При загрузке с зараженного флоппи-диска вирус расшифровывает себя и передает управление подпрограмме заражения файла IO.SYS. Эта подпрограмма считывает первый boot-сектор винчестера (диск C), проверяет размер диска (не заражает диск, если он меньше 26M, т.е. используется 12-битная FAT), подсчитывает адрес корневого каталога, считывает его, проверяет атрибут первой записи корневого каталога и не заражает диск, если первая запись в корневом каталоге имеет атрибут VOLUME.
Если этот атрибут - не VOLUME, то вирус копирует в последние сектора диска файл, соответствующий первому входу (стандартно это IO.SYS) и сдвигает вниз на одну позицию все записи в корневом каталоге с 3-го по 77-й (последняя запись будет потеряна, так как она затирается предпоследней).
Затем вирус копирует системные данные из первой записи корневого каталога в третью и устанавливает в третьей записи адрес первого кластера файла на только что созданную копию IO.SYS. В результате в системе появляются два файла IO.SYS: на первый указывает первая запись в корневом каталоге, на второй - третья запись. Затем вирус записывает вместо первого IO.SYS свой код и ставит у этой записи атрибут VOLUME.
Корневой каталог до заражения:
size cluster attributes
IO SYS 40470 2 Arc R/O Sys Hid MSDOS SYS 38138 22 Arc R/O Sys Hid COMMAND COM 52928 41 Arc DOS 0 67 DIR AUTOEXECBAT 100 68 Arc CONFIG SYS 150 69 Arc
Зараженный корневой каталог:
size cluster attributes +----- VOLUME attr V IO SYS 40470 2 Arc R/O Sys Hid Vol <- вирус MSDOS SYS 38138 22 Arc R/O Sys Hid IO SYS 40470 16108 Arc <- первоначальный IO.SYS COMMAND COM 52928 41 Arc <- сдвинутые вниз входы DOS 0 67 DIR в корневой каталог AUTOEXECBAT 100 68 Arc CONFIG SYS 150 69 Arc
Все описанные выше манипуляции производятся вирусом через INT 13h, причем довольно тщательно: он проверяет диск на наличие свободных кластеров, аккуратно сохраняет все копии FAT и т.д.
Атрибут VOLUME у зараженного IO.SYS играет двоякую роль - идентификатора зараженного диска и "стелс" -функция вируса. Файл с атрибутом VOLUME не виден стандартными функциями DOS, такими, как FindFirst/Next, Open, Read, Close. Для того чтобы обнаружить этот файл и прочитать его содержимое требуются специальные утилиты чтения дисковых секторов (например, AVPUTIL или DiskEditor).
В результате описанной выше процедуры диск C: оказывается зараженным, однако ни MBR, ни boot-сектор не изменились. Изменен единственный объект - файл IO.SYS. При загрузке системы с пораженного винчестера все будет идти, как и на чистой системе (загрузка и выполнение MBR и boot-сектора) до момента запуска IO.SYS.
Стандартный загрузчик DOS сравнивает имена первых двух входов в корневой каталог со строками IO.SYS и MSDOS.SYS (или эквивалентными строками). Загрузчик ищет строки, но не проверяет атрибуты обнаруженных входов в каталоге. В результате загрузчик найдет в первом входе строку IO.SYS, загрузит соответствующий файл (вирус) в память и передаст ему управление.
При загрузке с зараженного диска процедура инсталляции, получив управление, перехватывает INT 13h и оставляет вирус в памяти стандартным способом, уменьшая размер системной памяти (слово по адресу 0000:0413). При вызове INT 13h вирус обрабатывает обращения к флоппи-дискам и заражает их. Он сохранает свое продолжение и первоначальный boot-сектор в последних секторах корневого каталога дискеты и записывает свой инсталлятор вместо boot-сектора, предварительно зашифровав его при помощи полиморфик -алгоритма.
В августе при загрузке с зараженного диска вирус расшифровывает и выдает сообщение:
B BOOT CEKTOPE - 3APA3A
С формальной точки зрения этот вирус не является стелс-вирусом, однако процедура его обнаружения и лечения на винчестере довольно трудна. Зараженный IO.SYS не виден стандартными функциями DOS и может быть обнаружен только вызовами через INT 13h/25h. Зараженный файл невозможно также ни удалить, ни переименовать. Единственный способ обнаружить вирус из DOS - это команда LABEL, при ее вызове DOS отвечает:
Volume in drive C is IO SYS
На попытку изменения метки диска DOS реагирует сообщением:
Cannot make directory entry
Невозможно также вылечить диск утилитой SYS, поскольку она заменит только вторую копию IO.SYS, не затронув вируса. Более того, диск станет незагружаемым, поскольку вирус считывает зараженный IO.SYS по абсолютным адресам, сохраненным при заражении диска, а при команде SYS этот файл будет (скорее всего) помещен на новое место.
3APA3A.b
3nop
8ball
INSTALL=C:\<filename>
Таким образом при загрузке с пораженного диска C: вирус получает управление из файла CONFIG.SYS. После заражения файла CONFIG.SYS он восстанавливает INT 21h, этим удаляя себя из памяти.
Вирус использует антиотладочные приемы, что-то делает с портами клавиатуры, содержит строки:
PK INSTALL=C:\ c:\config.sys 8_Ball -=Q=-
Alar, семейство
Остаются резидентно как при загрузке с MBR, так и при запуске зараженных файлов. Перехватывают INT 21h для заражения и стелс; INT 13h для стелс и перехвата INT 21h при загрузке с зараженного MBR; INT 17h - меняют какие-то символы при их печати; INT 1Ch - периодически "трясут" экран и проверяют CRC кода своего перехватчика INT 21h. При заражении MBR временно перехватывают INT 10h, 16h (видео и клавиатура), видимо, пытаются "одурачить" встроенную в BIOS защиту от записи.
Вирусы перехватывают ввод с командной строки и при вводе текста "stop creeping" блокируют свои процедуры заражения и стелс, при вводе "do it right now" стирают CMOS, при вводе "tell me your version" выводят на экран текст:
"Alar.4270":
Alar Abaddon virus. Version 1.2 (peaceful) Created by G..... A..... (C) 05/29/97
"Alar.4625":
Alar Abaddon virus. Version 2.0 (peaceful) Created by G..... A..... (C) 07/06/97
Проверяют CRC кода своего обработчика INT 21h и, если CRC не совпадает (код вируса модифицирован, например, при лечении), выводят текст и завешивает компьютер:
Не занимайтесь самолечением, друг мой !
При запуске под старыми версиями DOS выводят текст:
Invalid parameter missing
Alfa.3072
Alla, семейство
Alla 1.0 Wild W0rker /RSA
Anthrax
ANTHRAX (c) Damage, Inc
Arianna, семейство
"Arianna.3076" является файловым вирусом - заражает COM и EXE файлы и не заражает MBR винчестера.
Вирусы содержат строки:
"Arianna.2864":
"ARIANNA VIRUS"HAS DONE A RECOVERABLE DAMAGE GOOD LUCK FRIEND !! +--------------------------------------------+ | ARIANNA is changing your computer activity | | If you wish no damage do not turn it off | | ThanX for diffusion ! | +--------------------------------------------+ Coded in Bari thanX 2 DOS UNDOCUMENTED
"Arianna.3076":
Improved ARIANNA , waiting for ADVANCED 386 Bari @1995 by AV(ANTI)-VIRUS SYSTEM
"Arianna.3375":
Coded in BARI ThanX to DOS UNDOCUMENTED See you for a new virus release. Bye !
"Arianna.3375":
Coded in BARI ThanX to DOS UNDOCUMENTED Check the code to discover the virus name It is very easy ! Bye !!
Демонстрации вирусных эффектов:
ARIANNA.COM |
Arya.4616
Вирус записывается в середину COM- и EXE-файлов при обращениях к ним. При смене каталогов и удалении файлов вирус ищет COM- и EXE-файлы и также заражает их. После заражения вирус удаляет файлы CHKLIST.MS, если таковой присутствует. Вирус не заражает файлы:
CHKDSK.*, COMMAND.COM, EMM386.*, POWER.* INTERLNK.*, MCA.*, MSCDEX.*, SHARE.*, CERT.*, TOOLKIT.*, GUARDMEM.*, GUARD.*, SCAN.*, CLEAN.*, FINDVIRU.*, FV*.*, TB*.*, CLEANPAR.*, CLEANBOO.*, VSAFE.*, MSAV.*, NAV.*, VALIDATE.*, VSHIELD.*, VIVERIFY.*, IMENSCAN.*, TAROMAR.*
В зависимости от системной даты выводит текст:
Arya V1.0 This is the most Powerfull and Technical Iranian program ... Azad University of Lahijan . Sig: - 17FSAK - ( 1996 )
Начиная с июня по 13-м числам записывает тот же текст в начало файлов .DBF, .ZIP, .LZH, .GIF, .DAT, PCX и .GN. Подсчитывает CRC-сумму своего кода и стирает CMOS, если эта сумма неверна. Содержит ошибки и в некоторых случаях завешивает компьютер.
AT-Corp, семейство
"AT-Corp.321" заражает также MBR винчестера. Остается резидентно в памяти только при загрузке с зараженого MBR.
Содержат строки:
"AT-Corp.321": (c)AT Corp. 1995 "AT-Corp.363": (c) AT Corp. 1994
Australian.1024
GOTTERDAMERUNG: Silicon Valley: The Next Golgotha Hey PuKE keep up or fall behind
Также содержит строку:
Dрrk ЯНсюr [AIH]
"Australian.1024.b" содержит строку-идентификатор "AP".
Autumnal.3072
При обращении к файлам DOS-функциями Exec, Open, Rename, FindFirst/Next FCB и ASCII вирус заражает их. При обращениях в зараженной MBR вирус исполняет стелс-подпрограмму. При загрузке зараженного файла под отладчиком вирус лечит файл. Если при этом возникает ошибка, то он выводит сообщение:
Error in File
Вирус использует антиотладочные приемы. 13-го июля вирус уничтожает файлы вместо их заражения.
Вирус также содержит строки:
Ver 4.00 (C)Copyright Autumnal Water Corp. 1991
Blah, семейство
Blah virus (DA/PS)
При заражении MBR вирус записывается в первые четыре сектора винчестера, четвертый сектор содержит первоначальную MBR. При заражении BAT-файлов вирус записывается в их начало, сдвигая первоначальный текст на 3385 байт вниз. При этом кодирует себя каким-то алгоритмом, преобразующим HEX-код вируса в ASCII-строки, и записывает результат кодировки и служебные строки в начало BAT-файлов (текст между '[' и ']' является комментарием):
@echo [ HEX код ] >|.com @echo [ HEX код ] >>|.com @echo [ ASCII текст ] >>|.com @echo [ ASCII текст ] >>|.com [ повтор ... ] @echo [ ASCII текст ] >>|.com @if %0. == . | @| @del |.com @if %0. == . autoexec @%0
HEX-код содержит декодировщик ASCII->BIN, строки ASCII-текста содержат основное тело вируса, преобразованное в ASCII (подобно UUencode/XXencode).
При запуске такого BAT-файла его команды создают файл є.COM , в который записывается код декодера ASCII->BIN и закодированное тело вируса. Затем этот COM-файл запускается, его код декодирует тело вируса из ASCII в HEX, и управление передается на декодированный участок (основное тело вируса), который заражает оперативную память (перехватываются INT 13h, 21h) и возвращает управление BAT-файлу. BAT-файл затем уничтожает файл є.COM и запускает себя повторно. При повторном запуске BAT-файл проходит через "стелс"-фильтр (код вируса не получает управления) и выполняется в своем первоначальном виде.
Вирус обращает особое внимание на файл AUTOEXEC.BAT, так как это единственный BAT-файл имя которого недоступно по команде "%0": при первом запуске AUTOEXEC.BAT (при загрузке системы) команда "%0" не содержит имени запущенного файла.
При выполнении основного тела (декодированного из ASCII) вирус проверяет в памяти наличие уже загруженной TSR-копии вызовом "Ты здесь?" (INT 21h, AH=62h, DX=F904h), а затем передает управление на процедуру инсталляции (эта же процедура выполняется при загрузке с зараженной MBR). При инсталляции вирус уменьшает размер оперативной памяти (слово по адресу 0000:0413), копирует себя в "отрезанный" блок памяти, перехватывает INT 13h, 21h и передает управление процедуре заражения MBR.
Обработчик INT 21h вируса перехватывает пять функций:
AH=11h/12h (FindFirst/Next FCB / DIR command) - вирус "уменьшает" длины файлов.
AX=3D00h (Open file) - при обращении к BAT-файлам заражает их: кодирует сабя в ASCII и записывает в начало файла.
AH=3Fh (Read) - вызывает "стелс"-процедуру.
AH=62h (Get PSP) - вызов "Ты здесь?". При этом вызове вирус выключает все процедуры заражения и "стелс" (INT 13h/21h). Зачем это сделано - непонятно, так как "стелс"-процедуры не позволяют коду вируса быть исполненным дважды.
Обработчик INT 13h вируса перехватывает функции чтения/записи (AH=2/3) и вызывает процедуры заражения винчестера и "стелс".
"Blah.3385" содержит ошибку: маркер загрузочного сектора (слово 55AAh) расположен в теле вируса со смещением 01FFh вместо 01FEh (ошибка всего на один байт). По этой причине загрузка с зараженного MBR приводит к выдаче сообщения об ошибке, а диски винчестера оказываются недоступными. В результате вирус работает только до первой перезагрузки.
Bootache
COMSPEC=\COMMAND.COM COMEXEOVLSYS *YAM* Your PC has a bootache! - Get some medicine! Ontario-3 by Death Angel
BootCOM, семейство
BootCOM.357
BootCOM.Peanut
BootCOM.PureText
PURE TEXT
Senda.4162
- Senda, dedicated to my love PL -
Kuarahy.4608
Не заражает COMMAND.COM и антивирусы: SCAN, NAV, F-PROT, GUARD, FINDVIRU, TOOLKIT, AVP. Уничтожает файлы данных: ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, AVP.CRC.
По 31-м числам выводит текст:
[KUARAHY by Int13h] - Written in the Republic of Paraguay - Please register!
Также содержит строки:
[KUARAHY] Koa ha'e Int13h/iKx rembiapokuВ hina! :)
HOMO иSAPIENS? HAHAHA!
DOS Infection Device Learn some guaranб words!:Kuarahy=Sun Aда=Devil Kuда=Woman execomsysobjbatovlarj
E-mail me: Int13h@antisocial.com
PARAGUAY WORLD CUP '98
Rohaihг Paraguay!
Демонстрации вирусных эффектов:
KUARAHY.COM |
Ramones
Заражает также EXE-файлы: при обращениях к ним записывается в их заголовок. При запуске такие файлы заражают MBR винчестера, выводят сообщение и возвращают управление DOS:
Incorrect DOS Version.
Вирус также содержит текст:
[RamonesMania] by Evil One.
Idie.3520
В зависимости от своих счетчиков выводит сообщения:
I Never Forget K.Z.M.F Group !!! I Die For Beautiful Girls !!!
GK.7697
Перехватывает INT 13h, 21h, 29h. При инсталляции в системную память и при заражении файлов использует несколько достаточно сложных приемов: трассирует цепочки векторов прерываний, правит ядро DOS, использует недокументированные таблицы DOS. В этих процедурах содержит ошибки и в некоторых случаях завешивает компьютер.
Заражает MBR винчестера только при запуске зараженного файла в DOS-окне под MS Windows. Перехватывает INT 13h и заражает дискеты только после загрузки с зараженного винчестера. При заражении первоначальный MBR сохраняет во втором секторе диска, а загрузочный сектор дискет - на дополнительно отформатированном 80-м треке дискеты. При заражении MBR портит таблицу разбиения диска, по этой причине логические диски винчестера недоступны при загрузке с чистой дискеты или после удаления кода вируса при помощи FDISK/MBR.
Вирус содержит строку:
Unknown (c) 1997 G.K. Poland
Samara.1536
При загрузке с инфицированного MBR вирус перехватывает INT 13h, ждет загрузки DOS и затем перехватывает INT 21h. При загрузке с boot-сектора дискеты вирус плюс к вышесказанному заражает MBR.
При заражении MBR и boot-секторов не сохраняет их оригиналы. Для сохранения работоспособности системы вирус при загрузке с зараженного диска самостоятельно считывает и запускает на выполнение первый логический сектор диска C:, который содержит загрузочный код операционной системы.
Tiso, семейство
Периодически расшифровывают и выводят текст:
Nech zije Jozef Tiso, prvy slovensky prezident !
Демонстрации вирусных эффектов:
TISO.COM |
TPK.2083
Перехватывает INT 13h для того, чтобы заражать boot-сектора дисков зарузочными вирусами (эти boot-вирусы затем не заражают файлы). Основное тело вируса содержит два варианта boot-вирусов ("TPK.Anti-Form" и "TPK.Anti-Stoned"), однако дискеты заражаются только вторым вариантом.
Загрузочные вирусы заражают только диски уже зараженные вирусами "Form.a" (первый вариант) или "Stoned.a" (второй вариант). При загрузке эти вирусы перехватывают INT 13h и затем записывают себя вместо "Form.a" и "Stoned.a", если таковые диски будут обнаружены.
Если при загрузке системы одновременно нажаты клавиши левый и правый Alt одновременно с Ctrl, то вирусы выводят тексты:
"TPK.Anti-Form":
No FORM By The PC Knight [TPK] UK :-) --- FORM-Virus Deleted from disk ---
"TPK.Anti-Stoned":
No Stoned By The PC Knight [TPK] UK :-) --- Stoned Virus Deleted from disk ---
TPVO.3464
При заражении диска вирус записывает свой код в последние сектора винчестера или форматирует дополнительный трек на дискете. При форматировании дискеты допускает ошибку и не работает со многими контроллерами.
Проверяет имена файлов и выключает часть своих стелс-функций при запуске:
PKZIP ARJ RAR LHA TELIX BACKUP MSBACKUP CPBACKUP CHKDSK
При запуске некоторых антивирусов (включая AVP) добавляет к командной строке опцию "не тестировать память". В результате командная строка:
AVP C:
переводится вирусом в:
AVP C: /M
и AVP не тестирует системную память. Список присутствующих в теле вируса антивирусов и соответствующих опций:
vtsc vthu pvsc pvcl tbscan f-pr scan avp /i co nm /nomem /m
Через два месяца после заражения винчестера вирус перехватывает INT 10h, 1Ch и "переворачивает" экран (см."Flip ). Вирус содержит строки:
HI! This is [TPVO] virus was written by Dark Slayer in Keelung, Taiwan. keep in mind... The TPVO is "Taiwan Power Virus Organization"
Traka.1471
[TRAkA-TRAkA]/ARGENTiNA
Ugly, семейство
COMMAND.COM, GDI.EXE, DOSX.EXE, WIN386.EXE, KRNL286.EXE, KRNL386.EXE, USER.EXE, WSWAP.EXE, CHKDSK.EXE
При обращении к дискетам записываются в их boot-сектор. В зависимости от своих внутренних счетчиков и под отладчиком стирают CMOS и сектора винчестера.
Используют оригинальный алгоритм: остаются в памяти зараженной системы при "горячей" или "холодной" перезагрузке с чистой DOS-дискеты. Для этого вирус запоминает значения CMOS, соответствующие параметрам установленных в системе дискет, и стирает эти значения (т.е. выключает флоппи-диски). При обращении к дискам вирус временно восстанавливает CMOS, а затем опять стирает параметры дискет. При загрузке система не находит флоппи-дисков и грузится с винчестера, при этом вирус получает управление, заражает память и затем передает управление boot-сектору с флоппи-диска. В результате вирус остается резидентным в памяти при загрузке с чистой DOS-дискеты.
Uranus.2048
Проверяет имена файлов - сравнивает два последних символа имени файла с парами символов из строки:
ANOT86AVVPUSILEDOPNDLPGRPLRKYRRE
и не заражает их. Такими файлами являются несколько антивирусов и утилит: SCAN, F-PROT, KRNL386, NAV, AVP, FINDVIRUS, MSMAIL и т.д.
Также содержит строку:
Sailor_Uranus
USTC.7680
При заражении MBR записывает ее в 16-й сектор первого трека, свой код записывает в MBR и последующие сектора (до 16-го). При заражении файлов записывает в них несколько блоков-пустышек. Делает это методом, похожим на "OneHalf" , но использует при этом более сложный полиморфик-механизм. В этих пустышках также используются антиотладочные приемы.
При запуске зараженного файла вирус расшифровывает себя, заражает MBR, перехватывает INT 13h, 21h и остается резидентно в памяти. При загрузке с зараженной MBR вирус перехватывает INT 8, 13h, ждет некоторое время (пропускает загрузку DOS) и перехватывает INT 21h.
При помощи перехвата INT 13h вирус реализует стелс-процедуру, скрывающую зараженный MBR-сектор. Перехватом INT 21h вирус определяет файлы, которые копируются или модифицируются, и заражает их (в результате обходит антивирусные CRC-ревизоры). По причине ошибки (не проверяет расширения имен файлов - COM/EXE) вирус заражает не только в программы, но и файлы данных.
В зависимости от своего счетчика загрузок с зараженной MBR останавливает загрузку и ждет введа строки "CAPSL". Содержит текст:
3.0 1996.10 USTC
V.1253
V.1526
При запуске файлов заражает их. При вызове DOS-функции GetDiskSpace ищет выполняемые файлы в текущем каталоге и также заражает их.
V.1536
Vecna
Out of memory.
и возвращает управление DOS. При загрузке с диска перехватывает INT 13h, остается резидентно в памяти и заражает дискеты и EXE-файлы на дискетах.
Под отладчиком и на Pentium-компьютерах выводит текст:
Vecna Live ...
Имеет довольно серьезную ошибку - может вернуть управление оригинальному обработчику INT 13h с испорченным содержимым регистра AX, что может привести к потере данных на диске и даже к его форматированию.
Vecna.Outsider
Через три месяца после заражения компьютера или под отладчиком портит CMOS (устанавливает пароль?) и выводит текст:
[OUTSIDER] Esta В minha vinganЗa contra esta sociedade injusta E eu ainda n|o estou satisfeito Espere e ver|o...
Также содержит строку:
Written by Vecna/SGWW in Brazil 1997
Vecna.Tron
[ORGASMATRON] by Vecna/SGWW in Brazil 1997
Для перехвата INT 13h использует отладочный режим и регистры DR0, DR6, DR7 процессора i386. При помощи этих регистров вирус устанавливает точку останова на системный обработчик INT 13h в BIOS. Когда управление передается на этот обработчик, процессор генерирует прерывание INT 1 и управление передается на код вируса. Вирус проверяет регистры, при необходимости вызывает процедуры заражения и стелс, выключает отладку и возвращает управление обработчику INT 13h в BIOS. Для того, чтобы восстановить точку останова и перехват INT 1 вирус использует вызовы INT 8 (таймер).
VLAD (файлово-загрузочные)
VLAD.Fame.842
FAME by Quantum / VLAD
VLAD.Hemlock.3183
При нажатии на Alt-Ctrl-Del эмулирует перезагрузку, оставаясь при этом в памяти. При запуске некоторых программ выключает стелс-алгоритм. Содержит строки:
TBSCAN WIN CHKDSK PKZIP ARJ NDD SCANDISK LHA co nm /d:f Hemlock by [qark/VLAD] OSDATA
VLAD.MegaStealth
[MegaStealth] by qark/VLAD
Yang.2528
Cancer -- Version 1.0 by Mr. Yang Sep/1990... Hard disk has been demaged !!! You can cure hard disk if you has a good Doctor ! I wish you luck ! Ha! Ha! Ha!
I am tired. Please give me a rest.
Yosha (файлово-загрузочные)
Yosha.440
ELDOB1X by Yosha/DC
Yosha.512
При заражении файла записывается в 512 байт его заголовка, а первоначальный заголовок сохраняет в случайно выбранном секторе на диске. Вирус сохраняет в EXE-заголовке адрес этого сектора и при обращениях к зараженным EXE-файлам считывает с диска и подставляет в буфер чтения/записи первоначальный EXE-заговок. Таким образом вирус реализует 100%-й стелс-алгоритм, но портит при этом данные в случайно выбранных на диске секторах.
Yosha.Novacane
NovaCane by Yosha/DC
ZhengZhou, семейство
"ZhengZhou.3584.b" не заражает файлы SCAN.EXE и CLEAN.EXE, уничтожает файл WMSET.COM.
В зависимости от своего "поколения" вирусы стирают сектора винчестера. Под отладчиком "ZhengZhou.3584.a" пытается (безуспешно) форматировать винчестер, при этом выводит текст:
Do not turn OFF the computer when WOLF is working ! Insert DOS diskette in drive A: Strike any key when ready ...
Вирусы также содержат строки:
"ZhengZhou.3584.a":
Zheng Zhou, China. 1993 Thank for your helping, Good-bye !
"ZhengZhou.3584.b":
wolf
Prowler.1727
При загрузке с зараженного диска 13-го числа любого месяца проявляется видео-эффектом и выводит текст:
I am +he Midnigh+ Pr0wler, s0n 0f +he m00n And I am the child 0f +he ?? genera+i0n....
где ?? является номером поколения вируса.
Демонстрации вирусных эффектов:
PROWLER.COM |
Shimmer, семейство
Метод заражения BAT-файлов практически полностью совпадает с вирусом "Winstart" . Вирусы "Shimmer" создают файл WINSTART.BAT в каталоге C:\WINDOWS и записывают свой код в этот файл. При запуске BAT-файла вирусы создают INSTALL.EXE файл, содержащий инсталлятор вируса, и запускают этот файл. При запуске вирус перехватывает INT 2Fh, 40h и записывается в boot-сектора дискет при обращении к ним.
При загрузке с пораженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, перехватывают INT 21h и при первом вызове INT 21h создают файл-червь C:\WINDOWS\WINSTART.BAT. Затем вирусы удаляют себя из памяти.
Вирусы содержат ошибки и могут завешивать систему. "Shimmer.b" выводит в COM-порт строку "ATM0L0S0=1O1". Вирусы содержат строки:
"Shimmer.a"
:yt @echo.PKX>install.exe @copy/b install.exe+%0.bat>nul @install.exe c:\windows\winstart.bat New Shimmer
"Shimmer.b"
:y~ATM0L0S0=1O1 @ECHO PKX>INSTALL.EXE @COPY/B INSTALL.EXE+%0.BAT>NUL @INSTALL.EXE C:\WINDOWS\WINSTART.BAT
Shrapnel.6067
При запуске зараженного файла проверяет наличие Windows. Если вирус запущен под Windows, то он ищет EXE-файлы в текущем каталоге и заражает их. Затем он записывается в MBR винчестера. Под Windows вирус для записи на винчестер использует прямые вызовы портов диска. Затем вирус возвращает управление программе-носителю.
При загрузке с диска вирус перехватывает INT 13h, 1Ch, ждет загрузки DOS, перехватывает INT 21h и затем заражает запускаемые файлы. Если запущен архиватор PKZIP или ARJ, вирус выключает свой стелс-механизм. Не заражает некоторые программы (антивирусы, утилиты и т.п.) - TBAV, COMMAND, WIN, SCAN, AVP, F-PROT, NAV и др. в соответствии со строкой (по два символа на имя):
TBCOWISCVIAVVAF-NAVSIVFIFVIMQBMSDODESW
В зависимости от своих счетчиков создает на диске подкаталог SHRAPNEL. Уничтожает файл:
C:\WINDOWS\SYSTEM\IOSUBSYS\HSFLOP.PDR
Помимо перечисленных выше содержит строки:
SHRAPNEL v1.0 by PH Made in the USA *.EXE
Smile
Демонстрации вирусных эффектов:
SMILE.CO |
SMILE.COM |
Snafu
Sphinx.2751
Bonjour, je suis le SPHINX de la lВgende. Tu veux jouer avec moi ? Mauvaise rВponse... Bonne rВponse... Tant pis, tu jouras quand mИme... Qui marche Е quatres pattes le matin , Е deux pattes le midi et sur trois pattes le soir ? Donne la rВponse en cinq lettres :
ждет ввода строки "homme" и портит сектора дисков.
Starship
Вирус записывается в конец файлов, используя при этом полиморфик-алгоритм. При заражении диска располагается в самых последних секторах диска и устанавливает в таблице разбиения диска (Disk Partition Table) новый адрес активного загрузочного сектора: вместо "настоящего" активного boot-сектора таблица указывает на код вируса. Код и расположение MBR и активного boot-сектора остаются без изменений, за исключением трех байт в Disk Partition Table, которые указывают на активный boot-сектор. При обращении к исправленной MBR и последним секторам диска использует "стелс"-механизм.
Вирус инфицирует память при загрузке с зараженного диска. Часть своей TSR-копии помещает в таблице векторов (0000:02С0), области данных BIOS (0000:04B0), а основной участок кода - в видеопамяти (BB00:0050). Затем перехватывает INT 13h, 20h, 21h, 27h.
После загрузки операционной системы вирус следит за запуском и завершением программ. Если программа при завершении выгружается из памяти (Exit - INT 20h, INT 21h и AH=0 или 4Ch), то вирус перемещает свой код из видеопамяти в область, занятую выгружаемой программой. Если программа остается резидентной (Keep - INT 27h, INT 21 и AH=31h), то "прикрепляет" свой код к этой программе. Если часть вируса, размещенная в видеопамяти, испорчена, то вирус заново считывает испорченный код с диска (самовосстановление вируса).
В зависимости от своих счетчиков при обращении к дискам вирус проявляется "писком морзянки" и выводит "звезды" на экран. Содержит строку:
>STARSHIP_1<
Демонстрации вирусных эффектов:
STARSHIP.COM |
SVC.4644,4661,4677
"SVC.4644,4677": /* (c) 1990-91 by SVC, Vers. 6.0 */ "SVC.4661": /* (c) 1990-91 by Moscow SVC, Vers. 6.0 */
TeaForTwo.1024
T42 Tea for two !
Telefonica, семейство
(C) 1990 Grupo HOLOKAUSTO (Barcelona, Spain) Kampaдa Anti-TELEFONICA: Mejor servicio, Menores tarifas...
Virus Anti - C.T.N.E. (c)1990 Grupo Holokausto. Kampanya Anti-Telefonica. Menos tarifas y mas servicio. Programmed in Barcelona (Spain). 23-8-90. - 666 -
Часть вируса, записываемая в MBR в дальнейшем поражает только сектора дисков и внедряться в файлы не в состоянии. При 190h-й загрузке с зараженного диска вирус стирает информацию на нем и выводит текст:
Campaдa Anti-TELEFONICA (Barcelona)
Tequila, семейство
Оперативную память инфицируют только при загрузке с зараженной MBR. Перехватывают INT 13h, 1Ch, 21h. В зависимости от своих внутренних счетчиков выводят на экран разноцветную картинку (Mandelbrot fractal set) и фразу:
Execute: mov ax, FE03 / int 21. Key to go on!
Если выполнить рекомендуемое действие, то на экране появится текст:
Welcome to T.TEQUILA's latest production. Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland. Loving thoughts to L.I.N.D.A BEER and TEQUILA forever !
Tequila.5volt
This is a beta version of the '-5 Volt' virus. A final and error free one will never follow because I've got enough of viruses. Now a message to the programmers of Turbo Anti Virus: You do a dangerous play with INT 21h in your TSAFE utility. It took me quite a long time to make the virus compatible with TSAFE. Please use clean programming technics in your next version. Today it's a Saturday and a big party with a lot of TEQUILA takes place! Wow!! Greetings to the U.S. Army in Iraq.
Демонстрации вирусных эффектов:
TEQUILA.COM |
Terminator.3490
Пытается заразить также и boot-сектора дисков, но содержит ошибку и заражения не происходит. Содержит в себе строки:
THE TERMINATOR TERMINATED COMMAND.COM
Non-system disk or disk error Replace and strike any key when ready Disk boot failure
The TERMINATOR -- Boot virus version. Released 15 May 5-15-91, 7.15 pm
.COM .EXE
The TERMINATOR -- Full virus version. Released 15 May 5-15-91, 7.15 pm
Theta, семейство
Paz.2560
PAZ, por favor.
Pieck.2016
3-го марта выводит сообщение: "Podaj haslo ?", ждет ввода с клавиатуры и, если введено слово "pieck", выводит текст "Pozdrowienia dla wychowankow Pieck'a.", в противном случае выводит: "Blad !".
Plagiarist
При загрузке с зараженного диска вирус перехватывает INT 8, ждет некоторое время, затем перехватывает INT 28h, ждет первого вызова INT 28h, перехватывает INT 21h и затем записывается в конец .COM-файлов (кроме COMMAND.COM) при их запуске.
После 175 загрузок с одного и того же зараженного диска перехватывает также INT 17h и при печати заменяет строку "Andy Warhol" на "Ron English".
Playgame, семейство
[ MK / TridenT ]
В декабре стартуют игру, во время которой выводят сообщения:
HAPPY VIRUS Time to play a game (Use shift keys) You reached level Play again?
Демонстрации вирусных эффектов:
PLAYGAME.COM |
Predator (файлово-загрузочные)
THE PREDATOR TORPNACSAELCFASVVAPC.VANOCED
Последняя строка содержит части имен файлов (задом наперед), которые не поражаются вирусом: *PROT, SCAN, CLEA*, VSAF, CPAV, NAV, DECO.
Также содержат строки:
"Predator.2248": Predator virus #2 (c) 1993 Priest - Phalcon/Skism "Predator.2424": Predator virus #2 (c) 1993 Here comes the Predator!
PresidentB.1504
** President B ][ **
Printerceptor
Printerceptor
QPHS.2931
При загрузке с зараженного диска вирус перехватывает INT 8,9,12h,13h, ждет загрузки DOS, а затем перехватывает INT 21h. Вирус использует INT 12h для того, чтобы замаскировать себя в памяти при загрузке DOS.
При вызовах INT 21h вирус перехватывает запуск, открытие и поиск COM- и EXE-файлов. Вирус записывается в конец COM- и EXE-файлов при обращениях к ним на дисках A: и B: и лечит зараженные файлы на остальных дисках.
Вирус обращает особое внимание на запуск программ LOGIN.EXE: сохраняет командную строку и символы, вводимые с клавиатуры при запуске LOGIN.EXE и таким образом получает доступ к именам и паролям пользователей сети.
Вирус перехватывает ввод с клавиатуры. Если введена строка "QPHS", то вирус выводит на экран строки, перехваченные при запуске LOGIN.EXE. Если введена строка "PERFECT", то вирус удаляет себя из MBR.
Raiden.1433
В некоторых случаях (в зависимости от командной строки) лечит файл-носитель. При вызове INT 4Fh AX=666h выводит текст:
+---------------------------------------+ | MBR VIRUS V.01 NECROSOFT CORPORATION | | WRITEN BY RAIDEN COPYRIGHT (C) 1996 | +---------------------------------------+
Rainbow, семейство
HiAnMiT - roy g biv *4U2NV* 04/12/94
Rajaat.518
[Andropinis] by Rajaat
Rasek, семейство
Прерывание INT 21h используется вирусом для заражения COM- и EXE-файлов при их запуске, вирус записывается в конец файлов. В теле вируса содержится строка "AND.COM", вирус ищет эту строку в имени файла и не поражает такие файлы (COMMAND.COM). В теле вирусов также содержится и другие строки:
"Rasek.1310": RASEK v1.1,from LA CORUеA(SPAIN).Jan93 "Rasek.1489": RaseK v2.1,from LA CORUеA(SPAIN).Mar93 "Rasek.1489.b": пRASEKо v3.0,from La Coruдa(SPAIN).Ap93 "Rasek.1490": RaseK v2.0,from LA CORUеA(SPAIN).Mar93 "Rasek.1492": пRаseKо v3.1,from La Coruдa(SPAIN).Ap93
Renegade, семейство
Renegade.1176
(C) Renegade 1994. Hello Hacker`s !!!
Renegade.4509
WEB AIDS ADINF HIEW CHKDSK SCAN VSAFE MSAV CLEAN -V
Вирус записывается также в MBR винчестера.
Проявляется различными способами: портит файлы, вызывает какие-то видео-эффекты, выводит тексты:
Say THANKS to lovely Dr.Web for damage this file...
Please wait ...Hey , LAMER ! Are you all right ?.. Not so good ?..Oh, don't be afraid my little baby ,angry wolf if far away !...... bUt I aM sTiLL HeRe ! AnD i Am HuNGRrry ! Aaarrrgghhh !... YoU iS _fOxPro or pAsCAL_pROGraMmeR , iSn't It ?... Oogghh , YeEsss ! I WaNt to EaT YoU NoWww ! NoW YoU WiLL bEcOme ViCTiM of HACKER's REVENGE !
Вирус также содержит текст:
(C) Renegade 1995.
Rex.1637
REX *.com *.exe
Riot файлово-загрузочные
(c) Metal Militia/Immortal Riot
Mity.1982
При занрузке с пораженного диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем заражает запускаемый COM- и EXE-файлы. Вирус записывается в начало COM- и середину EXE-файлов.
В зависимости от своих счетчиков выводит картинку:
#### #### ######## ########## ### ### ###### ###### ######## ########## ##### ##### ############### #### #### ######### #### ### #### #### #### #### #### #### #### #### ##### #### #### #### #### #####
Демонстрации вирусных эффектов:
MITY.COM |
MJ.1513
При старте .COM-файла вирус устанавливает в памяти свою TSR-копию, выдает сообщение "Bad command or file name" и возвращается в DOS. На 100-й загрузке с пораженного винчестера стирает его первые 16 секторов. При каждом 256-м считывании с диска (INT 13h) подставляет в считанный блок по адресу C8h слово "mj". Перехватывает INT 13h, 1Ch, 21h.
Mul.452
MzBoot.464
Narcosis.1431
[Narcosis] (c) 1994 Evil Avatar
Natas, семейство
"Natas.4744,4746": Natas "Natas.4766": Keep my flesh free from sin "Natas.4774": Time has come to pay (c)1994 NEVER-1 "Natas.4786": Time has come to pay (c)1994 NEVER-1 SANDRINE B. "Natas.4988":
Yes I know my enemies They're the teatchers who taught me to fight me Compromise, conformity, assimilation, submission Ignorance, hypocrisy, brutality, the elite All of whitch are American dreams (c) 1994 by Never-1(Belgium Most Hated) Sandrine B.
Natas.4926
SEXY ATHEN ##@ FoeTuS 5.xx BeTa @##
Neurobasher, семейство
Через три месяца после заражения системы вирусы выводят текст:
"Neurobasher.a": <HAVOC> by Neurobasher'93/Germany - GRIPPED BY FEAR - UNTIL DEATH US DO PART !
"Neurobasher.b": <HAVOC> by Neurobasher'93/Germany ДGRIPPEDДBYДFEARДUNTILДDEATHДUSДDOДPARTД
NexivDer.3888
При запуске зараженного файла вирус записывается в boot-сектор диска C: и возвращается в DOS. Boot-сектор диска C: также заражается при загрузке с зараженной дискеты. При загрузке с зараженного винчестера или флоппи-диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в boot-сектора дискет при обращении к ним и в конец COM-файлов при их запуске.
Вирус использует довольно сложный механизм при заражении COM-файлов: считывает 20h байт из начала файла (заодно проверяет, что формат файла не является EXE), перехватывает INT 3, INT 13h (еще одна процедура перехвата INT 13h) и отдает управление первоначальному обработчику INT 21h. Затем ждет момента загрузки файла (сравнивает считываемые по INT 13h сектора с 20h байтами заголовка файла) и записывает вместо первого байта запускаемого кода команду CCh (вызов INT 3).
Таким образом, при запуске файла первой командой идет вызов INT 3, вирус перехватывает его, восстанавливает этот первый байт, перехватывает INT 1 (трассировка) и затем трассирует файл. При трассировке вирус пропускает 256 или более выполняемых команд, затем ждет команду JMP или CALL и записывает вместо нее команду перехода на тело вируса. Затем шифрует себя и записывает в конец файла.
В результате вирус записывает команду перехода на себя в середину файла, а заголовок файла не изменяется.
При заражении файлов вирус проверяет различные условия, чтобы не испортить файл, однако в некоторых случаях файл все равно оказывается испорченным. В результате ошибки при заражении boot-сектора диска C: вирус стирает на нем системную информацию, если число секторов на треке меньше 21.
Более никак не проявляется, содержит строку:
Nexiv_Der takes on your files
NTMY.1722
В зависимости от своего внутреннего счетчика вирус перехватывает также INT 8, 14h, 17h и заменяет символы 'a' и 'A' на пробел при печати и при выводе в COM-порты. Периодически вирус стирает символы 'a' и 'A' на экране.
Вирус содержит строки:
^^^^^^^^^^^^^^^^ NICE TO MEET YOU -=VIRUS=- V 3.0 (C) March 1991 ^^^^^^^^^^^^^^^^
Демонстрации вирусных эффектов:
NTMY.COM |
Nutcracker, семейство
Nutcracker.AB#
Заражение файлов в середину
Файл перед Зараженный заражением файл +----------+ +----------+ | | |jmp |---+ | | | | | |----------| |----------| | | |----+ |virus | | зашифрованное тело вируса |----------| | |----------| | | | | | | | | | | | | | | | | | | | +----------+ | |----------| | +-->|host code | | блок данных из середины файла |----------|<-+| |last loop | || циклы расшифровки |----------| || |.......... --+| |----------|<-+| |2nd loop | || |----------|<--+ |1st loop | | +----------+--+
Троянские SYS-файлы и заражение SYS-файлов
"Antarex.2620": по 12-м числам ежемесячно "AB2.2890": если вируса нет в памяти и в зависимости от системного таймера
Остальные "Nutcracker.AB2" заражают SYS-файлы обычным путем: записывают в конец файла целиком свой код (незаширофванный) и модифицируют SYS-заголовок. Зараженные SYS-файлы при их загрузке в память запускают код вируса.
Старшие версии "Nutcracker.AB2" шифруют свой код в SYS-файлах тем же образом, что и при заражении COM- и EXE-файлов.
Порча EXE-файлов и подкаталогов
В результате первый сектор больших EXE-файлов оказывается испорченным, и такие файлы, скорее всего, завесят систему при запуске на 'чистом' компьютере. Однако при наличии вируса в памяти эти файлы вполне работоспособны - вирус расшифровывает испорченные сектора 'на лету', и файлы запускаются без проблем.
Старшие версии "Nutcracker.AB2" шифруют вместо EXE-файлов сектора дисков, содержащие списки файлов в подкаталогах.
При лечении системной памяти AVP правит код вируса таким образом, что вирус начинает расшифровывать зашифрованные данные. То есть для восстановления зашифрованных данных необходимо вылечить вирус в памяти при помощи AVP и просканировать все файлы во всех подкаталогах без перезагрузки компьютера.
Строки текста
"Nutcracker.AB1": Dedicated to N.L.A. - my little baby. (c) by Kind Nutcracker(AB1) "Nutcracker.AB1.Antarex.a": ANTAREX C:*.* Run me, pleace! (c) by Nutcracker(AB1) "Nutcracker.AB1.Antarex.b": ANTAREX C:*.* (c) by Kind Nutcracker(AB1) "Nutcracker.AB2.2890": Nutcracker(AB2) "Nutcracker.AB2.3472": Universal Pathologic Device by Nutcracker(AB2) "Nutcracker.AB2.4540": Universal Pathologic Device by Nutcracker(AB2) the Sun is gone but I have a light... "Nutcracker.AB2.5375,5440":
This Universal Pathologic Device dedicated to Любовь Н. I hate the envy, the meanness, the riches, the trea, the bluntness, the ignorance, the lie, the servility, the mistrust and the hatred. Nutcracker(AB2)
"Nutcracker.AB2", старшие версии: Nutcracker(AB2): Welcome to the Hell "Nutcracker.AB2.6996": Nutcracker(AB2): lives forewer! "Nutcracker.AB3": Nutcracker(AB3) "Nutcracker.AB4": Sombre Nutcracker(AB4) "Nutcracker.AB5": Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes! Only the Hope dies last!.. "Nutcracker.AB6.a": Dreary Nutcracker(AB6) Lives C:*.* Любовь Н. "Nutcracker.AB6.b": Dreary Nutcracker(AB6) Lives Again C:*.* Любовь Н. "Nutcracker.AB6.c": Dreary Nutcracker(AB6) C:*.* Любовь Н. "Nutcracker.AB6.d": Dreary Nutcracker(AB6) lives forewer ! C:*.* Любовь Н. "Nutcracker.AB7": I'm Nutcracker(AB7)!
Nutcracker.AB0
При загрузке с зараженного диска вирус перехватывает INT 8, 15h, 40h, ждет загрузки DOS, временно перехватывает INT 21h, ждет выполнения любой программы и затем копирует свой код в UMB (если такая память присутствует) или добавляет к последнему блоку обычной DOS-памяти. Для того чтобы перехватить INT 15h вирус правит код ядра DOS: записывает туда вызов INT 7Eh и перехватывает INT 7Eh (т.е. INT 15h). Перехватив INT 15h, вирус контролирует внутренние вызовы BIOS при обращениях к клавиатуре (ждет нажатия Alt-Ctrl-Del) и к дискам (вызывает стелс-программу).
Проявляется несколькими способами. При нажатии на Alt-Ctrl-Del вирус в зависимости от своих флагов и системного таймера стирает сектора винчестера. В зависимости от системного таймера запускает по экрану изображение прыгающего шарика (см. "Ping-Pong" ). Если при загрузке с зараженного диска произошла ошибка, вирус расшифровывает и выводит текст, напоминающий стандартное сообщение DOS:
Non-system disk or disk error. Replace and press strike any key when ready.
7 апреля расшифровывает и выводит текст:
0S0U0P0E0R0U0N0K0N0O0W0N0 was done by Lord Nutcracker(AB0).
Nutcracker.AB1
При заражении системной памяти вирус проверяет видеокарту, и если она поддерживает режим перерисовки (video refresh), то перехватывает INT 8 (таймер) и проявляется видео-эффектом: разрешает/запрещает перерисовку экрана.
Nutcracker.AB1.Antarex
При заражении файла вирусы проверяют его имя и заражают только файлы с расширениями COM или EXE, "Antarex.2620" также заражает .BIN- и .SYS-файлы. Файлы формата EXE переводятся в формат COM.
В зависимости от текущего значения системного таймера вирусы проигрывают мелодию "я на солнышке сижу".
"Antarex.2620" портит EXE-файлы и заражает SYS-файлы троянской программой (см. выше).
Nutcracker.AB2
При запуске зараженного файла или загрузке с зараженной дискеты вирус записывается в MBR винчестера. Затем вирус отдает управление программе-носителю (в случае зараженного файла) или остается резидентным в памяти (при загрузке с зараженной дискеты или MBR).
При заражении системной памяти вирус копирует свое тело по адресу 7C00:0000, перехватывает INT 1Ch и возвращает управление первоначальному сектору (boot или MBR). Обработчик INT 1Ch перехватывает момент инсталляции DOS, перехватывает INT 13h, 21h (плюс к INT 1Ch) и при выполнении первой же программы "приписывает" свой TSR-код к последнему блоку памяти, уже занятому какой-либо программой или драйвером. В результате вирус не выделяет себе отдельный блок памяти, а паразитирует на каком-либо уже существующем блоке. Если есть свободный блок UMB, то старшие версии вируса записывают свои резидентные копии в этот блок.
Обработчик INT 21h перехватывает обращения к файлам и заражает COM-, EXE- и SYS-файлы, записывая копии вируса в середину или конец файла, или помещает троянскую программу в конец SYS-файлов (см. выше) в зависимости от версии вируса.
Перехват INT 13h используется для заражения дискет, стелс-процедуры, порчи EXE-файлов и подкаталогов (см. выше) в зависимости от версии вируса.
INT 1Ch используется для проигрывания мелодии.
Младшие версии вируса применяют антиотладочные приемы и завешивают систему под отладчиком и на Pentium PC. Старшие версии вируса начиная с "Nutcracker.AB2.5375" также перехватывают INT 28h и в зависимости от своих счетчиков ищут файлы в текущем каталоге и заражают их.
"Nutcracker.AB2.5413,5440,5589,6082,6100" заражают не только MBR винчестера, но и активный boot-сектор (как правило этим сектором является boot-сектор диска C:).
Начиная с "Nutcracker.AB2.5375" не шифруют заголовки EXE-файлов. Версии "Nutcracker.AB2.6082" и старше являются полиморфик-вирусами также и в boot/MBR-секторах.
"Nutcracker.AB2.6082,6100,6500" пакуют блок заражаемого файла (см. выше) перед тем, как зашифровать его и сохранить в конце файла. В результате длина файла после заражения может оказаться меньше, чем сумма длин вируса и файла до заражения.
Начиная с "Nutcracker.AB2.6425" шифруют подкаталоги, шифруют себя в SYS-файлах тем же способом, что и в COM- и EXE-файлах, трассируют INT 13h, проверяют имена файлов и не заражают антивирусы и некоторые утилиты. Список имен файлов выглядит следующим образом:
SCAN CLEAN VSAFE NAV AVP AIDS GUARD NOD F-PROT DESINF VIRSTOP VSHIELD FINDVIRU VIVERIFY TB RKSD COMMAND SETVER CHKLIST ADINF SMARTCHK ANTI-VIR CHKDSK PKZIP PKLITE WEB DRWEB
Nutcracker.AB3,AB4,AB5
"Nutcracker.AB4" лечит файлы под отладчиком. "Nutcracker.AB5" при инсталляции трассирует INT 21h. Также использует антиотладочные методы, в результате чего не работает под отладчиком и на Pentium PC.
При открытии *.?AS-файлов (.PAS, .BAS) с вероятностью 1/9 уничтожают их. Уничтожают также некоторые другие файлы (базы ADINF?). "Nutcracker.AB5" уничтожает *.MS-файлы.
"Nutcracker.AB3" 12 января и 23 июля стирает сектора диска C:. При заражении файлов запоминает текущую дату и через 23 дня перехватывает INT 10h и замедляет работу компьютера (пустой цикл при каждом вызове INT 10h).
"Nutcracker.AB4" записывает в MBR винчестера троянскую программу, которая 12 января и 23 июля форматирует сектора диска C:. Вирус также заводит счетчик в boot-секторах дисков и увеличивает его при запуске программ. Когда счетчик достигает значения 40h вирус перезапускает его и помечает один из кластеров диска как сбойный.
"Nutcracker.AB5" также записывает в MBR троянскую программу, которая увеличивает свой внутренний счетчик при каждой перезагрузке. При достижении значения 511 троянец форматирует винчестер, стирает CMOS и выводит сообщение:
Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!
Nutcracker.AB6
При загрузке с зараженной MBR вирус перехватывает INT 17h, 1Ch, ждет загрузки DOS и перехватывает INT 13h, 21h. Вирус не уменьшает размер DOS-памяти (слово по адресу 0000:0413), а самостоятельно корректирует цепочку MCB.
Вирусы используют INT 13h для маскировки зараженной MBR. Перехватывая INT 17h, периодически меняют символы при их печати. Особое внимание вирусы уделяют утилите CHKDSK и при ее запуске отключают некоторые ветви стелс-процедуры.
Уничтожают файлы *.FW* и *.?AS, также пытаются (безуспешно) уничтожить *.MS-файлы.
12 января при загрузке с зараженной MBR форматируют винчестер, стирают CMOS и выводят сообщения:
"Nutcracker.AB6.a": Dreary Nutcracker(AB6) Lives "Nutcracker.AB6.b": Dreary Nutcracker(AB6) Lives Again "Nutcracker.AB6.c": Dreary Nutcracker(AB6) "Nutcracker.AB6.d": Dreary Nutcracker(AB6) lives forewer !
Nutcracker.AB7
Вирус остается резидентно в памяти только при загрузке с зараженной дискеты или MBR, при загрузке с дискеты вирус также поражает MBR винчестера. При заражении памяти вирус копирует себя по адресу 7C00:0000, перехватывает INT 1Ch, ждет загрузки DOS и перехватывает INT 21h. При запуске первой программы вирус выделяет себе блок обычной или UMB-памяти, копирует себя в этот блок и перехватывает INT 9, 13h, 15h, 21h, 2Fh, 40h.
INT 9 (клавиатура) : вирус перехватывает Alt-Ctrl-Del и заражает MBR винчестера непосредственно перед перезагрузкой. В результате вирус может заразить MBR после лечения - в тот момент, когда пользователь нажимает Alt-Ctrl-Del. Таким образом, для полного удаления вируса из системной памяти недостаточно "вылечить" обработчики INT 13h и INT 21h, небходимо также деактивировать и INT 9.
INT 13h : содержит стелс-процедуру для маскировки зараженных секторов.
INT 15h : обрабатывает несколько системных PCMCIA-вызовов.
INT 21h : перехватывает DOS-функции Execute, Create, Close и FindFirst/Next ASCII. При запуске файлов вирус заражает MBR, при создании файла вирус запоминает его handle и заражает файл при закрытии. Функции FindFirst/Next используются вирусом для маскировки длин зараженных файлов. Заражаются только EXE-файлы длиной до 64K, при заражении вирус переводит их в COM-формат.
INT 2Fh : вирус перехватывает функцию GetDiskInterrupt (AH=13h) и лечит при этом MBR винчестера. Этот прием, видимо, направлен против антивирусных утилит, проверяющих диски на наличие изменений. Вирус удаляет себя из MBR, если такая утилита пытается получить прямой доступ к диску, а затем опять заражает MBR при запуске любой программы (INT 21h) или при перезагрузке (INT 9).
INT 40h : используется для заражения дискет и реализации стелс-механизма.
При загрузке с зараженного диска вирус проверяет системную дату и 12 января выводит сообщение:
I'm Nutcracker(AB7)!
Nutcracker.Boot
Nutcracker.Punisher
12 января стирают информацию на дисках и выводят тексты:
"Punisher.a": The Punisher in award for your self-confidence! "Punisher.b": The Punisher II in award for your self-confidence again!
Содержат также текст:
(c) 1994 by Dismal Nutcracker
Nutcracker.SnowFall
Given program was generated in BrPI (c) 1994 The Snowfall.
Демонстрации вирусных эффектов:
NUTCRACK.COM |
Oeur.3072
В октябре вирус записывает в сектора дисков свой код, начинающийся со строки "oeur934". Содержит строки текста, которые выводятся (задом наперед) по пятницам:
$?! ynnuf uoy erA $.akrakurD ... eis im izduN $.draobyeK ... em ssiK $!!! EVITCAOIDAR si KSID DRAH ruoY $!!! em KCUF ton oD $:A evird otni AZZIP tresnI ! yrgnuh ma J $setteksid owt era :A evird nI ! gninraW $$ejeiwezdr rosecorp jowT $emsat agaicw :C ajcats agawU $tceted rosecorp 4XD687 oN ! gninraW $yob diputs uoY $.K ZSUIRAM ... .J ECZSEINGA ejukydyd asuriw ogeT $AGA evol J $noisrev SOD tnerrocnI $selif erom oN $$selif desolc ynam ooT $noitcerder etacilpuD $hctamsim egap edoC $deinad sseccA $sroloc eerhct si AGV ruoY $ydaer ton SME $SURIV rof yromeM etacolla tonnaC $sretemarap KCATS dilavnI $fys ot AGIMA $moniks creimS $$LUCSOK zrpeiP $hcanalg w eizdjyzrp suzeJ $NATAS EVA $azorgz oT $aselaW z zcerP $!! corw AGA $RAWONAM evol J $daed si - PAR - OKSID - ONHET $yladep ot ylap esyL $ycicam jem do zcerp eceR $! iwoloi $?! ynnuf uoy erA $.akrakurD ... eis im izduN $.draobyeK ... em ssiK
Olga.483
SGB:Olga++
OneHalf, семейство
Код расшифровщика этих вирусов разбросан по всему файлу со случайными смещениями (см. "Bomber" ).
При заражении винчестера вирус считывает его MBR и сканирует таблицу разбиения диска (Disk Partition Table). В ней он ищет последний DOS'овский диск - логический диск (FAT-12/FAT-16/BIGDOS) или Extended partition, и когда находит, подсчитывает номер первого и последнего цилиндра найденного диска (или Extended partition). При этом вирус довольно грамотно обрабатывает диски, имеющие более 1024 цилиндров и не вписываются в стандарты INT 13h. Вирус запоминает адреса этих цилиндров и заражает винчестер.
Затем при загрузке с зараженного винчестера вирус шифрует два последних цилиндра диска, при следующей загрузке - еще два и т.д., пока не дойдет до первого цилиндра. При этом вирус использут адреса первого и последнего цилиндров диска, которые запомнил при заражении винчестера. Когда количество зашифрованных цилиндров перевалит за половину диска, вирус сообщает (в зависимости от текущей даты и своего "поколения"):
Dis is one half. Press any key to continue...
Таким образом, чем чаще перезагружается зараженный компьютер, тем больше данных оказываются зашифрованными.
После загрузки в память вирус расшифровывает/зашифровывает эти сектора "на лету", поэтому пользователь не замечает того, что его данные испорчены. Однако если вылечить MBR, то все данные оказываются потерянными.
"OneHalf.3518" не шифрует себя в файлах. Выводит текст:
A20 Error !!! Press any key to continue ...
"OneHalf.3544.b" не заражает файлы: AIDS*.*, ADINF*.*, DRWEB*.*, ASD*.*, MSAV*.*. Выводит сообщение:
Dis is TWO HALF. Fucks any key to Goping...
"OneHalf.3544.c" не шифрует секторов, выводит текст:
Disk is Tpu half. (Bepx, Hu3 u Pe6po)
Вирусы также содержат строки:
"OneHalf.3544.a": Did you leave the room ? "OneHalf.3544.b": User is loh ! "OneHalf.3577": DidYouLeaveTheRoom?
OneHalf.Madjid
OHHHHH... MADJID Here is very dark. HELP ME... HELP ME... HELP... I am here .They kill the love .I am solitary . Press RETURN for continue
Orphan.174
При загрузке с зараженного диска вирус копирует себя в таблицу векторов прерываний, перехватывает INT 13h и затем записывается вместо заголовка EXE-файлов при их копировании на флоппи-диски (файлы оказываются необратимо испорченными).
Patras, семейство
После 60-ти заражений перехватывают INT 10h и проявляются различными эффектами: пищат динамиком компьютера, запускают по экрану "сердечки" (03 ASCII), выводят сообщения:
A lovely heart fell from the sky !!! KARNAVALI OF PATRAS !!! *** PATRAS H/Y ***
Kaczor.4444
Шифрует себя также и в системной памяти. Обработчики INT 13h, 21h расшифровывают необходимые подпрограммы перед их вызовом.
При загрузке с зараженной MBR проверяет буфер клавиатуры. Если там содержится строка "kaczor", вирус лечит MBR и выводит текст:
Zrobione.
Если в буфере клавиатуры находится строка "test", вирус выводит:
Wersja.......... Kodowanie....... Licznik HD......
и добавляет соответствующие цифры в конец строк.
3-го марта перехватывает INT 08h и "трясет" экран.
Демонстрации вирусных эффектов:
KACZOR.COM |
Keypress.Ufo
The U F O Club UFO-4 By Faisal-Andre-Akhmad Klp Gading Jakarta Utara
Демонстрации вирусных эффектов:
KEYP_UFO.COM |
Kiev.2048
Резидентным в памяти вирус остается только при загрузке с зараженного boot-сектора. Содержит строки "NUL", "KIEV", "c:\'.sys","CONFIG SYS","device='.sys". Сравнительно неплохо исполняет Гимн СССР. Не работает с дисками объема более 32M.
Демонстрации вирусных эффектов:
KIEV2048.COM |
Kiuca, семейство
При загрузке с пораженного диска перехватывают INT 1Ch, ждут загрузки DOS, перехватывают INT 21h, ждут запуска первой программы (COMMAND.COM), выделяют себе блок DOS-памяти и копируют себя в этот блок. В результате не уменьшает размер DOS-памяти, как это делают обычные загрузочные вирусы, а располагает свой код между ядром DOS и копией COMMAND.COM. Затем вирус заражает создаваемые файлы: перехватывает DOS-функцию создания файла, ждет его закрытия и заражает файл. Таким образом, вирус заражает только файлы, которые копируются куда-либо, либо распаковываются из архивов, либо восстанавливаются из backup'а.
Алгоритм работы вируса направлен против CRC-сканеров, которые детектируют вирусы по CRC-суммам. Во-первых, вирус заражает только новые файлы, о которых нет информации в базах данных CRC-сканеров. Во-вторых, "прячет" зараженный boot-сектор: при запуске любой программы вирус лечит его, а при окончании работы программ снова заражает.
Вирусы семейства содержат строки:
(c) Light General.Kiev.KIUCA.1996.NOT for free use. (Робкая попытка опустить Адинф...Адольф...Йосиф...ГУЛАГ...AАaaа)
Kyokushinkai
ХХХХХХХ KШФkБshЛдkДЛ ЩЩЩЩЩЩЩ.- 39-mynrazCmeroizвJdanogewogninertuzoboogeintelвktаimapaN-OLYKaгysezrpuzoboogeгacaldainezcyзenzcedreS
Kysia.1536
(c) 1993 Kysia Software Co. Your fucking PC is infected ! I'm formating your hard disk now. I'm lucky. FUCK'AM ALL Bezplatna reklama kapeli ZOD ze Szczecina.
Liberty
Память заражается либо при старте инфицированного COM-файла, либо при загрузке с инфицированного флоппи-диска.
Через некоторое время после загрузки с флоппи-диска вирус расшифровывает и выдает на экран, принтер и последовательные порты строку "MAGIC MAGIC MAGIC MAGIC ......". При 10-й загрузке с флоппи-диска лечит его. Содержит строки:
Liberty - MYSTIC - COPYRIGHT (C) 1989-2000, by SsAsMsUsEsL
Lithium.4113
CHKD F- VIR SCAN CLEAN VSHI ITAV SKUD AVIR MSAV CPAV VSAF VWAT NAV THS TB VI- FLU ATP DOO WOLF QUA
В зависимости от текущей даты проявляется каким-то видеоэффектом. Содержит строки:
Lithium Nuotando nel miele Accecati dalla luce Oppressi dalla liberta' Nauseati dai falsi e facili sorrisi Lottiamo per trovare qualcosa in cui credere. Le note della rabbia e dell'instabilita' sono il detonatore della voglia di proseguire... ...'CAUSE WE'RE ALIVE! You'llKnowWhatNITROMeans! byATPY GENOCIDEYouthEnergy
LivingDeath
В зависимости от текущей даты шифрует сектора дисков и выводит тексты:
I am the Living Death. I am coding your hard disk now. Your FAT is destroyed and his copy is only in memory. If you set power off, all your data will be lost !! Press any key ...
LungHua.2589
hello! This is <Lung-Hua 1.0> virus.
Don't worry, It's just a virus, It never damages your computer, It's written by a Lung-Hua's student. This is a test, I just want to know how far as virus can reach and how fast as virus can sprend. Specilly thanks to Dark Slayer (we are close friends), He teaches me so many virus skills, This is my first virus, It's a quite simple virus. At last, I want to say "Hay! Teachers, Don't down a lof of students, If you down them, They will very sad and cry, so... Don't make their heart break."
PS.1. I recommand the assembly language's teachers, I hope you can teach students "How to write viruses". 2. please send your comment to network (CC2 server, set file name to comment.xxx, If you are supervisor, please set it to read only and keep it many days, I'll receive it on the server) 3. keep my name "Blue Rose" in your mind, watch out my next virus, I'll be back, Enjoy my first virus now, Have fun! :)
Blue Rose of TPVO (a sweet little girl) - 1995.06.18
Majkl, семейство
Вирусы семейства используют антиотладочные приемы, основанные на особенностях процессоров i368+. "Majkl.1438" содержит строку:
Majkl
Malaga, семейство
HB=ETA=ASESINOS PENA DE MUERTE AL TERRORISMOKI VIVA ESPA
Также содержат строку: "*.EXE *.COM COMMAND.COM".
Markus.5415
При заражении MBR вирус сохраняет первоначальную MBR и свой код начиная со второго сектора нулевого трека и записывает в MBR 29h байт своего загрузчика. Также стирает в зараженной MBR таблицу разбиения диска (Disk Partition Table), в результате чего команда FDISK/MBR делает диск недоступным.
При загрузке с зараженной MBR вирус уменьшает на 6 размер системной памяти (слово по адресу 0000:0413), копирует туда свой код, перехватывает INT 8, 13h, 1Ch и отдает управление первоначальной MBR. При запуске или закрытии любого файла восстанавливает размер системной памяти и таким образом "откусывает" блок памяти для своего кода. Затем вирус постоянно проверяет наличие DOS (при вызовах INT 1Ch) и перехватывает INT 21h.
Обработчик INT 13h содержит стелс-подпрограмму, которая делает "невидимой" зараженную MBR и код вируса в нулевом треке диска.
Обработчик INT 21h содержит стелс-подпрограмму и подпрограмму заражения файлов. Вирус обрабатывает 15 функций DOS и при обращениях к зараженным файлам вызывает стелс-процедуру. При запуске или закрытии EXE-файлов записывается в их конец. Вирус не заражает несколько антивирусных программ и выключает стелс-процедуру при работе некоторых утилит проверки диска. Список соответствующих имен выглядит так:
CHKDSK, SCANDISK, DISKFIX, TNTSCAN, CPAV, MSAV, SCAN, IBMAVD, IBMAVDQ, IBMAVSP, IBMAVSH, VWATCH, VSAFE
При каждом десятом вызове INT 8 вирус проверяет свой код по CRC-сумме. Если CRC не совпадает с оригиналом, то вирус устанавливает INT 21h на другой адрес и при первом же вызове INT 21h выводит сообщение:
## (Copyleft) DD.MM.YY by MarkusMueller/GERMANY ## (V1.03)
<<<<< Eeehhjj, Du genetischer Abfall !!! >>>>>
Na, haben wir denn gerade einen Fehler gemacht ? Vorab mФchte ich mich kurz vorstellen: Mein Name ist Ebola, ich wohne auf Deiner FESTplatte, arbeite zur Zeit auf Deinem Rechner, ernДhre mich von Deinem Datensalat, habe Angst meine Arbeit und meine Wohnung zu verlieren und ich weiс bescheid.
Dummerweise will mich mein Vermieter loswerden, er hat wohl gerade irgend ein `SchДdlingsbekДmpfungsmittel` eingesetzt. Ich werde nun wohl besser verschwinden.
Ach, Бbrigens: Viel Spaс bei der Renovierung meiner Wohnung !
the crazy program from MM Und TschБс, (bis demnДchst...)
Затем вирус стирает CMOS, ждет некоторе время, медленно гасит экран (использует возможности VGA) и перезагружает компьютер. Точно так же ведет себя и под отладчиком.
Вирус проявляется и другими способами. При вызовах INT 13h и INT 1Ch "трясет" изображение на экране. Через месяц после заражения системы периодически эмулирует ошибку обращения к винчестеру. 20-го мая выводит текст:
+---------------------+ TYPE Happy Birthday Markus | | +---------------------+
ждет ввода строки "Happy Birthday Markus", а затем добавляет:
Thank you very much for the congratulations.
11 ноября выводит текст:
Runtime error 032 at 0040:0074 (A)brechnen, (W)iederholen, (I)gnorieren?
и при нажатии на "a" стирает CMOS. Вирус также содержит строку:
** Ebola is present **
Marzia (файлово-загрузочные), семейство
Используя INT 21h вирусы определяют файлы для заражения При обращении к пораженной MBR (INT 13h) вирусы подстявляют первоначальный сектор.
Marzia.WW, DV, Baracuda, Pasiphae, Petunia
Virus Development Software (c)92 PETUNIA virus Written by Willi Wonka Fago industries (c)1991
Также содержат строки:
WW35V"Marzia.DV.2048": DVv1.00a "Marzia.WW.2048.a": MARZIA WWMARZIA "Marzia.WW.2048.b": (c)93Virus Development Software WW34V "Marzia.WW.2048.c": WW20V "Marzia.WW.2048.e": PISello tenere fuori dalla portata dei bambini. WW20V "Marzia.WW.2048.f": SZ VIRUS
"Marzia.Baracuda": BARACUDA Vds WW30V "Marzia.Pasiphae": PASIPHAE(c)93Knosso by Willi Wonka PpHhIiSsIiCcAaRrTt WW?-? "Marzia.Petunia": DVv1.00a Virus Development Software (c)92 PETUNIA virus Written by Willi Wonka Fago industries (c)1991
Marzia.Demian
(c)92 ASTRATTOSPAZIO realtЕ del mondo extraterrestre: Globalmente si distingue tutto ciХ che К uguale,localmente tutto ciХ che К diverso.IT Release Rev 4 24IX89 P.098 :) bye bye SPECIAL THANKS TO MAXCC, ALEX & DEMO.
DVDEMIAN
Marzia.Pisello
PISello tenere fuori dalla portata dei bambini. PaxTibiQuiLegis.FaxFree!! WW20V3
MBRExe
Mirkis.4292
TYSON greeting Mir.Kis & Ro.Ch 4.97 POLAND
При загрузке с зараженного диска вирус перехватывает INT 13h, ждет старта DOS и затем перехватывает INT 21h. При запуске зараженного файла вирус перехватывает INT 13h, 21h и заражает файлы при из запуске или закрытии. При окончании работы программ также ищет и заражает файлы в текущем каталоге. При открытии зараженных файлов лечит их (стелс). Не заражает файлы: *SC??, *PR??, *MA??, *MS??, *TB??, *AV?? (SCAN, F-PROT, COMMAND, TBAV, и т.д.). При запуске CHKDSK или MEM правит системные области памяти таким образом, чтобы скрыть присутствие своей TSR-копии. При запуске антивирусов MKS_DEMO, MKS_VIR и F-PROT добавляет к командной строке опцию "не тестировать память". При запуске Windows добавляет к командной строке опцию, запрещающую 32-битный доступ к дискам. При запуске PKZIP, ARJ или RAR вирус временно выключает свои стелс-процедуры.
Вирус вызывает процедуру заражения MBR при окончании работы любой программы. При чтении/записи MBR использует прямые вызовы портов контроллера диска. При помощи перехвата INT 13h реализует стелс на чтение/запись зараженной MBR.
Goblin, семейство
"Goblin.1199": GOBLIN "Goblin.1759": DELWIN
GoldBug
CHKLIST???? 1O7=0SLMTA
Вторая строка выводится на модем (задом наперед): "ATMLS0=7O1".
GraveLion.2250
При заражени MBR вирус не модифицирует код загрузчика в MBR. Он записывает себя на диск начиная с адреса 0/0/2 и модифицирует Partition Table - устанавливает адрес активного загрузочного сектора на код вируса (см. также вирус "Starship" ).
Помимо этого использует стелс -алгоритм для того, чтобы "спрятать" зараженный MBR-сектор - подставляет незараженный MBR-сектор при чтении через INT 13h и временно "лечит" диск при запуске файлов B*.EXE, F*.EXE, T*.EXE.
Если при загрузке системы происходит ошибка, вирус сообщает:
Access to Hard Drive denied...
Также содержит строку:
[Бычий Цепень] v1.0 Copyright (c) 1995 Grave Lion
Hare, семейство
Заражение
TB*.* F-*.* IV*.* CH*.* COMMAND*.*
Не заражает также файлы, если в их имени есть буква 'V'.
При загрузке с зараженной дискеты вирус записывается в MBR и возвращает управление первоначальному boot-коду, при этом вирус не оставляет в памяти своей резидентной копии.
При заражении MBR вирус трассирует INT 13h или напрямую работает с портами контроллера, затем записывает свое продолжение (15 секторов) в трек, находящийся за пределами объявленного размера диска (LandZone?). Затем затирает Disk Partition Table (в результате этого команда FDISK/MBR может привести к полной потере данных на диске).
При загрузке с зараженного MBR-сектора вирус восстанавливает Partition Table для того, чтобы нормально загрузилась DOS (в этот момент стелс на уровне INT 13h еще не работает), затем уменьшает размер памяти (слово по адресу 0000:0413), копирует свой код в "отрезанный" участок памяти, перехватывает INT 1Ch и передает управление первоначальному MBR-сектору.
Перехватив INT 1Ch, вирус ждет загрузки DOS, затем восстанавливает размер системной памяти и перехватывает INT 13h, 21h, 28h. При первом вызове INT 28h он снова портит Disk Partition Table (зачем все это проделывается - непонятно, возможно, чтобы "одурачить" антивирусное hardware и software, если оно, конечно же, установлено).
При вызовах INT 13h вирус перехватывает обращение к флоппи-дискам и заражает их, для своего основного кода вирус форматирует дополнительный трек. При обращениях к уже зараженным дискам выполняет стелс-программу.
Проявления и особенности
При заражении памяти проверяет системную дату. 22 августа и 22 сентября стирает винчестер и в зависимости от версии выводит текст:
"Hare.7610": "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare... "Hare.7750": "HDEuthanasia-v2" by Demon Emperor: Hare Krsna, hare, hare... "Hare.7786": "HDEuthanasia-v3" by Demon Emperor: Hare Krsna, hare, hare...
При заражении MBR перехватывает INT 16h и проделывает довольно странные манипуляции с клавиатурой: заменяет или самостоятельно записывает в буфер клавиатуры знаки 'Y' и 'N'. Похоже на то, что вирус пытается самостоятельно ответить на запрос BIOS о записи в MBR диска (если такая функция поддерживается BIOS'ом).
Довольно странным образом генерирует свой полиморфик-код. При заражении винчестера вирус заполняет самый последний сектор диска случайными данными и никогда больше их не изменяет (см. замечание ниже). Затем при загрузке с зараженной MBR или запуске зараженного файла считывает эти данные из последнего сектора, при повторном заражении компьютера (после лечения) обнаруживает эти данные в последнем секторе и не изменяет их.
Эти данные используются вирусом как генератор случайных чисел при запуске своего полиморфик-генератора: при заражении разных файлов или секторов на вход полиморфик-генератора поступают одни и те же псевдослучайные данные, а в результате полиморфик-генератор выдает на выход один и тот же код, и все файлы, зараженные на одном и том же компьютере, содержат один и тот же полиморфик-цикл расшифровки и зашифрованы одними и теми же ключами (то же справедливо и для секторов). Вирус увеличивает длину файла на случайное число (длина вируса плюс длина случайного расшифровщика). Естественно, что на одном и том же компьютере длина файлов увеличивается на одно и то же значение. В результате все файлы/сектора, зараженные на конкретном компьютере, можно определить обычным методом поиска по маске вируса.
Зачем все это проделывается - непонятно. Видимо, для того, чтобы ввести в заблуждение разработчиков антивирусных программ и спрятать файл или диск, который послужил причиной заражения компьютера.
Замечание: старшие версии вируса при загрузке с зараженного диска с вероятностью 1/16 меняют случайные данные в последнем секторе диска и как результат генерируют другие полиморфик-циклы при заражении файлов и дискет.
HMA_Boot, семейство
При загрузке с зараженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, затем создают в корне диска C: файл со случайно выбранным именем, записывают в него свой код и добавляют к файлу C:\CONFIG.SYS команду запуска этого файла ("INSTALL=\").
Вирусы содержат строки:
"HMA_Boot.a": C:\Config.Sys Install=\ "HMA_Boot.b": C:\CONFIG.SYS INSTALL=\ HMABOOT
HongKong.1997
При запуске зараженных файлов вирус проверяет командную строку. В зависимости от каких-то символов в этой строке (вирус использует двух-байтную китайскую кодировку) вирус либо лечит MBR, либо выводит текст:
HONG KONG 1997
Это же сообщение выводится 1-го июля.
Вирус использует несколько приемов противодействия отладке и лечению: при заражении MBR зиписывает в Disk Partition Table такой код, что MS-DOS (включая DOS 7.0) записает при загрузке с системной дискеты (при этом вирус вполне нормально грузится с винчестера). В результате оказывается невозможным загрузить систему с дискеты, проверить диск и вылечить вирус при помощи расположенного на дискете антивируса.
Второй прием заключается в том, что 90% кода вируса (ассемблерных команд) перемешано с одно-байтовым случайным мусором. Для того чтобы пропускать этот мусор при работе, вирус перехватывает INT 1 (трассировка) и при выполнении каждой команды своего кода вызывает процедуру, пропускающую байты мусора.
Ignorance
Ignorance is Strength Freedom is Slavery War is Peace COMEXEBINOVLSYSSCCLVSF- [1984] bY [TДLФN<>NЦKф] '93! THiS iZ iNFeCTi0N #00000032! Greetz RS/NuKE!
где строка "#00000032" - номер "поколения" вируса, в различных пораженных файлах/секторах эта строка может быть отличной от приведенной выше. "COMEXESYSBINOVL" - строка расширений имени файла, поражаемых вирусом. "SCCLVSF-" - по два символа от имен антивирусных программ (SCAN.EXE, CLEAN.EXE, и т.д.). При запуске этих программ вирус отключает часть своих функций.
Implant, семейство
Вирусы заражают файлы при их закрытии, переименовании и обращении к их атрибутам. При запуске файлов они запоминают их имена и заражают при окончании их работы. При открытии и чтении из зараженных файлов вызывают стелс-процедуру. При записи в зараженные файлы лечат их. Если активны архиваторы ARJ, PKZIP, PKLITE, LHA или BACKUP, вирусы выключают свой стелс. При запуске антивирусов TBAV и SCAN изменяют командную строку таким образом, что эти антивирусы не сканируют системную память. При запуске Windows добавляют к командной строке опцию, запрещающую 32-битный доступ к дискам.
Некоторые из "Implant"-ов не заражают антивирусы TBAV, SCAN, F-PROT,... Определяют они их по первыв двум символам имени: 'TB', 'SC', 'F-', 'GU'. Также не заражаются файлы с именами, содержащими цифры и символы 'V', 'MO', 'IO', 'DO', 'IB'.
Перехват INT 13h используется вирусами для реализации стелс-процедуры при обращении к зараженным дискам и для заражения дискет при чтении их boot-сектора. Для размещения на дискете своего кода вирусы форматируют на ней дополнительный трек.
4 июня вирусы стирают сектора винчестера, пищат динамиком компьютера и выводят текст:
<<< SuckSexee Automated Intruder >>> Viral Implant Bio-Coded by Griyo/29A
В 1997 вирус "Implant.6128" был разослан в несколько Internet конференций. Зараженным был файл NENA.EXE, выводящий порно-картинку.
Invader и Plastique, семейство
WARNING: DON'T RUN ACAD.EXE!"Invader.a,b.c,d": by Invader, Feng Chia U., Warning: Don't run ACAD.EXE! "Invader.e,f.g,h.i": by ABT Group at Feng Chia Univ., Taiwan. Mar/27/90 "Plastique": PLASTIQUE 5.21 (plastic bomb) Copyright (C) 1988-1990 by ABT Group (in association with Hammer LAB.)
Также содержат текст "ACAD.EXECOMMAND.COM.COM.EXE".
Демонстрации вирусных эффектов:
INVADER.COM |
Invisible
I'm the invisible man, I'm the invisible man, Incredible how you can See right through me.
I'm the invisible man, I'm the invisible man, It's criminal how I can See right through you.
(Когда я разбирался с этим вирусом, по Радио-101 как раз передавали песню "Invisible man"...)
Вирус содержит в себе также и строку:
"Invisible":
The Invisible Man - Written in SALERNO (ITALY), October 1992. Dedicated to Ester: I don't know either how or when, but I will hold you in my arms again.
"Invisible.b"
The Invisible Man II - Written in SALERNO (ITALY), December 1992. Dedicated to E.F.: I don't know either how or when, but I will hold you in my arms again.
Демонстрации вирусных эффектов:
INVISIBL.COM |
Jackal
Периодически форматирует сектора винчестера. Перехватывает также INT 9 (клавиатура) и при нажатии на Alt-Ctrl-Del пытается пережить перезагрузку: восстанавливает вектора прерываний, очищает экран и т.д.
Содержит строку: "Ja№ckєal".
Jerusalem файлово-загрузочные
Jerusalem.Havoc
Является гибридом вирусов "Jerusalem" и "Havoc" .
Jerusalem.MBR
При запуске зараженного файла вирус записывается в MBR. При загрузке с пораженного диска вирус уменьшает размер памяти DOS, перехватывает INT 13h и ждет изменения вектора INT 21h. После этого вирус восстанавливает размер памяти DOS и перехватывает INT 21h, которое затем используется только при поражении файлов.
В зависимости от своих счетчиков стирает сектора дисков. Также содержит текст "COMMAND.COM".
JumpBoot
При записи секторов на дискеты вирус проверяет первый байт записываемого сектора. Если этот байт является командой JMP (E9h или EBh), вирус записывает себя вместо этого сектора. При этом содержимое сектора уничтожается. В результате COM-файлы, начинающиеся с команды JMP, при копировании на дискеты будут уничтожены вирусом. При заражении сектора вирус не проверяет, является этот сектор началом файла или нет, и может записать себя в середину файла.
После поражения одного файла вирус блокирует подпрограмму заражения и заражает следующий файл только после перезагрузки.
Junkie, семейство
"Junkie.1027" безобиден. "Junkie.1308" очень опасен - в зависимости от системной даты форматирует сектора дисков и выводит текст:
Disk Death
Вирусы содержат строки:
"Junkie.1027": DrW-3 Dr White - Sweden 1994 Junkie Virus - Written in Malmo...M01D "Junkie.1308": Bad Junky I want a job
DeadBoot.446
Demiurg.3061
Для того чтобы перехватить INT 13h, вирус корректирует ядро DOS в HMA: записывает туда вызов INT CEh (CDh CEh) и перехватывает INT CEh. Ядро корректируется по фиксированным адресам, которые верны для DOS 6.x и могут быть неправильными для других версий DOS. Вирус также содержит и другие ошибки, в результате система может зависнуть при загрузке с зараженного MBR.
INT 13h перехватывается вирусом только для того, чтобы скрыть зараженные сектора (MBR). Перехватив INT 2Ah, вирус получает вызовы из ядра DOS, обрабатывает обращения к файлам и заражает файлы только на дискетах при их (файлов) создании и закрытии (т.е. при копировании) или при обращениях к ним вызовами FindFirst/Next ASCII. При открытии зараженных файлов вирус лечит их.
При открытии файла A-Dinf-°.°°° вирус проверяет какие-то адреса в системе (подсчитывает CRC?) и в некоторых случаях стирает свою копию с секторов диска. MBR при этом не восстанавливается, и система зависает при перезагрузке.
Вирус содержит строки:
Мир вам.Меня зовут Demiurg.Я хранитель врат,врат Ада.Все кто хочет увидеть Хозяина встречается со мной,а ктовстречается со мной попадает к Хозяину...мертвым.Тупые охотники за головами,с притензией на интеллектгадатели,всезнающие визири-многие пытались увидетьменя,но порой их глаза были ослеплены,а ум нашептывал соблазнительное OK
LORD
DoomMbr.406
DrDemon, семейство
DrDemon.1816,1888
MUTABOR
Эту же строку вирусы выводят через примерно 30 минут после заражения системной памяти. По 13-м числам после заражения 10-го файла вирусы выводят тексты:
It is very long story - struggle against viruses... (c) 1994,95 by Dr. Demon , version 4.0 Make sure all your disks are not bootable now !
и записывают эти же тексты в сектора диска.
DrDemon.4634
Вирус перехватывает обращения к COM- и EXE-файлам и записывается в конец. Не заражает файлы, имена которых начинаются с любого из вариантов:
AIDS WEB VB ADINF SCAN CLEAN DRW
Также содержит строку:
MB Pro (c) 1994,95 by Dr.Demon
DrDemon.4292
MB Pro (c) 1994-96 by Dr.Demon
DS.3783
При заражении дискет форматирует дополнительный 80-й трек и записывает туда свой код. При заражении MBR записывает свой код в скрытые сектора первого трека диска. Затем записывает в MBR/boot-сектор 1Сh байт своего загрузчика.
Вирус перехватывает INT 13h, 21h, 2Ah, 2Fh. Для этого при загрузке системы с зараженного диска загрузчик считывает код вируса в системную память и перехватывает INT 13h. Обработчик INT 13h ждет загрузки DOS и перехватывает INT 2Ah. При вызове INT 2Ah вирус сканирует ядро DOS и записывает по определенным адресам команды CALL FAR, указывающие на обработчики INT 21h, 2Fh в теле вируса. Затем при запуске первого файла вирус выделяет себе блок UMB или обычной DOS-памяти и копирует туда свой код.
При запуске зараженного DOS-файла вирус выделяет себе блок обычной памяти и перехватывает те же вектора прерываний. При запуске NewEXE-файла он выделяет себе память DPMI-вызовами. Затем вирус заражает выполняемые файлы DOS, Windows и boot-сектора дискет при обращениях к ним.
При обращениях к файлам вирус проверяет имя активной программы и в случае утилит PKZIP, ARJ, RAR, LHA, TELIX, BACKUP, MSBACKUP, CHKDSK выключает часть своих стелс-процедур.
Свою резидентную копию вирус определяет вызовом INT 21h, AX=187Fh и BX=4453h (строка "DS", по которой он получил название). Резидентная часть вируса возвращает BX=87A1h.
Ekoterror
Периодически расшифровывает и выводит текст:
EkoTerror (C) 1991 ATK-toimisto P.Linkola Oy Kovalevysi on poistettu kДytФstД luonnonsuojelun nimessД. VihreДssД yhteiskunnassa ei saa olla ydinsДhkФllД toimivia kovalevyjД.
а затем завешивает компьютер. В некоторых случаях некорректно поражает MBR, в результате DOS погибает при загрузке.
ExeBug, семейство
"ExeBug.a" использует довольно интересный прием для инсталлирования себя в память даже при загрузке с чистой системной дискеты (этот прием работает только на некоторых BIOS, см. также "Ugly" ). Вирус стирает CMOS-память в тех ячейках, которые отвечают за флоппи-диски, и тем самым отключает эти диски. При загрузке (холодной или горячей) такого компьютера BIOS не обнаруживает флоппи-дисков и передает управление MBR винчестера (которая уже заражена). Вирус получает управление, включает флоппи-диски и загружает с них систему. Таким образом, код вируса оказывается в памяти даже при загрузке с чистого системного диска.
"ExeBug.d" занимает два сектора и перехватывает INT 1Ch, однако полный анализ вируса пока невозможен, так как у меня нет его второго сектора.
"ExeBug.Hooker" записывает в EXE-файлы троянскую прорамму, которая содержит строку:
HOOKER
Fanthomas.1443
-=0FANTHOMAS vir. 1.00(c) Szczecinek0Dla Izy W. z Bestwiny0=-
Fantom.954
При запуске зараженного файла записывается в MBR и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 8, ждет некоторое время (пропускает загрузку DOS), затем перехватывает INT 13h, 21h и таким образом активизирует свои процедуры заражения и стелс.
Содержит строку:
FANTOM vir. 2.0 -(c)Szczecinek- Dla Malgorzaty P.
Fatty.3008
При запуске зараженного файла заражает MBR и boot-сектор диска C:, перехватывает INT 8, 9, 13h, 17h, 21h и остается резидентно в памяти компьютера. При загрузке с пораженного диске перехватывает те же вектора за исключением INT 9, 21h, ждет загрузки DOS и перехватывает INT 9, 21h.
INT 21h: вирус перехватывает создание/закрытие .COM- и .EXE-файлов и заражает их (в результате "обходит" CRC-ревизоры). Перехват INT 13h используется для стелс-процедур и заражения дискет. INT 17h используется для детектирования своей TSR-копии. INT 8 используется при инсталляции в память и для вызова эффектов - вирус записывает в буффер клавиатуры какие-то данные. INT 9: в зависимости от своего случайного счетчика вирус либо стирает один символ из буффера клавиатуры, либо записывает в него один случайный символ. В зависимости от системной даты вирус также портит какие-то данные на диске (FAT?).
Вирус содержит строки:
#FATTY by SULPH (c)97 0Manufactured in Vsetin (CZ) 0THANX to Grisoft & Borland 0BIG KISS to my GIRL 0Have FUN, see YA!!# .COM.EXE
Fist.927
Flip, семейство
При запуске зараженного файла вирусы поражают MBR винчестера. При этом уменьшают размер логического диска и в освободившееся пространство записывают первоначальный MBR-сектор и свое продолжение. Записывается в конец запускаемых COM- и EXE-файлов. В файлах являются полиморфик -вирусами: зашифрованы, а расшифровщик не имеет постоянного участка (сигнатуры) длиннее, чем 2 байта.
Второго числа в 16.00 "переворачивают" экран: меняют (верх-низ, право-лево) расположение символов на экране и переворачивают их изображение ('U' -> 'П', '/' -> '\').
"Flip.2343" заменяет в файлах набор команд
MOV DX,Data_1 MOV Data_2,DX MOV DX,Data_3 MOV Data_4,DX
на вызов INT 9Fh. Такое сочетание команд встречается в файле COMMAND.COM в подпрограмме, отвечающей за вывод на экран результатов работы функций DOS FindFirst и FindNext. Вирус содержит обработчик INT 9Fh и "уменьшает" длины файлов.
Содержат текст "OMICRON by PsychoBlast".
"Flip.Madrid" форматирует сектора дисков и выводит:
RAISTLIN I from Spain
Также содержит строку:
MADRID a favor del consumo de costo!
Демонстрации вирусных эффектов:
FLIP.COM |
Fowl.3072
Ginger, семейство
"Ginger.2774,2782":
You can't catch the Gingerbread Man!! Bad Seed - Made in OZ COMSPEC= \COMMAND.COM CHKDSK MEM 10/23/92
"Ginger.Orsam.2624":
Orsam - Made in OZ You can't catch the Gingerbread Man!! COMMAND
Glue.4000
При запуске зараженного файла перехватывает INT 21h и остается резидентно в памяти. Затем заражает запускаемые и открываемые файлы. Перед тем, как заразить файл, заражает текущий диск (MBR или boot-сектор). При заражении MBR/boot записывает первоначальный сектор и свой код в свободные сектора диска, которые потом помечает как сбойные. Возможно повторное заражение файлов и секторов. В некоторых случаях портит boot-сектора дискет. Содержит прочие ошибки, которые могут привести к зависанию системы.
При DOS-вызовах FindFirst/Next вызывает стелс-процедуру, показывающую уменьшенную длину зараженных файлов. При запуске BACKUP.COM или CHKDSK.COM выключает эту стелс-процедуру.
При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS, затем перехватывает INT 21h и INT 9 (клавиатура). В обработчике INT 9 находится счетчик, подсчитывающий число нажатий на клавиши. При 10000-ном нажатии вирус блокирует запись на диск (INT 13h) и не выставляет флагов ошибки. Это может привести к потере информации на диске.
Варианты вируса содержат строки:
"Glue.4000.a":
COMEXEBACKUP.COMCHKDSK.COM The Digital Glue (C) 1990,1991 by Eastern Digital 1900 Timi$oara THE END
"Glue.4000.b": COMEXEBACKUP.COMCHKDSK.COM Lipici (C) 1991 by Eastern Digital 1900 Timi$oara
BootExe, семейство
"BootExe.Stalker" поражает MBR винчестера и EXE-файлы. После заражения MBR вирус завешивает систему, после загрузки с зараженного диска перехватывает INT 13h и записывается в EXE-файлы. Содержит зашифрованную строку
*Stalker*
CCBB, семейство
Changsha
XqR:
Wherever, I love you Forever and ever ! The beautiful memory for ours in that summer time has been recorded in the Com- puter history. Bon voyage, My dear XqR !
Yours 05121991 in our Home.
Также содержит строки:
Welcome! Auto-Copy Deluxe R3.00 (C)Copyright 1991. Mr. YaQi. Changsha China No one can Beyond me!
New Century of Computer Now!
Демонстрации вирусных эффектов:
CHANGSHA.COM |
Civil.6656
Память заражается при загрузке с инфицированного диска. Затем вирус поражает только файлы. Перехватывает INT 8, 9, 11h, 17h, 21h, форматирует диски, выводит тексты на экран (в том числе матерные), печатает их на принтере, исполняет мелодии. Вот некоторые тексты, содержащиеся в теле вируса. По ним видно, что за компьютером можно дожить до глубокого маразма.
CIVIL DEFENSE VIRUS VER 1.1
Formating disc c: complete. Format another ? (y/n)
Эх, как жаль, ведь мне так хотелось э т о сделать ...
Hard disk 1 formated. All your data lost. How are you feel now ?
ХА - ХА - ХА !!! СЛАВА К П С С ! НАРОД И ПАРТИЯ ЕДИНЫ ! ПРИВЕТ ОТ Г К Ч П!
Хреновая версия DOS Заменена. Press any key
ВАС ПРИВЕТСТВУЕТ ВИРУС CDV Ver 1.1 (c) 1992 Н-ск НЭТИ АСУ
Clist.1025
Codewar
При загрузке с зараженного диска вирус может вывести красную точку в верхний правый угол экрана. Вирус содержит строки:
PSYCHo-TECH GMBH 1995 >>> BRAVEd DANGER 4 BRAVE PEOPLe <<< [[ C000D0E0W0A0R ]] <31> Germany 1995 Virtually called to life & survival by MiNDMANiAC! RGOEPMSQO ==>= AllE GUtEN DiNGE SiND DREi ==>=
Config_Boot, семейство
При загрузке с зараженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, затем создают в корне диска C: файл со случайно выбранным именем, записывают в него свой код и добавляют к файлу C:\CONFIG.SYS команду запуска этого файла ("INSTALL=\").
Содержат строки:
"Config_Boot.a": C:\CONFIG.SYS INSTALLHIGH=C:\ "Config_Boot.b": C:\CONFIG.SYS INSTALL=\
Coup, семейство
Обработчик INT 13h в вирусе содержит стелс-процедуру, исполняемую при обращениях к зараженным секторам. Обработчик INT 1Ch ждет загрузки DOS и перехватывает INT 21h. Затем вирус записывается в конец запускаемых .COM- и .EXE-файлов (кроме COMMAND.COM). При запуске антивирусов SCAN, MSAV, PART*, CLEAN, VSAFE, TOOLKIT, GUARD и FINDVIRU вирус портит их - записывает в их начало программу, которая при запуске сообщает:
"Coup.1957,2052.a":
Coup De Main : In Childhood taught me to Love Now that I Love Frenzied,Said me Forget !!!
"Coup.2052.b":
If you are boy,go and play ball !! Otherwise,Our "Blind Date" every day in "4-Bagh" at 6-9(pm).
CrazyEddie
Crazy Eddie
Crepate, семейство
"Crepate.1944":
Crepa R.T. (c) by MI BRACCOBALDO 1992/93 (CREPA) Italian Virus Laboratory (PISA) Released 3.0 - REDRUM. Crepa - R.T.
"Crepate.2910":
COMcomEXEexeOV?ov? Crepate (c)1992/93-Italy-(Pisa) Crepa(c) bye R.T.
CriCri, семейство
"CriCri.4300": Cri-Cri ViRuS by Griyo/29A ...Tried, tested, not approved. "CriCri.4616": Cri-Cri ViRuS by Griyo96 ...Tried, tested, not approved.
"Родственником" вирусов "CriCri" является вирус "Implant" .
Crusade.3072
MM ID SC RG WE VI AD
При загрузке с зараженного диска вирус также перехватывает INT 13h (стелс) и INT 1Ch (эффект). Эффект вызывается через 5 часов после загрузки с зараженного диска - вирус расшифровывает и выводит текст:
+--------------------+ | LIVE `N` LET LIVE! | +--------------------+
Вирус также содержит зашифрованную строку:
Take care of soft war or Last Crusade.
Crusher
Если при работе вируса ему не хватает памяти, он сообщает: "Insufficient memory" и возвращается в DOS. При запуске CHKDSK вирус выводит текст:
Crusher You are damned Bit Addict / Trident
ДДДДДДДДДДДДДДДДДДДДДД
Daemaen, семейство
"Daemaen.1894":
COMEXEBINOVLSYSSCCLVSF- Cowboys From Hell/Vulgar Display of Power [Pantera] The best Power Metal band in the world. tHiS k0oL ViRUZ WaReZ bY [TДLФN<=>NЦKф] '93!
"Daemaen.2041,2042,2048":
[DДeMЖИn] by TДLФN-{{NЦKф} Hugs to Sara Gordon Hey John! If this is bad, wait for [VCL20]! For Dudley [VCL20с]/TДLФNшЛ COMEXEBINOVLSYS
DAN (файлово-загрузочные)
DAN.WMA.451
wma
DAS_Boot