHLPTPLBGICHR
Также содержит строки:
command.com *.* good news! you have justbeen smitten by XTAC - lyndon siao, usc-tc
XTC.2153
Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM- и .EXE-файлы (кроме WIN386.EXE, KRNL286.EXE, KRNL386.EXE) и записывается в их конец. Стирает сектора дисков. Содержит строку:XTC
Xute.1182
Очень опасный резидентный зашифрованнй вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. По четвергам 8-го числа стирает CMOS, сектора винчестера и выводит тексты:HACKWARE NO ES POT SER TAN SIMPLE COM L`OSOFT AGRAIMENTS A TOTS ELS COL.LABORADORS
Также содержит строку:
Prog: Xute!!!
Демонстрации вирусных эффектов:
XUTE.COM |
Xuxa, семейство
Резидентные неопасные вирусы, перехватывают INT 1Ch, 21h и заражают COM-файлы.Xuxa.1045,1037,1088,1096
Зашифрованы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов (кроме COMMAND.COM). При инсталляции в память заражают файл C:\DOS\FORMAT.COM. В зависимости от текущего времени завешивают компьютер. Уничтожают файлы CHKLIST.MS и ANTI-VIR.DAT. "Xuxa.1037" содержит строки:Si no viste el Show de Xuxa por T.V, ni en vivo... ahora podes verlo en tu PC!. - XOU DA XUXA 1.0 By Leviathan.
Выводят на экран тексты:
"Xuxa.0188,1096":
Si no viste el Show de Xuxa por T.V, ni en vivo... ahora podes verlo en tu PC!. - XOU DA XUXA 1.2 By Leviathan.
"Xuxa.1045":
Si no viste el Show de Xuxa por T.V, ni en vivo... ahora podes verlo en tu PC!. - XOU DA XUXA 1.3 By Leviathan.
Xuxa.1405,1413
Перехватывают INT 1Ch, 21h и записываются в начало стартующих COM-файлов. Проявляются проигрыванием мелодии.Xuxa.1656
Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Выводит сообщение:Xuxa Park 1.0 0 By Hades "Y luchemos para que todos los niдos delmundo tengan derecho a soдar, a soдar por igual"
Xuxa.1984,2058
Зашифрованные стелс -вирусы. Записываются в конец COM- и EXE-файлов. Не заражают некоторые антивирусы и архиваторы. Уничтожают файлы CHKLIST.MS и ANTI-VIR.DAT. Содержат ошибки и могут завесить компьютер. Начиная с 1997 года по 27-м числам выводят тексты:"Xuxa.1984": 0 XUXA PARK 2.0 0 By Hades 0 Todo el mundo esta feliz ? "Xuxa.2058": XUXA PARK 2.1 0 BY HADES "Y LUCHEMOS PARA QUE TODOS LOS NIеOS DEL MUNDO TENGAN DERECHO A SOеAR, A SOеAR POR IGUAL"
Демонстрации вирусных эффектов:
XUXA.COM |
Xvxh, семейство
Очень опасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. "Xvxh.462,514" стирают сектора дисков. "Xvxh.514" содержит строку:xVXHVIRUS
XWG.1333
Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске. Никак не проявляется, содержит строку-идентификатор:XWG
XXX.1060
Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при DOS_вызовах FindNext FCB и ASCII. Портит файда небольшой длины, по 19-м числам форматирует винчестер и выводит текст:My dear xxx: Happy birthday and happy a new year ! Yours xxx .
Xynet.947
Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. При заражении памяти некорректно работает с MCB-блоками и может завесить систему. Ищет резидентные антивирусные мониторы и завешивает систему, если обнаруживает их.
XM.823
Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске, открытии, переименовании и чтении/установке атрибутов. При заражении памяти вирус с вероятностью 1/8 (в зависимости от текущего значения таймера) выводит фразу, в которой использует ненормативную лексику. Фраза заканчивается текстом:(c)Midnigh+Pr0wler
Вирус был разослан в Internet-конференции и затем, естественно, обнаружен "в живом виде".