Лозинский Д.Н.
Антивирусная программа AIDSTEST.
Краткое описание опознаваемых вирусов
(файл aidsvir.txt)
Версия 1559 от 15 июля 1996 г.
Данное описание является приложением к краткому руководству по
использованию антивирусной программы Aidstest (файлу aidsread.me в
комплекте поставки).
Программа Aidstest предназначена для обнаружения и исправления
программ, зараженных определенными типами вирусов, а именно типами,
известными в настоящее время автору. Перечень опознаваемых вирусов
дается в отдельном файле aidslist.txt, поставляемом в комплекте с
программой. Этот перечень постоянно пополняется по мере появления у
автора новых вирусов. Данный документ содержит описание вирусов,
входящих в этот перечень.
Предполагается хотя бы общее представление о структуре, жизненном
цикле и классификации компьютерных вирусов. Для углубленного изучения
этих вопросов могут быть использованы, например, монографии
Н.Н.Безрукова "Компьютерные вирусы" (М.: Наука, 1991.- 160 с.) и
"Компьютерная вирусология" (Киев: Укр. сов. энцикл., 1991.- 416 с.).
Описание вирусов построено в две колонки. Левая колонка содержит
имена и длины вирусов и используется для идентификации вирусов. Правая
колонка содержит собственно описания. Отдельные вирусы группируются по
некоторым родственным признакам, и их описания даются одной группой.
1. Программные вирусы
Vienna-648, -534, -574, -623, -625, -627, -23693
Наиболее примитивный из широко распространенных вирусов. При
загрузке в память просматривает все COM-программы в текущем
каталоге и в доступных через PATH. Первую найденную еще не
зараженную программу либо заражает, либо, с вероятностью 1/8,
портит таким образом, что она при запуске вызывает перезагрузку
системы. Если испорченной таким образом оказывается одна из
программ, вызываемых из AUTOEXEC.BAT, процедура начальной загрузки
зацикливается. Самым опасным свойством этого вируса оказалась его
простота. Из-за этого в малопочтенное общество авторов вирусов
смогла вступить группа личностей, способных разобраться в несложной
чужой программе и слегка ее модифицировать. Таким образом появилось
много разновидностей этого вируса, отличающихся от него длинами. В
модификации длиной 623 вместо ухода на перезагрузку стоит переход
по адресу C800:0000. Вероятно, предполагалось, что от этого
произойдет форматизация диска. Если у Вас будет обнаружен этот
вирус, можете сами искать модули, в начале которых стоит EA 00 00
00 C8, и стирать их с диска. Думаю, что предметом особой гордости
автора этой модификации была обработка ошибок ввода/вывода,
благодаря чему не должны выдаваться сообщения о попытке записи на
защищенную дискету. В версии 627 отключена ветка порчи программ, в
связи с чем она занимается только размножением. Версия 23693
появилась в Ленинграде и является, вероятно, самой безграмотной и
гнусной. Естественно, проверка длины заражаемой программы не
скорректирована. Оригинальный вирус и, если не ошибаюсь, все
модификации помечают зараженные файлы, проставляя во времени
коррекции файла 62 секунды. При лечении эта пометка не снимается.
Некоторые антивирусные программы реагируют на эту пометку, заявляя
о наличии вируса "Time Stamp".
Vienna-462
Видно слово "Angel". Пакостей не делает, но на будущее предусмотрен
счетчик поколений и опрос системного времени.
Vienna-481
Запланирована форматизация диска, но с ошибкой.
Vienna-502
14 января надеется портить нулевую дорожку на третьем цилиндре
первого твердого диска. Есть текст "/mw soft/93.3.15/norilsk/".
Vienna-507
Заражает только в текущем каталоге. Зараженные файлы помечает 13-м
месяцем.
Vienna-520
После очень большого числа заражений намерен портить первый твердый
диск. Есть текст "/MW Soft./1993Feb6/Norilsk/Shura M./Depeche Mode/".
Vienna-535
Во времени ставит 58 секунд. В первые 5 байт испорченных файлов
попадают относительно случайные данные, поскольку это поле иногда
пересекается с именем файла.
Vienna-565
Вместо перезагрузки пишет 5 нулей.
Vienna-576
Собирался вместо перезагрузки системы заставлять испорченные файлы
стирать начало диска "C", но, как обычно, в этом месте есть ошибка.
Vienna-604
Во времени ставит 0 секунд. В первые 5 байт испорченных файлов
JMP F000:E05B, что для большинства версий BIOS также означает
перезагрузку.
Vienna-613
Пометка во времени - 60 секунд. EXE опознает правильно. В связи с
особым способом заражения COMMAND.COM версии 3.30 AIDSTEST лечит
его не вполне корректно (уменьшает длину), что не должно приводить
к отрицательным последствиям.
Vienna-618
Вместо команды перезагрузки портит файлы командой "JMP 0:FFF0", что
приводит к повисанию системы при запуске испорченной программы.
Vienna-708
Портит один из восьми файлов куском, выводящим текст "Copyright
1992 Metal TechnoRat (MTR).".
Vienna-757
Иногда выдает на экран "Безвредный вирус: Долой Кузьмичей !!!".
Vienna-779
Может стереть с диска 256 первых секторов. Есть тексты "Violator
Strain C - (C) 1991 RABID Int'nl Development Corp.", "Violator
strikes again...".
Vienna-833
С вероятностью 1/8 заражает куском длиной 171, который ставит в
памяти резидент на INT 13, производящий довольно бессмысленные
действия.
Vienna-998
Весьма творческая переработка: добавлено кодирование и изменена
пометка во времени.
Vienna-1000
Оставляет в памяти резидентную часть, которая через час, в случае
нажатия на "Print Screen" устраивает падение букв на экране со
звуковым сопровождением.
Vienna-1006
Вместо порчи некоторых программ, которая была в первой версии,
играет мелодию, которая даже на XT в "турбо" режиме исполняется
слишком быстро.
Vienna-1201
Изготовлен в лучших традициях структурного программирования.
Попытка испортить загрузочный сектор диска реализована не вполне
удачно.
Vienna-1239
Портит первые 3 сектора на секторе 0 головка 1 первого твердого
диска (обычно это BOOT и два первых сектора FAT).
Cascade-1701, -1704
Два варианта в протоколе можно различать по разности длин. Заражает
только COM-программы, однако опознает их не по имени, а по
внутреннему формату. Это широко известный вирус, вызывающий
осыпание букв на экране. Как и большинство вирусов, он остается в
памяти машины и заражает запускаемые после него программы. Алгоритм
активизации использует часы и устроен таким образом, что наблюдать
деятельность этого вируса (осыпание букв) можно обычно только на PC
-XT, да и то необходимо устанавливать дату. На AT этот вирус
демонстрировал свои способности только в третьем квартале 1988
года. Приятной особенностью этого, как и большинства действительно
грамотно написанных вирусов, является отсутствие непоправимых
последствий его деятельности. Следует отметить, что автор вируса
хотел сделать его не заражающим машины фирмы IBM, но сделал в этом
месте ошибку (перепутал сегментный регистр). Название в
классификации SCAN "Cascade [170X]".
Cascade-1661
Переделка классических 1701/1704. Scan опознает как "Turkey [Trk]".
Jerusalem-1808
Заражает и EXE- и COM-программы. К сожалению, этот вирус различает
их по имени и потому делает неработоспособными программы, у которых
имя не соответствует содержанию. Из-за ошибки этот вирус
многократно заражает одну и ту же EXE-программу. Внешние проявления
- "черный квадрат" на экране (координаты 5,5 - 16,16) и замедление
работы машины. Главная опасность от него грозит, когда на 13 число
приходится пятница. По таким дням вирус стирает все загружаемые
программы. Название в классификации SCAN "Jerusalem Virus Version B
[Jeru]".
Edd) Группа вирусов одного автора, в которую объединены и вирусы,
имевшие имена "E" и "Bch". Изготовлены в Болгарии, заражают и EXE и
COM. Программные файлы заражают даже при их чтении, из-за чего
размножаются очень быстро. Главная опасность состоит в том, что
вирусы портят на диске относительно случайно выбираемые сектора.
При этом очень трудно определить, какие же файлы он успел
испортить. Это проделывается при каждом шестнадцатом запуске
зараженной программы.
Edd-651
Только заражает и только при загрузке программ.
Edd-1800
Прежнее название этого вируса "E". Испорченные сектора содержат в
начале фразу "Eddie lives...somewhere in time!", которая имеется в
начале вируса. После лечения диска можно найти по этому признаку
все испорченные файлы. Эта фраза должна стоять по адресу, кратному
512. Название по SCAN "Dark Avenger virus [Dav]".
Edd-2000
Дальнейшее развитие вируса. В этой версии появилось заражение
создаваемых программных файлов и элементы невидимости. Прежнее
название "Bch", по наличию в теле вируса текста "(c) 1989 by
Vesselin Bontchev". Существует два варианта, отличающиеся текстом в
начале: "Only the Good die young..." и "Zopy me - I want to
travel". AIDSTEST различает их, но не отражает этого факта в
протоколе. Этот вирус, как и следующий, в испорченные сектора пишет
BOOT Sector текущего диска. SCAN опознает его как "2000 Virus
[2000]"
Edd-2100
Следующая разновидность. Содержит в начале и в конце текст "Eddie
Lives", поскольку именно эти слова стали "пакостной маркой" автора,
которой он очень гордится. Сохранен и текст "(c) 1990 by Vesselin
Bontchev". Отличия от предыдущей версии не слишком принципиальны.
SCAN опознает его как "2100 Virus [2100]"
EddX-1800
Очень малая переделка Edd-1800.
EdXX-1800
Очередная переделка Edd-1800.
Eddie-1530
Заражает COM и EXE, резидентный. Иногда устраивает перезагрузку
системы. Может портить тип диска в CMOS.
I-529
Заражает только COM, но различает типы только по имени, из-за чего
делает неработоспособными EXE-программы, имеющие расширение COM.
Остается резидентным, перехватывая прерывание 21. Никакой вред не
предусмотрен. Не проверяет версию операционной системы, но
использует имя программы, которое ставят в Environment версии не
ниже 3.0. Записывается в начало, переписывая старое начало в конец
файла. Внешне опознается только по длине. Прислан из Ленинграда
15.12.89. Судя по всему, автором является начинающий пакостник, так
как почти все передрано из знаменитого "Израильского" вируса - в
классификации AIDSTEST - вирус (C). Есть шансы на появление новых
версий, поскольку предусмотрена подпрограмма обработки EXE-файлов,
которая пока состоит из одного RET.
M) Весьма большая группа вирусов одного автора. Внутри каждого из них
есть номер разновидности в авторской классификации. Этот номер
приводится в протоколе вслед за буквой "M". Подробности о разных
версиях приведены в отдельном разделе ниже. SCAN называет
представителей этой группы "Vacsina virus [Vacs]" или "Yankee
Doodle Virus [Doodle]", а иногда и обоими именами одновременно, что
обычно не означает наличия в модуле сразу двух вирусов.
Sun-1631
Удлиняет файлы на 1636 (5 - длина признака зараженности,
приписываемого к концу файла). Весьма похож на "Израильский" вирус,
что позволяет подозревать либо одного автора, либо плагиат.
Отсутствует ошибка, вызывавшая многократное заражение одного EXE
модуля. В качестве пакости предусмотрено стирание всех загружаемых
программ по воскресеньям с выдачей при этом на экран совета по
воскресеньям отдыхать. В связи с этим свойством вирус известен под
именем "SUNDAY". Впрочем, есть надежда, что в этом месте вирус
содержит ошибку и пакостная ветка никогда не должна работать.
Дополнительная неприятность заключается в том, что вирус,
приписываясь к началу заражаемых COM-модулей, не контролирует их
длину и поэтому безнадежно портит модули, длина которых вместе с
ним превышает 64К. SCAN опознает как "Sunday Virus [Sunday]".
IV) Группа, состоящая пока из трех представителей с длинами 847, 740 и
345 байт. Устройство предельно примитивное - заражаются только COM-
модули в текущей директории, причем не предусмотрено даже
сохранение даты, не говоря о контроле длины. Заражение производится
приписыванием к началу. IV-740 не контролирует и своего наличия в
модуле, в связи с чем заражение происходит многократно. Остальные
довольно скоро и часто начинают вместо исполнения программы
выдавать сообщение "Program sick error:Call doctor or buy PIXEL for
cure description". Очень похоже на то, что первый из этих вирусов
был опубликован в виде исходного текста в каком-то издании по
компьютерным вирусам в качестве наиболее простого примера. В
результате получился наглядный пример того, что нельзя давать
такого рода информацию, которой может воспользоваться любое
ничтожество. На расстоянии 2-3 байта от начала в этих вирусах стоят
буквы "IV". Из этой группы SCAN опознает IV-345 и IV-847, называя
их "Amstrad Virus [Amst]".
V) Эта буква в дальнейшем будет использоваться для обозначения всех
новых вирусов, о которых нельзя сказать ничего интересного. Их
перечень будет следовать ниже с вынесением на поля длины.
V-600
Заражает только COM-программы. Приписывается к началу. 600 байт
правильного начала программы переписываются в конец, причем зачем-
то кодируются (XOR 0xBB). Программы с флагом защиты от записи не
заражает. В процедуре обработки неустранимой ошибки ввода/вывода
(INT 24) есть неточность.
V-257
Заражает только COM-программы, причем только в текущей директории.
Получен из Кемерово. По-видимому, местного происхождения. Иногда
вызывает перезагрузку операционной системы. Сделан весьма
неграмотно. Никогда не закрывает файлы, причем открыть их может
очень много. Портит время. Не блокирует сообщения о защите от
записи. Зараженные программы теряют способность обрабатывать
параметры.
V-4096
Заражает и COM и EXE. Scan опознает его как "4096 Virus [4096]".
Все зараженные программы удлиняются ровно на 4096, а в дате год
увеличивается на 100. Впрочем, обычно этого обнаружить не удается.
Этот вирус превосходит все мыслимые пределы затраты труда на столь
ничтожную цель. В нем обрабатываются 20 функций DOS (INT 21), в
результате чего в зараженной машине полностью маскируются следы его
деятельности. Мне представляется, что универсальный сторож, который
обнаружил бы появление в машине этого вируса, должен просматривать
каталоги не стандартными средствами MS DOS, а через прямое
считывание секторов, поскольку все средства доступа к файлам отдают
программам информацию, из которой удалены все следы деятельности
вируса. Мне пока не удалось обнаружить никакой специфически
пакостной деятельности вируса, но уверяют, что он портит каталоги.
Я достаточно тщательно изучил его средства размножения, а на
детальный анализ прочих частей пока не хватило времени. SCAN
опознает его как "4096 Virus [4096]"
V-644
Заражает только COM в текущей директории, причем не в корневой,
причем только первые 20 минут каждого часа. Является, по-видимому,
свободной вариацией на тему вируса "A". При этом, однако, автору не
удалось справиться с регистрами, и заражение через PATH не
происходит. Время создания файла портится, поскольку в него
довольно глупо ставится признак зараженности.
V-1049
Заражает COM и EXE. Очевидный плагиат из "музыкальных" вирусов,
впрочем, только достаточно тривиальной части. "Оригинальной"
является только пересылка содержимого AX в BX до сравнения,
вставленная, по-видимому, в соответствии с моими рекомендациями для
авторов вирусов.
V-512
Заражает только COM. Является первым представителем давно
ожидаемого семейства вирусов, не меняющих длину заражаемой
программы. Как это сделать знают достаточно многие. Думаю, что
такие вирусы до сих пор не появлялись из-за одного очень
неприятного их свойства - после копирования зараженной программы
она становится неработоспособной. Текущая версия AIDSTEST различает
6 вариантов этого вируса, хотя и не отражает этих различий в
протоколе, поскольку они существенны только для лечения, а не по
последствиям. Даже главная ошибка, упоминаемая ниже, присутствует
во всех версиях. Судя по некоторым приметам, и этот вирус написан
автором вируса "Dark Avenger". Ему, очевидно, доступна внутренняя
документация фирмы Microsoft, поскольку в тексте использовано
большое число недокументированных возможностей MS DOS. Есть две
довольно грубых ошибки, одна из которых должна с вероятностью 2/n,
где n - количество системных буферов (параметр Buffers), приводить
к повисанию системы в момент первой загрузки вируса в память
машины. Учтите, что при лечении программ от этого вируса нет
гарантии того, что они будут восстановлены в исходное состояние
(особенно для двух из шести версий). В частности, абсолютно
невозможно восстановить программы, которые после заражения были
переписаны на другой диск или даже на новое место того же диска.
SCAN опознает пять из шести версий как "512 Virus [512]".
V-900, -905
Заражает только EXE. При заражении сегментированной программы может
сделать ее неработоспособной, однако лечению это не мешает.
Предусмотрена оригинальная шутка: на адаптере EGA с определенного
момента времени каждые 10 секунд изображения символов на экране
переворачиваются.
V-707
Заражает только COM, отличая их по имени. При определенных условиях
появляется треск (18 раз в секунду включает и выключает звук).
Текст вируса интересен упорной борьбой автора с несуществующими
трудностями. Вирус активизируется только в MS DOS-3.30, однако,
зачем автору это понадобилось понять трудно, поскольку все
специфичное для этой версии можно было в вирус не вставлять.
V-572
Заражает только EXE. При заражении сегментированной программы может
сделать ее неработоспособной. В этом случае и после лечения
программа может оказаться испорченной (недоступны правильные
параметры длины в EXE HEADER). Привезен из Воронежа. Из текста
вируса видно, что автор очень спешил напакостить, не успев в
достаточной мере изучить MS DOS.
V-516
Заражает только COM, причем только начинающиеся командой JMP.
Является первым представителем давно ожидаемой мной разновидности -
не меняет начало, а вставляет JMP на себя в позицию перехода
первого JMPа. По мелким приметам похоже, что и его сочинил автор
"Dark Avenger". Содержит ошибку в использовании системных буферов,
приводящую к повисанию системы, впрочем, с вероятностью вдвое ниже,
чем у V-512.
V-948
Заражает COM и EXE. За счет округления истинное изменение длины
больше на 1-16. При заражении COMMAND.COM его длину не меняет.
Работает только в MS DOS 3.xx. В качестве шутки предусмотрено
изменение случайно выбираемых букв на экране, но мне кажется, что
эта ветка никогда не работает.
V-699
Заражает только COM, отличая их по имени. Не заражает COMMAND.COM и
файлы короче 1700. Истинное удлинение файлов от 704 до 719. В
качестве пакости предусмотрена периодическая симуляция сбоев на
устройствах гибких дисков, но, как мне кажется, в этом месте
имеется ошибка, которая может приводить к повисанию системы.
V-696
Заражает только COM, просматривая каталоги. Это, кажется, первый
вирус, который работает не только в текущем каталоге (если не
считать "A", работающего через PATH). Впрочем, хотя в алгоритме
хождения по каталогам я детально не разбирался, некоторые ошибки в
нем обнаружил. До заражения округляет длину до кратной 16, причем
точную исходную длину восстановить не удается. Дату и время портит.
Не заражает COMMAND.COM и файлы с атрибутами Read only, Hidden,
System. После 64 запусков зараженной программы предусмотрено ее
стирание и попытка испортить первый твердый диск.
V-1150
Все откровенно украдено из "музыкальных" вирусов, хотя украдено
далеко не все. В частности, автор не сумел даже обеспечить
однократное заражение модуля. Впрочем, автору можно быть
благодарным за то, что он не вставил какой-нибудь пакостной
самодеятельности.
V-370
Предыдущая и более примитивная версия Воронежского вируса V-600.
V-765
Заражает только EXE. На дискетах делает фиктивные BAD Cluster'ы (по
одному на каждый вызов функции Select default drive).
V-1232/1472
Через каждые 10 минут устраивает мелкую пакость с клавиатурой -
пятикратное повторение последней нажатой клавиши. Время создания
файла портит. Обнаружены две переделки, которые через час выдают на
экран слово "SAMSOFT". Scan опознает как "Keypress [Key]".
V-695
Заражает COM и EXE, различая их по имени. Резидентный. Для второй
половины 1990 года предусмотрена шутка: каждый час 5 раз с
небольшой задержкой гасит экран. Не заражает файлы Read Only, хотя
и хотел это делать. Дату не портит.
V-1308
Заражает только COM просматривая диск классическим Венским
алгоритмом. В качестве пакости предусмотрено быстрое забивание
свободного места в FAT признаками конца файла. После лечения
необходимо пустить CHKDSK и затем удалить из корневого каталога
файлы с именами FILEnnnn.CHK.
V-537
Заражает только EXE в текущем каталоге. Портит дату и время,
устанавливая фиксированные значения: 17.08.88 - 02:08:34. В
процессе поиска файла для заражения забывает их закрывать, в связи
с чем при исполнении программы возможна ошибка.
V-310
Заражает только COM. Резидент в области векторов прерываний. Иногда
вызывает перезагрузку системы.
V-384
Содержит гордую фразу: "Infects ani .COM or .EXE file on any
writeable Device". На самом деле и те и другие безнадежно портит,
причем только в текущей директории. Единственное почти оригинальное
достижение - использование доступа FCB. Все зараженные файлы
приходится удалять.
V-1202
Вариант V-1150.
V-821
Заражает только EXE. Новая продукция автора V-900 и V-905. Однако,
на этот раз вместо шутки с экраном вставлена мелкая пакость - на
дисках, имеющих 12-битовый FAT, постоянно образуются псевдосбойные
кластеры. Алгоритм заражения сохранен полностью. Scan опознает как
"905".
V-1014
Заражает только EXE, однако, из абсолютно непонятных соображений,
COM-программы, имеющие в начале JMP, обрабатывает по тому же пути.
В результате вирус оказывается дописан к концу файла, а в начале
портятся 6 байт (+4-+5 и +14-+15h). Такие файлы AIDSTEST не
обнаруживает. Опасности они не представляют, но работоспособность
могут потерять. Очень редко вирус может производить мелкие шутки на
адаптере типа EGA/VGA - смещать по вертикали развертку на экране.
Scan опознает его как "Armagedon [Arma]".
V-715
Заражает только COM в корневом и текущем каталоге текущего диска.
Содержит довольно интересный алгоритм обхода резидентных сторожей.
Зараженная программа через месяц после своего заражения после 13.00
перезагружает систему. Из непонятных соображений заражает и файлы с
атрибутом System, в т.ч. ibmbio.com и ibmdos.com, что приводит к
очевидным результатам. Весьма тяжелое впечатление оставляет
сочетание хорошего уровня программирования и столь примитивного
результата.
V-300, -748
Заражают только COM в текущем каталоге. Судя по почерку, одного
автора. 300 по 3-м числам месяца портит 19 секторов в случайном
месте диска D: и выдает текст "Happy Birthday,Cheef!", а 748 в 5
часов утра в субботу портит все EXE-файлы в текущем каталоге таким
образом, что они портят при запуске сектора в случайных местах
первого твердого диска.
V-756
Заражает только EXE. Довольно грамотно и оригинально реализован
тривиальный "Венский" алгоритм просмотра каталогов по PATH. Тело
вируса кодируется. Совершенно оригинально сделан обход слежения за
DOS-функциями, но дубово до изумления - по памяти ищется
последовательность байтов, стоящая на входе в MS DOS 3.30, в связи
с чем на других версиях вирус добровольно отказывается работать.
Замедляет работу машины, оставляя на прерывании по времени цикл из
восьми байт. Интересные люди пишут вирусы!
V-1355
Заражает EXE и COM. Резидентный. Стирает и не восстанавливает
атрибуты. Если не ошибаюсь - проверить не было возможности - каждый
час устраивает дрожание экрана.
V-1131
Заражает EXE и COM. Резидентный. По шестым числам месяца устраивает
осыпание букв при помощи довольно примитивного алгоритма.
V-454
Заражает только COM, резидентный. На адаптерах EGA/VGA устраивает
подергивание экрана по горизонтали.
V-1576
Заражает EXE и COM. Резидентный. Не меняет длину COMMAND.COM.
V-550
Заражает только EXE, резидентный.
V-388
Заражает только COM, резидентный. Содержит две грубые ошибки, одна
из которых очень быстро приводит к повисанию системы. В связи с
этим лечение возможно только в чистой операционной системе.
V-855
Заражает COM и EXE, резидентный. С 1 по 16 ноября после 500 нажатий
на клавиши стирает первые 8 секторов текущего диска. Scan опознает
как "855".
V-1391
Заражает только EXE, резидентный. Не работает ни на 8088/8086 ни на
80386 процессорах, хотя и по разным причинам. По первым числам
портит Partition Table (меняет параметры второго раздела), сохраняя
исходную в третьем секторе. Исправить эту ситуацию можно только при
помощи NU или DiskEdit.
V-373
Заражает только COM (различает по имени), резидентный. Иногда при
EGA/VGA адаптерах подергивает экран по горизонтали.
V-586
Заражает только COM, резидентный.
V-302
Заражает только COM, резидентный. Портит дату и время. Не заражает
файлы с атрибутом "только чтение".
V-1441
Заражает COM и EXE, резидентный. При заражении COM дописывает в
конце дополнительно до 31 байта. При заражении файлов, имеющих в
конце много нулей (COMMAND.COM), не меняет длину зараженного файла.
V-330, -357, -475, -563
Заражают только COM, резидентные. Абсолютно бесцветные.
V-1526
Заражает только COM, резидентный. Написан весьма оригинально, но
часто конфликтует с операционной системой.
V-1635
Заражает только EXE, резидентный. Удивительно безграмотный. Портит
дату файла, заражает многократно, быстро вешает систему.
V-458
Заражает только COM, резидентный. Стандартное сочетание серости с
подлостью. Старается во всех файлах испортить 1 байт (+2) и
затереть 9 первых секторов диска "C". К счастью, успешность этих
попыток маловероятна.
Mur-1277
Заражает и COM и EXE. Близко от начала содержит текст "I'm Murphy.
...". Главное внешнее проявление: в интервале от 10 до 11 часов
пищит с частотой 11.9 Кгц. В процедуре обработки INT 24 применен
очень хитрый прием выхода - прямое восстановление всех регистров
непосредственно из стека (наглядная демонстрация того, что лишние
знания дураку только вредят). Поскольку автор забыл, что может
понадобиться восстановление и стековых регистров, последствия этой
хитрости при попытке писать на защищенную дискету являются
непредсказуемыми. Например, при загрузке AIDSTEST с защищенной
дискеты появлялись совершенно некорректные сообщения. Заметен
плагиат из "Dark Avenger", причем без достаточного понимания
функций копируемых фрагментов.
Vrn-1600
Заражает и COM и EXE. Заражение производит не только при загрузке
программ, но и при открывании на чтение файлов с расширением EXE.
Имеется ряд признаков, позволяющих с уверенностью говорить о
родстве с V-600. Произведен в Воронеже, причем мне сообщили имя
автора - Стас Олейников. В подтверждение этой информации Касперский
Е.В. обнаружил в V-600 закодированный текст "Oleynikoz S.,1990".
Для меня абсолютно непостижим стимул, которым руководствовался
автор, сочиняя этот вирус. Дело в том, что его единственная задача
- обойти самозащиту AIDSTEST, которая описана в последнем разделе
настоящего описания, причем с предельным старанием, без проблеска
новых идей и даже с ошибкой реализована рекомендованная процедура.
Сообщая эту процедуру, я надеялся, что главной движущей силой
авторов вирусов является болезненное самолюбие и желание доказать
свою способность придумать нечто принципиально новое. На этот раз
воронежский пакостник недалеко ушел от тех, кто гордится умением
поменять пару команд в простейшем вирусе "Vienna (DOS 62)".
Vrn-1536
Заражает COM и EXE, различая их только по имени. Реализован тот же
алгоритм заражения EXE-файлов. В текстах, выдаваемых на печать,
меняет некоторые слова на нецензурные.
VrnA-1536, VrnB-1536
Слегка подправленные версии предыдущего.
Vrn-1584
Новый вариант предыдущих. Вместо развлечения вставлена существенная
пакость - порча всех DBF-файлов. В подробностях ее я не разбирался.
Ysh-1961
Заражает только EXE, просматривая в момент запуска зараженной
программы все каталоги диска. Перед тем как передать управление
исходной программе, исполняет мелодию. В конце вируса имеется слово
"motherfucker". Поступил из коллекции известного болгарского
вирусолога Бончева и ему же принадлежит название YANSHORT. В живом
виде пока не замечен, как я думал в момент его обработки, но уже на
следующий день мне его прислали, как отловленного в Кемерово. SCAN
опознает его как "Yankee Two Virus [Doodle2]".
sI-492
Заражает только COM. В памяти остается в области второй половины
векторов прерываний (0:200-0:3FF). Кроме прерывания 21 берет и 1C,
которое использует для выбора момента порчи случайного места диска
"C:". Есть, впрочем, надежда, что автор немного напутал и такой
момент никогда не наступает. Первым делом вирус пытается заразить
"C:\COMMAND.COM". До заражения в конец файла дописывается от 1 до
16 нулей, чтобы длина стала кратной 16. Исходную длину файла
восстановить невозможно. Время также портится. Более того, время
постоянно указывает на момент последнего запуска программы, пока
количество запусков с момента заражения не станет равным 256.
Сообщение о попытке записи на защищенную дискету не блокируется.
Комбинация "sI" присутствует со смещением 3 от начала всех
зараженных программ и используется вирусом в качестве
опознавательного знака.
Atn-394
Заражает только COM, различая их по имени. Остается резидентным,
занимая 416 (1A0) байт в конце памяти. В начале всех зараженных
файлов стоит текст "ATTENTION !". Дату портит. При попытке записи
на защищенную дискету (точнее при неустранимой ошибке ввода/вывода)
сообщение блокирует, однако трижды включает и выключает мотор
дисковода "A".
BEBE-1004
Заражает только COM в текущей директории, различая их по имени.
Оставляет в памяти резидентную часть, которая помещается по адресам
0:1CE-3EB и перехватывает прерывание от часов (1C). Через 10 минут
после загрузки на экран выдается идиотский текст, после чего из-за
абсолютно безграмотной работы с клавиатурой вирус зацикливается и
приходится перезагружать систему кнопкой RESET или выключением
машины. Блокирование этого фрагмента пока не предусмотрено, поэтому
рекомендуем запускать AIDSTEST для лечения с чистой системы или
сразу после загрузки, а после лечения сразу перезагружаться.
BEBE-486
Отличается тем, что резидентный фрагмент вместо организации
остроумного диалога пакостит на диске - при исполнении функции
WRITE меняет символы "+" на "-" и наоборот. Важным достоинством
обоих разновидностей вируса является их неработоспособность
практически на всех типах машин.
MGTU-273
Заражает только COM в текущей директории, различая их по имени.
Содержит текст "Эта пpогpамма написанна в МГТУ студентом гpуппы
ИУ4" (текст полностью скопирован из вируса).
LCh-488
Заражает только COM, различая их по имени. Содержит текст
"LoveChild in reward for software sealing". Специально настроен на
работу в MS DOS-3.30, причем из-за ошибки мгновенно вешает любую
другую версию. Заражение производит не только загружаемых программ,
но и при исполнении функций OPEN и RENAME, однако содержит счетчик
на 5000 до первого заражения. Иногда при создании файла вместо него
создает под тем же именем оглавление. Самым гнусным свойством
является его способность записать в начало EXE-программы
последовательности команд, которая полностью сотрет все содержимое
диска. Естественно, такие модули AIDSTEST с диска стирает.
Loz) Вирусы, объединяемые под этим именем, являются расплатой за
популярность AIDSTEST.
Loz-1023, -1018
Заражает только COM, однако заметно желание в дальнейшем
распространить деятельность и на EXE-программы. Заражение
происходит и при открытии файла на чтение. Атрибуты и дата файла
портятся. Главной задачей, которую поставил перед собой автор,
является борьба против AIDSTEST. Вирус, как и большинство
остальных, остается резидентным в памяти, перехватывая обработку
функции 4B (загрузка программ). При попытке исполнить программу
AIDSTEST он вместо этого выдает текст:
Welcom to demo version (C) Zherkov
Лозинский-ДУБ , AIDSTEST - горбуха
и пытается стереть AIDSTEST с диска. Для лечения необходимо
работать в чистой операционной системе, загружаемой с дискеты,
либо, если у вас такой нет, переименовать AIDSTEST (защита от
переименования снята). Еще раз напоминаю - имейте копию на
защищенной дискете. В вирусе предусмотрена и еще одна пакость: при
записи на дискету BOOT Sector (например, при форматизации) в нем
заменяется на 0 параметр количества поверхностей (смещение 1A). Как
ни странно, исправить такую дискету довольно трудно. Программу NU
(Norton Utilities) следует запустить командой "nu a: /m", причем в
это время дискета не должна быть загружена, и только после начала
работы программы ее можно загрузить. В противном случае NU
зацикливается. Из анализа текста вируса видно, что автор знаком с
довольно тонкими возможностями MS DOS, но применяет их довольно
бессмысленно.
Loz-1915
Новая версия вируса того же автора. На этот раз добавлена обработка
EXE-программ. Пострадавшим от этого вируса могу сообщить координаты
автора.
Loz-1882
Тот же вариант с исправлением нескольких ошибок.
Loz-2968
Отличается от предыдущей регулярной выдачей на экран весьма изящной
рекламы AIDSTEST, а также тем, что не портит дискеты.
Loz-1922, -1958
Почти точное подобие 2968, но без рекламы AIDSTEST.
Loz-2970
Функционально подобен 2968, но с фрагментами из 1958.
Loz-776
Очередная вариация на тему "Vienna (DOS 62)". Пометка зараженности
заменена с 62 на 58 секунд. Автору можно быть благодарным за то,
что он, по крайней мере, выкинул порчу программ и заражает только
программы длиной от 813 до 3302. Иногда выдает сообщение:
Я, кажется, подхватила какую-то заразу...
Срочно звоните Дмитрию Николаевичу Лозинскому
по телефону 292-40-76 (Москва) и приобретите
ПРОГРАММУ AIDSTEST !!!
Loz-693
Заражает только COM, кроме COMMAND.COM. После 224 загрузок системы
каждые 4 минуты осыпает содержимое экрана и выдает в центре экрана:
Бей жидов и Лозинского
Version d13,copyright (c) 1991 by LEV & "С.Х."
Счетчик загрузок ведет в MBR со смещением E3.
Loz-2253
Функционально подобен 1958.
MSTU-554/551, -532/531
Заражает только в текущей директории, различая их по имени. В
качестве признака зараженности ставит фиксированное время
(10:47:22). Файлы с флагом Read only не заражает. Содержит текст
"This program was written in MSTU,1990". Думаю, что позорит МГТУ
своим безграмотным творением тот-же, кто сочинил и MGTU-273.
Поскольку никакие проверки длин в вирусе не предусмотрены,
полноценное лечение всех файлов не гарантируется.
MSTU-1351
Заражает COM и EXE, резидентный. Выводит текст "Innoxious Bug 2.02
'The Sad Flasher' (c) 1994-95 BugsoftIU7, MSTU, Moscow. We offer
our apologies for possible data destruction.". Bug'ов,
действительно, много.
SVC) Группа вирусов одного автора, живущего по имеющейся информации в
Нижнем Новгороде. Все имеющиеся версии заражают COM и EXE. Содержат
близко от конца текст: "(c) 1990 by SVC,Vers. 4.0". Корректируют
время создания файла, ставя в нем 60 секунд. Если зараженную
программу загружает DEBUG, вирус ее исправляет. При вызове функций
просмотра каталога, вирус корректирует в информации о зараженных
программах время и длину, скрывая свое наличие в них.
SVC-1689, -1740
Две разновидности одной версии, отличающиеся в одном фрагменте,
который, кажется, так и не был отлажен.
SVC-3103
Существенно переработанная версия - 5.0, в которую добавлены новые
старания скрыть свое наличие в машине, впрочем, основанные на
известных методах. Можно одобрить стремление автора не испортить
диск при работе программы CHKDSK и не заражать COMMAND.COM и
системные модули.
SVC-1064
Версия 3.1. Занимается только заражением.
SVC-4644
Очередная версия 6.0. На этот раз добавлено заражение MBR
(Partition Table) и даже программ в формате драйвера. В связи с
последним обстоятельством при обнаружении этого вируса необходимо
производить чистку с параметром /G (просмотр не только EXE и COM).
Вставлена защита от трассировки, позаимствованная из музыкальных
вирусов. Трудолюбию автора можно только удивляться. Сколько же
можно тратить сил, повторяя давно сделанное другими? Формально
новое - заражение драйверов достаточно тривиально. Думаю, что этого
до сих пор никто не делал, поскольку этот путь размножения
абсолютно бесперспективен - драйверы практически никогда с машины
на машину не копируют.
SVC-4661
Отличается от 4644 только исправлением одной ошибки - теперь к
AIDSTEST.EXE приписывается текст: "/* (c) 1990-91 by Moscow SVC,
Vers.". Прочие ошибки остались в неприкосновенности.
SVC-4677
Весьма мало отличается от 4644.
SVC-2936
Старательно переписанная версия 3103. Добавлена порча дисков 4-го и
19-го июня.
SVCX-3103
Переделка вируса SVC-3103. Вставлена обработка INT 13 (работа с
диском), причем весьма безграмотно. Используется фиксированный
адрес, по которому MS DOS 3.30 хранит вход в INT 13. В результате в
остальных версиях MS DOS вирус неработоспособен.
SVCX-1064
Наивная переделка SVC-1064, в надежде на усложнение его лечения.
SVCXX-3103
Еще одна малограмотная, но весьма гнусная переделка. Добавлена
порча диска "C:", а вместо обработки CHKDSK не заражается Aidstest.
MLTI-830
Заражает только COM. Дату портит. По пятницам после трех часов
непрерывной работы стирает с диска все загружаемые программы.
Содержит тексты, свидетельствующие о том, что вирус изготовлен в
МЛТИ. Способ фиксации в оперативной памяти заимствован из одной из
последних версий "музыкальных" вирусов (как и в V-1049).
HYMN-1865, -1962, -2144
Заражает и COM и EXE, причем не только при загрузке программы, но и
при открытии файла, переименовании, изменении атрибутов и даже при
создании нового программного файла. При совпадении номера дня и
месяца (1 января, и т.д.) портит BOOT Sector диска "C", после чего,
довольно фальшиво, исполняет Гимн Советского Союза с выводом на
экран саморекламы. Особенно неприятно, что на PC XT в момент
загрузки системы стоит дата 01.01.80, и, если COMMAND.COM заражен,
диск "C" сразу портится. Исправить BOOT Sector диска "C" можно при
помощи программы NU.EXE. Для этого ее следует запустить с дискеты
командой "nu c: /m", выбрать сектор 0, скопировать вручную 9 байт,
которые стоят со смещением 1F3, в байты со смещением 0C и записать
сектор на диск. Обезвредить эти вирусы в памяти абсолютно чисто
удается только для версии MS DOS 3.30, поскольку автор вируса
использует некоторые особенности, присущие только этой версии, не
давая, естественно, себе труда проверить, в какой версии пакостит.
Особенности версий: 1865 - записывается в программу без
модификации; 1962 - кодирует себя до записи в заражаемую программу;
2144 - кроме кодирования содержит некоторые хитрости, которые
должны затруднить его изучение. Еще раз советую чистить машину от
вирусов, загружаясь с дискеты с чистой операционной системой.
Kuku-448
Заражает только COM. Алгоритм поиска содран из классического вируса
"Vienna (DOS 62)" (поиск через PATH). Пишется в начало, копируя
старое начало в конец. Метит зараженные файлы во времени - ставит
20 секунд. Ранее зараженные программы портит, переписывая первые 49
байт. При запуске такой программы на экране (только цветном)
начинает бегать весьма остроумная надпись "Kuku!". Успешное лечение
от этого вируса не всегда возможно. В случае сомнения в возможности
правильного лечения программа спрашивает разрешение на удаление
файла с диска.
Mgn-2048 (две версии), -2560 (три версии)
Заражают и COM и EXE. По имеющейся информации произведены в
Магнитогорске. Некоторые версии в определенные моменты
переворачивают всю информацию на экране, причем восстанавливает
расположение всех рамок и скобок. Другие вместо этого выдают
приветствие в мой адрес или содержат обе эти шутки. Написан с
большой изобретательностью и довольно аккуратно. В частности, не
заражает сегментированные программы. Более того, в вирусе
предусмотрена возможность лечения зараженных программ. Остается
только сожалеть, что автор не объявляет об этом и не воздержался от
распространения своего вируса. В одной из версий есть довольно
примитивный антитрассировочный прием. Кроме того она производит
мелкую пакость в Partition Table на дисках, если не ошибаюсь,
размеченных программой DM (параметр System Code меняет с 50h на
51h).
Mgn6-3000
Автор, вероятно, надеялся этой версией сделать большое открытие в
области вирусологии и поэтому оставил довольно солидное количество
ошибок. При этом новизна состоит лишь в записи вируса в начало
файла, а не в конец. Новый весьма патриотический видео-эффект -
раскрашивание экрана в цвета Флага России реализован также с
ошибкой, которая может приводить к повисанию системы.
Mgn7-2560
Довольно близко к первым версиям, но использован другой транслятор.
Fu-417
Заражает только COM. Портит дату. Приблизительно через каждый час
стирает экран и выдает в центре текст, который не принято приводить
в печати.
Tula-419
Заражает только COM. Портит дату. Пишет себя в начало. Содержит
текст "Tula 1990". В субботу 14-го пытается испортить нулевой
цилиндр диска "C:". Судя по почерку, изготовлен автором "Fu-417".
Tula-635
Заражает COM и EXE. Того же автора. Через два часа выдает на экран
текст "Formatting drive..." и начинает читать диск. Портит атрибуты
файлов.
Tula-593
Заражает COM и EXE. С интервалом в 2 часа выдача на экран
аналогичная Fu-417, а через 3 часа блокирует работу с дисками.
Tula-1480
Заражает COM и EXE. После каждых 50 программ устраивает
представление с музыкой, включением моторов дискетников и выводом
на цветной экран двустишия на любимую автором тему.
Minsk-1075
Заражает COM и EXE, однако различает их по имени. Портит дату.
Безнадежно портит сегментированные программы. Заражает, в отличие
от большинства вирусов, только при открытии программного файла.
Предусмотрена пакость против файлов DBF: при каждом 20-м чтении
вместо прочитанного блока возвращаются пробелы.
Minsk-825
Заражает COM и EXE, резидентный. Изготовлен очень старательно.
AT-144
Заражает только COM, резидентный. Содержит пару команд, которых нет
в процессоре 8088, в связи с чем не должен работать на PC-XT.
Написан явно способным программистом в расчете на побитие рекорда
длины вируса. Должен, однако, его разочаровать - есть болгарский
вирус имеющий длину 133, причем без PUSHA. Причем его автор
отличается и большей порядочностью - этот вирус существует только в
коллекциях вирусологов.
AT-132
Просто великолепно!
Words-1069, -1085, -1387, -1391, -1485, -1503
Группа вирусов, изготовленных, судя по тексту в некоторых из них, в
Киеве. Заражают и COM и EXE, причем последние превращением в COM.
Резидент в середине памяти (алгоритм взят из вируса осыпания букв).
Предусмотрена весьма гнусная пакость - при записи любых файлов в
них переставляются соседние слова, под которыми понимаются
последовательности букв, цифр и знаков препинания, разделенные
пробелами. Поскольку в качестве букв принимаются и русские,
очевидно отечественное происхождение. Версия длиной 1069 портит
дату и атрибуты файла. В версии 1085 эти ошибки исправлены. Версии
1387, 1391, 1485 и 1503 кодируются и в алгоритме перестановки слов
содержат что-то дополнительное, в чем я не разбирался.
Hero-506, -394
Заражает COM и EXE, резидентный. Разновидность длиной 394 заражает
только EXE. По первым числам при загрузке зараженной программы
выдает текст "С Л А В А Г Е Р О Я М !". Некто неизвестный в порыве
благородного гнева заменил этот текст на "АВТОР ВИРУСА - КРЕТИН" и
пустил дальше новую разновидность... "И что ты смотришь на сучок в
глазе брата твоего, а бревна в твоем глазе не чувствуешь" (Матфея
7,3).
ATA-1150
Заражает COM и EXE, резидентный. Заражает не только загружаемые
программы, но и при открытии файла, переименовании и т.д. Содержит
тексты: "DESTRUCTOR V4.00 (c) 1990 by ATA", "The Time is my!".
DLk-920
Заражает COM и EXE, причем COM не короче 23000. Резидентный. В
конце содержит текст "DataLock version 1.00", рекламируя тем свою
способность блокировать работу с DBF-файлами. Впрочем, в этом месте
имеется ошибка, приводящая к непредсказуемым последствиям (не тем,
к которым стремился автор вируса) при попытке открыть файл с
расширением DBF.
Flip-2343, -2365
Заражает не только COM и EXE, но и Partition Table первого твердого
диска. От первой Partition диска в момент заражения отрезается 6
секторов. При лечении этот эффект не исправляется, что, кажется, не
должно приводить к неприятным последствиям. Грамотные специалисты
могут это исправить при помощи программы NU. При этом придется
прибавить 6 к номеру последнего сектора и общему количеству
секторов в Partition Table, а также аналогичный параметр в BOOT
Record (смещение +13). При наличии экранного адаптера EGA
устраивает на нем шутки в виде переворачивания изображений букв и
текста на экране. В подробностях этих шуток пока разобраться не
удалось. Вирус производит еще одну непонятную работу: во всех
программных файлах ищется определенная последовательность команд и
ее начало заменяется на команду "INT 9F".
Flip-2153
Отсутствует работа с INT 9F и не всегда - в зависимости от значения
внутреннего счетчика в загружаемом экземпляре вируса - устраивается
шутка с EGA.
Sov-1193
Заражает только COM. Резидентный. Портит дату файла. Автор -
большой любитель Советских праздников, поскольку пять дней в году
(23.02, 07.03, 22.04, 30.04 и 06.11) вирус не размножается, а в
момент запуска зараженной программы заполняет экран вертикальными
полосами.
Sov-1205
Новая версия, которая по праздникам выдает вместо полос большими
буквами "I AM VIRUS".
MS-457, -550
Заражают только COM. Плагиат из примитивного вируса "IV". Добавлена
примитивная шутка на экране, а в версии 550 и довольно гнусная
пакость: порча при определенных обстоятельствах всех EXE-программ в
текущем каталоге.
IBM-547
Очередная вариация на тему "Vienna (DOS 62)". В начале стоит слово
"IBM". Длину округляет, причем исходную длину восстановить
невозможно.
Invader-4096
Заражает COM, EXE и BOOT Sector. Во многих случаях через полчаса
играет вальс Штрауса "На прекрасном голубом Дунае". Это, впрочем,
не компенсирует того, что в некоторых случаях после нажатия на
клавиши Ctrl+Alt+Del он может затереть все диски и стереть
содержимое CMOS (памяти для параметров конфигурации машин типа AT).
Очень многое в этом вирусе скопировано из известного Иерусалимского
вируса (C). В том числе, различение COM и EXE по имени и
безнадежная порча сегментированных программ. Оставлено и замедление
работы машины. Вообще написан очень длинно и скучно. Черпать из
него идеи для новых пакостей не советую. SCAN опознает этот вирус.
Pascal-3678
Заражает COM и EXE во всех директориях диска, на котором находится
зараженная программа. Учтите, что при одновременном заражении
вторым вирусом, правильное лечение от этого вируса маловероятно.
Pascal-3680, -3779
Отличаются от предыдущего тем, что стараются не заражать
COMMAND.COM и NCMAIN.
Pascal-3966
Заражает только EXE в текущей директории. ВНИМАНИЕ: при
обезвреживании этого вируса невозможно восстановить 6 последних
байт программного файла. Поэтому многие (возможно большинство) из
них окажутся после лечения неработоспособными.
Pascal-4075
Близок к 3680. Не заражает также ADINF. Добавлено стирание
некоторых файлов.
Pascal-4240
Заражает COM и EXE. С вероятностью 1/50 меняет в BOOT диска C:
количество головок на 1, после чего выводит текст "Smokie3 virus, я
затер Ваш сектор, Вы поняли ? Y/N". С вероятностью 3/50 делает то
же с первым гибким диском.
Pascal-4641
Заражает только EXE. "Немножко" портит файлы с расширениями PAS,
BAS, TXT, BAK, PCX, MID, PIC, CUT, C, ARC, PAK, ZIP, LZH, ICE, CHZ,
ARJ, перемещая в них 64 байта.
Pascal-5000
Заражает COM и EXE. Устанавливает в системе случайное время и дату.
Есть текст
+--------------------------+
| Уважаемый Игорь Данилов! |
|Мне нравится Ваш антивирус|
|Dr.Web,но я разочаровался,|
|когда обнаружил,что Dr.Web|
|3.01 неправильно лечит мой|
|вирус SV11(HLLP.Ceib.4629)|
+--------------------------+
До встреч !
Pascal-6117
Заражает только EXE. Поиск по всем дискам, в том числе и по второму
гибкому, даже если его нет. Портит файлы "*.TXT" и "*. DOC". В
конце всех зараженных и испорченных файлов символы "RevengE". Чисто
выводит текст "I Like this Job!" и вешает систему. Из-за ошибок
многие зараженные файлы безнадежно портятся.
Pascal-6009
Заражает только EXE. Отличается от 6117 текстом: "Русский язык -
самый Великий и Могучий!".
Pascal-6640
Заражает только EXE. Поиск во всех каталогах текущего диска. В
конце всех зараженных файлов видно "INNA 2.4". В 13 часов вызывает
Print Screen. По каким-то датам выводит на экран "Virus INNA
Version 2.4" в рамке.
Pascal-6768
Заражает только EXE. Поиск по всем каталогам, начиная с корневого.
Если все файлы уже заражены, стирает один EXE-файл в текущем
каталоге.
Pascal-7792
Заражает COM и EXE. Поиск по PATH и просто по каталогам. Особое
пристрастие к файлам, имя которых начинается на "A". В частности,
заражает AUTOEXEC.BAT. Оставляет в памяти бессмысленный резидент.
Pascal-7808
Заражает COM и EXE в текущей директории. Написан на Turbo-Pascal.
Pascal-5062
Заражает только EXE. Поиск в текущем каталоге. 13 августа намерен
стереть нулевую дорожку первого твердого диска. Среди текстов есть
"Санкт-Петербург, 1995, Max Hacker ( 14 years old )". К 14 годам
можно научиться программировать и лучше.
Pascal-4170
Заражает COM и EXE. Портит BAS-файлы, дописывая в начало "Smokie4
virus (c) by N5 school BISHKEK 1". Иногда тот же текст выводит на
экран.
Pascal-7840
Заражает только EXE. Поиск во всех каталогах всех дисков. Иногда
оставляет резидент, который должен производить что-то с палитрой и
выводить текст "General error: Smoked cigarrete on hard disk C:".
Из-за ошибок весьма опасен.
Pascal-6421
Заражает только EXE. Поиск по всем каталогам дисков C, D, E. По
16-м числам выводит текст "ЕЛЬЦИН - ПРЕЗИДЕНТ!!!". Может также
выдавать тексты "School 1279", "Path not found", "Bad command or
file name", "Not enough programs".
Alabama-1560
Заражает только EXE в текущей директории, хотя и является
резидентным. Выдает на экран протест против незаконного копирования
программ и некий адрес в штате Алабама. Scan его опознает.
DM-400
Заражает только COM. В конце содержит текст "(C)1990 DM". Может
испортить некоторые дорожки первого твердого диска. Версия 1991
года диска не портит, но портит файлы с расширением TP. Часть кода
вируса кодируется, поэтому содержащийся в этой версии текст
"(C)1991 1.01 DM" не виден. Третья версия файлы с расширением TP
из-за ошибки не портит, а заражает как обычный COM.
DM-330
Тело закодировано. Содержит текст "(C)1991 1.05 DM". Портит файлы с
расширением TP.
STARSHIP-2616
Длина переменная. В качестве его формальной длины указывается 2616,
что является лишь оценкой снизу. Заражает COM, EXE и Partition
Table. Заражение программных файлов происходит только в момент
копирования их на дискету. Активизируется вирус при загрузке
системы с зараженного твердого диска. После лечения от этого вируса
в операционной системе, загруженной с дискеты, рекомендую
произвести перезагрузку и повторное лечение. Автор вируса приложил
огромные усилия для того, чтобы затруднить его изучение.
Вероятность того, что этот вирус приведет к большим неприятностям
довольно мала, за что можно быть благодарным автору.
JOCKER-1371
Заражает COM и EXE. Очередной плагиат из музыкальных вирусов. В
качестве пакости предусмотрено стирание файлов с расширением BAS
(обнуление длины). Подозреваю, что такой эффект является следствием
ошибки. Другая ошибка может приводить к безнадежной порче
заражаемых программ, причем в случае COM-файлов обнаружить этот
факт невозможно и программы, объявленные исправлеными, работать не
будут.
Tumen-1255
Заражает только COM. Портит дату создания файла. При перезагрузке
по Ctrl+Alt+Del с вероятностью около 1/20 исполняет мелодию
Паганини и на адаптере EGA меняет палитру, что приводит к
постепенному исчезновению изображения на экране. Содержит текст
"Tumen.,v1.2;", что, возможно, означает Тюмень.
Tumen-1663
Заражает только EXE, резидентный. Версия, судя по тексту в вирусе,
номер 0.5. В начале и в конце большие тексты с саморекламой.
Some-658
Заражает только COM. Резидентный. Пишется в начало. Содержит текст
"Something v1.1". По 11-м числам заменяет "AUTOEXEC.BAT", записывая
в него пару строк:
@del *.com
@del *.exe
По вторникам в текущей директории пишет файл "SOME" нулевой длины.
Первые четыре и седьмой с восьмым байты исходной программы прячет,
заменяя другими значениями. И откуда у грамотных людей берется
столько тупой злобы?
Kiev-483
Заражает только COM в текущей директории. Содержит текст "Kiev
1990".
Kiev-2048
Заражает EXE и BOOT диска C. Активизируется только при загрузке с
зараженного диска, причем применяет совершенно оригинальный
алгоритм. Поскольку часть тела вируса и исходный Boot Record
записываются в сектора, помеченные как занятые, но не принадлежащие
ни одному файлу, после работы программы CHKDSK или NDD лечение Boot
Record, а также и загрузка с диска, скорее всего станут
невозможными. На успешность лечения EXE-файлов это не повлияет.
Иногда при загрузке системы в четвертом часу дня немного фальшиво
играет Гимн Советского Союза.
mutant-1744
Заражает COM и EXE, но может заразить далеко не каждую программу.
Некоторые программы может заражать несколько раз (например,
COMMAND.COM два раза). Длину не меняет. Внешне, если не ошибаюсь,
проявляется тем, что каждые два часа издает звук случайной частоты.
Имеются существенные заимствования из "музыкальных" вирусов.
mutant-1680
Слегка модифицированная версия. Мне было бы очень интересно узнать,
является ли она авторской, или продукцией "гения", сумевшего
разобраться в этом вирусе.
TAIWAN-2900
Весьма похож на Invader. Отличается тем, что не заражает BOOT и
исполняет другую мелодию (на этот раз идентифицировать ее не
удалось). Питает лютую ненависть к Autocad. При попытке исполнения
ACAD.EXE начинает стирать все диски. Scan опознает его как "TAIWAN3
[T3]".
PRTSCR-1024
Заражает только COM. Для внутренних надобностей использует INT 5
(BIOS функция Print Screen), в связи с чем, при наличии этого
вируса в памяти, попытка распечатать экран вызывает непредсказуемые
последствия.
IFS-361, -377
Две разновидности очередного примитивного подражания классическому
вирусу "Vienna". Заражают только COM в текущей и корневой
директориях. Пометка о зараженности ставится не в секунды, а в
определенные разряды даты.
Chemist-650
Заражает только COM. Записывается в начало. Спрятанное начало
кодирует. Содержит текст "Химик & Слон". При запуске зараженной
программы в третью минуту каждого часа переводит экран в режим
40x25 и выдает текст "Video mode 80x25 not supported".
Feist-670
Заражает COM и EXE. Содержит текст "R.Feist". Размещается по
сегментному адресу 97F0, не пытаясь защитить эту память от
повторного использования. Как ни странно, до повисания системы
иногда успевает что-нибудь заразить. Очередной продукт
непреодолимого желания срочно облегчиться.
DADA-1356
Заражает только EXE. Дату файла портит. Программы с атрибутом Read
only не заражает. Резидентный. В конце содержит текст "да,да...".
Временами циклически сдвигает на экране символы в строках.
AIDS-552
Заражает только EXE. Все прочие файлы (не только программные)
портит. Испорченные COM при запуске выдают на экран большими
буквами из мерцающих точек слово "AIDS".
XPEH-4016
Заражает COM и EXE после марта 1991. Не заражает COMMAND.COM и
AIDSTEST. Кроме того, начиная с сентября 1991, будет портить файлы
с расширениями TXT, LEX, BAK и без расширения, прибавляя по модулю
2 ко всем четверкам байт значение 90958D85. В альтернативной
кодировке это должно означать "ХРЕН", хотя и с переставленными
буквами. Упоминание этого овоща встречается и в другом месте
вируса. Основная часть вируса очень добросовестно переписана из
"M2C". На этот раз плагиат на грани гениальности - скопированы и
все тонкие антитрассировочные возможности.
XPEH-4048
Активизируется в июле вместо марта, а пакости в текстовых файлах
планирует начать в ноябре.
XPEH-3600
Активизация начиная с мая. Отсутствуют все упоминания любимого
овоща, а также порча текстовых файлов.
XPEH-4928
Активизируется независимо от даты. Старается скрывать удлинение
зараженных файлов корректировкой длин после исполнения функций
поиска в каталоге. Кроме того, из абсолютно непонятных соображений,
при загрузке COMMAND.COM с параметром "/C DIR ..." самостоятельно
выдает каталог на консоль, причем не вполне корректно. Например,
если задать в качестве параметра имя подкаталога, будет выдано не
его содержимое, а только он сам. Начиная с 1992 года по дням,
которые совпадают с номером месяца, (1 января, 2 февраля и т.д.)
собирается стирать содержимое 1-го твердого диска, предваряя это
сообщением:
Если у вас есть индикатор работы с жестким диском
и он горит, то форматизация диска близится к концу
Большой привет
Одного мне так и не удалось понять - откуда в людях берется столько
тупой злобы.
XPEH-5808
Дальнейшие попытки так запутать алгоритм кодирования, чтобы никто
не разобрался. Стирание диска не предполагается. Имеется текст: "В
связи с получением работы выпуск новых ХРЕНов временно
приостанавливается. 1991- МФТИ(77)". Можно представить, что
произойдет, если этот ХРЕН решит, что заказчик его обидел. Ведь
против подлости программиста пользователь абсолютно беззащитен.
XPEH-3840
Одна из ранних версий. Порча текстовых файлов имеется, но при
помощи двухбайтового кода 9095.
XPEH-5856
Отличается от 5808 странным пристрастием к программам, имя которых
оканчивается на "SAFE" - у них первый байт меняется на команду RET.
Обещание приостановить свою деятельность присутствует.
XPEH-5648
Промежуточный вариант между 4928 и 5808. Еще содержит порчу диска и
уже - дополнительное кодирование.
XPEH-4752
Отличается от 4928 отсутствием порчи дисков.
SEAT-1614
Заражает COM и EXE. При наличии адаптера EGA или VGA, после 15
успешных заражений в одном сеансе в центре экрана выдает
изображение зада с мультипликационным и звуковым эффектами.
SEAT-1868
Отличается от 1614 наличием кодирования тела вируса.
SEAT-2389
Отличается ускоренным заражением - в процессе просмотра каталога и
более редким появлением зада. Содержит пару наивных попыток
усложнить лечение.
Sistor-2380
Заражает COM и EXE. Есть основания подозревать, что данный вирус
является представителем целого семейства. После десяти заражений
происшедших после 16 часов на цветном экране появляется бегающий
мячик, иногда выбивающий строчные латинские буквы (по образу
осыпающихся букв). Судя по коду, предусмотрен и звуковой эффект, но
мне услышать его не удалось. Слово "Sistor" стоит в конце вируса, а
за ним самый последний байт (05) обозначает, судя по всему, номер
версии вируса.
Sistor-2225
Версия 4. Отличается весьма удивительным методом определения кода
MS DOS функции.
Sistor-1000
Версия 1. Только размножается. Алгоритм сравнения, при котором
значения, например, 4Bh и 0Bh неразличимы, появился в этой версии и
продержался до четвертой.
Sistor-1149
Версия 2.
Sistor-2630
На этот раз автор забыл вставить в конец слово "Sistor", в связи с
чем заражение происходит многократно. Настоятельно советую до
изготовления следующих версий поучиться программированию, чтобы не
использовать 10 команд там, где вполне достаточно двух.
Sistor-2605
Существенно переработана. Добавлен видеоэффект, работающий на
адаптерах типа EGA/VGA, под заглавием "Welcome to new Digger-virus.
(Sistor)".
Sistor-3009
Версия 8. Кроме видеоэффекта с шариком добавлена шутка при попытке
перезагрузки по Ctrl+Alt+Del. На экране появляется надпись "(C)
AWARD. IBM compatible ROM BIOS Ver 2.03", пару раз дергаются
головки дисководов, после чего система виснет.
Siskin-1017
Заражает COM и EXE. По 7-м числам через каждые 30 минут исполняет 3
мелодии, в том числе "Чижик-пыжик".
Siskin-948
Мелодии только две.
TEQUILA-2468
Заражает EXE и Partition Table первого твердого диска. При
заражении Partition Table прячет его исходное содержимое и свое
продолжение в последних шести секторах логического диска. В этом
месте можно обнаружить текст:
Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.
Loving thoughts to L.I.N.D.A.
BEER and TEQUILA forever
Вирус активизируется только при загрузке с зараженного диска, а при
запуске зараженной программы происходит только заражение диска.
MANOVAR-921
Заражает EXE и COM. Резидентный. COMMAND.COM может заражать дважды,
причем при первом заражении не изменяет длину. При исполнении
функции OPEN для программных файлов (COM, EXE) меняет режим на
Read/Write, а в момент закрытия файла пытается его заразить. В
конце содержит текст "Dark Lord, I summon thee MANOVAR".
KBbug-1596
Заражает EXE и COM. Способ перехвата функций MS DOS ориентирован на
конкретные версии операционной системы, в связи с чем возможны
непредсказуемые последствия в новой или нестандартной версии.
Изменение длины при заражении может отличаться от базовой на 57.
Каждые 15 минут посылает в буфер клавиатуры 10 случайных кодов.
KBbug-1720
Отличается увеличением интервала между пакостями до 20 минут и
приближением к полному маразму использования свойств конкретной
операционной системы.
KBbug-895
Заражает только COM. Скорее всего это первая версия вируса. Шутит
не с клавиатурой, а с экраном - периодически меняет на нем все
символы "0" на "9", однако при этом не проверяет ни тип монитора,
ни режим работы. Сообщения об ошибках обмена не блокирует.
KBbug-2662
Шутки с адаптером EGA производит в понедельник после 25-го. В
пятницу 13-го меняет местами входы INT 25 и 26, что скорее всего
приведет к серьезной порче содержимого дисков. Как и большинство
гнусных вирусов, содержит многочисленные ошибки, приводящие к
быстрому повисанию системы.
KBbug-1568
В начале второго часа после загрузки блокирует клавиатуру.
JEWS-513
Заражает EXE и COM. Отличается гнусной способностью после
определенного числа запусков зараженной программы портить на диске
"C:" Boot Record и следующие 7 секторов (начало FAT). При этом в
начале Boot Record оказывается текст "Jews NEVER surrender!".
JEWS-2339
Заражает COM, EXE и драйверы. Относительную новизну представляет
стратегия его деятельности. При загрузке из COM- или EXE-программы
он только заражает все драйверы, обнаруженные в CONFIG.SYS на диске
"C:", а резидентным становится только при загрузке зараженного
драйвера. Став резидентным, лечит все программы на твердых дисках и
заражает на гибких. Его главная опасность заключается именно в этом
лечении. Дело в том, что как признак зараженности он использует
классические 62 секунды и в процессе лечения не проверяет ничего
другого. В результате, программы, у которых этот признак остался от
других вирусов, оказываются залеченными до смерти. Внешними
приметами являются текст "JEWS-2 Virus. MSU 1991" и исполнение
позывных радиостанции "Маяк" вместе с сигналами точного времени в
конце каждого часа.
JEWS-2370
Несколько подправленная версия 2339.
Penza-700
Заражает EXE и COM. Довольно часто выдает на консоль текст
"Welcome to Penza!".
Penza-1210
Заражает EXE и COM. Плагиат из "музыкальных". При наличии вируса в
памяти в момент запуска любой программы с вероятностью 1/32 на
консоль выдает текст "Best whished from Penza!".
BootEXE-452
Заражает некоторые EXE-программы и Boot Sector. Заражая Boot Sector
прячет старое содержимое на гибком диске в 0/1/3, а на твердом - в
0/0/11. При заражении EXE-программ использует свободное место в
Relocation Table, причем заражение происходит только если оно
имеется в достаточном количестве. Длина программы не меняется.
BootEXE-451
На твердом диске прячет старый BOOT в 0/0/12.
BootEXE-443
На дискетах емкостью кроме 360 Кб старый BOOT не сохраняет.
BootEXE-444
На всех дисках прячет старый BOOT в последнем секторе Root
Directory.
SADIST-1434
Заражает только EXE на текущем диске путем поиска по каталогам. Для
маскировки повторяет в конце файла последние 96 байт заражаемой
программы. Название авторское - хранится в конце вируса с
инвертированными битами и применяется им для своего опознания.
SUM-1233, -1232
Заражает только COM. Резидентный. Очень похоже, что автор намерен
начать этим вирусом большое семейство по образу и подобию
музыкальных вирусов. А не лучше ли передумать и заняться более
полезным делом?! Версия 1.01 отличается на 1 байт в длину и в паре
мест собственно номером версии. Переименование из "V" в "SUM"
вызвано наличием уже вируса V-1232.
SUM-1569
Новая версия 2.00 того же вируса. На этот раз автором одержана
большая победа - заражаются и EXE-программы. Большая просьба к
автору этого вируса, как и ко многим остальным, - не выпускать в
свет вирусы с такими грубыми ошибками. Мне жаль тратить лишнее
время еще и на оживление ваших вирусов из неработоспособных
программ.
SUM-3022
Версия 2.01. Содержит пространное послание ко мне. Главная ошибка,
резко снижающая работоспособность вируса, не исправлена.
Lip-286
Заражает только COM в текущем каталоге. В определенный момент
выдает на экран текст "(C)RomlSoft(LipPI)1991" и пытается
уничтожить содержимое текущего диска. Как обычно, чем примитивнее,
тем злее.
Rust-1710
Заражает и EXE и COM, причем последние, только если они начинаются
с JMP. Не заражает COMMAND.COM и AIDSTEST.EXE (я очень тронут!).
Начиная с 13 числа до конца месяца при загрузке программ исполняет
3 ноты. Содержит закодированный текст "(C) Dialogue, Rust. 1991".
Scan опознает как "Alfa [Alf]".
Write-1514/1554
При заражении COM длина 1554, а EXE - 1514-1529. Имеет гнуснейшую
пакость - начиная с сентября при любой записи на диск (точнее при
исполнении функции WRITE с номером файла больше 4) адрес области
данных в памяти сдвигается на 8. Scan опознает как "1554".
Write-474
Заражает только EXE, резидентный. Не заражает файлы, в имени
которых есть "AI". После 12 июля 1994 года будет безнадежно портить
всю информацию, записываемую на диски - менять во всех блоках по 2
первых и последних байта.
Write-488
Заражает только EXE, резидентный. Блокирует вывод на принтер. При
операциях записи не в конец файла отрезает все продолжение. Мне
кажется, что автор не предвидел такого эффекта, а планировал
портить всю записываемую информацию.
Write-2320
Заражает COM и EXE, резидентный. Часто сдвигает на 1 байт
информацию, записываемую на диск, причем, по пятницам в четыре раза
чаще.
DUSHANBE-458
Очередной плагиат из "Vienna". Впрочем, автор не сумел разобраться
в обработке PATH и поэтому заражает только в текущем и корневом
каталоге. Есть, впрочем, и личный вклад - вместо 62 секунд делается
13-й месяц. В конце содержит текст "DUSHANBE M&A!". Scan опознает
как "W13".
Sverdlov-921
Заражает и COM и EXE. При заражении EXE безнадежно портит
сегментированные (алгоритм Иерусалимского). Портит время. Через 1
час после загрузки исполняет начало траурного марша Шопена и уходит
на перезагрузку системы.
Sverdlov-1064
Заражает и COM и EXE. Не заражает программы, имя которых начинается
на "AI" или "SC", а также имеющие длину 25307 или 25312. Очевидно,
имеется в виду COMMAND.COM из PC DOS 3.30, в том числе
"вакцинированный" при помощи TNTVIRUS, дописыванием в конец
"MsDos". Содержит в конце текст: "(C) 1991 by CHR,Sverdlovsk".
Sverdlov-1228
Отличается от предыдущего наличием перехвата ввода с клавиатуры
(INT 9). При обнаружении комбинации Ctrl+Alt+Del выдает в центре
экрана текст: "Recommendation for restart make use of RESET" и
блокирует дальнейшую работу (перезагрузку).
Tetris-552
Заражает только COM, резидентный. Содержимое всех файлов с
расширением .PRG замещает текстом
?"PLAY TETRIS,HI-HI-HI"
ChDir-783, -788
Резидентный. Заражает все COM-файлы в текущем каталоге в момент
исполнения DOS функции CD (CHDIR).
ChDir-523
Заражает COM и EXE, резидентный. Неизлечим. Не заражает только
файлы, имя которых начинается на "C", и длинее 64K.
Tired-1740
Заражает COM и EXE. Длина может превышать номинальную на 31 (пишет
от 0 до 31 байта после себя). Может выдать текст: "I think you're
tired to the bone. You'd better go home." и перезагрузить систему.
Имеет хитрый список 16-ти программ, которые не следует заражать, -
сравнение ведется по сумме первых 16-ти слов и значению второго
слова программного файла. Scan опознает как "Alfa [Alf]".
CROSS-734
Заражает только COM. Пишет себя в начало. Старое начало
переписывается в конец, причем первые 16 байт кодируются при помощи
значений, взятых из конца BIOS. В связи с этим, успешное лечение
скопированных файлов гарантировано только при совпадении версии
BIOS. При запуске зараженных программ на PC с другой версией BIOS
включается часть вируса, выводящая в начале каждого часа на цветной
экран на мигающем фоне красный диагональный крест с надписью в
центре "VINDICATOR". В связи с тонкими свойствами процессоров,
вирус работоспособен только на PC-XT.
Ghost-1963
Заражает COM и EXE. Не изменяет длину заражаемого файла, используя
алгоритм, впервые появившийся в V-512. Весьма аккуратно обеспечена
"невидимость" вируса, однако его наличие сразу проявляется при
использовании CHKDSK в виде большого количества сообщений
"Allocation error, size adjusted.". Как и в случае V-512, лечение
скопированных файлов невозможно. Столь же безнадежной становится
ситуация и после использования CHKDSK с параметром /F или NDD.
Впрочем, если AIDSTEST не предлагает стереть файл, вероятность его
полноценного восстановления достаточно велика. Никакие специальные
пакости не предусмотрены. Scan опознает как "1963 Virus [1963]".
Ghost-1447
Заражает COM и EXE. Накакого родства с предыдущим нет. B данном
случае имя отражает наличие в вирусе текста "MINSK GHOST,1991".
Типичная продукция любителя ковыряться в системе. Потуги автора на
открытия оставляют довольно комическое впечатление. Используются
абсолютные адреса действительные только в версии 3.30, одновременно
с бессмысленным копированием из чужого вируса приема, дающего тот
же результат. Зараженные файлы метятся "невидимой" меткой 62
секунды, и при этом портится дата - всегда ставится 07.13.82 (13-й
месяц). Перехватываются функции поиска в каталоге чтобы скрыть
изменение длины, но при этом учитывается только базовая длина, в то
время как истинная длина варьируется в диапазоне 1447-1483.
Day7-839
Заражает COM и EXE. В качестве буфера использует видео память, что
иногда приводит к безнадежной порче программ вместо заражения. По
7-м числам каждого месяца примерно через 25 минут исполняет
мелодию, идентифицировать которую мне не удалось.
Day7-978
Заражает COM, резидентный. Не меняет длины заражаемого файла, но
может заразить не все.
IMP-1445
Заражает только COM. Для "невидимости" при загрузке программ и
перед открытием программных файлов их лечит, а затем повторно
заражает. При просмотрах каталога корректирует длину. Содержит
текст "Crazy imp v2.0".
IMP-1402
Пишется в начало. "Crazy imp v1.5".
MIX-1618
Заражает только EXE. Атрибут Read Only стирает и не
восстанавливает. Отличается наличием букета милых шуток -
перекодировка символов, выдаваемых на принтер и последовательные
порты, замена символов на экране, переключение регистров на
клавиатуре. Виден почерк молодого дарования с большим чувством
юмора.
MIX-2280
Заражает COM и EXE. Добавлена обработка ошибок обмена. Пакости
переработаны, но не принципиально.
Enola-1183/1312
Заражает COM и EXE, резидентный. В начале виден текст "Enola Gay
ver.2.01 (C) 1994 by HPR Lab.", а в конце "Accidents newer
happen...".
Enola-1864
Заражает COM и EXE. Не работает в стандартных версиях MS DOS. Для
его активации достаточно, например, наличия резидентного антивируса
или другой программы, перехватывающей INT 13. Содержит текст "Enola
Gay is now flying to SoftPanorama !". После некоторого времени
начинает перезагружать систему или распечатывать экран, а затем и
портить случайные сектора на диске "C:".
Enola-2430
В дни, когда номер дня равен удвоенному номеру месяца, пишет в BOOT
диска A: программу, выводящую на экран: "Long Live KOBA JUGASHVILI,
The Chief Of All Times And Nations !". Впрочем, до этого вряд ли
дойдет дело, поскольку каждый час на диске портятся случайные
сектора или диск C: стирается целиком. Также содержит текст: "Enola
Gay LIVE! and now flying to SoftPanorama! Version 1.9 (C)
ViruSoftPanorama 1990-91 "
Find-1575
Заражает COM и EXE при исполнении MS DOS функций Find FCB (11h,
12h). При каких то условиях возможно проползание по экрану зеленого
"червяка". Scan опознает как "1575".
Find-512
Заражает только EXE в текущем каталоге в момент исполнения функций
FIND (4Eh, 4Fh).
Find-600
Заражает только EXE, резидентный. Развитие 512 - текст закодирован
с применением довольно наивного средства борьбы с трассированием.
Find-229
Заражает только COM, резидентный. Заражает файлы в текущем каталоге
в момент исполнения функции Find Next (4Fh).
Find-610
Заражает только EXE, резидентный. Частично невидимый. Виден текст
"[BigX]".
Find-3000
Заражает только COM, резидентный. Поиск в текущем каталоге при
исполнении всех четырех функций поиска и изменении текущего
каталога. Из 3000 байт длины больше 2000 - мусор.
Liberty-2857, -2867
Заражает COM, EXE и Boot гибких дисков. При загрузке вируса из
программы заражение Boot происходит только при переполнении диска в
момент заражения программы. После загрузки вируса из Boot
активизируется его дальнейшее Boot-размножение и замена всей
информации, идущей на печать, через последовательные каналы и на
экран через BIOS на повторяющееся слово "MAGIC". Зараженные COM-
файлы содержат в начале текст: " - M Y S T I C - COPYRIGHT (C)
1989-2000, by SsAsMsUsEsL" и отдельно слово "Liberty".
NOMEN-1024
Заражает COM и EXE. В начале содержит слово "Nomenklatura", а в
конце фразу на болгарском языке. Весьма опасен способностью иногда
менять местами пару элементов сектора шестнадцатибитового FAT.
DCR-1168, -1280, -1480
Все заражают COM, а 1480 и EXE. Заражение производится поиском по
каталогам. Иногда пытается форматировать диск "C:", причем выдает
текст "DATACRIME VIRUS ...". COM-файлы лечатся полностью успешно, а
при лечении EXE невозможно восстановить стековые регистры и
исходный размер файла. Сегментированные программы портятся
безнадежно.
Hard-662
Заражает только COM, резидентный. Весьма опасен - по понедельникам
после полудня выводит на экран текст "It's hard days night!" и
стирает на всех дисках, начиная с "C:", по 50 первых секторов.
Mini-145
Заражает только COM, резидентный. Сделан довольно изобретательно,
но рекорд длины, к которому явно стремится автор, не побит.
Mini-145, -146, -150
Еще три вируса, по-видимому, того же автора. Два вируса Mini-145
являются совершенно различными, хотя в протоколе неразличимы.
Mini-127
Заражает только COM, резидентный. Безнадежно портит все заражаемые
программы, если машина имеет память 512 Кб или меньше.
Mini-140
Не работает на 8088.
Mini-143
Заражает только COM, в начале которых стоит команда JMP.
Mini-122, -128, -129, -130, -131, -132, -137, -152, -157, -160, -164,
-169, -178, -184, -185, -187, -212, -261, -264
Заражают только COM, резидентные.
Mini-200
Заражает только COM, резидентный. Даже сохраняет дату создания
файла!
Mini-207
Заражает только COM, причем в текущем каталоге. Не меняет длину
заражаемого файла.
Mini-239
Заражает только COM, резидентный. Содержит удивительно безграмотную
попытку портить диск A:.
Mini-286
Заражает только COM, резидентный. При заражении довольно часто
издает писк и выводит на консоль слово "VIRUS".
Korea-1947
Заражает COM и EXE. Полностью плагиат из DARK AVENGER вместе с
порчей секторов диска. В связи с этим весьма трогательно выглядит
нравоучительный текст в начале вируса: "If you are a thieve man ,
virus lives...somewhere always!You must become good man!". Кроме
того в конце имеется текст: "This program was adjustted in
'Commputer Home' of KOREA (C) 1988-89 ,LSR+KYL".
Korea-1347/1417
Заражает COM и EXE, резидентный. Есть закодированный текст "[I am a
Wanderer,May 30th,1994 Korea]".
Korea-1448/1502
Заражает COM и EXE, резидентный. В воскресенье может стереть BOOT
(MBR) текущего диска, записав в него "[The Wanderer, June 5th,1994
Korea]".
Estonia-1712/1716
При заражении COM длинa 1716, EXE - 1712. Плагиат из музыкальных,
причем не вполне грамотный. По понедельникам в 14:00 выдает в
центре экрана: "Independent Estonia presents", играет "Собачий
вальс" и перезагружает систему. Большая честь для независимой
Эстонии!
Attn-629
Заражает только COM в текущем каталоге. Предельно примитивный с
ошибками, приводящими к повисанию системы. Предусмотрена выдача на
консоль текста: "Attention! I'm virus", но это событие крайне
маловероятно. Предполагается Запорожское происхождение.
Problem-863, -856
Заражает COM и EXE. Утверждают, что может "заражать" и другие файлы
(данных), но мне такой возможности обнаружить не удалось. Написан
довольно изобретательно - в стиле программирования на ламповых ЭВМ.
В конце содержит текст "THIS IS YOUR PROBLEM !".
Problem-734
Заражает только EXE. Текст в конце отсутствует.
Problem-845
Заражает COM и EXE. В конце текст "dATA kILLER !".
Problem-857
Заражает COM и EXE, резидентный. Переделка вируса 1992 года
"Problem856". Главное достижение - замена текста в конце на "by
Mojo Risin for 1605".
SeaCat-160
Заражает только COM в текущем каталоге, причем зараженным файлам
ставится атрибут Read Only. Если убрать этот атрибут, происходит
повторное заражение. По моей информации, этот вирус изготовлен в
Омске, причем был мне прислан в начале 1991 года авторами. Теперь
он появился из независимого источника, что наводит на грустные
размышления.
Phx (PHOENIX)
Серия вирусов одного автора (Болгария). Почти все заражают только
COM, причем многократно. Резидентные, причем для перехвата функций
MS DOS используют весьма оригинальный прием. Все кодируют свое
тело, причем сама подпрограмма раскодировки случайным образом
варьируется во всех версиях, кроме 800. Прочие особенности версий:
Phx-800, -1226
Содержат текст "Live after Death".
Phx-965
Заражает COM и EXE. Задумана весьма гнусная пакость - порча одного
бита в отдельных байтах при записи в файл, однако, реализация этого
не вполне удачна.
Phx-1302
Содержит текст "Proudly made in Sofia".
Phx-1701
Содержит текст "The evil that men do lives on and on...". В памяти
восстанавливает на 1 байт меньше, чем портит при заражении, в связи
с чем зараженные программы могут работать неправильно. Заражает EXE
-программы фрагментом длиной 121 байт, который, сохраняя
биологическую терминологию, следует назвать "токсином". Он не
способен к самостоятельному размножению, но при отсутствии в памяти
породившего его вируса, или одного из его братьев, уничтожает
информацию на всех доступных твердых дисках. При лечении этот
токсин обозначается как "Phx-121".
Phx-1704
Содержит текст "PHOENIX". Порождает токсин "Phx-132".
Phonix-927
Заражает COM и EXE, резидентный. В "черную пятницу" стирает 14
цилиндров первого твердого диска и выводит на консоль "PhФnix". Не
проверяет сигнатуру EXE-файлов.
Jassy-778
Заражает COM и EXE, кроме COMMAND.COM. Перехватывает INT 17 (работа
с принтером) и стирает 8-й бит из всех передаваемых на него
символов. Утверждают, что обнаружили его в Ясском университете.
Scan опознает как "Mannequin [Mn]".
Ninja-1376
Заражает COM и EXE. Приписывает до себя и после случайные куски
длиной до 255, в связи с чем изменение длины варьируется.
Восстановить исходную длину файла невозможно, поскольку нельзя
определить величину добавки до вируса. С вероятностью 1/256 вместо
заражения портит программу таким образом, что она при запуске
выдает на экран текст: "Mutant Ninja Version 2.0 Copyright (C)
1990,91 Virus&Worm Software". Исправить их невозможно. Поскольку
никакого нового вреда они нанести не могут, в AIDSTEST их удаление
не вставлено - можете стереть их самостоятельно. По 13-м числам
1992 года портит информацию на диске "C:". Не заражает COMMAND.COM
и AIDSTEST.
Maxi-2332/2859
При заражении COM имеет длину 2332, а EXE - 2859. Из каких
соображений делается разная длина понять невозможно. Не заражает
COMMAND.COM. Написан удивительно длинно и нудно. Содержит немало
абсолютно ненужных хитростей. Например, переименовывает файл до
заражения, задавая случайное имя, а после заражения переименовывает
обратно. Кроме традиционного заражения при загрузке и открытии
файлов, ищет объекты для заражения в каталогах, включенных в PATH,
причем занимается этим, используя простои MS DOS. Портит
сегментированные программы, поскольку использует "Иерусалимский
метод" - длина файла берется из EXE-заголовка. И когда же вы
перестанете передирать худшие образцы?!
Andryushka)
Пока обнаружено две разновидности этого вируса. Различия между ними
даны ниже. Оба заражают и COM и EXE. Длины вирусов могут быть
больше номинальных на 128. Заражение происходит не только при
непосредственном обращении к программному файлу, но и в некоторые
моменты поиском в текущем каталоге. Через некоторое время после
заражения системы вирус может испортить диск, после чего под музыку
выдаст на экран саморекламу - в рамке текст: "Hello!!! My name is
Andryushka I come from Perm,USSR".
Andryushka-3536
Заражение EXE делает по COM алгоритму, причем только в том случае,
если длина зараженного файла не выйдет за 64K. Из-за ошибки с
вероятностью чуть меньше 1/2 делает зараженную программу
неработоспособной, причем, когда я запустил такую программу она не
тилько повесила систему, но при этом также испортилась дискета. Это
произошло, скорее всего, из-за порчи системных таблиц в памяти.
Лечатся такие файлы успешно.
Andryushka-3568
Заражение EXE происходит по стандартной схеме - с заменой точки
входа в EXE-заголовке, причем допускается произвольная длина файла.
Tim-1600
Заражает COM и EXE, щадя только BACKUP.COM. После 6000 нажатий на
клавиши пытается блокировать команды записи на диски. Содержит
слегка закодированный текст "Hi to Eastern Digital.Greetings to
Mister L.______ to Mihai Sirbu -- MicroTimSoft. " (пришлось
опустить одно не вполне приличное слово).
TimA-1600
Новая версия вируса Tim-1600. Отличается отсутствием блокирования
записи на диск, но зато при первом нажатии на клавишу "Delete"
выдает в центре экрана весьма остроумное приветствие в рамке.
Hi-460
Заражает только EXE. Не заражает сегментированные. Опознает свое
наличие в файле по паре байт "Hi", которые находятся за 8 байт от
конца.
Tiny)
Под этим именем объединяются вирусы, создаваемые для побития
рекорда размера вируса. Если не будет указано специально, все
вирусы этой группы заражают только COM и резидентные.
Tiny-198, -167, -160, -159, -158, -156, -154, -143, -138, -134, -133
Болгарского производства. Сделаны весьма изящно. Все используют
только команды процессора 8088.
Tiny-132
Работает на всех процессорах.
Tiny-122, -118, -114
Произведены, скорее всего, в Москве. На этот раз использован ряд
команд, отсутствующих в 8088. На машине, имеющей меньше 640 Кб
памяти, портят все загружаемые программы. Надеюсь, что автор не
станет пускать их в свободное распространение.
Tiny-127, -119
Заражают только COM, резидентные. Версия 119 использует пару
команд, отсутствующих в процессоре 8088.
Tiny-108
С некоторой вероятностью портит файлы.
Tiny-100
Прислан из Санкт Петербурга.
IRON-636
Заражает COM в текущем каталоге текущего диска и диска "C:". После
10-го августа по четвергам пакостит на диске - пишет в случайные
места по несколько секторов. В конце имеетса текст "IRON MAIDEN",
по которому вирус опознает зараженные файлы.
Astra)
Серия вирусов, поступивших из Ташкента. Все они содержат текст
"(C) AsTrA". Оба вируса, описываемые ниже, в определенные моменты
слегка пакостят в Partition Table - меняют во всех строках параметр
System Code (+4) сложением по модулю два с 0x55 и переводят адаптер
EGA в двухфонтовый режим, при котором символы с атрибутом яркости
выводятся фонтом 8x8. Кроме них в коллекции имеется 3 вируса,
заражающих только драйверы устройств. Их обработка не включена в
программу, поскольку их размножение весьма маловероятно, так как
драйверы друг у друга почти не копируют. По всему видно, что автор
накопил довольно много информации, но абсолютно не знает, что
делать.
Astra-976
Заражает только COM. Пакостит в 11-ю минуту каждого часа.
Astra-1010
Заражает COM и EXE. При этом EXE заражает вставкой команды CALL в
точку входа, абсолютно не думая о возможных ссылках на это место в
Relocation Table, что делает неработоспособным довольно много
программ, в том числе и NC.EXE. А ведь я писал об этом! Пакостит по
10-м числам.
Blaise-720
Заражает только COM. Плагиат из 1701/1704. По пятницам каждую
минуту демонстрирует довольно примитивные шутки с экраном - сдвиг
на нем изображения. В начале имеется текст "Signs Of Life", за
которым в закодированном виде следует "By Lord Blaise".
KLF-356
Заражает только COM. В начале зараженного файла после JMP пишет
"KLM". Слова "The KLM" есть и в теле вируса. Сделан старательно.
Ballad-1581
Заражает только COM. В конце каждого часа выдает на экран
"Романтическую балладу". Только графомания еще не была стимулом для
писания вирусов!
AMOEBA-2477
Заражает EXE и COM, кроме COMMAND.COM. Истинная длина может
превышать базовую на 119. Содержит ряд хитрых приемов, мешающих
расшифровке, но заражает так аккуратно, что исходный файл можно
восстанавить абсолютно точно. 15-го марта и 1-го ноября портит все
доступные диски - пишет на первых 30 цилиндрах по четыре сектора на
нулевой дорожке, а затем монитор заполняется меняющимися символами.
При загрузке с испорченного диска на экране появляется:
"To see a world in a grain of sand,
And a heaven in a wild flower
Hold Infinity in the palm of your hand
And Eternity in an hour."
THE VIRUS 16/3/91
Кроме того в записанных секторах находится текст: "AMOEBA virus by
the Hacker Twins (C) 1991 This is nothing, wait for the release of
AMOEBA II-The universal infector, hidden to any eye but ours!
Dedicated to the University of Malta- the worst educational system
in the universe,and the destroyer of 5X2 years of human life.".
SCAN опознает его как "Irish", однако, в документации утверждается,
что "Irish" заражает и COMMAND.COM.
Adolf-475
Заражает только COM, резидентный. С вероятностью 1/4 блокирует
выполнение функции Delete (удаление файла). Содержит текст "Adolf
Hitler".
Lycee-1975
Заражает только COM. В значительной степени "невидим". Если в
течении 5 минут не было нажатий на клавиатуру, выдает на экран
подробные координаты заведения, в котором, скорее всего, учится
автор. Думаю, его удивит, что сотрудник этого учреждения, принесший
мне вирус, не считает это большой честью и просил не приводить
здесь его названия.
Lycee-1788, -1800
Заражает COM и EXE. Выдержка до вывода картинки 30 минут.
Lycee-1832
Заражает COM и EXE. Выдержка до вывода картинки 5 минут. В конце
виден текст: "Welcome to Lycee of Information Technologies !"
Lycee-1888
В качестве большого достижения автора можно отметить вывод текста
попеременно по русски и английски. Судя по тексту он сейчас учится
в МИРЭА. Какие же достижения будут к моменту окончания института!
Lycee-1901
Практически совпадает с 1888. На этот раз я заметил, что серия
MIREA изготовлена им же.
Lycee-1950
Заражает COM и EXE, резидентный. Добавлена шутка из MIREA - замена
символов, вводимых с клавиатуры.
Lycee-703
Заражает COM и EXE, резидентный. Постоянно всюду пишет файл
README.!!! с текстом "Поздравляем Профорга группы А1-94 с 8 марта !".
Pause-1024
Заражает только EXE в текущем и корневом каталоге. Портит параметры
командной строки. С вероятностью 1/7 перед выполнением программы
включает звук, выдает на консоль "Press any key" и ждет нажатия на
клавишу. Частоту звука не устанавливает.
Plastique-3004
Очень похож на TAIWAN, даже исполняет ту же мелодию. Активизирует
пакости через 7 дней после заражения. Стирание информации с дисков
может происходить и в момент попытки нажатия на клавиши
Ctrl+Alt+Del. Кроме того, после 5000 нажатий на клавиши блокирует
запись на диски. Испорченные диски во всех секторах содержат текст:
"Program: Plastique 4.51 (plastic bomb), Copyright (C) 1988, 1989
by ABT Group.Thanks to: Mr. Lin (IECS 762??), Mr. Cheng(FCU Inf-
Center)". Scan опознает его как "Plastique [Plq]".
Plastique-4096
Как следует из закодированного текста в теле вируса, это версия
5.21. Кроме COM и EXE, заражает и Boot Record, пряча продолжение и
старый Boot на дискетах на дополнительном цилиндре (40 или 80), а
на твердом диске в секторе 7 и дальше. Постепенно замедляет работу
процессора. После загрузки ACAD.EXE может испортить все диски.
INFO-666
Заражает COM и EXE, резидентный. Иногда возможен вывод на экран
"VIRUS INFO".
INFO-1256
Заражает COM и EXE. Резидентный. Полностью плагиат из музыкальных.
Search)
Это название будет даваться многочисленным нерезидентным вирусам,
которые ищут объекты для заражения просмотром каталогов, кроме
явных подражаний классическому Vienna. Поскольку большинство из них
заражают только COM-файлы, указываться будут только отклонения от
этого правила. Слова "текущий" и "корневой" будут относиться к
каталогам текущего диска, в которых происходит поиск.
Search-96, -122, -124, -165, -175, -264
Текущий. Search-165 существуют два разных вируса.
Search-228
Текущий. Включает звук какой-то очень высокой частоты.
Search-238
Текущий и все его родители вплоть до корневого.
Search-377
Текущий и COMMAND.COM. Пытается испортить диск. После большого
перерыва появился вирус Khizhnjak-377 явно того же автора.
Search-309
Текущий. 6-го ноября выводит на экран слово "Sveta".
Search-789
Заражает COM и EXE во всех каталогах текущего диска. Предусмотрено
стирание информации с первых 100 секторов всех дисков (если не
ошибаюсь, 18-го сентября).
Search-1660
Заражает COM и EXE во всех каталогах текущего диска. Калечит файлы
с расширениями DBF, PRG, FOX, KAR.
Search-424
Текущий и C:\COMMAND.COM". В начале зараженных файлов есть текст:
"SIMPLE 1992 (c)".
Search-755
Текущий и все его родители вплоть до корневого, заражает только
EXE. В конце текст: "---- Small experiments path 2.1 ----".
Search-778
Во всех каталогах диска C: и текущего. Блокирует работу драйвера
мыши.
Search-416
Текущий и наверх до корневого. Портит дату файла. Бывают случаи,
когда файл оказывается недозараженным - начало испорчено, а вируса
нет. Обнаружение и тем более лечение таких файлов невозможно. В
конце имеется текст "---- Мелкий эксперимент ----". Заметно родство
с Search-755.
Search-673
Текущий и наверх до корневого. По пятницам ставит всем файлам в
текущем каталоге атрибут "Read Only". Содержит текст: " BRYANSK
1992, BITE 0.01 (C) ". Интересно, что имелось в виду - bit или
byte?
Search-910
Текущий и корневой. Если номер дня на 1 больше номера месяца (2-е
января и т.д.), пытается испортить информацию на диске C:, выдает
на консоль "SINGAPORE" и портит содержимое памяти параметров
(CMOS).
Search-984
Поиск по PATH, как в Vienna, но с ошибками. Портит атрибуты и дату.
Работоспособность на процессоре выше 286 маловероятна.
Search-357
Весь текущий диск. Содержит текст: "This program was writen in the
city of Kudepsta".
Search-801
Отличается от 789 стиранием 200 секторов 13-го февраля.
Search-853
Текущий. Оставляет резидентную часть, которая к кодам символов,
отправляемых на печать, прибавляет 2 (для интервала от ! до z).
Search-132
Текущий. Портит файлы короче 132. Содержит текст "Foxy".
Search-1536
Текущий, заражает COM и EXE. После нескольких заражений стирает MBR
и выдает на консоль: "METALLICA"-BEST GROUP OF THE WORLD!!!
(METALLICA-virus realised after 22 infection) ALL GOOD V 3.11.
Search-166
Текущий. Портит дату файла и параметры командной строки.
Search-657
Текущий. Всем DBF-файлам в текущем каталоге попеременно ставит и
снимает атрибут "только чтение".
Search-188
Текущий. При успешном заражении выводит текст "Evil has an iron
fist".
Search-641
Текущий и корневой. 6 дней в году портит диск "C:". В конце текст
"C-641.SPb Sankt-Petersburg (C) 1992".
Search-1148
Весь текущий диск, заражает только EXE. По 7-м числам зеркально
поворачивает символы на адаптере EGA.
Search-343
Текущий. Портит параметры вызова программы.
Search-71
Текущий. Зараженные программы не работают, но лечение почти всегда
успешно.
Search-512
Текущий и C:\COMMAND.COM. Блокирует работу первого принтера.
Имеется текст "Alex & Solo".
Search-599
Текущий и PATH. В конце имеет текст "ALEX".
Search-127, -208
Текущий. Портит дату создания файла.
Search-515
Текущий. Портит дату создания файла. Иногда устраивает дрожание
изображения на экране, не проверяя тип адаптера. В конце имеется
текст "by Traven (Traveller)".
Search-302
Резидентный. Портит дату и время. Не заражает файлы с атрибутом
"только чтение".
Search-128
Текущий. Портит дату файла и параметры. Заражает многократно.
Search-2000
Подкаталоги корневого на текущем диске. Оставляет в памяти
резидент, который портит все дискеты в первом устройстве.
Search-1000
Текущий. 29 ноября при запуске зараженной программы выводит текст
"Your computer is breaking . . .".
Search-1680
Текущий. Предусмотрена порча дисков. Имеется текст
"Virus Created by NuKE-GenVirus V1.51 Licence n° id# [NuKE]-93"
Search-330
Текущий. Один день в месяц портит диски - записывает 3 сектора,
начиная с 3-го, что обычно попадает на первую копию FAT.
Search-2248
Текущий, заражает только EXE. При успешном заражении издает писк.
Изготовлен при помощи какого-то C-транслятора.
Search-652
Текущий диск. При успешном заражении выводит текст "** CODE ZERO
**" и издает 3 писка. Содержит и закодированный текст "Nowhere Man,
[NuKE] '92".
Search-821
Поиск через параметр "PATH=", но забывая про возможность наличия
там разных дисков. С 17 до 19 часов исполняет мелодию "Yankee
Doodle", причем так же фальшиво, как и классический вирус. Имеются
тексты "[Yankee Doodle 2]", "Nowhere Man, [NuKE] '92".
Search-1024
Текущий, заражает только EXE, резидентный. Очень редко объясняется
в любви, объявляя телефон (095) 3652658.
Search-284
Текущий. При соответствующих обстоятельствах при размножении
выводит текст "Seventh son of a seventh son". В конце слово
"Вирус" в основной кодировке.
Search-626
Текущий. Содержит набор весьма наивных средств борьбы против
резидентных антивирусов.
Search-1070
Текущий, заражает COM и EXE. Работает только при формальном наличии
цветного монитора (режим экрана 2 или 3). По воскресеньям лечит
исполняемые программы.
Search-872
Поиск по PATH. Имеет ошибку, из-за которой вешает систему. В конце
слово "Aids".
Search-452
Текущий каталог всех дисков. Заражает только EXE. При лечении
невозможно восстановить SS и SP, в результате чего некоторые
программы могут оказаться неработоспособными. В конце выводит на
экран два сердечка (код 03).
Search-475
Текущий. Оставляет резидентную часть, которая при нажатии на
клавишу "F" ставит в буфер клавиатуры популярное у подобной публики
английское слово.
Search-511
Текущий. Содержит нечто, задуманное, кажется, как лечение
запускаемых программ. Однако, работать это должно в 17-й день
недели.
Search-253
Текущий. В конце вируса текст "MSUVirus v1.0:The StartUp !".
Search-600
Заражает только COM. Текущий. Прибавляет к системной дате 100 лет.
Есть текст "Victim of Galeocerdo cuvieri".
Search-414
Текущий. В конце "USSR".
Search-563
Автор надеялся заражать в каталоге, из которого запущена зараженная
программа, но заражает только, если он совпадает с текущим.
Search-1039
Текущий и его содержащий. Заражает COM и EXE. В начале вируса виден
текст "(- PLAYBOY -)".
Search-318, -331
Текущий и корневой.
Search-469
Текущий. В начале вируса текст "I'm GIDRA v1.6 : Life is Good, But
Good Life Better Yet.".
Search-274
Текущий. В 25-м поколении начинает безнадежно и неопознаваемо
портить 3 байта в начале. Виден текст "Western Ukraine".
Search-391
Текущий. Задумано иногда выводить текст "Как много виpусов хоpоших
..." и включать писк.
Search-1461
Заражает только EXE. Поиск через PATH, но фантастически
безграмотный! После 7 октября может стирать относительно случайный
сектор на диске "D:", хотя скорее всего автор хотел стирать BOOT на
диске "C:".
Search-1203
Текущий диск. Запланирован вывод 6 июня текста:
Another year passed by
Another tear the willows crys
to change the world we ever try
to make a difference before we die
однако, в этом месте имеется ошибка, в результате которой текст
будет испорчен.
Search-498
Отличается безграмотной изобретательностью автора - в процессе
работы трижды модифицирует в себе 25 адресов.
Search-943
Поиск по PATH, заражает только EXE. Иногда выводит текст "САМЫЙ!
ЧЕЛОВЕЧНЫЙ! ЧЕЛОВЕК! Ленин и сегодня всех живых держит мертвой
хваткой упыря".
Search-774
Текущий и все старше, включая корневой. Заражает COM и EXE. До
13-го выводит текст "I am he, the bornless one, the fallen angel
watching you ! (C) Dread Lord. You are the real dead one now ...",
а начиная с 13-го работа программ блокируется.
Search-495
Текущий с подкаталогами и корневой. Заражает только EXE.
Search-1800/1803
Текущий и C:\COMMAND.COM. Заражает COM и EXE. При загрузке из
COM-файла оставляет в памяти резидентную часть, которая, если
система не успеет повиснуть, устраивает фокусы с дрожанием и
переворачиванием экрана.
Search-385
Текущий и то, что задано в COMSPEC. В конце текст "I'm sorry. SNV
1.1!Y".
Search-738
Текущий и PATH. В конце текст "This program was written in
St.Petersburg in 1992. It is absolutely harmless /at least the
author had no bad intentions /. Say NO to comunism & nacism !".
Search-432
Текущий и COMSPEC. В 1994 году пытается все стереть с первого
твердого диска.
Search-880
Заражает только EXE. Содержит элементы полиморфности.
Search-473
Текущий и COMSPEC. В 1994 году запланировано портить диски, но
способом, который если и работает, то только на XT.
Search-316
Может стереть нулевую дорожку первого твердого диска.
Search-404
Текущий. Видно "I just had your files for lunch!!!".
Search-4148
Заражает COM и EXE. Содержит закодированный текст "* Демонстраци-
онный вирус класса SEARCH (4148) *". Поиск по PATH, заражает *.COM,
начинающиеся с E9 и *.EXE (переделывает в COM по типу format.com).
За 9 байт от EOF сохраняется оригинальный вход (3 байта нач с E9),
далее оригинальная длина (DW), служебный делитель (DW) и сигнатура
(DW). Время увеличивает на 2 с, если есть куда, иначе уменьшает.".
При лечении EXE-файлов описанное выше преобразование к формату COM
из файлов не убирается, поскольку довольно трудно отличить его от
стандартного. Ведет протокол своей деятельности в файле
inf_301.log. Если обнаруживает AIDSTEST.EXE, замещает его довольно
примитивной, хотя и безобидной, пародией.
Search-293
Текущий. В начале выводит текст "Helloy, baby!!!".
Search-192
Текущий. Поиск в текущем каталоге "*.c*", в результате чего может
заразить и C-файлы.
Search-334
Текущий. Постоянно меняет в MBR байт +D8, может стереть байт Active
Partition. При неграмотном трассировании может стереть диск C.
Search-1062
Текущий. Заражает COM и EXE. По воскресеньям лечит запускаемые
файлы, но EXE не вполне корректно.
Search-101
Текущий. Заражает в текущем каталоге все файлы, в начале которых
нет кода E9 (JMP).
Search-571
Поиск по всем каталогам, но только начиная с июня.
Search-1006
Поиск в текущем каталоге и по PATH. Весьма изощренный, часто вешает
систему. В конце символы "Ms".
Ieronim-512, -560
Заражают только COM, приписываясь к началу, резидентные. Делают
длину зараженных файлов кратной своей, причем первоначальную длину
восстановить невозможно. Переход на начало программы делают
некорректно, из-за чего многие программы не могут работать. В
начале каждого часа выдают на экран некий текст (вероятно, на
латыни), приписываемый святому Иерониму.
Ieronim-600
Заражает более корректно. Шутка та же.
Ieronim-1166
Заражает только EXE, резидентный. Цитата из Иеронима выводится
попеременно на латыни и английском.
Ieronim-1024
Только COM. Добавлена не слишком грамотная борьба против
трассировки, часто приводящая к повисанию системы.
Ieronim-1020
Добавлено шифрование вируса.
Ieronim-1082
Заменена шутка. При нажатиях на F1 сначала 3 раза в рамке выводится
"ПОМОГИТЕ!", затем "Слушай, дорогой, отстань, пожалуйста!" а затем
"Лозинский тебе поможет!". Работает это только на цветных
мониторах.
Ieronim-570
Где-то задержавшаяся версия (а может быть кто-то подправил одну из
старых).
Ieronim-1596
Заражает только EXE, резидентный. Портит Aidstest, поэтому в
зараженной системе им можно пользоваться только под другим именем.
Цитаты из святого Иеронима выводятся в начале каждого часа
попеременно на латыни и английском. Иногда образует файл DIRINFO с
обрывками любимого текста.
Ieronim-1492
Заражает только EXE, резидентный. Близок к 1596. Отличается чуть
меньшей скоростью размножения.
Protect-1196
Заражает COM и EXE. Портит атрибуты. Отключает COM1-COM4, LPT1 и
Mouse driver, а также запрещает прерывания по IRQ3 и IRQ4. Содержит
в начале тексты "File protection" и "File not found".
Digger-1475, -1512
Заражает COM и EXE путем поиска в текущем каталоге и
C:\COMMAND.COM. При заражении EXE длина 1478 и еще от 1 до 16 байт
на округление. Ставит в память резидентную часть, которая каждые 15
минут на 1.5 секунды переворачивает экран, аналогично части вирусов
группы MGN.
Digger-1000
Заражает только COM, резидентный. При исполнении зараженной
программы удаляет себя из нее. После каждого 30-го заражения выдает
на экран текст: "Ты долго в DIGGER не играл - теперь я грустный
терминал". На монохромный монитор этот текст не попадает. Автор
пытался организовать продолжение нормальной работы после нажатия на
клавиши Ctrl+Alt+Delete, но сделал это слишком неграмотно, в
результате чего приходится нажимать Reset.
Klaeren-971
Заражает COM и EXE. Иногда выдает на экран "Klaeren Haс, Haс!" и
стирает Setup-параметры. Очень тонко, но неправильно, определяет
наличие защиты от записи на дискете. Scan опознает его как "Klaeren
[Kla]".
Civil-6656
Заражает EXE на дискетах и Master Boot Record на первом твердом
диске. При запуске зараженной программы происходит заражение MBR и
программа исправляется. Работает только на AT, однако проверку типа
компьютера делает слишком поздно - уже после использования команд,
отсутствующих на стандартных XT. Содержит большое количество шуток
разной степени гнусности: блокирование вывода на принтер, выдача
всевозможных, в том числе и матерных, сообщений, мигание лампочек
на клавиатуре и т.п. Разобраться в них полностью отняло бы слишком
много времени.
Civil_0-6656
Предыдущая версия вируса. Принципиальных отличий не имеет.
Civil_3-6656
Версия, обозначенная как 3.3. Наивные попытки сделать невозможной
борьбу с ним, новая порция мерзостей и новые ошибки, часто
приводящие к повисанию системы.
Terror-1085
Заражает COM и EXE. COM-файлы короче 1024 и длинее 64000 не
заражает, но успевает округлить их длину до кратной 16. Изготовлен
с претензиями на гениальные находки. В результате с весьма большой
вероятностью до начала работы вешает систему. Scan опознает его как
"Terror [Ter]".
Later-981/1009
При заражении COM длина 981, а EXE - 1009 и от 1 до 16 на
выравнивание. COM-файлы могут заражаться многократно. При запуске
зараженной программы исправляет ее. В версиях MS-DOS до 3.00 выдает
сообщение "This program requires MS-DOS 3.00 or later" и прекращает
работу программы.
Pravda-1949
Заражает COM и EXE кроме COMMAND.COM и AIDSTEST.EXE. Содержит текст
"(C) Правдиченко А.".
Ion-231, -2372
Примитивные вирусы, заражающие только COM в текущем каталоге.
Второй достаточно часто образует и запускает программу
"IONKIN.COM", которая через час выдает на экран требование
"засунуть 10 рублей в дисковод A:".
Alex)
Примитивные вирусы, заражающие только в текущем каталоге. Оставляют
в памяти резидентную часть, предназначенную для глупых шуток.
Alex-368
Заражает только COM. Не работает на PC-XT. Содержит текст: "The One
Night Virus (C) Alex Hacker".
Alex-818
Заражает только EXE. Резидентная часть производит что-то на экране.
Содержит текст: "The Kite Virus (C) Alex Hacker".
Alex-1843, -1951
Заражает COM и EXE, резидентный. Если не ошибаюсь, нейтрализует
какуюто вакцину. Временами на цветной монитор выводит рамку с
текстом, из которого можно сделать вывод о том, что вирус
произведен в Румынии и играет музыку (только 1951). Scan опознает
как "1530 Virus [1530]".
Alex-2104
Заражает COM и EXE, резидентный. Еще одна разновидность Румынского
вируса.
Dima-325
Заражает только COM, резидентный. В начале зараженных файлов видно
"Dima".
Dima-1024
Заражает EXE и COM поиском в каталогах. При наличии часов реального
времени после 21.00 выдает на экран "9pm" и циклится, пока не будет
нажата клавиша ESC при нажатой Ctrl и включенных Num Lock, Caps
Lock и Scroll Lock. В конце имеет текст " The -9pm-. Call the
Dima & Dima corporation if it will be difficult."
UnGame-766, -768
Заражает EXE и COM, резидентный. Каждые 4 минуты проверяет режим
экрана и при обнаружении некоторых графических режимов устраивает
мелкие пакости от вывода на экран текста: "Come On, no. 51, You
Time is Up." до перезагрузки системы. В самом конце текст:
"UnGame(C)Dr".
UnGame-823
Заражает только COM, резидентный. При переводе экрана в режим
320x200x256 перегружает систему.
UnGame-1065
Заражает только EXE, резидентный. Судя по текстам, произведен в
Тирасполе и задуман для борьбы против игр. Однако, борьба
заключается в том, что при обнаружении формата экрана 640x480x256,
через некоторое время стирается содержимое памяти параметров
системы (CMOS).
UnGame-1053
Заражает только EXE, резидентный. Исправлена ошибка в обработке
int 24.
DrWatson-1503
Заражает AUTOEXEC.BAT, резидентный. На всех доступных дисках
образует файл DRWATSON.COM с атрибутами Read Only и Hidden и
дописывает в начало AUTOEXEC.BAT строку "@drwatcon". За счет
перехвата ряда функций DOS скрывает изменения в AUTOEXEC.BAT и не
дает стереть или переименовать файл DRWATSON.COM. Впрочем, это
легко сделать, загрузив чистую операционную систему с дискеты. При
неграмотном трассировании может стереть FAT. AIDSTEST обезвреживает
вирус в памяти и стирает файл DRWATSON.COM на диске. Прошу прощения
за не вполне корректное сообщение:
DRWATSON.COM испорчен вирусом (DrWatson)
Лишнюю строку из AUTOEXEC.BAT можно удалить любым редактором -
AIDSTEST этого не делает.
MPTI-1536
Заражает EXE и COM, резидентный. Старается не заражать AIDSTEST и
VL. По 26-м числам портит MBR и Boot Record диска "C:", а также
память параметров (CMOS Memory). Работоспособность на версиях
MS DOS кроме 3.30 маловероятна. Обнаружено две разновидности,
отличающиеся очень мало.
CPSU-2535
Заражает EXE и COM, резидентный. Старается не заражать AIDSTEST и
COMMAND.COM. Каждый час выдает на экран "Моральный кодекс строителя
коммунизма".
CPSU-480
Заражает только COM, резидентный. После 20 запусков зараженных
программ начинает вращать строки экрана в противоположных
направлениях. В конце текст "Long live CPSU".
Sentinel-5173
Заражает EXE и COM, резидентный. Написан на языке высокого уровня.
Содержит закодированный текст: "You won't hear me, but you'll feel
me... (c) 1990 by Sentinel. Thanks Borland."
Multi-2560
Заражает EXE, COM и драйверы устройств, резидентный. Написан весьма
изобретательно, но с ошибками, из-за которых его работоспособность
на PC-AT маловероятна. Попытки оживить его на AT отняли у меня уйму
времени. Иногда порождает вирусы длиной 131 и 123. Содержит в
начале текст: "MultiVirus(R), Release 1.0, Copyright (c) 1990-91 by
Андрюшка".
Multi_1-2560
Версия 1.1, в которой исправлены наиболее существенные ошибки. На
этот раз система повисает не сразу. Порождает вирусы длиной 110 и
104.
Multi-131, -123, -110, -104
Заражают только COM, резидентные. 123 и 104 не работают на
процессоре 8088.
Multi-384
Заражает только EXE, резидентный. Не меняет длину файла,
записываясь в заголовке EXE-программы, если он содержит в
необходимом интервале только нули. Работоспособен только на PC XT.
При просмотре зараженных файлов в зараженной системе абсолютно
невидим. Содержит текст: "Copyright (c) 1992 by Андрюшка".
Close-960
Заражает только EXE, резидентный. Содержит в закодированном виде
решительный протест против покойного "Союзного договора".
Предполагался вывод этого текста на консоль, но в этом месте автор
потерпел неудачу.
VERWOLF-3294
Заражает только EXE. Очередная попытка изготовить абсолютно
неизлечимый вирус при помощи УЖАСНО сложного кодирования. И не
жалко тратить месяцы, чтобы отнять у пары специалистов по 2 дня?
Через 15 дней после заражения оставляет резидентную часть, которая
блокирует запуск всех программ, в которых обнаружится слово "GAME".
ABC-2378
Заражает только EXE, резидентный. Отличается весьма громоздким
алгоритмом кодирования. Во второй половине месяца портит нулевые
дорожки двух твердых дисков, повторяет символы, вводимые с
клавиатуры, и портит EXE-файлы, созданные 15-го числа, - при их
запуске также портятся нулевые дорожки дисков. В протоколе такие
файлы показываются как содержащие вирус "ABC-22". В конце вируса
после раскодирования обнаруживается текст (орфография оригинала):
"Ну теперь ты добрался и досюда. Я думаю,тебе интересно было
посмотреть как написан вирус. Но что ты будеш делать дальше? Если
хочеш познакомится со мной то дай объявление в "АиФ", "7 дней" или
в какой-нибудь компьютерный журнал/газету для автора вируса
"ABC_FFEA". А теперь пока. Minsk 8.01.92".
Voice-1495
Заражает EXE и COM, резидентный. Старается не заражать AIDSTEST и
COMMAND.COM. Портит дату создания файла. Работоспособен только на
XT. Вместо перезагрузки выдает на экран текст с "приветом". Виден
текст "VOICE V1.01".
Ryazan-512
Заражает только EXE, резидентный. Старается не заражать AIDSTEST.
Слово "RYAZAN", имеющееся в нем в закодированном виде, отражает,
очевидно, желание прославить Рязань.
Rat-615
Заражает только COM в каталогах, содержащихся в текущем. Содержит
текст: "Techno-Rat I. Copyright by Lord Blaise, Odessa 1991."
Rat-1488
Заражает COM и EXE, резидентный. Из-за ошибки весьма вероятна
неработоспособность зараженных EXE-программ.
Rat-1010
Заражает COM и EXE, резидентный. Каждый восьмой экземпляр вируса
портит всю записываемую на диски информацию, заменяя ее текстом "R.
A.T. [R]iots [A]gainst [T]echnology -- FIGHT IT BACK !!!".
Rat-1945
Заражает только COM, поиск в текущем каталоге. 8 и 9 мая 1995
должен был выводить во весь экран "50 Лет Победы БЕЙ ФАШИСТОВ!!! ЗА
НАШУ СОВЕТСКУЮ РОДИНУ! За Сталина и Партию!!!" после чего
катастрофически фальшиво исполнять "Священная война". В конце есть
еще "AntiFashistЭто,собственно,не программа,а самое общее
марксистское заявление... (В.И.Ленин)Советский сношатель by
Stainless Steel RatПроживи всю жизнь Этой датой !"
Rat-2400
Заражает COM и EXE, резидентный. Удивительное сочетание надерганных
из других вирусов приемов программирования и безграмотной
реализации. Стремление к невидимости должно очень часто приводить к
безнадежной порче программ. Имеется много текстов, в том числе "The
Stainless Steel TechRat, Version 1.0, 2.03.94, (C) 1993-94 by
MadWill International, Moscow, Russia", "Story 1 : The Stainless
Steel TechRat is Born". Одна из разновидностей вируса ранее
опознавалась как Rat-2384.
CCCP-510
Заражает только COM в текущем каталоге. Иногда выдает на экран
текст: "*** CCCP - 75! ***".
Am-1061
Заражает только EXE, резидентный. На 1996 год запланирован какой-то
фокус с экранным адаптером, который по моим наблюдениям просто
вешает систему.
Am-1281
Заражает EXE и COM, резидентный. По 2-м числам изображает "Маяк",
аналогично вирусу JEWS, но при этом еще и переводит часы на 1 час
вперед. Символы "Am" имеет в конце и использует их как признак
своего наличия в файле.
Tina-826
Заражает только COM поиском по всем каталогам текущего диска. Если
незараженный файл не найден, приписывает к началу AUTOEXEC.BAT:
@echo off
echo Tina, do you love me?
pause >nul
Тина, не стоит любить таких!
Malign-575, -630
Заражают только COM, резидентные. Заражение производят после
исполнения команд перехода на новый диск или в новый каталог путем
поиска в каталоге. При успешном заражении трех файлов выдает на
консоль слово "Malign". Безнадежно портят файлы, длина которых
меньше длины вируса. Версия 630 отличается тем, что при ошибках
ввода/вывода выдает на консоль "Wait.".
MX-335
Заражает только EXE, резидентный. "MX" присутствует в заголовке
файла со смещением +18 и в теле вируса со смещением +8.
Gorlovka-1022, -1024
Заражает EXE и COM, резидентный. При заражении COM-файлов иногда не
меняет длину, записываясь вместо последовательности одинаковых
байтов. Однако, поиск этой последовательности написан настолько
безграмотно, что далеко не всегда ее находит. В конце имеет текст
"ГОРЛОВКА9101".
Helloween-1376
Заражает EXE и COM, резидентный. Не заражает ряд программ, в том
числе COMMAND.COM, SCAN, CLEAR. 1-го ноября выдает на экран текст:
Nesedte porad u pocitace a zkuste jednou delat neco rozumneho!
*******************
!! Poslouchejte HELLOWEEN - nejlepsi metalovou skupinu !!
и уходит на перезагрузку.
VGA-2221
Заражает COM, драйверы и MBR. Активизируется только из MBR твердого
диска, причем только через 33 загрузки после заражения. По пятницам
каждые 10 минут переворачивает информацию на экране (меняет первый
символ с последним и т.д.), а при наличии адаптеров VGA или EGA
переворачивает изображение букв. Прежде чем вернуть экран в
нормальное состояние и после этого ждет ввода с клавиатуры.
AndA-506
Заражает только COM, резидентный. Пишется в начало. Со смещением
97h имеет символы "{A&A}". Портит время создания файла. В качестве
буфера использует сегмент 9000h, в связи с чем на машинах имеющих
только 512 Кб безнадежно портит все программы. С февраля по октябрь
каждый час исполняет примитивную шутку с перестановкой символов на
экране (только цветном).
ATAS-1268
Заражает только COM, резидентный. Заражение производит при вызове
12 различных функций. Содержит наивный алгоритм "невидимости" -
коррекцию длины. Зараженные файлы метятся во времени создания файла
- минуты округляются до кратных 8, а секунды равны 34. Если при
вызове ряда DOS функций нажата клавиша Ctrl или Alt, на консоль
выдается: "ATAS Corporation.(C)Copyright (B)BadWare". При нажатии
на клавишу Print Screen происходит осыпание букв на экране, но при
этом не проверяется тип монитора и режим экрана, да и алгоритм
довольно серый.
ATAS-384
Заражает только COM. Иногда выводит "Ok.". Есть закодированный
текст "ATAS V0.1 Cr.24.01.92".
KELA-690
Заражает только COM, резидентный. В связи с крайней безграмотностью
очень быстро вешает систему. Между 11.10 и 11.15 выдает на экран:
"Я Дон Карнаш - 4 KELA".
KELA-823
Заражает только COM, резидентный. Частично невидимый. В конце есть
текст "KELA lives Don Kr. 1992".
KELA-1171
Заражает COM и EXE, резидентный. Довольно безграмотный, но с
элементами невидимости. Может заражать и неисполняемые файлы.
Иногда портит драйверы - абсолютно безграмотно пытается их
заразить.
KELA-1735
Заражает COM и EXE, резидентный. Имеется текст "KELA-9 lives all
times 1992-93", а в самом конце "Alien".
KELA-1904
Заражает COM и EXE, резидентный. Пакостей нет, Aidstest заражает. В
начале зараженных COM-файлов (+3) видно "COM".
KELA-2002
Невидимость разработана весьма детально. Пакости не предусмотрены,
но дефекты алгоритма невидимости могут приводить к порче программ.
Имеется текст "KELA lives all times 1993 ver-".
KELA-2010
Заражает COM и EXE, кроме AIDSTEST, резидентный. Частично невидим.
Во всех PAS-файлах заменяет 1840 байт в начале на безграмотное
двустишие, повторенное 40 раз.
KELA-2099
Заражает COM и EXE, резидентный. Невидимость разработана довольно
старательно, но в предположении, что 62 секунды ставит только этот
вирус. В противном случае последствия будут самые печальные.
Предполагается вывод на экран текста "You Are Dead !! Ha Ha Ha KELA
-16". Боюсь, что увидеть его никому не удастся...
KELA-2163
Заражает COM и EXE, резидентный. В конце тексты, в частности с
благодарностью в адрес "Dark Avenger".
KELA-2520
После 3 ноября каждый час на цветном мониторе устраивает
"осыпание" букв с довольно примитивным алгоритмом.
KELA-2530
Заражает COM и EXE, резидентный. Не заражает ADinf. Через час после
загрузки выводит на экран "Ну вот и я ребята злобный вирус!! Ха Ха
Заждались небось. Ну ничего Теперь скучно не будет." Предполагался
и регулярный вывод текста "You Are Dead !! Ha Ha Ha KELA-15", но в
этом месте есть ошибка.
LPToff-256
Заражает только COM, резидентный. Блокирует вывод на принтер.
Содержит текст "(с) 1992 , ВМШ ВМиК МГУ".
Beep-375
Заражает только COM, резидентный. После успешного заражения издает
писк.
Beep-1984
Заражает COM и EXE, кроме AIDSTEST и COMMAND.COM. Резидентный.
Везде кроме PC XT сразу вешает систему. Каждые 5 минут издает писк.
FamE-896
Заражает только EXE, резидентный. Scan опознает его как "FamE [FE]"
HoChiMinh-950
Заражает EXE и COM кроме COMMAND.COM версии 3.30, резидентный. В
начале третьего часа после загрузки выдает на экран:
This playgame was writen by Nguyen The Quang, Nacentra Co.
101 - Hai Ba Trung, St.1 - Ho Chi Minh City, Phone: 96282
Press any key to Continue!
April-483
Заражает EXE и COM, резидентный. Использует в качестве буфера
память экранного адаптера, не проверяя ее наличия. Из-за этого
может безнадежно портить все заражаемые программы. 1-го апреля
выводит на экран "Христос - Воскрес ! ! !".
Oxana-1653
Заражает только EXE, резидентный. Начиная с ноября часто выдает на
экран рамку с текстом: "Я вирус! Угадай мое имя,или я причиню
страшные разрушения". Если ответить "ОКСАНА", выдает: "Правильно!
Найдите Борисову Оксану для получения антивируса".
Oxana-1654
Отключена шутка.
Oxana-1555
Шутку выдает начиная с августа.
Oxana-1419
По видимому, наиболее ранняя версия. Шутит, начиная с марта. Судя
по динамике активизации шуток, автор трудится над вирусом не меньше
года.
Oxana-1702
Заражает только EXE, резидентный. Шутит, начиная с июня.
Scoundrel-3323
Заражает EXE и COM, резидентный. Иногда выводит на экран:
"ScoundrelSoft -'Your pleasure is our business'". Столь правильную
самооценку можно только приветствовать.
Igor-384
Заражает только COM, резидентный. Грамотностью не отличается. В
конце текст: "V 1.0 Igor,1992 The Urik-hai are upon you!".
Igor-300
Портит атрибуты и время файла. В первый час суток может испортить
многие файлы - при исполнении функции Write пишет в файл текст:
"Igor 1992 v.2.0 The Uruk-hai and winged Nazgul strikes again!".
Igor-361
Написан столь же грамотно, как о предыдущие. В 10-м часу блокирует
выбор в качестве текущего диска любого, кроме "C:". Содержит в
конце текст: "Igor 1992 v.3.0 It was last assault of the Uruk-
hai... We shall meet in Valhalla!".
Igor-427
При запуске зараженной программы может выдать текст: "Invalid user
Replace and strike a key" и перезагрузить систему. Текст в конце
как и в 384, но номер версии 1.1.
Beer-2850/3109
Заражает EXE и COM, резидентный. При заражении EXE пишет лишние 259
байт и еще до 20 на округление. Очень редко выдает на экран текст:
"Сейчас бы пивка" и исполняет мелодию "Семь сорок". Кроме того,
также очень редко, блокирует запуск AIDSTEST с исполнением той же
мелодии.
Beer-2794/3053
Другая версия. При обезвреживании в памяти Aidstest эту версию от
предыдущей не отличает.
Beer-2984/3243
От 2850/3109 отличается только наличием поиска объектов для
заражения при смене текущего каталога.
Beer-2620/2879
Заражает COM и EXE, резидентный. Одна из сравнительно ранних версий.
Beer-645
Заражает только COM. Мечты о пиве музыкой не сопровождаются.
Beer-3164/3423, -3192/3451
Добавлена порча файлов DISKDATA.DTL, VIRUSES.INF, DIRINFO и одного
из имен базы данных ADinf.
Beer-2473/2732
Переделка версии 3192/3451. Вместо базы ADinf портит файл "-V.MSG",
причем вместо мечтаний о пиве использует текст "Вирус,Вирус ха-ха-
ха" ... Добавлено несколько ошибок.
Beer_11-3192/3451
Промежуточная между 3164/3423 и 3192/3451 (по авторской нумерации
11-я).
Beer-3225/3484
Заражает COM и EXE, резидентный. Обнаруживая в текущем каталоге
файлы "DISKDATA.DTL", "VIRUSES.INF", "ADINF-+.+++", "REPORT.WEB",
"REPORT.TXT", "ADINF-C.LOG", "ADINFD.LOG", "ADINF-E.LOG",
"CHKLIST.MS", "AVPTSR.EXE", "-D.COM", "-D3.COM", "VSAVE.EXE",
"ANTI4US.EXE" пишет в них текст
+-----------------------------------+
| Жили у бабуси ТPИ веселых гуся: |
| лОЗ,дАНИЛОВ и кАСПЕPСКИЙ - |
| Я ОТ НИХ ТАЩУСЯ !!! |
+-----------------------------------+
Тот же текст иногда выводит на экран с исполнением соответствующей
мелодии.
Beer-3307/3566
Очень близка к 3192/3451. Главное отличие - замена текста на "(c)
Испытательный центp самоходного пpогpаммнoго обеспечения имени
Ячменного колоса", причем, даже с рамкой вокруг.
Beer-3399/3658
Заражает COM и EXE, резидентный. На этот раз в тексте меня
приглашают на платформу Солнцево, чтобы выпить пива.
Beer-3490/3749
Заражает COM и EXE, резидентный. Вместо музыки предусмотрена "EGA -
text mode demonstration. Copyright (c) by Wadim 1990.", однако, я
сомневаюсь в ее работоспособности.
Beer-3612/3871
Заражает COM и EXE, резидентный. Забивает файлы "DISKDATA.DTL",
"REPORT.WEB", "AVPTSR.EXE" текстом "Сергей Мавроди - П И Д О Р !!!
Вам псина улыбнулась !!! <------- Прочтите справа налево - выйдет
палиндром (сырой)". Иногда выводит этот текст на экран, после чего
начинается издевательство над мелодией "Риорита".
Face-414
Заражает только COM, резидентный. Заражение производит при создании
файлов (копировании), причем далеко не всегда. Иногда в текстах,
выводимых на консоль, заменяет первый символ на код 01 (лицо).
Drug-959/987
Заражает EXE и COM, резидентный. При заражении EXE длинее на 28
байт. При запуске зараженной программы старается ее вылечить.
FaX-1536
Заражает только EXE, резидентный. По 25, 26-м числам устраивает
странную шутку, которая должна приводить к бдокированию диска A:
или повисанию системы. Содержит в закодированном виде тексты "FaX
Free!" и "Welcome".
Fisher-2420
Заражает COM и EXE, резидентный. Содержит текст: "Copyright 1991-92
by Fisher. Version 2.0 . Идея эффектов на принтере - ДАС-2, комната
1405 .". Упоминаемая здесь "идея" заключается в выдаче междометий
из лексики уличных подонков.
Fisher-1100
Заражает только COM, резидентный. Скрывает изменение длины.
Содержит текст: "(c) Copyright 1992 by Fisher. Version 3.0 . PUNK-
ROCK & BEER FOREVER ! $"
Login-2971/2967, -2972/2968
Заражает COM и EXE, резидентный. При заражении COM пишет лишних 4
байта. Плагиат из ставшего классическим M2C, естественно, без всего
непонятного. При этом были оставлены многочисленные куски, ставшие
абсолютно бессмысленными без выброшенных. Собственное творчество
автора, насколько мне удалось понять, направлено на определение
чужих паролей в локальной сети. Для этого во время работы программы
LOGIN ввод с клавиатуры копится в буферах, которые затем
оказываются в зараженных файлах. До конца разобраться в этой идее
мне не удалось.
BUPT-1220/1223
Заражает COM и EXE, резидентный. При заражении EXE пишет лишних 3
байта в начале. Безнадежно портит сегментированные EXE-программы,
однако по безграмотной самоуверенности после каждых 20 заражений
выдает на экран: "Traveller (C) BUPT 1991.4 Don't panic I'm
harmless".
EGA-571
Заражает только COM, резидентный. По 31-м числам на EGA-адаптере
устраивает фокусы с зеркальным отображением букв (не проверял).
EGA-469
Заражает только EXE, резидентный. Портит аттрибуты время создания
файла. Каждый час сдвигает по вертикали развертку на адаптере EGA.
EGA-900
Заражает только COM, резидентный. Содержит текст: "<< Кот и Шмель
представляют >>". Должен отметить, что в этом представлении слишком
много ошибок. В частности, некий фокус с адаптером EGA, как мне
кажется, работать не будет.
EGA-445
Отличается от 469 некорректной работой с INT 24.
EGA-557
Другая версия EGA-571. По 31-м числам переворачивает и зеркально
отображает по одному символу на каждый запуск программы.
EGA-1323
Заражает COM и EXE, резидентный. Каждый час устраивает подергивание
изображение на экране в вертикальном направлении.
EGA-1056
Заражает только EXE, резидентный. Устраивает представления с
зеркальным поворотом изображений символов. Имеет ряд ошибок.
Girl-1004
Заражает COM и EXE, резидентный. После пяти успешных заражений в
сеансе портит все открываемые файлы. В начале испорченных файлов
стоит: "File was destroyed by virus Little girl ver 2.00".
Girl-1008
Портит только один файл на пять заражений.
ZeroTime-1721/1716
Заражает COM и EXE, резидентный. При заражении COM пишет лишних 5
байт в конце. Через большое время после заражения пишет нулевое
время создания во всех закрываемых файлах.
Goat-1172
Заражает только EXE, резидентный. Через 3 месяца после заражения
предполагается вывод в последнюю строку экрана (почему-то только
при наличии EGA) длинной фразы, в которой называет "козлом" того, у
кого возникнут проблемы от столь "безобидного" вируса. Автору было
бы полезно узнать, что безобидных вирусов не бывает, тем более так
безграмотно написанных.
Trouble-3569
Заражает COM и EXE, резидентный, невидимый. Если номер дня равен
номеру месяца, стирает нулевую дорожку диска "C:". Содержит в
закодированном виде фразу: "Don't trouble trouble until trouble
troubles you".
KIWI-550
Заражает только EXE, резидентный. Не заражает AIDSTEST. Стирает
атрибуты. В начале содержит фразу: "I'm KIWI-586.(C) Vegetable-
Soft.1992".
Cha-2391
Заражает COM и EXE, резидентный. Написан удивительно безграмотно.
Содержит текст: "cha-cha-chacha-cha-cha"
Erase-821
Заражает только COM, резидентный. При обнаружении любых файлов с
именами, содержащими последовательности символов: "AID", "VIR",
"DINF", "CHK", "TEST", "AUR", "PAV", "NAV", "-V", "SENT", "ASM",
"SCAN", "LEAN", "ANT", "SAFE", "BOOT", "STRA", стирает их с диска.
Месть непримиримого врага с антивирусными средствами настигает и
вполне невинный CHKDSK.
Erase-1476
Заражает COM и EXE. Следующая продукция того же автора. Проявления
те же.
Erase-1563
Слегка подправленный вариант предыдущей версии.
Erase-777
Заражает COM и EXE, резидентный. Стирает все файлы с расширениями
".C", "PA?", ".AS?", ".IC?", ".LZ?". Портит дискеты.
Harm-1082
Заражает только EXE, резидентный. Содержит закодированные тексты
"Eat me Lozinsky!" и "Harmless v1.0, 10/06/92 Tyumen". Уместно
заметить, что безвредных вирусов не бывает по причине
безграмотности их авторов. В частности, данный вирус безнадежно
портит все сегментированные и некоторые другие программы.
China-777
Заражает только COM. Поиск в текущем каталоге. В 13 часов выводит
текст "The China Syndrome Version 1.00a Written by : Crypt Keeper
Well, I guess you found the sectors... You got a warning... This
program was written in the city of Cincinnati. Non-destructive
version - A-". После этого может испортить информацию на текущем
диске. К счастью, алгоритм не работает на дисках больше 32 Мб.
China-1824
Заражает COM и EXE, резидентный. Из-за ошибок иногда вешает
систему. 4-го июня выдает на экран:
Eternal glory to those Chinese people who fell in 1989,
in the noble struggle for freedom of speech, expression,
the press, assembly, association, procession,
demonstration and the freedom to strike!
Not one single drop of blood, not one single tear,
not one single act of courage will have been wasted in vain.
Wild grasses spreading o'er the plain
With every season come and go.
Heath fire can't burn them up, again
They rise when the vernal winds blow.
Zattr-382
Заражает только COM, резидентный. У заражаемых файлов портит дату и
время. Всем открываемым файлам (не только программным) ставит
нулевые атрибуты.
EXE-222
Заражает только EXE, резидентный. Файлы заражает только при записи
(копировании). Длину не меняет. Содержит две ошибки, из-за которых
его работоспособность довольно низкая.
EXE-223
Заражает только EXE, резидентный. Организован довольно оригинально.
Не меняет длины заражаемого файла, но может заразить далеко не все
EXE-программы.
EXE-323
Заражает только EXE, резидентный. По 7-м и 18-м числам портит
случайные сектора на первом твердом диске.
EXE-334
Заражает только EXE, резидентный. Не заражает программы, у которых
SP=200, в частности, NC.EXE.
EXE-394
Заражает только EXE, резидентный. Бездарный плагиат из BootEXE-451.
EXE-410
Заражает только EXE, резидентный. Не меняет длины заражаемого
файла, но может заразить далеко не все EXE-программы. У адаптера
EGA через 5 минут меняет один параметр настройки, в результате чего
изображение на экране принимает довольно странный вид (сбивается
вертикальная развертка).
EXE-388
Заражает только EXE, резидентный. При переключении экрана в режим
320x200x256 перезагружает систему.
EXE-283
Заражает только EXE, резидентный. Довольно опасен из-за ошибок.
Есть текст "Dina v4.2r".
Tu-482
Заражает только COM, резидентный. В заражаемые файлы со смещением
1000h пишет символы "Tu".
Tu-2500
Заражает COM, резидентный. При нажатии Ctrl+Alt+Del с вероятностью
1/256 предусмотрено исполнение какой-то музыки. Мне кажется, что из
-за ошибок будет лишь повисание системы.
Vologda-723
Заражает только COM, резидентный. Насколько можно понять, у автора
большие планы по выпуску новых версий вируса.
AVV-1667
Заражает только COM в текущем каталоге. Самое интересное в этом
вирусе, что его автор считает его антивирусным средством! В момент
запуска зараженной программы производится просмотр всех COM-файлов
в текущем каталоге и проверка их по ряду мелких признаков, среди
которых и 60 секунд во времени создания. При обнаружении чего-то
выдается сообщение "Warning! In file ....... may be virus". Ко всем
"чистым" файлам он себя дописывает в начало. Мало нам пакостников,
так еще и благодетели появились!
AVV-2300
Дальнейшие изыскания того же благодетеля. Обозначен как версия 1.12
и обещано обнаружение более чем 200 вирусов.
Suriv-897
Заражает только COM, резидентный. 1-го апреля выдает текст: "APRIL
1ST HA HA HA YOU HAVE A VIRUS" и вешает систему, а после 1-го
апреля при загрузке каждой программы - текст: "YOU HAVE A VIRUS
!!!".
Suriv-1000
Заражает только COM, резидентный. Что-то делается с клавиатурой, но
смысла этой деятельности я не понял.
NG-706
Заражает только COM, резидентный. Для пущей оригинальности
производит заражение поиском в текущем каталоге на каждом четвертом
вызове INT 28, если в промежутке была запись на какой-то диск. В
начале закодированный текст "New Generation v.2.1 (NG-2.1 Ukr)".
При первом запуске зараженной программы не исполняет ее, а выдает
текст "Bad command or file name".
NG-914
Заражает только COM, резидентный. В начале есть закодированный
текст: "NG-2.2 Ukr".
NG-1036
Заражает только COM, резидентный. Есть закодированный текст "NG-2.3
Ukr".
AMT-3000
Заражает только EXE, резидентный. Не заражает наиболее известные
антивирусные программы и TLINK. После 666 загрузок одной из
зараженных программ предполагается порча первого твердого диска.
AMT-4000
Заражает только EXE, резидентный. Предполагаются пакости в момент
записи в файлы, имеющие расширения имени: OBJ, LIB, TPU, TPL, ARJ,
$00, ZIP, ARC, LZH, ICE. В сути этой пакости я не разобрался.
ZYX-644
Заражает только COM, резидентный. Портит атрибуты и дату создания
файла.
MWS-788
Заражает только COM, резидентный. Резидент содержится в видеопамяти
и при явной опасности отключается. В начале слегка закодированный
текст: "(C)MWSoft,1993 Rookie".
Fans-500
Заражает только COM, резидентный. Есть закодированный текст "Fans
Ver 0.00".
Fans-560
Заражает только COM, резидентный. В конце закодированный текст
"Fans Ver 0.01"
XAM-797/821
Заражает COM (797) и EXE (821), резидентный. Содержит тексты: "Wait
viruses XAM", "Hi, Dmitriy Nikolaevich!".
XAM-278
Заражает только EXE, резидентный. Размещается в EXE Header при
наличии там свободного места. Перехватывает INT 16 и, получив
управление, ищет объекты для заражения в системных буферах.
Zelen-379
Заражает только COM, резидентный. Портит атрибуты и дату файла.
Содержит в конце текст: "Virus ZELENTSOV".
Micro-92
Заражает только COM, резидентный. Написан удивительно изящно.
Особенно приятно, что прислал мне его из Санкт Петербурга сам автор
- Соловьев Михаил Анатольевич,- причем гарантировал, что
распространяться он не будет. В Aidstest он включен лишь в качестве
украшения коллекции.
Micro-66
Заражает только COM, резидентный. Это, конечно, невозможно, но
Игорь Данилов сумел его сделать! Есть еще и 86, 80, 76, но на
свободе им не гулять, поэтому в Aidstest вставлен только текущий
рекорд. Мне кажется, что его побить невозможно, но...
Micro-60
Заражает только COM, резидентный. Автор Дмитрий Кубов.
Micro-59
Заражает только COM, резидентный. Рекорд, но я уже не решаюсь
утверждать, что его не побьют.
GJV-308
Заражает только COM, резидентный. Предельно примитивен, портит дату
файла, не работает на машинах с процессором 8088 или старше 80286.
GJV-532
Заражает только EXE, резидентный. После 17.00 изображает очень
примитивное осыпание букв. Есть текст "G.J.V Tver".
GJV-776
Заражает только EXE, резидентный. Дату не портит, но процессорами
старше 80286 еще не разобрался.
Mirror-1056
Заражает только EXE, резидентный. Содержит слово "Mirror". Начиная
с марта 1993 на адаптере EGA/VGA меняет изображения символов первой
половины на зеркальное.
Keypress-1495/1735
Заражает COM (1495) и EXE (1735), резидентный. Очень похож на
V-1232. Начиная с июня 1993-го через каждые 4 минуты собирается
выдавать в клавиатурный буфер текст: "Mubark is caw".
Keypress-1600/1840
Заражает COM и EXE, резидентный. Выдает в буфер клавиатуры
попеременно "HELLO SHSHTAYY", "GODBYE AMIN", "ZAGAZIG UNIVER"
Surgut-1410
Заражает COM и MBR диска "C:". Остается резидентным только при
загрузке с зараженного диска. Старый MBR прячет в 0/0/5. Заметно
намерение автора в следующих версиях заражать также EXE и драйверы.
По имеющейся информации обнаружен в Сургуте.
Surgut-360
Заражает только COM. Поиск в текущем каталоге. В начале текст "I'm
GIDRA v1.5 from Surgut.".
Paramon-917
Заражает только EXE, резидентный. Не проверяет свое наличие в
файле, поэтому заражает многократно. При округлении заражаемого
файла до кратного 16 пишет текст "Paramon.Paramon".
Sept13-432
Заражает только COM, резидентный. 13 сентября стирает 13 первых
секторов диска C: (логического).
Sept13-440
Заражает только COM, резидентный. Эта версия, вместо порчи диска 13
сентября, в 12-м часу устраивает мелкую пакость на экране (сдвигает
информацию на 5 строк).
DiS-1024
Заражает только EXE, резидентный.Из-за ошибки перед собой пишет еще
не меньше 531 байта. Иногда пытается стереть Boot Sector дисков A:
и B:, медленно выдает тексты: " ***The Heaven Version 3.0
(C)Copyright 1993 DiS co.*** " и "***If you can read this , you
don't need glasses!***", а затем вешает систему.
ZRK-2435
Заражает EXE и COM, резидентный. Содержит специальные средства
борьбы против трассировки на 386 процессоре, однако не учитывает
одну его простейшую особенность, из-за которой зараженные EXE-
программы на нем вешают систему. Имя "ZRK" выбрано, поскольку так
его опознает Scan.
YaQi-3072
Заражает COM, EXE и MBR первого твердого диска. COM и EXE различает
по имени, в связи с чем COM-файлы с расширением EXE портятся
безнадежно. 4-го мая может стереть с диска очень многие файлы,
выводя при стирании каждого послание, адресованное "YqR". По
воскресеньям может портить регистры клавиатуры. В середине вируса
виден текст: "Welcome! Auto-Copy Deluxe R3.00 (C)Copyright 1991.
Mr. YaQi. Changsha China No one can Beyond me!", а в конце и в
зараженном MBR: "New Century of Computer Now!".
Nygus-752
Заражает EXE и COM, резидентный. COM и EXE различает по имени.
Портит время создания и атрибуты файла. Содержит ошибку, из-за
которой у зараженных COM-файлов часто бывают испорченными 5 байт со
смещением 5 от начала. Восстановить их Aidstest не может. Содержит
закодированный текст: "(c)Nygus v2.0".
Wildy-354
Заражает только COM, резидентный. Не работает при наличии
монохромного монитора. Видно слово "WILDY".
Ice-734
Заражает только COM, резидентный. На цветном мониторе слишком часто
устраивает шутку с последовательным стиранием всех букв и цифр. Со
смещением 3 от начала файла ставит слово "Ice".
Ice-746
Заражает только COM, резидентный. Часто пытается инвертировать
первое слово случайного сектора диска. К счастью, не всегда
успешно. Подключаясь к одной из BIOS-функций вывода символа на
экран, иногда добавляет два лишних символа. В начале зараженного
файла видно "Ice".
Reset-352
Заражает только COM, резидентный. Через некоторое время (не больше
часа) перезагружает систему.
Udm-559
Заражает только EXE, резидентный. Не работает на XT. Портит время
файла - устанавливает на момент последнего ее запуска. Не всегда
корректно передает параметры зараженной программе. После 64
запусков одной из зараженных программ пытается испортиь диск "A:".
UFO-2728/2984
Заражает COM (2728), EXE (2984) и BOOT дискет емкостью до 360 Кб,
резидентный. Через час в первой строке цветного монитора выводит
тексты "The U F O Club" и "FO-4 By Faisal-Andre-Akhmad Klp Gading
Jakarta Utara" с цветовыми и динамическими эффектами. Заметно
родство с "Mubark-1495".
UFO-1468
Заражает только EXE, резидентный. После каждых 3000 прерываний от
клавиатуры выводит на экран один из четырех текстов. Один из них
"THEY... are here !", а остальные воспроизводить не хочу. После 10
таких событий стирает CMOS, предварительно выведя текст "I am sick
of a bullshit", а после него много мусора. Из-за ошибки может
устанавливать файлу случайные атрибуты.
Vova-8896
Очередной вирус на Паскале. Заражает только COM. Из-за ошибок
большинство файлов стирает и завершается сообщением об ошибке.
Предполагается вывод текста "*** VoVaVir 3.0 (c) 3/9/92 by Vova,
Tatarstan,SPTU-12 ***".
Vova-9904
Заражает только COM. На этот раз объявлено, что это версия "3.3 for
Marina". За счет дополнительных возможностей повышены шансы
повесить систему.
Vova-12560
Заражает COM и EXE. Изготовлен на Паскале. В зараженных файлах
меняет пары байт со значением 0CD21h (команда INT 21) на 0CD65h.
При лечении производится обратная замена, но она иногда может
оказаться неправомочной, в результате чего восстановленный файл
может быть испорчен. Судя по тексту внутри, изготовлен неким "Vova
of Ufa" в честь "LENA".
PI_PI-1552
Заражает COM и EXE, резидентный. Алгоритм заражения EXE взял из
Jerusalem, в связи с чем портит сегментированные. В качестве шутки
выдает на монохромный монитор мигающую надпись "PI_PI".
VIV-524
Заражает только COM, резидентный. В начале зараженных файлов со
смещением 3 стоит "VIV".
Lostkey-1200
Заражает только COM, резидентный. Довольно часто блокирует ввод с
клавиатуры. Сделан с большими претензиями на оригинальность и
большим количеством ошибок, которые, к счастью, не должны приводить
к тяжелым последствиям.
Try-1074
Заражает только COM, резидентный. Судя по заготовкам, автор намерен
в дальнейших версиях заражать и EXE. В начале виден гордо-
безграмотный текст "Try to DIE".
Vinnitsa-1620, -1658
Заражает EXE и COM, резидентный. В начале зараженных COM-файлов
стоит текст "Vinnitsa 1992 year" или часть его. В DBF-файлах
постоянно портит случайные байты в начале - записывает в них
значение, равное смещению от начала файла. Иногда может испортить
несколько случайно выбранных секторов на диске, испортить в памяти
переменные, управляющие экранным адаптером, или записать случайное
значение в случайный порт.
Warlock-666
Заражает только COM. Поиск в текущем и корневом каталогах. Есть
закодированное слово "WARLOCK".
Warlock-1672
Заражает COM и EXE, резидентный. Заражает файлы с расширениями COM,
EXE, OVL и DBF, причем, если в начале стоит байт с нулевым
значением, пишет поверх начала 32 нуля. Есть текст "WARLOCK".
Warlock-1817
Заражает COM и EXE, резидентный. Портит DBF-файлы. У тех из них,
которые имеют в начале байт со значением 3, забивает 32 байта в
начале, а остальные заражает как COM. Последние Aidstest может
исправить. Содержит закодированный текст "Revenge of WARLOCK!".
Warlock-2879
Заражает COM и EXE, резидентный. Портит первые 32 байта у всех
файлов, начинающихся на 03, и всех, кроме EXE, после 30 заражений в
одном сеансе. Весьма старательно скопировано почти все из
"музыкальной" серии.
MIREA-930
Заражает EXE и COM, резидентный. После 1000 нажатий на клавиши
заменяет следующие 7 символов на " МИРЭА ". Не заражает Aidstest и
Scan.
MIREA-958
На этот раз текст состоит из 10 символов " МИРЭА II ", а в начало
вируса добавлен текст "HELLO HACKERS FROM MIREA".
Julia-1027
Заражает EXE и COM, резидентный. Из-за больших претензий на
оригинальность довольно быстро вешает систему. Предусмотрен вывод
на консоль текстов "Julia L." и "Today is May Day", однако до того
система также повисает.
Julia-1000
Имеется указание о том, что это версия 3, однако, ничего
принципиально нового обнаружить не удалось. Система виснет так же
быстро.
Julia-240
Заражает только COM, резидентный. В конце видно "Julia".
Julia-600
Заражает только COM поиском в текущем каталоге и C:\COMMAND.COM. По
первым числам в текущем каталоге создает файл DIRINFO с
изображением сердца с надписью "FOR JULIA". В конце видно "Julia".
Cobra-400
Заражает только COM в текущем каталоге и COMMAND.COM. В начале
стоит "Cobra".
RV-1355
Заражает только EXE, резидентный. Символы "RV" ставит как признак
зараженности в позицию контрольной суммы (+18). Содержит целый
букет пакостей, производимых в разное время. От взаимной замены
кодов Escape и Enter, мелких замен и дополнений при выводе на
печать, помех при работы с дискетами, до полной порчи некоторых
файлов.
Fred-657
Заражает только COM, резидентный. Видны слова "Fred" и "COM".
Заметно намерение автора продолжать свои труды.
CCC-381
Заражает только EXE, резидентный. Достаточно быстро вешает систему.
Sauron-375
Заражает только COM, резидентный. В середине текст "SAURON-1". В
версиях MS DOS с 5.0 сразу вешает систему.
SSI-623
Заражает только COM, резидентный. В конце текст "SSI v. 1.00".
SSI-945
Заражает COM и EXE, но из-за ошибки многие EXE и некоторые COM при
этом делает неработоспособными. В конце текст "SSI v. 2.01".
SSI-1428
Заражает COM и EXE, резидентный. Переписано основательно, но при
полном отсутствии чего-то нового.
Omsk-560
Заражает только COM, резидентный. Предусмотрена порча первого
твердого диска. В начале текст "OMSK 02.12.93", а в конце "WARIOR".
Omsk-1855/2000
Заражает COM и EXE, резидентный. Заражает только файлы, создаваемые
на дисках "A" и "B", и "c:\command.com". При заражении COMMAND.COM
длину не меняет, во всех остальных случаях удлиняет файл на 2000.
Номинальная длина показывает размер самого вируса. Блокирует
форматизацию дисков.
Omsk-1860/2000
Заражает и файлы, открываемые на дисках "A" и "B".
Omsk-2365
Заражает COM и EXE, резидентный. В этой версии предусмотрена
особенно гнусная пакость - в ноябре при некоторых операциях записи
информация сдвигается на 1 байт.
Omsk-2329
Заражает COM и EXE, резидентный. Пакость при записи (см. 2365)
творит по пятницам.
Omsk-2754
Заражает COM и EXE, резидентный. По первым числам стирает первый
твердый диск и выводит текст "Hello! I am the Little Cat - lovely
VIRUS !". Но предварительно, соблюдая кодекс чести палача, лечит
COMMAND.COM.
CSF-240
Заражает только COM, резидентный. Пишется в начало файла. В его
конце видны символы "csf".
Kamchatka-1000
Заражает только COM в текущем каталоге. Иногда выдает один из 13
текстов типа "Water detect in Co-processor !", одновременно
излечивая запущенную программу.
Kamchatka-1575
Заражает только COM. Заражает поиском на текущем диске. В
зашифрованном теле вируса имеются тексты: "Friday I'm in LOVE !",
"No smoking, please ! Thanks.", "Kamchatka". Заметно родство с
Kamchatka-1000, но на этот раз накручено сверх всякой меры и
необходимости.
Kamchatka-326
Заражает только EXE, резидентный. Не меняет длину. Применен
алгоритм заражения, который приводит к тому, что программа
загружается в память со смещением. В результате некоторые
зараженные программы оказываются неработоспособными. В частности,
многие системные программы MS DOS, которые при загрузке выводят
сообщение "Packed file is corrupt". К сожалению, полноценное
лечение от этого вируса невозможно.
Paul-1536
Заражает COM и EXE, резидентный. Близко от конца видно "1992.".
Arus-817
Заражает COM и EXE, различая их по имени, резидентный. В 1994 году
намерен включать шутку - эмуляцию ввода с клавиатуры текста
"Arusiek R.".
Dubna-1244
Заражает EXE и COM, резидентный. Не заражает EXE-файлы,
запакованные LZEXE.
TSTU-550
Заражает только EXE, резидентный. Портит атрибуты файла.
Sixteen-512
Заражает только COM, резидентный. Плагиат из V-512 с сохранением
ошибок, но без некоторых тонкостей. Добавлена порча диска C: после
27-го числа. В конце много 38 байтов с кодом 16h.
Trash-1024
Заражает только EXE, резидентный. В середине текст "(C) 1993 Trash
Soft & HardWare".
Bob-448
Заражает только EXE, не меняя длины файла, резидентный. В конце
вируса имеется текст "Work448(Bob)".
Small)
Продолжение групп Tiny и Mini, когда одна и та же длина встречается
в третий раз. Все заражают только COM, резидентны и не сохраняют
дату создания файла.
Small-122, -130
Безнадежно портят программы короче собственной длины.
Small-132, -140, -178, -200
Crimea-490
Заражает только COM. Программа, из которой он становится
резидентом, не исполняется. Портит дату файла.
Crimea-1582
Заражает COM и EXE, резидентный. С претензией на невидимость. Если
в одном сеансе удается заразить 47 файлов, переводит экран в формат
40x25 и выводит тексты, в том числе "Do not interrupt; the D.A.C
action.", "Simferopol-city. Written by M>2,F<2,T>2".
Mill-2189
Заражает COM и EXE, резидентный. В качестве даты всех зараженных
файлов ставит 31 апреля. После 25 заражений на цветном экране
начинает "вращать" все символы "\|/-".
Star-486
Заражает только COM, резидентный. Портит дату файла. В конце
"STAR5".
MzBoot-464
Заражает EXE, не меняя их длину, и MBR. В начале стоит "MzBoot" а в
середине видно "(c) Андрюшка". Дальнейшее развитие Multi-384.
VS-612
Заражает только COM, резидентный. Портит дату создания файла. В
конце текст "VS-01. (C) ViruSystems inc.$VS".
VS-2790
Заражает COM и EXE, резидентный, невидимый. В конце текст "VS-061-
"STEALTHIE" (C) 1993 ViruSystems inc.$VS". При отсутствии ввода с
клавиатуры в течение 6 минут играет Гимн СССР.
VS-3900
Заражает COM и EXE, резидентный, невидимый. В конце зашифрованный
текст "VS-071-"GHOST" (C) 1993 ViruSystems inc.". При отсутствии
ввода с клавиатуры в течение 15 минут играет одну из 4 мелодий, в
том числе Гимн СССР.
VS-4000
По авторской нумерации версия 7.2. Содержит особую благодарность
Е.В.Касперскому.
VS-1000, -985
Заражает только EXE, резидентный. Свое наличие отмечает символами
"VS" со смещением 26 от начала файла (параметр Overlay в
заголовке).
Athens-1561
Заражает COM и EXE, резидентный, невидимый. Содержит в конце
закодированный текст "TROJECTOR ]I[,(c) Armagedon Utilities, Athens
1992, Greetings to Vesselin". Блокирует чтение блоков длиной 16 Кб
из первого открытого файла (File Handle 5).
E_burg-1000
Заражает только EXE, резидентный. Содержит много следов ковыряния в
глубинах операционной системы, а также ошибки, приводящие к очень
быстрому ее повисанию.
Night-2048
Заражает COM и EXE, резидентный. Не заражает COMMAND.COM и
AIDSTEST. После каждого заражения (автор собирался сделать после
15, но ошибся) издает серию писков, устанавливает дату 1 апреля и
через некоторое время выдает на экран текст, соответствующий уровню
интеллекта автора.
CLI-1345
Заражает COM и EXE, резидентный, частично невидимый. Примерно через
50 минут после загрузки начинает призводить мелкие шутки - вызывает
INT 2, надеясь вызвать сообщение об ошибке четности, или, если не
ошибаюсь, меняет случайным образом цвнта символов на экране.
Содержит текст "** CLI&HLT (C) Hackers Group **".
Calm-1153
Заражает только COM, резидентный. 3 марта выдит на экран текст
"OK!! NOW KEEP CALM AND LIE DOWN ON THE FLOOR -- THIS IS A
VIRUS!!!!" и включает оригинальный алгоритм осыпания букв на
экране.
Slash-457
Заражает только EXE, резидентный. Опознает себя в памяти по
символам "//" в начале. В поле Overlay ставит значение 1234h.
Grozny-999
Заражает COM и EXE, резидентный. Исходную длину файла восстановить
невозможно, поскольку до заражения к нему дописывается до 255
случайных байт. При запуске Aidstest выдает текст "Господа ! Hе
веpьте AIDSTESTу ! Он пpинесет вам беду ! Дедушке Лозинскому поpа
на пенсию.". Рядом имеется закодированный текст "Для Лозинского:
это далеко не последняя веpсия, ждите новые "пакости" из Гpозного",
однако, пока ничего оригинального обнаружить не удалось.
DBF-734
Заражает только COM, резидентный, не меняет длину. Иногда может
безнадежно портить DBF-файлы.
August-600
Заражает только EXE, резидентный. Начиная с августа при любом
запуске зараженной программы стирает Partition Table.
Incom-648
Заражает только COM, поиском в текущем каталоге. Изредка устраивает
мелкую шутку с палитрой адаптера типа EGA.
Wishes-970, -981
Заражают EXE и COM, резидентные. Различают EXE и COM по именам. В
Boot всех дисков постоянно уменьшают, а в пятницу 13-го обнуляют
параметр размера диска. В конце текст "With Best Wishes".
Wishes-1024
Заражает COM и EXE. Содержит безграмотный плагиат из чужого вируса,
в результате чего очень быстро делает неработоспособной
операционную систему. Предусмотрено периодическое уменьшение, а в
пятницу 13-го и обнуление параметра размера диска (BOOT+13h). Если
у вас произойдет такое на твердом диске, для восстановления можно
использовать значение из Partition Table. Лечение возможно только
при загрузке с чистой операционной системы, поскольку зараженная
успевает безнадежно испортиться до начала работы программы.
MIFI-1489
Заражает только EXE, резидентный. Безнадежно портит
сегментированные программы (Иерусалимский алгоритм). Надеется
блокировать работу Aidstest при помощи уже не оригинального
алгоритма, планируя при этом выдать на экран текст,
"В памяти Вашего компьютера обнаружено нечто, весьма похожее на
AIDSTEST. Отошлите его Лозинскому и больше никогда им не
пользуйтесь".
Виден текст "Лозинскому Д.Н. посвящается". Среди закодированных
текстов есть "Хрюша V1.0 (C) 1992 МИФИ-"Ф", by S.N.".
Pages-421
Заражает только COM, резидентный. Через каждый час 6 раз
переключает страницы экрана (мигание экрана).
Pages-498
От 421 отличается исполнением и дрожания экрана в горизонтальном
направлении.
TridenT-3010
Заражает COM и EXE, резидентный. Не слишком аккуратно реализованная
невидимость может приводить к порче файлов. В основном компиляция
из известных вирусов. Старается не заражать AIDSTEST, COMMAND.COM и
ADINF. Scan опознает его как TridenT, однако явно путает его с
другим вирусом.
Kurgan-919, -939, -948, -1624, -1654
Заражают COM и EXE, резидентные. Все в начале содержат слово
"command". Отличаются один от другого только "шутками". 919 иногда
переключает состояние "Num Lock". В 939 и 948 предусмотрено
изменение некоторых букв на экране, но в 939 это не срабатывает.
1624 и 1654 содержат переписанный из Cascade алгоритм осыпания
букв. 1654 кроме того портит в CMOS параметры дискет.
Mxx-1227/1223
Заражает COM и EXE, резидентный. Плагиат из классических
"музыкальных", но без всех тонкостей и эффектов. Очень быстро
начинает стирать все программы.
Mxx-2433
Заражает COM и EXE, резидентный. Плагиат из M2C. Все непонятые
места отключены. Ничего нового не добавлено.
Anti_font-964
Заражает только COM, резидентный. Безнадежно портит все файлы с
расширениями SFP, SFL, LOD, WID, FON, CDR, MEM, PRG, DBT, FRM,
многие из которых обычно содержат начертания символов. Содержит
текст "Data Base Killer Version 1.0 (C) CopyRight 1992 By Virus
Development Incorporated. All Rights Reserved.". Вызывает частые
сбои при работе с дискетами.
GKChP-800
Заражает COM и EXE, резидентный. 19-го августа стирает все
исполняемые программные файлы. В конце содержит закодированные
тексты "ГКЧПП" и "Commonwealth of Independent States".
GKChP_S-800
Заражает COM и EXE. Заражает поиском во всех каталогах дисков A-D.
После 19-го августа блокирует работу системы - сразу пытается
сделать перезагрузку. В конце содержит закодированный текст "ГКЧП".
Leningrad-2000
Заражает COM, резидентный. После седьмого заражения исполняет
мелодию "Семь сорок". Видны тексты "Эта программа написана мной",
"Вирус-Квартирус. Ленинград 1992" и очень много раз повторенное
"Leningrad".
Shift-1024
Заражает только EXE, резидентный. Производит мелкие пакости с
регистровыми состояниями клавиатуры, иногда возможны потери
символов.
Tremor-4000
Заражает COM и EXE, резидентный. При активизации вируса из
программы, зараженной больше трех месяцев назад, устраивает
дрожание изображения на экране. При перезагрузке по Ctrl+Alt+Del
на экран выдает текст
"-=> T?R?E?M?O?R was done by NEUROBASHER/May-June'92, Germany <=-",
"-MOMENT-OF-TERRORIS-THE-BEGINNING-OF-LIFE-".
Khizhnjak
За вирусы этой группы следует благодарить автора книги "Пишем вирус
и антивирус" Хижняка. В ней был опубликован с подробными
комментариями исходный текст абсолютно примитивного вируса,
заражающего COM-файлы в текущем каталоге. О таком подарке могли
только мечтать серости с атрофированной порядочностью. Ниже описан
личный вклад этой публики.
Khizhnjak-155
Для этой серии пока рекорд. И самая творческая переработка.
Khizhnjak-377
Пытается испортить диск "A:".
Khizhnjak-415, -444, -469, -507, -701, -709
Без особенностей.
Khizhnjak-452
Заражает только EXE. Меняет, но не сохраняет регистры SS и SP.
Из-за этого полноценное лечение невозможно и многие файлы будут
неработоспособными. После заражения выводит на экран два символа
"сердечко".
Khizhnjak-496
При удачном заражения выдает текст "Hallo! I have got a virus for
you!", после чего на всех машинах, кроме некоторых PC-XT система
повисает.
Khizhnjak-509
Весьма творческая переработка. Заражает не только на текущем диске.
Кроме того оставляет резидентную программу из двух команд, которая
не дает обнулить счетчик, управляющий выключением мотора дискет.
Khizhnjak-515
Зашифрованный. Когда-нибудь может выдать текст "Ой, що це було
мабуть <-НЛО-> !".
Khizhnjak-549
Иногда перезагружает систему. Виден текст "CREATED IN MIREA".
Khizhnjak-560
В 1 час ночи намерен портить диск C и выдавать "Hello!". В конце
видно "Killer-94".
Khizhnjak-565
Может испортить нулевую дорожку диска "C". В конце текст
"Killer-94".
Khizhnjak-576
С сентября собирается портить случайные сектора первого твердого
диска.
Khizhnjak-632
Заражает кроме текущего и корневые каталоги дисков "C:" и "A".
Существует слегка подправленный вариант, который после 27-го числа
портит содержимое диска C.
Khizhnjak-639
Даже с кодировкой, да еще и с вызовом через INT 3. В конце выводит
текст "From Russia with love!".
Khizhnjak-649
Очень творческая переработка оригинала. Часть вируса зашифрована.
Заражает в текущих каталогах всех дисков. В конце выдает текст
"From Russia with love!".
Khizhnjak-676
При успешном заражении выдает текст "KIPA Ver1.0 Sergey K. school
654 class 9".
Khizhnjak-692
Две разновидности. Одна из них 10-го марта стирает память
параметров системы (CMOS).
Khizhnjak-715
Заражает только COM. После заражения выводит текст "Не пугайтесь
!".
Khizhnjak-719
Из-за грубой ошибки портит время создания файла. Очень часто
стирает информацию в памяти параметров системы (CMOS).
Khizhnjak-726
При успешном заражении демонстрирует знание автором двух английских
слов. Работает только на XT.
Khizhnjak-731
Заражает только COM, резидентный. При успешном заражении выдает
"Хеллоу !".
Khizhnjak-732
После заражения выводит текст "Hallo ! I have got a virus for you".
Khizhnjak-749
После каждого файла устраивает цветные проблески на экране
(переключает палитру).
Khizhnjak-752
В различное время не только устраивает тривиальные шутки на экране,
но и портит BOOT диска "C:".
Khizhnjak-754
После заражения выводит текст " Привет ! А я уже покушал ...".
Khizhnjak-759
При успешном заражении выдает на консоль: "Hello! I have got a
virus for you!", после чего везде кроме XT вешает систему.
Khizhnjak-765
После успешного заражения выдает "Hello! I have got a virus for
you".
Khizhnjak-768
Добавлен "Венский" алгоритм поиска по "PATH=". Через 3 месяца после
заражения обнуляет первый байт Root Directory, что делает диск как
бы пустым.
Khizhnjak-774
Выводит текст "Hallo! I have got a virus for you!".
Khizhnjak-776
Заражает многократно. 19 августа исполняет мелодию. В конце текст
"Долой банду Ельцина! Вся власть - Советам!".
Khizhnjak-782
Везде кроме XT сразу вешает систему. Если успевает что-нибудь
заразить, выдает на экран текст: "Евгенич, ты скотина!!!
ХА-ХА-ХА!!!".
Khizhnjak-810
После успешного заражения выводит текст "Small present only for
you! Happy New Year!!!".
Khizhnjak-812
Намерен портить 180 секторов текущего диска. В конце текст "Hello!
There is a new virus in your computer! Good luck!".
Khizhnjak-822
Очень редко выдает на экран текст "Благополучия и глобальности тебе
мы".
Khizhnjak-823
В конце текст "Привет системным программистам !!! MGUL !!!".
Khizhnjak-846
Текущий на всех дисках. Содержит текст, умиляющий своей тупой
самоуверенностью: "Привет! Я - добрый вирус! Я ничего плохого не
делаю. Но на моем месте мог бы оказаться злой вирус. Если Вы не
защитились от меня, то подавно не защитились бы от него. И я просто
советую Вам работать в редакторе <TADE>. Уж он-то защитит Ваш
компьютер на 100% от ЛЮБОГО вируса. Вот и все. Пока.".
Khizhnjak-847
Поиск через PATH. Есть тексты "(C) 1993 AREG Soft" и "Благополучия
и глобальности тебе мы".
Khizhnjak-875
При успешном заражении выдает текст, распространяющий на всех и все
известное мнение М.С.Горбачева о членах ГКЧП.
Khizhnjak-892
После успешного заражения включает мотор дискетника. В конце текст
"Jeff Lynne&John Lennon#We Like E.L.O.!#v.2.0$".
Khizhnjak-933
После заражения файла издает писк. 8-го марта портит BOOT на
текущем диске, а 1-го сентября кроме того и стирает все COM-файлы в
текущем каталоге. Содержит текст: "Created by Death Lord".
Khizhnjak-962
Ищет также и на дисках "A:" и "C:". В конце текст "Hallo! I have
got a virus for you!".
Khizhnjak-990
Заражает COM и EXE. Очень похож на 1114.
Khizhnjak-1011
Очень творческая переработка - поиск идет не только в текущем
каталоге, но и по параметру "PATH=". В конце текст "MSTU proudly
presents in 1994 (C)Copyleft IU7-42 Send your special thanks to
FREZER", который часто выводится на консоль.
Khizhnjak-1114
Заражает COM и EXE. Весьма творческая обработка первоисточника.
Добавлено не только заражение EXE, но и элементы мутаций. Иногда
старается слегка подпортить DBF-файлы.
Khizhnjak-1269
Пытается заражать также и в каталогах, указанных в PATH. Портит
месяц в дате файла. Иногда меняет местами адреса INT 40 и INT 41, а
также пытается испортить диск "C:". В конце текст "BADWARE FROM
OREL".
Khizhnjak-1134
Заражает только COM. Поиск и по PATH. Заражает многократно, выводя
при каждом заражении "Файл Заражен Успешно !Tapeworm !".
KhiDBF-1046
Заражает COM и EXE. Поиск в текущих каталогах всех дисков. Заметно
сильное влияние школы Хижняка. В начале DBF-файлов меняет 03 на 06.
MREI-776
Заражает COM и EXE, резидентный. Работает только в версии 3 MS DOS.
В конце в закодированном виде имеет текст "(C) Student 1993". Со
смещением 7 от начала символы "MREI" (возможно, название учебного
заведения).
PC_Flu-763
Заражает только COM, резидентный. Размещается в памяти в
фиксированном месте, не сообщая об этом системе, что быстро
приводит к ее повисанию. К конце текст "PC-FLU by WIZARD 1991".
Macho-3551
Заражает COM и EXE. Заражает поиском в текущем каталоге и ниже.
Старается все встречающиеся на диске слова "MICROSOFT" заменить на
"MACHOSOFT" с сохранением регистров букв. При этом в главном
каталоге диска образуется файл "IBMNETIO.SYS", в котором хранится
номер последнего просмотренного на данном диске сектора.
NetBIOS-4340
Заражает COM и EXE, резидентный. При определенных обстоятельствах
пытается разместить в памяти дополнительный резидент, который
должен что-то делать в локальной сети через NetBIOS (разбираться в
деталях у меня не хватило терпения). Содержит довольно много
ошибок. После 1-го августа старается вылечить все зараженные файлы.
Sair-1150
Заражает COM и EXE, резидентный. При заражении EXE портит время.
Начиная с апреля 1994 года намерен портить 5 первых цилиндров диска
C: (вычитать каждый байт из -1), и после этого выдавать текст:
Ben bir garip virusum
Disket disket gezerim
Bugun kismet sendeymis
Yarin belki kimdeyim
Sair virus
Voco-702
Заражает COM и EXE. Безнадежно портит (замещает собой начало) EXE и
COM, обнаруженные при поиске в каталогах, перечисленных в "PATH=".
A_DIR-1686
Заражает только COM. Стандартный "Венский" алгоритм поиска через
PATH. Как положено для примитивных вирусов, весьма опасен. Все
файлы, имя которых начинается на "A" (не только программные),
заменяет на вирус DIR. В октябре стирает все диски - текущий на
момент запуска зараженной программы.
Andreev-805
Заражает COM и EXE, резидентный. Иногда при запуске зараженной
программы выводит текст "Андреев - хам и жадина". Начиная с
августа, одновременно обнуляет в BOOT байт со смещением 1Ah. Как ни
странно, для исправления такого диска нужна довольно высокая
квалификация.
Fear-1645
Заражает только COM, резидентный. Со второй половины часа по
цветному экрану начинает бегать "мячик", отражаясь от препятствий и
стирая некоторые символы. Близко от начала вируса виден текст "The
Retribution", а в конце - "Creater of fear".
Explode-1000
Заражает COM и EXE, резидентный. Иногда при запуске зараженной
программы устраивает представление с обещанием взорвать машину
через 20 секунд.
Cock-512
Заражает только COM. Заражает поиском в текущем каталоге. Иногда
выводит на консоль два английских слова. В конце текст "Smart
Cock".
Cock-451
Заражает только COM. Поиск в текущем каталоге. Никаких примет, но
похож на Cock-512.
Samara-863
Заражает только EXE, резидентный. Никаких особых примет.
Three-525
Заражает только COM, резидентный. После нескольких заражений
перезагружает систему.
Stalker-320
Заражает EXE, резидентный. Не меняет длину заражаемого файла. При
запуске зараженной EXE-программы на чистой системе заражает также
MBR, после чего система сразу виснет. Содержит "*Stalker*" с
инвертированными битами.
Stalker-310
Плагиат. Переставлено несколько команд и удалена "торговая марка".
Eights-512
Заражает только COM, резидентный. Кроме нормального заражения
COM-файлов пишет себя в случайные сектора диска "C:". В связи с
этим приходится при его обнаружении начинать полный просмотр
файлов, что резко замедляет работу программы. О начале такого
режима работы выдается соответствующее предупреждение.
Barrotes-1310
Заражает COM и EXE, резидентный. 5 января портит MBR первого
твердого диска, выводит на экран текст "Virus BARROTES por OSoft" и
заполняет экран цветными полосами.
Knight-1948/1944
Заражает COM и EXE, резидентный. В начале вируса имеется текст
"Night Knight!". Изготовлен старательно, с многими элементами
невидимости. Заметно стремление обмануть Aidstest. Судя по всему,
автор собирается и дальше упорно трудиться над этим вирусом.
VVM-204, -205
Заражает только EXE, резидентный. Не меняет длины заражаемого
EXE-файла, записываясь в его заголовок вместо нулей. В конце видно
"(C)VVM*". Оба варианта различаются только приемами
программирования.
VVMa-205
Заражает только EXE, резидентный. Небольшая переделка VVM-205.
VVM-207
Заражает только EXE, резидентный. В конце символы "XAM".
Mike-256
Заражает только EXE, резидентный. Не меняет длины заражаемой
программы. Виден текст "(c) MIKE". Очень похож на EXE-223.
Mike-252
Заражает только EXE, резидентный. Отличается парой приемов
программирования.
Uncle-1377
Заражает COM и EXE, резидентный. В начале имеет зашифрованный текст
"(*) Small Uncle (*)", который в памяти зачем-то расшифровывается.
Uncle-1410
Заражает COM и EXE, резидентный. Старается не заражать COMMAND.COM.
NOPm-494
Заражает только COM, резидентный. Довольно примитивный, однако,
автор явно собирается изготовить большую серию вирусов, причем
длиной до пяти килобайт!
Loren-1374, -1387
Заражает COM и EXE, резидентный. Размножается очень активно. В
частности, при выполнении команды DIR. Частично невидим. После 20
заражений стремится испортить диски. Если ему это удастся, в чем я
сомневаюсь, должен выдать текст:
Your disk is formated by the LOREN virus.
Written by Nguyen Huu Giap.
Le Hong Phong School *** 8-3-1992
SVM-695
Заражает только COM, резидентный. Скрывает изменение длины. Есть
закодированный текст "svm killer v 4.0".
SVM-1153
Заражает COM и EXE, резидентный. Некоторые EXE заражает
некорректно. В зашифрованном виде содержит текст "svm killer v
5.0".
Hobbit-416
Заражает только EXE, резидентный. Не меняет длину. Видно слово
"HOBBIT".
Ret-641
Заражает только COM, резидентный. Весьма примитивный. Портит дату
создания файла. Первым делом старается заразить командный
процессор.
VM-3275
Заражает COM, EXE и SYS, резидентный. На всех дисках, содержащих
систему, записывает файл VMEM.SYS и в начало CONFIG.SYS вставляет
команду его загрузки. Не заражает SCAN и CLEAN. Все зараженные
файлы получают нулевой день в дате создания. AIDSTEST при
обнаружении на диске VMEM.SYS стирает его, а лишнюю строку из
CONFIG.SYS не удаляет. Это можно сделать при помощи любого
редактора текстов.
Sarov-1200
Заражает только COM, резидентный. Несколько переработанная версия
Lostkey-1200, но с тем же набором ошибок. В середине появилась
подпись автора (или плагиатора) "BIL_92_Sarov", зашифрованная
вместе с вирусом.
Spider-948
Заражает COM и EXE, резидентный. По ошибке портит адреса прерываний
23 и 24, что может часто приводить к повисанию системы. Имеет
закодированный текст "Red Spider Virus created by Garfield from
Zielona Gora in Feb 1993".
MGUL-925
Заражает COM и EXE, резидентный, частично невидимый. Из-за ошибки
зараженные файлы получают случайную дату. Через каждые 10 минут
проверяет режим экрана, и, обнаружив нечто не
тривиально-символьное, перезагружает систему. Очевидно,
предполагалась борьба против игр. Текстов нет. Принадлежность
семейству определена по почерку.
MGUL-944
Заражает COM и EXE, резидентный, частично невидимый. Блокирует
исполнение ADinf. Hе заражает Aidstest и Scan. Иногда портит MBR
(кодирует операцией XOR 34).
MGUL-950
Заражает COM и EXE, резидентный, частично невидимый. 30 ноября, 11
июня, 31 декабря стирает с диска C: Boot и MBR. В конце имеется
текст "МГУЛ. ВТБ-11. v1.0".
MGUL-1953
Заражает COM и EXE, резидентный, невидимый. 30 ноября и 11 июня
стирает MBR диска "C:". В конце видно "MGUL. v2.5".
MGUL-1962
Заражает COM и EXE, резидентный. 30 ноября и 11 июня стирает MBR
диска "C:". При запуске на исполнение стирает Aidstest, ADinf,
Scan, -V. В конце видно "МГУЛ. v2.0".
Nov_17-800
Заражает COM и EXE, резидентный. 17 ноября стирает 8 первых
секторов со всех дисков. Не заражает SCAN и CLEAR.
Nov_17-768
Заражает COM и EXE, резидентный. Размножается несколько медленнее,
чем 800.
BBS-1258/1514
Заражает COM и EXE, резидентный. При заражении EXE пишет в начале
дополнительные 256 байт. Попадая на BBS стремится зарегистрировать
на ней пользователя с именем "Platon Potapov", обладающего высшими
привилегиями.
BBS-1000/1256
Заражает COM и EXE, резидентный. Ближайший родственник
BBS-1258/1514, но без характерной шутки. В марте намерен стирать
720 секторов текущего диска. Есть текст "King worm".
Pong-691
Заражает только COM, резидентный. Портит дату создания файла. После
8 заражений устраивает представление с бегающим шариком, выбиванием
букв и стуком. При этом не проверяется ни тип, ни режим экрана.
S_key-240
Заражает только COM, резидентный. После нескольких нажатий на
клавишу "S" делает перезагрузку системы. Наличие ошибок может
приводить к неожиданным последствиям.
Angel-1000
Заражает только COM, резидентный. Заражает поиском в текущем
каталоге. 29 ноября выводит цитату из Апокалипсиса (7,8).
Turbo_C-7924
Заражает только COM. Новая большая победа на вирусном фронте - для
изготовления вирусов освоен еще один транслятор. Объекты для
заражения ищет во всех каталогах текущего диска. В качестве пакости
предусмотрена перезагрузка и порча адреса LPT1, а также абсолютно
бессмысленное оставление вируса в памяти в качестве ничего не
делающего резидента.
Galya-500
Заражает только COM, резидентный. Продукция современной
разновидности "рыцаря" - 17 декабря, в день рождения своей дамы
сердца, портит диск "C".
Trash-512
Заражает только EXE, резидентный. При определенных обстоятельствах
пишет на диск COM-файлы со случайным именем из 4 букв. Как и
задумал автор, Aidstest опознает их как зараженные вирусом "V-512",
однако, лечить отказывается (предлагает стереть).
Tamanna-1857
Заражает COM и EXE, резидентный. Все зараженные файлы получают
атрибут Read Only. Старается работать как вакцина - при обнаружении
заражения еще одним вирусом, старается его удалить и даже сообщает
об этом: "File has been modified. Rebuilding...". Временами стирает
экран, выдает на него ряд текстов и требует нажать клавишу "T".
Gelio-1024
Заражает COM и EXE, резидентный. Содержит незадействованные
заготовки для будущей версии.
Veronika-1549
Заражает COM и EXE, резидентный. Продукция еще одного рыцаря. В
конце видно "Veronika P.". Иногда в BOOT дискет пишет программу,
которая вместо загрузки выводит на экран крупными буквами
"VERONIKA".
MRTI-577
Заражает только COM, резидентный. После 12288 обращений к принтеру
печатает на нем ">> Привет от АНДРЕЯ МРТИ~93 <<" (где "М" скорее
всего значит "Минский"). Сделан с претензией на оригинальность, но
весьма безграмотно. Быстро вешает систему.
Metal-400
Заражает только COM, резидентный. Портит атрибуты. Во времени
создания зараженных файлов ставится 50 секунд. В конце слово
"MetallicA".
Metal-500
Заражает COM и EXE, резидентный. Не заражает программы, имя которых
кончается на "ST". В конце слово "MetallicA".
Metal-1103
Заражает COM и EXE, резидентный. 22 апреля портит настройку
видеоадаптеров. Видны тексты - в начале "Metallica Ver 2.2", а
ближе к концу "(c) USSR Moscow 92".
Birthday-1333
Заражает COM и EXE, резидентный. При обнаружении версии
операционной системы, кроме 3.20, 3.30, 4.0 или 5.0, выводит текст
"Dec 3 92 is my 20th birthday (V6)". Размножается весьма активно.
Первым делом заражает программу, заданную параметром COMSPEC,
причем записывается поверх ее конца. При лечении это обстоятельство
не учитывается, в результате чего программа укорачивается.
AntiPAS-602
Заражает только COM. Поиск в текущем каталоге и его подкаталогах.
Портит PAS- и BAK-файлы - записывает себя в них. Такие файлы
Aidstest обнаруживает, но вылечить не может.
AntiPAS-642
Заражает только COM. Поиск в текущем каталоге и COMSPEC. Кодирует
первые 3000 байт программ на Паскале в текущем каталоге.
AntiPAS-1186
Заражает только EXE, резидентный. После 16.00 стирает все
PAS-файлы. Видны тексты "*.EXE", ".PAS", "AIDS", "SCAN". Есть
закодированный текст "Вы больны !".
DrWhite-2403
Заражает COM и EXE, резидентный. В зашифрованном теле вируса
имеются тексты "Desperado Virus - Written in Malmo", "Dr White -
Sweden 1993". В некоторых случаях может по ошибке заразить и не
программы.
DrWhite-1027
Заражает COM-файлы, MBR и бутсектор дискет, резидентный. В
закодированном теле вируса есть тексты "Dr White - Sweden 1994" и
"Junkie Virus - Written in Malmo".
DSU-1414
Заражает COM и EXE, резидентный. После 25-го числа месяца меняет
при выводе на принтер 'р' на 'г'. Невидимый.
DSU-1422
Заражает COM и EXE, резидентный. 1 апреля мешает правильному
исполнению функции DOS Version. 31 января выводит текст "Happy New
Year !!!" и перезагружает систему. Закодирован, невидимый. Есть
тексты "= DSU RFF =" и "= Dark Angel =".
Romania-895
Заражает только EXE, резидентный. После 10 октября каждые 30 секунд
играет короткую мелодию.
Romania-1054
Заражает только COM, резидентный. Есть заготовка для заражения EXE
и большой кусок лишнего кода. Оригинально использует INT 24h, что
может приводить к неожиданным результатам при ошибках ввода/вывода.
Belorussia-459, -463
Заражают только COM, резидентные. Не меняет длины. Слово
"Belorussia!" стоит в начале зараженных файлов.
Belorussia-1298
Заражает COM и EXE, резидентный. Примерно через 25 минут после
загрузки изображает на экране флаг Белоруссии или исполняет
мелодию.
Jos-1000
Заражает только COM, резидентный. При вводе с клавиатуры слова
"jos" (по-румынски - "долой") помещает в буфер клавиатуры
" ILIESCU". Блокирует загрузку нескольких отладчиков. Видны тексты
"JABBERWOCKY (.), the first Romanian Political Virussian" и
"Release date 12-22-1990".
AI-1759
Заражает только EXE, резидентный. Через 6 месяцев после заражения
может стереть нулевые дорожки дисков "C:" и "D:".
Two-600
Заражает только EXE, резидентный. Отличается удивительной
безграмотностью и подлостью. Очень часто при операциях записи на
диск вставляет 2 лишних байта. Передавая управление программе,
портит регистры, что обычно приводит к неправильной обработке
параметров и повисанию системы.
MVF-1953
Заражает только COM, резидентный. Содержит большое количество
наивных усложнений, быстро приводящих к повисанию системы. Сбивает
работу часов. По пятницам 13-го выводит текст:
THE MVF-FILEVIRUS
Programmed 1991 by the MVF
MAD Virus Factory
28/9/91 - V1.6
Mao-1465
Заражает COM и EXE, резидентный. В дни рождения и смерти Мао
Цзе-дуна (26 декабря, 9 сентября) исполняет две различные мелодии.
Rest-1588
Заражает только EXE, резидентный. Часто, а после 21-го числа
постоянно, выводит на экран текст "Выключите ЭВМ Вам нужно
отдохнуть" и стирает первый гибкий диск. В некоторых случаях может
вместо исполнения программы выводить текст "Abnormal program
termination".
Gambler-288
Заражает только COM, резидентный. При очень неграмотной попытке
его трассировать может испортить первые 10 секторов диска "C". В
середине видно слово "GAMBLER".
KhAI-1835
Заражает только COM, резидентный. При чтении EXE-файлов (не при
вызове на исполнение) с вероятностью 1/4 портит первый 2 байта,
меняя их на CD 20. Каждые 20 минут проводит по нижней строке текст
"ВНИМАНИЕ ВСЕМ ПОДПИСЬЧИКАМ нашего канала ! При перемене места
жительства звоните по телефону: +939-(88)322-223-(223)322. Копия
"фильма" предоставлена филиалом по ул. Дарвина, 9. *** Всем нашим
посписьчикам мы предоставим новые версии нашего продукта без
дешифратора !!!", а после каждых 6 нажатий не клавишу F5 "Аааа...
Это ты, ВЕЛИКИЙ КОПИРОВЩИК пожаловал !!! Отдохни, сходи в буфет ...
Ну ладно, я тебе попорчу чуть-чуть EXE файлы, хорошо ?!".
Urphin-317
Заражает только COM, резидентный. По ошибке оставляет себя в памяти
многократно. В конце текст "Уpфин Джюс".
HM-828
Заражает COM и EXE, резидентный. Зачем-то до заражения пишет в
конец до 63 байт мусора, причем COM-файлы короче 23000 после этого
не заражает. В конце видно "*10-03(HM)*".
AntiTrace-2122
Заражает только COM, резидентный. В начале зараженных программ
видно "Anti_Trace". При некоторых обстоятельствах выводит в центре
экрана текст в рамке "Loading AntiVirus didn't find me yet. I'm so
sorry!". От этого вируса можно избавиться, если, запустив
произвольную антивирусную программу, держать нажатыми обе клавиши
Shift в течение ее работы.
Eternal-2086
Заражает COM и EXE, резидентный. Закодирован, но без участия кода,
который автор наивно-изобретательно пытался скрыть. При обнаружении
какойто программы выдает текст "This is an [ illegal copy ] of
KeyPress virus remover System Halted". Имеется также закодированный
текст "Eternal Fair".
Poss-2443
Заражает COM и EXE, резидентный. В начале зараженных COM-файлов и в
начале вируса видны тексты "POSSESSED! Bwa! ha! ha! ha! ha!$",
"Author: JonJon Gumba of AdU". Некоторые COM-файлы портит
безнадежно, особенно часто COMMAND.COM.
Komsom-1000
Заражает COM и EXE, резидентный. Имеется текст "REFsoft Komsom".
Прислан из Комсомольска-на-Амуре. Не заражает COMMAND.COM и
Aidstest.
Exile-255
Заражает только COM, резидентный. Портит время и дату файла. Иногда
пытается испортить диск "A:" и выводит текст "I'm Vindictive
Exile!".
Hacker-1594
Заражает COM и EXE, резидентный. Частично невидимый. В начале текст
"N.Hacker".
MrGu-635
Заражает только COM, резидентный. Размножается довольно быстро. В
конце закодированного вируса символы "Mr.Gu".
Midi-200, -254, -315, -319, -335, -349, -353, -387, -419, -953, -1079
Этим именем будут обозначаться вирусы, далеко не рекордного
размера, но в остальном похожие на Mini и Tiny. Все они
резидентные, заражают только COM, портят дату и не блокируют
системные сообщения об ошибках ввода-вывода.
AIW-572
Заражает только COM, резидентный. В начале зараженных файлов видно
"AIW2°JB".
SN-488
Заражает только EXE, резидентный. Виден текст "Лозинский! Моя
нижайшая просьба - переименуй ASMODEOUS'а в его настоящее имя, т.е.
в ASMODEOUS". 27 декабря выводит текст "Сегодня надо поздравлять
Лену Сошникову с днем рождения, а не работать." и вешает систему.
SN-665
Заражает COM и EXE, резидентный. 11 ноября в начало всех COM- и
EXE-файлов пишет "Сатана там правит бал". Есть также текст "SATANA
666 (C) EA inc.".
SN-666
Заражает COM и EXE, резидентный. Скрывает изменение длины. 11
ноября планирует запись в начало всех COM/EXE-файлов "Сатана там
правит бал".
SN-882
Заражает COM и EXE, резидентный. 11 ноября стремится стереть все
файлы с дисков. Есть слово "ASMODEOUS". Скрывает изменение длины.
SN-903
Заражает COM и EXE, резидентный. Портит дату создания файла.
Стирает при запуске Aidstest, с связи с чем для использования в
зараженной системе его необходимо переименовать. В текстах,
выводимых на принтер, после запятых вставляет междометия из
лексикона подонков. Мечтает 27 декабря портить диск "C:". Есть
текст "HS86.2 Ver 4.06.Copyright by EA computers inc.1994".
SN-982
Заражает COM и EXE, резидентный. Стирает также и ADinf. Есть тексты
"Virus HS86.1 COM&EXE-Version 4.05", "Copyright by EA computers
inc. 1994", и в конце "Купите себе селедку и морочте ей голову!!!".
Шутки с принтером нет.
SN-1160
Заражает COM и EXE, резидентный. 11 ноября может стереть с дисков
все файлы. Есть закодированное слово "ASMODEOUS". Очередные
накрутки на ту же основу.
SN-1444
Заражает COM и EXE, резидентный. 27 декабря намерен портить диск
C:. Read Only не заражает, несмотря на большое желание. К некоторым
COM только приписывается на хвост, не получая управления. При этом
есть большие шансы на повисание системы. Те же "остроумные" шутки
на принтере. При активизации выводит "HS86.5 Ver 5.09.Copyright by
EA computers inc.1994".
Mummy-1399
Заражает только EXE, резидентный. Из наивно-глубоких соображений
уменьшает размер буфера клавиатуры. Иногда стирает 99 первых
секторов текущего диска. Содержит закодированные тексты "Mummy
Version 1.2 Kaohsiung Senior School Tzeng Jau Ming presents".
CD-2161
Заражает COM и EXE, резидентный. В четверг 12-го выводит на экран
текст в рамке:
VirCheck V1.2 (C)1991
Be aware of those worms out there, violating
your machine on Friday 13th - it's tomorrow
Special thanks to Ross M. Greenberg,
Patricia M. Hoffmann and John McAfee
Ugur-1297
Заражает COM и EXE, резидентный. Предусмотрено стирание первых 200
секторов логического диска "C", но при невозможном условии. Все
зараженные файлы получают атрибут Read Only. При обнаружении файла
"CHKLIST.CPS", его длина обнуляется и ставится атрибут Read Only.
Ugur-1320
Заражает COM и EXE, резидентный. Вариант вируса Ugur-1297.
Pharisee-492
Заражает только COM, резидентный. В конце текст "Слава Владыке".
Pharisee-500
Заражает только COM, резидентный. От версии 492 отличается очень
мало.
Ce_Ce-1994
Заражает COM и EXE, резидентный. Умудряется оставить в памяти
несколько одновременно активных экземпляров себя. В закодированном
вирусе имеется длинный текст, полный восхишения собственной
подлостью. Очень редко по экрану пробегает изображение некоего
насекомого.
Ovl-3966
Заражает только EXE. Для всех EXE-файлов в текущем каталоге
образует COM-спутники. Иногда выводит текст "Я безвредное
существо.". Есть текст " DPS.Companion Virus! (c) Copyright 1996 by
Max Max Вирус написан для Санкт-Петербургского ДПШ ( абсолютно
безвредная ) Привет Миксеру, Мишке, Кириюхе, Виктору Ивановичу, и
всем другим Советую выполнить: Mov ax,310h / Xor cx,cx / Mov dx,80h
/ Int 13h ".
Ovl-4560
Заражает только EXE. Для EXE-файлов создает файл-спутник с
расширением COM.
Ovl-7508, -12304
Заражает только EXE. Переименовывает файлы в "*.DAT" и записывает
себя в том же каталоге под старым именем зараженного файла. Стирает
CHKLIST.MS, CHKLIST.CP. По 15- м числам нечетных месяцев выводит на
экран текст, начинающийся с "Let me present: CP-VIRUS! Copyright
(c) 1994-1995 CP-MaN of CP-DeZiGN Written in Vasteras of Sweden! Ya
know... Your mom can't save ya know!" с угрозой испортить диск.
Затем под мигание лампочек клавиатуры и звуковое сопровождение на
экране медленно уменьшается счетчик. Тот, кто дождется весьма
нескорого окончания, увидит текст "Finished! I'm impressed. You did
really wait didn't you? Well, I just want you to know that I keep
my promises. No data is destroyed. Oh, just one more thing. This
virus does not destroy data at all, it would have been enough to
reset the computer. Hope you enjoyed waiting! Hehehe...".
Ovl-14640, -14692, -24076
Заражает только EXE. Переименовывает файлы в "*.OVL" и записывает
себя в том же каталоге под старым именем зараженного файла. В
случае заражения 13-го числа 13 файлов, записывает в корневом
каталоге файл под именем "_.COM" и вставляет вызов его в
AUTOEXEC.BAT, что приводит на адаптерах типа EGA/VGA к
переворачиванию изображения на экране. Версии отличаются тем, что
меньший запакован LZEXE и не заражает файлы в каталогах N3, NC, CW,
а второй - только N3 и NC.
Bil-1000
Заражает только COM, резидентный, причем заражает многократно.
Слегка пакостит при вводе с клавиатуры. Часто вешает систему.
Bil-1140
Заражает только COM, резидентный. Не заражает стандартные приманки
- файлы, состоящие почти целиком из одинаковых байтов. Содержит
закодированный текст "BIL_92_Sarov".
Aztech-1200
Заражает только EXE, резидентный. Иногда пытается стереть с диска
какойнибудь каталог. Задуман алгоритм, который должен был
обманывать многие вакцины. Из-за маленькой ошибки успешное
срабатывание этого алгоритма маловероятно. В конец зараженного
файла попадает большой кусок мусора.
Keelung-2787
Заражает только EXE, резидентный. Написан с изобретательностью, что
часто приводит к повисанию системы. Иногда играет какую-то мелодию.
Есть закодированный текст "[MACGYVER V1.0 Written by JOEY in
Keelung. TAIWAN 1992]".
Mxx-2561
Заражает COM и EXE, резидентный. Самый полный плагиат из M2C.
Добавлено дрожание экрана по 20-м числам и текст (закодирован) "(C)
by M.E.S. from MSU. Moscow 1993. Version 1.00 ( Demo ).Wait new
viruses soon. See Ya!". Кроме того, он не заражает Aidstest.
Unerase-329
Заражает только COM, резидентный. Блокирует исполнение DOS-функций
Delete, Attributes, Lock.
BadSectors-3428
Заражает COM и EXE, резидентный. Образует псевдо-сбойные кластеры.
Пакостит на клавиатуре (если не ошибаюсь, повторяет клавиши). В
начале и в конце видно "BadSectors 1.2".
Sh-841
Заражает только EXE, резидентный. 29-го числа выводит текст "So
Far, So Good,...So What?" и стирает нулевую дорожку первого
твердого диска. Не заражает некоторые программы по списку 2-3
символов имени.
Sh-988
Заражает COM и EXE, резидентный. Вариант Sh-983.
Xmas-1694
Заражает только EXE, резидентный. С 23 по 27 декабря выводит текст
"Merry Christmas and happy new year ! Written from Tamsui Oxford
college." и играет мелодию.
Made_in-496
Заражает только COM, резидентный. По средам часто выводит текст "*
VIRUS C * made in USA" и блокирует систему. Думаю, что к USA он не
имеет никакого отношения.
Elise-2402
Заражает только EXE, резидентный. При некоторых конфигурациях DOS
сразу вешает систему. Ежедневно в 14.00 пытается исполнить "К
Элизе" Бетховена.
Vodka-560
Заражает только EXE, резидентный. Зараженным файлам ставит время
04.40.04. При запуске от 1.00 до 1.59 выводит на консоль текст
"(copyleft) ДИБИЛИЗАТОР ver. 1.2 Пиво,Водку пить - здоровью
вредить!? (Y/N)". При ответе "Y" нормально продолжает программу, а
"N" - завершает.
Ostap-322
Заражает только COM, резидентный. В конце текст "Киса и Ося были
здесь.".
Panic-400
Заражает только COM, резидентный. В конце текст "Без паники-идем ко
дну! Ver 1.!5".
Exit-376
Заражает только COM, резидентный. Заражает программы в момент их
завершения. В конце "=Ильич=".
Nr-300
Заражает только COM, резидентный. Меняет дату файла после каждого
запуска зараженной программы. После нескольких запусков зараженного
файла ставит какой-то пароль на загрузку, в формате AMI BIOS.
BIOS-2048
Заражает COM и EXE, резидентный. По ошибке портит int 24, что может
приводить к повисанию системы. За 2 байта от конца есть слово
"BIOS", а в начале - закодированный текст "Mr.Watshira Sae-eu KMIT-
NB Date 12/28/1990 BIOS".
Platov-1628, -1684
Заражает только COM, резидентный. Взял из Хижняка наиболее
маразматические приемы программирования. При переходе в каталоги
games и ant начинает стирать файлы. Предварительно выдает текст
"Компьютер создан не для игр!" или "Не пытайтесь меня уничтожить!".
Пакостит на принтере - меняет "е" на "э" и выводит "междометие"
после запятых. Есть закодированный текст "Programmed by Andrey
Platov".
Yeke-1204
Заражает только EXE, резидентный, частично невидимый. 26 марта,
исполняя нечто вроде мелодии, переводит экран в формат 40x25 и
выводит на него текст "Be Careful. YEKE Controls Your Computer.".
June-1784
Заражает COM и EXE, резидентный. В июне с вероятностью 3/4
постоянно играет одну из трех мелодий.
June12-1569
Заражает COM и EXE, резидентный. Не меняет длины COMMAND.COM. 12
июня выдает на экран рамку с текстом "С ПРАЗДНИКОМ ГОСПОДА !".
Moslem-763
Заражает COM и EXE, резидентный. Весьма часто вешает систему. После
15 октября по пятницам выдает текст "Нормальные ЛЮДИ по ПЯТНИЦАМ не
РАБОТАЮТ".
FAT-666
Заражает только EXE, резидентный. Первым делом старается испортить
на первом твердом диске сектор 11 дорожки 1, который чаще всего
принадлежит первой копии FAT. Для специалиста исправление этого не
должно составить трудности. Не заражает файлы, имя которых
начинается на "A".
Chain-512
Заражает только EXE, резидентный. В ряде случаев может портить
таблицы распределения памяти.
Nevor-9382
Заражает COM и EXE, резидентный. В начале зараженных COM-файлов
стоит "VIVAT EGOR LETOV !!!". После запуска 32 программ выводит
текст "NEVOR FREE, NEVOR ME. SO I DUB THEE" и вешает систему. Вирус
содержит резидентную программу работы с файлами, которая без вируса
могла быть кому-то полезной.
Fire-2682
Заражает COM и EXE, резидентный. Невидимый. Делает некоторые
попытки помешать ADINF. Есть закодированный текст "Fire walk with
me.".
Child-1000
Заражает COM и EXE, резидентный. Виден текст "My Child".
PandCo-855
Заражает только COM, резидентный. В начале зараженного файла и
вируса видно "P&C°". Заметно стремление к дальнейшему развитию.
Boy-1919
Заражает COM и EXE, резидентный. Обладает элементами невидимости. В
конце текст "TurboVirus (TV) v1.3 (C) 1993-94 by Power Boy.".
RC-538
Заражает только COM, резидентный. Иногда вместо заражения портит
COM-файлы. Заметно знакомство с "Cascade".
RC-588
Заражает только COM, резидентный. Весьма примитивный уровень
программирования, но с большими претензиями на оригинальность.
RCE-307, -374
Заражают COM и EXE, резидентные. Для вирусов такого класса имеют
довольно малый размер.
RCE-554
Заражает COM и EXE, резидентный. Блокирует DOS-функцию "Get
Vector" для INT 21 и 40.
RCE-641
Заражает COM и EXE, резидентный.
RCE-1277
Заражает COM и EXE, резидентный. Надергано из разных вирусов.
Скрывает изменение длины.
RCE-1320
Заражает COM и EXE, резидентный. Портит дату файлов. Заметно
сильное влияние школы Хижняка.
Dread-582
Заражает COM и EXE, резидентный. В конце закодированный текст
"Night Boomer".
Dread-612
Заражает COM и EXE, резидентный. Оставляет в памяти резидент
многократно. Имеется закодированный текст "I will torment you !
Lord.
Dennis-689
Заражает только EXE, резидентный. Отличается редкой
безграмотностью. Возможно появление нескольких резидентных копий.
При выводе на принтер, перед каждым символом вставляет команды
переключения попеременно на верхний и нижний индекс. В конце видно
"v1.0(CrazyPrinter)ByDennisDavydov".
Dennis-539
Заражает только EXE, резидентный. Серия, интересная способностью
автора создавать себе трудности и их, отчасти, преодолевать.
Dennis-656
Заражает только EXE, резидентный. После 20 июня постоянно
переключает состояния Scroll-, Caps-, Num-Lock, что должно привести
к практической невозможности работать с клавиатурой.
Dennis-1000
Заражает COM и EXE, резидентный. Есть закодированный текст
"D.Davydov".
Haifa-2354
Заражает COM и EXE, резидентный. Достаточно быстро вешает систему.
Пакостит в начало файлов с расширениями ASM, PAS, TXT, DOC. 24
августа и 12 октября выдает на консоль текст "HAIFA VIRUS V1.01
WRITTEN BY Y.S. GUEST STARS: T.S. & I.F. MADE IN ISRAEL I AM TIRED.
PLEASE WAKE ME UP ON TUE 12.4.3456 PRESS RESET TO CONTINUE...".
Nikolaev-618
Заражает только COM, резидентный. Часто блокирует образование
файлов с расширением, начинающимся с "PA" и "DW". Быстро вешает
систему. Есть супернаивные попытки блокировать какой-то отладчик
(скорее всего AT86).
Not-397, -574
Заражают только COM, резидентные. Стандартные.
Sayha-3984
Заражает COM и EXE, резидентный, частично невидим. Иногда после
нажатия на F1 выводит на экран красиво оформленное "Sayha Watpu".
Стиль программирования весьма оригинальный. Предполагается
Филиппинское происхождение.
OTAKA-1641
Заражает COM и EXE, резидентный. Не заражает AIDSTEST, ADINF, SCAN,
HIEW и много других. В конце закодированный текст "Отака фигня
малята". Уровень программирования также весьма высок.
Magdzie-1114
Заражает только EXE, резидентный. Во всех каталогах стирает файлы,
найденные по маске "chklist?.*". 26 мая выводит на экран текст
"Magdzie T. - jutro Twoje urodziny!" и затем начинает игры с
палитрой (на VGA). Многие версии DOS должен немедленно вешать.
Mohova-659
Заражает только EXE, резидентный. В конце виден текст "Mohova N.I.
is my love!".
Happy-556
Заражает только COM, резидентный. 3 ноября выводит на консоль текст
"Don't worry - be happy!".
Itv-449
Заражает только COM. Вариация на тему "Vienna". 5 мая, 10 сентября
и 20 ноября выводит текст "нViva MВxico!". Видно также "(C)
ITV85020203 1990.".
TaiPan-438
Заражает только EXE, резидентный. Виден текст "[Whisper presenterar
Tai-Pan]".
IBMDOS-1024
Заражает только EXE. Поиск в текущем каталоге. Портит
сегментированные. Содержит большой кусок из COMMAND.COM
IBMDOS-3.30, в том числе copyright IBM и Microsoft.
Dead-641
Заражает только COM, резидентный. Если в течение часа не
загружаются программы, выдает текст "Meня ты cлишкom долго МУЧАЛ
... Пpoщaй, мой друг ! Я УMИPAЮ ..." и перезагружает систему.
Dead-790
Заражает только COM, резидентный. По понедельникам 7 и 23 портит на
первом твердом диске случайные сектора.
Dead-1111/1114
Заражает COM и EXE. Довольно часто выводит текст "Sorry, I'm
completly dead." и оставляет в памяти резидент, который каждую
минуту издает звуки.
Tante-1778
Заражает COM и EXE, резидентный. С элементами невидимости. В начале
следующего после заражения машины месяца портит все диски и CMOS.
Есть закодированный текст "* MUTANT-93 * (Pre-Release version).".
Free-1091
Заражает COM и EXE, резидентный. Заражает файлы в текущем каталоге
в момент вызова DOS-функции "свободное место на диске" (36h). Если
в течение часа не было нажатий на клавиши, стирает MBR диска C: и
портит информацию в памяти параметров системы (CMOS).
Free-1099
Заражает COM и EXE, резидентный. Отличается от 1091 пакостью - при
тех же условиях старается отформатировать одну дорожку.
Novell-708
Заражает только COM, резидентный. Пытается что-то совершить в
Novell NetWare.
Novell-528
Заражает только COM, резидентный. Очередные потуги что-то сделать
под Novell. При завершении программы дважды исполняется функция
"Add Trustee to directory" с именами "WORK:" и "SYS:".
Novell-3120, -3128
Заражает COM и EXE, резидентный. С элементами невидимости.
Производит какие-то операции над Novell NetWare.
Novell-713
Заражает только COM, резидентный. Резидент в памяти оставляет
многократно. Вариант Novell-708.
WRA-501
Заражает только COM, резидентный. Иногда может мигать лампочкой Num
Lock. Старается мешать доступу к Hidden файлам.
WRA-1000
Заражает COM и EXE, резидентный. Портит точку входа int 67, дающего
доступ к Expanded Memory. Размещается в фиксированных адресах
памяти, что может приводить к повисанию системы. Перезагружает
систему, если обнаруживает активность Windows. Скрывает файлы с
атрибутом Hidden. Блокирует работу программ с первыми символами
имени "AI", "TE", "SC", "V", так что для работы в зараженной
системе их нужно переименовать. В конце видно "Novosibirsk".
Riot-724
Заражает только COM. Поиск объектов для заражения в текущем
каталоге и выше, а также в \dos. Портит \dos\keyb.com, в результате
чего он непрерывно выводит "Immortal Riot". Может испортить все
диски. Мне это событие кажется маловероятным, но, если оно
произойдет, во всех секторах будет записано "[BAD ATTITUDE!]$ (c)
'94 The Unforgiven/Immortal Riot".
Riot-449
Заражает только COM. Поиск в текущем каталоге и выше. В конце текст
"Naked Truth! Hi-Tech Assasins - Ready To Take On The World //
DEATH TO ALL - PEACE AT LAST // The Unforgiven / Immortal Riot".
Freeze-830
Заражает COM и EXE, резидентный. Иногда стирает все содержимое
CMOS. Есть закодированный текст "I am Freeze".
Freeze-980
Заражает COM и EXE, резидентный. Через 30 минут стирает содержимое
CMOS. В конце закодированный текст "I am Freezer. V2.0".
Radio101-1000
Заражает COM и EXE, резидентный. Через час выводит на экран текст
"Paдио 101" с разноцветными буквами.
MrD-1536
Заражает только EXE, резидентный. Иногда устраивает примитивные
шутки на экране: спуск изображения вниз или случайные перестановки
символов. Близко от конца видно "Mr. D".
Elene-1000
Заражает COM и EXE, резидентный. Имеет склонность вешать систему.
20 февраля выводит на экран текст "Москва - Санкт-Пeтербург,
Июль-Август 1994г. Сегодня Леночкин день рождения".
Case-927
Заражает только COM, резидентный. Иногда на 1 секунду на экране
латинские строчные буквы делает прописными.
Hidenowt-1741
Заражает COM и EXE, резидентный. COM и EXE различает только по
имени. Заражение производит в момент выполнения функции поиска в
каталоге (формат FCB), что заметно замедляет исполнение команды
DIR.
IOerror-516
Заражает только EXE, резидентный. При ошибках ввода/вывода
предусмотрено сообщение "IO_error", однако, его появление
маловероятно.
Left-345
Заражает только COM, резидентный. Если после последнего заражения
стартовало 7 зараженных программ, начинает при каждом нажатии на
клавишу сдвигать экран влево.
MCGA-747
Заражает только EXE, резидентный. При работе в графическом режиме
320x200x256 больше 15 минут стирает CMOS.
Bubble-656
Заражает COM и EXE, резидентный. Есть закодированный текст
"-=Bubble Bubble=- This program is SHAREWARE!!!".
Angry-393
Заражает только COM, резидентный. В конце страшный текст "I'm an
angry virus from CMOS! Nobody can cure me!!".
MST-322
Заражает только COM, резидентный. Иногда выводит на экран "(c) 1991
by MST,Vers.1.0".
Kaos-697
Заражает COM и EXE. Поиск по PATH и в текущем каталоге.
Sh-983
Заражает COM и EXE, резидентный. Имеется закодированный текст "(С)
Shel,NSTU, 1994,v3.1".
Rift-467
Заражает только COM, резидентный. В конце текст "Rift Villy v.3.0".
Fascist-442
Заражает только COM. Поиск в текущем каталоге на всех дисках,
начиная с C:. В конце выводит на экран гнусное изображение со
свастикой.
Plutto-602
Заражает только COM. Поиск в текущем каталоге.
Beda-337
Заражает только COM, резидентный. Из класса Midi.
Beda-338
Заражает только EXE, резидентный. Не восстанавливает int 24. В
конце видно "ACHE".
Beda-883
Заражает только COM, резидентный. Частично невидимый. Портит дату и
время. После каждых 13 программ устраивает представление с
бегающими по экрану тремя цветными полосами.
HaHa-1730
Заражает COM и EXE, резидентный. Переделка классического Jerusalem.
Через 30 минут постоянно выдает в левом верхнем углу экрана
мигающее "Ha!Ha!". Стирает программы BASICA.EXE, CURE.EXE,
LOTUS.COM, CWI.EXE, ETBASIC.EXE, BASICA.COM, 123.XE, DBASE.EXE,
BASIC.COM.
Ha-311
Заражает только COM. Поиск в текущем каталоге. В 11 часов
зацикливается на выводе символов "HA".
VComm-637
Заражает только EXE. Поиск в текущем каталоге. Оставляет резидент,
блокирующий запись на диски. Много шансов на безнадежную порчу
зараженных файлов, прежде всего сегментированных.
Dron-995, -1024
Заражает только EXE, резидентный. После 10 успешных заражений
выводит на весь экран "DRON", а внизу текст "Moscow Institute of
Physics and Technology (c) 1994". Кроме того есть текст "DRON Ver
1.00, PhysTech,(c) 1994". Немного отличаются стратегией активации
шутки.
Kipa-1084
Заражает COM и EXE, резидентный. Удивительно безграмотный. Делает
неработоспособными все COM-файлы. Лечение их, к счастью, возможно.
Есть текст "The KIPA new Version 3.1 copyright (c) 1993 by Sergey
Hacker, Moscow; 15 years old". Могу только поздравить родителей со
столь гениальным ребенком.
OkYes-1257/1275
Заражает COM и EXE. Поиск в текущем каталоге текущего диска и "C:".
После 4 октября 1993 года старается стереть первый твердый диск. Не
заражает Aidstest. В начале видно "AIDSTEST.EXE".
Cafe-400
Заражает только COM, резидентный. Содержит глупую шутку:
практически после каждого заражения блокирует клавиатуру (F5 в порт
60).
Virogen-1673
Заражает COM и EXE, резидентный. COM заражает стандартно, а вместо
заражения EXE записывает свою копию с расширением COM. В связи с
этим, при лечении в протоколе Aidstest появятся сообщения о стертых
COM-файлах. По вторым числам выводит "ASeXual Virus V0.99 - Your
computer has been artificially Phucked!". Стирает "CHKLIST.*" и
"ANTI-VIR.*".
Tranzit-200
Заражает только COM, резидентный. В конце закодировано "-Tranzit-".
Union-1449
Заражает только EXE. Поиск в текущем каталоге и PATH. После
сентября 1994 по понедельникам в середине каждого четного часа
выводит на экран Украинский и Российский флаги и текст "УКРАИНА И
РОССИЯ ПОРОДНИЛИСЬ НАВСЕГДА".
Iyau-570
Заражает только COM, резидентный. В 1995 году планируется в часы
кратные 8 постоянно менять палитру VGA.
Chaos-1241/1244
Заражает COM и EXE, резидентный. 13 сентября стирает диски и
выводит текст "I see, I come, I conquer... Trojan horse-CHAOS v2.0
by Faust". EXE и COM различает по имени. Безнадежно портит
сегментированные.
ComeOut-3624
Заражает только EXE, резидентный. Заражает прежде всего поиском в
текущем каталоге. Резидент оставляет в памяти экрана только при
наличии адаптера EGA/VGA. Не активизируется при наличии файла
C:\COME.OUT. Содержит заготовки для дальнейшего развития и
глобальные идеи по взлому локальной сети. Сочетание глубины идей и
не очень высокого класса программирования приводит к быстрому
повисанию системы.
ABBA-9849
Заражает COM и EXE, резидентный. В корневом каталоге пишет файл с
именем ABBAл|01, а затем при каждой загрузке любой программы
увеличивает число в конце имени на 1. Когда получается 59, на экран
монохромного графического адаптера выводится портрет мужчины,
похожего на китайца.
Avl-352
Заражает только COM, резидентный. Частично невидим. По 13 числам
портит вход в Print Screen и пытается что-то сделать с Memory
Refresh.
Ha-1456
Заражает COM и EXE, резидентный. Через каждые восемь дней включает
по очереди либо взаимную замену при вводе с клавиатуры символов
пробела и "!", либо после нажатия на Ctrl+Alt+Del на экране
появляются большие буквы 'ha' из быстро меняющихся символов.
Kak-678, -713
Заражает только COM, причем подкаталоги корневого на текущем диске.
В конце текст "KAKASHKA v2.7 S. city , 1991" или "KAKASHKA v2.8 -
S. city , 1991-92".
Kak-911
Заражает только EXE, резидентный. Есть текст "KAKASHKA v3.21 -
S. city , 1991-1992".
Kak-928
Заражает только EXE, резидентный. Есть закодированный текст
"KAKASHKA v3.3 - S. city, 1991-92".
Trakia-1070
Заражает COM и EXE, резидентный. Заражает не только путем перехвата
четырех DOS-функции, но и поиском в текущем каталоге EXE-файлов в
момент запуска зараженной программы. При обнаружении в определенном
месте файла значения 2219359359575480h меняет два байта близко от
конца файла.
Stranger-423
Заражает только COM, резидентный. Старается не активизироваться,
если на машине установлен ADinf, но определяет его наличие довольно
наивно. В начале видно "STRANGER 1.0".
Sorry-353
Заражает только COM, резидентный. С элементом невидимости. В конце
текст "Lipatov & Ivanov - mudaki oba. Sorry.".
Kibina-398
Заражает только EXE, резидентный. Записывается в EXE Header, если
там есть место, не меняя длины. 26 апреля все команды записи на
диск пишут в начале сектора "Olya Kibina".
Danny-872
Заражает только COM, резидентный. Если установлен год меньше 1992,
блокирует работу системы. 17 октября при каждой загрузке программы
выдает текст "Today is Danny's birthday! She is now NN years old.",
правильно меняя возраст.
ReedCat-916
Заражает COM и EXE. Поиск в текущем каталоге и по PATH. Есть
закодированный текст "<< Камышовый Кот ХПИ 1992 >>".
Forever-930
Заражает только EXE, резидентный. Работает только при DOS=HIGH. Не
заражает Aidstest и ADinf. Есть закодированный текст "No WINDOWS,
MS-DOS forever...".
Forever-912
Заражает только EXE, резидентный. Работает только при DOS=HIGH. Не
заражает Aidstest и ADinf. Видны тексты "AIDSTEST", "No WINDOWS,
MS-DOS forever...", "Excuse Me, please...", "ADINF".
Marlboro-2048
Заражает COM и EXE, резидентный. При первом запуске зараженной
EXEпрограммы выдается сообщение "Program too big to fit in memory".
Невидим за счет постоянного лечения-заражения. Содержит гордое
послание: "The Marlboro virus Version 0.03(1.00) (C) Winston-Salem
Inc. !Half-Stealth! Вы имеете честь познакомиться с первой тестовой
версией вируса, выпущенной в свободное обращение. Реализовано около
половины необходимых стелс-функций HANDLE-ориентированного
ввода-вывода. Обещаю сохpанить стpуктуpу заголовка, по котоpому
могут pаботать лечащие программы, ибо вся необходимая для лечения
информация в них содержится организовано, но не проверено лечение
файла при открытии через FCB, в связи с чем, надеюсь, ваша машина
повиснет..."
Green-839
Заражает только COM, резидентный. Очередной успех школы Хижняка.
После 20 заражений в одном сеансе пытается нестандартно
отформатировать нулевую дорожку всех дисков. В конце закодированный
текст "Green Monster. I"m happy".
Green-784
Заражает только COM, резидентный. Есть закодированный текст "Green
Monster. I"m happy".
Green-1036
Заражает COM и EXE. 3 июля пытается записать в BOOT диска A: код,
который при загрузке будет выводить на экран "I (love) YOU
GIRL IN GREEN!", причем, с сохранением старого содержимого в
файле "A:\BOOT.SEC".
Green-711
Заражает только COM, резидентный. Если удастся заразить в одном
сеансе 20 файлов, пытается испортить дискеты. В конце текст "Green
Monster. I"m happy"
Cikl-765
Заражает COM и EXE, резидентный. В конце видно "MsDos", "COMMAND",
"FMCIKLMOFR". Имеется пока незадействованная подпрограмма стирания
CMOS.
Goblin-1759
Заражает только EXE и MBR, резидентный. Активизируется только из
Master Boot. Через несколько месяцев после заражения устраивает
подрагивания экрана по вертикали.
CC44-561
Заражает COM и EXE, резидентный. Стандартный.
Sign-615
Заражает только COM. Поиск почти на всем текущем диске. В начале
зараженных файлов видно "SIGN".
Aman-10716
Заражает только EXE, резидентный. Видны слова "Аман Тулеев". При
нажатии на клавишу Print Screen, а после 17.00 при завершении
каждой программы выводит на экран изображение, особо любимое
мастерами "настенной живописи".
Yard-448
Заражает только COM, резидентный. При запуске любой программы
стирает в текущем каталоге все файлы с расширением BAK. Видны
тексты "Yardkeeper" "*.bak".
Balashiha-271
Заражает только COM, резидентный. Представитель класса Midi. В
конце "Balashiha-2".
DOS_UP-3934
Заражает COM и EXE, резидентный. Зараженные файлы часто оказываются
неработоспособными. Есть закодированные тексты "Злопастный
Брандашмыг", "DOS-UP".
Avalgasil-666
Заражает только EXE, резидентный. Скрывает изменение длины. В конце
закодированный текст "(Avalgasil)666".
Harlot-5632
Заражает COM и EXE, резидентный. Каждые 4 минуты выводит на экран
одну из 100 острот, среди которых "Ой ! Звоните Лозинскому !!!",
"Лозинского на мыло !!!", "Иди нафиг !!!", "TAMPAX - райское
наслаждение". При не вполне понятных обстоятельствах выдает текст
"Вирус HARDY HARLOT v1.06 by CRAZY Киев , КМУГА ФАРЭО 101 ,2.06.94
Исправлено: файлов - 13 Virus segment - 9A0h" и исполняет мелодию.
Tune-544
Заражает только COM, резидентный. При нажатии Ctrl+Alt+Del
исполняет мелодию, блокируя перезагрузку.
Tune-663
Заражает только COM, резидентный. После запуска 33 программ
сдвигает изображение на экране вниз и влево.
ErasePT-512
Заражает только EXE. Поиск в текущем каталоге, его подкаталогах и
корневом. В Master Boot записывает код, который через некоторое
время может стереть Partition Table.
Locust-711
Заражает только COM. Поиск в текущем каталоге и выше. Очень
изобретателен в борьбе с собственной безграмотностью. Иногда
выводит на консоль "<-LOCUST->".
Locust-735
Заражает только COM, резидентный. С вероятностью 1/8 блокирует
клавиши Escape, Enter, Space, и с вероятностью 1/32 вместо
латинских букв A, E, O подставляет русские. Видно ".COM" и
"Locust". Из-за безграмотного управления памятью практически
занимает больше 64K.
Click-291
Заражает только COM. Поиск в текущем каталоге. Есть текст "The
Click". Пищит.
Patch-2701
Заражает COM и EXE, резидентный. Отличается весьма старательно
сделанным механизмом внедрения в DOS.
Kvs-1942
Заражает COM и EXE, резидентный. 31 числа выводит на экран текст в
рамке "Take Care of SoftWare ... KieViruSoft Data Product (c)
1994", после чего вешает систему. Автор, видимо, надеялся исполнить
инициализацию диска. Есть текст "KieViruSoft (c) Ver1.0".
NoFrills-843
Заражает COM и EXE, резидентный. Виден текст "+-No Frills 2.0 by
Harry McBungus-+".
NoFrills-813
Заражает COM и EXE, резидентный. В начале текст "+-No Frills by
Harry McBungus-+".
Er-291
Заражает только COM, резидентный. Зараженные файлы короче 291
вешают систему.
WW34-2048
Заражает COM и EXE, а также MBR, резидентный. Содержит ряд ошибок,
быстро приводящих к повисанию системы. Не исключено, что часть из
них внесена чьей-то "модернизацией". Есть закодированный текст "(c)
93Virus Development Software".
Globus-1742
Заражает только EXE, резидентный. Пишет в корневой каталог файл
RECLAMA.TXT, содержащий рекламу: "Фиpма ГЛОБУС-ПЛЮС (г. Иваново)
официальный дилеp АО АТЛАHТ-ИHФОРМ (г. Москва)". Не позавидую я
тем, кто осмелится иметь дело с такой фирмой!
Wreck-92, -462
Заражают только EXE, резидентные. Неизлечимые вирусы, размножаются
очень быстро. Второй - с претензией на полиморфность.
Alpha-2000
Заражает COM, EXE и SYS, резидентный. Невидимый. Иногда выводит
текст "? оALPHA STRIKEп ? Advanced Tactical Viral Implant by
NEUROBASHER'93 / Germany".
Penetrator-491
Заражает только COM, резидентный. Задуман регулярный вывод текста
"PENETRATOR V3.02 (COM) EA Cybernetic Empire (C) BY GOSHA.INC. 1994
Your PC now Infected !", но из-за ошибки его появление
маловероятно.
Ache-352
Заражает только EXE, резидентный. В конце видно "ACHE".
Goddamn-302
Заражает только COM, поиск в текущем каталоге. Есть текст "Goddamn
Butterflies".
Hzp-512
Заражает только EXE, резидентный. Есть закодированные символы
"ANVLDShzpfym01".
Hell-1125
Заражает только COM. Поиск в текущем каталоге и корневом на C.
После 15.12.94 портит все сектора первого твердого диска (XOR). При
этом выводится сообщение "Formating cylindr #". Иногда выводит:
"This is first version of virus Comes from HELL (CfH) Coming end of
the world The time of the Eternal Dackness".
AntiC-1000
Заражает COM и EXE. Ищет в текущем каталоге и COM, и EXE, но
заражает их одинаково, в результате чего EXE становятся
неработоспособными. Безнадежно портит файлы длинее 64Кб. Если
обнаруживает в памяти VSAVE, выводит текст "И даже VSafe тебе не
поможет...", но прекращает работу. Ищет и стирает файлы с
расширениями ".MS", ".C", ".H". Если удается стереть 4 файла,
выводит: "Ты на С не пиши!!! Это фигня!!! Я вот пишу на
Paskalе!!!". В конце выводит "Слушай..." и исполняет мелодию. В
конце "MsDos".
Rock-409
Заражает только COM, резидентный. По пятницам с 11.00 до 11.20
устраивает горизонтальное дрожание изображения на экране.
Rock-1076
Заражает только EXE. Поиск только в текущем каталоге, хотя уже есть
в запасе константа "PATH=". Трясет экран по 20 секунд каждые 20
минут по четным числам с 10-го по 26-е, кроме декабря, субботы и
воскресенья.
Fantomas-432
Заражает только EXE, резидентный. В начале видно "FANTOMAS".
Folks-618
Заражает только COM, резидентный. Ровно в 00.00, 3.00, 6.00, 9.00
переводит экран в режим 25x40 и выдает текст "THAT`S ALL, FOLKS !".
В конце "MsDos".
Tet-409
Заражает только COM. Поиск в текущем каталоге. В начале зараженных
файлов видно "383".
Ade-1024
Заражает только EXE. Поиск в текущем каталоге текущего диска и C.
Может выводить текст "Job needed! Phone (095) 9430700 ADE".
Saftan-1700
Заражает только COM, резидентный. Иногда должен выводить на экран
текст "Hello, Losinsky!. I am First (creater's) Simple Virus.
Hello. I am ~STan~ Virus. Please send me to Losinsky. I will wait
long time until you press Some Key Kombination. Somebody knows this
Key Combination. Please don't trace and disassembly my code.", а
затем ждать ввода с клавиатуры слова "faust". Впрочем, мне не
удалось добиться этого эффекта.
Freedom-2560
Заражает COM и EXE, резидентный. Предусмотрена порча дисков при
обнаружении слов "воен", "арми", "солдат". При этом во многие
сектора будет записано "Закон о всеобщей воинской обязанности -
ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека !". Впрочем, в попавшем ко мне
экземпляре эта ветка закрыта изменением одного байта. Имеется
закодированные тексты "F R E E D O M", "СВОБОДА *
1.00/1/18.9.1994", "ПОМНИТЕ - УНИЧТОЖИВ ЭТУ ПРОГРАММУ ИЛИ ЕЕ
СОЗДАТЕЛЯ, ВЫ УНИЧТОЖИТЕ СЛЕДСТВИЕ, НО НЕ ПРИЧИНУ ...".
Freedom-2448
Заражает COM и EXE, резидентный. Есть закодированные тексты "Закон
о всеобщей воинской обязанности - ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека
!", "F R E E D O M", "С В О Б О Д А * 1.45/2/01.02.1995". По
некоторым признакам, запланировано в следующих версиях писать BOOT,
который будет стирать информацию с твердых дисков.
Pieck-2016
Заражает MBR и EXE, резидентный. Активизируется только при загрузке
с зараженного MBR. Заражает EXE-файлы на дисках A и B, а на
остальных лечит. Поскольку критерием зараженности считаются только
популярные 62 секунды, это может привести к порче файлов. 3 марта
выводит текст "Podaj haslo ?" и читает символы с клавиатуры. Если
ввести "PIECK", ответит "Pozdrowienia dla wychowankow Pieck'a.",
иначе "Blad !".
DOOM-666
Заражает только EXE, резидентный. В конце текст: "DOOM2.EXE II
signature Your version of DOOM2.EXE matches the illegal RAZOR
release of DOOM2 Say bye-bye HD The programmer of DOOM II DEATH is
in no way affiliated with ID software. ID software is in no way
affiliated with DOOM II DEATH.".
Int5-1024
Заражает только COM, резидентный. Резидент размещается в памяти
многократно. Смело берет на себя INT 5, в связи с чем нажатие Print
Screen намедленно вешает систему.
Wizard-812
Заражает COM и EXE, резидентный. Портит дату файла. В конце видно
"WIZARD".
Wizard-897
Заражает COM и EXE, резидентный. В конце видно "WIZARD".
Wizard-2502
Заражает только EXE, резидентный, невидимый. В конце "WIZARD". В
14.00 исполняет мелодию.
Morgot-823
Заражает только EXE, резидентный. Портит дату файла. Видно
"MORGOT".
Morgot-841
Заражает только EXE, резидентный. В начале видно "-=MORGOT 2=-".
Float-1300
Заражает только EXE, резидентный. С элементами невидимости и
полиморфности.
Obid-555
Заражает только COM. Поиск в текущем каталоге и корневом на C.
Выводит тексты "V mene obid, poguljay", "Prijdesh zavtra ja
vidpochivaju".
Said-669
Заражает только COM по COMSPEC и поиском в текущем каталоге. 11-го
и 23 -го числа пишет в BOOT программу, которая должна испортить три
дорожки, а затем выводит текст "Andy Said:Zarin`iS dangerous!".
HHHH-246
Заражает только COM, поиск в текущем каталоге. Портит некоторые
заражаемые файлы. Ставит случайную дату файла. В конце текст "The
MiNi-HHHH".
Mudak-617
Заражает COM и EXE. Поиск в текущем каталоге. Есть закодированные
тексты "[Zapadlo]", "Mudak software".
Renegade-416
Заражает только EXE, резидентный. Весьма похож на Hobbit-416, и
даже замещает его собой.
Renegade-1176
Заражает только EXE, резидентный. Частично невидимый. Многие
зараженные файлы становятся неработоспособными. По 11-м числам
выводит текст "(C) Renegade 1994. Hello Hacker`s !!!".
Escape-855
Заражает только COM, резидентный. Устраивает мелкие пакости с
клавиатурой: засылка в буфер кода Escape, переключение регистров.
Holiday-2900
Заражает COM и EXE, резидентный. 3 марта выводит на экран в рамке
"ATTENTION! I'm very sorry, today is my holiday. So, I can't serve
you, cause I want to play on your computers. DON'T TURN OFF YOUR
COMPUTER UNTIL TOMORROW, OR YOUR DATA WILL BE LOST!!! I'll be back
to serve you tomorrow. Thank You, AAA".
Vojager-512
Заражает только EXE, резидентный. В конце видно "Vojager".
Poruchik-2742
Заражает только EXE, резидентный. В конце виден текст "Поручик
Лозинский, раздайте Aidstestы".
Ash-712
Заражает только COM, поиск в текущем каталоге. Пытается оставить в
памяти резидент, мешающий работать с COM-портами.
HKs-2356/2612
Заражает COM и EXE, резидентный. 10 марта выводит текст "Don~t
TRUST any virus scanner! -- HKs VTech --" и стирает содержимое
первого твердого диска.
Li-1413
Заражает только COM, резидентный. После запуска программы, имя
которой кончается на LI.EXE делает какие-то попытки общения с
Novell NetWare. Сам себя удаляет из памяти, если при буферизованном
вводе набрать символы "kkyyzz".
Mpc-32947
Заражает только EXE, поиск в текущем каталоге. Есть текст "[MPC]
Dark Angel of PHALCON/SKISM [DemoEXE] for 40Hex".
Phb-4461
Заражает только COM, поиск в текущем каталоге и его содержащих. В
начале работы заполняет экран довольно абстрактным изабражением со
словами PATTY'S BOOBS, а в конце выводит текст "Thank you for
viewing Patty Hoffman's Boobs!".
Locks-521
Заражает только COM, поиск в текущем и корневом каталоге. При
успешном заражении мигает лампочками Num Lock, Caps Lock, Scroll
Lock.
Pixel-739
Заражает только COM, поиск в текущем каталоге.
Pixel-846
Заражает только COM. Часто выводит текст "Program sick error:Call
doctor or buy PIXEL for cure description".
Pixel-851
Заражает только COM. Выводит текст (в болгарской кодировке) "Съд за
Владко и неговия татко ! Ние всички сме за преустройство !".
Pixel-1268
Заражает только COM. Кроме текущего, поиск в корневом и \DOS.
Выводит "ENTER THE PASSWORD:" и, если не ответить "Ken Sent Me",
прерывает программу, сообщив "YOU HAVE ENTERED THE WRONG
PASSWORD!!".
Spring-1555
Заражает COM и EXE, резидентный. Для EXE-файлов образует теневой
COM-файл с атрибутами Read Only и Hidden, который должен запускать
исходный EXE, но не делает этого. Портит файлы "CHKLIST.*" и
"ANTIVIR.DAT". По 9-м числам выводит текст "OЯЯspring Virus V0.89",
и затем циклится на писке и распечатке экрана.
Zero-372
Заражает только COM, резидентный. Есть текст "Swedish Warrior v1.0
by Lord Zer0.".
Zero-682
Заражает только EXE. Поиск по всем каталогам текущего диска. Видны
тексты "*.*", "*.EXE", "-Zero-".
Split-250
Заражает только COM. Поиск в текущем каталоге. По первым числам
стирает файлы "*.D*". В конце текст "SPLIT".
Gotcha-605
Заражает только COM, резидентный. Класса Midi. В конце видно
"GOTCHA!".
Acid-670
Заражает COM и EXE, резидентный. По понедельникам портит случайные
сектора диска C. Портит EXE-файлы длинее 64K. Виден текст "[Binary
Acid] (c) 1994 Evil Avatar".
Ratboy-545
Заражает только COM. Поиск в текущем каталоге. По воскресеньям
после 15-го пишет во все сектора дисков "RaTBoY WaS HeRe!!! My Vx,
Invircible Killer". Портит некоторые файлы.
Spruce-976
Заражает COM и EXE, резидентный. Содержит наряду с глубокими, но не
вполне понятными идеями ряд ошибок. В частности, многократно
оставляет в памяти резидент и вместо задуманной мелодии "В лесу
родилась елочка" издает лишь один писк.
Stone-1500
Заражает только EXE, резидентный. Заражал бы и COM, если бы не
ошибка. Невидим. Иногда выводит текст "Will see you next time .
Stone 93". Есть закодированный текст "Prohibit MARYJUANA .".
Musca-892
Заражает только EXE, резидентный. После 23 октября при быстрых
перемещениях "мышки" выводит на экран "NU MAI MUSKA MOUSE-il CA A
LOVESTI PESTE COAIE".
Babitch-645
Заражает только COM. Поиск в текущем каталоге. Старается стереть со
всех дисков таблицы ADinf. В конце текст "*** (V) Sergey Babitch -
2:463/83@FidoNet - phone (044) 4420831 ***".
Xyz-1561
Заражает COM и EXE, резидентный. Неграмотная попытка реализовать
невидимость может приводить к тяжелым последствиям. По пятницам
демонстрирует свой интеллект. Крупными буквами.
Future-3000
Заражает COM и EXE, резидентный. Есть закодированный текст
"Terminator Model 1.2 *Future Virus*".
Future-3180
Заражает COM и EXE, резидентный. У меня создалось впечатление, что
автор собирался сделать этот вирус невидимым. Есть закодированный
текст "Terminator Model 1.3 *Future Virus*".
Apparition-700
Заражает только COM, резидентный. Резидент размещает в экранной
памяти. Для защиты от порчи просто блокирует смену режима. В начале
зараженных файлов есть текст "THE APPARITION".
Cpw-1457
Заражает COM и EXE, резидентный. Есть тексты "Este programa fue
hecho en Chile en 1992 por CPW. ", "C:\COMMAND.COM", "Feliz
cumpleaдos CPW!$". Иногда "вводит с клавиатуры" текст " You are
here CPW!".
Cpw-1527
Заражает COM и EXE, резидентный. 11 сентября, 30 декабря и 29 мая
стирает файлы. Старается стирать с диска файлы из списка GUARD
guard CPAV SCAN CHKVIRUS CLEAN TOOLKIT VSAFE CHKLIST.CPS. Есть
закодированный текст "CPW fue hecho en Chile en 1992, нVIVA CHILE
MIERDA!.".
Mickie-1100
Заражает COM и EXE, резидентный. В конце закодированный текст
"Mickie lives... somewhere in time! (c) 1995 Grave Lion".
7proc-718
Заражает COM и EXE, резидентный. Часто стирает корневой каталог и
содержимое CMOS, причем выдает текст "The root directory of the
current drive has been destroyed by the 7% Solution 3.0 virus!".
Zeta-2536
Заражает только COM. Поиск по всем каталогам, но заражает, если не
ошибаюсь, только в самом "далеком". После 22.45 перезагружает
систему. Иногда на экране мелькает "физиономия". Есть
закодированный текст "Live! From Zeta Reticuli..._Attack of the
Reptoids_Starring Earl Gray as *The Lizard's Assistant*
Swamp-1394
Заражает COM и EXE, резидентный. В начале видно "(C)Copyright by
Swamp software 1993". Заражает файлы только, если в них происходила
запись.
Magelan-606
Заражает только EXE, резидентный. В конце закодированное слово
"Magelan".
WildFire-2222
Заражает COM и EXE, резидентный. Может стереть информацию на диске.
Замедляет работу. В конце слово "WildFire".
CursOff-934
Заражает только COM, резидентный. Постоянно гасит курсор на экране.
Gloomy-2725
Заражает COM и EXE, резидентный. При каждом шестнадцатом запуске
программы портит случайный сектор. Стирает файлы "*.MS" и "*.?AS".
Заменяет MBR на программу, которая после 511 загрузок форматирует
диск. Есть тексты "Gloomy Nutcracker(AB5) from the city of
Brest(BY) with best wishes!" и "Only the Hope dies last!".
Gloomy-3500
Заражает COM, EXE и MBR, резидентный. Невидимый. Есть
закодированные тексты "Dreary Nutcracker(AB6)" и "Любовь Н.". 12
января старается полностью стереть первый твердый диск, считая это,
вероятно, подвигом во имя любви.
Mds-331
Заражает только COM, резидентный. Портит дату. Задуман, чтобы
стирать какую-то программу длиной 365504. К конце видно "MDS93".
Viking-1000
Заражает COM и EXE, резидентный. Не заражает "-V*.*", "AI*.*",
"AD*.*", "??M*.*". Есть тексты "Crypted Here>", "ViKing-Mixtura,
CopyLeft (L) 1993 by ViKing. ViKing is The Real King of Viruses'
Kingdom.".
Viking-59
Заражает только COM, резидентный. Был изготовлен еще в марте 95.
Автор скрывается под псевдонимом.
LittleCat-2898
Заражает COM и EXE, резидентный. 29 декабря забивает 960 секторов
диска C: словами "Little Cat" и выводит текст "Happy New Year! I am
the Little Cat 1.5 - your best friend!".
EM-1303
Заражает только EXE. При запуске зараженных EXE-файлов записывает
файл C:\EM.COM с телом вируса, а в AUTOEXEC.BAT после первой строки
PATH записывает строку EM. EM.COM ищет и заражает EXE -файлы в
подкаталогах C:\. По 28-м числам запланировано, если не ошибаюсь,
заменять пробелом первый символ всех имен файлов.
Jolter-2197
Заражает COM и EXE, резидентный. Невидимый. Иногда устраивает
горизонтальное дрожание экрана. Есть закодированные тексты
"COMMAND.COM", "COMMAND", "EXECOM*.COM", "*.EXE", "IBMJOLTER 4.0".
Favour-2608
Заражает COM, EXE и SYS, резидентный. После 8 июля 1995 года в
некоторых EXE-файлах будет менять "MZ" на пробелы. Иногда гасит
экран VGA. Есть слово "FAVOUR".
Favour-2576
Заражает COM и EXE, резидентный. После июля 1995 портит первые 4
байта многих файлов.
Dinky-80, -126, -128, -132
Еще одна группа Mini. Заражают только COM, резидентные.
Danish-163
Заражает только COM, поиск в текущем каталоге.
MeiHua-1786
Заражает COM и EXE, резидентный. Сам себя считает антивирусом
(класса вакцин), о чем гордо сообщает: "AntiVirus If your software
has been inflected by other viruses, run your software, then the
virus will be cleaned ! THANK YOU! --Mr. MeiHua--".
Kennedy-333
Заражает только COM. Поиск в текущем каталоге. 6 июня, 18 и 22
ноября выводит текст "Kennedy er dЫd - lСnge leve "The Dead
Kennedys"
Urod-663, -773
Заражает только EXE. Поиск в текущем каталоге. Оставляют в памяти
экранного адаптера резидент, который стирает все открываемые файлы
и выводит на экран текст "Губатый лабоpант-уpод" (663) или "С новым
годом !!!" (773).
Last72-814
Заражает только EXE, резидентный. Ищет в последних 72 байтах всех
заражаемых файлов последовательность F0FDC5AAFFF0, чтобы следующие
2 байта поставить вместо FFF0. А зачем?
Troitsk-1058
Заражает COM и EXE, резидентный. В конце текст "Aidstest Fucker.
Copyright (c) by Troitsk Hackers Club$". Слабовато для хакеров...
Lobotomy-821
Заражает только COM. Поиск в текущем каталоге. Часто выводит
тексты: 4 раза "Летний дождик напугал...", 10 раз "Лаа-бата-мия..."
и "*** LOBOTOMYя v1.1beta (c)1995 MSfVC *** +: ***"
Lobotomy-966
Заражает только COM. Поиск в текущем каталоге. Иногда выводит текст
"RESET your machine and soon, you`ll know, that I`m the
Natural_Born_Killer ... v1.1 (c)95_MSfVC Bye ..." и пытается
установить "LOBOTOMY" в качестве CMOS пароля.
Dog-252
Заражает только COM. Есть текст "< SVINOLOBOVA SYKA >".
Koko-1780
Заражает COM и EXE, резидентный. 15 февраля и 29 июля выводит текст
"Stop Keyboard Clicking KoKo is Sleeping in Your PC. ! To Scan &
Clean Call, Adham Hammam Fax & Phone (20) 066 - 261841". 15 февраля
кроме того портит MBR - меняет местами четные и нечетные байты.
Clocking-737
Заражает COM и EXE, резидентный. После 10 часов непрерывной работы
сбивает развертку EGA/VGA адаптера (посылает 0C01 в порт 3C4).
Xtac-1564
Заражает COM и EXE, резидентный. После 24 числа каждого месяца
стирает файлы с типом не из следующего списка: COM, EXE, SYS, BAT,
OBJ, OVR, OVL, INI, CFG, TPU, HLP, TPL, BGI, CHR. В конце текст
"good news! you have justbeen smitten by XTAC - lyndon siao,
usc-tc".
Chklist-1360
Заражает только EXE, резидентный. Стирает CHKLIST.TAV. Задумано
было стирать также ANTI-VIR.DAT и еще два файла, но их имена в
дошедшем до меня экземпляре уже забиты стеком.
X13-1024
Заражает только EXE, резидентный. По 13-м числам портит последний
байт MBR и ставит дату 25.12.1994.
X13V-1024
Заражает только EXE, резидентный. Вариант X13. Пишет себя в память
экрана, но безо всяких предосторожностей, что быстро приводит к
повисанию системы.
Youth-580
Заражает только COM, резидентный. При всех операциях Write меняет
местами последние два байта. В конце текст "Demoralized Youth".
Bailey-334
Заражает только EXE, поиск в текущем каталоге. В конце текст "Demo-
Exe Virus Admiral Bailey [YAM]".
Equus-480
Заражает только COM, резидентный. При исполнении операции смены
текущего каталога иногда вносит путаницу. Есть текст "* Equus
Trojanus v1.1 (C) AREOPAG No.15 *".
ZzTop-340
Заражает только COM, резидентный. В конец всех "*.C" и "*.CPP"
пишет строку "ZZ TOP".
DiskOff-542, -558
Заражает только COM. Помесь Хижняка и Vienna с добавлением
устаревшего приема против резидентных сторожей. Может запрещать
текущий диск (только в MS DOS не ниже 5.0).
Evil-1710
Заражает COM и EXE, резидентный. Во второй половине года в 11 и 16
часов портит на нулевой дорожке первого твердого диска сектора 15,
16, 17, что, впрочем, редко бывает опасным. Есть тексты "** (C) The
Evil Spirit ** Gabrovo city, Bulgaria. Last_change : 28.05.1993 "
"COMMAND.COM", "F-PROT", "F-TEST", "VIR", "DIR2CLR", "IMV", "ANTI",
"DOCTOR", "SCAN", "CLEAN", "IVC", "CHKDSK".
Singapore-534
Заражает только COM. Поиск во всех каталогах текущего диска.
Poro-1257
Заражает COM и EXE, резидентный. При записи на диск старается
комбинации символов "Bori', "BORI", "Бори", "БОРИ" заменить
соответственно на "Poro", "PORO", "Поро", "ПОРО". С 15 по 25
сентября выдает текст "С Днем рождения, Аллочка ! Наилучшие
пожелания твоему Hard Disk'у !". Есть закодированный текст "Turbo
Bugger (C) 1994 Dedicated to Alla R. Borisyuk ( МЕХ-МАТЬ 307 )"
Cheboksary-1024
Заражает COM и EXE, резидентный. Дописывается в конец всех
EXE-файлов короче 64500, но полноценно заражает только те, у
которых CS=IP=0. Блокирует на клавиатуре Caps Lock и левый Shift.
Есть закодированный текст "Cheboksary-90".
Aga-1500
Заражает только COM. Поиск в текущем каталоге и "\command.com". По
13 числам сообщает "WARNING! Today is the 13th !", а, если при этом
пятница, дописывает в начало "\autoexec.bat" пару операторов ECHO,
с текстами "Hey,suckers! Hold on,your data's gone too far!",
"MONGOLIA,UB.". Может также выдать текст "WARNING!!! Your
MS-Windows 3.1 you are working with is not licensed! In the light
of it,we are entitled to aver that we will activate a protective
application against your unauthorised access...". Есть текст "AGA
Media(C),94".
Sword-784
Заражает COM и EXE, резидентный. В конце текст "The POWER of my
SWORD!!!$".
MIPhT-460
Заражает только COM, резидентный. Видны тексты "<<< To serve and
protect. >>>", "MIPhT 25.11.94.".
MIPhT-905
Заражает только COM, резидентный. Видны тексты "<=Ё To serve and
protect. Ё=>", "<Ё MIPhT 15.09.95. Ё>". Иногда устраивает мелкие
фокусы на экране.
Othello-681
Заражает только COM, резидентный. 19 числа может вывести на экран
стих:
Меня,я знаю,ты любила,
Его,навеpное,хотела,
Раздвинуть ноги поспешила,
Кому тепеpь какое дело?
и испортить первый твердый диск.
Sily-745
Заражает только EXE, резидентный. После 31 августа постоянно
мигает индикаторами клавиатуры и выводит в первой строке экрана
"-== Hi! Everybody! This is nice and sily virus for you ==-".
Maximum-1198
Заражает только COM. Поиск в текущем каталоге и по PATH, но не
всегда успешно. Иногда выводит текст "Radio MAXIMUM virus ver.1.0
beta (c) 1995 D&M Software. So... tell me, what is the frequency of
Radio MAXIMUM?". Если ответить "103.7", собщает "Right! Radio
MAXIMUM - BEST Radio..." и пытается вылечить исполняемую программу.
Иначе после сообщения "Error! Now restarting..." перезагружает
систему.
Ambulance-796
Заражает только COM. Классический вирус с бегающей по экрану
"скорой помощью".
AntiFortran-1110
Заражает COM и EXE, резидентный. Если запущена программа из
каталога "F77", стирает ее, а в понедельник кроме того дописывает в
конец файла "C:\AUTOEXEC.BAT" строку @ECHO Y | FORMAT D: По
вторникам меняет параметры первого таймера, что должно замедлить
процессор. Есть закодированный текст "ANTI FORTRAN OF OVER-X".
AntiFortran-2660
Заражает COM и EXE, резидентный. Иногда переименовывает EXE-файлы,
имя которых начинается на "FO", подставляя вместо 'X' русскую букву
'х', В феврале и октябре выводит на экран картинку со словами
"FORTRAN MUST DIE", исполняя звуковые и оптические эффекты. Есть
закодированный текст "[-DEDiCA+ED-+0-MARKiZ-]".
VLamix-1090
Заражает только EXE, резидентный. Часто вместо заражения безнадежно
портит файлы. Стирает файлы "smartc*.cps" и "chklist.*". Есть
закодированные тексты "- =*@DIE_LAMER@*=-", "VLamiX-1".
CMOSKiller-807
Заражает COM и EXE, резидентный. Довольно сложно меняет три
параметра в CMOS, забывая о контрольной сумме. EXE заражает
многократно и бессмысленно, поскольку из него не способен
активизироваться.
Solar-512
Заражает только EXE, резидентный. Эмулирует защиту записи на втором
дискетнике. В конце текст:
"Bring your FDD drive... to the slaughter"
(C) Solar Wind fault!Function not
Solar-100, -102, -122
Заражает только EXE, резидентный. Кажется, пока рекордные в этом
классе.
MMCA-505
Заражает COM и EXE, резидентный. Для перехвата функций DOS
применяет довольно рискованный метод. В конце видно "ММСА_КПИ".
Farside-3006
Заражает COM и EXE, резидентный. Удивительно тяжеловесный стиль
программирования. 6 апреля зараженные программы не исполняются.
Регулярно выводится текст "For cryin'out loud! My circuits are
haunted by the ghost of a porcupine. . .". Есть также
закодированный текст "FARSIDE virus 1.00 (C) Windom Earle ROMANIA".
MH_MH-1163
Заражает COM и EXE, резидентный. В 12 часов издает 5 писков. В
конце закодированный текст "byMH&MHsoftware".
Chek-282
Заражает только COM, резидентный. Есть символы "CheK1".
AntiLoz-6294
Заражает COM и EXE, резидентный. К сожалению надежное лечение
файлов невозможно, поэтому все зараженные файлы предлагается
стереть. Есть тексты "AntiAidstest. (C)Copyright Kovalevsky &
company. AntiLozinsky. AntiLozinsky. AntiLozinsky.",
"Лозинский-ЧМО!", "У И Н Д О У З-ДУРА. (C) Copyright Kovalevsky &
Co, MSU PhisDept. Happy birthday to us.".
Day14-789
Заражает только EXE. Поиск по PATH. По 14-м числам нечетных месяцев
стирает CMOS и MBR.
AntiZIP-1008
Заражает только EXE, резидентный. Стирает все "*.ZIP".
Jump-833
Заражает только COM, резидентный. В конце виден текст "Jump 4 Joy,
alpha-release. Not to be distributed!".
Phalcon-894
Заражает только COM. Поиск по всем каталогам текущего
диска. В марте намерен портить диски. По понедельникам творит нечто
невообразимое с системными часами - вызывает функцию со случайными
параметрами.
Zz-412
Заражает только EXE, резидентный. В конце символы "ZZ".
Lost-596
Заражает только COM. Поиск в текущем каталоге. В конце видно
"* LOST *".
Katya-732
Заражает только COM. Поиск в текущем каталоге и выше. Много ошибок,
быстро вешает систему. 24 декабря выводит на экран "С днем
рождения, КАТЯ". Последнее слово крупными буквами из сердечек.
BlackMonday-1055
Заражает COM и EXE, резидентный. Часто портит первый твердый диск.
Есть текст "Black Monday 2/3/90 KV KL MAL".
Bishkek-559
Заражает только COM. Поиск в текущем каталоге и через PATH.
Последнее реализовано своеобразно, но часто работает. Есть текст
"Bishkek software *.* My rights reserved 23.08.1994".
Bishkek-319
Заражает только COM. Поиск в текущем каталоге. По 31-м числам
стирает MBR, а по 22-м выводит текст "Scorpions by Sch(5) in
Bishkek".
Arj-1997
Заражает COM и EXE, резидентный. Первым делом заражает
C:\COMMAND.COM и то, что указано в COMSPEC. Остальные файлы
заражает перед OPEN и лечит после CLOSE только при исполнении
ARJ.EXE, RAR.EXE или AIN.EXE. В результате зараженные файлы
оказываются только в архивах. Перед стартом ADinf старается
вылечить COMMAND.COM.
Shirley-4096
Заражает только EXE, резидентный. Очень часто вешает систему. В
начале текст "IWANTSHIRLEY".
Debilas-2000
Заражает COM и EXE, резидентный. 22 сентября стирает первые 128
секторов на всех дисках, если BIOS имеет дату не 03/09/94. Затем
выводит на экран тексты " -=DMS=- ", "Fuck you b.tAMULYNAS and to
your crack of Print_Screen", "Buvai DEBILAS , esi DEBILAS ir busi
DEBILAS !!!", "Copy right Antanas Vidziunas ,VDU, 1996." и начинает
завывать.
Baba-356
Заражает только COM, резидентный. Класса Midi. Не заражает
COMMAND.COM.
Virgin-281
Заражает только COM. Видны тексты "COMMAND*.com", "VirVirgin".
Inferno-781
Заражает только COM, резидентный. Из-за игр с системным таймером
может вешать систему. Есть закодированный текст "NAME OF THIS VIRUS
IS "INFERNO" NEXT VERSION WILL BE BETTER...".
Dict-269
Заражает только EXE, резидентный. В конце текст "DICTEXE (C) EA
inc.".
Noki-448
Заражает только EXE, резидентный. Заражает очень немногие
EXE-файлы. Не меняет длины. 17-го числа нечетного месяца портит
MBR. Есть символы "NOKI".
Gregory-406
Заражает только EXE, резидентный. Записывается в EXE Header, не
меняя длины. Виден текст "<* Григорий Б.С. C-2.3 *>".
Andrey-932
Заражает только COM, резидентный. Иногда выводит на экран "Hallo!
From Andrey!".
Svetlana-1110, -2060, -3410, -4734
Заражает COM и EXE, резидентный. Плагиат из SVC. Все версии в конце
имеют текст "Svetlana v. 1.0" (1.1, 1.2, 1.3). Со второй версии
вставлена шутка с вращением текста на экране. С третьей вставлено
противодействие трассировке, а в четвертой - невидимость. Четвертая
иногда может выводить текст "Welcome to demo version antisv.exe
Волков - ДУБ, antisv - ГОРБУХА The evil, that I do, live on and on
and on... Svetlana." - также краденый из разных источников.
SwapFile-5000
Заражает COM и EXE, резидентный. Невидимый. Мешает работать с PAS-
и CPP-файлами. Иногда может выводить текст "Swap file creation
error at 0FAD:2DEC." В январе изображает на экране снегопад с
текстом "Happy New Year ! Ghost 1.0 is terminating it`s work now.
Please wait... Write down this number : 0000000000 and pray for
your data rescue..". При этом возможна порча диска. В конце
закодированный текст "I feel so tired. The way the rain comes down
how it`s how I feel inside. I`ve been living so long with my
pictures of you Remembering you standing quiet in the rain There is
nothing in the world that I ever wanted more than to never feel
breaking apart all my programs again. The spiderman is always
hungry".
Krasikov-264
Заражает только COM. По 6-м числам после полудня выводит текст
"Destructor, Copyright (C) 1992 by Krasikov" и завершает программу.
Crusade-3072
Заражает COM, EXE и MBR на жестком диске, резидентный. Невидимый.
Есть закодированный текст "Take care of soft war or Last Crusade.".
После 5 часов работы выводит на экран в рамке "LIVE `N` LET LIVE!".
KPI-879
Заражает COM и EXE, резидентный. Оставляет в памяти по экземпляру
при каждом запуске зараженной программы. В конце закодировано
"ММСА_КПИ".
Mipt-602
Заражает только COM, резидентный. Зачем-то блокирует открытие
файлов с именами "logo.pic", "heretic.wad", "e", "kb2.dat". В конце
текст "MIPT(75),1995(C),TERMINATOR".
Gluck-761
Заражает только COM, резидентный. Стирает "chklist.ms". В течение
часа после полуночи выводит на экран текст "You iave a ?GLUCK?!!!"
и устраивает дрожание экрана. Блокирует запуск программы DRWEB,
выводя при этом текст "Error reading fat!".
Kavaklar-743
Заражает COM и EXE, резидентный. Скрывает изменение длины. Есть
закодированный текст "Kavaklar v2.05 (c)Unterleutnant".
Naive-1647
Заражает только EXE, резидентный. Предполагалось иногда при нажатии
Ctrl+Alt+Del выводить на экран послание в стиле "сатанизма".
BitAddict-512
Заражает только COM, резидентный. Два варианта. Оба после 100
запусков зараженной программы стараются стереть диск C (к счастью,
это не всегда срабатывает). Первый перед этим выводит текст "Bit
Addict says: "You have a good taste for hard disks, it was
delicious!". Второй содержит закодированный текст "Bit Addict".
BitAddict-979, -1190, -1459, -1601
Заражают COM и EXE, резидентные. Версии 1459 и 1601 могут стереть
все содержимое диска "C". Все, кроме 1459 содержат в разных
вариациях строку "Bit Addict". 979 и 1190 заражают COM-файлы
многократно.
Funky-692
Заражает только COM, резидентный. Перед перезагрузкой по
Ctrl+Alt+Del трижды исполняет нечто вроде трели.
Saratov-1790
Заражает COM и EXE, резидентный. Портит CHKLIST.MS. Не заражает
файлы, имя которых начинается на COM, DRW, AID и т.д., а также,
если обнаруживает на экране слово "Web". Иногда выводит на экран
тексты "Thanks for using Saratov software." или "The File Corrector
v2.0. Made in Saratov. Serial #".
Hamme-1203
Заражает COM и EXE, резидентный. В январе иногда выводит текст
"Forget it, I'm lazy today!" и не исполняет программу.
HDZZ-566
Заражает только COM, резидентный. Первого августа может испортить
нулевую дорожку на первом твердом диске.
Bones
7-го числа стирает нулевую дорожку текущего диска и всю информацию
с первого твердого.
Leonid-974
Заражает только EXE, резидентный. По воскресеньям выводит текст:
"10 нoябpя 1982 гoдa пepecтaлo битьcя cepдцe Гeнepaльнoгo Cekpетapя
ЦK KПCC, Гepoя Coциaлиcтичeckого Tpyдa, чeтыpeжды Гepoя Coвeтckoгo
Coюзa Лeoнидa Ильичa Бpeжнeвa ...".
Pantera-400
Заражает только COM, резидентный. В начале видно "Pantera".
Keyb-667, -756, -873
Заражает только COM, резидентный. Все 17-го числа замещают
c:\dos\keyb.com разными пакостными программами. Первый портящую в
CMOS параметры дисков. Второй ту же или стирающую 1911 секторов
диска C: и выдающую после этого текст "777h sectors trashed.
Repair!". KEYB.COM третьего правит MBR, в результате чего тот в
апреле может стереть весь диск. Кроме того 873 перезагружает
систему при нажатии на Ctrl+Del и Alt+Del.
Beavis-657
Заражает только EXE, резидентный. Активизируется только при наличии
UMB. Часто выводит один из текстов: "FIRE FIRE FIRE!", "Hey
butthead this sucks change the channel!", "Shut up butthead or I'll
kick your ass!", "We're there dude.", "The Beavis virus kicks
ass!".
Mavrodi-687
Заражает только COM, резидентный. Иногда выводит текст "Принцип
взаимного доверия выше взаимных обязательств. С. Мавроди.".
Kalinka-2920/3179
Заражает COM и EXE, резидентный. Портит файлы "DISKDATA.DTL",
"VIRUSES.INF", "A-DINF-+.+++", "DIRINFO", "-V.MSG", записывая в них
текст "Калинкамалинка-малинка-малинка моя !". Иногда исполняет
мелодию и выводит на экран тот же текст. Заметно родство с
семейством Beer.
AntiGUS-1570
Заражает только EXE, резидентный. 24 июля при каждом запуске
программы выводит текст "Happy birthday to me! :-)". Каждую секунду
пишет в порты 302-303-304, 312-313-314,... Зачем - не знаю.
Fighter-619
Заражает только COM, резидентный. Есть слегка закодированный текст
"SHD Fighter9".
Fistik-1280/1536
Заражает COM и EXE, резидентный. Если в одном сеансе удается
заразить 5 файлов, при загрузке каждой программы выводит текст
"DБnyalar TatlНsН Sevgilime 3.14 Seni Аok Seviyor FISTIK.".
Andrew-634
Заражает COM и EXE, резидентный. 21 мая пишет в BOOT текущего диска
текст "Happy birthday to Andrew !".
Andromeda-1536
Заражает COM и EXE, резидентный. По пятым числам месяца после 4000
нажатий на клавиши перегружает систему. Видно "ANDROMEDA V3.2" и
"HUNGARY".
OS-840
Заражает только COM, резидентный. 5 января стирает MBR и постоянно
выводит на экран вертикальные серые полосы и надпись на красном
фоне "Virus BARROTES por OSoft".
AmazonQueen-468, -479, -500
Заражает COM и EXE, резидентный. Могут выдавать текст "Amazon
Queen...v1.0" (либо v1.1, v2.0). Есть еще тексты "LoRD Zer0",
"WHY?".
Avalanche-2818
Заражает COM и EXE, резидентный. Невидимый. Старается стереть
программы, имя которых начинается на "F-PR", "TBAV", "SCAN",
"MSAV", "CPAV", "TBME", "TBFI", "TBSC", "VIRS", "TBDR". Есть
закодированный текст "AVALANCHE/Germany '94...Metal Junkie greets
Neurobasher".
Bobas-754
Заражает только EXE, резидентный. Начиная с 25 числа месяца после
25000 прерываний от клавиатуры (нажатий и отпусканий клавиш)
начинает выводить в верху экрана "VIRUS :BOBAS v1.1".
Bobo-1355
Заражает только COM, резидентный. 24 августа выводит текст "Welcome
to Bobo virus ! Written in the town of Zagreb. Copyright (C) by
Boris P., September 1992 Love goes to Ivana H.". и стирает Master
Boot. Иногда при нажимании Ctrl+Alt+Del выводит на экран "I'll be
back ...". Пропускает многие вводимые символы.
Bugger-427
Заражает только EXE, резидентный. В памяти размещается только в
UMB, а в файле в EXE Header. Довольно оригинально усложняет
трассировку.
Dracula-1370
Заражает только EXE, резидентный. С большой вероятностью стирает 13
первых цилиндров первого диска, после чего выводит текст "It's a
pleasure for me to be so harmful. See you later, Count DRACULA.".
Tie-710
Заражает только COM, резидентный. Есть закодированный текст "TIE
Fighter".
Coito-644
Заражает COM и EXE, резидентный. Есть закодированный текст
"-= COITO, ERGO SUM =-By Green Leon 1993.".
Core-1024
Заражает только EXE, резидентный. Много шансов на частое повисание
системы. Есть закодированный текст "Work Area stopHello this is the
core Rev 3 26/4/91 P 0.98c".
WG-728
Заражает только EXE, резидентный. Портит в среднем 1 из 256
записываемых на диск блоков, инвертируя в нем биты. Есть
закодированные тексты "WG02" и "AIADWEVDVSMSHI". Последний - список
начал имен не заражаемых программ.
MadMax-507
Заражает только COM, резидентный. Школа Хижняка. В конце текст
"MadMax$".
LameV-207
Заражает только COM. Поиск в текущем и выше. Вешает систему.
Заражает многократно. В конце текст "Devastator/PHOBIA Lame virus
#3".
LameV-435
Заражает только COM. Поиск в текущем каталоге. В конце
закодированный текст "Devastator Lame Virus #9Look, we are being
encrypted, yes? A big improvement, but silly <sniff>".
LameV-538
Заражает только COM. Поиск в текущем каталоге. В конце текст
"Devastator Lame Virus #8We are very simple, no? But we do work,
and we do not corrupt the program we infect, and that is good, yes?
It is also all 100% original code, that has not been ripped off
from anywhere, like so many so called virus "writers" that seem to
appear everywhere with their silly VCL and MPC generated works of
"art".
Istanbul-1349
Заражает COM и EXE, резидентный. Пытается работать как "вакцина" -
при заражении другим вирусом удаляет себя вместе с ним, но при этом
EXE-файлы портит. Запланировано лечить все файлы 21 декабря 2000
года. Есть текст "Anti-Virus?? Written in the city of Istanbul
(c)1993".
Istanbul-1312
Заражает COM и EXE, резидентный. 21 декабря 2000 года намерен
лечить все зараженные файлы, но с ошибкой. Есть тексты "Written in
the city of Istanbul (c)1993" и "Installed".
MzExe-384
Заражает только EXE, резидентный. Невидимый, не меняет длину. Есть
тексты "MzExe", "Copyright (c) 1992 by Андрюшка".
DVA-445
Заражает только COM. Поиск в текущем каталоге. Есть тексты "DVA
желает вам хороших сновидений....", "Completed!!!- Осторожно у вас
в файле код Вируса FSFirst!!!Бойтесь меня".
Badless-494
Заражает только COM. Поиск в текущем каталоге. Портит все EXE-файлы
с расширением COM, записывая в их начало код, выводящий текст "Only
in God we trust...". Есть также текст "Badless 1992".
Microb-431
Заражает только COM, резидентный. Все зараженные файлы получают
дату 05.12.95 и время 17:57. 13-го числа выводит текст "MICROB I" и
стирает первый твердый диск. 4 марта и 7 ноября стирает диски.
Gosha-1831
Заражает COM и EXE, резидентный. Виден текст "GOSHA". Из-за особого
метода заражения программ с длинами 54619, 52925, 47845 (разные
версии COMMAND.COM), они могут после лечения стать
неработоспособными.
Burglar-1150
Заражает только EXE, резидентный. Не заражает файл, если в его
имени есть символы "V" или "S", либо первые два символа имеются в
списке "CLHWTBFWCTK". В 14-ю минуту часа выводит на экран
"Burglar/H". В начале есть текст "AT THE GRAVE OF GRANDMA...".
AOB-802
Заражает только EXE, резидентный. По воскресеньям блокирует работу
с принтером, а 10 мая - с последовательными портами. 25 ноября
стирает все запускаемые программы. По седьмым числам часто
перезагружает систему. Есть текст "AOB 3".
Sterculius-273
Заражает только COM, резидентный. В начале виден текст
"STERCULIUS".
Sterculius-428
Заражает COM и EXE, резидентный.
Elaine-1127
Заражает COM и EXE, резидентный. С вероятностью 1/256 инвертирует
первый байт записываемых на диск блоков. В начале текст "Elaine 1.0
28 May 1994".
Jester-700
Заражает только COM. Поиск в текущем и корневом каталоге. В начале
зараженных файлов видно "Jester-2_0".
Roll-600
Заражает только COM, резидентный. Блокирует перезагрузку по
Ctrl+Alt+Del, вращая при этом содержимое экрана вверх.
Victor-749
Заражает только COM. Поиск в текущем каталоге и всех выше. 28
февраля выводит текст "Happy birthday VICTOR!!!". Есть текст "Hello
Victor&Igor!!!Victor`s Virus For Igor&ALL!!! Warning!Super Virus!!!
Hello!!HI!!!!ALL OK!!!DON'T WORRY".
Fumble-867
Заражает только COM. Поиск в текущем каталоге. Оставляет в памяти
резидент, который при вводе с клавиатуры заменяет символы, чаще
всего на соседний справа.
Als-335
Заражает только COM. Поиск в текущем каталоге. По понедельникам
стирает 200 секторов диска C, после чего был задуман вывод текста
"PC infected by KPOBOCOC 1.0 ViRUS. (C) by A.L.S.".
Als-814
Заражает COM и EXE. Поиск в текущем каталоге и выше. В
закодированном теле есть текст "XA-XA 4.0 A.L.S.".
Helga-666
Заражает только COM. Заражает в текущем каталоге и COMSPEC. Портит
файлы "*.MS" и "*.+*". Иногда выводит текст "ТЫ ХОТЕЛ УВИДЕТЬ НЕБО?
ГОЛУБОЕ-ГОЛУБОЕ? ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? НЕВИДАТЬ ЕГО СО МНОЙ!"
Cuareim-800
Заражает только COM. Далекий от оптимальнного поиск по каталогам. В
22 часа выводит текст "ei-cuareim 1.5 By: V90d90A time to stop
working - 22pm Lucky, I dont do anything" и прекращает программу.
Alia-1023, -1200
Заражает только EXE, резидентный. Многие программы после лечения
могут оказаться неработоспособными, так как невозможно восстановить
исходное значение некоторых параметров (прежде всего SS).
Valentin-480
Заражает только COM, резидентный. Скрывает изменение длины. Есть
текст "SmS bItEs !!! aNd Is gAy ToO !!! wRiTteN bY BiGMaRtY,
2/13/96 HaPpY vAlEnTiNeS DaY eVeRyOnE... ... tO fUcK tOo mUcH ;)"
NSD-266
Заражает только COM. Поиск в текущем каталоге и c:\command.com.
Из-за ошибок может вешать систему. Иногда в режиме 320x200x256
выводит текст "SYSTEM ERROR: DMA DENIED.". В конце символы "NSD".
Day13-666
Заражает COM и EXE, резидентный. По 13-м числам старается испортить
нулевую дорожку и начало диска C. К счастью, успех этого
мероприятия на современных дисках маловероятен.
VXT-550
Заражает только COM, резидентный. Есть закодированный текст "*
[VXT-1 Virus] (c) 1996 SMSoft *".
Weekday-1614
Заражает COM и EXE, резидентный. Скрывает изменение длины. В
качестве признака зараженности в секунды времени создания файла
ставит удвоенный день недели создания.
Sofia-1369
Заражает COM и EXE, резидентный. Скрывает изменение длины. Может
портить некоторые дорожки первого твердого диска. В конце текст
"Sofia 1994 by TERMINATOR".
Solders-545, -557
Заражает только COM, резидентный. Старается портить случайные
дорожки. 545 всегда на первом твердом диске, а 557 на дискетах,
хотя предполагался текущий диск.
Lapis-445
Заражает только EXE, резидентный. Есть текст "[Lapis-Lazuli],
Rhince/VLAD".
Fellow-1019
Заражает только EXE, резидентный. В сентябре при запуске каждой
программы выводит текст "This message is dedicated to all fellow PC
users on Earth Towards A Better Tomorrow And A Better Place To Live
In".
Worm-913
Заражает только EXE, резидентный. Пишет перед собой в конец
заражаемого файла кусок случайной длины до 64К, который при лечении
невозможно удалить. В конце есть закодированный текст "Worm!".
Plovdiv-800
Заражает только COM, резидентный. При работе в MS DOS 3.30 может
портить диски. Есть текст "(c)Damage inc.Ver 1.1,Plovdiv,1991".
Larry-497
Заражает COM и EXE, резидентный. Из-за грубых ошибок портит
некоторые EXE-файлы. Выводит на экран текст "Larry On a Screen".
Kinnison-734
Заражает только COM. Поиск на текущем диске. По пятницам 11-го
выводит текст "DIE BITCH!!!!! AHHHHHHHH!!!!!!!". Есть также
закодированный текст "[VCL] Dedicated to the memory of Sam Kinnison
1954- 1992 [Kinnison] Nowhere Man, [NuKE] '92".
XFungus-1483
Заражает COM и EXE, резидентный. Частично скрывает изменение длины.
20 сентября выводит текст "John Bonham - September 20, 1980 - L E D
Z E P P E L I N -". Есть еще несколько текстов, в том числе
"*XFungus by Harry McBungus*", "*Stormy: Yo im a nugga!*", "*
Patricia: Get a life & some programming knowledge *".
Lavi-797
Заражает только COM, резидентный. Предполагалась запись 17 июня
метки тома "-USA 94-". Есть закодированный текст "[USA 94] (c)1994
ANuBiS".
Rabbit-292
Заражает только COM. Поиск в текущем каталоге и выше. 4 апреля
стирает MBR. Есть текст "The Rabbit Virus By: Corrupt Of Death
Row".
Ouse-591
Заражает только COM. Поиск в текущем каталоге и выше. Стирает BOOT
диска C.
Version-705
Заражает только COM, резидентный. При вызове функции DOS Version
выдает практически случайное значение. Должен быстро вешать
операционную систему.
MZV-333
Заражает только COM, резидентный. В начале видно "MZV 2 !!!".
Nike.Pox-1487, -1726
Заражает COM и EXE, резидентный. Невидимость обеспечивают
"лечением" файлов при открывании и исполнении.
Ozzy-546
Заражает COM и EXE, резидентный. Виден текст "Ozzy Osbourne virus
por El Flaco".
Proto-720
Заражает только COM, резидентный. Виден текст "** ProtoVirus v1.0
by Chr'92 **".
Xram-1355
Заражает только EXE, резидентный. Портит ANTI-VIR.DAT, стирает
CHKLIST.MS. Не заражает файлы, имя которых начинается на "F-",
"TB", "SCAN". Скрывает изменение длины. По 15-м числам выводит
текст "Capaz de reprimir con palos y armas a tus propios hermanos
que luchan reclamando Justicia e Igualdad...te haces llamar
DEFENSOR DE LA LEY Y EL ORDEN. Tu sola presencia da asco y