Лозинский Д.Н.

                    Антивирусная программа AIDSTEST.

                 Краткое описание опознаваемых вирусов

                           (файл aidsvir.txt)

 

                    Версия 1559 от 15 июля 1996 г.

 

 

     Данное описание  является приложением  к  краткому  руководству  по

использованию  антивирусной  программы  Aidstest  (файлу  aidsread.me  в

комплекте поставки).

 

     Программа Aidstest  предназначена  для  обнаружения  и  исправления

программ, зараженных  определенными типами  вирусов,  а  именно  типами,

известными в  настоящее  время  автору.  Перечень  опознаваемых  вирусов

дается в  отдельном  файле  aidslist.txt,  поставляемом  в  комплекте  с

программой. Этот  перечень постоянно  пополняется по  мере  появления  у

автора  новых   вирусов.  Данный  документ  содержит  описание  вирусов,

входящих в этот перечень.

 

     Предполагается хотя  бы общее  представление о структуре, жизненном

цикле и  классификации компьютерных  вирусов. Для  углубленного изучения

этих   вопросов    могут   быть   использованы,   например,   монографии

Н.Н.Безрукова  "Компьютерные  вирусы"  (М.:  Наука,  1991.-  160  с.)  и

"Компьютерная вирусология" (Киев: Укр. сов. энцикл., 1991.- 416 с.).

 

     Описание вирусов  построено в  две колонки.  Левая колонка содержит

имена и  длины вирусов  и используется для идентификации вирусов. Правая

колонка содержит  собственно описания.  Отдельные вирусы группируются по

некоторым родственным признакам, и их описания даются одной группой.

 

 

                        1. Программные вирусы

 

Vienna-648, -534, -574, -623, -625, -627, -23693

     Наиболее  примитивный  из  широко  распространенных  вирусов.   При

     загрузке   в  память  просматривает  все  COM-программы  в  текущем

     каталоге  и  в  доступных  через  PATH.  Первую  найденную  еще  не

     зараженную  программу  либо  заражает,  либо,  с  вероятностью 1/8,

     портит таким образом,  что она при  запуске  вызывает  перезагрузку

     системы.   Если  испорченной  таким  образом  оказывается  одна  из

     программ,  вызываемых из AUTOEXEC.BAT, процедура начальной загрузки

     зацикливается.  Самым  опасным свойством этого вируса оказалась его

     простота.  Из-за этого в  малопочтенное  общество  авторов  вирусов

     смогла вступить группа личностей, способных разобраться в несложной

     чужой программе и слегка ее модифицировать. Таким образом появилось

     много разновидностей этого вируса,  отличающихся от него длинами. В

     модификации  длиной  623 вместо ухода на перезагрузку стоит переход

     по  адресу  C800:0000.  Вероятно,  предполагалось,  что  от   этого

     произойдет  форматизация  диска.  Если  у  Вас будет обнаружен этот

     вирус,  можете сами искать модули,  в начале которых стоит EA 00 00

     00 C8,  и стирать их с диска.  Думаю, что предметом особой гордости

     автора  этой  модификации  была  обработка   ошибок   ввода/вывода,

     благодаря  чему  не должны выдаваться сообщения о попытке записи на

     защищенную дискету.  В версии 627 отключена ветка порчи программ, в

     связи  с  чем  она  занимается  только  размножением.  Версия 23693

     появилась в Ленинграде и является,  вероятно,  самой безграмотной и

     гнусной.   Естественно,  проверка  длины  заражаемой  программы  не

     скорректирована.  Оригинальный  вирус  и,  если  не  ошибаюсь,  все

     модификации   помечают  зараженные  файлы,  проставляя  во  времени

     коррекции файла 62 секунды.  При лечении эта пометка не  снимается.

     Некоторые  антивирусные программы реагируют на эту пометку, заявляя

     о наличии вируса "Time Stamp".

 

Vienna-462

     Видно слово "Angel". Пакостей не делает, но на будущее предусмотрен

     счетчик поколений и опрос системного времени.

 

Vienna-481

     Запланирована форматизация диска, но с ошибкой.

 

Vienna-502

     14 января  надеется  портить  нулевую  дорожку  на третьем цилиндре

     первого твердого диска. Есть текст "/mw soft/93.3.15/norilsk/".

 

Vienna-507

     Заражает только  в текущем каталоге. Зараженные файлы помечает 13-м

     месяцем.

 

Vienna-520

     После очень большого числа заражений намерен портить первый твердый

     диск. Есть текст "/MW Soft./1993Feb6/Norilsk/Shura M./Depeche Mode/".

 

Vienna-535

     Во времени  ставит 58  секунд. В  первые 5  байт испорченных файлов

     попадают относительно  случайные данные,  поскольку это поле иногда

     пересекается с именем файла.

 

Vienna-565

     Вместо перезагрузки пишет 5 нулей.

 

Vienna-576

     Собирался вместо  перезагрузки системы заставлять испорченные файлы

     стирать начало диска "C", но, как обычно, в этом месте есть ошибка.

 

Vienna-604

     Во времени  ставит 0  секунд. В  первые 5  байт испорченных  файлов

     JMP F000:E05B, что  для  большинства  версий  BIOS  также  означает

     перезагрузку.

 

Vienna-613

     Пометка во  времени -  60 секунд. EXE опознает правильно. В связи с

     особым способом  заражения COMMAND.COM  версии 3.30  AIDSTEST лечит

     его не  вполне корректно (уменьшает длину), что не должно приводить

     к отрицательным последствиям.

 

Vienna-618

     Вместо команды перезагрузки портит файлы командой "JMP 0:FFF0", что

     приводит к повисанию системы при запуске испорченной программы.

 

Vienna-708

     Портит один из восьми файлов  куском,  выводящим  текст  "Copyright

     1992 Metal TechnoRat (MTR).".

 

Vienna-757

     Иногда выдает на экран "Безвредный вирус: Долой Кузьмичей !!!".

 

Vienna-779

     Может стереть с диска 256 первых секторов.  Есть  тексты  "Violator

     Strain  C  -  (C)  1991 RABID Int'nl Development Corp.",  "Violator

     strikes again...".

 

Vienna-833

     С вероятностью  1/8  заражает  куском длиной 171,  который ставит в

     памяти резидент на  INT  13,  производящий  довольно  бессмысленные

     действия.

 

Vienna-998

     Весьма творческая переработка:  добавлено  кодирование  и  изменена

     пометка во времени.

 

Vienna-1000

     Оставляет в  памяти резидентную  часть, которая через час, в случае

     нажатия на  "Print Screen"  устраивает падение  букв на  экране  со

     звуковым сопровождением.

 

Vienna-1006

     Вместо порчи  некоторых программ,  которая была  в  первой  версии,

     играет мелодию,  которая даже  на XT  в "турбо"  режиме исполняется

     слишком быстро.

 

Vienna-1201

     Изготовлен  в   лучших  традициях   структурного  программирования.

     Попытка испортить  загрузочный сектор  диска реализована  не вполне

     удачно.

 

Vienna-1239

     Портит первые  3 сектора  на секторе  0 головка  1 первого твердого

     диска (обычно это BOOT и два первых сектора FAT).

 

Cascade-1701, -1704

     Два варианта в протоколе можно различать по разности длин. Заражает

     только  COM-программы,  однако  опознает  их  не  по  имени,  а  по

     внутреннему   формату.   Это  широко  известный  вирус,  вызывающий

     осыпание букв на экране.  Как и большинство вирусов,  он остается в

     памяти машины и заражает запускаемые после него программы. Алгоритм

     активизации использует часы и устроен таким образом,  что наблюдать

     деятельность этого вируса (осыпание букв) можно обычно только на PC

     -XT,  да и то необходимо  устанавливать  дату.  На  AT  этот  вирус

     демонстрировал  свои  способности  только  в  третьем квартале 1988

     года.  Приятной особенностью этого, как и большинства действительно

     грамотно   написанных  вирусов,  является  отсутствие  непоправимых

     последствий его деятельности.  Следует отметить,  что автор  вируса

     хотел сделать его не заражающим машины фирмы IBM,  но сделал в этом

     месте   ошибку   (перепутал   сегментный   регистр).   Название   в

     классификации SCAN "Cascade [170X]".

 

Cascade-1661

     Переделка классических 1701/1704. Scan опознает как "Turkey [Trk]".

 

Jerusalem-1808

     Заражает и  EXE- и COM-программы. К сожалению, этот вирус различает

     их по имени и потому делает неработоспособными программы, у которых

     имя  не   соответствует  содержанию.   Из-за  ошибки   этот   вирус

     многократно заражает одну и ту же EXE-программу. Внешние проявления

     - "черный  квадрат" на экране (координаты 5,5 - 16,16) и замедление

     работы машины.  Главная опасность от него грозит, когда на 13 число

     приходится пятница.  По таким  дням вирус  стирает все  загружаемые

     программы. Название в классификации SCAN "Jerusalem Virus Version B

     [Jeru]".

 

Edd) Группа вирусов  одного  автора,  в  которую  объединены  и  вирусы,

     имевшие имена "E" и "Bch". Изготовлены в Болгарии, заражают и EXE и

     COM. Программные  файлы заражают  даже при  их чтении,  из-за  чего

     размножаются очень  быстро. Главная  опасность состоит  в том,  что

     вирусы портят  на диске  относительно случайно  выбираемые сектора.

     При  этом   очень  трудно  определить,  какие  же  файлы  он  успел

     испортить.  Это   проделывается  при  каждом  шестнадцатом  запуске

     зараженной программы.

 

Edd-651

     Только заражает и только при загрузке программ.

 

Edd-1800

     Прежнее название  этого вируса  "E". Испорченные сектора содержат в

     начале фразу  "Eddie lives...somewhere in time!", которая имеется в

     начале вируса.  После лечения  диска можно  найти по этому признаку

     все испорченные  файлы. Эта фраза должна стоять по адресу, кратному

     512. Название по SCAN "Dark Avenger virus [Dav]".

 

Edd-2000

     Дальнейшее развитие  вируса.  В  этой  версии  появилось  заражение

     создаваемых программных  файлов  и  элементы  невидимости.  Прежнее

     название "Bch",  по наличию  в теле  вируса  текста  "(c)  1989  by

     Vesselin Bontchev". Существует два варианта, отличающиеся текстом в

     начале: "Only  the Good  die young..."  и "Zopy  me  -  I  want  to

     travel". AIDSTEST  различает их,  но  не  отражает  этого  факта  в

     протоколе. Этот вирус, как и следующий, в испорченные сектора пишет

     BOOT Sector  текущего диска.  SCAN опознает  его  как  "2000  Virus

     [2000]"

 

Edd-2100

     Следующая разновидность.  Содержит в  начале и в конце текст "Eddie

     Lives", поскольку именно эти слова стали "пакостной маркой" автора,

     которой он  очень гордится.  Сохранен и текст "(c) 1990 by Vesselin

     Bontchev". Отличия  от предыдущей  версии не слишком принципиальны.

     SCAN опознает его как "2100 Virus [2100]"

 

EddX-1800

     Очень малая переделка Edd-1800.

 

EdXX-1800

     Очередная переделка Edd-1800.

 

Eddie-1530

     Заражает  COM  и EXE,  резидентный.  Иногда устраивает перезагрузку

     системы. Может портить тип диска в CMOS.

 

I-529

     Заражает только COM,  но различает типы только по имени, из-за чего

     делает  неработоспособными  EXE-программы,  имеющие расширение COM.

     Остается резидентным,  перехватывая прерывание 21.  Никакой вред не

     предусмотрен.   Не   проверяет   версию  операционной  системы,  но

     использует имя программы,  которое ставят в Environment  версии  не

     ниже 3.0.  Записывается в начало, переписывая старое начало в конец

     файла.  Внешне опознается только по длине.  Прислан  из  Ленинграда

     15.12.89. Судя по всему, автором является начинающий пакостник, так

     как почти все передрано из знаменитого "Израильского"  вируса  -  в

     классификации  AIDSTEST - вирус (C).  Есть шансы на появление новых

     версий,  поскольку предусмотрена подпрограмма обработки EXE-файлов,

     которая пока состоит из одного RET.

 

M)   Весьма большая  группа вирусов одного автора. Внутри каждого из них

     есть номер  разновидности в  авторской  классификации.  Этот  номер

     приводится в  протоколе вслед  за буквой  "M". Подробности о разных

     версиях  приведены   в  отдельном   разделе  ниже.   SCAN  называет

     представителей этой  группы  "Vacsina  virus  [Vacs]"  или  "Yankee

     Doodle Virus [Doodle]", а иногда и обоими именами одновременно, что

     обычно не означает наличия в модуле сразу двух вирусов.

 

Sun-1631

     Удлиняет файлы  на  1636  (5   -   длина   признака   зараженности,

     приписываемого к концу файла). Весьма похож на "Израильский" вирус,

     что  позволяет  подозревать  либо  одного  автора,  либо   плагиат.

     Отсутствует  ошибка,  вызывавшая  многократное заражение одного EXE

     модуля.  В качестве пакости предусмотрено стирание всех загружаемых

     программ  по  воскресеньям  с  выдачей  при этом на экран совета по

     воскресеньям отдыхать.  В связи с этим свойством вирус известен под

     именем  "SUNDAY".  Впрочем,  есть  надежда,  что в этом месте вирус

     содержит ошибку и  пакостная  ветка  никогда  не  должна  работать.

     Дополнительная   неприятность   заключается   в   том,  что  вирус,

     приписываясь к началу заражаемых COM-модулей,  не  контролирует  их

     длину  и  поэтому безнадежно портит модули,  длина которых вместе с

     ним превышает 64К. SCAN опознает как "Sunday Virus [Sunday]".

 

IV)  Группа, состоящая  пока из трех представителей с длинами 847, 740 и

     345 байт. Устройство предельно примитивное - заражаются только COM-

     модули  в   текущей  директории,   причем  не   предусмотрено  даже

     сохранение даты, не говоря о контроле длины. Заражение производится

     приписыванием к  началу. IV-740  не контролирует и своего наличия в

     модуле, в  связи с  чем заражение происходит многократно. Остальные

     довольно  скоро   и  часто  начинают  вместо  исполнения  программы

     выдавать сообщение "Program sick error:Call doctor or buy PIXEL for

     cure description".  Очень похоже  на то, что первый из этих вирусов

     был опубликован  в виде  исходного текста  в  каком-то  издании  по

     компьютерным  вирусам  в  качестве  наиболее  простого  примера.  В

     результате получился  наглядный  пример  того,  что  нельзя  давать

     такого  рода   информацию,  которой   может  воспользоваться  любое

     ничтожество. На расстоянии 2-3 байта от начала в этих вирусах стоят

     буквы "IV".  Из этой  группы SCAN опознает IV-345 и IV-847, называя

     их "Amstrad Virus [Amst]".

 

V)   Эта буква  в дальнейшем  будет использоваться  для обозначения всех

     новых вирусов,  о которых  нельзя сказать  ничего  интересного.  Их

     перечень будет следовать ниже с вынесением на поля длины.

 

V-600

     Заражает только  COM-программы. Приписывается  к началу.  600  байт

     правильного начала  программы переписываются в конец, причем зачем-

     то кодируются  (XOR 0xBB). Программы  с флагом  защиты от записи не

     заражает. В  процедуре обработки  неустранимой ошибки  ввода/вывода

     (INT 24) есть неточность.

 

V-257

     Заражает только  COM-программы, причем только в текущей директории.

     Получен из  Кемерово. По-видимому,  местного происхождения.  Иногда

     вызывает   перезагрузку   операционной   системы.   Сделан   весьма

     неграмотно. Никогда  не закрывает  файлы, причем  открыть их  может

     очень много.  Портит время.  Не блокирует  сообщения  о  защите  от

     записи.  Зараженные   программы  теряют   способность  обрабатывать

     параметры.

 

V-4096

     Заражает и  COM и  EXE. Scan  опознает его как "4096 Virus [4096]".

     Все зараженные  программы удлиняются  ровно на  4096, а  в дате год

     увеличивается на  100. Впрочем, обычно этого обнаружить не удается.

     Этот вирус  превосходит все мыслимые пределы затраты труда на столь

     ничтожную цель.  В нем  обрабатываются 20  функций DOS  (INT 21), в

     результате чего в зараженной машине полностью маскируются следы его

     деятельности. Мне представляется, что универсальный сторож, который

     обнаружил бы  появление в машине этого вируса, должен просматривать

     каталоги  не   стандартными  средствами   MS DOS,  а  через  прямое

     считывание секторов, поскольку все средства доступа к файлам отдают

     программам информацию,  из которой  удалены все  следы деятельности

     вируса.  Мне   пока  не  удалось  обнаружить  никакой  специфически

     пакостной деятельности  вируса, но уверяют, что он портит каталоги.

     Я достаточно  тщательно  изучил  его  средства  размножения,  а  на

     детальный анализ  прочих  частей  пока  не  хватило  времени.  SCAN

     опознает его как "4096 Virus [4096]"

 

V-644

     Заражает только  COM в  текущей директории,  причем не  в корневой,

     причем только  первые 20 минут каждого часа. Является, по-видимому,

     свободной вариацией на тему вируса "A". При этом, однако, автору не

     удалось  справиться   с  регистрами,  и  заражение  через  PATH  не

     происходит.  Время   создания  файла  портится,  поскольку  в  него

     довольно глупо  ставится признак зараженности.

 

V-1049

     Заражает COM  и EXE.  Очевидный плагиат  из "музыкальных"  вирусов,

     впрочем,  только   достаточно  тривиальной   части.  "Оригинальной"

     является  только  пересылка  содержимого  AX  в  BX  до  сравнения,

     вставленная, по-видимому, в соответствии с моими рекомендациями для

     авторов вирусов.

 

V-512

     Заражает  только   COM.  Является   первым   представителем   давно

     ожидаемого  семейства   вирусов,  не   меняющих  длину   заражаемой

     программы. Как  это сделать  знают достаточно  многие.  Думаю,  что

     такие  вирусы   до  сих   пор  не  появлялись  из-за  одного  очень

     неприятного их  свойства - после  копирования зараженной  программы

     она становится неработоспособной. Текущая версия AIDSTEST различает

     6 вариантов  этого вируса,  хотя и  не  отражает  этих  различий  в

     протоколе, поскольку  они существенны  только для  лечения, а не по

     последствиям. Даже  главная ошибка,  упоминаемая ниже, присутствует

     во всех  версиях. Судя  по некоторым приметам, и этот вирус написан

     автором вируса  "Dark Avenger".  Ему, очевидно, доступна внутренняя

     документация  фирмы  Microsoft,  поскольку  в  тексте  использовано

     большое число  недокументированных возможностей  MS DOS.  Есть  две

     довольно грубых  ошибки, одна из которых должна с вероятностью 2/n,

     где n  - количество системных буферов (параметр Buffers), приводить

     к повисанию  системы в  момент  первой  загрузки  вируса  в  память

     машины. Учтите,  что при  лечении  программ  от  этого  вируса  нет

     гарантии того,  что они  будут восстановлены  в исходное  состояние

     (особенно  для  двух  из  шести  версий).  В  частности,  абсолютно

     невозможно восстановить  программы, которые  после  заражения  были

     переписаны на  другой диск  или даже  на новое место того же диска.

     SCAN опознает пять из шести версий как "512 Virus [512]".

 

V-900, -905

     Заражает только EXE. При заражении сегментированной программы может

     сделать  ее   неработоспособной,  однако  лечению  это  не  мешает.

     Предусмотрена оригинальная  шутка: на  адаптере EGA с определенного

     момента времени  каждые 10  секунд изображения  символов на  экране

     переворачиваются.

 

V-707

     Заражает только COM, отличая их по имени. При определенных условиях

     появляется треск  (18 раз  в секунду  включает и  выключает  звук).

     Текст вируса  интересен упорной  борьбой автора  с  несуществующими

     трудностями. Вирус  активизируется только  в  MS DOS-3.30,  однако,

     зачем  автору   это  понадобилось   понять  трудно,  поскольку  все

     специфичное для этой версии можно было в вирус не вставлять.

 

V-572

     Заражает только EXE. При заражении сегментированной программы может

     сделать  ее  неработоспособной.  В  этом  случае  и  после  лечения

     программа  может   оказаться  испорченной   (недоступны  правильные

     параметры длины  в EXE  HEADER). Привезен  из Воронежа.  Из  текста

     вируса видно,  что автор  очень  спешил  напакостить,  не  успев  в

     достаточной мере изучить MS DOS.

 

V-516

     Заражает только  COM,  причем  только  начинающиеся  командой  JMP.

     Является первым представителем давно ожидаемой мной разновидности -

     не меняет  начало, а  вставляет JMP  на  себя  в  позицию  перехода

     первого JMPа.  По мелким  приметам похоже,  что и его сочинил автор

     "Dark Avenger".  Содержит ошибку в использовании системных буферов,

     приводящую к повисанию системы, впрочем, с вероятностью вдвое ниже,

     чем у V-512.

 

V-948

     Заражает COM  и EXE.  За счет  округления истинное  изменение длины

     больше на  1-16. При  заражении COMMAND.COM  его длину  не  меняет.

     Работает только  в MS DOS  3.xx.  В  качестве  шутки  предусмотрено

     изменение случайно  выбираемых букв  на экране, но мне кажется, что

     эта ветка никогда не работает.

 

V-699

     Заражает только COM, отличая их по имени. Не заражает COMMAND.COM и

     файлы короче  1700. Истинное  удлинение файлов  от 704  до  719.  В

     качестве пакости  предусмотрена периодическая  симуляция  сбоев  на

     устройствах гибких  дисков, но,  как  мне  кажется,  в  этом  месте

     имеется ошибка, которая может приводить к повисанию системы.

 

V-696

     Заражает только  COM, просматривая  каталоги. Это,  кажется, первый

     вирус, который  работает не  только в  текущем  каталоге  (если  не

     считать "A",  работающего через  PATH). Впрочем,  хотя в  алгоритме

     хождения по  каталогам я детально не разбирался, некоторые ошибки в

     нем обнаружил.  До заражения  округляет длину до кратной 16, причем

     точную исходную длину восстановить не удается. Дату и время портит.

     Не заражает  COMMAND.COM и  файлы с  атрибутами Read only,  Hidden,

     System. После  64 запусков  зараженной программы  предусмотрено  ее

     стирание и попытка испортить первый твердый диск.

 

V-1150

     Все откровенно  украдено из  "музыкальных" вирусов,  хотя  украдено

     далеко  не  все.  В  частности,  автор  не  сумел  даже  обеспечить

     однократное  заражение   модуля.   Впрочем,   автору   можно   быть

     благодарным  за  то,  что  он  не  вставил  какой-нибудь  пакостной

     самодеятельности.

 

V-370

     Предыдущая и более примитивная версия Воронежского вируса V-600.

 

V-765

     Заражает только EXE. На дискетах делает фиктивные BAD Cluster'ы (по

     одному на каждый вызов функции Select default drive).

 

V-1232/1472

     Через каждые  10  минут  устраивает  мелкую пакость с клавиатурой -

     пятикратное повторение последней нажатой  клавиши.  Время  создания

     файла портит. Обнаружены две переделки, которые через час выдают на

     экран слово "SAMSOFT". Scan опознает как "Keypress [Key]".

 

V-695

     Заражает COM  и EXE,  различая их по имени. Резидентный. Для второй

     половины  1990  года  предусмотрена  шутка:  каждый  час  5  раз  с

     небольшой задержкой  гасит экран. Не заражает файлы Read Only, хотя

     и хотел это делать. Дату не портит.

 

V-1308

     Заражает  только   COM  просматривая   диск  классическим   Венским

     алгоритмом. В  качестве  пакости  предусмотрено  быстрое  забивание

     свободного места  в  FAT  признаками  конца  файла.  После  лечения

     необходимо пустить  CHKDSK и  затем удалить  из корневого  каталога

     файлы с именами FILEnnnn.CHK.

 

V-537

     Заражает только  EXE в  текущем  каталоге.  Портит  дату  и  время,

     устанавливая  фиксированные   значения:  17.08.88   -  02:08:34.  В

     процессе поиска  файла для заражения забывает их закрывать, в связи

     с чем при исполнении программы возможна ошибка.

 

V-310

     Заражает только COM. Резидент в области векторов прерываний. Иногда

     вызывает перезагрузку системы.

 

V-384

     Содержит гордую  фразу: "Infects  ani .COM  or  .EXE  file  on  any

     writeable Device".  На самом  деле и те и другие безнадежно портит,

     причем только в текущей директории. Единственное почти оригинальное

     достижение  -  использование  доступа  FCB.  Все  зараженные  файлы

     приходится удалять.

 

V-1202

     Вариант V-1150.

 

V-821

     Заражает только  EXE. Новая продукция автора V-900 и V-905. Однако,

     на этот  раз вместо  шутки с  экраном вставлена мелкая пакость - на

     дисках, имеющих  12-битовый FAT, постоянно образуются псевдосбойные

     кластеры. Алгоритм  заражения сохранен полностью. Scan опознает как

     "905".

 

V-1014

     Заражает только  EXE, однако,  из абсолютно непонятных соображений,

     COM-программы, имеющие  в начале JMP, обрабатывает по тому же пути.

     В результате  вирус оказывается  дописан к  концу файла, а в начале

     портятся 6  байт  (+4-+5  и  +14-+15h).  Такие  файлы  AIDSTEST  не

     обнаруживает. Опасности  они не  представляют, но работоспособность

     могут потерять. Очень редко вирус может производить мелкие шутки на

     адаптере типа  EGA/VGA -  смещать по вертикали развертку на экране.

     Scan опознает его как "Armagedon [Arma]".

 

V-715

     Заражает только  COM в  корневом и текущем каталоге текущего диска.

     Содержит довольно  интересный алгоритм обхода резидентных сторожей.

     Зараженная программа через месяц после своего заражения после 13.00

     перезагружает систему. Из непонятных соображений заражает и файлы с

     атрибутом System,  в т.ч.  ibmbio.com и  ibmdos.com, что приводит к

     очевидным  результатам.   Весьма  тяжелое   впечатление   оставляет

     сочетание хорошего  уровня программирования  и  столь  примитивного

     результата.

 

V-300, -748

     Заражают только  COM в  текущем каталоге.  Судя по  почерку, одного

     автора. 300  по 3-м  числам месяца  портит 19  секторов в случайном

     месте диска  D: и  выдает текст  "Happy Birthday,Cheef!", а 748 в 5

     часов утра  в субботу портит все EXE-файлы в текущем каталоге таким

     образом, что  они портят  при запуске  сектора в  случайных  местах

     первого твердого диска.

 

V-756

     Заражает только  EXE. Довольно  грамотно и  оригинально  реализован

     тривиальный "Венский"  алгоритм просмотра  каталогов по  PATH. Тело

     вируса кодируется.  Совершенно оригинально сделан обход слежения за

     DOS-функциями,  но   дубово  до   изумления  -   по  памяти  ищется

     последовательность байтов,  стоящая на входе в MS DOS 3.30, в связи

     с чем  на других  версиях вирус  добровольно отказывается работать.

     Замедляет работу  машины, оставляя на прерывании по времени цикл из

     восьми байт. Интересные люди пишут вирусы!

 

V-1355

     Заражает EXE  и COM.  Резидентный.  Стирает  и  не  восстанавливает

     атрибуты. Если не ошибаюсь - проверить не было возможности - каждый

     час устраивает дрожание экрана.

 

V-1131

     Заражает EXE и COM. Резидентный. По шестым числам месяца устраивает

     осыпание букв при помощи довольно примитивного алгоритма.

 

V-454

     Заражает только  COM, резидентный.  На адаптерах EGA/VGA устраивает

     подергивание экрана по горизонтали.

 

V-1576

     Заражает EXE и COM. Резидентный. Не меняет длину COMMAND.COM.

 

V-550

     Заражает только EXE, резидентный.

 

V-388

     Заражает только  COM, резидентный. Содержит две грубые ошибки, одна

     из которых  очень быстро  приводит к  повисанию системы.  В связи с

     этим лечение возможно только в чистой операционной системе.

 

V-855

     Заражает COM и EXE, резидентный. С 1 по 16 ноября после 500 нажатий

     на клавиши  стирает первые 8 секторов текущего диска. Scan опознает

     как "855".

 

V-1391

     Заражает только EXE, резидентный. Не работает ни на 8088/8086 ни на

     80386 процессорах,  хотя и  по разным  причинам. По  первым  числам

     портит Partition Table (меняет параметры второго раздела), сохраняя

     исходную в третьем секторе. Исправить эту ситуацию можно только при

     помощи NU или DiskEdit.

 

V-373

     Заражает только  COM (различает  по имени), резидентный. Иногда при

     EGA/VGA адаптерах подергивает экран по горизонтали.

 

V-586

     Заражает только COM, резидентный.

 

V-302

     Заражает только  COM, резидентный. Портит дату и время. Не заражает

     файлы с атрибутом "только чтение".

 

V-1441

     Заражает COM  и EXE,  резидентный. При  заражении COM  дописывает в

     конце дополнительно  до 31  байта. При  заражении файлов, имеющих в

     конце много нулей (COMMAND.COM), не меняет длину зараженного файла.

 

V-330, -357, -475, -563

     Заражают только COM, резидентные. Абсолютно бесцветные.

 

V-1526

     Заражает только  COM, резидентный.  Написан весьма  оригинально, но

     часто конфликтует с операционной системой.

 

V-1635

     Заражает только EXE,  резидентный. Удивительно безграмотный. Портит

     дату файла, заражает многократно, быстро вешает систему.

 

V-458

     Заражает только COM,  резидентный.  Стандартное сочетание серости с

     подлостью.  Старается  во  всех  файлах  испортить  1  байт  (+2) и

     затереть 9 первых секторов диска "C".  К счастью,  успешность  этих

     попыток маловероятна.

 

Mur-1277

     Заражает и COM и EXE.  Близко от начала содержит текст "I'm Murphy.

     ...".  Главное  внешнее  проявление:  в интервале от 10 до 11 часов

     пищит с частотой 11.9 Кгц.  В процедуре обработки INT  24  применен

     очень  хитрый  прием  выхода - прямое восстановление всех регистров

     непосредственно из стека (наглядная демонстрация того,  что  лишние

     знания  дураку  только  вредят).  Поскольку автор забыл,  что может

     понадобиться восстановление и стековых регистров,  последствия этой

     хитрости   при   попытке  писать  на  защищенную  дискету  являются

     непредсказуемыми.  Например,  при загрузке  AIDSTEST  с  защищенной

     дискеты   появлялись  совершенно  некорректные  сообщения.  Заметен

     плагиат  из  "Dark  Avenger",  причем  без  достаточного  понимания

     функций копируемых фрагментов.

 

Vrn-1600

     Заражает и COM и EXE.  Заражение производит не только при  загрузке

     программ,  но  и при открывании на чтение файлов с расширением EXE.

     Имеется  ряд  признаков,  позволяющих  с  уверенностью  говорить  о

     родстве  с  V-600.  Произведен в Воронеже,  причем мне сообщили имя

     автора - Стас Олейников. В подтверждение этой информации Касперский

     Е.В.  обнаружил  в  V-600 закодированный текст "Oleynikoz S.,1990".

     Для меня  абсолютно  непостижим  стимул,  которым  руководствовался

     автор,  сочиняя этот вирус. Дело в том, что его единственная задача

     - обойти самозащиту AIDSTEST,  которая описана в последнем  разделе

     настоящего описания,  причем с предельным старанием,  без проблеска

     новых идей и даже с ошибкой реализована  рекомендованная процедура.

     Сообщая  эту  процедуру,  я  надеялся,  что  главной движущей силой

     авторов вирусов является болезненное самолюбие и  желание  доказать

     свою  способность придумать нечто принципиально новое.  На этот раз

     воронежский пакостник недалеко ушел от тех,  кто  гордится  умением

     поменять пару команд в простейшем вирусе "Vienna (DOS 62)".

 

Vrn-1536

     Заражает COM  и EXE, различая их только по имени. Реализован тот же

     алгоритм заражения  EXE-файлов. В  текстах, выдаваемых  на  печать,

     меняет некоторые слова на нецензурные.

 

VrnA-1536, VrnB-1536

     Слегка подправленные версии предыдущего.

 

Vrn-1584

     Новый вариант предыдущих. Вместо развлечения вставлена существенная

     пакость - порча всех DBF-файлов. В подробностях ее я не разбирался.

 

Ysh-1961

     Заражает только  EXE,  просматривая  в  момент  запуска  зараженной

     программы  все  каталоги  диска.  Перед тем как передать управление

     исходной программе, исполняет мелодию. В конце вируса имеется слово

     "motherfucker".   Поступил   из  коллекции  известного  болгарского

     вирусолога Бончева и ему же принадлежит название YANSHORT.  В живом

     виде пока не замечен, как я думал в момент его обработки, но уже на

     следующий день мне его прислали,  как отловленного в Кемерово. SCAN

     опознает его как "Yankee Two Virus [Doodle2]".

 

sI-492

     Заражает только COM.  В памяти остается в области  второй  половины

     векторов прерываний (0:200-0:3FF).  Кроме прерывания 21 берет и 1C,

     которое использует для выбора момента порчи случайного  места диска

     "C:".  Есть,  впрочем,  надежда,  что автор немного напутал и такой

     момент никогда не наступает.  Первым делом вирус пытается  заразить

     "C:\COMMAND.COM".  До  заражения в конец файла дописывается от 1 до

     16 нулей,  чтобы длина  стала  кратной  16.  Исходную  длину  файла

     восстановить невозможно.  Время также портится.  Более того,  время

     постоянно указывает на момент последнего  запуска  программы,  пока

     количество  запусков  с  момента  заражения  не  станет равным 256.

     Сообщение о попытке записи на защищенную  дискету  не  блокируется.

     Комбинация   "sI"  присутствует  со  смещением  3  от  начала  всех

     зараженных   программ   и   используется   вирусом    в    качестве

     опознавательного знака.

 

Atn-394

     Заражает только COM,  различая их по имени.  Остается  резидентным,

     занимая  416  (1A0)  байт в конце памяти.  В начале всех зараженных

     файлов стоит текст "ATTENTION !".  Дату портит.  При попытке записи

     на защищенную дискету (точнее при неустранимой ошибке ввода/вывода)

     сообщение блокирует,  однако  трижды  включает  и  выключает  мотор

     дисковода "A".

 

BEBE-1004

     Заражает только  COM в  текущей директории,  различая их  по имени.

     Оставляет в памяти резидентную часть, которая помещается по адресам

     0:1CE-3EB и  перехватывает прерывание от часов (1C). Через 10 минут

     после загрузки  на экран выдается идиотский текст, после чего из-за

     абсолютно безграмотной  работы с  клавиатурой вирус зацикливается и

     приходится перезагружать  систему  кнопкой  RESET  или  выключением

     машины. Блокирование этого фрагмента пока не предусмотрено, поэтому

     рекомендуем запускать  AIDSTEST для  лечения с  чистой системы  или

     сразу после загрузки, а после лечения сразу перезагружаться.

 

BEBE-486

     Отличается  тем,   что  резидентный   фрагмент  вместо  организации

     остроумного диалога  пакостит на  диске -  при  исполнении  функции

     WRITE меняет  символы "+"  на "-"  и наоборот.  Важным достоинством

     обоих  разновидностей   вируса  является   их   неработоспособность

     практически на всех типах машин.

 

MGTU-273

     Заражает только COM в текущей директории,  различая  их  по  имени.

     Содержит  текст  "Эта  пpогpамма  написанна в МГТУ студентом гpуппы

     ИУ4" (текст полностью скопирован из вируса).

 

LCh-488

     Заражает только   COM,   различая   их  по  имени.  Содержит  текст

     "LoveChild in reward for software sealing".  Специально настроен на

     работу  в  MS DOS-3.30,  причем из-за ошибки мгновенно вешает любую

     другую версию. Заражение производит не только загружаемых программ,

     но и при исполнении функций OPEN и RENAME,  однако содержит счетчик

     на 5000 до первого заражения. Иногда при создании файла вместо него

     создает  под  тем  же  именем  оглавление.  Самым гнусным свойством

     является  его   способность   записать   в   начало   EXE-программы

     последовательности команд,  которая полностью сотрет все содержимое

     диска. Естественно, такие модули AIDSTEST с диска стирает.

 

Loz) Вирусы,  объединяемые   под  этим  именем,  являются  расплатой  за

     популярность AIDSTEST.

 

Loz-1023, -1018

     Заражает  только   COM,  однако   заметно  желание   в   дальнейшем

     распространить   деятельность   и   на   EXE-программы.   Заражение

     происходит и  при открытии  файла на  чтение. Атрибуты и дата файла

     портятся. Главной  задачей, которую  поставил  перед  собой  автор,

     является  борьба   против  AIDSTEST.   Вирус,  как   и  большинство

     остальных, остается  резидентным в  памяти, перехватывая  обработку

     функции 4B  (загрузка программ).  При попытке  исполнить  программу

     AIDSTEST он вместо этого выдает текст:

        Welcom to demo version (C) Zherkov

        Лозинский-ДУБ , AIDSTEST - горбуха

     и  пытается  стереть  AIDSTEST  с  диска.  Для  лечения  необходимо

     работать в  чистой операционной  системе,  загружаемой  с  дискеты,

     либо, если  у вас  такой нет,  переименовать  AIDSTEST  (защита  от

     переименования  снята).   Еще  раз  напоминаю  -  имейте  копию  на

     защищенной дискете.  В вирусе предусмотрена и еще одна пакость: при

     записи на  дискету BOOT Sector  (например, при  форматизации) в нем

     заменяется на 0 параметр количества поверхностей (смещение 1A). Как

     ни странно,  исправить такую  дискету довольно трудно. Программу NU

     (Norton Utilities)  следует запустить командой "nu a: /m", причем в

     это время  дискета не  должна быть загружена, и только после начала

     работы  программы   ее  можно  загрузить.  В  противном  случае  NU

     зацикливается. Из  анализа текста  вируса видно, что автор знаком с

     довольно тонкими  возможностями MS DOS,  но применяет  их  довольно

     бессмысленно.

 

Loz-1915

     Новая версия вируса того же автора. На этот раз добавлена обработка

     EXE-программ. Пострадавшим от этого вируса могу сообщить координаты

     автора.

 

Loz-1882

     Тот же вариант с исправлением нескольких ошибок.

 

Loz-2968

     Отличается от предыдущей регулярной выдачей на экран весьма изящной

     рекламы AIDSTEST, а также тем, что не портит дискеты.

 

Loz-1922, -1958

     Почти точное подобие 2968, но без рекламы AIDSTEST.

 

Loz-2970

     Функционально подобен 2968, но с фрагментами из 1958.

 

Loz-776

     Очередная вариация  на тему "Vienna (DOS 62)". Пометка зараженности

     заменена с  62 на  58 секунд.  Автору можно быть благодарным за то,

     что он,  по крайней  мере, выкинул порчу программ и заражает только

     программы длиной от 813 до 3302. Иногда выдает сообщение:

          Я, кажется, подхватила какую-то заразу...

          Срочно звоните Дмитрию Николаевичу Лозинскому

          по телефону 292-40-76 (Москва) и приобретите

                   ПРОГРАММУ AIDSTEST !!!

 

Loz-693

     Заражает только  COM, кроме COMMAND.COM. После 224 загрузок системы

     каждые 4 минуты осыпает содержимое экрана и выдает в центре экрана:

                         Бей жидов и Лозинского

             Version d13,copyright (c) 1991 by LEV & "С.Х."

     Счетчик загрузок ведет в MBR со смещением E3.

 

Loz-2253

     Функционально подобен 1958.

 

MSTU-554/551, -532/531

     Заражает только  в  текущей  директории,  различая  их по имени.  В

     качестве   признака   зараженности   ставит   фиксированное   время

     (10:47:22).  Файлы  с флагом Read only не заражает.  Содержит текст

     "This program was written in MSTU,1990".  Думаю,  что позорит  МГТУ

     своим  безграмотным  творением  тот-же,  кто  сочинил  и  MGTU-273.

     Поскольку  никакие  проверки  длин  в  вирусе   не   предусмотрены,

     полноценное лечение всех файлов не гарантируется.

 

MSTU-1351

     Заражает COM и EXE,  резидентный. Выводит текст "Innoxious Bug 2.02

     'The Sad Flasher' (c) 1994-95 BugsoftIU7,  MSTU,  Moscow.  We offer

     our   apologies   for   possible   data   destruction.".    Bug'ов,

     действительно, много.

 

SVC) Группа вирусов  одного автора,  живущего по  имеющейся информации в

     Нижнем Новгороде. Все имеющиеся версии заражают COM и EXE. Содержат

     близко от  конца текст:  "(c) 1990  by SVC,Vers. 4.0". Корректируют

     время создания  файла, ставя  в  нем  60  секунд.  Если  зараженную

     программу загружает  DEBUG, вирус ее исправляет. При вызове функций

     просмотра каталога,  вирус корректирует  в информации  о зараженных

     программах время и длину, скрывая свое наличие в них.

 

SVC-1689, -1740

     Две разновидности  одной версии,  отличающиеся в  одном  фрагменте,

     который, кажется, так и не был отлажен.

 

SVC-3103

     Существенно переработанная  версия - 5.0, в которую добавлены новые

     старания скрыть  свое наличие  в  машине,  впрочем,  основанные  на

     известных методах.  Можно одобрить  стремление автора  не испортить

     диск при  работе программы  CHKDSK  и  не  заражать  COMMAND.COM  и

     системные модули.

 

SVC-1064

     Версия 3.1. Занимается только заражением.

 

SVC-4644

     Очередная  версия   6.0.  На   этот  раз  добавлено  заражение  MBR

     (Partition Table)  и даже  программ в  формате драйвера.  В связи с

     последним обстоятельством  при обнаружении  этого вируса необходимо

     производить чистку  с параметром /G (просмотр не только EXE и COM).

     Вставлена защита  от трассировки,  позаимствованная из  музыкальных

     вирусов. Трудолюбию  автора можно  только  удивляться.  Сколько  же

     можно тратить  сил, повторяя  давно  сделанное  другими?  Формально

     новое - заражение драйверов достаточно тривиально. Думаю, что этого

     до  сих  пор  никто  не  делал,  поскольку  этот  путь  размножения

     абсолютно бесперспективен  - драйверы  практически никогда с машины

     на машину не копируют.

 

SVC-4661

     Отличается от  4644 только  исправлением одной  ошибки -  теперь  к

     AIDSTEST.EXE приписывается  текст: "/* (c)  1990-91 by  Moscow SVC,

     Vers.". Прочие ошибки остались в неприкосновенности.

 

SVC-4677

     Весьма мало отличается от 4644.

 

SVC-2936

     Старательно переписанная версия 3103. Добавлена порча дисков 4-го и

     19-го июня.

 

SVCX-3103

     Переделка вируса  SVC-3103. Вставлена  обработка INT  13 (работа  с

     диском),  причем  весьма  безграмотно.  Используется  фиксированный

     адрес, по которому MS DOS 3.30 хранит вход в INT 13. В результате в

     остальных версиях MS DOS вирус неработоспособен.

 

SVCX-1064

     Наивная переделка SVC-1064, в надежде на усложнение его лечения.

 

SVCXX-3103

     Еще одна  малограмотная, но  весьма  гнусная  переделка.  Добавлена

     порча диска "C:", а вместо обработки CHKDSK не заражается Aidstest.

 

MLTI-830

     Заражает только COM.  Дату портит.  По пятницам  после  трех  часов

     непрерывной  работы  стирает  с  диска  все  загружаемые программы.

     Содержит тексты,  свидетельствующие о том,  что вирус изготовлен  в

     МЛТИ.  Способ фиксации в оперативной памяти заимствован из одной из

     последних версий "музыкальных" вирусов (как и в V-1049).

 

HYMN-1865, -1962, -2144

     Заражает и COM и EXE, причем не только при загрузке программы, но и

     при открытии файла,  переименовании, изменении атрибутов и даже при

     создании  нового  программного  файла.  При совпадении номера дня и

     месяца (1 января, и т.д.) портит BOOT Sector диска "C", после чего,

     довольно  фальшиво,  исполняет  Гимн  Советского Союза с выводом на

     экран саморекламы.  Особенно неприятно,  что  на  PC  XT  в  момент

     загрузки системы стоит дата 01.01.80,  и, если COMMAND.COM заражен,

     диск "C" сразу портится.  Исправить BOOT Sector диска "C" можно при

     помощи  программы NU.EXE.  Для этого ее следует запустить с дискеты

     командой "nu c:  /m", выбрать сектор 0, скопировать вручную 9 байт,

     которые стоят со смещением 1F3,  в байты со смещением 0C и записать

     сектор на диск.  Обезвредить эти вирусы в  памяти  абсолютно  чисто

     удается  только  для  версии  MS  DOS 3.30,  поскольку автор вируса

     использует некоторые особенности,  присущие только этой версии,  не

     давая,  естественно, себе труда проверить, в какой версии пакостит.

     Особенности  версий:  1865   -   записывается   в   программу   без

     модификации; 1962 - кодирует себя до записи в заражаемую программу;

     2144 -  кроме  кодирования  содержит  некоторые  хитрости,  которые

     должны  затруднить его изучение.  Еще раз советую чистить машину от

     вирусов, загружаясь с дискеты с чистой операционной системой.

 

Kuku-448

     Заражает только COM. Алгоритм поиска содран из классического вируса

     "Vienna (DOS 62)" (поиск через PATH).  Пишется  в  начало,  копируя

     старое  начало в конец.  Метит зараженные файлы во времени - ставит

     20 секунд. Ранее зараженные программы портит, переписывая первые 49

     байт.  При  запуске  такой  программы  на  экране  (только цветном)

     начинает бегать весьма остроумная надпись "Kuku!". Успешное лечение

     от этого вируса не всегда возможно. В случае сомнения в возможности

     правильного лечения программа  спрашивает  разрешение  на  удаление

     файла с диска.

 

Mgn-2048 (две версии), -2560 (три версии)

     Заражают и  COM  и  EXE.  По  имеющейся  информации  произведены  в

     Магнитогорске.    Некоторые    версии    в   определенные   моменты

     переворачивают всю информацию  на  экране,  причем  восстанавливает

     расположение  всех  рамок  и  скобок.  Другие  вместо  этого выдают

     приветствие в мой адрес или  содержат  обе  эти  шутки.  Написан  с

     большой  изобретательностью и довольно аккуратно.  В частности,  не

     заражает  сегментированные  программы.   Более   того,   в   вирусе

     предусмотрена  возможность  лечения  зараженных программ.  Остается

     только сожалеть, что автор не объявляет об этом и не воздержался от

     распространения своего  вируса.  В  одной  из  версий есть довольно

     примитивный антитрассировочный прием.  Кроме  того  она  производит

     мелкую  пакость  в  Partition  Table  на дисках,  если не ошибаюсь,

     размеченных программой DM (параметр System Code  меняет  с  50h  на

     51h).

 

Mgn6-3000

     Автор, вероятно,  надеялся этой  версией сделать большое открытие в

     области вирусологии  и поэтому оставил довольно солидное количество

     ошибок. При  этом новизна  состоит лишь  в записи  вируса в  начало

     файла, а  не в  конец. Новый  весьма патриотический  видео-эффект -

     раскрашивание экрана  в  цвета  Флага  России  реализован  также  с

     ошибкой, которая может приводить к повисанию системы.

 

Mgn7-2560

     Довольно близко к первым версиям, но использован другой транслятор.

 

Fu-417

     Заражает только COM.  Портит дату.  Приблизительно через каждый час

     стирает экран и выдает в центре текст, который не принято приводить

     в печати.

 

Tula-419

     Заражает только  COM. Портит  дату. Пишет  себя в  начало. Содержит

     текст "Tula 1990".  В  субботу  14-го  пытается  испортить  нулевой

     цилиндр диска "C:". Судя по почерку, изготовлен автором "Fu-417".

 

Tula-635

     Заражает COM  и EXE. Того же автора. Через два часа выдает на экран

     текст "Formatting drive..." и начинает читать диск. Портит атрибуты

     файлов.

 

Tula-593

     Заражает COM  и  EXE.  С  интервалом  в  2  часа  выдача  на  экран

     аналогичная Fu-417, а через 3 часа блокирует работу с дисками.

 

Tula-1480

     Заражает  COM   и  EXE.   После  каждых   50  программ   устраивает

     представление с  музыкой, включением  моторов дискетников и выводом

     на цветной экран двустишия на любимую автором тему.

 

Minsk-1075

     Заражает COM  и  EXE,  однако  различает их по имени.  Портит дату.

     Безнадежно портит сегментированные программы.  Заражает,  в отличие

     от  большинства  вирусов,  только  при открытии программного файла.

     Предусмотрена пакость против файлов DBF:  при  каждом  20-м  чтении

     вместо прочитанного блока возвращаются пробелы.

 

Minsk-825

     Заражает COM и EXE, резидентный. Изготовлен очень старательно.

 

AT-144

     Заражает только COM, резидентный. Содержит пару команд, которых нет

     в процессоре  8088, в  связи с  чем не  должен работать  на  PC-XT.

     Написан явно  способным программистом  в расчете на побитие рекорда

     длины вируса.  Должен, однако,  его разочаровать  - есть болгарский

     вирус имеющий  длину  133,  причем  без  PUSHA.  Причем  его  автор

     отличается и большей порядочностью - этот вирус существует только в

     коллекциях вирусологов.

 

AT-132

     Просто великолепно!

 

Words-1069, -1085, -1387, -1391, -1485, -1503

     Группа вирусов, изготовленных, судя по тексту в некоторых из них, в

     Киеве. Заражают  и COM  и EXE, причем последние превращением в COM.

     Резидент в середине памяти (алгоритм взят из вируса осыпания букв).

     Предусмотрена весьма  гнусная пакость  - при  записи любых файлов в

     них  переставляются   соседние  слова,   под  которыми   понимаются

     последовательности букв,  цифр  и  знаков  препинания,  разделенные

     пробелами.  Поскольку   в  качестве  букв  принимаются  и  русские,

     очевидно отечественное  происхождение. Версия  длиной  1069  портит

     дату и  атрибуты файла. В версии 1085 эти ошибки исправлены. Версии

     1387, 1391,  1485 и 1503 кодируются и в алгоритме перестановки слов

     содержат что-то дополнительное, в чем я не разбирался.

 

Hero-506, -394

     Заражает COM и EXE,  резидентный. Разновидность длиной 394 заражает

     только EXE.  По первым числам  при  загрузке  зараженной  программы

     выдает текст "С Л А В А Г Е Р О Я М !".  Некто неизвестный в порыве

     благородного гнева заменил этот текст на "АВТОР ВИРУСА -  КРЕТИН" и

     пустил дальше новую разновидность...  "И что ты смотришь на сучок в

     глазе брата твоего,  а бревна в твоем глазе не чувствуешь"  (Матфея

     7,3).

 

ATA-1150

     Заражает COM и EXE,  резидентный.  Заражает не  только  загружаемые

     программы,  но и при открытии файла, переименовании и т.д. Содержит

     тексты: "DESTRUCTOR V4.00 (c) 1990 by ATA", "The Time is my!".

 

DLk-920

     Заражает COM  и  EXE,  причем COM не короче 23000.  Резидентный.  В

     конце содержит текст "DataLock version 1.00",  рекламируя тем  свою

     способность блокировать работу с DBF-файлами. Впрочем, в этом месте

     имеется ошибка,  приводящая к непредсказуемым последствиям (не тем,

     к  которым  стремился  автор  вируса)  при  попытке  открыть файл с

     расширением DBF.

 

Flip-2343, -2365

     Заражает не только COM и EXE, но и Partition Table первого твердого

     диска.  От первой Partition диска в момент заражения  отрезается  6

     секторов. При лечении этот эффект не исправляется, что, кажется, не

     должно приводить к неприятным последствиям.  Грамотные  специалисты

     могут  это  исправить  при  помощи программы NU.  При этом придется

     прибавить  6  к  номеру  последнего  сектора  и  общему  количеству

     секторов  в  Partition  Table,  а также аналогичный параметр в BOOT

     Record  (смещение  +13).  При  наличии   экранного   адаптера   EGA

     устраивает  на  нем шутки в виде переворачивания изображений букв и

     текста на экране.  В подробностях этих шуток  пока  разобраться  не

     удалось.  Вирус  производит  еще  одну  непонятную работу:  во всех

     программных файлах ищется определенная последовательность  команд и

     ее начало заменяется на команду "INT 9F".

 

Flip-2153

     Отсутствует работа с INT 9F и не всегда - в зависимости от значения

     внутреннего счетчика в загружаемом экземпляре вируса - устраивается

     шутка с EGA.

 

Sov-1193

     Заражает только  COM.  Резидентный.  Портит  дату  файла.  Автор  -

     большой любитель  Советских праздников,  поскольку пять дней в году

     (23.02, 07.03,  22.04, 30.04  и 06.11)  вирус не  размножается, а в

     момент запуска  зараженной программы  заполняет экран вертикальными

     полосами.

 

Sov-1205

     Новая версия,  которая по  праздникам выдает  вместо полос большими

     буквами "I AM VIRUS".

 

MS-457, -550

     Заражают только COM. Плагиат из примитивного вируса "IV". Добавлена

     примитивная  шутка  на  экране,  а  в версии 550 и довольно гнусная

     пакость: порча при определенных обстоятельствах всех EXE-программ в

     текущем каталоге.

 

IBM-547

     Очередная вариация на тему "Vienna (DOS 62)".  В начале стоит слово

     "IBM".   Длину   округляет,   причем  исходную  длину  восстановить

     невозможно.

 

Invader-4096

     Заражает COM,  EXE  и BOOT Sector.  Во многих случаях через полчаса

     играет вальс Штрауса "На прекрасном голубом Дунае".  Это,  впрочем,

     не  компенсирует  того,  что  в  некоторых случаях после нажатия на

     клавиши  Ctrl+Alt+Del  он  может  затереть  все  диски  и   стереть

     содержимое CMOS (памяти для параметров конфигурации машин типа AT).

     Очень многое в этом вирусе скопировано из известного Иерусалимского

     вируса  (C).  В  том  числе,  различение  COM  и  EXE  по  имени  и

     безнадежная порча сегментированных программ. Оставлено и замедление

     работы  машины.  Вообще  написан очень длинно и скучно.  Черпать из

     него идеи для новых пакостей не советую.  SCAN опознает этот вирус.

 

Pascal-3678

     Заражает COM  и EXE во всех директориях диска, на котором находится

     зараженная  программа.  Учтите,  что  при  одновременном  заражении

     вторым вирусом, правильное лечение от этого вируса маловероятно.

 

Pascal-3680, -3779

     Отличаются  от   предыдущего  тем,   что  стараются   не   заражать

     COMMAND.COM и NCMAIN.

 

Pascal-3966

     Заражает  только   EXE  в   текущей   директории.   ВНИМАНИЕ:   при

     обезвреживании этого  вируса невозможно  восстановить  6  последних

     байт программного  файла. Поэтому  многие (возможно большинство) из

     них окажутся после лечения неработоспособными.

 

Pascal-4075

     Близок  к   3680.  Не  заражает  также  ADINF.  Добавлено  стирание

     некоторых файлов.

 

Pascal-4240

     Заражает COM  и  EXE.  С  вероятностью  1/50 меняет в BOOT диска C:

     количество головок на 1, после чего выводит текст "Smokie3 virus, я

     затер Ваш сектор,  Вы поняли ?  Y/N". С вероятностью 3/50 делает то

     же с первым гибким диском.

 

Pascal-4641

     Заражает только  EXE.  "Немножко"  портит файлы с расширениями PAS,

     BAS, TXT, BAK, PCX, MID, PIC, CUT, C, ARC, PAK, ZIP, LZH, ICE, CHZ,

     ARJ, перемещая в них 64 байта.

 

Pascal-5000

     Заражает COM и EXE. Устанавливает в системе случайное время и дату.

     Есть текст

           +--------------------------+

           | Уважаемый Игорь Данилов! |

           |Мне нравится Ваш антивирус|

           |Dr.Web,но я разочаровался,|

           |когда обнаружил,что Dr.Web|

           |3.01 неправильно лечит мой|

           |вирус SV11(HLLP.Ceib.4629)|

           +--------------------------+

      До встреч !

 

Pascal-6117

     Заражает только EXE. Поиск по всем дискам, в том числе и по второму

     гибкому,  даже если его нет.  Портит файлы "*.TXT" и  "*.  DOC".  В

     конце всех зараженных и испорченных файлов символы "RevengE". Чисто

     выводит текст "I Like this Job!" и  вешает  систему.  Из-за  ошибок

     многие зараженные файлы безнадежно портятся.

 

Pascal-6009

     Заражает только  EXE.  Отличается от 6117 текстом:  "Русский язык -

     самый Великий и Могучий!".

 

Pascal-6640

     Заражает только EXE.  Поиск во всех  каталогах  текущего  диска.  В

     конце всех зараженных файлов видно "INNA 2.4".  В 13 часов вызывает

     Print Screen.  По каким-то  датам  выводит  на  экран  "Virus  INNA

     Version 2.4" в рамке.

 

Pascal-6768

     Заражает только EXE.  Поиск по всем каталогам, начиная с корневого.

     Если  все  файлы  уже  заражены,  стирает  один  EXE-файл в текущем

     каталоге.

 

Pascal-7792

     Заражает COM  и  EXE.  Поиск по PATH и просто по каталогам.  Особое

     пристрастие к файлам,  имя которых начинается на "A".  В частности,

     заражает AUTOEXEC.BAT. Оставляет в памяти бессмысленный резидент.

 

Pascal-7808

     Заражает COM и EXE в текущей директории. Написан на Turbo-Pascal.

 

Pascal-5062

     Заражает только EXE.  Поиск в текущем каталоге.  13 августа намерен

     стереть нулевую дорожку первого твердого диска.  Среди текстов есть

     "Санкт-Петербург,  1995,  Max Hacker ( 14 years old )".  К 14 годам

     можно научиться программировать и лучше.

 

Pascal-4170

     Заражает COM и EXE.  Портит BAS-файлы,  дописывая в начало "Smokie4

     virus (c) by N5 school BISHKEK 1".  Иногда тот же текст выводит  на

     экран.

 

Pascal-7840

     Заражает только EXE.  Поиск во всех каталогах всех  дисков.  Иногда

     оставляет резидент,  который должен производить что-то с палитрой и

     выводить текст "General error:  Smoked cigarrete on hard disk  C:".

     Из-за ошибок весьма опасен.

 

Pascal-6421

     Заражает только EXE.  Поиск по всем каталогам дисков C,  D,  E.  По

     16-м  числам  выводит  текст  "ЕЛЬЦИН - ПРЕЗИДЕНТ!!!".  Может также

     выдавать тексты "School 1279",  "Path not found",  "Bad command  or

     file name", "Not enough programs".

 

Alabama-1560

     Заражает только   EXE   в   текущей  директории,  хотя  и  является

     резидентным. Выдает на экран протест против незаконного копирования

     программ и некий адрес в штате Алабама. Scan его опознает.

 

DM-400

     Заражает только  COM.  В  конце содержит текст "(C)1990 DM".  Может

     испортить некоторые дорожки первого  твердого  диска.  Версия  1991

     года диска не портит,  но портит файлы с расширением TP. Часть кода

     вируса  кодируется,  поэтому  содержащийся  в  этой  версии   текст

     "(C)1991 1.01 DM" не виден.  Третья  версия  файлы с расширением TP

     из-за ошибки не портит, а заражает как обычный COM.

 

DM-330

     Тело закодировано. Содержит текст "(C)1991 1.05 DM". Портит файлы с

     расширением TP.

 

STARSHIP-2616

     Длина переменная. В качестве его формальной длины указывается 2616,

     что является  лишь оценкой  снизу. Заражает  COM, EXE  и  Partition

     Table. Заражение  программных файлов  происходит  только  в  момент

     копирования  их  на  дискету.  Активизируется  вирус  при  загрузке

     системы с зараженного твердого диска. После лечения от этого вируса

     в  операционной   системе,  загруженной   с   дискеты,   рекомендую

     произвести перезагрузку  и повторное лечение. Автор вируса приложил

     огромные  усилия   для  того,   чтобы  затруднить   его   изучение.

     Вероятность того,  что этот  вирус приведет к большим неприятностям

     довольно мала, за что можно быть благодарным автору.

 

JOCKER-1371

     Заражает COM и EXE.  Очередной плагиат из  музыкальных  вирусов.  В

     качестве  пакости  предусмотрено  стирание файлов с расширением BAS

     (обнуление длины). Подозреваю, что такой эффект является следствием

     ошибки.   Другая   ошибка   может  приводить  к  безнадежной  порче

     заражаемых программ,  причем в случае  COM-файлов  обнаружить  этот

     факт невозможно и программы,  объявленные исправлеными, работать не

     будут.

 

Tumen-1255

     Заражает только COM.  Портит дату создания файла.  При перезагрузке

     по  Ctrl+Alt+Del  с  вероятностью  около  1/20  исполняет   мелодию

     Паганини   и  на  адаптере  EGA  меняет  палитру,  что  приводит  к

     постепенному исчезновению изображения  на  экране.  Содержит  текст

     "Tumen.,v1.2;", что, возможно, означает Тюмень.

 

Tumen-1663

     Заражает только  EXE, резидентный. Версия, судя по тексту в вирусе,

     номер 0.5. В начале и в конце большие тексты с саморекламой.

 

Some-658

     Заражает только COM.  Резидентный. Пишется в начало. Содержит текст

     "Something v1.1". По 11-м числам заменяет "AUTOEXEC.BAT", записывая

     в него пару строк:

        @del *.com

        @del *.exe

     По вторникам  в текущей директории пишет файл "SOME" нулевой длины.

     Первые четыре  и седьмой с восьмым байты исходной программы прячет,

     заменяя другими  значениями. И  откуда у  грамотных  людей  берется

     столько тупой злобы?

 

Kiev-483

     Заражает только  COM в  текущей директории.  Содержит  текст  "Kiev

     1990".

 

Kiev-2048

     Заражает EXE  и BOOT  диска C. Активизируется только при загрузке с

     зараженного  диска,   причем  применяет   совершенно   оригинальный

     алгоритм. Поскольку  часть  тела  вируса  и  исходный  Boot  Record

     записываются в сектора, помеченные как занятые, но не принадлежащие

     ни одному файлу, после работы программы CHKDSK или NDD лечение Boot

     Record,  а   также  и   загрузка  с   диска,  скорее  всего  станут

     невозможными. На  успешность лечения  EXE-файлов это  не  повлияет.

     Иногда при  загрузке системы  в четвертом часу дня немного фальшиво

     играет Гимн Советского Союза.

 

mutant-1744

     Заражает COM  и EXE,  но может заразить далеко не каждую программу.

     Некоторые  программы   может  заражать   несколько  раз  (например,

     COMMAND.COM два  раза). Длину  не меняет. Внешне, если не ошибаюсь,

     проявляется тем, что каждые два часа издает звук случайной частоты.

     Имеются существенные заимствования из "музыкальных" вирусов.

 

mutant-1680

     Слегка модифицированная версия. Мне было бы очень интересно узнать,

     является  ли  она  авторской,  или  продукцией  "гения",  сумевшего

     разобраться в этом вирусе.

 

TAIWAN-2900

     Весьма похож  на Invader.  Отличается тем,  что не  заражает BOOT и

     исполняет другую  мелодию  (на  этот  раз  идентифицировать  ее  не

     удалось). Питает  лютую ненависть к Autocad. При попытке исполнения

     ACAD.EXE начинает стирать все диски. Scan опознает его как "TAIWAN3

     [T3]".

 

PRTSCR-1024

     Заражает только  COM. Для  внутренних надобностей  использует INT 5

     (BIOS функция  Print Screen),  в связи  с чем,  при  наличии  этого

     вируса в памяти, попытка распечатать экран вызывает непредсказуемые

     последствия.

 

IFS-361, -377

     Две разновидности  очередного примитивного подражания классическому

     вирусу  "Vienna".   Заражают  только   COM  в  текущей  и  корневой

     директориях. Пометка  о зараженности  ставится не  в секунды,  а  в

     определенные разряды даты.

 

Chemist-650

     Заражает только  COM.  Записывается  в  начало.  Спрятанное  начало

     кодирует. Содержит  текст "Химик  & Слон".  При запуске  зараженной

     программы в  третью минуту  каждого часа  переводит экран  в  режим

     40x25 и выдает текст "Video mode 80x25 not supported".

 

Feist-670

     Заражает COM  и  EXE.  Содержит  текст  "R.Feist".  Размещается  по

     сегментному  адресу   97F0,  не  пытаясь  защитить  эту  память  от

     повторного использования.  Как ни  странно,  до  повисания  системы

     иногда   успевает    что-нибудь   заразить.    Очередной    продукт

     непреодолимого желания срочно облегчиться.

 

DADA-1356

     Заражает только  EXE. Дату файла портит. Программы с атрибутом Read

     only не  заражает. Резидентный.  В конце содержит текст "да,да...".

     Временами циклически сдвигает на экране символы в строках.

 

AIDS-552

     Заражает только  EXE. Все  прочие  файлы  (не  только  программные)

     портит. Испорченные  COM  при  запуске  выдают  на  экран  большими

     буквами из мерцающих точек слово "AIDS".

 

XPEH-4016

     Заражает COM  и EXE  после марта  1991. Не  заражает COMMAND.COM  и

     AIDSTEST. Кроме  того, начиная с сентября 1991, будет портить файлы

     с расширениями  TXT, LEX, BAK и без расширения, прибавляя по модулю

     2 ко  всем  четверкам  байт  значение  90958D85.  В  альтернативной

     кодировке это  должно означать  "ХРЕН", хотя  и  с  переставленными

     буквами. Упоминание  этого  овоща  встречается  и  в  другом  месте

     вируса. Основная  часть вируса  очень добросовестно  переписана  из

     "M2C". На  этот раз  плагиат на  грани гениальности - скопированы и

     все тонкие антитрассировочные возможности.

 

XPEH-4048

     Активизируется в  июле вместо  марта, а  пакости в текстовых файлах

     планирует начать в ноябре.

 

XPEH-3600

     Активизация начиная  с мая.  Отсутствуют  все  упоминания  любимого

     овоща, а также порча текстовых файлов.

 

XPEH-4928

     Активизируется независимо  от даты.  Старается  скрывать  удлинение

     зараженных файлов  корректировкой  длин  после  исполнения  функций

     поиска в каталоге. Кроме того, из абсолютно непонятных соображений,

     при загрузке  COMMAND.COM с  параметром "/C DIR ..." самостоятельно

     выдает каталог  на консоль,  причем не  вполне корректно. Например,

     если задать  в качестве  параметра имя подкаталога, будет выдано не

     его содержимое,  а только  он сам.  Начиная с  1992 года  по  дням,

     которые совпадают  с номером  месяца, (1  января, 2 февраля и т.д.)

     собирается стирать  содержимое 1-го  твердого диска,  предваряя это

     сообщением:

        Если у вас есть индикатор работы с жестким диском

         и он горит, то форматизация диска близится к концу

         Большой привет

     Одного мне так и не удалось понять - откуда в людях берется столько

     тупой злобы.

 

XPEH-5808

     Дальнейшие попытки  так запутать  алгоритм кодирования, чтобы никто

     не разобрался.  Стирание диска не предполагается. Имеется текст: "В

     связи  с   получением   работы   выпуск   новых   ХРЕНов   временно

     приостанавливается.     1991-  МФТИ(77)".  Можно  представить,  что

     произойдет, если  этот ХРЕН  решит, что  заказчик его  обидел. Ведь

     против подлости программиста пользователь абсолютно беззащитен.

 

XPEH-3840

     Одна из  ранних версий.  Порча текстовых  файлов  имеется,  но  при

     помощи двухбайтового кода 9095.

 

XPEH-5856

     Отличается от  5808 странным пристрастием к программам, имя которых

     оканчивается на "SAFE" - у них первый байт меняется на команду RET.

     Обещание приостановить свою деятельность присутствует.

 

XPEH-5648

     Промежуточный вариант между 4928 и 5808. Еще содержит порчу диска и

     уже - дополнительное кодирование.

 

XPEH-4752

     Отличается от 4928 отсутствием порчи дисков.

 

SEAT-1614

     Заражает COM  и EXE.  При наличии  адаптера EGA  или VGA,  после 15

     успешных  заражений   в  одном   сеансе  в   центре  экрана  выдает

     изображение зада с мультипликационным и звуковым эффектами.

 

SEAT-1868

     Отличается от 1614 наличием кодирования тела вируса.

 

SEAT-2389

     Отличается ускоренным  заражением - в процессе просмотра каталога и

     более  редким   появлением  зада.  Содержит  пару  наивных  попыток

     усложнить лечение.

 

Sistor-2380

     Заражает COM  и EXE.  Есть основания  подозревать, что данный вирус

     является представителем  целого семейства.  После десяти  заражений

     происшедших после  16 часов  на цветном  экране появляется бегающий

     мячик,  иногда  выбивающий  строчные  латинские  буквы  (по  образу

     осыпающихся букв). Судя по коду, предусмотрен и звуковой эффект, но

     мне услышать его не удалось. Слово "Sistor" стоит в конце вируса, а

     за ним  самый последний  байт (05) обозначает, судя по всему, номер

     версии вируса.

 

Sistor-2225

     Версия 4.  Отличается весьма  удивительным методом определения кода

     MS DOS функции.

 

Sistor-1000

     Версия 1.  Только размножается.  Алгоритм  сравнения,  при  котором

     значения, например, 4Bh и 0Bh неразличимы, появился в этой версии и

     продержался до четвертой.

 

Sistor-1149

     Версия 2.

 

Sistor-2630

     На этот  раз автор забыл вставить в конец слово "Sistor", в связи с

     чем  заражение  происходит  многократно.  Настоятельно  советую  до

     изготовления следующих  версий поучиться программированию, чтобы не

     использовать 10 команд там, где вполне достаточно двух.

 

Sistor-2605

     Существенно  переработана.   Добавлен  видеоэффект,  работающий  на

     адаптерах типа EGA/VGA, под заглавием "Welcome to new Digger-virus.

     (Sistor)".

 

Sistor-3009

     Версия 8.  Кроме видеоэффекта с шариком добавлена шутка при попытке

     перезагрузки  по  Ctrl+Alt+Del.  На  экране появляется надпись "(C)

     AWARD.  IBM compatible ROM  BIOS  Ver  2.03",  пару  раз  дергаются

     головки дисководов, после чего система виснет.

 

Siskin-1017

     Заражает COM и EXE. По 7-м числам через каждые 30 минут исполняет 3

     мелодии, в том числе "Чижик-пыжик".

 

Siskin-948

     Мелодии только две.

 

TEQUILA-2468

     Заражает  EXE   и  Partition  Table  первого  твердого  диска.  При

     заражении Partition  Table прячет  его исходное  содержимое и  свое

     продолжение в  последних шести  секторах логического  диска. В этом

     месте можно обнаружить текст:

          Welcome to T.TEQUILA's latest production.

          Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.

          Loving thoughts to L.I.N.D.A.

          BEER and TEQUILA forever

     Вирус активизируется только при загрузке с зараженного диска, а при

     запуске зараженной программы происходит только заражение диска.

 

MANOVAR-921

     Заражает EXE и COM. Резидентный. COMMAND.COM может заражать дважды,

     причем при  первом заражении  не  изменяет  длину.  При  исполнении

     функции OPEN  для программных  файлов (COM,  EXE) меняет  режим  на

     Read/Write, а  в момент  закрытия файла  пытается его  заразить.  В

     конце содержит текст "Dark Lord, I summon thee MANOVAR".

 

KBbug-1596

     Заражает EXE и COM. Способ перехвата функций MS DOS ориентирован на

     конкретные версии  операционной системы,  в связи  с  чем  возможны

     непредсказуемые  последствия  в  новой  или  нестандартной  версии.

     Изменение длины  при заражении  может отличаться  от базовой на 57.

     Каждые 15 минут посылает в буфер клавиатуры 10 случайных кодов.

 

KBbug-1720

     Отличается увеличением  интервала между  пакостями до  20  минут  и

     приближением к  полному маразму  использования  свойств  конкретной

     операционной системы.

 

KBbug-895

     Заражает только  COM. Скорее  всего это первая версия вируса. Шутит

     не с  клавиатурой, а  с экраном  - периодически  меняет на  нем все

     символы "0"  на "9",  однако при этом не проверяет ни тип монитора,

     ни режим работы. Сообщения об ошибках обмена не блокирует.

 

KBbug-2662

     Шутки с  адаптером EGA  производит в  понедельник  после  25-го.  В

     пятницу 13-го  меняет местами  входы INT  25 и 26, что скорее всего

     приведет к  серьезной порче  содержимого дисков.  Как и большинство

     гнусных  вирусов,  содержит  многочисленные  ошибки,  приводящие  к

     быстрому повисанию системы.

 

KBbug-1568

     В начале второго часа после загрузки блокирует клавиатуру.

 

JEWS-513

     Заражает  EXE   и  COM.   Отличается  гнусной   способностью  после

     определенного числа  запусков зараженной программы портить на диске

     "C:" Boot  Record и  следующие 7  секторов (начало FAT). При этом в

     начале Boot Record оказывается текст "Jews NEVER surrender!".

 

JEWS-2339

     Заражает COM,  EXE и  драйверы. Относительную  новизну представляет

     стратегия его  деятельности. При загрузке из COM- или EXE-программы

     он только заражает все драйверы, обнаруженные в CONFIG.SYS на диске

     "C:", а  резидентным становится  только  при  загрузке  зараженного

     драйвера. Став резидентным, лечит все программы на твердых дисках и

     заражает на гибких. Его главная опасность заключается именно в этом

     лечении. Дело  в том,  что как  признак зараженности  он использует

     классические 62  секунды и  в процессе  лечения не проверяет ничего

     другого. В результате, программы, у которых этот признак остался от

     других  вирусов,   оказываются  залеченными   до  смерти.  Внешними

     приметами являются  текст "JEWS-2  Virus. MSU  1991"  и  исполнение

     позывных радиостанции  "Маяк" вместе  с сигналами точного времени в

     конце каждого часа.

 

JEWS-2370

     Несколько подправленная версия 2339.

 

Penza-700

     Заражает  EXE  и  COM.  Довольно  часто  выдает  на  консоль  текст

     "Welcome to Penza!".

 

Penza-1210

     Заражает EXE  и COM. Плагиат из "музыкальных". При наличии вируса в

     памяти в  момент запуска  любой программы  с вероятностью  1/32  на

     консоль выдает текст "Best whished from Penza!".

 

BootEXE-452

     Заражает некоторые EXE-программы и Boot Sector. Заражая Boot Sector

     прячет старое  содержимое на гибком диске в 0/1/3, а на твердом - в

     0/0/11. При  заражении EXE-программ  использует свободное  место  в

     Relocation Table,  причем  заражение  происходит  только  если  оно

     имеется в достаточном количестве. Длина программы не меняется.

 

BootEXE-451

     На твердом диске прячет старый BOOT в 0/0/12.

 

BootEXE-443

     На дискетах емкостью кроме 360 Кб старый BOOT не сохраняет.

 

BootEXE-444

     На всех   дисках  прячет  старый  BOOT  в  последнем  секторе  Root

     Directory.

 

SADIST-1434

     Заражает только EXE на текущем диске путем поиска по каталогам. Для

     маскировки повторяет  в конце  файла последние  96 байт  заражаемой

     программы.  Название   авторское  -   хранится  в  конце  вируса  с

     инвертированными битами и применяется им для своего опознания.

 

SUM-1233, -1232

     Заражает только  COM. Резидентный.  Очень похоже, что автор намерен

     начать  этим   вирусом  большое   семейство  по  образу  и  подобию

     музыкальных вирусов.  А не  лучше ли  передумать и  заняться  более

     полезным делом?!  Версия 1.01 отличается на 1 байт в длину и в паре

     мест собственно  номером версии.  Переименование  из  "V"  в  "SUM"

     вызвано наличием уже вируса V-1232.

 

SUM-1569

     Новая версия  2.00 того  же вируса.  На этот  раз автором  одержана

     большая победа  - заражаются  и EXE-программы.  Большая  просьба  к

     автору этого  вируса, как  и ко  многим остальным, - не выпускать в

     свет вирусы  с такими  грубыми ошибками.  Мне жаль  тратить  лишнее

     время  еще  и  на  оживление  ваших  вирусов  из  неработоспособных

     программ.

 

SUM-3022

     Версия 2.01.  Содержит пространное послание ко мне. Главная ошибка,

     резко снижающая работоспособность вируса, не исправлена.

 

Lip-286

     Заражает только  COM в  текущем  каталоге.  В  определенный  момент

     выдает  на   экран  текст   "(C)RomlSoft(LipPI)1991"   и   пытается

     уничтожить содержимое  текущего диска. Как обычно, чем примитивнее,

     тем злее.

 

Rust-1710

     Заражает и  EXE и COM, причем последние, только если они начинаются

     с JMP.  Не заражает  COMMAND.COM и  AIDSTEST.EXE (я очень тронут!).

     Начиная с  13 числа до конца месяца при загрузке программ исполняет

     3 ноты.  Содержит закодированный  текст "(C) Dialogue, Rust. 1991".

     Scan опознает как "Alfa [Alf]".

 

Write-1514/1554

     При заражении  COM длина  1554, а EXE - 1514-1529. Имеет гнуснейшую

     пакость -  начиная с  сентября при любой записи на диск (точнее при

     исполнении функции  WRITE с  номером файла  больше 4) адрес области

     данных в памяти сдвигается на 8. Scan опознает как "1554".

 

Write-474

     Заражает только  EXE,  резидентный.  Не  заражает  файлы,  в  имени

     которых есть "AI". После 12 июля 1994 года будет безнадежно портить

     всю информацию,  записываемую на диски - менять во всех блоках по 2

     первых и последних байта.

 

Write-488

     Заражает только EXE,  резидентный.  Блокирует вывод на принтер. При

     операциях  записи  не  в конец файла отрезает все продолжение.  Мне

     кажется,  что автор  не  предвидел  такого  эффекта,  а  планировал

     портить всю записываемую информацию.

 

Write-2320

     Заражает COM  и  EXE,  резидентный.  Часто  сдвигает  на   1   байт

     информацию, записываемую на диск, причем, по пятницам в четыре раза

     чаще.

 

DUSHANBE-458

     Очередной плагиат  из "Vienna". Впрочем, автор не сумел разобраться

     в обработке  PATH и  поэтому заражает  только в  текущем и корневом

     каталоге. Есть, впрочем, и личный вклад - вместо 62 секунд делается

     13-й месяц.  В конце  содержит текст "DUSHANBE M&A!". Scan опознает

     как "W13".

 

Sverdlov-921

     Заражает  и   COM  и  EXE.  При  заражении  EXE  безнадежно  портит

     сегментированные (алгоритм  Иерусалимского). Портит  время. Через 1

     час после загрузки исполняет начало траурного марша Шопена и уходит

     на перезагрузку системы.

 

Sverdlov-1064

     Заражает и COM и EXE. Не заражает программы, имя которых начинается

     на "AI"  или "SC", а также имеющие длину 25307 или 25312. Очевидно,

     имеется  в   виду  COMMAND.COM   из  PC DOS 3.30,   в   том   числе

     "вакцинированный"  при   помощи  TNTVIRUS,   дописыванием  в  конец

     "MsDos". Содержит в конце текст: "(C) 1991 by CHR,Sverdlovsk".

 

Sverdlov-1228

     Отличается от  предыдущего наличием  перехвата ввода  с  клавиатуры

     (INT 9).  При обнаружении  комбинации Ctrl+Alt+Del  выдает в центре

     экрана текст:  "Recommendation for  restart make  use of  RESET"  и

     блокирует дальнейшую работу (перезагрузку).

 

Tetris-552

     Заражает  только   COM,  резидентный.   Содержимое  всех  файлов  с

     расширением .PRG замещает текстом

        ?"PLAY TETRIS,HI-HI-HI"

 

ChDir-783, -788

     Резидентный. Заражает  все COM-файлы  в текущем  каталоге в  момент

     исполнения DOS функции CD (CHDIR).

 

ChDir-523

     Заражает COM и EXE,  резидентный.  Неизлечим.  Не  заражает  только

     файлы, имя которых начинается на "C", и длинее 64K.

 

Tired-1740

     Заражает COM  и EXE. Длина может превышать номинальную на 31 (пишет

     от 0  до 31  байта после себя). Может выдать текст: "I think you're

     tired to  the bone. You'd better go home." и перезагрузить систему.

     Имеет хитрый  список 16-ти программ, которые не следует заражать, -

     сравнение ведется  по сумме  первых 16-ти  слов и  значению второго

     слова программного файла. Scan опознает как "Alfa [Alf]".

 

CROSS-734

     Заражает  только   COM.  Пишет   себя  в   начало.  Старое   начало

     переписывается в конец, причем первые 16 байт кодируются при помощи

     значений, взятых  из конца  BIOS. В  связи с этим, успешное лечение

     скопированных файлов  гарантировано только  при  совпадении  версии

     BIOS. При  запуске зараженных  программ на PC с другой версией BIOS

     включается часть вируса, выводящая в начале каждого часа на цветной

     экран на  мигающем фоне  красный диагональный  крест с  надписью  в

     центре "VINDICATOR".  В связи  с  тонкими  свойствами  процессоров,

     вирус работоспособен только на PC-XT.

 

Ghost-1963

     Заражает COM  и EXE. Не изменяет длину заражаемого файла, используя

     алгоритм, впервые  появившийся в V-512. Весьма аккуратно обеспечена

     "невидимость" вируса,  однако его  наличие  сразу  проявляется  при

     использовании  CHKDSK   в  виде   большого   количества   сообщений

     "Allocation error,  size adjusted.".  Как и в случае V-512, лечение

     скопированных файлов  невозможно. Столь  же безнадежной  становится

     ситуация и  после использования  CHKDSK с  параметром /F  или  NDD.

     Впрочем, если  AIDSTEST не предлагает стереть файл, вероятность его

     полноценного восстановления  достаточно велика. Никакие специальные

     пакости не предусмотрены. Scan опознает как "1963 Virus [1963]".

 

Ghost-1447

     Заражает COM  и EXE.  Накакого родства  с предыдущим  нет. B данном

     случае имя  отражает наличие  в вирусе  текста "MINSK  GHOST,1991".

     Типичная продукция  любителя ковыряться в системе. Потуги автора на

     открытия оставляют  довольно комическое  впечатление.  Используются

     абсолютные адреса действительные только в версии 3.30, одновременно

     с бессмысленным  копированием из  чужого вируса приема, дающего тот

     же  результат.  Зараженные  файлы  метятся  "невидимой"  меткой  62

     секунды, и  при этом портится дата - всегда ставится 07.13.82 (13-й

     месяц). Перехватываются  функции поиска  в  каталоге  чтобы  скрыть

     изменение длины, но при этом учитывается только базовая длина, в то

     время как истинная длина варьируется в диапазоне 1447-1483.

 

Day7-839

     Заражает COM  и EXE. В качестве буфера использует видео память, что

     иногда приводит  к безнадежной  порче программ вместо заражения. По

     7-м  числам  каждого  месяца  примерно  через  25  минут  исполняет

     мелодию, идентифицировать которую мне не удалось.

 

Day7-978

     Заражает COM,  резидентный.  Не меняет длины заражаемого файла,  но

     может заразить не все.

 

IMP-1445

     Заражает только  COM. Для  "невидимости" при  загрузке  программ  и

     перед открытием  программных файлов  их  лечит,  а  затем  повторно

     заражает. При  просмотрах  каталога  корректирует  длину.  Содержит

     текст "Crazy imp v2.0".

 

IMP-1402

     Пишется в начало. "Crazy imp v1.5".

 

MIX-1618

     Заражает   только   EXE.   Атрибут   Read   Only   стирает   и   не

     восстанавливает.  Отличается   наличием  букета   милых   шуток   -

     перекодировка символов,  выдаваемых на  принтер и  последовательные

     порты,  замена   символов  на  экране,  переключение  регистров  на

     клавиатуре. Виден  почерк молодого  дарования  с  большим  чувством

     юмора.

 

MIX-2280

     Заражает COM  и EXE.  Добавлена обработка  ошибок  обмена.  Пакости

     переработаны, но не принципиально.

 

Enola-1183/1312

     Заражает COM и EXE,  резидентный.  В начале виден текст "Enola  Gay

     ver.2.01  (C)  1994  by  HPR  Lab.",  а  в  конце  "Accidents newer

     happen...".

 

Enola-1864

     Заражает COM  и EXE.  Не работает в стандартных версиях MS DOS. Для

     его активации достаточно, например, наличия резидентного антивируса

     или другой программы, перехватывающей INT 13. Содержит текст "Enola

     Gay is  now flying  to SoftPanorama  !". После  некоторого  времени

     начинает перезагружать  систему или  распечатывать экран, а затем и

     портить случайные сектора на диске "C:".

 

Enola-2430

     В дни, когда номер дня равен удвоенному номеру месяца, пишет в BOOT

     диска A: программу, выводящую на экран: "Long Live KOBA JUGASHVILI,

     The Chief  Of All  Times And  Nations !". Впрочем, до этого вряд ли

     дойдет дело,  поскольку каждый  час  на  диске  портятся  случайные

     сектора или диск C: стирается целиком. Также содержит текст: "Enola

     Gay LIVE!  and  now  flying  to  SoftPanorama!    Version  1.9  (C)

     ViruSoftPanorama 1990-91 "

 

Find-1575

     Заражает COM  и EXE  при исполнении  MS DOS функций  Find FCB (11h,

     12h). При каких то условиях возможно проползание по экрану зеленого

     "червяка". Scan опознает как "1575".

 

Find-512

     Заражает только  EXE в текущем каталоге в момент исполнения функций

     FIND (4Eh, 4Fh).

 

Find-600

     Заражает только EXE,  резидентный. Развитие 512 - текст закодирован

     с применением довольно наивного средства борьбы с трассированием.

 

Find-229

     Заражает только COM, резидентный. Заражает файлы в текущем каталоге

     в момент исполнения функции Find Next (4Fh).

 

Find-610

     Заражает только EXE,  резидентный.  Частично невидимый. Виден текст

     "[BigX]".

 

Find-3000

     Заражает только  COM,  резидентный.  Поиск  в  текущем каталоге при

     исполнении  всех  четырех  функций  поиска  и  изменении   текущего

     каталога. Из 3000 байт длины больше 2000 - мусор.

 

Liberty-2857, -2867

     Заражает COM,  EXE и  Boot гибких  дисков. При  загрузке вируса  из

     программы заражение Boot происходит только при переполнении диска в

     момент  заражения   программы.  После   загрузки  вируса   из  Boot

     активизируется  его   дальнейшее  Boot-размножение  и  замена  всей

     информации, идущей  на печать,  через последовательные  каналы и на

     экран через  BIOS на  повторяющееся слово  "MAGIC". Зараженные COM-

     файлы содержат  в начале  текст: "  - M Y S T I C -  COPYRIGHT  (C)

     1989-2000, by SsAsMsUsEsL" и отдельно слово "Liberty".

 

NOMEN-1024

     Заражает COM  и EXE.  В начале  содержит слово  "Nomenklatura", а в

     конце фразу  на болгарском языке. Весьма опасен способностью иногда

     менять местами пару элементов сектора шестнадцатибитового FAT.

 

DCR-1168, -1280, -1480

     Все заражают  COM, а  1480 и EXE. Заражение производится поиском по

     каталогам. Иногда  пытается форматировать  диск "C:", причем выдает

     текст "DATACRIME VIRUS ...". COM-файлы лечатся полностью успешно, а

     при  лечении   EXE  невозможно  восстановить  стековые  регистры  и

     исходный  размер   файла.   Сегментированные   программы   портятся

     безнадежно.

 

Hard-662

     Заражает только  COM, резидентный. Весьма опасен - по понедельникам

     после полудня  выводит на  экран текст  "It's hard  days night!"  и

     стирает на всех дисках, начиная с "C:", по 50 первых секторов.

 

Mini-145

     Заражает только  COM, резидентный.  Сделан довольно изобретательно,

     но рекорд длины, к которому явно стремится автор, не побит.

 

Mini-145, -146, -150

     Еще три  вируса, по-видимому,  того же  автора. Два вируса Mini-145

     являются совершенно различными, хотя в протоколе неразличимы.

 

Mini-127

     Заражает только  COM, резидентный. Безнадежно портит все заражаемые

     программы, если машина имеет память 512 Кб или меньше.

 

Mini-140

     Не работает на 8088.

 

Mini-143

     Заражает только COM, в начале которых стоит команда JMP.

 

Mini-122, -128, -129, -130, -131, -132, -137, -152, -157, -160, -164,

    -169, -178, -184, -185, -187, -212, -261, -264

     Заражают только COM, резидентные.

 

Mini-200

     Заражает только COM,  резидентный.  Даже  сохраняет  дату  создания

     файла!

 

Mini-207

     Заражает только COM,  причем в текущем каталоге.  Не  меняет  длину

     заражаемого файла.

 

Mini-239

     Заражает только COM, резидентный. Содержит удивительно безграмотную

     попытку портить диск A:.

 

Mini-286

     Заражает только COM,  резидентный.  При  заражении  довольно  часто

     издает писк и выводит на консоль слово "VIRUS".

 

Korea-1947

     Заражает COM  и EXE.  Полностью плагиат  из DARK  AVENGER вместе  с

     порчей секторов  диска. В  связи с этим весьма трогательно выглядит

     нравоучительный текст  в начале  вируса: "If you are a thieve man ,

     virus lives...somewhere  always!You must  become good  man!". Кроме

     того  в  конце  имеется  текст:  "This  program  was  adjustted  in

     'Commputer Home' of KOREA (C) 1988-89 ,LSR+KYL".

 

Korea-1347/1417

     Заражает COM и EXE, резидентный. Есть закодированный текст "[I am a

     Wanderer,May 30th,1994 Korea]".

 

Korea-1448/1502

     Заражает COM и EXE,  резидентный.  В воскресенье может стереть BOOT

     (MBR) текущего диска,  записав в него "[The Wanderer, June 5th,1994

     Korea]".

 

Estonia-1712/1716

     При заражении  COM длинa  1716, EXE - 1712. Плагиат из музыкальных,

     причем не  вполне грамотный.  По понедельникам  в  14:00  выдает  в

     центре экрана:  "Independent  Estonia  presents",  играет  "Собачий

     вальс" и  перезагружает  систему.  Большая  честь  для  независимой

     Эстонии!

 

Attn-629

     Заражает только  COM в  текущем каталоге.  Предельно примитивный  с

     ошибками, приводящими  к повисанию системы. Предусмотрена выдача на

     консоль текста:  "Attention! I'm  virus",  но  это  событие  крайне

     маловероятно. Предполагается Запорожское происхождение.

 

Problem-863, -856

     Заражает COM и EXE. Утверждают, что может "заражать" и другие файлы

     (данных), но  мне такой  возможности обнаружить не удалось. Написан

     довольно изобретательно - в стиле программирования на ламповых ЭВМ.

     В конце содержит текст "THIS IS YOUR PROBLEM !".

 

Problem-734

     Заражает только EXE. Текст в конце отсутствует.

 

Problem-845

     Заражает COM и EXE. В конце текст "dATA kILLER !".

 

Problem-857

     Заражает COM   и  EXE,  резидентный.  Переделка  вируса  1992  года

     "Problem856".  Главное достижение - замена текста в  конце  на  "by

     Mojo Risin for 1605".

 

SeaCat-160

     Заражает только  COM в  текущем каталоге,  причем зараженным файлам

     ставится атрибут  Read Only.  Если убрать  этот атрибут, происходит

     повторное заражение.  По моей  информации, этот  вирус изготовлен в

     Омске, причем  был мне  прислан в начале 1991 года авторами. Теперь

     он появился  из независимого  источника, что  наводит  на  грустные

     размышления.

 

Phx (PHOENIX)

     Серия вирусов одного автора (Болгария).  Почти все заражают  только

     COM,  причем многократно. Резидентные, причем для перехвата функций

     MS DOS используют весьма  оригинальный  прием.  Все  кодируют  свое

     тело,  причем  сама  подпрограмма  раскодировки  случайным  образом

     варьируется во всех версиях, кроме 800. Прочие особенности версий:

 

Phx-800, -1226

     Содержат текст "Live after Death".

 

Phx-965

     Заражает COM и EXE.  Задумана весьма гнусная пакость - порча одного

     бита в отдельных байтах при записи в файл, однако, реализация этого

     не вполне удачна.

 

Phx-1302

     Содержит текст "Proudly made in Sofia".

 

Phx-1701

     Содержит текст "The evil that men do lives on and on...".  В памяти

     восстанавливает на 1 байт меньше, чем портит при заражении, в связи

     с чем зараженные программы могут работать неправильно. Заражает EXE

     -программы   фрагментом   длиной   121   байт,   который,  сохраняя

     биологическую  терминологию,  следует  назвать  "токсином".  Он  не

     способен к самостоятельному размножению, но при отсутствии в памяти

     породившего его вируса,  или  одного  из  его  братьев,  уничтожает

     информацию  на  всех  доступных  твердых  дисках.  При лечении этот

     токсин обозначается как "Phx-121".

 

Phx-1704

     Содержит текст "PHOENIX". Порождает токсин "Phx-132".

 

Phonix-927

     Заражает COM и EXE,  резидентный.  В "черную  пятницу"  стирает  14

     цилиндров  первого твердого диска и выводит на консоль "PhФnix". Не

     проверяет сигнатуру EXE-файлов.

 

Jassy-778

     Заражает COM и EXE, кроме COMMAND.COM. Перехватывает INT 17 (работа

     с принтером)  и стирает  8-й  бит  из  всех  передаваемых  на  него

     символов. Утверждают,  что обнаружили  его в  Ясском  университете.

     Scan опознает как "Mannequin [Mn]".

 

Ninja-1376

     Заражает COM  и EXE.  Приписывает до  себя и  после случайные куски

     длиной  до   255,  в  связи  с  чем  изменение  длины  варьируется.

     Восстановить исходную  длину  файла  невозможно,  поскольку  нельзя

     определить величину  добавки до вируса. С вероятностью 1/256 вместо

     заражения портит  программу таким  образом,  что  она  при  запуске

     выдает на  экран текст:  "Mutant Ninja  Version 2.0  Copyright  (C)

     1990,91 Virus&Worm  Software". Исправить  их невозможно.  Поскольку

     никакого нового  вреда они нанести не могут, в AIDSTEST их удаление

     не вставлено  - можете  стереть их  самостоятельно. По  13-м числам

     1992 года  портит информацию на диске "C:". Не заражает COMMAND.COM

     и AIDSTEST.

 

Maxi-2332/2859

     При заражении  COM имеет  длину  2332,  а  EXE  -  2859.  Из  каких

     соображений делается  разная длина  понять невозможно.  Не заражает

     COMMAND.COM. Написан  удивительно длинно  и нудно.  Содержит немало

     абсолютно ненужных  хитростей. Например,  переименовывает  файл  до

     заражения, задавая случайное имя, а после заражения переименовывает

     обратно. Кроме  традиционного заражения  при  загрузке  и  открытии

     файлов, ищет  объекты для заражения в каталогах, включенных в PATH,

     причем  занимается   этим,   используя   простои   MS DOS.   Портит

     сегментированные  программы,  поскольку  использует  "Иерусалимский

     метод" -  длина файла  берется из  EXE-заголовка.  И  когда  же  вы

     перестанете передирать худшие образцы?!

 

Andryushka)

     Пока обнаружено две разновидности этого вируса. Различия между ними

     даны ниже.  Оба заражают  и COM  и EXE.  Длины вирусов  могут  быть

     больше номинальных  на 128.   Заражение  происходит не  только  при

     непосредственном обращении  к программному  файлу, но и в некоторые

     моменты поиском  в текущем  каталоге. Через  некоторое время  после

     заражения системы вирус может испортить диск, после чего под музыку

     выдаст на  экран саморекламу  - в рамке текст: "Hello!!! My name is

     Andryushka I come from Perm,USSR".

 

Andryushka-3536

     Заражение EXE  делает по COM алгоритму, причем только в том случае,

     если длина  зараженного файла  не выйдет  за 64K.  Из-за  ошибки  с

     вероятностью  чуть   меньше   1/2   делает   зараженную   программу

     неработоспособной, причем,  когда я запустил такую программу она не

     тилько повесила систему, но при этом также испортилась дискета. Это

     произошло, скорее  всего, из-за  порчи системных  таблиц в  памяти.

     Лечатся такие файлы успешно.

 

Andryushka-3568

     Заражение EXE  происходит по  стандартной схеме  - с  заменой точки

     входа в EXE-заголовке, причем допускается произвольная длина файла.

 

Tim-1600

     Заражает COM  и EXE,  щадя только BACKUP.COM. После 6000 нажатий на

     клавиши пытается  блокировать команды  записи  на  диски.  Содержит

     слегка закодированный  текст "Hi  to Eastern  Digital.Greetings  to

     Mister  L.______  to  Mihai  Sirbu  --  MicroTimSoft.  "  (пришлось

     опустить одно не вполне приличное слово).

 

TimA-1600

     Новая версия  вируса Tim-1600.  Отличается отсутствием блокирования

     записи на  диск, но  зато при  первом нажатии  на клавишу  "Delete"

     выдает в центре экрана весьма остроумное приветствие в рамке.

 

Hi-460

     Заражает только  EXE. Не  заражает сегментированные.  Опознает свое

     наличие в  файле по  паре байт "Hi", которые находятся за 8 байт от

     конца.

 

Tiny)

     Под  этим  именем  объединяются  вирусы,  создаваемые  для  побития

     рекорда размера  вируса. Если  не  будет  указано  специально,  все

     вирусы этой группы заражают только COM и резидентные.

 

Tiny-198, -167, -160, -159, -158, -156, -154, -143, -138, -134, -133

     Болгарского производства.  Сделаны весьма  изящно.  Все  используют

     только команды процессора 8088.

 

Tiny-132

     Работает на всех процессорах.

 

Tiny-122, -118, -114

     Произведены, скорее  всего, в  Москве. На  этот раз использован ряд

     команд, отсутствующих  в 8088.  На машине,  имеющей меньше  640  Кб

     памяти, портят  все загружаемые  программы. Надеюсь,  что автор  не

     станет пускать их в свободное распространение.

 

Tiny-127, -119

     Заражают  только  COM,  резидентные.  Версия  119  использует  пару

     команд, отсутствующих в процессоре 8088.

 

Tiny-108

     С некоторой вероятностью портит файлы.

 

Tiny-100

     Прислан из Санкт Петербурга.

 

IRON-636

     Заражает COM  в текущем каталоге текущего диска и диска "C:". После

     10-го августа  по четвергам  пакостит на  диске - пишет в случайные

     места по  несколько секторов.  В конце имеетса текст "IRON MAIDEN",

     по которому вирус опознает зараженные файлы.

 

Astra)

     Серия вирусов,  поступивших из  Ташкента. Все  они  содержат  текст

     "(C) AsTrA". Оба  вируса, описываемые  ниже, в определенные моменты

     слегка пакостят в Partition Table - меняют во всех строках параметр

     System Code (+4) сложением по модулю два с 0x55 и переводят адаптер

     EGA в  двухфонтовый режим,  при котором символы с атрибутом яркости

     выводятся фонтом  8x8. Кроме  них в  коллекции  имеется  3  вируса,

     заражающих только  драйверы устройств.  Их обработка  не включена в

     программу, поскольку  их размножение  весьма маловероятно,  так как

     драйверы друг  у друга почти не копируют. По всему видно, что автор

     накопил довольно  много информации,  но  абсолютно  не  знает,  что

     делать.

 

Astra-976

     Заражает только COM. Пакостит в 11-ю минуту каждого часа.

 

Astra-1010

     Заражает COM  и EXE.  При этом EXE заражает вставкой команды CALL в

     точку входа,  абсолютно не думая о возможных ссылках на это место в

     Relocation  Table,  что  делает  неработоспособным  довольно  много

     программ, в том числе и NC.EXE. А ведь я писал об этом! Пакостит по

     10-м числам.

 

Blaise-720

     Заражает только  COM. Плагиат  из  1701/1704.  По  пятницам  каждую

     минуту демонстрирует  довольно примитивные  шутки с экраном - сдвиг

     на нем  изображения. В  начале имеется  текст "Signs  Of Life",  за

     которым в закодированном виде следует "By Lord Blaise".

 

KLF-356

     Заражает только  COM. В  начале зараженного  файла после  JMP пишет

     "KLM". Слова "The KLM" есть и в теле вируса. Сделан старательно.

 

Ballad-1581

     Заражает  только   COM.  В  конце  каждого  часа  выдает  на  экран

     "Романтическую балладу". Только графомания еще не была стимулом для

     писания вирусов!

 

AMOEBA-2477

     Заражает  EXE  и  COM,  кроме  COMMAND.COM.  Истинная  длина  может

     превышать базовую  на 119.  Содержит ряд  хитрых приемов,  мешающих

     расшифровке, но  заражает так  аккуратно, что  исходный файл  можно

     восстанавить абсолютно  точно. 15-го марта и 1-го ноября портит все

     доступные диски - пишет на первых 30 цилиндрах по четыре сектора на

     нулевой дорожке, а затем монитор заполняется меняющимися символами.

     При загрузке с испорченного диска на экране появляется:

         "To see a world in a grain of sand,

          And a heaven in a wild flower

          Hold Infinity in the palm of your hand

          And Eternity in an hour."

 

                                   THE VIRUS   16/3/91

     Кроме того в записанных секторах находится текст: "AMOEBA virus  by

     the Hacker  Twins (C) 1991 This is nothing, wait for the release of

     AMOEBA II-The  universal infector,  hidden to  any  eye  but  ours!

     Dedicated to  the University of Malta- the worst educational system

     in the  universe,and the  destroyer of  5X2 years  of human life.".

     SCAN опознает его как "Irish", однако, в документации утверждается,

     что "Irish" заражает и COMMAND.COM.

 

Adolf-475

     Заражает только  COM, резидентный.  С  вероятностью  1/4  блокирует

     выполнение функции  Delete (удаление  файла). Содержит текст "Adolf

     Hitler".

 

Lycee-1975

     Заражает только  COM. В  значительной  степени  "невидим".  Если  в

     течении 5  минут не  было нажатий  на клавиатуру,  выдает на  экран

     подробные координаты  заведения, в  котором, скорее  всего,  учится

     автор. Думаю, его удивит, что сотрудник этого учреждения, принесший

     мне вирус,  не считает  это большой  честью и  просил не  приводить

     здесь его названия.

 

Lycee-1788, -1800

     Заражает COM и EXE. Выдержка до вывода картинки 30 минут.

 

Lycee-1832

     Заражает COM  и EXE.  Выдержка до  вывода картинки 5 минут. В конце

     виден текст: "Welcome to Lycee of Information Technologies !"

 

Lycee-1888

     В качестве  большого достижения  автора можно отметить вывод текста

     попеременно по  русски и английски. Судя по тексту он сейчас учится

     в МИРЭА. Какие же достижения будут к моменту окончания института!

 

Lycee-1901

     Практически совпадает  с  1888.  На  этот раз я заметил,  что серия

     MIREA изготовлена им же.

 

Lycee-1950

     Заражает COM и EXE,  резидентный. Добавлена шутка из MIREA - замена

     символов, вводимых с клавиатуры.

 

Lycee-703

     Заражает  COM  и  EXE,  резидентный.  Постоянно  всюду  пишет  файл

     README.!!! с текстом "Поздравляем Профорга группы А1-94 с 8 марта !".

 

Pause-1024

     Заражает только EXE в текущем и корневом каталоге. Портит параметры

     командной строки.  С вероятностью  1/7 перед  выполнением программы

     включает звук,  выдает на консоль "Press any key" и ждет нажатия на

     клавишу. Частоту звука не устанавливает.

 

Plastique-3004

     Очень похож  на TAIWAN,  даже исполняет ту же мелодию. Активизирует

     пакости через  7 дней после заражения. Стирание информации с дисков

     может  происходить   и  в   момент  попытки   нажатия  на   клавиши

     Ctrl+Alt+Del. Кроме  того, после  5000 нажатий на клавиши блокирует

     запись на диски. Испорченные диски во всех секторах содержат текст:

     "Program: Plastique  4.51 (plastic  bomb), Copyright (C) 1988, 1989

     by ABT  Group.Thanks to:  Mr. Lin  (IECS 762??), Mr. Cheng(FCU Inf-

     Center)". Scan опознает его как "Plastique [Plq]".

 

Plastique-4096

     Как следует  из закодированного  текста в  теле вируса,  это версия

     5.21. Кроме  COM и EXE, заражает и Boot Record, пряча продолжение и

     старый Boot  на дискетах  на дополнительном цилиндре (40 или 80), а

     на твердом  диске в секторе 7 и дальше. Постепенно замедляет работу

     процессора. После загрузки ACAD.EXE может испортить все диски.

 

INFO-666

     Заражает COM  и  EXE,  резидентный.  Иногда возможен вывод на экран

     "VIRUS INFO".

 

INFO-1256

     Заражает COM и EXE. Резидентный. Полностью плагиат из музыкальных.

 

Search)

     Это название  будет даваться  многочисленным нерезидентным вирусам,

     которые ищут  объекты для  заражения  просмотром  каталогов,  кроме

     явных подражаний классическому Vienna. Поскольку большинство из них

     заражают только  COM-файлы, указываться  будут только отклонения от

     этого  правила.  Слова  "текущий" и "корневой"  будут  относиться к

     каталогам текущего диска, в которых происходит поиск.

 

Search-96, -122, -124, -165, -175, -264

     Текущий. Search-165 существуют два разных вируса.

 

Search-228

     Текущий. Включает звук какой-то очень высокой частоты.

 

Search-238

     Текущий и все его родители вплоть до корневого.

 

Search-377

     Текущий и COMMAND.COM.  Пытается  испортить  диск.  После  большого

     перерыва появился вирус Khizhnjak-377 явно того же автора.

 

Search-309

     Текущий. 6-го ноября выводит на экран слово "Sveta".

 

Search-789

     Заражает COM  и EXE во всех каталогах текущего диска. Предусмотрено

     стирание информации  с первых  100 секторов  всех дисков  (если  не

     ошибаюсь, 18-го сентября).

 

Search-1660

     Заражает COM  и EXE во всех каталогах текущего диска. Калечит файлы

     с расширениями DBF, PRG, FOX, KAR.

 

Search-424

     Текущий и  C:\COMMAND.COM". В  начале зараженных файлов есть текст:

     "SIMPLE 1992 (c)".

 

Search-755

     Текущий и  все  его  родители вплоть до корневого,  заражает только

     EXE. В конце текст: "---- Small experiments path 2.1 ----".

 

Search-778

     Во всех  каталогах диска  C: и  текущего. Блокирует работу драйвера

     мыши.

 

Search-416

     Текущий и  наверх до  корневого. Портит  дату файла. Бывают случаи,

     когда файл  оказывается недозараженным - начало испорчено, а вируса

     нет. Обнаружение  и тем  более лечение  таких файлов  невозможно. В

     конце имеется текст "---- Мелкий эксперимент ----". Заметно родство

     с Search-755.

 

Search-673

     Текущий и  наверх до  корневого. По  пятницам ставит  всем файлам в

     текущем каталоге  атрибут "Read  Only". Содержит  текст: "  BRYANSK

     1992, BITE  0.01 (C)  ". Интересно,  что имелось  в виду  - bit или

     byte?

 

Search-910

     Текущий и  корневой. Если  номер дня на 1 больше номера месяца (2-е

     января и  т.д.), пытается  испортить информацию на диске C:, выдает

     на  консоль  "SINGAPORE"  и  портит  содержимое  памяти  параметров

     (CMOS).

 

Search-984

     Поиск по PATH, как в Vienna, но с ошибками. Портит атрибуты и дату.

     Работоспособность на процессоре выше 286 маловероятна.

 

Search-357

     Весь текущий  диск. Содержит текст: "This program was writen in the

     city of Kudepsta".

 

Search-801

     Отличается от 789 стиранием 200 секторов 13-го февраля.

 

Search-853

     Текущий. Оставляет  резидентную часть,  которая к  кодам  символов,

     отправляемых на печать, прибавляет 2 (для интервала от ! до z).

 

Search-132

     Текущий. Портит файлы короче 132. Содержит текст "Foxy".

 

Search-1536

     Текущий, заражает COM и EXE. После нескольких заражений стирает MBR

     и  выдает  на  консоль:  "METALLICA"-BEST  GROUP  OF  THE  WORLD!!!

     (METALLICA-virus realised after 22 infection) ALL GOOD V 3.11.

 

Search-166

     Текущий. Портит дату файла и параметры командной строки.

 

Search-657

     Текущий. Всем  DBF-файлам в  текущем каталоге  попеременно ставит и

     снимает атрибут "только чтение".

 

Search-188

     Текущий. При  успешном заражении  выводит текст  "Evil has  an iron

     fist".

 

Search-641

     Текущий и  корневой. 6  дней в году портит диск "C:". В конце текст

     "C-641.SPb  Sankt-Petersburg  (C) 1992".

 

Search-1148

     Весь текущий диск,  заражает только EXE.  По 7-м  числам  зеркально

     поворачивает символы на адаптере EGA.

 

Search-343

     Текущий. Портит параметры вызова программы.

 

Search-71

     Текущий. Зараженные  программы не работают, но лечение почти всегда

     успешно.

 

Search-512

     Текущий  и   C:\COMMAND.COM.  Блокирует  работу  первого  принтера.

     Имеется текст "Alex & Solo".

 

Search-599

     Текущий и PATH. В конце имеет текст "ALEX".

 

Search-127, -208

     Текущий. Портит дату создания файла.

 

Search-515

     Текущий. Портит  дату создания  файла. Иногда  устраивает  дрожание

     изображения на  экране, не  проверяя тип  адаптера. В конце имеется

     текст "by Traven (Traveller)".

 

Search-302

     Резидентный. Портит дату и время.  Не заражает  файлы  с  атрибутом

     "только чтение".

 

Search-128

     Текущий. Портит дату файла и параметры. Заражает многократно.

 

Search-2000

     Подкаталоги  корневого   на  текущем   диске.  Оставляет  в  памяти

     резидент, который портит все дискеты в первом устройстве.

 

Search-1000

     Текущий. 29  ноября  при запуске зараженной программы выводит текст

     "Your computer is breaking . . .".

 

Search-1680

     Текущий. Предусмотрена порча дисков. Имеется текст

     "Virus Created by NuKE-GenVirus V1.51 Licence n° id# [NuKE]-93"

 

Search-330

     Текущий. Один день в месяц портит диски  -  записывает  3  сектора,

     начиная с 3-го, что обычно попадает на первую копию FAT.

 

Search-2248

     Текущий, заражает только EXE.  При успешном заражении издает  писк.

     Изготовлен при помощи какого-то C-транслятора.

 

Search-652

     Текущий диск.  При успешном заражении выводит текст "**  CODE  ZERO

     **" и издает 3 писка. Содержит и закодированный текст "Nowhere Man,

     [NuKE] '92".

 

Search-821

     Поиск через  параметр  "PATH=",  но забывая про возможность наличия

     там разных дисков.  С 17 до  19  часов  исполняет  мелодию  "Yankee

     Doodle",  причем так же фальшиво, как и классический вирус. Имеются

     тексты "[Yankee Doodle 2]", "Nowhere Man, [NuKE] '92".

 

Search-1024

     Текущий, заражает только EXE,  резидентный. Очень редко объясняется

     в любви, объявляя телефон (095) 3652658.

 

Search-284

     Текущий. При   соответствующих   обстоятельствах   при  размножении

     выводит текст "Seventh  son  of  a  seventh  son".  В  конце  слово

     "Вирус" в основной кодировке.

 

Search-626

     Текущий. Содержит  набор  весьма  наивных  средств  борьбы   против

     резидентных антивирусов.

 

Search-1070

     Текущий, заражает COM и EXE. Работает только при формальном наличии

     цветного монитора (режим экрана 2 или  3).  По  воскресеньям  лечит

     исполняемые программы.

 

Search-872

     Поиск по PATH.  Имеет ошибку, из-за которой вешает систему. В конце

     слово "Aids".

 

Search-452

     Текущий каталог всех  дисков.  Заражает  только  EXE.  При  лечении

     невозможно  восстановить  SS  и  SP,  в  результате  чего некоторые

     программы могут оказаться неработоспособными.  В конце  выводит  на

     экран два сердечка (код 03).

 

Search-475

     Текущий. Оставляет  резидентную  часть,  которая  при  нажатии   на

     клавишу "F" ставит в буфер клавиатуры популярное у подобной публики

     английское слово.

 

Search-511

     Текущий. Содержит   нечто,   задуманное,   кажется,   как   лечение

     запускаемых программ.  Однако,  работать это  должно  в  17-й  день

     недели.

 

Search-253

     Текущий. В конце вируса текст "MSUVirus v1.0:The StartUp !".

 

Search-600

     Заражает только COM.  Текущий. Прибавляет к системной дате 100 лет.

     Есть текст "Victim of Galeocerdo cuvieri".

 

Search-414

     Текущий. В конце "USSR".

 

Search-563

     Автор надеялся заражать в каталоге, из которого запущена зараженная

     программа, но заражает только, если он совпадает с текущим.

 

Search-1039

     Текущий и его содержащий. Заражает COM и EXE. В начале вируса виден

     текст "(- PLAYBOY -)".

 

Search-318, -331

     Текущий и корневой.

 

Search-469

     Текущий. В начале вируса текст "I'm GIDRA v1.6 :  Life is Good, But

     Good Life Better Yet.".

 

Search-274

     Текущий. В  25-м  поколении  начинает  безнадежно  и  неопознаваемо

     портить 3 байта в начале. Виден текст "Western Ukraine".

 

Search-391

     Текущий. Задумано  иногда выводить текст "Как много виpусов хоpоших

     ..." и включать писк.

 

Search-1461

     Заражает  только  EXE.   Поиск   через   PATH,   но   фантастически

     безграмотный!  После 7 октября может стирать относительно случайный

     сектор на диске "D:", хотя скорее всего автор хотел стирать BOOT на

     диске "C:".

 

Search-1203

     Текущий диск. Запланирован вывод 6 июня текста:

        Another year passed by

        Another tear the willows crys

        to change the world we ever try

        to make a difference before we die

     однако, в этом месте имеется ошибка,  в  результате  которой  текст

     будет испорчен.

 

Search-498

     Отличается безграмотной  изобретательностью  автора  -  в  процессе

     работы трижды модифицирует в себе 25 адресов.

 

Search-943

     Поиск по  PATH,  заражает только EXE.  Иногда выводит текст "САМЫЙ!

     ЧЕЛОВЕЧНЫЙ!  ЧЕЛОВЕК!  Ленин и сегодня всех  живых  держит  мертвой

     хваткой упыря".

 

Search-774

     Текущий и все старше,  включая корневой.  Заражает COM  и  EXE.  До

     13-го  выводит текст "I am he,  the bornless one,  the fallen angel

     watching you !  (C) Dread Lord. You are the real dead one now ...",

     а начиная с 13-го работа программ блокируется.

 

Search-495

     Текущий с подкаталогами и корневой. Заражает только EXE.

 

Search-1800/1803

     Текущий и C:\COMMAND.COM.  Заражает COM  и  EXE.  При  загрузке  из

     COM-файла  оставляет  в  памяти  резидентную часть,  которая,  если

     система не  успеет  повиснуть,  устраивает  фокусы  с  дрожанием  и

     переворачиванием экрана.

 

Search-385

     Текущий и то,  что задано в COMSPEC.  В конце текст "I'm sorry. SNV

     1.1!Y".

 

Search-738

     Текущий и  PATH.  В  конце  текст  "This  program  was  written  in

     St.Petersburg  in  1992.  It  is  absolutely harmless /at least the

     author had no bad intentions /. Say NO to comunism & nacism !".

 

Search-432

     Текущий и  COMSPEC.  В  1994  году  пытается  все стереть с первого

     твердого диска.

 

Search-880

     Заражает только EXE. Содержит элементы полиморфности.

 

Search-473

     Текущий и  COMSPEC.  В  1994  году запланировано портить диски,  но

     способом, который если и работает, то только на XT.

 

Search-316

     Может стереть нулевую дорожку первого твердого диска.

 

Search-404

     Текущий. Видно "I just had your files for lunch!!!".

 

Search-4148

     Заражает COM  и EXE.  Содержит закодированный текст "* Демонстраци-

     онный вирус класса SEARCH (4148) *". Поиск по PATH, заражает *.COM,

     начинающиеся  с E9 и *.EXE (переделывает в COM по типу format.com).

     За 9 байт от EOF сохраняется оригинальный вход (3 байта нач  с E9),

     далее оригинальная длина (DW),  служебный делитель (DW) и сигнатура

     (DW).  Время увеличивает на 2 с, если есть куда, иначе уменьшает.".

     При  лечении EXE-файлов описанное выше преобразование к формату COM

     из файлов не убирается,  поскольку довольно трудно отличить его  от

     стандартного.   Ведет   протокол   своей   деятельности   в   файле

     inf_301.log.  Если обнаруживает AIDSTEST.EXE, замещает его довольно

     примитивной, хотя и безобидной, пародией.

 

Search-293

     Текущий. В начале выводит текст "Helloy, baby!!!".

 

Search-192

     Текущий. Поиск  в текущем каталоге "*.c*",  в результате чего может

     заразить и C-файлы.

 

Search-334

     Текущий. Постоянно меняет в MBR байт +D8, может стереть байт Active

     Partition. При неграмотном трассировании может стереть диск C.

 

Search-1062

     Текущий. Заражает  COM  и  EXE.  По  воскресеньям лечит запускаемые

     файлы, но EXE не вполне корректно.

 

Search-101

     Текущий. Заражает  в  текущем каталоге все файлы,  в начале которых

     нет кода E9 (JMP).

 

Search-571

     Поиск по всем каталогам, но только начиная с июня.

 

Search-1006

     Поиск в текущем каталоге и по PATH. Весьма изощренный, часто вешает

     систему. В конце символы "Ms".

 

Ieronim-512, -560

     Заражают только  COM, приписываясь  к началу,  резидентные.  Делают

     длину зараженных  файлов кратной своей, причем первоначальную длину

     восстановить  невозможно.   Переход  на   начало  программы  делают

     некорректно, из-за  чего многие  программы  не  могут  работать.  В

     начале каждого  часа выдают  на экран  некий  текст  (вероятно,  на

     латыни), приписываемый святому Иерониму.

 

Ieronim-600

     Заражает более корректно. Шутка та же.

 

Ieronim-1166

     Заражает только  EXE, резидентный.  Цитата  из  Иеронима  выводится

     попеременно на латыни и английском.

 

Ieronim-1024

     Только  COM.   Добавлена  не   слишком  грамотная   борьба   против

     трассировки, часто приводящая к повисанию системы.

 

Ieronim-1020

     Добавлено шифрование вируса.

 

Ieronim-1082

     Заменена шутка. При нажатиях на F1 сначала 3 раза в рамке выводится

     "ПОМОГИТЕ!", затем  "Слушай, дорогой, отстань, пожалуйста!" а затем

     "Лозинский  тебе   поможет!".  Работает   это  только   на  цветных

     мониторах.

 

Ieronim-570

     Где-то задержавшаяся версия  (а может быть кто-то подправил одну из

     старых).

 

Ieronim-1596

     Заражает только  EXE,  резидентный.  Портит  Aidstest,  поэтому   в

     зараженной  системе им можно пользоваться только под другим именем.

     Цитаты  из  святого  Иеронима  выводятся  в  начале  каждого   часа

     попеременно на латыни и английском.  Иногда образует файл DIRINFO с

     обрывками любимого текста.

 

Ieronim-1492

     Заражает только EXE,  резидентный.  Близок к 1596.  Отличается чуть

     меньшей скоростью размножения.

 

Protect-1196

     Заражает COM  и EXE.  Портит атрибуты.  Отключает COM1-COM4, LPT1 и

     Mouse driver, а также запрещает прерывания по IRQ3 и IRQ4. Содержит

     в начале тексты "File protection" и "File not found".

 

Digger-1475, -1512

     Заражает  COM   и  EXE   путем  поиска   в   текущем   каталоге   и

     C:\COMMAND.COM. При  заражении EXE длина 1478 и еще от 1 до 16 байт

     на округление. Ставит в память резидентную часть, которая каждые 15

     минут на 1.5 секунды переворачивает экран, аналогично части вирусов

     группы MGN.

 

Digger-1000

     Заражает  только   COM,  резидентный.   При  исполнении  зараженной

     программы удаляет себя из нее. После каждого 30-го заражения выдает

     на экран  текст: "Ты  долго в  DIGGER не  играл - теперь я грустный

     терминал". На  монохромный монитор  этот текст  не попадает.  Автор

     пытался организовать продолжение нормальной работы после нажатия на

     клавиши  Ctrl+Alt+Delete,  но  сделал  это  слишком  неграмотно,  в

     результате чего приходится нажимать Reset.

 

Klaeren-971

     Заражает COM  и EXE.  Иногда выдает  на экран "Klaeren Haс, Haс!" и

     стирает Setup-параметры.  Очень тонко,  но неправильно,  определяет

     наличие защиты от записи на дискете. Scan опознает его как "Klaeren

     [Kla]".

 

Civil-6656

     Заражает EXE  на дискетах  и Master  Boot Record  на первом твердом

     диске. При  запуске зараженной программы происходит заражение MBR и

     программа исправляется. Работает только на AT, однако проверку типа

     компьютера делает  слишком поздно - уже после использования команд,

     отсутствующих на  стандартных XT. Содержит большое количество шуток

     разной степени  гнусности: блокирование  вывода на  принтер, выдача

     всевозможных, в  том числе  и матерных, сообщений, мигание лампочек

     на клавиатуре  и т.п. Разобраться в них полностью отняло бы слишком

     много времени.

 

Civil_0-6656

     Предыдущая версия вируса. Принципиальных отличий не имеет.

 

Civil_3-6656

     Версия, обозначенная  как 3.3.  Наивные попытки сделать невозможной

     борьбу  с  ним,  новая  порция  мерзостей  и  новые  ошибки,  часто

     приводящие к повисанию системы.

 

Terror-1085

     Заражает COM  и EXE.  COM-файлы  короче  1024  и  длинее  64000  не

     заражает, но  успевает округлить их длину до кратной 16. Изготовлен

     с претензиями  на гениальные находки. В результате с весьма большой

     вероятностью до начала работы вешает систему. Scan опознает его как

     "Terror [Ter]".

 

Later-981/1009

     При заражении  COM длина  981, а  EXE -  1009  и  от  1  до  16  на

     выравнивание. COM-файлы  могут заражаться  многократно. При запуске

     зараженной программы исправляет ее. В версиях MS-DOS до 3.00 выдает

     сообщение "This program requires MS-DOS 3.00 or later" и прекращает

     работу программы.

 

Pravda-1949

     Заражает COM и EXE кроме COMMAND.COM и AIDSTEST.EXE. Содержит текст

     "(C) Правдиченко А.".

 

Ion-231, -2372

     Примитивные вирусы,  заражающие  только  COM  в  текущем  каталоге.

     Второй   достаточно    часто   образует   и   запускает   программу

     "IONKIN.COM",  которая   через  час   выдает  на  экран  требование

     "засунуть 10 рублей в дисковод A:".

 

Alex)

     Примитивные вирусы, заражающие только в текущем каталоге. Оставляют

     в памяти резидентную часть, предназначенную для глупых шуток.

 

Alex-368

     Заражает только COM. Не работает на PC-XT. Содержит текст: "The One

     Night Virus (C) Alex Hacker".

 

Alex-818

     Заражает только EXE. Резидентная часть производит что-то на экране.

     Содержит текст: "The Kite Virus (C) Alex Hacker".

 

Alex-1843, -1951

     Заражает COM  и EXE,  резидентный.  Если не ошибаюсь,  нейтрализует

     какуюто вакцину.  Временами на  цветной  монитор  выводит  рамку  с

     текстом,   из  которого  можно  сделать  вывод  о  том,  что  вирус

     произведен в Румынии и играет музыку (только 1951).  Scan  опознает

     как "1530 Virus [1530]".

 

Alex-2104

     Заражает COM и EXE,  резидентный. Еще одна разновидность Румынского

     вируса.

 

Dima-325

     Заражает только COM,  резидентный. В начале зараженных файлов видно

     "Dima".

 

Dima-1024

     Заражает EXE и COM поиском в каталогах. При наличии часов реального

     времени после 21.00 выдает на экран "9pm" и циклится, пока не будет

     нажата клавиша  ESC при  нажатой Ctrl  и включенных  Num Lock, Caps

     Lock и  Scroll Lock.  В конце  имеет текст  "   The -9pm-. Call the

     Dima & Dima corporation if it will be difficult."

 

UnGame-766, -768

     Заражает EXE  и COM,  резидентный. Каждые  4 минуты проверяет режим

     экрана и  при обнаружении  некоторых графических режимов устраивает

     мелкие пакости  от вывода  на экран  текста: "Come  On, no. 51, You

     Time  is  Up."  до  перезагрузки  системы.  В  самом  конце  текст:

     "UnGame(C)Dr".

 

UnGame-823

     Заражает только COM,  резидентный.  При  переводе  экрана  в  режим

     320x200x256 перегружает систему.

 

UnGame-1065

     Заражает только  EXE,  резидентный.  Судя по текстам,  произведен в

     Тирасполе  и  задуман  для  борьбы  против  игр.   Однако,   борьба

     заключается в том,  что при обнаружении формата экрана 640x480x256,

     через  некоторое  время  стирается  содержимое  памяти   параметров

     системы (CMOS).

 

UnGame-1053

     Заражает  только  EXE,  резидентный.  Исправлена ошибка в обработке

     int 24.

 

DrWatson-1503

     Заражает  AUTOEXEC.BAT,   резидентный.  На  всех  доступных  дисках

     образует файл  DRWATSON.COM с  атрибутами  Read  Only  и  Hidden  и

     дописывает  в  начало  AUTOEXEC.BAT  строку  "@drwatcon".  За  счет

     перехвата ряда  функций DOS  скрывает изменения в AUTOEXEC.BAT и не

     дает стереть  или переименовать  файл  DRWATSON.COM.  Впрочем,  это

     легко сделать,  загрузив чистую операционную систему с дискеты. При

     неграмотном трассировании может стереть FAT. AIDSTEST обезвреживает

     вирус в памяти и стирает файл DRWATSON.COM на диске. Прошу прощения

     за не вполне корректное сообщение:

        DRWATSON.COM испорчен вирусом (DrWatson)

     Лишнюю строку  из AUTOEXEC.BAT  можно удалить  любым  редактором  -

     AIDSTEST этого не делает.

 

MPTI-1536

     Заражает EXE  и COM,  резидентный. Старается не заражать AIDSTEST и

     VL. По  26-м числам  портит MBR  и Boot  Record диска "C:", а также

     память  параметров  (CMOS  Memory).  Работоспособность  на  версиях

     MS DOS  кроме  3.30  маловероятна.  Обнаружено  две  разновидности,

     отличающиеся очень мало.

 

CPSU-2535

     Заражает EXE  и COM,  резидентный. Старается не заражать AIDSTEST и

     COMMAND.COM. Каждый час выдает на экран "Моральный кодекс строителя

     коммунизма".

 

CPSU-480

     Заражает только  COM,  резидентный.  После  20  запусков зараженных

     программ  начинает  вращать   строки   экрана   в   противоположных

     направлениях. В конце текст "Long live CPSU".

 

Sentinel-5173

     Заражает EXE  и COM, резидентный. Написан на языке высокого уровня.

     Содержит закодированный  текст: "You won't hear me, but you'll feel

     me... (c) 1990 by Sentinel. Thanks Borland."

 

Multi-2560

     Заражает EXE, COM и драйверы устройств, резидентный. Написан весьма

     изобретательно, но  с ошибками, из-за которых его работоспособность

     на PC-AT маловероятна. Попытки оживить его на AT отняли у меня уйму

     времени. Иногда  порождает вирусы  длиной 131  и  123.  Содержит  в

     начале текст: "MultiVirus(R), Release 1.0, Copyright (c) 1990-91 by

     Андрюшка".

 

Multi_1-2560

     Версия 1.1,  в которой  исправлены наиболее существенные ошибки. На

     этот раз  система повисает  не сразу. Порождает вирусы длиной 110 и

     104.

 

Multi-131, -123, -110, -104

     Заражают  только  COM,  резидентные.  123  и  104  не  работают  на

     процессоре 8088.

 

Multi-384

     Заражает  только   EXE,  резидентный.   Не  меняет   длину   файла,

     записываясь  в   заголовке  EXE-программы,   если  он   содержит  в

     необходимом интервале  только нули. Работоспособен только на PC XT.

     При просмотре  зараженных файлов  в  зараженной  системе  абсолютно

     невидим. Содержит текст: "Copyright (c) 1992 by Андрюшка".

 

Close-960

     Заражает только  EXE, резидентный.  Содержит в  закодированном виде

     решительный   протест   против   покойного   "Союзного   договора".

     Предполагался вывод  этого текста на консоль, но в этом месте автор

     потерпел неудачу.

 

VERWOLF-3294

     Заражает  только   EXE.  Очередная   попытка  изготовить  абсолютно

     неизлечимый вирус  при помощи  УЖАСНО сложного  кодирования.  И  не

     жалко тратить  месяцы, чтобы  отнять у  пары специалистов по 2 дня?

     Через 15  дней после заражения оставляет резидентную часть, которая

     блокирует запуск всех программ, в которых обнаружится слово "GAME".

 

ABC-2378

     Заражает только  EXE,  резидентный.  Отличается  весьма  громоздким

     алгоритмом кодирования.  Во второй  половине месяца  портит нулевые

     дорожки  двух   твердых  дисков,   повторяет  символы,  вводимые  с

     клавиатуры, и  портит EXE-файлы,  созданные 15-го  числа, -  при их

     запуске также  портятся нулевые  дорожки дисков.  В протоколе такие

     файлы показываются  как содержащие  вирус "ABC-22".  В конце вируса

     после раскодирования  обнаруживается текст  (орфография оригинала):

     "Ну теперь  ты добрался  и  досюда.  Я  думаю,тебе  интересно  было

     посмотреть как  написан вирус. Но что ты будеш делать дальше?  Если

     хочеш познакомится  со мной то дай объявление в "АиФ", "7 дней" или

     в  какой-нибудь   компьютерный  журнал/газету   для  автора  вируса

     "ABC_FFEA". А теперь пока. Minsk 8.01.92".

 

Voice-1495

     Заражает EXE  и COM,  резидентный. Старается не заражать AIDSTEST и

     COMMAND.COM. Портит  дату создания  файла. Работоспособен только на

     XT. Вместо  перезагрузки выдает  на экран текст с "приветом". Виден

     текст "VOICE V1.01".

 

Ryazan-512

     Заражает только  EXE, резидентный.  Старается не заражать AIDSTEST.

     Слово "RYAZAN",  имеющееся в  нем в  закодированном виде, отражает,

     очевидно, желание прославить Рязань.

 

Rat-615

     Заражает только  COM в  каталогах, содержащихся в текущем. Содержит

     текст: "Techno-Rat I. Copyright by Lord Blaise, Odessa 1991."

 

Rat-1488

     Заражает COM и  EXE,  резидентный.  Из-за  ошибки  весьма  вероятна

     неработоспособность зараженных EXE-программ.

 

Rat-1010

     Заражает COM  и EXE,  резидентный.  Каждый восьмой экземпляр вируса

     портит всю записываемую на диски информацию, заменяя ее текстом "R.

     A.T. [R]iots [A]gainst [T]echnology -- FIGHT IT BACK !!!".

 

Rat-1945

     Заражает только COM,  поиск в текущем каталоге.  8  и  9  мая  1995

     должен был выводить во весь экран "50 Лет Победы БЕЙ ФАШИСТОВ!!! ЗА

     НАШУ  СОВЕТСКУЮ  РОДИНУ!  За  Сталина  и  Партию!!!"   после   чего

     катастрофически фальшиво исполнять "Священная война".  В конце есть

     еще   "AntiFashistЭто,собственно,не   программа,а    самое    общее

     марксистское   заявление...   (В.И.Ленин)Советский   сношатель   by

     Stainless Steel RatПроживи всю жизнь Этой датой !"

 

Rat-2400

     Заражает COM и EXE, резидентный. Удивительное сочетание надерганных

     из   других   вирусов   приемов   программирования  и  безграмотной

     реализации. Стремление к невидимости должно очень часто приводить к

     безнадежной порче программ. Имеется много текстов, в том числе "The

     Stainless Steel TechRat,  Version  1.0,  2.03.94,  (C)  1993-94  by

     MadWill International,  Moscow,  Russia",  "Story 1 : The Stainless

     Steel TechRat  is  Born".  Одна  из  разновидностей  вируса   ранее

     опознавалась как Rat-2384.

 

CCCP-510

     Заражает только  COM в  текущем каталоге.  Иногда выдает  на  экран

     текст: "*** CCCP - 75! ***".

 

Am-1061

     Заражает только EXE, резидентный. На 1996 год запланирован какой-то

     фокус  с  экранным  адаптером,  который  по моим наблюдениям просто

     вешает систему.

 

Am-1281

     Заражает EXE  и COM,  резидентный. По 2-м числам изображает "Маяк",

     аналогично вирусу  JEWS, но  при этом еще и переводит часы на 1 час

     вперед. Символы  "Am" имеет  в конце  и использует  их как  признак

     своего наличия в файле.

 

Tina-826

     Заражает только  COM поиском по всем каталогам текущего диска. Если

     незараженный файл не найден, приписывает к началу AUTOEXEC.BAT:

 

     @echo off

     echo Tina, do you love me?

     pause >nul

 

     Тина, не стоит любить таких!

 

Malign-575, -630

     Заражают  только   COM,  резидентные.  Заражение  производят  после

     исполнения команд  перехода на новый диск или в новый каталог путем

     поиска в  каталоге. При  успешном заражении  трех файлов  выдает на

     консоль слово  "Malign". Безнадежно  портят  файлы,  длина  которых

     меньше длины  вируса. Версия  630 отличается  тем, что  при ошибках

     ввода/вывода выдает на консоль "Wait.".

 

MX-335

     Заражает только  EXE, резидентный.  "MX" присутствует  в  заголовке

     файла со смещением +18 и в теле вируса со смещением +8.

 

Gorlovka-1022, -1024

     Заражает EXE и COM, резидентный. При заражении COM-файлов иногда не

     меняет  длину,  записываясь  вместо  последовательности  одинаковых

     байтов. Однако,  поиск этой  последовательности  написан  настолько

     безграмотно, что  далеко не  всегда ее находит. В конце имеет текст

     "ГОРЛОВКА9101".

 

Helloween-1376

     Заражает EXE  и COM,  резидентный. Не  заражает ряд программ, в том

     числе COMMAND.COM, SCAN, CLEAR. 1-го ноября выдает на экран текст:

        Nesedte porad u pocitace a zkuste jednou delat neco rozumneho!

                            *******************

          !! Poslouchejte HELLOWEEN - nejlepsi metalovou skupinu !!

     и уходит на перезагрузку.

 

VGA-2221

     Заражает COM, драйверы и MBR. Активизируется только из MBR твердого

     диска, причем только через 33 загрузки после заражения. По пятницам

     каждые 10  минут переворачивает информацию на экране (меняет первый

     символ с  последним и  т.д.), а  при наличии  адаптеров VGA или EGA

     переворачивает  изображение   букв.  Прежде  чем  вернуть  экран  в

     нормальное состояние и после этого ждет ввода с клавиатуры.

 

AndA-506

     Заражает только  COM, резидентный.  Пишется в  начало. Со смещением

     97h имеет  символы "{A&A}". Портит время создания файла. В качестве

     буфера использует  сегмент 9000h,  в связи с чем на машинах имеющих

     только 512 Кб безнадежно портит все программы. С февраля по октябрь

     каждый час  исполняет примитивную шутку с перестановкой символов на

     экране (только цветном).

 

ATAS-1268

     Заражает только  COM, резидентный.  Заражение производит при вызове

     12 различных  функций. Содержит  наивный алгоритм  "невидимости"  -

     коррекцию длины. Зараженные файлы метятся во времени создания файла

     - минуты  округляются до  кратных 8,  а секунды  равны 34. Если при

     вызове ряда  DOS функций  нажата клавиша  Ctrl или  Alt, на консоль

     выдается: "ATAS  Corporation.(C)Copyright (B)BadWare".  При нажатии

     на клавишу  Print Screen происходит осыпание букв на экране, но при

     этом не  проверяется тип  монитора и  режим экрана,  да и  алгоритм

     довольно серый.

 

ATAS-384

     Заражает только  COM.  Иногда  выводит  "Ok.".  Есть закодированный

     текст "ATAS V0.1 Cr.24.01.92".

 

KELA-690

     Заражает только COM, резидентный. В связи с крайней безграмотностью

     очень быстро  вешает систему.  Между 11.10 и 11.15 выдает на экран:

     "Я Дон Карнаш - 4 KELA".

 

KELA-823

     Заражает только COM,  резидентный. Частично невидимый. В конце есть

     текст "KELA lives Don Kr. 1992".

 

KELA-1171

     Заражает COM  и  EXE,  резидентный.  Довольно  безграмотный,  но  с

     элементами  невидимости.  Может  заражать  и  неисполняемые  файлы.

     Иногда   портит   драйверы  -  абсолютно  безграмотно  пытается  их

     заразить.

 

KELA-1735

     Заражает COM  и EXE,  резидентный.  Имеется текст "KELA-9 lives all

     times 1992-93", а в самом конце "Alien".

 

KELA-1904

     Заражает COM и EXE, резидентный. Пакостей нет, Aidstest заражает. В

     начале зараженных COM-файлов (+3) видно "COM".

 

KELA-2002

     Невидимость разработана  весьма детально. Пакости не предусмотрены,

     но дефекты  алгоритма невидимости могут приводить к порче программ.

     Имеется текст "KELA lives all times 1993 ver-".

 

KELA-2010

     Заражает COM  и EXE, кроме AIDSTEST, резидентный. Частично невидим.

     Во всех  PAS-файлах заменяет  1840 байт  в начале  на  безграмотное

     двустишие, повторенное 40 раз.

 

KELA-2099

     Заражает COM и EXE,  резидентный.  Невидимость разработана довольно

     старательно,  но в предположении, что 62 секунды ставит только этот

     вирус.  В  противном  случае  последствия  будут  самые  печальные.

     Предполагается вывод на экран текста "You Are Dead !! Ha Ha Ha KELA

     -16". Боюсь, что увидеть его никому не удастся...

 

KELA-2163

     Заражает COM  и  EXE,  резидентный.  В конце тексты,  в частности с

     благодарностью в адрес "Dark Avenger".

 

KELA-2520

     После  3  ноября   каждый   час   на  цветном  мониторе  устраивает

     "осыпание" букв с довольно примитивным алгоритмом.

 

KELA-2530

     Заражает COM и EXE, резидентный. Не заражает ADinf. Через час после

     загрузки выводит на экран "Ну вот и я ребята злобный вирус!!  Ха Ха

     Заждались небось.  Ну ничего Теперь скучно не будет." Предполагался

     и регулярный вывод текста "You Are Dead !!  Ha Ha Ha KELA-15", но в

     этом месте есть ошибка.

 

LPToff-256

     Заражает только COM, резидентный. Блокирует вывод на принтер.

     Содержит текст "(с) 1992 , ВМШ ВМиК МГУ".

 

Beep-375

     Заражает только COM,  резидентный. После успешного заражения издает

     писк.

 

Beep-1984

     Заражает COM  и EXE,  кроме AIDSTEST  и  COMMAND.COM.  Резидентный.

     Везде кроме PC XT сразу вешает систему. Каждые 5 минут издает писк.

 

FamE-896

     Заражает только EXE, резидентный. Scan опознает его как "FamE [FE]"

 

HoChiMinh-950

     Заражает EXE  и COM  кроме COMMAND.COM  версии 3.30, резидентный. В

     начале третьего часа после загрузки выдает на экран:

       This playgame was writen by Nguyen The Quang, Nacentra Co.

       101 - Hai Ba Trung, St.1 - Ho Chi Minh City, Phone: 96282

        Press any key to Continue!

 

April-483

     Заражает EXE  и COM,  резидентный.  Использует  в  качестве  буфера

     память экранного  адаптера, не  проверяя ее  наличия.  Из-за  этого

     может безнадежно  портить все  заражаемые  программы.  1-го  апреля

     выводит на экран "Христос - Воскрес ! ! !".

 

Oxana-1653

     Заражает только  EXE, резидентный. Начиная с ноября часто выдает на

     экран рамку  с текстом:  "Я вирус!  Угадай мое  имя,или  я  причиню

     страшные разрушения".  Если ответить  "ОКСАНА", выдает: "Правильно!

     Найдите Борисову Оксану для получения антивируса".

 

Oxana-1654

     Отключена шутка.

 

Oxana-1555

     Шутку выдает начиная с августа.

 

Oxana-1419

     По видимому,  наиболее ранняя  версия. Шутит, начиная с марта. Судя

     по динамике активизации шуток, автор трудится над вирусом не меньше

     года.

 

Oxana-1702

     Заражает только EXE, резидентный. Шутит, начиная с июня.

 

Scoundrel-3323

     Заражает  EXE   и  COM,   резидентный.  Иногда  выводит  на  экран:

     "ScoundrelSoft -'Your  pleasure is our business'". Столь правильную

     самооценку можно только приветствовать.

 

Igor-384

     Заражает только  COM, резидентный.  Грамотностью не  отличается.  В

     конце текст: "V 1.0 Igor,1992 The Urik-hai are upon you!".

 

Igor-300

     Портит атрибуты  и время  файла. В первый час суток может испортить

     многие файлы  - при  исполнении функции  Write пишет  в файл текст:

     "Igor 1992 v.2.0 The Uruk-hai and winged Nazgul strikes again!".

 

Igor-361

     Написан столь  же грамотно, как о предыдущие. В 10-м часу блокирует

     выбор в  качестве текущего  диска любого,  кроме "C:".  Содержит  в

     конце текст:  "Igor 1992  v.3.0 It  was last  assault of  the Uruk-

     hai... We shall meet in Valhalla!".

 

Igor-427

     При запуске  зараженной программы может выдать текст: "Invalid user

     Replace and  strike a  key" и  перезагрузить систему. Текст в конце

     как и в 384, но номер версии 1.1.

 

Beer-2850/3109

     Заражает EXE и COM, резидентный. При заражении EXE пишет лишние 259

     байт и  еще до 20 на округление. Очень редко выдает на экран текст:

     "Сейчас бы  пивка" и  исполняет мелодию  "Семь сорок".  Кроме того,

     также очень  редко, блокирует  запуск AIDSTEST с исполнением той же

     мелодии.

 

Beer-2794/3053

     Другая версия.  При обезвреживании  в памяти Aidstest эту версию от

     предыдущей не отличает.

 

Beer-2984/3243

     От 2850/3109   отличается   только  наличием  поиска  объектов  для

     заражения при смене текущего каталога.

 

Beer-2620/2879

     Заражает COM и EXE, резидентный. Одна из сравнительно ранних версий.

 

Beer-645

     Заражает только COM. Мечты о пиве музыкой не сопровождаются.

 

Beer-3164/3423, -3192/3451

     Добавлена порча  файлов DISKDATA.DTL, VIRUSES.INF, DIRINFO и одного

     из имен базы данных ADinf.

 

Beer-2473/2732

     Переделка версии 3192/3451. Вместо базы ADinf портит файл "-V.MSG",

     причем вместо  мечтаний о пиве использует текст "Вирус,Вирус ха-ха-

     ха" ... Добавлено несколько ошибок.

 

Beer_11-3192/3451

     Промежуточная между  3164/3423 и  3192/3451 (по авторской нумерации

     11-я).

 

Beer-3225/3484

     Заражает COM  и  EXE,  резидентный.  Обнаруживая в текущем каталоге

     файлы "DISKDATA.DTL",  "VIRUSES.INF",  "ADINF-+.+++", "REPORT.WEB",

     "REPORT.TXT",     "ADINF-C.LOG",    "ADINFD.LOG",    "ADINF-E.LOG",

     "CHKLIST.MS",  "AVPTSR.EXE",  "-D.COM",   "-D3.COM",   "VSAVE.EXE",

     "ANTI4US.EXE" пишет в них текст

         +-----------------------------------+

         |  Жили у бабуси ТPИ веселых гуся:  |

         |    лОЗ,дАНИЛОВ и кАСПЕPСКИЙ -     |

         |       Я ОТ НИХ ТАЩУСЯ !!!         |

         +-----------------------------------+

     Тот же  текст иногда выводит на экран с исполнением соответствующей

     мелодии.

 

Beer-3307/3566

     Очень близка к 3192/3451.  Главное отличие - замена текста на  "(c)

     Испытательный  центp  самоходного  пpогpаммнoго  обеспечения  имени

     Ячменного колоса", причем, даже с рамкой вокруг.

 

Beer-3399/3658

     Заражает COM  и  EXE,  резидентный.  На  этот  раз  в  тексте  меня

     приглашают на платформу Солнцево, чтобы выпить пива.

 

Beer-3490/3749

     Заражает COM и EXE, резидентный. Вместо музыки предусмотрена "EGA -

     text mode demonstration.  Copyright (c) by Wadim 1990.",  однако, я

     сомневаюсь в ее работоспособности.

 

Beer-3612/3871

     Заражает COM  и  EXE,  резидентный.  Забивает файлы "DISKDATA.DTL",

     "REPORT.WEB",  "AVPTSR.EXE" текстом "Сергей Мавроди - П И Д О Р !!!

     Вам  псина улыбнулась !!!  <------- Прочтите справа налево - выйдет

     палиндром (сырой)".  Иногда выводит этот текст на экран, после чего

     начинается издевательство над мелодией "Риорита".

 

Face-414

     Заражает только COM, резидентный. Заражение производит при создании

     файлов (копировании),  причем далеко  не всегда.  Иногда в текстах,

     выводимых на консоль, заменяет первый символ на код 01 (лицо).

 

Drug-959/987

     Заражает EXE  и COM,  резидентный. При  заражении EXE  длинее на 28

     байт. При запуске зараженной программы старается ее вылечить.

 

FaX-1536

     Заражает только  EXE, резидентный.  По 25,  26-м числам  устраивает

     странную шутку,  которая должна  приводить к  бдокированию диска A:

     или повисанию  системы. Содержит  в закодированном виде тексты "FaX

     Free!" и "Welcome".

 

Fisher-2420

     Заражает COM и EXE, резидентный. Содержит текст: "Copyright 1991-92

     by Fisher. Version 2.0 . Идея эффектов на принтере - ДАС-2, комната

     1405 .".  Упоминаемая здесь  "идея" заключается в выдаче междометий

     из лексики уличных подонков.

 

Fisher-1100

     Заражает  только   COM,  резидентный.   Скрывает  изменение  длины.

     Содержит текст:  "(c) Copyright 1992 by Fisher. Version 3.0 . PUNK-

     ROCK & BEER FOREVER ! $"

 

Login-2971/2967, -2972/2968

     Заражает COM  и EXE,  резидентный. При заражении COM пишет лишних 4

     байта. Плагиат из ставшего классическим M2C, естественно, без всего

     непонятного. При  этом были оставлены многочисленные куски, ставшие

     абсолютно бессмысленными  без выброшенных.  Собственное  творчество

     автора, насколько  мне удалось  понять, направлено  на  определение

     чужих паролей в локальной сети. Для этого во время работы программы

     LOGIN  ввод   с  клавиатуры   копится  в   буферах,  которые  затем

     оказываются в  зараженных файлах.  До конца разобраться в этой идее

     мне не удалось.

 

BUPT-1220/1223

     Заражает COM  и EXE,  резидентный. При заражении EXE пишет лишних 3

     байта в  начале. Безнадежно  портит сегментированные EXE-программы,

     однако по  безграмотной самоуверенности  после каждых  20 заражений

     выдает на  экран: "Traveller  (C) BUPT   1991.4   Don't   panic I'm

     harmless".

 

EGA-571

     Заражает только  COM, резидентный.  По 31-м  числам на EGA-адаптере

     устраивает фокусы с зеркальным отображением букв (не проверял).

 

EGA-469

     Заражает только  EXE, резидентный.  Портит аттрибуты время создания

     файла. Каждый час сдвигает по вертикали развертку на адаптере EGA.

 

EGA-900

     Заражает только  COM, резидентный.  Содержит текст: "<< Кот и Шмель

     представляют >>". Должен отметить, что в этом представлении слишком

     много ошибок.  В частности,  некий фокус  с адаптером  EGA, как мне

     кажется, работать не будет.

 

EGA-445

     Отличается от 469 некорректной работой с INT 24.

 

EGA-557

     Другая версия  EGA-571. По  31-м числам  переворачивает и зеркально

     отображает по одному символу на каждый запуск программы.

 

EGA-1323

     Заражает COM и EXE, резидентный. Каждый час устраивает подергивание

     изображение на экране в вертикальном направлении.

 

EGA-1056

     Заражает только  EXE,  резидентный.  Устраивает   представления   с

     зеркальным поворотом изображений символов. Имеет ряд ошибок.

 

Girl-1004

     Заражает COM  и EXE,  резидентный. После  пяти успешных заражений в

     сеансе портит  все открываемые  файлы. В  начале испорченных файлов

     стоит: "File was destroyed by virus Little girl ver 2.00".

 

Girl-1008

     Портит только один файл на пять заражений.

 

ZeroTime-1721/1716

     Заражает COM  и EXE,  резидентный. При заражении COM пишет лишних 5

     байт в  конце. Через  большое время  после заражения  пишет нулевое

     время создания во всех закрываемых файлах.

 

Goat-1172

     Заражает только  EXE, резидентный.  Через 3  месяца после заражения

     предполагается вывод  в последнюю  строку экрана  (почему-то только

     при наличии EGA) длинной фразы, в которой называет "козлом" того, у

     кого возникнут  проблемы от столь "безобидного" вируса. Автору было

     бы полезно  узнать, что безобидных вирусов не бывает, тем более так

     безграмотно написанных.

 

Trouble-3569

     Заражает COM  и EXE,  резидентный, невидимый.  Если номер дня равен

     номеру месяца,  стирает нулевую  дорожку  диска  "C:".  Содержит  в

     закодированном виде  фразу: "Don't  trouble trouble  until  trouble

     troubles you".

 

KIWI-550

     Заражает только  EXE, резидентный.  Не заражает  AIDSTEST.  Стирает

     атрибуты. В  начале содержит  фразу: "I'm  KIWI-586.(C)  Vegetable-

     Soft.1992".

 

Cha-2391

     Заражает COM  и EXE,  резидентный. Написан удивительно безграмотно.

     Содержит текст: "cha-cha-chacha-cha-cha"

 

Erase-821

     Заражает только  COM, резидентный.  При обнаружении  любых файлов с

     именами, содержащими  последовательности  символов:  "AID",  "VIR",

     "DINF", "CHK",  "TEST", "AUR",  "PAV", "NAV",  "-V", "SENT", "ASM",

     "SCAN", "LEAN",  "ANT", "SAFE", "BOOT", "STRA", стирает их с диска.

     Месть непримиримого  врага с  антивирусными средствами  настигает и

     вполне невинный CHKDSK.

 

Erase-1476

     Заражает COM  и EXE. Следующая продукция того же автора. Проявления

     те же.

 

Erase-1563

     Слегка подправленный вариант предыдущей версии.

 

Erase-777

     Заражает COM и EXE,  резидентный.  Стирает все файлы с расширениями

     ".C", "PA?", ".AS?", ".IC?", ".LZ?". Портит дискеты.

 

Harm-1082

     Заражает только  EXE, резидентный.  Содержит закодированные  тексты

     "Eat me  Lozinsky!" и  "Harmless v1.0,  10/06/92  Tyumen".  Уместно

     заметить,   что   безвредных   вирусов   не   бывает   по   причине

     безграмотности их  авторов. В  частности, данный  вирус  безнадежно

     портит все сегментированные и некоторые другие программы.

 

China-777

     Заражает только COM.  Поиск в текущем каталоге.  В 13 часов выводит

     текст  "The China Syndrome Version 1.00a Written by :  Crypt Keeper

     Well,  I guess you found the sectors...  You got a warning...  This

     program  was  written  in  the city of Cincinnati.  Non-destructive

     version - A-".  После этого может испортить информацию  на  текущем

     диске. К счастью, алгоритм не работает на дисках больше 32 Мб.

 

China-1824

     Заражает  COM  и  EXE,  резидентный.  Из-за  ошибок  иногда  вешает

     систему. 4-го июня выдает на экран:

     Eternal glory to those Chinese people who fell in 1989,

            in the noble struggle for freedom of speech, expression,

            the press, assembly, association, procession,

            demonstration and the freedom to strike!

 

            Not one single drop of blood, not one single tear,

            not one single act of courage will have been wasted in vain.

 

            Wild grasses spreading o'er the plain

                 With every season come and go.

            Heath fire can't burn them up, again

                 They rise when the vernal winds blow.

 

Zattr-382

     Заражает только COM, резидентный. У заражаемых файлов портит дату и

     время. Всем  открываемым  файлам  (не  только  программным)  ставит

     нулевые атрибуты.

 

EXE-222

     Заражает только  EXE, резидентный. Файлы заражает только при записи

     (копировании). Длину  не меняет. Содержит две ошибки, из-за которых

     его работоспособность довольно низкая.

 

EXE-223

     Заражает только EXE, резидентный. Организован довольно оригинально.

     Не меняет длины заражаемого файла,  но может заразить далеко не все

     EXE-программы.

 

EXE-323

     Заражает только  EXE,  резидентный.  По  7-м  и  18-м числам портит

     случайные сектора на первом твердом диске.

 

EXE-334

     Заражает только EXE,  резидентный. Не заражает программы, у которых

     SP=200, в частности, NC.EXE.

 

EXE-394

     Заражает только EXE, резидентный. Бездарный плагиат из BootEXE-451.

 

EXE-410

     Заражает только  EXE,  резидентный.  Не  меняет  длины  заражаемого

     файла,  но может заразить далеко не все EXE-программы.  У  адаптера

     EGA через 5 минут меняет один параметр настройки, в результате чего

     изображение на экране принимает довольно  странный  вид  (сбивается

     вертикальная развертка).

 

EXE-388

     Заражает только EXE,  резидентный.  При переключении экрана в режим

     320x200x256 перезагружает систему.

 

EXE-283

     Заражает только  EXE,  резидентный.  Довольно  опасен из-за ошибок.

     Есть текст "Dina v4.2r".

 

Tu-482

     Заражает только  COM, резидентный.  В заражаемые файлы со смещением

     1000h пишет символы "Tu".

 

Tu-2500

     Заражает COM,  резидентный. При нажатии Ctrl+Alt+Del с вероятностью

     1/256 предусмотрено исполнение какой-то музыки. Мне кажется, что из

     -за ошибок будет лишь повисание системы.

 

Vologda-723

     Заражает только  COM, резидентный. Насколько можно понять, у автора

     большие планы по выпуску новых версий вируса.

 

AVV-1667

     Заражает только  COM в  текущем каталоге.  Самое интересное  в этом

     вирусе, что  его автор считает его антивирусным средством! В момент

     запуска зараженной  программы производится просмотр всех COM-файлов

     в текущем  каталоге и  проверка их  по ряду мелких признаков, среди

     которых и  60 секунд  во времени  создания. При обнаружении чего-то

     выдается сообщение "Warning! In file ....... may be virus". Ко всем

     "чистым" файлам  он себя дописывает в начало. Мало нам пакостников,

     так еще и благодетели появились!

 

AVV-2300

     Дальнейшие изыскания того же благодетеля. Обозначен как версия 1.12

     и обещано обнаружение более чем 200 вирусов.

 

Suriv-897

     Заражает только  COM, резидентный. 1-го апреля выдает текст: "APRIL

     1ST HA  HA HA  YOU HAVE  A VIRUS"  и вешает  систему, а  после 1-го

     апреля при  загрузке каждой  программы -  текст: "YOU  HAVE A VIRUS

     !!!".

 

Suriv-1000

     Заражает только COM, резидентный. Что-то делается с клавиатурой, но

     смысла этой деятельности я не понял.

 

NG-706

     Заражает только   COM,   резидентный.   Для   пущей  оригинальности

     производит заражение поиском в текущем каталоге на каждом четвертом

     вызове  INT 28,  если в промежутке была запись на какой-то диск.  В

     начале закодированный текст "New Generation  v.2.1  (NG-2.1  Ukr)".

     При  первом запуске зараженной программы не исполняет ее,  а выдает

     текст "Bad command or file name".

 

NG-914

     Заражает только  COM, резидентный.  В  начале  есть  закодированный

     текст: "NG-2.2 Ukr".

 

NG-1036

     Заражает только COM, резидентный. Есть закодированный текст "NG-2.3

     Ukr".

 

AMT-3000

     Заражает только  EXE, резидентный.  Не заражает  наиболее известные

     антивирусные  программы  и  TLINK.  После  666  загрузок  одной  из

     зараженных программ предполагается порча первого твердого диска.

 

AMT-4000

     Заражает только  EXE, резидентный.  Предполагаются пакости в момент

     записи в  файлы, имеющие расширения имени: OBJ, LIB, TPU, TPL, ARJ,

     $00, ZIP, ARC, LZH, ICE. В сути этой пакости я не разобрался.

 

ZYX-644

     Заражает только  COM, резидентный.  Портит атрибуты и дату создания

     файла.

 

MWS-788

     Заражает только COM, резидентный. Резидент содержится в видеопамяти

     и при  явной опасности  отключается. В начале слегка закодированный

     текст: "(C)MWSoft,1993 Rookie".

 

Fans-500

     Заражает только COM,  резидентный.  Есть закодированный текст "Fans

     Ver 0.00".

 

Fans-560

     Заражает только  COM, резидентный.  В  конце  закодированный  текст

     "Fans Ver 0.01"

 

XAM-797/821

     Заражает COM (797) и EXE (821), резидентный. Содержит тексты: "Wait

     viruses XAM", "Hi, Dmitriy Nikolaevich!".

 

XAM-278

     Заражает только EXE,  резидентный.  Размещается в  EXE  Header  при

     наличии  там  свободного  места.  Перехватывает  INT 16 и,  получив

     управление, ищет объекты для заражения в системных буферах.

 

Zelen-379

     Заражает только  COM, резидентный.  Портит атрибуты  и дату  файла.

     Содержит в конце текст: "Virus ZELENTSOV".

 

Micro-92

     Заражает  только  COM,  резидентный.  Написан  удивительно  изящно.

     Особенно приятно, что прислал мне его из Санкт Петербурга сам автор

     -  Соловьев   Михаил   Анатольевич,-   причем   гарантировал,   что

     распространяться он не будет. В Aidstest он включен лишь в качестве

     украшения коллекции.

 

Micro-66

     Заражает только COM,  резидентный.  Это,  конечно,  невозможно,  но

     Игорь Данилов сумел его сделать!  Есть еще и  86,  80,  76,  но  на

     свободе  им  не гулять,  поэтому в Aidstest вставлен только текущий

     рекорд. Мне кажется, что его побить невозможно, но...

 

Micro-60

     Заражает только COM, резидентный. Автор Дмитрий Кубов.

 

Micro-59

     Заражает только COM,  резидентный.  Рекорд,  но я  уже  не  решаюсь

     утверждать, что его не побьют.

 

GJV-308

     Заражает только COM, резидентный. Предельно примитивен, портит дату

     файла, не работает на машинах с процессором 8088 или старше 80286.

 

GJV-532

     Заражает только  EXE,  резидентный.  После  17.00  изображает очень

     примитивное осыпание букв. Есть текст "G.J.V Tver".

 

GJV-776

     Заражает только EXE,  резидентный.  Дату не портит, но процессорами

     старше 80286 еще не разобрался.

 

Mirror-1056

     Заражает только  EXE, резидентный. Содержит слово "Mirror". Начиная

     с марта 1993 на адаптере EGA/VGA меняет изображения символов первой

     половины на зеркальное.

 

Keypress-1495/1735

     Заражает COM  (1495) и  EXE (1735),  резидентный.  Очень  похож  на

     V-1232. Начиная  с июня  1993-го через  каждые 4  минуты собирается

     выдавать в клавиатурный буфер текст: "Mubark is caw".

 

Keypress-1600/1840

     Заражает COM  и  EXE,  резидентный.  Выдает  в   буфер   клавиатуры

     попеременно "HELLO SHSHTAYY", "GODBYE AMIN", "ZAGAZIG UNIVER"

 

Surgut-1410

     Заражает COM  и MBR  диска "C:".  Остается резидентным  только  при

     загрузке с  зараженного диска.  Старый MBR  прячет в 0/0/5. Заметно

     намерение автора в следующих версиях заражать также EXE и драйверы.

     По имеющейся информации обнаружен в Сургуте.

 

Surgut-360

     Заражает только COM.  Поиск в текущем каталоге. В начале текст "I'm

     GIDRA v1.5 from Surgut.".

 

Paramon-917

     Заражает только  EXE, резидентный.  Не  проверяет  свое  наличие  в

     файле, поэтому  заражает многократно.  При  округлении  заражаемого

     файла до кратного 16 пишет текст "Paramon.Paramon".

 

Sept13-432

     Заражает только  COM, резидентный.  13 сентября  стирает 13  первых

     секторов диска C: (логического).

 

Sept13-440

     Заражает только COM, резидентный. Эта версия, вместо порчи диска 13

     сентября, в 12-м часу устраивает мелкую пакость на экране (сдвигает

     информацию на 5 строк).

 

DiS-1024

     Заражает только EXE, резидентный.Из-за ошибки перед собой пишет еще

     не меньше  531 байта. Иногда пытается стереть Boot Sector дисков A:

     и  B:,   медленно  выдает  тексты:  "  ***The  Heaven  Version  3.0

     (C)Copyright 1993  DiS co.***  " и  "***If you  can read this , you

     don't need glasses!***", а затем вешает систему.

 

ZRK-2435

     Заражает EXE  и COM,  резидентный.  Содержит  специальные  средства

     борьбы против  трассировки на  386 процессоре,  однако не учитывает

     одну его  простейшую особенность,  из-за  которой  зараженные  EXE-

     программы на  нем вешают  систему. Имя "ZRK" выбрано, поскольку так

     его опознает Scan.

 

YaQi-3072

     Заражает COM, EXE и MBR первого твердого диска. COM и EXE различает

     по имени,  в связи  с чем  COM-файлы  с  расширением  EXE  портятся

     безнадежно. 4-го  мая может  стереть с  диска очень  многие  файлы,

     выводя  при  стирании  каждого  послание,  адресованное  "YqR".  По

     воскресеньям может  портить регистры  клавиатуры. В середине вируса

     виден текст:  "Welcome! Auto-Copy  Deluxe R3.00  (C)Copyright 1991.

     Mr. YaQi.  Changsha China  No one  can Beyond  me!", а  в конце и в

     зараженном MBR: "New Century of Computer Now!".

 

Nygus-752

     Заражает EXE  и COM,  резидентный. COM  и EXE  различает по  имени.

     Портит время  создания и  атрибуты файла.  Содержит  ошибку,  из-за

     которой у зараженных COM-файлов часто бывают испорченными 5 байт со

     смещением 5  от начала. Восстановить их Aidstest не может. Содержит

     закодированный текст: "(c)Nygus v2.0".

 

Wildy-354

     Заражает  только   COM,  резидентный.   Не  работает   при  наличии

     монохромного монитора. Видно слово "WILDY".

 

Ice-734

     Заражает только COM, резидентный. На цветном мониторе слишком часто

     устраивает шутку  с последовательным стиранием всех букв и цифр. Со

     смещением 3 от начала файла ставит слово "Ice".

 

Ice-746

     Заражает только  COM,  резидентный.  Часто  пытается  инвертировать

     первое  слово  случайного  сектора  диска.  К  счастью,  не  всегда

     успешно.  Подключаясь к одной из  BIOS-функций  вывода  символа  на

     экран,  иногда  добавляет два лишних символа.  В начале зараженного

     файла видно "Ice".

 

Reset-352

     Заражает только  COM, резидентный. Через некоторое время (не больше

     часа) перезагружает систему.

 

Udm-559

     Заражает только  EXE, резидентный.  Не работает на XT. Портит время

     файла -  устанавливает на  момент последнего  ее запуска. Не всегда

     корректно  передает   параметры  зараженной   программе.  После  64

     запусков одной из зараженных программ пытается испортиь диск "A:".

 

UFO-2728/2984

     Заражает COM  (2728), EXE  (2984) и BOOT дискет емкостью до 360 Кб,

     резидентный. Через  час в  первой строке  цветного монитора выводит

     тексты "The  U F O  Club" и "FO-4 By Faisal-Andre-Akhmad Klp Gading

     Jakarta Utara"  с  цветовыми  и  динамическими  эффектами.  Заметно

     родство с "Mubark-1495".

 

UFO-1468

     Заражает только EXE,  резидентный.  После каждых 3000 прерываний от

     клавиатуры  выводит  на экран один из четырех текстов.  Один из них

     "THEY...  are here !", а остальные воспроизводить не хочу. После 10

     таких событий стирает CMOS,  предварительно выведя текст "I am sick

     of a bullshit",  а после него  много  мусора.  Из-за  ошибки  может

     устанавливать файлу случайные атрибуты.

 

Vova-8896

     Очередной вирус  на Паскале.  Заражает  только  COM.  Из-за  ошибок

     большинство файлов  стирает и  завершается  сообщением  об  ошибке.

     Предполагается вывод  текста "***  VoVaVir 3.0  (c) 3/9/92 by Vova,

     Tatarstan,SPTU-12 ***".

 

Vova-9904

     Заражает только COM. На этот раз объявлено, что это версия "3.3 for

     Marina".  За  счет  дополнительных  возможностей   повышены   шансы

     повесить систему.

 

Vova-12560

     Заражает COM и EXE.  Изготовлен на  Паскале.  В  зараженных  файлах

     меняет  пары  байт  со значением 0CD21h (команда INT 21) на 0CD65h.

     При лечении производится  обратная  замена,  но  она  иногда  может

     оказаться  неправомочной,  в  результате  чего восстановленный файл

     может быть испорчен.  Судя по тексту внутри, изготовлен неким "Vova

     of Ufa" в честь "LENA".

 

PI_PI-1552

     Заражает COM  и EXE,  резидентный. Алгоритм  заражения EXE  взял из

     Jerusalem, в  связи с чем портит сегментированные. В качестве шутки

     выдает на монохромный монитор мигающую надпись "PI_PI".

 

VIV-524

     Заражает только  COM, резидентный.  В начале  зараженных файлов  со

     смещением 3 стоит "VIV".

 

Lostkey-1200

     Заражает только  COM, резидентный.  Довольно часто блокирует ввод с

     клавиатуры. Сделан  с  большими  претензиями  на  оригинальность  и

     большим количеством ошибок, которые, к счастью, не должны приводить

     к тяжелым последствиям.

 

Try-1074

     Заражает только COM, резидентный. Судя по заготовкам, автор намерен

     в  дальнейших  версиях  заражать  и  EXE.  В  начале  виден  гордо-

     безграмотный текст "Try to DIE".

 

Vinnitsa-1620, -1658

     Заражает EXE  и COM,  резидентный. В  начале зараженных  COM-файлов

     стоит текст  "Vinnitsa 1992  year"  или  часть  его.  В  DBF-файлах

     постоянно портит  случайные байты  в  начале  -  записывает  в  них

     значение, равное  смещению от  начала файла. Иногда может испортить

     несколько случайно  выбранных секторов на диске, испортить в памяти

     переменные, управляющие экранным адаптером,  или записать случайное

     значение в случайный порт.

 

Warlock-666

     Заражает только  COM.  Поиск  в текущем и корневом каталогах.  Есть

     закодированное слово "WARLOCK".

 

Warlock-1672

     Заражает COM и EXE, резидентный. Заражает файлы с расширениями COM,

     EXE,  OVL  и  DBF,  причем,  если  в  начале  стоит  байт с нулевым

     значением, пишет поверх начала 32 нуля. Есть текст "WARLOCK".

 

Warlock-1817

     Заражает COM  и EXE,  резидентный. Портит  DBF-файлы. У тех из них,

     которые имеют  в начале  байт со  значением 3,  забивает 32 байта в

     начале, а  остальные заражает  как COM.  Последние  Aidstest  может

     исправить. Содержит закодированный текст "Revenge of WARLOCK!".

 

Warlock-2879

     Заражает COM  и  EXE,  резидентный.  Портит  первые 32 байта у всех

     файлов, начинающихся на 03, и всех, кроме EXE, после 30 заражений в

     одном   сеансе.   Весьма   старательно  скопировано  почти  все  из

     "музыкальной" серии.

 

MIREA-930

     Заражает EXE  и COM,  резидентный. После  1000 нажатий  на  клавиши

     заменяет следующие  7 символов на " МИРЭА ". Не заражает Aidstest и

     Scan.

 

MIREA-958

     На этот  раз текст  состоит из 10 символов " МИРЭА II ", а в начало

     вируса добавлен текст "HELLO HACKERS FROM MIREA".

 

Julia-1027

     Заражает  EXE  и  COM,  резидентный.  Из-за  больших  претензий  на

     оригинальность довольно  быстро вешает  систему. Предусмотрен вывод

     на консоль  текстов "Julia L." и "Today is May Day", однако до того

     система также повисает.

 

Julia-1000

     Имеется  указание   о  том,   что  это  версия  3,  однако,  ничего

     принципиально нового  обнаружить не  удалось. Система виснет так же

     быстро.

 

Julia-240

     Заражает только COM, резидентный. В конце видно "Julia".

 

Julia-600

     Заражает только COM поиском в текущем каталоге и C:\COMMAND.COM. По

     первым   числам   в   текущем   каталоге  создает  файл  DIRINFO  с

     изображением сердца с надписью "FOR JULIA".  В конце видно "Julia".

 

Cobra-400

     Заражает только  COM в  текущем каталоге  и COMMAND.COM.  В  начале

     стоит "Cobra".

 

RV-1355

     Заражает только  EXE, резидентный.  Символы "RV" ставит как признак

     зараженности в  позицию контрольной  суммы  (+18).  Содержит  целый

     букет пакостей,  производимых в  разное время.  От взаимной  замены

     кодов Escape  и Enter,  мелких замен  и дополнений  при  выводе  на

     печать, помех  при работы  с дискетами,  до полной  порчи некоторых

     файлов.

 

Fred-657

     Заражает только  COM, резидентный.  Видны  слова  "Fred"  и  "COM".

     Заметно намерение автора продолжать свои труды.

 

CCC-381

     Заражает только EXE, резидентный. Достаточно быстро вешает систему.

 

Sauron-375

     Заражает только  COM, резидентный.  В середине  текст "SAURON-1". В

     версиях MS DOS с 5.0 сразу вешает систему.

 

SSI-623

     Заражает только COM, резидентный. В конце текст "SSI v. 1.00".

 

SSI-945

     Заражает COM  и EXE, но из-за ошибки многие EXE и некоторые COM при

     этом делает неработоспособными. В конце текст "SSI v. 2.01".

 

SSI-1428

     Заражает COM и EXE,  резидентный.  Переписано основательно,  но при

     полном отсутствии чего-то нового.

 

Omsk-560

     Заражает только   COM,  резидентный.  Предусмотрена  порча  первого

     твердого диска. В начале текст "OMSK 02.12.93", а в конце "WARIOR".

 

Omsk-1855/2000

     Заражает COM и EXE, резидентный. Заражает только файлы, создаваемые

     на дисках  "A" и "B", и "c:\command.com". При заражении COMMAND.COM

     длину не  меняет, во  всех остальных случаях удлиняет файл на 2000.

     Номинальная  длина   показывает  размер  самого  вируса.  Блокирует

     форматизацию дисков.

 

Omsk-1860/2000

     Заражает и файлы, открываемые на дисках "A" и "B".

 

Omsk-2365

     Заражает COM  и  EXE,  резидентный.  В  этой  версии  предусмотрена

     особенно  гнусная пакость - в ноябре при некоторых операциях записи

     информация сдвигается на 1 байт.

 

Omsk-2329

     Заражает COM и EXE,  резидентный.  Пакость при  записи  (см.  2365)

     творит по пятницам.

 

Omsk-2754

     Заражает COM и EXE,  резидентный.  По первым числам стирает  первый

     твердый  диск и выводит текст "Hello!  I am the Little Cat - lovely

     VIRUS !".  Но предварительно,  соблюдая кодекс чести палача,  лечит

     COMMAND.COM.

 

CSF-240

     Заражает только  COM, резидентный.  Пишется в  начало файла.  В его

     конце видны символы "csf".

 

Kamchatka-1000

     Заражает только  COM в  текущем каталоге.  Иногда выдает один из 13

     текстов  типа   "Water  detect  in  Co-processor  !",  одновременно

     излечивая запущенную программу.

 

Kamchatka-1575

     Заражает только   COM.   Заражает   поиском  на  текущем  диске.  В

     зашифрованном теле вируса имеются тексты:  "Friday I'm in LOVE  !",

     "No  smoking,  please !  Thanks.",  "Kamchatka".  Заметно родство с

     Kamchatka-1000,  но на этот  раз  накручено  сверх  всякой  меры  и

     необходимости.

 

Kamchatka-326

     Заражает только  EXE,  резидентный.  Не  меняет   длину.   Применен

     алгоритм   заражения,   который  приводит  к  тому,  что  программа

     загружается  в  память  со  смещением.   В   результате   некоторые

     зараженные  программы оказываются неработоспособными.  В частности,

     многие системные программы MS DOS,  которые  при  загрузке  выводят

     сообщение  "Packed  file  is  corrupt".  К  сожалению,  полноценное

     лечение от этого вируса невозможно.

 

Paul-1536

     Заражает COM и EXE, резидентный. Близко от конца видно "1992.".

 

Arus-817

     Заражает COM  и EXE, различая их по имени, резидентный. В 1994 году

     намерен  включать  шутку  -  эмуляцию  ввода  с  клавиатуры  текста

     "Arusiek R.".

 

Dubna-1244

     Заражает  EXE   и  COM,   резидентный.   Не   заражает   EXE-файлы,

     запакованные LZEXE.

 

TSTU-550

     Заражает только EXE, резидентный. Портит атрибуты файла.

 

Sixteen-512

     Заражает только  COM, резидентный.  Плагиат из  V-512 с сохранением

     ошибок, но  без некоторых тонкостей. Добавлена порча диска C: после

     27-го числа. В конце много 38 байтов с кодом 16h.

 

Trash-1024

     Заражает только  EXE, резидентный. В середине текст "(C) 1993 Trash

     Soft & HardWare".

 

Bob-448

     Заражает только  EXE, не  меняя длины  файла, резидентный.  В конце

     вируса имеется текст "Work448(Bob)".

 

Small)

     Продолжение групп Tiny и Mini, когда одна и та же длина встречается

     в третий  раз.  Все заражают только COM,  резидентны и не сохраняют

     дату создания файла.

 

Small-122, -130

     Безнадежно портят программы короче собственной длины.

 

Small-132, -140, -178, -200

 

Crimea-490

     Заражает  только   COM.  Программа,   из  которой   он   становится

     резидентом, не исполняется. Портит дату файла.

 

Crimea-1582

     Заражает COM и EXE,  резидентный. С претензией на невидимость. Если

     в одном сеансе удается заразить 47 файлов, переводит экран в формат

     40x25 и выводит тексты,  в том числе "Do not interrupt;  the  D.A.C

     action.", "Simferopol-city. Written by M>2,F<2,T>2".

 

Mill-2189

     Заражает COM  и EXE,  резидентный. В  качестве даты всех зараженных

     файлов ставит  31 апреля.  После 25  заражений  на  цветном  экране

     начинает "вращать" все символы "\|/-".

 

Star-486

     Заражает только  COM,  резидентный.  Портит  дату  файла.  В  конце

     "STAR5".

 

MzBoot-464

     Заражает EXE, не меняя их длину, и MBR. В начале стоит "MzBoot" а в

     середине видно "(c) Андрюшка". Дальнейшее развитие Multi-384.

 

VS-612

     Заражает только  COM, резидентный.  Портит дату  создания файла.  В

     конце текст "VS-01. (C) ViruSystems inc.$VS".

 

VS-2790

     Заражает COM  и EXE, резидентный, невидимый. В конце текст "VS-061-

     "STEALTHIE" (C)  1993 ViruSystems  inc.$VS". При отсутствии ввода с

     клавиатуры в течение 6 минут играет Гимн СССР.

 

VS-3900

     Заражает COM  и EXE,  резидентный, невидимый. В конце зашифрованный

     текст "VS-071-"GHOST"  (C) 1993  ViruSystems inc.".  При отсутствии

     ввода с  клавиатуры в  течение 15 минут играет одну из 4 мелодий, в

     том числе Гимн СССР.

 

VS-4000

     По авторской нумерации версия 7.2.  Содержит  особую  благодарность

     Е.В.Касперскому.

 

VS-1000, -985

     Заражает только EXE,  резидентный.  Свое наличие отмечает символами

     "VS"   со   смещением  26  от  начала  файла  (параметр  Overlay  в

     заголовке).

 

Athens-1561

     Заражает COM  и  EXE,  резидентный,  невидимый.  Содержит  в  конце

     закодированный текст "TROJECTOR ]I[,(c) Armagedon Utilities, Athens

     1992, Greetings  to Vesselin". Блокирует чтение блоков длиной 16 Кб

     из первого открытого файла (File Handle 5).

 

E_burg-1000

     Заражает только EXE, резидентный. Содержит много следов ковыряния в

     глубинах операционной  системы, а  также ошибки, приводящие к очень

     быстрому ее повисанию.

 

Night-2048

     Заражает  COM   и  EXE,  резидентный.  Не  заражает  COMMAND.COM  и

     AIDSTEST. После  каждого заражения  (автор собирался  сделать после

     15, но  ошибся) издает  серию писков, устанавливает дату 1 апреля и

     через некоторое время выдает на экран текст, соответствующий уровню

     интеллекта автора.

 

CLI-1345

     Заражает COM и EXE, резидентный, частично невидимый. Примерно через

     50 минут после загрузки начинает призводить мелкие шутки - вызывает

     INT 2,  надеясь вызвать  сообщение об ошибке четности, или, если не

     ошибаюсь,  меняет  случайным  образом  цвнта  символов  на  экране.

     Содержит текст "** CLI&HLT (C) Hackers Group **".

 

Calm-1153

     Заражает только  COM, резидентный.  3 марта  выдит на  экран  текст

     "OK!! NOW  KEEP CALM  AND LIE  DOWN ON  THE  FLOOR  --  THIS  IS  A

     VIRUS!!!!"  и  включает  оригинальный  алгоритм  осыпания  букв  на

     экране.

 

Slash-457

     Заражает  только  EXE,  резидентный.  Опознает  себя  в  памяти  по

     символам "//" в начале. В поле Overlay ставит значение 1234h.

 

Grozny-999

     Заражает COM  и EXE, резидентный. Исходную длину файла восстановить

     невозможно, поскольку  до заражения  к  нему  дописывается  до  255

     случайных байт.  При запуске  Aidstest выдает  текст "Господа  ! Hе

     веpьте AIDSTESTу  ! Он  пpинесет вам беду ! Дедушке Лозинскому поpа

     на пенсию.".  Рядом имеется  закодированный текст  "Для Лозинского:

     это далеко не последняя веpсия, ждите новые "пакости" из Гpозного",

     однако, пока ничего оригинального обнаружить не удалось.

 

DBF-734

     Заражает только  COM, резидентный,  не меняет  длину. Иногда  может

     безнадежно портить DBF-файлы.

 

August-600

     Заражает только  EXE, резидентный.  Начиная  с  августа  при  любом

     запуске зараженной программы стирает Partition Table.

 

Incom-648

     Заражает только COM, поиском в текущем каталоге. Изредка устраивает

     мелкую шутку с палитрой адаптера типа EGA.

 

Wishes-970, -981

     Заражают EXE  и COM,  резидентные. Различают EXE и COM по именам. В

     Boot всех  дисков постоянно  уменьшают, а  в пятницу 13-го обнуляют

     параметр размера диска. В конце текст "With Best Wishes".

 

Wishes-1024

     Заражает COM и EXE. Содержит безграмотный плагиат из чужого вируса,

     в   результате   чего   очень   быстро   делает   неработоспособной

     операционную систему.  Предусмотрено периодическое  уменьшение, а в

     пятницу 13-го  и обнуление параметра размера диска (BOOT+13h). Если

     у вас  произойдет такое  на твердом диске, для восстановления можно

     использовать значение  из Partition  Table. Лечение возможно только

     при загрузке  с чистой  операционной системы,  поскольку зараженная

     успевает безнадежно испортиться до начала работы программы.

 

MIFI-1489

     Заражает    только    EXE,    резидентный.     Безнадежно    портит

     сегментированные  программы  (Иерусалимский   алгоритм).   Надеется

     блокировать   работу  Aidstest  при  помощи  уже  не  оригинального

     алгоритма, планируя при этом выдать на экран текст,

     "В памяти  Вашего  компьютера  обнаружено нечто,  весьма похожее на

     AIDSTEST.  Отошлите  его  Лозинскому  и  больше   никогда   им   не

     пользуйтесь".

     Виден текст "Лозинскому  Д.Н.  посвящается".  Среди  закодированных

     текстов есть "Хрюша V1.0 (C) 1992 МИФИ-"Ф", by S.N.".

 

Pages-421

     Заражает  только   COM,  резидентный.   Через  каждый   час  6  раз

     переключает страницы экрана (мигание экрана).

 

Pages-498

     От 421  отличается исполнением  и дрожания  экрана в горизонтальном

     направлении.

 

TridenT-3010

     Заражает COM и EXE, резидентный. Не слишком аккуратно реализованная

     невидимость может  приводить к  порче файлов. В основном компиляция

     из известных вирусов. Старается не заражать AIDSTEST, COMMAND.COM и

     ADINF. Scan  опознает его  как TridenT,  однако явно  путает его  с

     другим вирусом.

 

Kurgan-919, -939, -948, -1624, -1654

     Заражают COM  и  EXE,  резидентные.  Все  в  начале  содержат слово

     "command".  Отличаются один от другого только "шутками". 919 иногда

     переключает  состояние  "Num  Lock".  В  939  и  948  предусмотрено

     изменение некоторых букв на экране,  но в 939 это  не  срабатывает.

     1624  и  1654  содержат  переписанный  из Cascade алгоритм осыпания

     букв. 1654 кроме того портит в CMOS параметры дискет.

 

Mxx-1227/1223

     Заражает COM   и   EXE,   резидентный.   Плагиат   из  классических

     "музыкальных",  но без всех  тонкостей  и  эффектов.  Очень  быстро

     начинает стирать все программы.

 

Mxx-2433

     Заражает COM  и  EXE,  резидентный.  Плагиат из M2C.  Все непонятые

     места отключены. Ничего нового не добавлено.

 

Anti_font-964

     Заражает только  COM,  резидентный.  Безнадежно  портит все файлы с

     расширениями SFP,  SFL,  LOD,  WID,  FON,  CDR, MEM, PRG, DBT, FRM,

     многие  из  которых  обычно содержат начертания символов.  Содержит

     текст "Data Base Killer Version 1.0 (C)  CopyRight  1992  By  Virus

     Development  Incorporated.  All Rights Reserved.".  Вызывает частые

     сбои при работе с дискетами.

 

GKChP-800

     Заражает COM   и   EXE,  резидентный.  19-го  августа  стирает  все

     исполняемые программные  файлы.  В  конце  содержит  закодированные

     тексты "ГКЧПП" и "Commonwealth of Independent States".

 

GKChP_S-800

     Заражает COM и EXE.  Заражает поиском во всех каталогах дисков A-D.

     После  19-го  августа  блокирует  работу  системы  - сразу пытается

     сделать перезагрузку. В конце содержит закодированный текст "ГКЧП".

 

Leningrad-2000

     Заражает COM,  резидентный.  После  седьмого  заражения   исполняет

     мелодию  "Семь сорок".  Видны тексты "Эта программа написана мной",

     "Вирус-Квартирус. Ленинград 1992" и  очень  много  раз  повторенное

     "Leningrad".

 

Shift-1024

     Заражает только  EXE,  резидентный.  Производит  мелкие  пакости  с

     регистровыми  состояниями  клавиатуры,   иногда   возможны   потери

     символов.

 

Tremor-4000

     Заражает COM  и  EXE,  резидентный.  При  активизации   вируса   из

     программы,   зараженной   больше  трех  месяцев  назад,  устраивает

     дрожание изображения  на экране.  При перезагрузке  по Ctrl+Alt+Del

     на  экран  выдает  текст

     "-=> T?R?E?M?O?R was done by NEUROBASHER/May-June'92, Germany <=-",

     "-MOMENT-OF-TERRORIS-THE-BEGINNING-OF-LIFE-".

 

Khizhnjak

     За вирусы этой группы следует благодарить автора книги "Пишем вирус

     и  антивирус"  Хижняка.  В  ней  был   опубликован   с   подробными

     комментариями   исходный   текст   абсолютно  примитивного  вируса,

     заражающего COM-файлы в текущем каталоге.  О  таком  подарке  могли

     только мечтать серости с атрофированной порядочностью.  Ниже описан

     личный вклад этой публики.

 

Khizhnjak-155

     Для этой серии пока рекорд. И самая творческая переработка.

 

Khizhnjak-377

     Пытается испортить диск "A:".

 

Khizhnjak-415, -444, -469, -507, -701, -709

     Без особенностей.

 

Khizhnjak-452

     Заражает только EXE.  Меняет,  но не сохраняет регистры  SS  и  SP.

     Из-за  этого  полноценное  лечение  невозможно и многие файлы будут

     неработоспособными.  После заражения выводит на экран  два  символа

     "сердечко".

 

Khizhnjak-496

     При удачном  заражения выдает текст "Hallo!  I have got a virus for

     you!",  после чего на всех машинах,  кроме некоторых PC-XT  система

     повисает.

 

Khizhnjak-509

     Весьма творческая переработка. Заражает не только на текущем диске.

     Кроме  того оставляет резидентную программу из двух команд, которая

     не дает обнулить счетчик, управляющий выключением мотора дискет.

 

Khizhnjak-515

     Зашифрованный. Когда-нибудь  может  выдать  текст  "Ой,  що це було

     мабуть <-НЛО-> !".

 

Khizhnjak-549

     Иногда перезагружает систему. Виден текст "CREATED IN MIREA".

 

Khizhnjak-560

     В  1 час  ночи намерен портить диск C и выдавать "Hello!".  В конце

     видно "Killer-94".

 

Khizhnjak-565

     Может испортить   нулевую   дорожку   диска   "C".  В  конце  текст

     "Killer-94".

 

Khizhnjak-576

     С сентября  собирается  портить  случайные сектора первого твердого

     диска.

 

Khizhnjak-632

     Заражает кроме  текущего  и  корневые  каталоги  дисков "C:" и "A".

     Существует слегка подправленный вариант,  который после 27-го числа

     портит содержимое диска C.

 

Khizhnjak-639

     Даже с кодировкой,  да еще и с вызовом через INT 3. В конце выводит

     текст "From Russia with love!".

 

Khizhnjak-649

     Очень творческая  переработка оригинала.  Часть вируса зашифрована.

     Заражает в текущих каталогах всех  дисков.  В  конце  выдает  текст

     "From Russia with love!".

 

Khizhnjak-676

     При успешном  заражении выдает текст "KIPA Ver1.0 Sergey K.  school

     654 class 9".

 

Khizhnjak-692

     Две разновидности.  Одна  из  них  10-го   марта   стирает   память

     параметров системы (CMOS).

 

Khizhnjak-715

     Заражает только COM.  После заражения выводит текст  "Не  пугайтесь

     !".

 

Khizhnjak-719

     Из-за грубой  ошибки  портит  время  создания  файла.  Очень  часто

     стирает информацию в памяти параметров системы (CMOS).

 

Khizhnjak-726

     При успешном заражении демонстрирует знание автором двух английских

     слов. Работает только на XT.

 

Khizhnjak-731

     Заражает только  COM,  резидентный.  При  успешном заражении выдает

     "Хеллоу !".

 

Khizhnjak-732

     После заражения выводит текст "Hallo ! I have got a virus for you".

 

Khizhnjak-749

     После  каждого  файла   устраивает   цветные  проблески  на  экране

     (переключает палитру).

 

Khizhnjak-752

     В различное время не только устраивает тривиальные шутки на экране,

     но и портит BOOT диска "C:".

 

Khizhnjak-754

     После заражения выводит текст " Привет ! А я уже покушал ...".

 

Khizhnjak-759

     При успешном заражении выдает на консоль:  "Hello!  I  have  got  a

     virus for you!", после чего везде кроме XT вешает систему.

 

Khizhnjak-765

     После успешного  заражения  выдает  "Hello!  I have got a virus for

     you".

 

Khizhnjak-768

     Добавлен "Венский" алгоритм поиска по "PATH=". Через 3 месяца после

     заражения обнуляет первый байт Root Directory,  что делает диск как

     бы пустым.

 

Khizhnjak-774

     Выводит текст "Hallo! I have got a virus for you!".

 

Khizhnjak-776

     Заражает многократно.  19 августа исполняет мелодию.  В конце текст

     "Долой банду Ельцина! Вся власть - Советам!".

 

Khizhnjak-782

     Везде кроме XT  сразу  вешает  систему.  Если  успевает  что-нибудь

     заразить,   выдает   на   экран   текст:  "Евгенич,  ты  скотина!!!

     ХА-ХА-ХА!!!".

 

Khizhnjak-810

     После успешного заражения выводит текст  "Small  present  only  for

     you! Happy New Year!!!".

 

Khizhnjak-812

     Намерен портить 180 секторов текущего диска.  В конце текст "Hello!

     There is a new virus in your computer! Good luck!".

 

Khizhnjak-822

     Очень редко выдает на экран текст "Благополучия и глобальности тебе

     мы".

 

Khizhnjak-823

     В конце текст "Привет системным программистам !!! MGUL !!!".

 

Khizhnjak-846

     Текущий на всех  дисках.  Содержит  текст,  умиляющий  своей  тупой

     самоуверенностью:  "Привет!  Я - добрый вирус!  Я ничего плохого не

     делаю.  Но на моем месте мог бы оказаться злой вирус.  Если  Вы  не

     защитились от меня, то подавно не защитились бы от него. И я просто

     советую Вам работать в  редакторе  <TADE>.  Уж  он-то  защитит  Ваш

     компьютер на 100% от ЛЮБОГО вируса. Вот и все. Пока.".

 

Khizhnjak-847

     Поиск через PATH.  Есть тексты "(C) 1993 AREG Soft" и "Благополучия

     и глобальности тебе мы".

 

Khizhnjak-875

     При успешном заражении выдает текст, распространяющий на всех и все

     известное мнение М.С.Горбачева о членах ГКЧП.

 

Khizhnjak-892

     После успешного заражения включает мотор дискетника.  В конце текст

     "Jeff Lynne&John Lennon#We Like E.L.O.!#v.2.0$".

 

Khizhnjak-933

     После заражения  файла  издает  писк.  8-го  марта  портит  BOOT на

     текущем диске, а 1-го сентября кроме того и стирает все COM-файлы в

     текущем каталоге. Содержит текст: "Created by Death Lord".

 

Khizhnjak-962

     Ищет также и на дисках "A:" и "C:".  В конце текст "Hallo!  I  have

     got a virus for you!".

 

Khizhnjak-990

     Заражает COM и EXE. Очень похож на 1114.

 

Khizhnjak-1011

     Очень творческая  переработка  -  поиск  идет  не  только в текущем

     каталоге,  но и по параметру "PATH=".  В конце текст "MSTU  proudly

     presents  in  1994  (C)Copyleft  IU7-42 Send your special thanks to

     FREZER", который часто выводится на консоль.

 

Khizhnjak-1114

     Заражает COM  и  EXE.  Весьма  творческая обработка первоисточника.

     Добавлено не только заражение EXE,  но и элементы  мутаций.  Иногда

     старается слегка подпортить DBF-файлы.

 

Khizhnjak-1269

     Пытается заражать  также  и в каталогах,  указанных в PATH.  Портит

     месяц в дате файла. Иногда меняет местами адреса INT 40 и INT 41, а

     также  пытается  испортить  диск "C:".  В конце текст "BADWARE FROM

     OREL".

 

Khizhnjak-1134

     Заражает только COM.  Поиск и по PATH. Заражает многократно, выводя

     при каждом заражении "Файл Заражен Успешно !Tapeworm !".

 

KhiDBF-1046

     Заражает COM и EXE.  Поиск в текущих каталогах всех дисков. Заметно

     сильное влияние школы Хижняка. В начале DBF-файлов меняет 03 на 06.

 

MREI-776

     Заражает COM и EXE, резидентный. Работает только в версии 3 MS DOS.

     В  конце  в закодированном виде имеет текст "(C) Student 1993".  Со

     смещением 7 от начала символы "MREI" (возможно,  название  учебного

     заведения).

 

PC_Flu-763

     Заражает только  COM,   резидентный.   Размещается   в   памяти   в

     фиксированном  месте,  не  сообщая  об  этом  системе,  что  быстро

     приводит к ее повисанию. К конце текст "PC-FLU by WIZARD 1991".

 

Macho-3551

     Заражает COM и EXE.  Заражает поиском в текущем  каталоге  и  ниже.

     Старается  все встречающиеся на диске слова "MICROSOFT" заменить на

     "MACHOSOFT" с  сохранением  регистров  букв.  При  этом  в  главном

     каталоге  диска образуется файл "IBMNETIO.SYS",  в котором хранится

     номер последнего просмотренного на данном диске сектора.

 

NetBIOS-4340

     Заражает COM и EXE,  резидентный.  При определенных обстоятельствах

     пытается  разместить  в  памяти  дополнительный  резидент,  который

     должен что-то делать в локальной сети через NetBIOS  (разбираться в

     деталях  у  меня  не  хватило  терпения).  Содержит  довольно много

     ошибок. После 1-го августа старается вылечить все зараженные файлы.

 

Sair-1150

     Заражает COM  и EXE,  резидентный.  При заражении EXE портит время.

     Начиная с апреля 1994 года намерен портить 5 первых цилиндров диска

     C: (вычитать каждый байт из -1), и после этого выдавать текст:

            Ben bir garip  virusum

            Disket disket  gezerim

            Bugun kismet sendeymis

            Yarin  belki  kimdeyim

                                   Sair virus

 

Voco-702

     Заражает COM и EXE. Безнадежно портит (замещает собой начало) EXE и

     COM, обнаруженные при поиске в каталогах, перечисленных в "PATH=".

 

A_DIR-1686

     Заражает только  COM.  Стандартный  "Венский" алгоритм поиска через

     PATH.  Как положено для примитивных  вирусов,  весьма  опасен.  Все

     файлы,  имя  которых  начинается  на  "A"  (не только программные),

     заменяет на вирус DIR.  В октябре стирает все диски  -  текущий  на

     момент запуска зараженной программы.

 

Andreev-805

     Заражает COM и EXE,  резидентный.  Иногда  при  запуске  зараженной

     программы  выводит  текст  "Андреев  -  хам  и  жадина".  Начиная с

     августа, одновременно обнуляет в BOOT байт со смещением 1Ah. Как ни

     странно,  для  исправления  такого  диска  нужна  довольно  высокая

     квалификация.

 

Fear-1645

     Заражает только  COM,  резидентный.  Со  второй  половины  часа  по

     цветному экрану начинает бегать "мячик", отражаясь от препятствий и

     стирая некоторые символы.  Близко от начала вируса виден текст "The

     Retribution", а в конце - "Creater of fear".

 

Explode-1000

     Заражает COM и EXE,  резидентный.  Иногда  при  запуске  зараженной

     программы  устраивает  представление  с  обещанием  взорвать машину

     через 20 секунд.

 

Cock-512

     Заражает только COM.  Заражает поиском в текущем  каталоге.  Иногда

     выводит  на  консоль  два  английских  слова.  В конце текст "Smart

     Cock".

 

Cock-451

     Заражает только COM.  Поиск в текущем каталоге.  Никаких примет, но

     похож на Cock-512.

 

Samara-863

     Заражает только EXE, резидентный. Никаких особых примет.

 

Three-525

     Заражает  только  COM,   резидентный.  После  нескольких  заражений

     перезагружает систему.

 

Stalker-320

     Заражает EXE,  резидентный.  Не меняет длину заражаемого файла. При

     запуске зараженной EXE-программы на чистой системе  заражает  также

     MBR,  после  чего  система  сразу  виснет.  Содержит  "*Stalker*" с

     инвертированными битами.

 

Stalker-310

      Плагиат. Переставлено несколько команд и удалена "торговая марка".

 

Eights-512

     Заражает только   COM,  резидентный.  Кроме  нормального  заражения

     COM-файлов пишет себя в случайные сектора диска  "C:".  В  связи  с

     этим  приходится  при  его  обнаружении  начинать  полный  просмотр

     файлов,  что резко замедляет  работу  программы.  О  начале  такого

     режима работы выдается соответствующее предупреждение.

 

Barrotes-1310

     Заражает COM  и  EXE,  резидентный.  5  января  портит  MBR первого

     твердого диска, выводит на экран текст "Virus BARROTES por OSoft" и

     заполняет экран цветными полосами.

 

Knight-1948/1944

     Заражает COM и EXE,  резидентный.  В начале  вируса  имеется  текст

     "Night  Knight!".  Изготовлен  старательно,  с  многими  элементами

     невидимости.  Заметно стремление обмануть Aidstest.  Судя по всему,

     автор собирается и дальше упорно трудиться над этим вирусом.

 

VVM-204, -205

     Заражает только  EXE,  резидентный.  Не  меняет  длины  заражаемого

     EXE-файла,  записываясь в его заголовок вместо нулей. В конце видно

     "(C)VVM*".    Оба    варианта    различаются    только     приемами

     программирования.

 

VVMa-205

     Заражает только EXE, резидентный. Небольшая переделка VVM-205.

 

VVM-207

     Заражает только EXE, резидентный. В конце символы "XAM".

 

Mike-256

     Заражает только   EXE,  резидентный.  Не  меняет  длины  заражаемой

     программы. Виден текст "(c) MIKE". Очень похож на EXE-223.

 

Mike-252

     Заражает только  EXE,   резидентный.   Отличается   парой   приемов

     программирования.

 

Uncle-1377

     Заражает COM и EXE, резидентный. В начале имеет зашифрованный текст

     "(*) Small Uncle (*)", который в памяти зачем-то расшифровывается.

 

Uncle-1410

     Заражает COM и EXE, резидентный. Старается не заражать COMMAND.COM.

 

NOPm-494

     Заражает только COM,  резидентный.  Довольно  примитивный,  однако,

     автор  явно  собирается  изготовить  большую серию вирусов,  причем

     длиной до пяти килобайт!

 

Loren-1374, -1387

     Заражает COM и EXE,  резидентный.  Размножается  очень  активно.  В

     частности,  при выполнении команды DIR.  Частично невидим. После 20

     заражений стремится испортить диски.  Если ему это удастся, в чем я

     сомневаюсь, должен выдать текст:

        Your disk is formated by the LOREN virus.

        Written by Nguyen Huu Giap.

        Le Hong Phong School *** 8-3-1992

 

SVM-695

     Заражает только COM,  резидентный.  Скрывает изменение длины.  Есть

     закодированный текст "svm killer v 4.0".

 

SVM-1153

     Заражает  COM  и   EXE,   резидентный.   Некоторые   EXE   заражает

     некорректно.  В зашифрованном виде содержит  текст  "svm  killer  v

     5.0".

 

Hobbit-416

     Заражает только EXE,  резидентный.  Не меняет  длину.  Видно  слово

     "HOBBIT".

 

Ret-641

     Заражает только COM,  резидентный.  Весьма примитивный. Портит дату

     создания   файла.   Первым   делом   старается  заразить  командный

     процессор.

 

VM-3275

     Заражает COM,  EXE и SYS,  резидентный.  На всех дисках, содержащих

     систему,  записывает файл VMEM.SYS и в начало CONFIG.SYS  вставляет

     команду  его  загрузки.  Не  заражает SCAN и CLEAN.  Все зараженные

     файлы  получают  нулевой  день  в  дате  создания.   AIDSTEST   при

     обнаружении  на  диске  VMEM.SYS  стирает  его,  а лишнюю строку из

     CONFIG.SYS  не  удаляет.  Это  можно  сделать  при  помощи   любого

     редактора текстов.

 

Sarov-1200

     Заражает только COM,  резидентный.  Несколько переработанная версия

     Lostkey-1200,  но с тем же набором  ошибок.  В  середине  появилась

     подпись   автора  (или  плагиатора)  "BIL_92_Sarov",  зашифрованная

     вместе с вирусом.

 

Spider-948

     Заражает COM и EXE, резидентный. По ошибке портит адреса прерываний

     23  и  24,  что  может  часто приводить к повисанию системы.  Имеет

     закодированный текст "Red Spider Virus  created  by  Garfield  from

     Zielona Gora in Feb 1993".

 

MGUL-925

     Заражает COM и EXE,  резидентный,  частично невидимый. Из-за ошибки

     зараженные файлы получают случайную дату.  Через  каждые  10  минут

     проверяет     режим     экрана,     и,     обнаружив    нечто    не

     тривиально-символьное,     перезагружает     систему.     Очевидно,

     предполагалась  борьба  против  игр.  Текстов  нет.  Принадлежность

     семейству определена по почерку.

 

MGUL-944

     Заражает COM и  EXE,  резидентный,  частично  невидимый.  Блокирует

     исполнение  ADinf.  Hе заражает Aidstest и Scan.  Иногда портит MBR

     (кодирует операцией XOR 34).

 

MGUL-950

     Заражает COM и EXE,  резидентный, частично невидимый. 30 ноября, 11

     июня,  31 декабря стирает с диска C:  Boot и MBR.  В конце  имеется

     текст "МГУЛ. ВТБ-11. v1.0".

 

MGUL-1953

     Заражает COM  и EXE,  резидентный,  невидимый.  30 ноября и 11 июня

     стирает MBR диска "C:". В конце видно "MGUL. v2.5".

 

MGUL-1962

     Заражает COM  и EXE,  резидентный.  30 ноября и 11 июня стирает MBR

     диска "C:".  При запуске на  исполнение  стирает  Aidstest,  ADinf,

     Scan, -V. В конце видно "МГУЛ. v2.0".

 

Nov_17-800

     Заражает COM  и  EXE,  резидентный.  17  ноября  стирает  8  первых

     секторов со всех дисков. Не заражает SCAN и CLEAR.

 

Nov_17-768

     Заражает COM и EXE,  резидентный. Размножается несколько медленнее,

     чем 800.

 

BBS-1258/1514

     Заражает COM и EXE,  резидентный.  При заражении EXE пишет в начале

     дополнительные 256 байт.  Попадая на BBS стремится зарегистрировать

     на ней пользователя с именем "Platon Potapov",  обладающего высшими

     привилегиями.

 

BBS-1000/1256

     Заражает   COM   и   EXE,   резидентный.    Ближайший   родственник

     BBS-1258/1514,  но  без характерной шутки.  В марте намерен стирать

     720 секторов текущего диска. Есть текст "King worm".

 

Pong-691

     Заражает только COM, резидентный. Портит дату создания файла. После

     8 заражений устраивает представление с бегающим шариком, выбиванием

     букв и стуком. При этом не проверяется ни тип, ни режим экрана.

 

S_key-240

     Заражает только  COM,  резидентный.  После  нескольких  нажатий  на

     клавишу "S"  делает  перезагрузку  системы.  Наличие  ошибок  может

     приводить к неожиданным последствиям.

 

Angel-1000

     Заражает только   COM,  резидентный.  Заражает  поиском  в  текущем

     каталоге. 29 ноября выводит цитату из Апокалипсиса (7,8).

 

Turbo_C-7924

     Заражает только COM.  Новая большая победа на вирусном фронте - для

     изготовления  вирусов  освоен  еще  один  транслятор.  Объекты  для

     заражения ищет во всех каталогах текущего диска. В качестве пакости

     предусмотрена перезагрузка и порча адреса LPT1,  а также  абсолютно

     бессмысленное  оставление  вируса  в  памяти  в  качестве ничего не

     делающего резидента.

 

Galya-500

     Заражает только    COM,    резидентный.    Продукция    современной

     разновидности "рыцаря" - 17 декабря,  в день  рождения  своей  дамы

     сердца, портит диск "C".

 

Trash-512

     Заражает только EXE,  резидентный. При определенных обстоятельствах

     пишет на диск COM-файлы со  случайным  именем  из  4  букв.  Как  и

     задумал автор, Aidstest опознает их как зараженные вирусом "V-512",

     однако, лечить отказывается (предлагает стереть).

 

Tamanna-1857

     Заражает COM  и  EXE,  резидентный.  Все  зараженные файлы получают

     атрибут Read Only. Старается работать как вакцина - при обнаружении

     заражения еще одним вирусом,  старается его удалить и даже сообщает

     об этом: "File has been modified. Rebuilding...". Временами стирает

     экран, выдает на него ряд текстов и требует нажать клавишу "T".

 

Gelio-1024

     Заражает COM  и  EXE,   резидентный.   Содержит   незадействованные

     заготовки для будущей версии.

 

Veronika-1549

     Заражает COM  и EXE,  резидентный.  Продукция еще одного рыцаря.  В

     конце видно "Veronika P.".  Иногда в BOOT дискет  пишет  программу,

     которая   вместо   загрузки   выводит  на  экран  крупными  буквами

     "VERONIKA".

 

MRTI-577

     Заражает только COM,  резидентный. После 12288 обращений к принтеру

     печатает  на  нем  ">> Привет от АНДРЕЯ МРТИ~93 <<" (где "М" скорее

     всего значит "Минский").  Сделан с претензией на оригинальность, но

     весьма безграмотно. Быстро вешает систему.

 

Metal-400

     Заражает только  COM,  резидентный.  Портит  атрибуты.  Во  времени

     создания зараженных  файлов  ставится  50  секунд.  В  конце  слово

     "MetallicA".

 

Metal-500

     Заражает COM и EXE, резидентный. Не заражает программы, имя которых

     кончается на "ST". В конце слово "MetallicA".

 

Metal-1103

     Заражает COM   и  EXE,  резидентный.  22  апреля  портит  настройку

     видеоадаптеров.  Видны тексты - в начале  "Metallica  Ver  2.2",  а

     ближе к концу "(c) USSR Moscow 92".

 

Birthday-1333

     Заражает COM   и   EXE,   резидентный.   При   обнаружении   версии

     операционной системы,  кроме 3.20, 3.30, 4.0 или 5.0, выводит текст

     "Dec 3 92 is my 20th birthday (V6)".  Размножается весьма  активно.

     Первым  делом  заражает  программу,  заданную  параметром  COMSPEC,

     причем записывается поверх ее конца. При лечении это обстоятельство

     не учитывается, в результате чего программа укорачивается.

 

AntiPAS-602

     Заражает только COM.  Поиск в текущем каталоге и его  подкаталогах.

     Портит  PAS-  и  BAK-файлы  -  записывает  себя в них.  Такие файлы

     Aidstest обнаруживает, но вылечить не может.

 

AntiPAS-642

     Заражает только COM.  Поиск в текущем каталоге и COMSPEC.  Кодирует

     первые 3000 байт программ на Паскале в текущем каталоге.

 

AntiPAS-1186

     Заражает только  EXE,  резидентный.   После   16.00   стирает   все

     PAS-файлы.  Видны  тексты "*.EXE",  ".PAS",  "AIDS",  "SCAN".  Есть

     закодированный текст "Вы больны !".

 

DrWhite-2403

     Заражает COM  и  EXE,  резидентный.  В  зашифрованном  теле  вируса

     имеются  тексты  "Desperado Virus - Written in Malmo",  "Dr White -

     Sweden 1993".  В некоторых случаях может по ошибке  заразить  и  не

     программы.

 

DrWhite-1027

     Заражает COM-файлы,  MBR  и  бутсектор   дискет,   резидентный.   В

     закодированном  теле  вируса есть тексты "Dr White - Sweden 1994" и

     "Junkie Virus - Written in Malmo".

 

DSU-1414

     Заражает COM  и EXE,  резидентный.  После 25-го числа месяца меняет

     при выводе на принтер 'р' на 'г'. Невидимый.

 

DSU-1422

     Заражает COM  и  EXE,  резидентный.  1  апреля  мешает  правильному

     исполнению функции DOS Version.  31 января выводит текст "Happy New

     Year !!!" и перезагружает  систему.  Закодирован,  невидимый.  Есть

     тексты "= DSU RFF =" и "= Dark Angel =".

 

Romania-895

     Заражает только EXE, резидентный. После 10 октября каждые 30 секунд

     играет короткую мелодию.

 

Romania-1054

     Заражает только COM,  резидентный. Есть заготовка для заражения EXE

     и большой кусок лишнего кода.  Оригинально использует INT 24h,  что

     может приводить к неожиданным результатам при ошибках ввода/вывода.

 

Belorussia-459, -463

     Заражают только  COM,   резидентные.   Не   меняет   длины.   Слово

     "Belorussia!" стоит в начале зараженных файлов.

 

Belorussia-1298

     Заражает COM  и  EXE,  резидентный.  Примерно  через 25 минут после

     загрузки  изображает  на  экране  флаг  Белоруссии  или   исполняет

     мелодию.

 

Jos-1000

     Заражает только COM,  резидентный.  При вводе  с  клавиатуры  слова

     "jos"   (по-румынски   -   "долой")  помещает  в  буфер  клавиатуры

     " ILIESCU".  Блокирует загрузку нескольких отладчиков. Видны тексты

     "JABBERWOCKY   (.),  the  first  Romanian  Political  Virussian"  и

     "Release date 12-22-1990".

 

AI-1759

     Заражает только EXE,  резидентный.  Через 6 месяцев после заражения

     может стереть нулевые дорожки дисков "C:" и "D:".

 

Two-600

     Заражает   только   EXE,   резидентный.   Отличается   удивительной

     безграмотностью и подлостью.  Очень часто при операциях  записи  на

     диск  вставляет  2  лишних  байта.  Передавая управление программе,

     портит регистры,  что  обычно  приводит  к  неправильной  обработке

     параметров и повисанию системы.

 

MVF-1953

     Заражает только   COM,  резидентный.  Содержит  большое  количество

     наивных усложнений,  быстро приводящих к повисанию системы. Сбивает

     работу часов. По пятницам 13-го выводит текст:

                 THE MVF-FILEVIRUS

             Programmed 1991 by the MVF

                 MAD Virus Factory

                 28/9/91   -   V1.6

 

Mao-1465

     Заражает COM  и  EXE,  резидентный.  В  дни  рождения  и смерти Мао

     Цзе-дуна (26 декабря, 9 сентября) исполняет две различные мелодии.

 

Rest-1588

     Заражает только  EXE,  резидентный.  Часто,  а  после  21-го  числа

     постоянно,  выводит  на  экран  текст  "Выключите  ЭВМ  Вам   нужно

     отдохнуть" и стирает первый гибкий диск.  В некоторых случаях может

     вместо  исполнения  программы  выводить  текст  "Abnormal   program

     termination".

 

Gambler-288

      Заражает только COM,  резидентный.  При очень неграмотной  попытке

      его  трассировать может испортить первые 10 секторов диска "C".  В

      середине видно слово "GAMBLER".

 

KhAI-1835

     Заражает только  COM,  резидентный.  При  чтении EXE-файлов (не при

     вызове на исполнение) с вероятностью 1/4  портит  первый  2  байта,

     меняя их на CD 20.  Каждые 20 минут проводит по нижней строке текст

     "ВНИМАНИЕ ВСЕМ ПОДПИСЬЧИКАМ нашего  канала  !  При  перемене  места

     жительства  звоните по телефону:  +939-(88)322-223-(223)322.  Копия

     "фильма" предоставлена филиалом по ул.  Дарвина,  9. *** Всем нашим

     посписьчикам  мы  предоставим  новые  версии  нашего  продукта  без

     дешифратора !!!",  а после каждых 6 нажатий не клавишу F5  "Аааа...

     Это ты, ВЕЛИКИЙ КОПИРОВЩИК пожаловал !!! Отдохни, сходи в буфет ...

     Ну ладно, я тебе попорчу чуть-чуть EXE файлы, хорошо ?!".

 

Urphin-317

     Заражает только COM, резидентный. По ошибке оставляет себя в памяти

     многократно. В конце текст "Уpфин Джюс".

 

HM-828

     Заражает COM и EXE,  резидентный.  Зачем-то до  заражения  пишет  в

     конец до 63 байт мусора,  причем COM-файлы короче 23000 после этого

     не заражает. В конце видно "*10-03(HM)*".

 

AntiTrace-2122

     Заражает только  COM,  резидентный.  В  начале  зараженных программ

     видно "Anti_Trace".  При некоторых обстоятельствах выводит в центре

     экрана текст в рамке "Loading AntiVirus didn't find me yet.  I'm so

     sorry!".  От  этого  вируса  можно   избавиться,   если,   запустив

     произвольную  антивирусную программу,  держать нажатыми обе клавиши

     Shift в течение ее работы.

 

Eternal-2086

     Заражает COM и EXE,  резидентный. Закодирован, но без участия кода,

     который автор наивно-изобретательно пытался скрыть. При обнаружении

     какойто программы выдает текст "This is an  [  illegal  copy  ]  of

     KeyPress virus remover System Halted". Имеется также закодированный

     текст "Eternal Fair".

 

Poss-2443

     Заражает COM и EXE, резидентный. В начале зараженных COM-файлов и в

     начале вируса видны тексты "POSSESSED!  Bwa!  ha!  ha!  ha!  ha!$",

     "Author:   JonJon   Gumba   of  AdU".  Некоторые  COM-файлы  портит

     безнадежно, особенно часто COMMAND.COM.

 

Komsom-1000

     Заражает COM  и EXE,  резидентный.  Имеется текст "REFsoft Komsom".

     Прислан  из  Комсомольска-на-Амуре.  Не  заражает   COMMAND.COM   и

     Aidstest.

 

Exile-255

     Заражает только COM, резидентный. Портит время и дату файла. Иногда

     пытается  испортить  диск  "A:"  и  выводит  текст  "I'm Vindictive

     Exile!".

 

Hacker-1594

     Заражает COM и EXE, резидентный. Частично невидимый. В начале текст

     "N.Hacker".

 

MrGu-635

     Заражает только COM,  резидентный.  Размножается довольно быстро. В

     конце закодированного вируса символы "Mr.Gu".

 

Midi-200, -254, -315, -319, -335, -349, -353, -387, -419, -953, -1079

     Этим именем  будут  обозначаться  вирусы,  далеко   не   рекордного

     размера,   но   в  остальном  похожие  на  Mini  и  Tiny.  Все  они

     резидентные,  заражают только  COM,  портят  дату  и  не  блокируют

     системные сообщения об ошибках ввода-вывода.

 

AIW-572

     Заражает только COM,  резидентный. В начале зараженных файлов видно

     "AIW2°JB".

 

SN-488

     Заражает только  EXE,  резидентный.  Виден  текст  "Лозинский!  Моя

     нижайшая просьба - переименуй ASMODEOUS'а в его настоящее имя, т.е.

     в  ASMODEOUS".  27  декабря выводит текст "Сегодня надо поздравлять

     Лену Сошникову с днем рождения, а не работать." и вешает систему.

 

SN-665

     Заражает COM и EXE,  резидентный.  11 ноября в начало всех  COM-  и

     EXE-файлов пишет "Сатана там правит бал".  Есть также текст "SATANA

     666 (C) EA inc.".

 

SN-666

     Заражает COM и  EXE,  резидентный.  Скрывает  изменение  длины.  11

     ноября  планирует  запись  в начало всех COM/EXE-файлов "Сатана там

     правит бал".

 

SN-882

     Заражает COM и EXE,  резидентный.  11 ноября стремится стереть  все

     файлы с дисков. Есть слово "ASMODEOUS". Скрывает изменение длины.

 

SN-903

     Заражает COM  и  EXE,  резидентный.  Портит  дату  создания  файла.

     Стирает при запуске Aidstest,  с связи с чем  для  использования  в

     зараженной   системе   его  необходимо  переименовать.  В  текстах,

     выводимых  на  принтер,  после  запятых  вставляет  междометия   из

     лексикона  подонков.  Мечтает  27  декабря портить диск "C:".  Есть

     текст "HS86.2 Ver 4.06.Copyright by EA computers inc.1994".

 

SN-982

     Заражает COM и EXE, резидентный. Стирает также и ADinf. Есть тексты

     "Virus HS86.1 COM&EXE-Version 4.05",  "Copyright  by  EA  computers

     inc. 1994", и в конце "Купите себе селедку и морочте ей голову!!!".

     Шутки с принтером нет.

 

SN-1160

     Заражает COM и EXE,  резидентный.  11 ноября может стереть с дисков

     все  файлы.  Есть  закодированное  слово   "ASMODEOUS".   Очередные

     накрутки на ту же основу.

 

SN-1444

     Заражает COM и EXE,  резидентный.  27 декабря намерен портить  диск

     C:. Read Only не заражает, несмотря на большое желание. К некоторым

     COM только приписывается на хвост,  не получая управления. При этом

     есть  большие шансы на повисание системы.  Те же "остроумные" шутки

     на принтере.  При активизации выводит "HS86.5 Ver 5.09.Copyright by

     EA computers inc.1994".

 

Mummy-1399

     Заражает только  EXE,  резидентный.  Из наивно-глубоких соображений

     уменьшает  размер  буфера  клавиатуры.  Иногда  стирает  99  первых

     секторов  текущего  диска.  Содержит  закодированные  тексты "Mummy

     Version 1.2 Kaohsiung Senior School Tzeng Jau Ming presents".

 

CD-2161

     Заражает COM и EXE,  резидентный.  В четверг 12-го выводит на экран

     текст в рамке:

                 VirCheck V1.2 (C)1991

          Be aware of those worms out there, violating

          your machine on Friday 13th - it's tomorrow

             Special thanks to Ross M. Greenberg,

             Patricia M. Hoffmann and John McAfee

 

Ugur-1297

     Заражает COM и EXE,  резидентный. Предусмотрено стирание первых 200

     секторов логического диска "C",  но при  невозможном  условии.  Все

     зараженные файлы получают атрибут Read Only.  При обнаружении файла

     "CHKLIST.CPS", его длина обнуляется и ставится атрибут Read Only.

 

Ugur-1320

     Заражает COM и EXE, резидентный. Вариант вируса Ugur-1297.

 

Pharisee-492

     Заражает только COM, резидентный. В конце текст "Слава Владыке".

 

Pharisee-500

     Заражает только  COM,  резидентный.  От версии 492 отличается очень

     мало.

 

Ce_Ce-1994

     Заражает COM  и  EXE,  резидентный.  Умудряется  оставить  в памяти

     несколько одновременно активных экземпляров себя.  В закодированном

     вирусе   имеется   длинный  текст,  полный  восхишения  собственной

     подлостью.  Очень редко по  экрану  пробегает  изображение  некоего

     насекомого.

 

Ovl-3966

     Заражает  только  EXE.  Для  всех  EXE-файлов  в  текущем  каталоге

     образует  COM-спутники.  Иногда   выводит   текст   "Я   безвредное

     существо.". Есть текст " DPS.Companion Virus! (c) Copyright 1996 by

     Max Max Вирус написан  для  Санкт-Петербургского  ДПШ  (  абсолютно

     безвредная ) Привет Миксеру,  Мишке,  Кириюхе, Виктору Ивановичу, и

     всем другим Советую выполнить: Mov ax,310h / Xor cx,cx / Mov dx,80h

     / Int 13h ".

 

Ovl-4560

     Заражает только   EXE.   Для   EXE-файлов  создает  файл-спутник  с

     расширением COM.

 

Ovl-7508, -12304

     Заражает только  EXE.  Переименовывает файлы в "*.DAT" и записывает

     себя в том же каталоге под старым именем зараженного файла. Стирает

     CHKLIST.MS, CHKLIST.CP. По 15- м числам нечетных месяцев выводит на

     экран текст,  начинающийся с "Let me present:  CP-VIRUS!  Copyright

     (c) 1994-1995 CP-MaN of CP-DeZiGN Written in Vasteras of Sweden! Ya

     know...  Your mom can't save ya know!" с  угрозой  испортить  диск.

     Затем  под  мигание лампочек клавиатуры и звуковое сопровождение на

     экране медленно  уменьшается  счетчик.  Тот,  кто  дождется  весьма

     нескорого окончания, увидит текст "Finished! I'm impressed. You did

     really wait didn't you?  Well,  I just want you to know that I keep

     my promises.  No data is destroyed.  Oh,  just one more thing. This

     virus does not destroy data at all,  it would have been  enough  to

     reset the computer. Hope you enjoyed waiting! Hehehe...".

 

Ovl-14640, -14692, -24076

     Заражает только EXE.  Переименовывает файлы в "*.OVL" и  записывает

     себя  в  том  же  каталоге  под старым именем зараженного файла.  В

     случае заражения 13-го  числа  13  файлов,  записывает  в  корневом

     каталоге   файл   под  именем  "_.COM"  и  вставляет  вызов  его  в

     AUTOEXEC.BAT,  что   приводит   на   адаптерах   типа   EGA/VGA   к

     переворачиванию изображения на экране.  Версии отличаются тем,  что

     меньший запакован LZEXE и не заражает файлы в каталогах N3, NC, CW,

     а второй - только N3 и NC.

 

Bil-1000

     Заражает только  COM,  резидентный,  причем  заражает  многократно.

     Слегка пакостит при вводе с клавиатуры. Часто вешает систему.

 

Bil-1140

     Заражает только COM,  резидентный. Не заражает стандартные приманки

     - файлы,  состоящие почти целиком из  одинаковых  байтов.  Содержит

     закодированный текст "BIL_92_Sarov".

 

Aztech-1200

     Заражает только EXE,  резидентный.  Иногда пытается стереть с диска

     какойнибудь  каталог.  Задуман   алгоритм,   который   должен   был

     обманывать   многие   вакцины.   Из-за  маленькой  ошибки  успешное

     срабатывание этого  алгоритма  маловероятно.  В  конец  зараженного

     файла попадает большой кусок мусора.

 

Keelung-2787

     Заражает только EXE, резидентный. Написан с изобретательностью, что

     часто приводит к повисанию системы. Иногда играет какую-то мелодию.

     Есть закодированный  текст  "[MACGYVER  V1.0  Written  by  JOEY  in

     Keelung. TAIWAN 1992]".

 

Mxx-2561

     Заражает COM и EXE,  резидентный.  Самый  полный  плагиат  из  M2C.

     Добавлено дрожание экрана по 20-м числам и текст (закодирован) "(C)

     by M.E.S.  from MSU.  Moscow 1993.  Version 1.00 ( Demo ).Wait  new

     viruses soon. See Ya!". Кроме того, он не заражает Aidstest.

 

Unerase-329

     Заражает только COM,  резидентный. Блокирует исполнение DOS-функций

     Delete, Attributes, Lock.

 

BadSectors-3428

     Заражает COM и EXE,  резидентный. Образует псевдо-сбойные кластеры.

     Пакостит на клавиатуре (если не  ошибаюсь,  повторяет  клавиши).  В

     начале и в конце видно "BadSectors 1.2".

 

Sh-841

     Заражает только  EXE,  резидентный.  29-го  числа выводит текст "So

     Far,  So  Good,...So  What?"  и  стирает  нулевую  дорожку  первого

     твердого  диска.  Не  заражает  некоторые  программы  по списку 2-3

     символов имени.

 

Sh-988

     Заражает COM и EXE, резидентный. Вариант Sh-983.

 

Xmas-1694

     Заражает только EXE,  резидентный. С 23 по 27 декабря выводит текст

     "Merry Christmas and happy new year !  Written from  Tamsui  Oxford

     college." и играет мелодию.

 

Made_in-496

     Заражает только COM,  резидентный. По средам часто выводит текст "*

     VIRUS C * made in USA" и блокирует систему.  Думаю, что к USA он не

     имеет никакого отношения.

 

Elise-2402

     Заражает только EXE,  резидентный.  При некоторых конфигурациях DOS

     сразу вешает систему.  Ежедневно  в  14.00  пытается  исполнить  "К

     Элизе" Бетховена.

 

Vodka-560

     Заражает только  EXE,  резидентный.  Зараженным файлам ставит время

     04.40.04.  При запуске от 1.00 до 1.59  выводит  на  консоль  текст

     "(copyleft)   ДИБИЛИЗАТОР  ver.  1.2  Пиво,Водку  пить  -  здоровью

     вредить!?  (Y/N)". При ответе "Y" нормально продолжает программу, а

     "N" - завершает.

 

Ostap-322

     Заражает только  COM,  резидентный.  В конце текст "Киса и Ося были

     здесь.".

 

Panic-400

     Заражает только COM, резидентный. В конце текст "Без паники-идем ко

     дну! Ver 1.!5".

 

Exit-376

     Заражает только  COM,  резидентный.  Заражает программы в момент их

     завершения. В конце "=Ильич=".

 

Nr-300

     Заражает только COM,  резидентный.  Меняет дату файла после каждого

     запуска зараженной программы. После нескольких запусков зараженного

     файла ставит какой-то пароль на загрузку, в формате AMI BIOS.

 

BIOS-2048

     Заражает COM и EXE, резидентный. По ошибке портит int 24, что может

     приводить к повисанию системы.  За 2  байта  от  конца  есть  слово

     "BIOS", а в начале - закодированный текст "Mr.Watshira Sae-eu KMIT-

     NB Date 12/28/1990 BIOS".

 

Platov-1628, -1684

     Заражает только   COM,   резидентный.   Взял  из  Хижняка  наиболее

     маразматические приемы программирования.  При переходе  в  каталоги

     games  и  ant  начинает стирать файлы.  Предварительно выдает текст

     "Компьютер создан не для игр!" или "Не пытайтесь меня уничтожить!".

     Пакостит  на  принтере  -  меняет "е" на "э" и выводит "междометие"

     после запятых.  Есть закодированный  текст  "Programmed  by  Andrey

     Platov".

 

Yeke-1204

     Заражает только  EXE,  резидентный,  частично невидимый.  26 марта,

     исполняя нечто вроде мелодии,  переводит экран  в  формат  40x25  и

     выводит на него текст "Be Careful. YEKE Controls Your Computer.".

 

June-1784

     Заражает COM   и  EXE,  резидентный.  В  июне  с  вероятностью  3/4

     постоянно играет одну из трех мелодий.

 

June12-1569

     Заражает COM и EXE,  резидентный.  Не меняет длины COMMAND.COM.  12

     июня выдает на экран рамку с текстом "С ПРАЗДНИКОМ ГОСПОДА !".

 

Moslem-763

     Заражает COM и EXE, резидентный. Весьма часто вешает систему. После

     15 октября по пятницам выдает текст "Нормальные ЛЮДИ по ПЯТНИЦАМ не

     РАБОТАЮТ".

 

FAT-666

     Заражает только EXE,  резидентный. Первым делом старается испортить

     на первом твердом диске сектор 11 дорожки  1,  который  чаще  всего

     принадлежит первой копии FAT.  Для специалиста исправление этого не

     должно  составить  трудности.  Не  заражает  файлы,   имя   которых

     начинается на "A".

 

Chain-512

     Заражает только EXE,  резидентный.  В ряде  случаев  может  портить

     таблицы распределения памяти.

 

Nevor-9382

     Заражает COM и EXE,  резидентный.  В начале  зараженных  COM-файлов

     стоит  "VIVAT  EGOR  LETOV !!!".  После запуска 32 программ выводит

     текст "NEVOR FREE, NEVOR ME. SO I DUB THEE" и вешает систему. Вирус

     содержит резидентную программу работы с файлами, которая без вируса

     могла быть кому-то полезной.

 

Fire-2682

     Заражает COM  и  EXE,  резидентный.  Невидимый.  Делает   некоторые

     попытки  помешать ADINF.  Есть закодированный текст "Fire walk with

     me.".

 

Child-1000

     Заражает COM и EXE, резидентный. Виден текст "My Child".

 

PandCo-855

     Заражает только  COM,  резидентный.  В  начале  зараженного файла и

     вируса видно "P&C°". Заметно стремление к дальнейшему развитию.

 

Boy-1919

     Заражает COM и EXE, резидентный. Обладает элементами невидимости. В

     конце текст "TurboVirus (TV) v1.3 (C) 1993-94 by Power Boy.".

 

RC-538

     Заражает только  COM,  резидентный.  Иногда вместо заражения портит

     COM-файлы. Заметно знакомство с "Cascade".

 

RC-588

     Заражает только   COM,   резидентный.  Весьма  примитивный  уровень

     программирования, но с большими претензиями на оригинальность.

 

RCE-307, -374

     Заражают COM  и EXE,  резидентные.  Для вирусов такого класса имеют

     довольно малый размер.

 

RCE-554

     Заражает COM   и   EXE,  резидентный.  Блокирует  DOS-функцию  "Get

     Vector" для INT 21 и 40.

 

RCE-641

     Заражает COM и EXE, резидентный.

 

RCE-1277

     Заражает COM  и  EXE,  резидентный.  Надергано  из  разных вирусов.

     Скрывает изменение длины.

 

RCE-1320

     Заражает COM  и  EXE,  резидентный.  Портит  дату  файлов.  Заметно

     сильное влияние школы Хижняка.

 

Dread-582

     Заражает COM  и  EXE,  резидентный.  В  конце  закодированный текст

     "Night Boomer".

 

Dread-612

     Заражает COM  и  EXE,  резидентный.  Оставляет  в  памяти  резидент

     многократно.  Имеется закодированный текст "I will  torment  you  !

     Lord.

 

Dennis-689

     Заражает    только    EXE,    резидентный.     Отличается    редкой

     безграмотностью.  Возможно  появление нескольких резидентных копий.

     При выводе на принтер,  перед  каждым  символом  вставляет  команды

     переключения попеременно на верхний и нижний индекс.  В конце видно

     "v1.0(CrazyPrinter)ByDennisDavydov".

 

Dennis-539

     Заражает только EXE,  резидентный.  Серия,  интересная способностью

     автора создавать себе трудности и их, отчасти, преодолевать.

 

Dennis-656

     Заражает только   EXE,   резидентный.   После   20  июня  постоянно

     переключает состояния Scroll-, Caps-, Num-Lock, что должно привести

     к практической невозможности работать с клавиатурой.

 

Dennis-1000

     Заражает COM  и  EXE,  резидентный.   Есть   закодированный   текст

     "D.Davydov".

 

Haifa-2354

     Заражает COM и EXE,  резидентный. Достаточно быстро вешает систему.

     Пакостит в начало файлов с расширениями  ASM,  PAS,  TXT,  DOC.  24

     августа  и  12  октября  выдает на консоль текст "HAIFA VIRUS V1.01

     WRITTEN BY Y.S. GUEST STARS: T.S. & I.F. MADE IN ISRAEL I AM TIRED.

     PLEASE WAKE ME UP ON TUE 12.4.3456 PRESS RESET TO CONTINUE...".

 

Nikolaev-618

     Заражает только   COM,  резидентный.  Часто  блокирует  образование

     файлов с расширением,  начинающимся с "PA" и  "DW".  Быстро  вешает

     систему.  Есть  супернаивные  попытки блокировать какой-то отладчик

     (скорее всего AT86).

 

Not-397, -574

     Заражают только COM, резидентные. Стандартные.

 

Sayha-3984

     Заражает COM  и EXE,  резидентный,  частично невидим.  Иногда после

     нажатия на F1 выводит на экран красиво оформленное  "Sayha  Watpu".

     Стиль    программирования   весьма   оригинальный.   Предполагается

     Филиппинское происхождение.

 

OTAKA-1641

     Заражает COM и EXE, резидентный. Не заражает AIDSTEST, ADINF, SCAN,

     HIEW и много других.  В конце  закодированный  текст  "Отака  фигня

     малята". Уровень программирования также весьма высок.

 

Magdzie-1114

     Заражает только EXE,  резидентный. Во всех каталогах стирает файлы,

     найденные  по  маске  "chklist?.*".  26  мая выводит на экран текст

     "Magdzie T.  - jutro Twoje  urodziny!"  и  затем  начинает  игры  с

     палитрой (на VGA). Многие версии DOS должен немедленно вешать.

 

Mohova-659

     Заражает только EXE,  резидентный. В конце виден текст "Mohova N.I.

     is my love!".

 

Happy-556

     Заражает только COM, резидентный. 3 ноября выводит на консоль текст

     "Don't worry - be happy!".

 

Itv-449

     Заражает только COM.  Вариация на тему "Vienna". 5 мая, 10 сентября

     и  20  ноября  выводит  текст  "нViva  MВxico!".  Видно  также "(C)

     ITV85020203 1990.".

 

TaiPan-438

     Заражает только EXE, резидентный. Виден текст "[Whisper presenterar

     Tai-Pan]".

 

IBMDOS-1024

     Заражает   только   EXE.   Поиск   в   текущем   каталоге.   Портит

     сегментированные.    Содержит    большой   кусок   из   COMMAND.COM

     IBMDOS-3.30, в том числе copyright IBM и Microsoft.

 

Dead-641

     Заражает только  COM,  резидентный.  Если   в   течение   часа   не

     загружаются  программы,  выдает  текст "Meня ты cлишкom долго МУЧАЛ

     ... Пpoщaй, мой друг ! Я УMИPAЮ ..." и перезагружает систему.

 

Dead-790

     Заражает только COM, резидентный. По понедельникам 7 и 23 портит на

     первом твердом диске случайные сектора.

 

Dead-1111/1114

     Заражает COM  и  EXE.  Довольно  часто  выводит  текст "Sorry,  I'm

     completly dead." и оставляет  в  памяти  резидент,  который  каждую

     минуту издает звуки.

 

Tante-1778

     Заражает COM и EXE, резидентный. С элементами невидимости. В начале

     следующего после заражения машины месяца портит все диски  и  CMOS.

     Есть закодированный текст "* MUTANT-93 * (Pre-Release version).".

 

Free-1091

     Заражает COM и EXE,  резидентный. Заражает файлы в текущем каталоге

     в  момент вызова DOS-функции "свободное место на диске" (36h). Если

     в течение часа не было нажатий на клавиши,  стирает MBR диска C:  и

     портит информацию в памяти параметров системы (CMOS).

 

Free-1099

     Заражает COM и EXE,  резидентный. Отличается от 1091 пакостью - при

     тех же условиях старается отформатировать одну дорожку.

 

Novell-708

     Заражает только  COM,  резидентный.  Пытается  что-то  совершить  в

     Novell NetWare.

 

Novell-528

     Заражает только COM,  резидентный.  Очередные потуги что-то сделать

     под  Novell.  При  завершении  программы дважды исполняется функция

     "Add Trustee to directory" с именами "WORK:" и "SYS:".

 

Novell-3120, -3128

     Заражает COM  и  EXE,  резидентный.   С   элементами   невидимости.

     Производит какие-то операции над Novell NetWare.

 

Novell-713

     Заражает только  COM,  резидентный.  Резидент  в  памяти  оставляет

     многократно. Вариант Novell-708.

 

WRA-501

     Заражает только COM, резидентный. Иногда может мигать лампочкой Num

     Lock. Старается мешать доступу к Hidden файлам.

 

WRA-1000

     Заражает COM и EXE, резидентный. Портит точку входа int 67, дающего

     доступ к  Expanded  Memory.  Размещается  в  фиксированных  адресах

     памяти,  что  может  приводить  к повисанию системы.  Перезагружает

     систему,  если обнаруживает активность Windows.  Скрывает  файлы  с

     атрибутом  Hidden.  Блокирует  работу  программ с первыми символами

     имени "AI",  "TE",  "SC",  "V",  так что для  работы  в  зараженной

     системе их нужно переименовать. В конце видно "Novosibirsk".

 

Riot-724

     Заражает только  COM.  Поиск  объектов  для  заражения  в   текущем

     каталоге и выше, а также в \dos. Портит \dos\keyb.com, в результате

     чего он непрерывно выводит "Immortal  Riot".  Может  испортить  все

     диски.   Мне  это  событие  кажется  маловероятным,  но,  если  оно

     произойдет,  во всех секторах будет записано "[BAD ATTITUDE!]$  (c)

     '94 The Unforgiven/Immortal Riot".

 

Riot-449

     Заражает только COM. Поиск в текущем каталоге и выше. В конце текст

     "Naked  Truth!  Hi-Tech  Assasins  -  Ready To Take On The World //

     DEATH TO ALL - PEACE AT LAST // The Unforgiven / Immortal Riot".

 

Freeze-830

     Заражает COM и EXE,  резидентный.  Иногда  стирает  все  содержимое

     CMOS. Есть закодированный текст "I am Freeze".

 

Freeze-980

     Заражает COM и EXE,  резидентный. Через 30 минут стирает содержимое

     CMOS. В конце закодированный текст "I am Freezer. V2.0".

 

Radio101-1000

     Заражает COM и EXE,  резидентный.  Через час выводит на экран текст

     "Paдио 101" с разноцветными буквами.

 

MrD-1536

     Заражает только  EXE,  резидентный.  Иногда  устраивает примитивные

     шутки на экране:  спуск изображения вниз или случайные перестановки

     символов. Близко от конца видно "Mr. D".

 

Elene-1000

     Заражает COM и EXE,  резидентный.  Имеет склонность вешать систему.

     20 февраля  выводит  на  экран  текст  "Москва  -  Санкт-Пeтербург,

     Июль-Август 1994г. Сегодня Леночкин день рождения".

 

Case-927

     Заражает только  COM,  резидентный.  Иногда  на 1 секунду на экране

     латинские строчные буквы делает прописными.

 

Hidenowt-1741

     Заражает COM  и  EXE,  резидентный.  COM  и EXE различает только по

     имени.  Заражение производит в момент выполнения функции  поиска  в

     каталоге  (формат  FCB),  что  заметно замедляет исполнение команды

     DIR.

 

IOerror-516

     Заражает только   EXE,   резидентный.   При   ошибках  ввода/вывода

     предусмотрено   сообщение   "IO_error",   однако,   его   появление

     маловероятно.

 

Left-345

     Заражает только COM,  резидентный.  Если после последнего заражения

     стартовало  7  зараженных программ,  начинает при каждом нажатии на

     клавишу сдвигать экран влево.

 

MCGA-747

     Заражает только EXE,  резидентный.  При работе в графическом режиме

     320x200x256 больше 15 минут стирает CMOS.

 

Bubble-656

     Заражает COM   и   EXE,   резидентный.  Есть  закодированный  текст

     "-=Bubble Bubble=- This program is SHAREWARE!!!".

 

Angry-393

     Заражает только  COM,  резидентный.  В конце страшный текст "I'm an

     angry virus from CMOS! Nobody can cure me!!".

 

MST-322

     Заражает только COM, резидентный. Иногда выводит на экран "(c) 1991

     by MST,Vers.1.0".

 

Kaos-697

     Заражает COM и EXE. Поиск по PATH и в текущем каталоге.

 

Sh-983

     Заражает COM и EXE,  резидентный. Имеется закодированный текст "(С)

     Shel,NSTU, 1994,v3.1".

 

Rift-467

     Заражает только COM, резидентный. В конце текст "Rift Villy v.3.0".

 

Fascist-442

     Заражает только COM.  Поиск в  текущем  каталоге  на  всех  дисках,

     начиная  с  C:.  В  конце  выводит  на экран гнусное изображение со

     свастикой.

 

Plutto-602

     Заражает только COM. Поиск в текущем каталоге.

 

Beda-337

     Заражает только COM, резидентный. Из класса Midi.

 

Beda-338

     Заражает только  EXE,  резидентный.  Не  восстанавливает int 24.  В

     конце видно "ACHE".

 

Beda-883

     Заражает только COM, резидентный. Частично невидимый. Портит дату и

     время.   После   каждых  13  программ  устраивает  представление  с

     бегающими по экрану тремя цветными полосами.

 

HaHa-1730

     Заражает COM и EXE, резидентный. Переделка классического Jerusalem.

     Через  30  минут  постоянно  выдает  в  левом  верхнем  углу экрана

     мигающее  "Ha!Ha!".   Стирает   программы   BASICA.EXE,   CURE.EXE,

     LOTUS.COM,  CWI.EXE,  ETBASIC.EXE,  BASICA.COM,  123.XE, DBASE.EXE,

     BASIC.COM.

 

Ha-311

     Заражает  только  COM.  Поиск  в  текущем  каталоге.  В   11  часов

     зацикливается на выводе символов "HA".

 

VComm-637

     Заражает только EXE.  Поиск в текущем каталоге. Оставляет резидент,

     блокирующий запись на диски.  Много  шансов  на  безнадежную  порчу

     зараженных файлов, прежде всего сегментированных.

 

Dron-995, -1024

     Заражает только  EXE,  резидентный.  После  10  успешных  заражений

     выводит  на  весь экран "DRON",  а внизу текст "Moscow Institute of

     Physics and Technology (c) 1994".  Кроме того есть текст "DRON  Ver

     1.00,  PhysTech,(c) 1994".  Немного отличаются стратегией активации

     шутки.

 

Kipa-1084

     Заражает COM и EXE,  резидентный.  Удивительно безграмотный. Делает

     неработоспособными все COM-файлы.  Лечение их, к счастью, возможно.

     Есть  текст  "The KIPA new Version 3.1 copyright (c) 1993 by Sergey

     Hacker,  Moscow; 15 years old". Могу только поздравить родителей со

     столь гениальным ребенком.

 

OkYes-1257/1275

     Заражает COM и EXE. Поиск в текущем каталоге текущего диска и "C:".

     После 4 октября 1993 года старается стереть первый твердый диск. Не

     заражает Aidstest. В начале видно "AIDSTEST.EXE".

 

Cafe-400

     Заражает только    COM,   резидентный.   Содержит   глупую   шутку:

     практически после каждого заражения блокирует клавиатуру (F5 в порт

     60).

 

Virogen-1673

     Заражает COM и EXE,  резидентный. COM заражает стандартно, а вместо

     заражения EXE записывает свою копию с расширением COM.  В  связи  с

     этим, при лечении в протоколе Aidstest появятся сообщения о стертых

     COM-файлах.  По вторым числам выводит "ASeXual Virus V0.99  -  Your

     computer  has  been  artificially Phucked!".  Стирает "CHKLIST.*" и

     "ANTI-VIR.*".

 

Tranzit-200

     Заражает только COM, резидентный. В конце закодировано "-Tranzit-".

 

Union-1449

     Заражает только  EXE.  Поиск  в  текущем  каталоге  и  PATH.  После

     сентября  1994  по  понедельникам  в  середине каждого четного часа

     выводит на экран Украинский и Российский флаги и текст  "УКРАИНА  И

     РОССИЯ ПОРОДНИЛИСЬ НАВСЕГДА".

 

Iyau-570

     Заражает только COM,  резидентный.  В 1995 году планируется в  часы

     кратные 8 постоянно менять палитру VGA.

 

Chaos-1241/1244

     Заражает COM и  EXE,  резидентный.  13  сентября  стирает  диски  и

     выводит текст "I see,  I come, I conquer... Trojan horse-CHAOS v2.0

     by  Faust".  EXE  и  COM  различает  по  имени.  Безнадежно  портит

     сегментированные.

 

ComeOut-3624

     Заражает только EXE,  резидентный.  Заражает прежде всего поиском в

     текущем каталоге.  Резидент оставляет в памяти  экрана  только  при

     наличии  адаптера  EGA/VGA.  Не  активизируется  при  наличии файла

     C:\COME.OUT.  Содержит  заготовки  для   дальнейшего   развития   и

     глобальные идеи по взлому локальной сети.  Сочетание глубины идей и

     не очень  высокого  класса  программирования  приводит  к  быстрому

     повисанию системы.

 

ABBA-9849

     Заражает COM и EXE,  резидентный.  В корневом каталоге пишет файл с

     именем  ABBAл|01,  а  затем  при  каждой  загрузке  любой программы

     увеличивает число в конце имени на 1. Когда получается 59, на экран

     монохромного   графического  адаптера  выводится  портрет  мужчины,

     похожего на китайца.

 

Avl-352

     Заражает только COM,  резидентный.  Частично невидим.  По 13 числам

     портит вход в Print Screen  и  пытается  что-то  сделать  с  Memory

     Refresh.

 

Ha-1456

     Заражает COM и EXE,  резидентный. Через каждые восемь дней включает

     по  очереди  либо  взаимную  замену при вводе с клавиатуры символов

     пробела и  "!",  либо  после  нажатия  на  Ctrl+Alt+Del  на  экране

     появляются большие буквы 'ha' из быстро меняющихся символов.

 

Kak-678, -713

     Заражает только COM, причем подкаталоги корневого на текущем диске.

     В конце текст "KAKASHKA v2.7 S.  city ,  1991" или "KAKASHKA v2.8 -

     S. city , 1991-92".

 

Kak-911

     Заражает  только  EXE,  резидентный.  Есть  текст "KAKASHKA v3.21 -

     S. city , 1991-1992".

 

Kak-928

     Заражает только  EXE,  резидентный.   Есть   закодированный   текст

     "KAKASHKA v3.3 - S. city, 1991-92".

 

Trakia-1070

     Заражает COM и EXE, резидентный. Заражает не только путем перехвата

     четырех  DOS-функции,  но и поиском в текущем каталоге EXE-файлов в

     момент запуска зараженной программы. При обнаружении в определенном

     месте  файла  значения 2219359359575480h меняет два байта близко от

     конца файла.

 

Stranger-423

     Заражает только  COM,  резидентный.  Старается не активизироваться,

     если на машине установлен ADinf, но определяет его наличие довольно

     наивно. В начале видно "STRANGER 1.0".

 

Sorry-353

     Заражает только COM,  резидентный. С элементом невидимости. В конце

     текст "Lipatov & Ivanov - mudaki oba. Sorry.".

 

Kibina-398

     Заражает только EXE,  резидентный.  Записывается в EXE Header, если

     там есть место,  не меняя длины.  26 апреля все команды  записи  на

     диск пишут в начале сектора "Olya Kibina".

 

Danny-872

     Заражает только COM,  резидентный. Если установлен год меньше 1992,

     блокирует работу системы.  17 октября при каждой загрузке программы

     выдает текст "Today is Danny's birthday! She is now NN years old.",

     правильно меняя возраст.

 

ReedCat-916

     Заражает COM и EXE.  Поиск в  текущем  каталоге  и  по  PATH.  Есть

     закодированный текст "<< Камышовый Кот ХПИ 1992 >>".

 

Forever-930

     Заражает только EXE,  резидентный. Работает только при DOS=HIGH. Не

     заражает  Aidstest и ADinf.  Есть закодированный текст "No WINDOWS,

     MS-DOS forever...".

 

Forever-912

     Заражает только EXE,  резидентный. Работает только при DOS=HIGH. Не

     заражает  Aidstest и ADinf.  Видны тексты "AIDSTEST",  "No WINDOWS,

     MS-DOS forever...", "Excuse Me, please...", "ADINF".

 

Marlboro-2048

     Заражает COM  и  EXE,  резидентный.  При  первом запуске зараженной

     EXEпрограммы выдается сообщение "Program too big to fit in memory".

     Невидим  за  счет  постоянного  лечения-заражения.  Содержит гордое

     послание:  "The Marlboro virus Version 0.03(1.00) (C) Winston-Salem

     Inc. !Half-Stealth! Вы имеете честь познакомиться с первой тестовой

     версией вируса, выпущенной в свободное обращение. Реализовано около

     половины    необходимых    стелс-функций    HANDLE-ориентированного

     ввода-вывода.  Обещаю сохpанить стpуктуpу  заголовка,  по  котоpому

     могут  pаботать лечащие программы,  ибо вся необходимая для лечения

     информация в них содержится организовано,  но не проверено  лечение

     файла при открытии через FCB,  в связи с чем,  надеюсь, ваша машина

     повиснет..."

 

Green-839

     Заражает только  COM,  резидентный.  Очередной успех школы Хижняка.

     После  20  заражений   в   одном   сеансе   пытается   нестандартно

     отформатировать нулевую дорожку всех дисков. В конце закодированный

     текст "Green Monster. I"m happy".

 

Green-784

     Заражает только COM,  резидентный. Есть закодированный текст "Green

     Monster. I"m happy".

 

Green-1036

     Заражает COM  и EXE.  3 июля пытается записать в BOOT диска A: код,

     который при  загрузке будет  выводить  на  экран   "I  (love)  YOU

     GIRL  IN  GREEN!",  причем,  с  сохранением старого  содержимого в

     файле "A:\BOOT.SEC".

 

Green-711

     Заражает только COM,  резидентный.  Если удастся заразить  в  одном

     сеансе 20 файлов,  пытается испортить дискеты. В конце текст "Green

     Monster. I"m happy"

 

Cikl-765

     Заражает COM и EXE,  резидентный. В конце видно "MsDos", "COMMAND",

     "FMCIKLMOFR".  Имеется пока незадействованная подпрограмма стирания

     CMOS.

 

Goblin-1759

     Заражает только  EXE и MBR,  резидентный.  Активизируется только из

     Master Boot.  Через несколько месяцев  после  заражения  устраивает

     подрагивания экрана по вертикали.

 

CC44-561

     Заражает COM и EXE, резидентный. Стандартный.

 

Sign-615

     Заражает только  COM.  Поиск почти на всем текущем диске.  В начале

     зараженных файлов видно "SIGN".

 

Aman-10716

     Заражает только EXE,  резидентный.  Видны слова "Аман Тулеев".  При

     нажатии на клавишу Print  Screen,  а  после  17.00  при  завершении

     каждой  программы  выводит  на  экран  изображение,  особо  любимое

     мастерами "настенной живописи".

 

Yard-448

     Заражает только  COM,  резидентный.  При  запуске  любой  программы

     стирает в текущем каталоге  все  файлы  с  расширением  BAK.  Видны

     тексты "Yardkeeper" "*.bak".

 

Balashiha-271

     Заражает только  COM,  резидентный.  Представитель  класса Midi.  В

     конце "Balashiha-2".

 

DOS_UP-3934

     Заражает COM и EXE, резидентный. Зараженные файлы часто оказываются

     неработоспособными.   Есть   закодированные   тексты    "Злопастный

     Брандашмыг", "DOS-UP".

 

Avalgasil-666

     Заражает только EXE, резидентный. Скрывает изменение длины. В конце

     закодированный текст "(Avalgasil)666".

 

Harlot-5632

     Заражает COM и EXE,  резидентный.  Каждые 4 минуты выводит на экран

     одну  из 100 острот,  среди которых "Ой !  Звоните Лозинскому !!!",

     "Лозинского на мыло  !!!",  "Иди  нафиг  !!!",  "TAMPAX  -  райское

     наслаждение".  При  не вполне понятных обстоятельствах выдает текст

     "Вирус HARDY HARLOT v1.06 by CRAZY Киев ,  КМУГА ФАРЭО 101 ,2.06.94

     Исправлено: файлов - 13 Virus segment - 9A0h" и исполняет мелодию.

 

Tune-544

     Заражает  только  COM,   резидентный.   При  нажатии   Ctrl+Alt+Del

     исполняет мелодию, блокируя перезагрузку.

 

Tune-663

     Заражает только  COM,  резидентный.  После  запуска   33   программ

     сдвигает изображение на экране вниз и влево.

 

ErasePT-512

     Заражает только EXE.  Поиск в текущем каталоге,  его подкаталогах и

     корневом.  В  Master  Boot записывает код,  который через некоторое

     время может стереть Partition Table.

 

Locust-711

     Заражает только  COM.  Поиск  в  текущем  каталоге  и  выше.  Очень

     изобретателен  в  борьбе  с  собственной  безграмотностью.   Иногда

     выводит на консоль "<-LOCUST->".

 

Locust-735

     Заражает только  COM,  резидентный.  С  вероятностью  1/8 блокирует

     клавиши  Escape,  Enter,  Space,  и  с  вероятностью  1/32   вместо

     латинских  букв  A,  E,  O  подставляет  русские.  Видно  ".COM"  и

     "Locust".  Из-за  безграмотного  управления   памятью   практически

     занимает больше 64K.

 

Click-291

     Заражает только  COM.  Поиск  в  текущем каталоге.  Есть текст "The

     Click". Пищит.

 

Patch-2701

     Заражает COM  и  EXE,  резидентный.  Отличается  весьма старательно

     сделанным механизмом внедрения в DOS.

 

Kvs-1942

     Заражает COM и EXE,  резидентный. 31 числа выводит на экран текст в

     рамке  "Take  Care  of  SoftWare  ...  KieViruSoft Data Product (c)

     1994", после чего вешает систему. Автор, видимо, надеялся исполнить

     инициализацию диска. Есть текст "KieViruSoft (c) Ver1.0".

 

NoFrills-843

     Заражает COM и EXE,  резидентный.  Виден текст "+-No Frills 2.0  by

     Harry McBungus-+".

 

NoFrills-813

     Заражает COM  и  EXE,  резидентный.  В начале текст "+-No Frills by

     Harry McBungus-+".

 

Er-291

     Заражает только  COM,  резидентный.  Зараженные  файлы  короче  291

     вешают систему.

 

WW34-2048

     Заражает COM и EXE,  а также MBR, резидентный. Содержит ряд ошибок,

     быстро приводящих к повисанию системы.  Не исключено,  что часть из

     них внесена чьей-то "модернизацией". Есть закодированный текст "(c)

     93Virus Development Software".

 

Globus-1742

     Заражает только  EXE,  резидентный.  Пишет  в корневой каталог файл

     RECLAMA.TXT,  содержащий рекламу:  "Фиpма ГЛОБУС-ПЛЮС (г.  Иваново)

     официальный  дилеp  АО АТЛАHТ-ИHФОРМ (г.  Москва)".  Не позавидую я

     тем, кто осмелится иметь дело с такой фирмой!

 

Wreck-92, -462

     Заражают только EXE,  резидентные. Неизлечимые вирусы, размножаются

     очень быстро. Второй - с претензией на полиморфность.

 

Alpha-2000

     Заражает COM,  EXE и SYS,  резидентный.  Невидимый.  Иногда выводит

     текст "? оALPHA  STRIKEп  ?  Advanced  Tactical  Viral  Implant  by

     NEUROBASHER'93 / Germany".

 

Penetrator-491

     Заражает только COM,  резидентный.  Задуман регулярный вывод текста

     "PENETRATOR V3.02 (COM) EA Cybernetic Empire (C) BY GOSHA.INC. 1994

     Your  PC  now  Infected  !",  но   из-за   ошибки   его   появление

     маловероятно.

 

Ache-352

     Заражает только EXE, резидентный. В конце видно "ACHE".

 

Goddamn-302

     Заражает только COM,  поиск в текущем каталоге. Есть текст "Goddamn

     Butterflies".

 

Hzp-512

     Заражает только  EXE,  резидентный.  Есть  закодированные   символы

     "ANVLDShzpfym01".

 

Hell-1125

     Заражает только COM.  Поиск в текущем каталоге  и  корневом  на  C.

     После 15.12.94 портит все сектора первого твердого диска (XOR). При

     этом выводится сообщение "Formating  cylindr  #".  Иногда  выводит:

     "This is first version of virus Comes from HELL (CfH) Coming end of

     the world The time of the Eternal Dackness".

 

AntiC-1000

     Заражает COM  и  EXE.  Ищет  в  текущем каталоге и COM,  и EXE,  но

     заражает  их  одинаково,   в   результате   чего   EXE   становятся

     неработоспособными.  Безнадежно  портит  файлы  длинее  64Кб.  Если

     обнаруживает в памяти VSAVE,  выводит текст "И даже VSafe  тебе  не

     поможет...",   но   прекращает  работу.  Ищет  и  стирает  файлы  с

     расширениями ".MS",  ".C",  ".H".  Если удается  стереть  4  файла,

     выводит:   "Ты  на  С  не  пиши!!!  Это  фигня!!!  Я  вот  пишу  на

     Paskalе!!!".  В конце выводит "Слушай..." и  исполняет  мелодию.  В

     конце "MsDos".

 

Rock-409

     Заражает только COM,  резидентный.  По пятницам с  11.00  до  11.20

     устраивает горизонтальное дрожание изображения на экране.

 

Rock-1076

     Заражает только EXE. Поиск только в текущем каталоге, хотя уже есть

     в  запасе  константа  "PATH=".  Трясет экран по 20 секунд каждые 20

     минут по четным числам с 10-го по 26-е,  кроме декабря,  субботы  и

     воскресенья.

 

Fantomas-432

     Заражает только EXE, резидентный. В начале видно "FANTOMAS".

 

Folks-618

     Заражает только COM,  резидентный.  Ровно в 00.00, 3.00, 6.00, 9.00

     переводит экран в режим 25x40 и выдает текст "THAT`S ALL, FOLKS !".

     В конце "MsDos".

 

Tet-409

     Заражает только COM.  Поиск в текущем каталоге. В начале зараженных

     файлов видно "383".

 

Ade-1024

     Заражает только  EXE.  Поиск в текущем каталоге текущего диска и C.

     Может выводить текст "Job needed! Phone (095) 9430700 ADE".

 

Saftan-1700

     Заражает только COM,  резидентный.  Иногда должен выводить на экран

     текст "Hello,  Losinsky!.  I am  First  (creater's)  Simple  Virus.

     Hello.  I am ~STan~ Virus.  Please send me to Losinsky. I will wait

     long time until you press Some Key Kombination. Somebody knows this

     Key  Combination.  Please don't trace and disassembly my code.",  а

     затем ждать ввода с  клавиатуры  слова  "faust".  Впрочем,  мне  не

     удалось добиться этого эффекта.

 

Freedom-2560

     Заражает COM  и  EXE,  резидентный.  Предусмотрена порча дисков при

     обнаружении слов "воен",  "арми",  "солдат".  При  этом  во  многие

     сектора  будет  записано  "Закон  о всеобщей воинской обязанности -

     ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека !".  Впрочем,  в попавшем ко  мне

     экземпляре  эта  ветка  закрыта  изменением  одного байта.  Имеется

     закодированные  тексты  "F   R   E   E   D   O   M",   "СВОБОДА   *

     1.00/1/18.9.1994",  "ПОМНИТЕ  -  УНИЧТОЖИВ  ЭТУ  ПРОГРАММУ  ИЛИ  ЕЕ

     СОЗДАТЕЛЯ, ВЫ УНИЧТОЖИТЕ СЛЕДСТВИЕ, НО НЕ ПРИЧИНУ ...".

 

Freedom-2448

     Заражает COM и EXE,  резидентный. Есть закодированные тексты "Закон

     о всеобщей воинской обязанности - ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека

     !",  "F R E E D O M",  "С В О Б О  Д  А  *  1.45/2/01.02.1995".  По

     некоторым признакам, запланировано в следующих версиях писать BOOT,

     который будет стирать информацию с твердых дисков.

 

Pieck-2016

     Заражает MBR и EXE, резидентный. Активизируется только при загрузке

     с  зараженного  MBR.  Заражает  EXE-файлы  на  дисках  A и B,  а на

     остальных лечит.  Поскольку критерием зараженности считаются только

     популярные 62 секунды,  это может привести к порче файлов.  3 марта

     выводит текст "Podaj haslo ?" и читает символы с  клавиатуры.  Если

     ввести  "PIECK",  ответит  "Pozdrowienia dla wychowankow Pieck'a.",

     иначе "Blad !".

 

DOOM-666

     Заражает только  EXE,  резидентный.  В  конце текст:  "DOOM2.EXE II

     signature Your version  of  DOOM2.EXE  matches  the  illegal  RAZOR

     release  of DOOM2 Say bye-bye HD The programmer of DOOM II DEATH is

     in no way affiliated with ID software.  ID software is  in  no  way

     affiliated with DOOM II DEATH.".

 

Int5-1024

     Заражает только  COM,  резидентный.  Резидент  размещается в памяти

     многократно. Смело берет на себя INT 5, в связи с чем нажатие Print

     Screen намедленно вешает систему.

 

Wizard-812

     Заражает COM и EXE,  резидентный.  Портит дату файла. В конце видно

     "WIZARD".

 

Wizard-897

     Заражает COM и EXE, резидентный. В конце видно "WIZARD".

 

Wizard-2502

     Заражает только EXE,  резидентный,  невидимый.  В конце "WIZARD". В

     14.00 исполняет мелодию.

 

Morgot-823

     Заражает только   EXE,   резидентный.   Портит  дату  файла.  Видно

     "MORGOT".

 

Morgot-841

     Заражает только EXE, резидентный. В начале видно "-=MORGOT 2=-".

 

Float-1300

     Заражает только  EXE,  резидентный.  С  элементами  невидимости   и

     полиморфности.

 

Obid-555

     Заражает только COM.  Поиск в текущем каталоге  и  корневом  на  C.

     Выводит тексты   "V  mene  obid,  poguljay",  "Prijdesh  zavtra  ja

     vidpochivaju".

 

Said-669

     Заражает только  COM по COMSPEC и поиском в текущем каталоге. 11-го

     и 23 -го числа пишет в BOOT программу, которая должна испортить три

     дорожки, а затем выводит текст "Andy Said:Zarin`iS dangerous!".

 

HHHH-246

     Заражает только COM,  поиск в текущем  каталоге.  Портит  некоторые

     заражаемые файлы.  Ставит случайную дату файла.  В конце текст "The

     MiNi-HHHH".

 

Mudak-617

     Заражает COM и EXE.  Поиск в текущем каталоге.  Есть закодированные

     тексты "[Zapadlo]", "Mudak software".

 

Renegade-416

     Заражает только  EXE,  резидентный.  Весьма похож на Hobbit-416,  и

     даже замещает его собой.

 

Renegade-1176

     Заражает только  EXE,  резидентный.  Частично   невидимый.   Многие

     зараженные  файлы  становятся  неработоспособными.  По  11-м числам

     выводит текст "(C) Renegade 1994. Hello Hacker`s !!!".

 

Escape-855

     Заражает только  COM,  резидентный.  Устраивает  мелкие  пакости  с

     клавиатурой: засылка в буфер кода Escape, переключение регистров.

 

Holiday-2900

     Заражает COM и EXE,  резидентный.  3 марта выводит на экран в рамке

     "ATTENTION!  I'm very sorry, today is my holiday. So, I can't serve

     you,  cause I want to play on your computers.  DON'T TURN OFF  YOUR

     COMPUTER UNTIL TOMORROW,  OR YOUR DATA WILL BE LOST!!! I'll be back

     to serve you tomorrow. Thank You, AAA".

 

Vojager-512

     Заражает только EXE, резидентный. В конце видно "Vojager".

 

Poruchik-2742

     Заражает только  EXE,  резидентный.  В  конце  виден текст "Поручик

     Лозинский, раздайте Aidstestы".

 

Ash-712

     Заражает только COM, поиск в текущем каталоге.  Пытается оставить в

     памяти резидент, мешающий работать с COM-портами.

 

HKs-2356/2612

     Заражает COM и EXE,  резидентный.  10 марта  выводит  текст  "Don~t

     TRUST  any  virus  scanner!  --  HKs VTech --" и стирает содержимое

     первого твердого диска.

 

Li-1413

     Заражает только  COM,  резидентный.  После  запуска программы,  имя

     которой кончается на  LI.EXE  делает  какие-то  попытки  общения  с

     Novell NetWare. Сам себя удаляет из памяти, если при буферизованном

     вводе набрать символы "kkyyzz".

 

Mpc-32947

     Заражает только  EXE,  поиск в текущем каталоге.  Есть текст "[MPC]

     Dark Angel of PHALCON/SKISM [DemoEXE] for 40Hex".

 

Phb-4461

     Заражает только COM,  поиск в текущем каталоге и его содержащих.  В

     начале работы заполняет экран довольно абстрактным  изабражением со

     словами  PATTY'S  BOOBS,  а  в  конце  выводит текст "Thank you for

     viewing Patty Hoffman's Boobs!".

 

Locks-521

     Заражает только  COM,  поиск  в  текущем  и корневом каталоге.  При

     успешном заражении мигает лампочками Num Lock,  Caps  Lock,  Scroll

     Lock.

 

Pixel-739

     Заражает только COM, поиск в текущем каталоге.

 

Pixel-846

     Заражает только  COM.  Часто выводит текст "Program sick error:Call

     doctor or buy PIXEL for cure description".

 

Pixel-851

     Заражает только COM. Выводит текст (в болгарской кодировке) "Съд за

     Владко и неговия татко ! Ние всички сме за преустройство !".

 

Pixel-1268

     Заражает только  COM.  Кроме  текущего,  поиск  в  корневом и \DOS.

     Выводит "ENTER THE PASSWORD:" и,  если не ответить "Ken  Sent  Me",

     прерывает   программу,   сообщив   "YOU   HAVE  ENTERED  THE  WRONG

     PASSWORD!!".

 

Spring-1555

     Заражает COM  и EXE,  резидентный.  Для EXE-файлов образует теневой

     COM-файл с атрибутами Read Only и Hidden,  который должен запускать

     исходный  EXE,  но  не  делает  этого.  Портит  файлы "CHKLIST.*" и

     "ANTIVIR.DAT". По 9-м числам выводит текст "OЯЯspring Virus V0.89",

     и затем циклится на писке и распечатке экрана.

 

Zero-372

     Заражает только COM,  резидентный. Есть текст "Swedish Warrior v1.0

     by Lord Zer0.".

 

Zero-682

     Заражает только EXE.  Поиск по всем каталогам текущего диска. Видны

     тексты "*.*", "*.EXE", "-Zero-".

 

Split-250

     Заражает только COM.  Поиск в текущем каталоге.  По  первым  числам

     стирает файлы "*.D*". В конце текст "SPLIT".

 

Gotcha-605

     Заражает только  COM,  резидентный.  Класса  Midi.  В  конце  видно

     "GOTCHA!".

 

Acid-670

     Заражает COM и EXE,  резидентный. По понедельникам портит случайные

     сектора диска C.  Портит EXE-файлы длинее 64K. Виден текст "[Binary

     Acid] (c) 1994 Evil Avatar".

 

Ratboy-545

     Заражает только  COM.  Поиск  в  текущем каталоге.  По воскресеньям

     после 15-го пишет во все сектора дисков "RaTBoY WaS HeRe!!!  My Vx,

     Invircible Killer". Портит некоторые файлы.

 

Spruce-976

     Заражает COM и EXE, резидентный. Содержит наряду с глубокими, но не

     вполне  понятными  идеями  ряд  ошибок.  В  частности,  многократно

     оставляет в памяти резидент и вместо  задуманной  мелодии  "В  лесу

     родилась елочка" издает лишь один писк.

 

Stone-1500

     Заражает только EXE,  резидентный.  Заражал бы и COM,  если  бы  не

     ошибка.  Невидим.  Иногда  выводит  текст "Will see you next time .

     Stone 93". Есть закодированный текст "Prohibit MARYJUANA .".

 

Musca-892

     Заражает только  EXE,  резидентный.  После  23  октября при быстрых

     перемещениях "мышки" выводит на экран "NU MAI MUSKA MOUSE-il  CA  A

     LOVESTI PESTE COAIE".

 

Babitch-645

     Заражает только COM. Поиск в текущем каталоге. Старается стереть со

     всех дисков таблицы ADinf.  В конце текст "*** (V) Sergey Babitch -

     2:463/83@FidoNet - phone (044) 4420831 ***".

 

Xyz-1561

     Заражает COM и EXE,  резидентный.  Неграмотная попытка  реализовать

     невидимость  может  приводить  к тяжелым последствиям.  По пятницам

     демонстрирует свой интеллект. Крупными буквами.

 

Future-3000

     Заражает COM   и   EXE,   резидентный.  Есть  закодированный  текст

     "Terminator Model 1.2 *Future Virus*".

 

Future-3180

     Заражает COM и EXE,  резидентный. У меня создалось впечатление, что

     автор  собирался сделать этот вирус невидимым.  Есть закодированный

     текст "Terminator Model 1.3 *Future Virus*".

 

Apparition-700

     Заражает только  COM,  резидентный.  Резидент  размещает в экранной

     памяти. Для защиты от порчи просто блокирует смену режима. В начале

     зараженных файлов есть текст "THE APPARITION".

 

Cpw-1457

     Заражает  COM  и EXE,  резидентный.  Есть тексты "Este programa fue

     hecho en  Chile  en  1992  por  CPW.  ",  "C:\COMMAND.COM",  "Feliz

     cumpleaдos  CPW!$".  Иногда  "вводит  с клавиатуры" текст " You are

     here CPW!".

 

Cpw-1527

     Заражает COM и EXE,  резидентный.  11 сентября, 30 декабря и 29 мая

     стирает  файлы.  Старается  стирать  с  диска файлы из списка GUARD

     guard CPAV SCAN CHKVIRUS  CLEAN  TOOLKIT  VSAFE  CHKLIST.CPS.  Есть

     закодированный  текст "CPW fue hecho en Chile en 1992,  нVIVA CHILE

     MIERDA!.".

 

Mickie-1100

     Заражает  COM  и  EXE,  резидентный.  В конце  закодированный текст

     "Mickie lives... somewhere in time! (c) 1995 Grave Lion".

 

7proc-718

     Заражает COM и EXE,  резидентный.  Часто стирает корневой каталог и

     содержимое  CMOS,  причем  выдает  текст "The root directory of the

     current drive has been destroyed by the 7% Solution 3.0 virus!".

 

Zeta-2536

     Заражает только COM.  Поиск по всем каталогам, но заражает, если не

     ошибаюсь,  только  в  самом  "далеком".  После  22.45 перезагружает

     систему.   Иногда   на   экране   мелькает    "физиономия".    Есть

     закодированный  текст  "Live!  From  Zeta Reticuli..._Attack of the

     Reptoids_Starring Earl Gray as *The Lizard's Assistant*

 

Swamp-1394

     Заражает COM  и EXE,  резидентный.  В начале видно "(C)Copyright by

     Swamp software 1993". Заражает файлы только, если в них происходила

     запись.

 

Magelan-606

     Заражает только  EXE,  резидентный.  В  конце  закодированное слово

     "Magelan".

 

WildFire-2222

     Заражает COM и EXE, резидентный. Может стереть информацию на диске.

     Замедляет работу. В конце слово "WildFire".

 

CursOff-934

     Заражает только COM, резидентный. Постоянно гасит курсор на экране.

 

Gloomy-2725

     Заражает COM  и EXE,  резидентный.  При каждом шестнадцатом запуске

     программы портит случайный сектор.  Стирает файлы "*.MS" и "*.?AS".

     Заменяет  MBR на программу,  которая после 511 загрузок форматирует

     диск.  Есть  тексты  "Gloomy  Nutcracker(AB5)  from  the  city   of

     Brest(BY) with best wishes!" и "Only the Hope dies last!".

 

Gloomy-3500

     Заражает   COM,   EXE   и   MBR,   резидентный.   Невидимый.   Есть

     закодированные тексты "Dreary Nutcracker(AB6)" и  "Любовь  Н.".  12

     января старается полностью стереть первый твердый диск, считая это,

     вероятно, подвигом во имя любви.

 

Mds-331

     Заражает только  COM,  резидентный.  Портит  дату.  Задуман,  чтобы

     стирать какую-то программу длиной 365504. К конце видно "MDS93".

 

Viking-1000

     Заражает COM и EXE,  резидентный.  Не  заражает  "-V*.*",  "AI*.*",

     "AD*.*",  "??M*.*".  Есть тексты "Crypted Here>",  "ViKing-Mixtura,

     CopyLeft (L) 1993 by ViKing.  ViKing is The Real King  of  Viruses'

     Kingdom.".

 

Viking-59

     Заражает только COM,  резидентный.  Был изготовлен еще в марте  95.

     Автор скрывается под псевдонимом.

 

LittleCat-2898

     Заражает COM и EXE,  резидентный.  29 декабря забивает 960 секторов

     диска C: словами "Little Cat" и выводит текст "Happy New Year! I am

     the Little Cat 1.5 - your best friend!".

 

EM-1303

     Заражает только EXE.  При запуске зараженных EXE-файлов  записывает

     файл C:\EM.COM с телом вируса, а в AUTOEXEC.BAT после первой строки

     PATH записывает строку EM.  EM.COM ищет и  заражает  EXE  -файлы  в

     подкаталогах C:\.  По 28-м числам запланировано,  если не ошибаюсь,

     заменять пробелом первый символ всех имен файлов.

 

Jolter-2197

     Заражает COM  и  EXE,  резидентный.  Невидимый.  Иногда  устраивает

     горизонтальное  дрожание   экрана.   Есть   закодированные   тексты

     "COMMAND.COM",  "COMMAND", "EXECOM*.COM", "*.EXE", "IBMJOLTER 4.0".

 

Favour-2608

     Заражает COM,  EXE и SYS,  резидентный.  После 8 июля 1995  года  в

     некоторых  EXE-файлах  будет  менять "MZ" на пробелы.  Иногда гасит

     экран VGA. Есть слово "FAVOUR".

 

Favour-2576

     Заражает COM и EXE,  резидентный.  После июля 1995 портит первые  4

     байта многих файлов.

 

Dinky-80, -126, -128, -132

     Еще одна группа Mini. Заражают только COM, резидентные.

 

Danish-163

     Заражает только COM, поиск в текущем каталоге.

 

MeiHua-1786

     Заражает COM и  EXE,  резидентный.  Сам  себя  считает  антивирусом

     (класса вакцин),  о чем гордо сообщает: "AntiVirus If your software

     has been inflected by other viruses,  run your software,  then  the

     virus will be cleaned ! THANK YOU! --Mr. MeiHua--".

 

Kennedy-333

     Заражает только COM.  Поиск в текущем каталоге.  6 июня,  18  и  22

     ноября  выводит  текст  "Kennedy  er  dЫd  -  lСnge  leve "The Dead

     Kennedys"

 

Urod-663, -773

     Заражает только EXE.  Поиск в текущем каталоге.  Оставляют в памяти

     экранного адаптера резидент,  который стирает все открываемые файлы

     и выводит на экран текст "Губатый лабоpант-уpод" (663) или "С новым

     годом !!!" (773).

 

Last72-814

     Заражает только EXE,  резидентный.  Ищет в последних 72 байтах всех

     заражаемых файлов последовательность F0FDC5AAFFF0,  чтобы следующие

     2 байта поставить вместо FFF0. А зачем?

 

Troitsk-1058

     Заражает COM  и EXE,  резидентный.  В конце текст "Aidstest Fucker.

     Copyright (c) by Troitsk Hackers Club$". Слабовато для хакеров...

 

Lobotomy-821

     Заражает только  COM.  Поиск  в  текущем  каталоге.  Часто  выводит

     тексты: 4 раза "Летний дождик напугал...", 10 раз "Лаа-бата-мия..."

     и "*** LOBOTOMYя v1.1beta (c)1995 MSfVC *** +: ***"

 

Lobotomy-966

     Заражает только COM. Поиск в текущем каталоге. Иногда выводит текст

     "RESET  your  machine  and  soon,  you`ll  know,   that   I`m   the

     Natural_Born_Killer  ...  v1.1  (c)95_MSfVC  Bye  ..."  и  пытается

     установить "LOBOTOMY" в качестве CMOS пароля.

 

Dog-252

     Заражает только COM. Есть текст "< SVINOLOBOVA SYKA >".

 

Koko-1780

     Заражает COM и EXE, резидентный. 15 февраля и 29 июля выводит текст

     "Stop  Keyboard Clicking KoKo is Sleeping in Your PC.  !  To Scan &

     Clean Call, Adham Hammam Fax & Phone (20) 066 - 261841". 15 февраля

     кроме того портит MBR - меняет местами четные и нечетные байты.

 

Clocking-737

     Заражает COM и EXE,  резидентный. После 10 часов непрерывной работы

     сбивает развертку EGA/VGA адаптера (посылает 0C01 в порт 3C4).

 

Xtac-1564

     Заражает COM  и  EXE,  резидентный.  После  24 числа каждого месяца

     стирает файлы с типом не из следующего списка:  COM, EXE, SYS, BAT,

     OBJ,  OVR,  OVL,  INI,  CFG, TPU, HLP, TPL, BGI, CHR. В конце текст

     "good news!  you have justbeen  smitten  by  XTAC  -  lyndon  siao,

     usc-tc".

 

Chklist-1360

     Заражает только  EXE,  резидентный.  Стирает CHKLIST.TAV.  Задумано

     было стирать также ANTI-VIR.DAT и еще два  файла,  но  их  имена  в

     дошедшем до меня экземпляре уже забиты стеком.

 

X13-1024

     Заражает только EXE,  резидентный.  По 13-м числам портит последний

     байт MBR и ставит дату 25.12.1994.

 

X13V-1024

     Заражает только EXE,  резидентный. Вариант X13. Пишет себя в память

     экрана,  но безо всяких предосторожностей,  что быстро  приводит  к

     повисанию системы.

 

Youth-580

     Заражает только COM,  резидентный.  При всех операциях Write меняет

     местами последние два байта. В конце текст "Demoralized Youth".

 

Bailey-334

     Заражает только EXE, поиск в текущем каталоге. В конце текст "Demo-

     Exe Virus Admiral Bailey [YAM]".

 

Equus-480

     Заражает только COM,  резидентный.  При исполнении  операции  смены

     текущего  каталога  иногда  вносит  путаницу.  Есть  текст "* Equus

     Trojanus v1.1 (C) AREOPAG No.15 *".

 

ZzTop-340

     Заражает только  COM,  резидентный.  В  конец  всех "*.C" и "*.CPP"

     пишет строку "ZZ TOP".

 

DiskOff-542, -558

     Заражает только  COM.  Помесь  Хижняка  и  Vienna   с   добавлением

     устаревшего  приема  против  резидентных сторожей.  Может запрещать

     текущий диск (только в MS DOS не ниже 5.0).

 

Evil-1710

     Заражает COM и EXE,  резидентный. Во второй половине года в 11 и 16

     часов портит на нулевой дорожке первого твердого диска сектора  15,

     16, 17, что, впрочем, редко бывает опасным. Есть тексты "** (C) The

     Evil Spirit ** Gabrovo city,  Bulgaria.  Last_change : 28.05.1993 "

     "COMMAND.COM", "F-PROT", "F-TEST", "VIR", "DIR2CLR", "IMV", "ANTI",

     "DOCTOR", "SCAN", "CLEAN", "IVC", "CHKDSK".

 

Singapore-534

     Заражает только COM. Поиск во всех каталогах текущего диска.

 

Poro-1257

     Заражает COM и EXE,  резидентный.  При  записи  на  диск  старается

     комбинации   символов   "Bori',  "BORI",  "Бори",  "БОРИ"  заменить

     соответственно на "Poro",  "PORO",  "Поро",  "ПОРО".  С  15  по  25

     сентября  выдает  текст  "С  Днем  рождения,  Аллочка  !  Наилучшие

     пожелания твоему Hard Disk'у !".  Есть закодированный текст  "Turbo

     Bugger (C) 1994 Dedicated to Alla R. Borisyuk ( МЕХ-МАТЬ 307 )"

 

Cheboksary-1024

     Заражает COM  и  EXE,  резидентный.  Дописывается  в   конец   всех

     EXE-файлов  короче  64500,  но  полноценно  заражает  только те,  у

     которых CS=IP=0.  Блокирует на клавиатуре Caps Lock и левый  Shift.

     Есть закодированный текст "Cheboksary-90".

 

Aga-1500

     Заражает только COM.  Поиск в текущем каталоге и "\command.com". По

     13 числам сообщает "WARNING! Today is the 13th !", а, если при этом

     пятница,  дописывает в начало "\autoexec.bat" пару операторов ECHO,

     с текстами  "Hey,suckers!  Hold  on,your  data's  gone  too  far!",

     "MONGOLIA,UB.".   Может   также   выдать   текст  "WARNING!!!  Your

     MS-Windows 3.1 you are working with is not licensed!  In the  light

     of  it,we  are  entitled to aver that we will activate a protective

     application against your unauthorised access...".  Есть текст  "AGA

     Media(C),94".

 

Sword-784

     Заражает COM  и  EXE,  резидентный.  В конце текст "The POWER of my

     SWORD!!!$".

 

MIPhT-460

     Заражает только COM,  резидентный.  Видны тексты "<<< To serve  and

     protect. >>>", "MIPhT 25.11.94.".

 

MIPhT-905

     Заражает только  COM,  резидентный.  Видны тексты "<=Ё To serve and

     protect.  Ё=>",  "<Ё MIPhT 15.09.95.  Ё>". Иногда устраивает мелкие

     фокусы на экране.

 

Othello-681

     Заражает только COM,  резидентный.  19 числа может вывести на экран

     стих:

        Меня,я знаю,ты любила,

        Его,навеpное,хотела,

        Раздвинуть ноги поспешила,

        Кому тепеpь какое дело?

     и испортить первый твердый диск.

 

Sily-745

     Заражает только  EXE,  резидентный.  После  31  августа   постоянно

     мигает  индикаторами  клавиатуры  и  выводит в первой строке экрана

     "-== Hi! Everybody! This is nice and sily virus for you ==-".

 

Maximum-1198

     Заражает только  COM.  Поиск  в  текущем каталоге и по PATH,  но не

     всегда успешно.  Иногда выводит текст "Radio MAXIMUM virus  ver.1.0

     beta (c) 1995 D&M Software. So... tell me, what is the frequency of

     Radio MAXIMUM?".  Если  ответить  "103.7",  собщает  "Right!  Radio

     MAXIMUM - BEST Radio..." и пытается вылечить исполняемую программу.

     Иначе после  сообщения  "Error!  Now  restarting..."  перезагружает

     систему.

 

Ambulance-796

     Заражает только  COM.  Классический  вирус  с  бегающей  по  экрану

     "скорой помощью".

 

AntiFortran-1110

     Заражает COM   и  EXE,  резидентный.  Если  запущена  программа  из

     каталога "F77", стирает ее, а в понедельник кроме того дописывает в

     конец  файла  "C:\AUTOEXEC.BAT"  строку  @ECHO  Y  |  FORMAT D:  По

     вторникам меняет параметры первого таймера,  что  должно  замедлить

     процессор. Есть закодированный текст "ANTI FORTRAN OF OVER-X".

 

AntiFortran-2660

     Заражает COM и EXE,  резидентный. Иногда переименовывает EXE-файлы,

     имя которых начинается на "FO", подставляя вместо 'X' русскую букву

     'х',  В  феврале  и  октябре  выводит  на экран картинку со словами

     "FORTRAN MUST DIE",  исполняя звуковые и оптические  эффекты.  Есть

     закодированный текст "[-DEDiCA+ED-+0-MARKiZ-]".

 

VLamix-1090

     Заражает только EXE, резидентный. Часто вместо заражения безнадежно

     портит  файлы.  Стирает  файлы  "smartc*.cps"  и "chklist.*".  Есть

     закодированные тексты "- =*@DIE_LAMER@*=-", "VLamiX-1".

 

CMOSKiller-807

     Заражает COM   и  EXE,  резидентный.  Довольно  сложно  меняет  три

     параметра  в  CMOS,  забывая  о  контрольной  сумме.  EXE  заражает

     многократно   и   бессмысленно,   поскольку  из  него  не  способен

     активизироваться.

 

Solar-512

     Заражает только EXE, резидентный. Эмулирует защиту записи на втором

     дискетнике. В конце текст:

 

     "Bring your FDD drive... to the slaughter"

     (C) Solar Wind fault!Function not

 

Solar-100, -102, -122

     Заражает только EXE,  резидентный.  Кажется,  пока рекордные в этом

     классе.

 

MMCA-505

     Заражает COM   и   EXE,  резидентный.  Для  перехвата  функций  DOS

     применяет довольно рискованный метод. В конце видно "ММСА_КПИ".

 

Farside-3006

     Заражает COM  и  EXE,  резидентный.  Удивительно тяжеловесный стиль

     программирования.  6 апреля зараженные  программы  не  исполняются.

     Регулярно  выводится  текст  "For  cryin'out loud!  My circuits are

     haunted  by  the  ghost  of  a  porcupine.   .   .".   Есть   также

     закодированный текст "FARSIDE virus 1.00 (C) Windom Earle ROMANIA".

 

MH_MH-1163

     Заражает COM  и  EXE,  резидентный.  В 12 часов издает 5 писков.  В

     конце закодированный текст "byMH&MHsoftware".

 

Chek-282

     Заражает только COM, резидентный. Есть символы "CheK1".

 

AntiLoz-6294

     Заражает COM  и  EXE,  резидентный.  К  сожалению  надежное лечение

     файлов  невозможно,  поэтому  все  зараженные  файлы   предлагается

     стереть.  Есть  тексты  "AntiAidstest.  (C)Copyright  Kovalevsky  &

     company.      AntiLozinsky.      AntiLozinsky.      AntiLozinsky.",

     "Лозинский-ЧМО!",  "У И Н Д О У З-ДУРА.  (C) Copyright Kovalevsky &

     Co, MSU PhisDept. Happy birthday to us.".

 

Day14-789

     Заражает только EXE. Поиск по PATH. По 14-м числам нечетных месяцев

     стирает CMOS и MBR.

 

AntiZIP-1008

     Заражает только EXE, резидентный. Стирает все "*.ZIP".

 

Jump-833

     Заражает только COM,  резидентный. В конце виден текст "Jump 4 Joy,

     alpha-release. Not to be distributed!".

 

Phalcon-894

     Заражает только COM. Поиск по всем каталогам текущего

     диска. В марте намерен портить диски. По понедельникам творит нечто

     невообразимое  с системными часами - вызывает функцию со случайными

     параметрами.

 

Zz-412

     Заражает только EXE, резидентный. В конце символы "ZZ".

 

Lost-596

     Заражает  только  COM.  Поиск  в  текущем каталоге.  В конце  видно

     "* LOST *".

 

Katya-732

     Заражает только COM. Поиск в текущем каталоге и выше. Много ошибок,

     быстро  вешает  систему.  24  декабря  выводит  на  экран  "С  днем

     рождения, КАТЯ". Последнее слово крупными буквами из сердечек.

 

BlackMonday-1055

     Заражает COM и EXE,  резидентный. Часто портит первый твердый диск.

     Есть текст "Black Monday 2/3/90 KV KL MAL".

 

Bishkek-559

     Заражает только  COM.  Поиск  в  текущем  каталоге  и  через  PATH.

     Последнее реализовано своеобразно,  но часто работает.  Есть  текст

     "Bishkek software *.* My rights reserved 23.08.1994".

 

Bishkek-319

     Заражает только COM.  Поиск в  текущем  каталоге.  По  31-м  числам

     стирает  MBR,  а  по  22-м  выводит  текст  "Scorpions by Sch(5) in

     Bishkek".

 

Arj-1997

     Заражает COM   и   EXE,   резидентный.   Первым   делом    заражает

     C:\COMMAND.COM  и  то,  что  указано  в  COMSPEC.  Остальные  файлы

     заражает перед OPEN и  лечит  после  CLOSE  только  при  исполнении

     ARJ.EXE,   RAR.EXE  или  AIN.EXE.  В  результате  зараженные  файлы

     оказываются  только  в  архивах.  Перед  стартом  ADinf   старается

     вылечить COMMAND.COM.

 

Shirley-4096

     Заражает только EXE,  резидентный.  Очень часто вешает  систему.  В

     начале текст "IWANTSHIRLEY".

 

Debilas-2000

     Заражает COM и EXE,  резидентный.  22 сентября стирает  первые  128

     секторов  на всех дисках,  если BIOS имеет дату не 03/09/94.  Затем

     выводит на экран тексты " -=DMS=- ",  "Fuck you b.tAMULYNAS and  to

     your crack of Print_Screen",  "Buvai DEBILAS ,  esi DEBILAS ir busi

     DEBILAS !!!", "Copy right Antanas Vidziunas ,VDU, 1996." и начинает

     завывать.

 

Baba-356

     Заражает только  COM,  резидентный.  Класса   Midi.   Не   заражает

     COMMAND.COM.

 

Virgin-281

     Заражает только COM. Видны тексты "COMMAND*.com", "VirVirgin".

 

Inferno-781

     Заражает только COM,  резидентный.  Из-за игр с системным  таймером

     может вешать систему. Есть закодированный текст "NAME OF THIS VIRUS

     IS "INFERNO" NEXT VERSION WILL BE BETTER...".

 

Dict-269

     Заражает только  EXE,  резидентный.  В  конце текст "DICTEXE (C) EA

     inc.".

 

Noki-448

     Заражает только   EXE,   резидентный.   Заражает   очень   немногие

     EXE-файлы.  Не меняет длины.  17-го числа нечетного  месяца  портит

     MBR. Есть символы "NOKI".

 

Gregory-406

     Заражает только EXE,  резидентный.  Записывается в EXE  Header,  не

     меняя длины. Виден текст "<* Григорий Б.С. C-2.3 *>".

 

Andrey-932

     Заражает только COM,  резидентный.  Иногда выводит на экран "Hallo!

     From Andrey!".

 

Svetlana-1110, -2060, -3410, -4734

     Заражает COM и EXE, резидентный. Плагиат из SVC. Все версии в конце

     имеют текст "Svetlana v.  1.0" (1.1,  1.2,  1.3).  Со второй версии

     вставлена  шутка с вращением текста на экране.  С третьей вставлено

     противодействие трассировке, а в четвертой - невидимость. Четвертая

     иногда  может  выводить  текст  "Welcome to demo version antisv.exe

     Волков - ДУБ,  antisv - ГОРБУХА The evil, that I do, live on and on

     and on... Svetlana." - также краденый из разных источников.

 

SwapFile-5000

     Заражает COM и EXE,  резидентный. Невидимый. Мешает работать с PAS-

     и  CPP-файлами.  Иногда  может  выводить  текст "Swap file creation

     error at 0FAD:2DEC." В  январе  изображает  на  экране  снегопад  с

     текстом  "Happy New Year !  Ghost 1.0 is terminating it`s work now.

     Please wait...  Write down this number :  0000000000 and  pray  for

     your  data  rescue..".  При  этом  возможна  порча  диска.  В конце

     закодированный текст "I feel so tired.  The way the rain comes down

     how  it`s  how  I  feel  inside.  I`ve  been living so long with my

     pictures of you Remembering you standing quiet in the rain There is

     nothing  in  the  world  that I ever wanted more than to never feel

     breaking apart all my  programs  again.  The  spiderman  is  always

     hungry".

 

Krasikov-264

     Заражает только COM.  По 6-м числам  после  полудня  выводит  текст

     "Destructor, Copyright (C) 1992 by Krasikov" и завершает программу.

 

Crusade-3072

     Заражает COM,  EXE и MBR на жестком диске,  резидентный. Невидимый.

     Есть закодированный текст "Take care of soft war or Last Crusade.".

     После 5 часов работы выводит на экран в рамке "LIVE `N` LET LIVE!".

 

KPI-879

     Заражает COM и EXE,  резидентный.  Оставляет в памяти по экземпляру

     при  каждом  запуске  зараженной  программы.  В  конце закодировано

     "ММСА_КПИ".

 

Mipt-602

     Заражает только   COM,  резидентный.  Зачем-то  блокирует  открытие

     файлов с именами "logo.pic", "heretic.wad", "e", "kb2.dat". В конце

     текст "MIPT(75),1995(C),TERMINATOR".

 

Gluck-761

     Заражает только COM,  резидентный.  Стирает "chklist.ms". В течение

     часа после полуночи выводит на экран текст "You iave a  ?GLUCK?!!!"

     и  устраивает  дрожание  экрана.  Блокирует запуск программы DRWEB,

     выводя при этом текст "Error reading fat!".

 

Kavaklar-743

     Заражает COM  и EXE,  резидентный.  Скрывает изменение длины.  Есть

     закодированный текст "Kavaklar v2.05 (c)Unterleutnant".

 

Naive-1647

     Заражает только EXE, резидентный. Предполагалось иногда при нажатии

     Ctrl+Alt+Del выводить на экран послание в стиле "сатанизма".

 

BitAddict-512

     Заражает только COM,  резидентный.  Два  варианта.  Оба  после  100

     запусков  зараженной программы стараются стереть диск C (к счастью,

     это не всегда срабатывает).  Первый перед этим выводит  текст  "Bit

     Addict  says:  "You  have  a  good  taste  for  hard disks,  it was

     delicious!". Второй содержит закодированный текст "Bit Addict".

 

BitAddict-979, -1190, -1459, -1601

     Заражают COM и EXE,  резидентные.  Версии 1459 и 1601 могут стереть

     все содержимое  диска  "C".  Все,  кроме  1459  содержат  в  разных

     вариациях  строку  "Bit  Addict".  979  и  1190  заражают COM-файлы

     многократно.

 

Funky-692

     Заражает  только   COM,   резидентный.   Перед   перезагрузкой   по

     Ctrl+Alt+Del трижды исполняет нечто вроде трели.

 

Saratov-1790

     Заражает COM и EXE,  резидентный.  Портит CHKLIST.MS.  Не  заражает

     файлы,  имя которых начинается на COM,  DRW,  AID и т.д.,  а также,

     если обнаруживает на экране слово "Web".  Иногда выводит  на  экран

     тексты "Thanks for using Saratov software." или "The File Corrector

     v2.0. Made in Saratov. Serial #".

 

Hamme-1203

     Заражает COM  и  EXE,  резидентный.  В  январе иногда выводит текст

     "Forget it, I'm lazy today!" и не исполняет программу.

 

HDZZ-566

     Заражает только COM,  резидентный.  Первого августа может испортить

     нулевую дорожку на первом твердом диске.

 

Bones

     7-го числа  стирает нулевую дорожку текущего диска и всю информацию

     с первого твердого.

 

Leonid-974

     Заражает только  EXE,  резидентный.  По воскресеньям выводит текст:

     "10 нoябpя 1982 гoдa пepecтaлo битьcя cepдцe Гeнepaльнoгo Cekpетapя

     ЦK KПCC,  Гepoя Coциaлиcтичeckого Tpyдa, чeтыpeжды Гepoя Coвeтckoгo

     Coюзa Лeoнидa Ильичa Бpeжнeвa ...".

 

Pantera-400

     Заражает только COM, резидентный. В начале видно "Pantera".

 

Keyb-667, -756, -873

     Заражает только  COM,  резидентный.  Все   17-го   числа   замещают

     c:\dos\keyb.com  разными пакостными программами.  Первый портящую в

     CMOS параметры дисков.  Второй ту же или  стирающую  1911  секторов

     диска  C:  и  выдающую  после  этого  текст  "777h sectors trashed.

     Repair!".  KEYB.COM третьего правит MBR,  в результате чего  тот  в

     апреле  может  стереть  весь  диск.  Кроме  того  873 перезагружает

     систему при нажатии на Ctrl+Del и Alt+Del.

 

Beavis-657

     Заражает только EXE, резидентный. Активизируется только при наличии

     UMB.  Часто выводит  один  из  текстов:  "FIRE  FIRE  FIRE!",  "Hey

     butthead this sucks change the channel!", "Shut up butthead or I'll

     kick your ass!",  "We're there  dude.",  "The  Beavis  virus  kicks

     ass!".

 

Mavrodi-687

     Заражает только COM,  резидентный.  Иногда выводит  текст  "Принцип

     взаимного доверия выше взаимных обязательств. С. Мавроди.".

 

Kalinka-2920/3179

     Заражает COM  и  EXE,  резидентный.  Портит  файлы  "DISKDATA.DTL",

     "VIRUSES.INF", "A-DINF-+.+++", "DIRINFO", "-V.MSG", записывая в них

     текст  "Калинкамалинка-малинка-малинка  моя  !".  Иногда  исполняет

     мелодию  и  выводит  на  экран  тот  же  текст.  Заметно  родство с

     семейством Beer.

 

AntiGUS-1570

     Заражает только  EXE,  резидентный.  24  июля  при  каждом  запуске

     программы выводит текст "Happy birthday to me! :-)". Каждую секунду

     пишет в порты 302-303-304, 312-313-314,... Зачем - не знаю.

 

Fighter-619

     Заражает только COM,  резидентный. Есть слегка закодированный текст

     "SHD Fighter9".

 

Fistik-1280/1536

     Заражает COM и  EXE,  резидентный.  Если  в  одном  сеансе  удается

     заразить  5  файлов,  при  загрузке  каждой программы выводит текст

     "DБnyalar TatlНsН Sevgilime 3.14 Seni Аok Seviyor FISTIK.".

 

Andrew-634

     Заражает COM и EXE, резидентный. 21 мая пишет в BOOT текущего диска

     текст "Happy birthday to Andrew !".

 

Andromeda-1536

     Заражает COM и EXE,  резидентный. По пятым числам месяца после 4000

     нажатий  на  клавиши перегружает систему.  Видно "ANDROMEDA V3.2" и

     "HUNGARY".

 

OS-840

     Заражает только COM,  резидентный. 5 января стирает MBR и постоянно

     выводит на экран вертикальные серые полосы  и  надпись  на  красном

     фоне "Virus BARROTES por OSoft".

 

AmazonQueen-468, -479, -500

     Заражает COM и  EXE,  резидентный.  Могут  выдавать  текст  "Amazon

     Queen...v1.0"  (либо  v1.1,  v2.0).  Есть  еще  тексты "LoRD Zer0",

     "WHY?".

 

Avalanche-2818

     Заражает COM  и  EXE,  резидентный.  Невидимый.  Старается  стереть

     программы,  имя  которых  начинается  на  "F-PR",  "TBAV",  "SCAN",

     "MSAV",  "CPAV",  "TBME",  "TBFI",  "TBSC",  "VIRS",  "TBDR".  Есть

     закодированный  текст  "AVALANCHE/Germany '94...Metal Junkie greets

     Neurobasher".

 

Bobas-754

     Заражает только EXE,  резидентный.  Начиная с 25 числа месяца после

     25000  прерываний  от  клавиатуры  (нажатий  и  отпусканий  клавиш)

     начинает выводить в верху экрана "VIRUS :BOBAS v1.1".

 

Bobo-1355

     Заражает только COM, резидентный. 24 августа выводит текст "Welcome

     to  Bobo  virus !  Written in the town of Zagreb.  Copyright (C) by

     Boris P.,  September 1992 Love goes to Ivana H.".  и стирает Master

     Boot.  Иногда  при нажимании Ctrl+Alt+Del выводит на экран "I'll be

     back ...". Пропускает многие вводимые символы.

 

Bugger-427

     Заражает только  EXE,  резидентный.  В  памяти размещается только в

     UMB,  а в  файле  в  EXE  Header.  Довольно  оригинально  усложняет

     трассировку.

 

Dracula-1370

     Заражает только EXE, резидентный. С большой вероятностью стирает 13

     первых  цилиндров  первого диска,  после чего выводит текст "It's a

     pleasure for me to be so harmful. See you later, Count DRACULA.".

 

Tie-710

     Заражает только  COM,  резидентный.  Есть закодированный текст "TIE

     Fighter".

 

Coito-644

     Заражает  COM   и  EXE,  резидентный.   Есть  закодированный  текст

     "-= COITO, ERGO SUM =-By Green Leon 1993.".

 

Core-1024

     Заражает только EXE,  резидентный. Много шансов на частое повисание

     системы. Есть закодированный текст "Work Area stopHello this is the

     core Rev 3 26/4/91 P 0.98c".

 

WG-728

     Заражает только  EXE,  резидентный.  Портит  в  среднем  1  из  256

     записываемых  на  диск  блоков,  инвертируя  в   нем   биты.   Есть

     закодированные тексты "WG02" и "AIADWEVDVSMSHI". Последний - список

     начал имен не заражаемых программ.

 

MadMax-507

     Заражает только COM,  резидентный.  Школа Хижняка.  В  конце  текст

     "MadMax$".

 

LameV-207

     Заражает только  COM.  Поиск  в  текущем  и  выше.  Вешает систему.

     Заражает многократно.  В конце текст "Devastator/PHOBIA Lame  virus

     #3".

 

LameV-435

     Заражает только  COM.   Поиск   в   текущем   каталоге.   В   конце

     закодированный  текст  "Devastator Lame Virus #9Look,  we are being

     encrypted, yes? A big improvement, but silly <sniff>".

 

LameV-538

     Заражает только  COM.  Поиск  в  текущем  каталоге.  В  конце текст

     "Devastator Lame Virus #8We are very simple,  no?  But we do  work,

     and we do not corrupt the program we infect, and that is good, yes?

     It is also all 100%  original code,  that has not been  ripped  off

     from anywhere,  like so many so called virus "writers" that seem to

     appear everywhere with their silly VCL and MPC generated  works  of

     "art".

 

Istanbul-1349

     Заражает COM и EXE,  резидентный. Пытается работать как "вакцина" -

     при заражении другим вирусом удаляет себя вместе с ним, но при этом

     EXE-файлы портит.  Запланировано лечить все файлы 21  декабря  2000

     года.  Есть  текст  "Anti-Virus??  Written  in the city of Istanbul

     (c)1993".

 

Istanbul-1312

     Заражает COM  и  EXE,  резидентный.  21  декабря  2000 года намерен

     лечить все зараженные файлы,  но с ошибкой. Есть тексты "Written in

     the city of Istanbul (c)1993" и "Installed".

 

MzExe-384

     Заражает только EXE,  резидентный. Невидимый, не меняет длину. Есть

     тексты "MzExe", "Copyright (c) 1992 by Андрюшка".

 

DVA-445

     Заражает только COM.  Поиск в текущем каталоге.  Есть  тексты  "DVA

     желает вам хороших сновидений....",  "Completed!!!- Осторожно у вас

     в файле код Вируса FSFirst!!!Бойтесь меня".

 

Badless-494

     Заражает только COM. Поиск в текущем каталоге. Портит все EXE-файлы

     с расширением COM, записывая в их начало код, выводящий текст "Only

     in God we trust...". Есть также текст "Badless 1992".

 

Microb-431

     Заражает только COM,  резидентный.  Все зараженные  файлы  получают

     дату 05.12.95 и время 17:57. 13-го числа выводит текст "MICROB I" и

     стирает первый твердый диск. 4 марта и 7 ноября стирает диски.

 

Gosha-1831

     Заражает COM и EXE, резидентный. Виден текст "GOSHA". Из-за особого

     метода заражения программ с длинами  54619,  52925,  47845  (разные

     версии    COMMAND.COM),    они    могут    после    лечения   стать

     неработоспособными.

 

Burglar-1150

     Заражает только EXE,  резидентный.  Не заражает файл,  если  в  его

     имени  есть символы "V" или "S",  либо первые два символа имеются в

     списке  "CLHWTBFWCTK".  В  14-ю  минуту  часа  выводит   на   экран

     "Burglar/H". В начале есть текст "AT THE GRAVE OF GRANDMA...".

 

AOB-802

     Заражает только EXE,  резидентный. По воскресеньям блокирует работу

     с  принтером,  а  10  мая - с последовательными портами.  25 ноября

     стирает  все  запускаемые  программы.  По  седьмым   числам   часто

     перезагружает систему. Есть текст "AOB 3".

 

Sterculius-273

     Заражает  только   COM,   резидентный.   В   начале   виден   текст

     "STERCULIUS".

 

Sterculius-428

     Заражает COM и EXE, резидентный.

 

Elaine-1127

     Заражает COM и EXE,  резидентный.  С вероятностью 1/256 инвертирует

     первый байт записываемых на диск блоков. В начале текст "Elaine 1.0

     28 May 1994".

 

Jester-700

     Заражает только COM.  Поиск в текущем и корневом каталоге. В начале

     зараженных файлов видно "Jester-2_0".

 

Roll-600

     Заражает только  COM,  резидентный.   Блокирует   перезагрузку   по

     Ctrl+Alt+Del, вращая при этом содержимое экрана вверх.

 

Victor-749

     Заражает только COM.  Поиск в текущем  каталоге  и  всех  выше.  28

     февраля выводит текст "Happy birthday VICTOR!!!". Есть текст "Hello

     Victor&Igor!!!Victor`s Virus For Igor&ALL!!! Warning!Super Virus!!!

     Hello!!HI!!!!ALL OK!!!DON'T WORRY".

 

Fumble-867

     Заражает только COM.  Поиск в текущем каталоге.  Оставляет в памяти

     резидент,  который при вводе с клавиатуры  заменяет  символы,  чаще

     всего на соседний справа.

 

Als-335

     Заражает только COM.  Поиск в текущем  каталоге.  По  понедельникам

     стирает  200 секторов диска C,  после чего был задуман вывод текста

     "PC infected by KPOBOCOC 1.0 ViRUS. (C) by A.L.S.".

 

Als-814

     Заражает  COM  и   EXE.   Поиск   в  текущем  каталоге  и  выше.  В

     закодированном теле есть текст "XA-XA 4.0 A.L.S.".

 

Helga-666

     Заражает только COM.  Заражает в текущем каталоге и COMSPEC. Портит

     файлы "*.MS" и "*.+*". Иногда выводит текст "ТЫ ХОТЕЛ УВИДЕТЬ НЕБО?

     ГОЛУБОЕ-ГОЛУБОЕ? ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? НЕВИДАТЬ ЕГО СО МНОЙ!"

 

Cuareim-800

     Заражает только COM. Далекий от оптимальнного поиск по каталогам. В

     22  часа  выводит  текст  "ei-cuareim 1.5 By:  V90d90A time to stop

     working - 22pm Lucky, I dont do anything" и прекращает программу.

 

Alia-1023, -1200

     Заражает только EXE,  резидентный.  Многие программы после  лечения

     могут оказаться неработоспособными, так как невозможно восстановить

     исходное значение некоторых параметров (прежде всего SS).

 

Valentin-480

     Заражает только COM,  резидентный.  Скрывает изменение длины.  Есть

     текст "SmS bItEs !!!  aNd Is  gAy  ToO  !!!  wRiTteN  bY  BiGMaRtY,

     2/13/96 HaPpY vAlEnTiNeS DaY eVeRyOnE... ... tO fUcK tOo mUcH ;)"

 

NSD-266

     Заражает только COM.  Поиск в текущем  каталоге  и  c:\command.com.

     Из-за  ошибок  может  вешать  систему.  Иногда в режиме 320x200x256

     выводит текст "SYSTEM ERROR: DMA DENIED.". В конце символы "NSD".

 

Day13-666

     Заражает COM и EXE, резидентный. По 13-м числам старается испортить

     нулевую  дорожку  и  начало  диска  C.  К  счастью,   успех   этого

     мероприятия на современных дисках маловероятен.

 

VXT-550

     Заражает только  COM,  резидентный.  Есть  закодированный  текст "*

     [VXT-1 Virus] (c) 1996 SMSoft *".

 

Weekday-1614

     Заражает COM  и  EXE,  резидентный.  Скрывает  изменение  длины.  В

     качестве признака зараженности в  секунды  времени  создания  файла

     ставит удвоенный день недели создания.

 

Sofia-1369

     Заражает COM и EXE,  резидентный.  Скрывает изменение длины.  Может

     портить  некоторые  дорожки  первого твердого диска.  В конце текст

     "Sofia 1994 by TERMINATOR".

 

Solders-545, -557

     Заражает только   COM,  резидентный.  Старается  портить  случайные

     дорожки.  545 всегда на первом твердом диске,  а 557  на  дискетах,

     хотя предполагался текущий диск.

 

Lapis-445

     Заражает только  EXE,  резидентный.  Есть  текст   "[Lapis-Lazuli],

     Rhince/VLAD".

 

Fellow-1019

     Заражает только EXE,  резидентный.  В сентябре при  запуске  каждой

     программы выводит текст "This message is dedicated to all fellow PC

     users on Earth Towards A Better Tomorrow And A Better Place To Live

     In".

 

Worm-913

     Заражает только  EXE,  резидентный.  Пишет  перед  собой  в   конец

     заражаемого файла кусок случайной длины до 64К, который при лечении

     невозможно удалить. В конце есть закодированный текст "Worm!".

 

Plovdiv-800

     Заражает только  COM,  резидентный.  При работе в MS DOS 3.30 может

     портить диски. Есть текст "(c)Damage inc.Ver 1.1,Plovdiv,1991".

 

Larry-497

     Заражает  COM  и  EXE,  резидентный.  Из-за  грубых  ошибок  портит

     некоторые EXE-файлы. Выводит на экран текст "Larry On a Screen".

 

Kinnison-734

     Заражает только COM.  Поиск на текущем  диске.  По  пятницам  11-го

     выводит   текст   "DIE  BITCH!!!!!  AHHHHHHHH!!!!!!!".  Есть  также

     закодированный текст "[VCL] Dedicated to the memory of Sam Kinnison

     1954- 1992 [Kinnison] Nowhere Man, [NuKE] '92".

 

XFungus-1483

     Заражает COM и EXE, резидентный. Частично скрывает изменение длины.

     20 сентября выводит текст "John Bonham - September 20, 1980 - L E D

     Z E P P E L I N  -".  Есть  еще  несколько  текстов,  в  том  числе

     "*XFungus  by  Harry  McBungus*",  "*Stormy:  Yo im a nugga!*",  "*

     Patricia: Get a life & some programming knowledge *".

 

Lavi-797

     Заражает только COM,  резидентный.  Предполагалась запись  17  июня

     метки тома "-USA 94-".  Есть закодированный текст "[USA 94] (c)1994

     ANuBiS".

 

Rabbit-292

     Заражает только COM.  Поиск в текущем каталоге  и  выше.  4  апреля

     стирает  MBR.  Есть  текст  "The Rabbit Virus By:  Corrupt Of Death

     Row".

 

Ouse-591

     Заражает только COM.  Поиск в текущем каталоге и выше. Стирает BOOT

     диска C.

 

Version-705

     Заражает только COM,  резидентный.  При вызове функции DOS  Version

     выдает   практически   случайное  значение.  Должен  быстро  вешать

     операционную систему.

 

MZV-333

     Заражает только COM, резидентный. В начале видно "MZV 2 !!!".

 

Nike.Pox-1487, -1726

     Заражает COM   и   EXE,   резидентный.   Невидимость   обеспечивают

     "лечением" файлов при открывании и исполнении.

 

Ozzy-546

     Заражает COM и EXE,  резидентный.  Виден текст "Ozzy Osbourne virus

     por El Flaco".

 

Proto-720

     Заражает только COM,  резидентный.  Виден текст "** ProtoVirus v1.0

     by Chr'92 **".

 

Xram-1355

     Заражает только  EXE,  резидентный.  Портит  ANTI-VIR.DAT,  стирает

     CHKLIST.MS.  Не  заражает  файлы,  имя  которых начинается на "F-",

     "TB",  "SCAN".  Скрывает изменение длины.  По 15-м  числам  выводит

     текст  "Capaz  de reprimir con palos y armas a tus propios hermanos

     que  luchan  reclamando  Justicia  e  Igualdad...te  haces   llamar

     DEFENSOR  DE  LA  LEY  Y  EL  ORDEN.  Tu  sola  presencia da asco y

     repugnancia.  Virus ANTI-YUTA, (C) Karl Xram, Abril 95 ".

 

Xram-1000

     Заражает только COM. Поиск в текущем каталоге. Выводит текст "** El

     COBOL no sirve,  es una Mierda **".  Есть  также  текст  "(C)  Karl

     Xram".

 

DAN-585

     Заражает только COM,  резидентный.  18 января порит параметры CMOS.

     Портит "ANTI-VIR.DAT" и стирает "CHKLIST.MS".

 

DAN-677

     Заражает только   COM,   резидентный.   Есть   текст   "Killer   by

     Cancerbero".

 

DAN-995

     Заражает COM и EXE, резидентный. Не заражает программы, имя которых

     начинается  на "F-",  "TB",  "AN",  "SC".  Есть закодированный тект

     "Androide 1с by WMТ [DAN]".

 

DMA-1024

     Заражает только EXE,  резидентный.  По 13-м числам пытается  что-то

     делать с DMA.

 

MW-278

     Заражает только    COM,    резидентный.   Заражает   при   создании

     (копировании)  файлов.  После  13  заражений  блокирует  исполнение

     программ, выводя "Fuck off".

 

Revenge-1024

     Заражает только COM,  резидентный.  По понедельникам  перезагружает

     систему  при  каждом  нажатии  на  клавишу  ESC.  Виден текст "Dark

     Revenge!".

 

Kit-2384

     Заражает COM  и EXE,  резидентный.  Заражает многократно при каждом

     запуске программы.  Устраивает игры в регистрами  клавиатуры.  Есть

     текст "Copyright 1991-1999. KIT VIRUS (version 2.0).".

 

Dragon-414

     Заражает только COM,  резидентный. Есть закодированный текст "Quick

     Dragon v.7".

 

BlackWind-476

     Заражает только COM.  Поиск в текущем каталоге  и  выше.  По  6-  м

     числам  запланировано  портить  нулевую  дорожку  первого  диска  и

     выводить текст "ge by the BLACK WIND VIRUS...  Copyright (C)  1992,

     Destructive Technologies,  Unlimited.".  Начало текста испорчено по

     неграмотности.

 

MMIR-393

     Резидентный. Заражает все файлы (не только программные). Есть текст

     "RAVAGE! (c) Metal Militia / Immortal Riot".

 

Zed-287

     Заражает только COM,  резидентный.  Есть текст "ZED-10 Virus  1.2B.

     (C) 1994 JH".

 

Replicator-651, -655

     Заражает только  EXE,  резидентный.   Скрывают   изменение   длины.

     Зараженным   файлам   ставится   дата   02.01.80.   В  конце  текст

     "[Replicator] [Darkman/VLAD]".

 

QueenBee-266

     Заражает COM и EXE,  резидентный. Из-за неверного значения регистра

     DS   большинство  EXE-файлов,  зараженных  этим  вирусом,  работают

     неправильно.

 

RedLaugh-607

     Заражает только COM, резидентный. Часто выводит текст "Красный смех

     гуляет по стране... 01/21/96 by FDD.".

 

Aurea-653

     Заражает только  COM.  По  понедельникам  старается  стереть  720-й

     сектор диска C,  а 1 марта 100 секторов,  начиная с 720-го,  выводя

     при этом текст "I'm sorry, you lost something because of AUREA".

 

LittleBoy-944

     Заражает COM и EXE,  резидентный.  Часто выводит на экран  текст  в

     рамке из сердечек:  "!!!  ВЫРУСС !!! УХ КАК СТРАШНО". В конце виден

     текст ")by Little Boy.1995.V0.3(SIMPLE".

 

Jouce-1608

     Заражает COM и EXE.  Поиск в текущем каталоге и COMSPEC.  По средам

     предполагалось портить первый твердый диск и выводить  безграмотный

     нецензурный текст.  Есть закодированный текст "*Jouce und Krisque*,

     Version 0001h.".

 

Gurre-2247

     Заражает COM   и   EXE,   резидентный.  Невидимость  обеспечивается

     лечением  открываемых  файлов,  что,  из-за  достаточно  халтурного

     алгоритма,  может  приводить  к  роковым последствиям для некоторых

     файлов.  Виден текст "Fucked  file  is  FuckUp".  Кроме  того  есть

     закодированный      текст      "Choise      virus      ver      1.0

     !!!!!!!!!!!!!!!!!!!!!!!!!!!  (c)  Copyright  1996   by   Gurre   in

     Moscow...  Голосуй  за  Генадия  Андреевича Зюганова на выборах !!!

     Банду Эльцина - в отставку ! Банду Эльцина под суд !!!".

 

Gurre-4115

     Заражает только COM,  резидентный. Постоянно ищет на экране символы

     "ESIK".  Если  они  обнаружены,  по  экрану  начинает  бегать  шар,

     постепенно  заполняя  экран  точками.  В  конце есть закодированный

     текст "В семье все  взвесив  заново  решили  окончательно:КОМПАРТИЮ

     ЗЮГАНОВА ПОДДЕРЖИМ ОБЯЗАТЕЛЬН".

 

MJ-1513

     Заражает только  COM и MBR жесткого диска,  резидентный.  После 100

     загрузок с зараженного диска стирает 16 секторов  нулевой  дорожки.

     При  каждом  256-м  чтении  с диска ставит в буфер со смещением 200

     символы  'mj'.  Не  исполняет   программу,   из   которой   остался

     резидентным, а выводит текст "Bad command or file name".

 

Tapeworm-2380

     Заражает только EXE.  Поиск в текущем  каталоге.  В  начале  работы

     выводит  текст,  из  которого  можно привести только "(c) Copyright

     1996 by ВАНЯТКА (AKA M-r  TapeWorm)  tel  +7(095)".  При  заражении

     каждого файла выводит "Successfully".

 

Xed-1238

     Заражает только EXE, резидентный. Плагиат из Jerusaleem. Стирает не

     только программы,  но и другие файлы,  причем,  не только в "черную

     пятницу",  а по счетчику заражений.  Выводит текст  "HA,HA,HA!  BAD

     ILLUSIONS from U.C. (W) XED".

 

YB-299, -426

     Заражает только COM.  Поиск в текущем каталоге.  В 299  есть  текст

     "INSERT YOUR NAME HERE".

 

Lord-3061

     Заражает COM,   EXE  и  MBR  жесткого  диска,  резидентный.  Весьма

     витиевато внедряется в  систему.  Невидим  за  счет  лечения.  Есть

     закодированный   текст  "Мир вам. Меня  зовут Demiurg. Я  хранитель

     врат, врат Ада. Все кто хочет увидеть Хозяина встречается со мной,а

     ктовстречается со мной попадает к Хозяину...мертвым. Тупые охотники

     за   головами, с  притензией    на   интеллект гадатели, всезнающие

     визири многие  пытались  увидетьменя, но   порой   их   глаза  были

     ослеплены, а ум нашептывал соблазнительное  OK". В  зараженном  MBR

     видно "LORD".

 

Witching-1400

     Заражает только EXE. Заражает в C:\DOS файлы chkdsk.exe, xcopy.exe,

     mem.exe  и все в текущем каталоге.  Стирает chklist.*.  В различных

     случаях выводит тексты "IT'S  WITCHING  HOUR...  YOUR  COMPUTER  IS

     BEING HAUNTED ! HAHAHA...", "Bad luck... You've got a virus in your

     system  !",  "Think  about  using  a  virusscanner  which  is  more

     up-to-date  !",  "Here lies a program in its coffin,  executed by a

     user one time too often..." и вешает систему.

 

 

                 2. Вирусы в начальном секторе

 

    Вирусы, заражающие   секторы   начальной  загрузки  (BOOT-вирусы)  в

протоколе обозначаются как  "Вирус  в  начальном  секторе".  Эти  вирусы

обычно  легко  обнаруживаются и удаляются с диска при помощи,  например,

программы   NU   (Norton   Utilities).   Впрочем,   мое   первоначальное

легкомысленное   к   ним  отношение  не  вполне  оправданно.  Во-первых,

некоторые из них могут довольно успешно скрывать свое наличие  на диске:

при чтении сектора,  в котором находится вирус,  в буфере оказывается не

он,  а нормальная информация.  Во-вторых, такие вирусы могут быть весьма

опасными.  Кроме  того,  весьма  трудно  заблокировать  заражение такими

вирусами,  поскольку они попадают  в  память  до  операционной  системы.

Следует отметить,  что  при  наличии  в  машине  сразу двух BOOT-вирусов

дискеты начинают заражаться обоими вирусами поочередно,  что приводит  к

потере   правильного   (исходного)   содержимого  начального  сектора  и

невозможности лечения иначе как при помощи команды SYS.  Если же дискета

не  системная  и команда SYS не проходит,  ее можно не лечить,  а просто

избегать случайных  попыток  загрузки  с  нее.  Впрочем,  у  Вас  всегда

остается  возможность  повторной форматизации дискеты - даже 1.44 Мбайта

не так уж сложно дважды скопировать.

 

Ball Внешнее проявление  - при  определенных обстоятельствах  на  экране

     начинает  бегать  точка,  отражающаяся  от  краев  экрана  и  букв.

     Исходный "Boot  Record" записывается  в свободный  кластер, который

     при  этом   помечается  как  испорченный  (Bad  cluster).  Никакого

     существенного вреда  этот вирус, кажется, не наносит. SCAN опознает

     этот вирус как "Ping Pong Virus - Version B [Ping]".  В последствии

     появилась модификация этого вируса.  Есть подозрение,  что местного

     производства.

 

Stoned

     Внешнее проявление  - с  вероятностью 1/8 в момент загрузки системы

     на экран  выдается текст  "Your  PC  is  now  Stoned",  после  чего

     загрузка  нормально   продолжается.  Этот   вирус  записывается   в

     абсолютный  начальный  сектор  диска,  который  на  твердых  дисках

     содержит  Partition   Table.  Исходный   сектор   записывается   по

     абсолютному адресу  (цилиндр/головка/сектор) на гибком диске 0/1/3,

     а на  твердом 0/0/7.  На гибком  диске 360  Кб это последний сектор

     главного  каталога  (Root  Directory),  а  на  твердом  чаще  всего

     свободное  место.   Никаких  проверок   в   момент   заражения   не

     производится. Вирус предельно примитивен. Для визуального опознания

     вируса  на   диске  может   служить  пламенный   призыв:  "LEGALISE

     MARIJUANA!". Название  по SCAN "Stoned Virus [Stoned]". Обнаружено,

     что очень  неприятно  заражение  этим  вирусом  диска,  на  котором

     Boot Record следует  непосредственно за  Partition Table. При  этом

     сектор 0/0/7  оказывается  в  FAT.  Мне  пришлось  наблюдать  такой

     случай, причем  FAT испорчен  не  был,  а  зато  пропал  правильный

     вариант  Partition Table.   Исправление  диска   в  такой  ситуации

     возможно, но для этого необходима довольно высокая квалификация.

 

Stoned_R

     Подлейшая переделка Stoned - очень часто стирает на  дискетах  Root

     Directory.  Интеллект  автора  виден и в том,  что он,  не сумев до

     конца  разобраться  в  столь  примитивном   вирусе,   оставил   два

     фрагмента,  ставшие абсолютно бессмысленными.  Старый  MBR хранит в

     0/0/6.

 

Stoned_M

     Вместо клеветы о вашем компьютере выдает нелестный отзыв  о  некоем

     Muromtsev'е.

 

Brain

     Один из  самых знаменитых  вирусов. Он считается первым, получившим

     широкое распространение  (разработан в  январе 1986 года). Заражает

     только  стандартно  форматированные  дискеты  емкостью  360 Кб.  На

     зараженных дискетах появляется метка "(c) Brain". Занимает на диске

     три подряд  идущих кластера,  помечая их  как испорченные. AIDSTEST

     освобождает эти  кластеры, но  метку не  удаляет. SCAN его называет

     "Pakistani Brain/Ashar Virus [Brain]".

 

Killer

     Сам себя  называет "Disk  Killer". Заражает  Boot Record.  При этом

     продолжение (4  сектора) и  старый  Boot  Record  на  гибком  диске

     прячется, как  обычно, в  Bad  Claster'ы,  а  на  твердом  для  них

     используется пять предшествующих секторов, которые обычно имеются в

     наличии и  не используются никаким другим образом. Вирус производит

     соответствующую проверку и оставляет чистыми диски, на которых Boot

     Record стоит  сразу за  Partition Table.  Пока не хватило времени и

     желания  разобраться,  в  чем  состоит  "убийство  диска",  которое

     происходит после  того, как  некие счетчики, зависящие от времени и

     количества перезагрузок,  принимают определенные  значения,  но  по

     первому   впечатлению   содержимое   диска   портится   безнадежно.

     Гарантировать можно  только,  что  легендарные  физические  поломки

     диска при  этом не происходят. SCAN его называет "Disk Killer Virus

     [Killer]".

 

Joshi

     Как  и   "Stoned",  при  заражении  твердого  диска  размещается  в

     Partition  Table.   Кроме  того,  под  свое  продолжение  и  старое

     содержимое Partition  Table использует 8 секторов. На твердом диске

     они размещаются на нулевой дорожке, начиная со второго сектора. Все

     неприятности, которые  могут  из  этого  проистекать,  описаны  для

     "Stoned".  Впрочем,   отныне   в   AIDSTEST   предусмотрена   новая

     возможность исправлять  Partition Table даже в довольно безнадежных

     случаях. На  гибких дисках  дополнительные сектора  размещаются  на

     "заграничной" дорожке  (40 или  80), что  следует признать довольно

     гуманным по  отношению к  клиентам. В  памяти вирус  размещается по

     старшим адресам, занимая 6 Кб, и перехватывает, кроме законного для

     таких типов  вирусов INT 13,  еще и  8 9  21. SCAN не знаком с этим

     вирусом. Название  вируса выбрано  по наличию  в нем  текста:  Type

     "Happy Birthday  Joshi", который  должен  появляться  на  экране  5

     января. Кстати,  в этом месте автор вируса ориентировался только на

     цветной монитор.

 

Abs-1

     Продукция какого-то  недоучки, не  утруждающего  свой  мыслительный

     агрегат.  Вирус  сделан  в  предположении,  что  существуют  только

     дискеты емкостью 360 Кб и диски емкостью 21 Мб. При этом последние,

     по  мнению   автора  вируса,  всегда  содержат  ровно  один  раздел

     (Partition), причем начинающийся на первой дорожке. На таких дисках

     абсолютный адрес,  по  которому  прячется  правильный  BOOT-сектор,

     приходится на  последний сектор  Root Directory  (на  гибком  диске

     0/1/3,  а   на  твердом   1/3/13).  Поскольку   эти   предположения

     выполняются  далеко   не  всегда,  последствия  могут  быть  самыми

     различными. Следует подчеркнуть, что вирус всегда портит на твердых

     дисках именно  сектор 0/1/1,  даже если  на нем расположен не BOOT-

     сектор (причем  не только  на первом  диске). AIDSTEST  при лечении

     твердых дисков  умеет обнаруживать  и удалять  этот вирус  только в

     BOOT-секторе первого диска. Если на секторе 0/1/1 расположено нечто

     иное, его  содержимое можно  переписать с сектора 1/3/13 при помощи

     NU  (Norton  Utilities).  Прочие  последствия  деятельности  вируса

     исправить невозможно.  В качестве шутки предусмотрена периодическая

     распечатка экрана на печатающее устройство (через INT 5). Однако, в

     соответствующих семи  командах имеется  одна ошибка и такое событие

     никогда не  наступает. Вирус опознает свое наличие на диске по паре

     байт, в  которых стоят коды 82 90. Если это русские буквы, то "ВР",

     что  может   быть  и   инициалами  автора.  Попытка  заразить  диск

     происходит  при  исполнении  каждой  команды  чтения  сектора,  что

     приводит к резкому повышению подвижности головок.

 

Rostov

     Модификация вируса  "Stoned". Отличается способностью заражать диск

     "B", отсутствием  характерных текстов,  а также  способностью мелко

     пакостить на нулевой дорожке диска "C".

 

DenZuk

     Заражает только  дискеты. Продолжение  и правильный BOOT записывает

     на 40-м  цилиндре,  причем  сектора  получают  номера  от  33.  При

     перезагрузке по Ctrl+Alt+Del на экран выдается фирменный знак. Если

     диск имеет метку, она заменяется на Y.C.1.E.R.P (вместо точек стоят

     символы с  кодом F9.  Если диск  был заражен вирусом Brain, Den Zuk

     замещает его.

 

FORM Заражает BOOT Record. При заражении твердого диска (C:) прячет свое

     продолжение  и   правильный  BOOT   Record  в   последних  секторах

     физического диска,  а на  дискетах в  Bad Cluster.  По 24-м  числам

     каждого месяца включает писк при каждом нажатии на клавишу.

 

Piter

     Заражает Partition  Table (на  дискетах BOOT  Record). Прячет  свое

     продолжение и правильный сектор в трех Bad Cluster-ах. Только на AT

     через месяц  после заражения  начинается осыпание  букв на  экране.

     Алгоритм этой  шутки  полностью  украден  из  классического  вируса

     1701/1704. Вирус привезен из Ленинграда. SCAN-67 его не опознает.

 

LCh  Заражает Partition  Table (на  дискетах  BOOT  Record).  Правильный

     сектор  прячет   как  Stoned.   Может  почти  безнадежно  испортить

     содержимое диска  "C:". Содержит  текст "LoveChild b3 in reward for

     software  stealing.".  Непонятно,  зачем  подчеркивать  особенности

     своего происхождения, бросая в других камни.

 

NearDark

     Вариация на  тему "Stoned".  В конце  содержит слова  "Near  Dark",

     которые могут появляться на экране при загрузке с диска "C:". После

     выдачи этого сообщения вирус портит Partition Table.

 

Abs-2

     При заражении  гибкого диска прячет исходный BOOT по адресу 39/1/8,

     а на  твердом диске,  заражая Partition  Table не  сохраняет старую

     программную часть,  выполняя ее  функцию самостоятельно.  В связи с

     этим,  при   лечении  твердого  диска  AIDSTEST  просит  разрешения

     поместить в  Partition Table  стандартную программную  часть. После

     пяти  загрузок   с  зараженного   твердого   диска   вирус   делает

     недоступными LPT1 и COM1, затирая в памяти их базовые адреса.

 

MusicBug

     Заражает BOOT  Sector. Заражает  твердый  диск  (C:),  только  если

     Active Partition  начинается на  первой дорожке  нулевого цилиндра.

     Прячет правильный  BOOT и  свое продолжение  в свободных кластерах,

     помечая их  как занятые  (конец файла).  Освободить это место можно

     при помощи  CHKDSK.  При  этом  образуются  2-4  файла  в  корневой

     директории, которые  можно стереть.  Если эту операцию проделать до

     лечения, последующее  лечение будет  значительно затруднено  (можно

     воспользоваться программой  SYS, загрузившись  с  чистой  дискеты).

     "Музыка" состоит из случайных звуков и начинает исполняться через 4

     месяца после  заражения. В  продолжении  содержит  текст  "MusicBug

     v1.06. MacroSoft Corp.". Scan его опознает.

 

Bloody

     Похож на  Stoned. Отличается  тем,  что  на  твердом  диске  прячет

     Partition Table  на 6-м  секторе и  после 128  загрузок с  твердого

     диска через  каждые 5 выдает на экран текст "Bloody! Jun. 4, 1989".

     Пытается заразить дискету при каждом обращении к ней, поэтому сразу

     проявляет себя  резким замедлением  работы с  дискетами. Обнаружено

     две очень близких разновидности.

 

March6

     На твердом  диске заражает  Partition Table.  Правильное содержимое

     прячет на  твердом диске  на 7-м  секторе, а  на гибком - в секторе

     0/1/3 или  0/1/14 в зависимости от типа диска. Обычно это последний

     сектор Root  Directory. При  наличии таймера реального времени 6-го

     марта стремится  стереть все  содержимое  диска,  с  которого  идет

     загрузка. Scan опознает как "Michaelangelo [Mich]".

 

October1

     Весьма творческая переделка вируса "March6" - 6-е марта заменено на

     1-е октября,  7-й сектор  заменен на  15-й и  удалена  одна  лишняя

     команда.

 

MPHTI

     Заражает Boot  record. Исходный прячет в предпоследнем секторе Root

     directory. Думаю,  что автор  метил в  последний,  но  промахнулся.

     Заражение твердого  диска происходит только в случае, если активный

     раздел описан  первой строкой  Partition Table. Предусмотрена порча

     при определенных  обстоятельствах восьми  секторов нулевой  дорожки

     дисков "A:"  и "C:"  и первой  дорожки диска  "C:". Судя  по тексту

     внутри, произведен в Физтехе.

 

MPHTI-2

     Снято ограничение на способность заражать твердые диски, но за счет

     неспособности работать  без их  наличия. На  этот раз  используется

     именно последний сектор Root directory.

 

MPHTI_3

     Нечто промежуточное  между первым  и вторым.  При его  исследовании

     обнаружено, что и он, и MPHTI_2 при заражении твердых дисков весьма

     значительно промахиваются  мимо Root  directory.  Например,  вместо

     первого цилиндра  исходный Boot record оказывается на 64-м, попадая

     с большой вероятностью внутрь какого-нибудь файла.

 

ABS-3

     На твердом  диске заражает  Partition Table. Исходный сектор прячет

     на гибком  диске в  традиционном секторе  0/1/3, а  на твердом  - в

     0/0/3. Предусмотрена  порча семи  секторов  нулевой  дорожки  диска

     "A:".

 

GELENDZIK

     Старый MBR  хранит на гибком диске в 0/1/3, а на твердом - в 0/0/7.

     Ничего интересного.

 

Clock

     Очередное подражание  Stoned.  Предусмотрен  вывод  в  угол  экрана

     показаний часов,  однако из-за  пары  ошибок  этот  эффект  увидеть

     довольно  трудно,   а  при  монохронном  мониторе  просто  повисает

     система. Поместиться  в одном  секторе автору  не удалось и поэтому

     для продолжения  вируса используется  сектор перед  спрятанным BOOT

     (0/0/6 или 0/1/2).

 

Dinamo

     Старый MBR  хранит на  твердом  диске  в  0/0/9  (в  другой  версии

     0/0/11), а на гибком в последнем секторе Root Directory. При ошибке

     чтения  в   момент  загрузки   выдает  на   экран:   "Dinamo(Kiev)-

     champion !!!".

 

Nov_7

     Старый MBR хранит на твердом диске в 0/0/11, а на гибком в 0/1/3. В

     октябре при каждой загрузке выдает на экран 10 символов с кодом 01,

     а 7-го  ноября, вероятно,  в знак протеста против отмены праздника,

     портит первые  7 секторов  диска "C:".  Это легко исправлется, если

     только 1-й раздел диска не начинается на втором секторе.

 

Nov_15

     Старый MBR  пишет  в  0/0/6,  а BOOT в 0/1/14.  Hе заражает дискеты

     емкостью  меньше  1.2 Mb.   15  ноября  намерен  портить  диск   C:

     (форматизовать нулевую дорожку).

 

Loa  На твердом  диске  заражает  сектор  0/1/1,  не  пытаясь  проверить

     находится ли там Boot Sector. Старый BOOT на твердом диске прячет в

     0/0/8, а  на гибком  в последнем  секторе Root  Directory. Довольно

     часто исполняет  мелодию. Scan  опознает его  как "Loa  Duong Virus

     [Loa]".

 

Anti_TEL

     Заражает  Master   Boot  Record.  Свое  продолжение  и  старый  MBR

     записывает на  твердом диске  в секторах  6 и 7, а на гибком в двух

     последних секторах  Root Directory. Адреса этих секторов определяет

     при помощи  таблицы, входами  в которую служат полные объемы диска.

     При использовании  нестандартно размеченных  дисков, объема которых

     нет в  таблице, например,  720 Кб последствия непредсказуемы. После

     400 загрузок  с зараженного  диска его  содержимое стирается  и  на

     экран выдается  текст: "Campaдa Anti-TELEFONICA (Barcelona)". Здесь

     буква "д" не опечатка, а "n" с тильдой.

 

Anti_TL2

     Скорее всего  не  авторская  переделка  Anti_TEL.  Эта  версия   не

     заражает  диски,  на  которых уже есть вирус семейства "Stoned".  В

     конце добавлены слова "Grupo Holokausto" с инвертированными кодами.

     Число загрузок до порчи диска заменено на 333.

 

Spook

     Заражает Master  Boot Record. Старый MBR на твердом диске сохраняет

     в секторе  8, а на гибких старается попасть в последний сектор Root

     Directory. Иногда портит Partition Table. Содержит текст "Spook 1.0

     LIM". Scan опознает как "Generic Boot Virus [GenB]".

 

Spook_1

     Partition Table портит несколько чаще.

 

Alive

     Очередная вариация  на тему  "Stoned". Использует  сектора 0/0/7  и

     0/1/3. Очень  часто на цветной монитор выводит текст: "I AM ALIVE".

     Scan опознает его как "Azusa".

 

Mikola

     Очередной "Stoned".  Пытается портить  случайные сектора  диска C:.

     Содержит текст  "Mikola v  1.13". Scan  опознает  его  как  "No-Int

     [Stoned]".

 

Mik_G

     Прячет MBR  в  0/0/15,  а  BOOT  0/1/2.  Содержит текст "MIKOLA V15

     GHOST".

 

TurboBasic

     Переделка March6.  На твердом  диске правильный MBR пишет на 0/0/7.

     Диски не  портит, но  содержит алгоритм, который должен блокировать

     исполнение некоторых  EXE-программ, но  может  вызвать  и  побочный

     эффект. Имеет текст "Don't run TurboBasic!".

 

Turbo_2

     Минимальная  переделка  TurboBasic.  Вместо  блокировки  исполнения

     программ вешает систему.

 

VolGU

     Заражает Master  Boot Record. Старый MBR на твердом диске сохраняет

     в секторе  0/0/7, а на гибких - 0/1/3. Может очень быстро испортить

     содержимое диска.

 

VolGU_2

     Заражает MBR  диска C:  и BOOT  диска A:. На дискете старый Boot не

     сохраняет, а  на C:  сохраняет во  втором секторе  в закодированном

     виде. Весьма  опасен  тем,  что  портит  контрольные  байты  многих

     секторов.  При  наличии  вируса  в  памяти  эти  сектора  доступны,

     поскольку он вместо команды чтения использует "длинное чтение", при

     котором контрольные  байты не  проверяются. Если же вируса в памяти

     нет, информация  на диске  становится практически  недоступной. При

     чтении всех  секторов, испорченных вирусом, выдается ошибка "сектор

     не найден".

 

VolGU_3, VolGU_4

     Еще два  вируса того  же автора.  Оба также  прячут старый  MBR  во

     втором скеторе  закодированным. Для VolGU_4 правильно раскодировать

     удается  не   всегда,  поэтому  после  лечения  может  понадобиться

     восстановление  Partition  Table  той  же  программой,  что  и  при

     начальной разметке  диска. Эти вирусы портят многие сектора на всех

     твердых дисках  так  же,  как  и  VolGU_2.  Теперь  Aidstest  умеет

     исправлять все  такие сектора, но эта процедура на больших дисках с

     большим количеством  испорченных секторов может продолжаться больше

     часа.

 

VolGU_6, VolGU_8

     Действуют аналогично предыдущим.

 

VolGU_5, VolGU_7

     Сбойные сектора не образуют.

 

VolGU_9

     Близок  к  5-й  и  7-й версиям,  но заражает дискеты только формата

     360 Кб.

 

Devil

     Полный плагиат  из "Dinamo".  Соственное творчество  заключается  в

     замене адреса  на твердом  диске на  0/0/10 и  текста на "(c) Devil

     Production Ver 1.0 28/08/1972".

 

Devil_2

     Эта версия на твердом диске заражает не MBR,  а BOOT. Старый хранит

     в 0/0/13,  а на гибком в последнем секторе корневого каталога. Есть

     текст "(c) Devil v2.0".

 

Devil_3

     В начале текст "(c) Devil", а в конце "v3.0". Старый MBR в 0/0/4.

 

Service

     Очередная переделка  Stoned. Содержит тексты: "Service-1 presents",

     "made in Russig".

 

MISiS

     На твердом  диске прячет  MBR на  0/0/6, а на гибком на 0/1/12 или,

     при его  отсутствии на  0/1/3. Время  от времени  выдает  в  начало

     экрана один  из  восьми  текстов  среди  которых:  "МИСиС  Май'92",

     "Жаринов пришел...",   "Работу  программистам!"  и  "Тебя  МИНЗДРАВ

     предупреждал?!". Все тексты видны в теле вируса, если он не активен

     в памяти.

 

MISiS_3

     Переставлено несколько команд и тексты заменены на английские.

 

MISiS_X

     Малая переделка  "MISiS".  Заменены  адреса  на  0/0/7 и 0/1/14,  а

     также все  тексты. Самое интересное, что в новых текстах содержатся

     проклятия в адрес автора первого вируса за то, что "Испоганили винт

     моей PC!!!".  Прекрасный повод для того, чтобы испоганить еще кому-

     нибудь.

 

COMx Очередная версия  Stoned. После  25 мая производит мелкие пакости с

     COM1 и COM2 - чтение и запись по базовому адресу.

 

Fish Прячет MBR  на твердом  диске в секторе 10, а на гибком в секторе 3

     последнего цилиндра.  Предыдущие  2  сектора  занимает  продолжение

     вируса. По 1-м и 17-м числам выдает на экран текст:

           "Hello! I am FISH, please don't kill me.

            Congratulate 80th year of the Republic Of

            China Building,Fish will help to kill stone

            Written by Fish in NTIT. TAIWAIN  80.10.18"

 

ANTI_EXE

     Прячет MBR на твердом диске в секторе 13, а на гибком - в последнем

     секторе Root  Directory. При  чтении с диска какой-то EXE-программы

     (у меня ее нет), имеющей длину 200256, портит в буфере 9-й байт.

 

F360 Заражает MBR твердых дисков и Boot Sector гибких 360 Кб. MBR прячет

     в секторе  4, а  Boot в  39/1/8. Под  свое  продолжение  использует

     следующий сектор. Последний Cluster гибких дисков помечает как Bad.

 

Pilgrim

     Заражает только  Boot диска A. Если в одном сеансе удается заразить

     13  дискет,   выдает  текст   в  рамке:   "PILGRIM-1  /   Ваш  диск

     отформатирован ! / Хлопайте ушами дальше."

 

Day_X

     Переработка March6.  Старый MBR  прячет в  0/0/17,  а  порчу  диска

     производит после 255 загрузок с зараженного диска.

 

Email

     В MBR  или BOOT  дискеты меняет  первые два  байта  и  66  байт  со

     смещения 3Eh.  Свою основную  часть пишет  в последние  6  секторов

     дискеты или  первого по размещению в Partition Table раздела диска.

     При этом  соответствующие параметры в Partition Table и Boot Record

     изменяются, чтобы  исключить эти  6 секторов  из учета. При лечении

     эти параметры  не восстанавливаются.  В теле  вируса содержит экран

     Help Norton  Comander, описывающий использование E-Mail. Этот текст

     иногда отправляется  в COM  порты. Кроме того, производятся  мелкие

     пакости с клавиатурой - пропуск некоторых символов.

 

Million

     Предельно примитивен.  На гибком  диске Boot  не  сохраняет,  а  на

     твердом сохраняет MBR в 0/0/6. При попытке загрузки с гибкого диска

     выдает: "Non-System disk.". В начале имеет цифры "1000000".

 

Parity

     На твердом диске сохраняет MBR в 0/0/14, а на гибком, в зависимости

     от емкости,  в 0/1/3,  0/1/5 или  0/1/14. Довольно  часто выдает на

     экран текст "PARITY ERROR" и блокирует работу системы.

 

Parity2

     MBR сохраняет  в 0/0/7, а Boot Record гибкого диска, в 0/0/9, 0/1/5

     или 0/1/14.

 

Parity3

     Мало отличается от первой версии.

 

LCh15

     MBR на  твердом диске  прячет в  0/0/6, а  Boot на  гибком в 0/1/3.

     После 90  загрузок с зараженного диска или при попытке записи MBR в

     зараженной  системе  безнадежно  портит  содержимое  диска  "C:"  и

     пакостит  в  памяти  параметров  системы  (CMOS).  Имеются  тексты:

     "LCh15" в середине и "For pirates" в конце.

 

May21

     Переделка March6.  При наличии  на диске  March6 или  его ближайших

     родственников заменяет  их собой.  При  этом,  если  предшественник

     прятал старый  MBR не в 0/0/7, загрузка с диска не работает. Вместо

     порчи дисков  21-го мая  при  загрузке  выводит  на  экран  (только

     цветной) текст:  "ANTI March6  Karpachev Dmitr".  Не исключено, что

     автор считает себя благодетелем.

 

CLC  При заражении MBR твердых дисков прячет себя в 0/0/5, а на гибких в

     39/1/9. При  этом на  дискетах емкостью  больше 360  возможна порча

     файла. Scan принимает его за "Stoned".

 

Flame

     При заражении гибкого диска прячет Boot в 25/1/1, в результате чего

     может испортить какой нибудь файл. MBR твердого диска не сохраняет,

     из-за чего  приходится его заменять на стандартный. Иногда в момент

     загрузки выводит  на цветной экран нечто, изображающее скорее всего

     пламя.

 

BadBuf

     Безграмотное подражание  Stoned. Исходный  MBR прячет  в 0/0/10,  а

     Boot на  всех дискетах  в 0/1/3.  Занимая в  памяти ровно  в 4 раза

     больше, чем  нужно (2  Кб), использует  в качестве буфера еще и 512

     байт в  сегменте 8000h,  что может  привести  к  самым  неожиданным

     последствиям.

 

Int_FF

     Подражание Stoned  (адреса 0/0/7  и  0/1/3).  Через  большое  число

     поколений должен  во всей  информации, записываемой на диск, менять

     команду int  21 на  int  FF.  Иногда  меняет  символы,  вводимые  с

     клавиатуры.

 

Kotlas

     Прячет MBR  в 0/0/10,  а BOOT  на гибком  диске в  0/1/2. На габких

     дисках больше  360 Кб  с большой  вероятностью портит  информацию в

     Root Directory.  При неаккуратной  трассировке забивает на диске C:

     себя и  спрятанный MBR,  после чего  исправление диска  значительно

     затрудняется.

 

DAMC На гибких  дисках BOOT не сохраняет, а MBR прячет в 0/0/6. В начале

     стоит "DAMCDOOM".

 

Hmm  На твердом  диске MBR  сохраняет в  0/0/17,  а  в  трех  предыдущих

     секторах -  свое продолжение. На гибком диске аналогично использует

     4 последних  сектора. Мелко пакостит на клавиатуре - дублирует одну

     случайно  выбранную  клавишу.  Содержит  довольно  хитрый  алгоритм

     размещения резидента  в памяти, причем, если этот алгоритм не может

     сработать, выдает  текст: "Hmm...  Strange drivers  you have,  very

     strange... ;-)".

 

Copy77

     Вариация на  тему Stoned.  При загрузке с 77-го поколения выдает на

     экран текст: "Copy 77 in job ...".

 

Stb  На гибком  диске Boot  сохраняет в  последнем секторе,  а  для  MBR

     старается использовать  последний сектор  нулевой дорожки.  Однако,

     используемый для  этого алгоритм  срабатывает не  при всех форматах

     Partition Table. Scan опознает его как "Stealth [Stb]".

 

Aircop

     Заражает только  дискеты. Старый  BOOT  хранит  в  39/1/9,  что  на

     дискетах больше  360 Кб  достаточно часто  может оказываться внутри

     какого-то файла.  После успешного  заражения выводит  текст:  ".RED

     STATE, Germ  offensing   --Aircop". Scan  его опознает  под тем  же

     именем.

 

Duran

     Старый MBR  хранит в 0/0/2, а BOOT на дискетах в последнем секторе.

     Если после  загрузки системы  происходит больше  65408 обращений  к

     диску, стирает  MBR. В начале стоит "(c)AVB91", а в конце - "Duran-

     Duran lives...".

 

USSR MBR хранит  в 0/0/7,  а BOOT гибкого диска в 0/1/3 или 0/1/14. 7-го

     октября выводит текст: "I'm backing to the USSR !".

 

MBR77

     Старый MBR  хранит в  0/0/3, а  BOOT на  дискетах в 0/1/3. После 77

     загрузок с диска начинает портить дискеты.

 

SEA  MBR хранит  в 0/0/5,  а BOOT  гибкого диска  в  0/1/3  или  0/1/13.

     Содержит  текст,   начинающийся  с  "SEA.Moscow.5-29-1992.".  Далее

     следует реклама достоинств и безвредности вируса.

 

SVK  Старый MBR  хранит в 0/0/17, а BOOT на дискетах в последнем секторе

     Root Directory.  В первом часу ночи и девятом утра зацикливается на

     чтении диска.

 

E_burg

     Старый MBR  хранит в  0/0/9, а BOOT на дискетах в последнем секторе

     Root Directory. Содержит "Ekaterinburg" с инвертированными битами.

 

Abs_4

     Заражает Boot-сектор.  Старый прячет  на гибком  диске в  последнем

     секторе корневого каталога, а на твердом - в 6-м секторе.

 

Sector_9

     Старый MBR  (Boot) прячет  всегда в  секторе 0/0/9, который на всех

     дискетах кроме 360 попадает на второй экземпляр FAT.

 

GKChP

     Старый MBR  прячет в  0/0/7, а  Boot на  дискете в  0/1/3. После 90

     загрузок стирает диск.

 

AT   Старый MBR  прячет в  0/0/6, а  Boot на  дискете в 0/1/2, что очень

     часто должно  приводить  к  порче  части  корневого  каталога.  При

     заражении MBR на AT безнадежно портит содержимое Partition Table.

 

Pervert

     Очередной вариант  "Stoned". С вероятностью 1/8 при загрузке выдает

     текст  "Your  PC  is  now  Stoned!  Present  young  Pervert!".  При

     обезвреживании с памяти идентифицируется как "Mikola".

 

Big_V

     Два сектора  своего  тела  прячет  на  твердом диске в 0/0/4,  а на

     дискетах в последних двух секторах главного каталога.  Исходный MBR

     целиком  не  сохраняет.  Старается  заместить собой вирус "Stoned",

     если встречает его на диске или в памяти. После успешного заражения

     63  дисков  в  одном сеансе выводит на весь экран изображение буквы

     "V" и блокирует систему.

 

LZR  Свое продолжение (1 сектор) и старый MBR хранит на твердых дисках в

     0/0/2,  на дискетах 1.2 Мб в 79/1/14,  а на остальных в  39/1/8.  С

     большой  вероятностью  безнадежно  портит все содержимое дисков.  В

     связи с повышенной активностью существенно замедляет работу машины.

 

Vaucher

     Из компании Stoned.  По неграмотности должен портить FAT на  втором

     твердом диске.

 

Lucky

     Старый MBR  (Boot)  прячет всегда в секторе 0/0/9,  который на всех

     дискетах кроме 360 попадает на второй  экземпляр  FAT.  В  середине

     каждого часа выводит на экран "I wish you a lucky".

 

NOPs Старый MBR  прячет  в 0/0/2,  а BOOT на гибких дисках - в секторе 2

     головка 0 последнего цилиндра.  Пишет  себя  также  в  относительно

     случайные места диска.  В результате может неожиданно "оживать".  В

     связи  с  этим  приходится  при  его  обнаружении  начинать  полный

     просмотр  файлов,  что  резко замедляет работу программы.  О начале

     такого режима работы выдается соответствующее предупреждение.

 

Traveller

     Старый MBR пишет в 0/0/2, а Boot гибкого диска в 0/1/3. Видно слово

     "Traveller".

 

Pskov

     Не сохраняет исходные MBR и Boot, самостоятельно, хотя и не слишком

     аккуратно,  исполняя  загрузку.  Достаточно  часто портит параметры

     дисков и дискет в CMOS.

 

Break

     Старый BOOT  (MBR) не сохраняет,  в связи с чем полноценное лечение

     невозможно.  При нажатии на  Ctrl-Break  старается  испортить  диск

     "C:".

 

WXYC На диске "C" заражает то,  что находится  в  0/1/1,  причем  старое

     содержимое  прячет  в 0/0/3.  На дискетах старается спрятать старый

     BOOT в последнем секторе Root Directory,  определяя его по  размеру

     FAT. Часто выводит на консоль "WXYC rules this roost!".

 

COM_LPT

     Похож на Abs_1.  Не сохраняет MBR на  твердых  дисках  и  после  63

     загрузок делает недоступными COM1 и LPT1.

 

Ripper

     Весьма подлый  -  с  вероятностью   1/1024   при   записи   сектора

     переставляет в нем 2 слова. Есть закодированный текст "(C)1992 Jack

     Ripper".

 

LPT   MBR сохраняет  в  0/0/13,  а  Boot на дискетах в последнем секторе

      корневого  каталога.  Постоянно  портит  адрес  LPT1,  что  делает

      невозможным   его   использование,  и  иногда  изменяет  состояния

      регистров клавиатуры.

 

ScrLock

      Переделка Stoned.  При  включенном Scroll Lock блокирует запись на

      твердые диски и мигает цветом рамки экрана.  Есть  текст  "ScrLock

      Protection".

 

Monkey

     Старый бут-сектор  кодирует  операцией  (XOR  2)  и  записывает  на

     дискетах в конец Root Directory,  а MBR на твердом диске -  на один

     из секторов нулевой дорожки.

 

Monkey_2

     Другая версия.   Отличается   от  первой  перестановкой  фрагментов

     программы.

 

YMP  Старый MBR не сохраняет,  а BOOT гибких дисков в 0/1/3 - 360 Кб или

     0/1/14  -  остальные.  По 1-м числам месяца при загрузке выводит на

     экран текст "HAVE A NICE DAY (c)YMP".

 

Ep   Старый MBR сохраняет в 0/0/14,  а BOOT на гибких дисках в 0/1/3 или

     0/1/5,  в зависимости от типа.  Для оригинальности перехватывает не

     int 13, как все BOOT-вирусы, а int 21.

 

Relative

     Старый BOOT старается спрятать в последнем секторе дискеты, а MBR в

     последнем секторе нулевой дорожки,  но при не тривиальной Partition

     Table возможны всякие неожиданности.

 

Caxa Старый MBR прячет в 0/0/7,  BOOT на дискетах 1.2 Mb в 0/1/14,  а на

     остальных в 0/1/3.  В июне намерен обнулять типы  дискет  в  памяти

     параметров системы (CMOS), причем, не забывая корректировать сумму.

 

XorAA

     Старый MBR  прячет в 0/0/6,  BOOT на дискетах 360 Kb в 0/1/2,  а на

     остальных в 0/1/13. После 256 загрузок с зараженного твердого диска

     кодирует  по  17  секторов  на  всех  дорожках  первых  5 цилиндров

     операцией XOR со значением из последнего байта  MBR  (почти  всегда

     AA).

 

TRTU На твердом диске старый MBR не сохраняет,  а на гибком сохраняет  в

     конце Root Directory. Собираясь заразить B:, пишет на A:.

 

Maxi Свое продолжение и старый MBR на твердом диске хранит начиная с 0/0

     /2, а на гибких - в последних 6 секторах. Эти сектора даже помечает

     в обоих копиях FAT как сбойные.  Сделано это весьма  аккуратно,  но

     предельно  примитивно.  Для заражения всех пяти типов дисков (360K,

     720K, 1.2M, 1.44M, hard) сделаны отдельные подпрограммы.

 

BackSlash

     Каждый час  в  течение примерно 15 секунд во всех читаемых с дисков

     секторах после всех символов '\' ставит 0.

 

Xpong

     Автор мечтал  сделать  классическую  шутку  с  бегающим  по  экрану

     мячиком, но не очень преуспел в этом деле.

 

Xpong1

     Со второй  попытки автору удалось заставить бегать по экрану мячик,

     но с отражением от боковых сторон он еще не справился.

 

FFFF На гибких дисках старый BOOT не сохраняет. Перехватывает прерывание

     от часов, но зачем - понять не удалось.

 

Angelina

     Сохраняет MBR в 0/0/2,  а Boot на гибких дисках в последнем секторе

     Root  Directory.  Имеется  закодированный  текст   "Greetings   for

     ANGELINA !!!/by Garfield/Zielona Gora".

 

July29

     В MBR меняет только ссылку  в  первой  строке  Partition  Table.  В

     случае  ошибки при загрузке выдает текст "BIOS fatal error.  System

     halted...".  Продукция очередного "рыцаря".  29 июля  при  загрузке

     выдает текст "July 29 today...",  а при нажатии Ctrl+Alt+Del "Happy

     birthday, B..... M...... !".

 

EncePhalyt

     Старый BOOT (MBR) не сохраняет.

 

Dog  Дискеты заражает  только  360  Кб  и  1.2  Мб.  Если  считает,  что

     обнаружил Stoned или March6,  пытается их заместить. Иногда выводит

     гнусные  слова  о  женщине,  которая,  вероятно,  не смогла оценить

     достоинства этого подонка.

 

WBoot

     Старый MBR сохраняет в 0/0/7, а BOOT в 0/1/3 - дискеты 360 или 0/1/

     14 - остальные.

 

IntAA

     Старый MBR сохраняет в 0/0/16,  а  BOOT  на  дискетах  в  последнем

     секторе Root Directory.

 

Konstantin

     Старый MBR прячет в 0/0/13,  а BOOT на гибких дисках в  конце  Root

     Directory.  Обнаружив  в  начале  любого сектора последовательность

     5A40  0088  0137  592,   портит   следующий   байт.   Видно   слово

     "Konstantin".

 

Veronika

     Если в  одном  сеансе удается заразить 15 дискет,  выводит на экран

     крупными буквами "VERONIKA".

 

Andrew

     После 512  загрузок  с зараженного диска намерен его форматизовать.

     MBR прячет в 0/0/13,  а BOOT в последнем секторе Root Directory.  В

     начале видно "Andrew".

 

Andrew2

     Слегка подправленная версия.

 

Wrong

     BOOT на гибком диске сохраняет в 38/1/1. Сохранять MBR автор скорее

     всего планировал на последней дорожке диска, но на самом деле номер

     "последнего" цилиндра берет по модулю 255.

 

Sampo

     Старается нейтрализовать  в памяти вирусы March6,  Stoned,  Joshi и

     еще один мне незнакомый.  Иногда пытается себя выдать за  Anti_TEL.

     30 ноября через 1-2 часа после загрузки выводит в рамке: "S A M P O

     "Project X" Copyright (c)1991  by  the  SAMPO  X-Team.  All  rights

     reserved. University Of The East Manila".

 

Vtb  BOOT на гибком диске сохраняет в последнем секторе  Root Directory,

     а MBR не сохраняет.

 

Cheolsoo

     BOOT на  гибких  дисках прячет в 0/1/3,  а на твердых - в последнем

     секторе активного  раздела.  Использует  int  6D,  что  для  многих

     VGA-адаптеров  может  приводить к тяжелым последствиям.  Есть текст

     "All computing and no play makes Cheolsoo a dull boy!".

 

MrHu В BOOT  заменяет  только  37  байт,  причем,  в  различных  местах.

     Основное  тело  на  дискетах  размещает  в последнем секторе.  Есть

     закодированный текст "(C) Copyright Mr. Hu 1992-93 V1.00".

 

Boroda

     Плагиат из March6.  30 октября поздравляет себя с днем  рождения  и

     требует угадать его "little name" (BORODUSHECHKA).

 

Alfredo

     Пишет свое продолжение и старый MBR в 0/0/2,  а на дискетах в шести

     последних секторах,  причем, даже помечает их как сбойные. В начале

     продолжения видно "ALFREDO". Может выводить на принтер текст "ANGEL

     X TE SALUDA (c) Laboratorio Luz de Luna LIMA - PERU".

 

Dream

     MBR сохраняет в 0/0/6,  а Boot на гибких дисках в 0/1/3 или 0/1/13.

     В начале видно "dream".

 

BUPT Модифицированную часть  BOOT  сохраняет  в   секторе   продолжения,

     который  пишет  в  0/0/4 (hard),  0/1/3 (360) или 0/1/14.  В нем же

     виден текст "Welcome to BUPT 9146,Beijing!".

 

Tula MBR прячет в 0/0/7, а Boot на гибких дисках в 0/1/3 или 0/1/14.

 

CMOSKiller

     Заражает MBR жесткого диска и бут-сектор дискет.  Есть  шансы,  что

     этот  вирус  окажется  активным даже при загрузке с чистой системы,

     поскольку,  он постоянно вычеркивает из конфигурации первый  гибкий

     диск. Поэтому полезно перед такой загрузкой проверять конфигурацию.

     В относительно случайные  места  диска  пишет  код,  который  может

     стереть все содержимое диска.

 

Wet  Заражает сектор 0/1/1,  где  чаще  всего  бывает  BOOT.  Есть текст

     "- (c) 1990 W.E.T. -".

 

Chigi

     Переделка Stoned.  В начале видно "CHIGI",  а  в  конце  -  гнусный

     текст, выводимый при каждой второй загрузке с твердого диска.

 

Rain При загрузке системы в 19.15 портит сектора 0/1/1 и 0/1/2,  которые

     чаще всего содержат BOOT и первый  сектор  FAT.  На  гибких  дисках

     старый  BOOT  и  второй  сектор  вируса  находятся в двух последних

     секторах Root Directory,  а на твердом -  в  секторах  11,  12.  Во

     втором секторе вируса виден текст "This is only a demo version made

     for Germany. New versions coming soon. Written in the rain..".

 

AntiParity

     Дискеты заражает только 1.44 Мб. Обнаружив "Parity", замещает его.

 

Murky

     В начале видно "Murky".  Очень опасный.  При  отсутствии  вируса  в

     памяти  диск  может стать нечитаемым.  Aidstest старается исправить

     это,  но  соответствующая  процедура  может  продолжаться  довольно

     долго.

 

Minimax

     Во всей информации,  читаемой с диска,  меняет  "MIN"  на  "MAX"  и

     наоборот,   сохраняя   регистры   символов.  Не  удивляйтесь,  если

     запущенный  в  зараженной  системе  Aidstest  будет  называть   его

     "Maximin". Есть закодированное слово "MiniMax".

 

Midnight

     В полночь  покрывает  экран  узором  из синих интегралов с надписью

     внизу "IT'S MID NIGH".

 

Mostovoy

     Предполагается портить ADinf.  Однако, опознается только конкретная

     версия,  либо разыскивается слово "Мостовой". Начиная с июня портит

     MBR.

 

JMP_Boot

     Заражает MBR.  При операциях записи на дискеты,  обнаружив в начале

     сектора команду JMP, пишет себя в этот сектор.  При этом может либо

     испортить файл данных, либо инфицировать исполняемый файл. В каждом

     сеансе делает это не больше одного раза.

 

Michael

     В MBR меняет только адрес BOOT. Старается удалить "Stoned". 29 июля

     при нажатии Ctrl+Alt+Del стирает MBR  и  выводит  на  экран  "Happy

     birthday,  MICHAEL !". Блокирует исполнение некоторых EXE-программ.

     Если не ошибаюсь,  написанных на  Borland-C,  причем,  запакованных

     LZEXE. Интересно, против кого это задумано - ADinf или AVP?

 

     Еще одна  разновидность  в  момент  запуска программ,  имя  которых

     кончается на "T",  "B" или "F" (конечно,  имеются в виду  Aidstest,

     DrWeb,  ADinf),  лечит  твердый  диск,  заражая  его вновь после их

     завершения.  По 29-м  числам  стирает  каждую  восьмую  запускаемую

     программу,  а  29 июля после вывода текста "July 29 today...  Happy

     birthday, MICHAEL !" стирает Master Boot.

 

     Еще  одна версия cтарается опознать запуск  ADinf и скрыть  от него

     свое  наличие, но  сработает  это  только  с довольно  старыми  его

     версиями.

 

IntC1

     Сохраняет MBR в 0/0/2, а BOOT гибкого диска - в последнем секторе.

 

Spirit

     Заражает MBR.  В  конце  видно  "SPIRIT  (c) MW".  BOOT на дискетах

     прячет на дополнительной дорожке.

 

CandC

     В половине  дней  мая  выводит  текст  "Bye  by  C&C"  и  блокирует

     загрузку.  Впрочем, попавший ко мне экземпляр испорчен в этом месте

     каким-то  исследователем,  и такое событие может возникать в других

     случаях.

 

Zappa

     Заражает MBR.  4  декабря  выводит  текст "Dedicated to ZAPPA..." и

     портит первый твердый диск.

 

Bones

     7-го числа  стирает нулевую дорожку текущего диска и всю информацию

     с первого твердого.

 

Schafft

     7-го февраля стирает все твердые диски и выводит текст "Schafft die

     Schweizer Armee ab !".

 

DeadFace

     Свое продолжение размещает в последнем секторе Root  Directory.  По

     первым числам мая, сентября и ноября блокирует загрузку системы.

 

RP   17 декабря выводит текст "RP wants to say hello!" и стирает MBR.

 

Bravo

     Заражает MBR.  С вероятностью 1/4096  пишет  вместо  MBR  случайные

     данные со словом "Bravo" в начале.  Старый MBR при этом находится в

     секторе 0/0/2.

 

CpuFailed

     При загрузке системы часто выдает  текст  "CPU  FAILED."  или  "HDD

     ERROR.". Старые Boot и MBR не сохраняет.

 

KL   Прячет старый  MBR  в  0/0/7,  а  Boot  в  последнем  секторе  Root

     Directory.

 

Strafer

     Через 10  дней  после заражения стирает содержимое первого твердого

     диска. В конце текст "Boot Strafer".

 

Stir

     На гибких   дисках   образует  1-2  псевдосбойных  кластера.  После

     большого числа нажатий на клавиши все символы с  экрана  по  одному

     "улетают" наверх.

 

CCCHeHe

     Заражает MBR жесткого диска.  Иногда выводит текст "ШstanbulCCC was

     here. He He" и вешает систему.

 

 

                       3. О "музыкальной" группе

 

     В эту группу  входит  довольно  большое  количество  вирусов,  явно

сочиненных одним  автором. Их  общим признаком  является наличие за 4 от

конца байтов с шестнадцатиричным значением F47A. Следующий байт (в файле

он предпоследний)  содержит номер  версии вируса.  Пока в нашу коллекцию

попали следующие версии (номера - шестнадцатиричные, в скобках - длины):

 

    04 (1212), 05 (1206), 06 (1269), 10 (1339), 17 (1753), 18 (1760), 19

    (1805), 21 (2680), 22 (2568), 26 (2756), 27 (2772), 29 (2932), 2A

    (2997), 2C (2885), 2D (2901), 2E (2981), 53 (1905).

 

     Ранние версии  AIDSTEST обозначали  представителей  этого семейства

буквами D,  F, G,  H, отмечая  развитие  способов  заражения  и  внешних

проявлений.  Теперь  они  все  обозначаются  буквой  (M)  с  добавлением

шестнадцатиричного номера.  Общей для  всех версий  является способность

заражать как COM, так и EXE-программы.

 

     В  антивирусных   публикациях   уже   отмечалось,   что   последние

представители этой  компании (начиная  с 29)  модифицируют  "Мячик".  По

моему впечатлению  из этого  не следует,  что и  он принадлежит  тому же

автору.

 

     Ниже описано все, что удалось выяснить о развитии версий из анализа

известных с некоторой долей интерполяции.

 

До версии 6 при заражении портится дата создания файла.

 

До 9  включительно при  заражении COM  требуется, чтобы  первой командой

     была JMP (код E9).

 

До 10  заражение EXE-программ  происходит в  два  приема  -  при  первом

     программа формально  приводится к  формату COM  и к ней добавляется

     фрагмент длиной 132 байта, который обеспечивает преобразование EXE-

     программы в  памяти для  ее  правильной  работы,  а  при  втором  -

     получившийся агрегат  заражается как  обычный  COM.  Если  AIDSTEST

     встречает такой агрегат, он помечает его как (ML).

 

Следующие версии, включая 22, также преобразуют EXE в COM, однако делают

     это в  один прием.  Пока не  известно, где  проходит граница  между

     версиями 10 и 17.

 

Начиная с версии 23, EXE программы сохраняют свой формат, причем во всех

     заражаемых модулях  со смещением 0x12 от начала стоит расстояние до

     начала  вируса,  деленное  на  16.  Одновременно  в  начале  вируса

     дублируется пароль  F47A  и  номер  версии.  Версии  2D  и  2E  при

     заражении EXE в конец файла эту информацию не пишут.

 

С версии  17 размножение  не обнаруживается  резидентными  антивирусными

     программами, следящими  за записью  в программные  файлы, поскольку

     вирус  передает   управление  непосредственно   в  MS DOS,   обходя

     сторожей.

 

С версии  21 вирусы  принимают очень  хитрые меры защиты от вирусологов.

     Вирус  оказывается   "невидимым"  при   попытке  пройти  через  его

     резидентную часть  отладчиком  в  пошаговом  режиме  или  поставить

     внутри останов  (Break point). Кроме того, при попытке изучить явно

     зараженную  программу  при  помощи  DEBUG,  она  вдруг  оказывается

     здоровой, конечно, если вирус уже находится в памяти.

 

     В пользу автора этих  вирусов следует  сказать, что  никакие подлые

шутки в  них не  предусмотрены. Более  того, принимаются все меры, чтобы

зараженные программы  всегда работали  правильно. Даже попытка умышленно

заразить программу  для коллекции не всегда кончается успехом. До версии

10 не  удалось обнаружить  вообще никаких  шуток, а  остальные исполняют

мелодию,  которую   знатоки  идентифицируют  как  "Янки  Дудль"  (Yankee

Doodle). Версии  17-19 исполняют ее перед перезагрузкой по CTRL+ALT+DEL,

a следующие - в 17 часов (точнее в 16:59:53).

 

     Остается выразить   сожаление,  что  явно  талантливый  программист

потратил столько  сил и изобретательности на такую неблагодарную работу,

которая даже для саморекламы не очень годится.

 

     Обнаруженная в конце 1990  года  версия  53  является  плагиатом  с

последних версий, причем без наиболее тонких возможностей.

 

 

                             4. Вирус "DIR"

 

     Этот  вирус  начинает   принципиально   новую  группу  компьютерных

вирусов.  Внешне он проявляется весьма странно. Дискета, зараженная этим

вирусом,   кажется   безнадежно  испорченной.  Программа  CHKDSK  выдает

сообщения о многочисленных пересечениях файлов  ("...  cross  linked  on

cluster ...") и цепочках потерянных кластеров ("...  lost clusters found

in ...  chains.").  При попытке скопировать с такой дискеты  программные

файлы из них копируется только 1024 байта,  хотя в каталоге стоят совсем

другие длины.  Однако, стоит только исполнить одну из этих программ, как

дискета сама по себе исправляется.

 

     Основная идея  вируса заключается в том,  что его тело находится на

диске в одном месте.  Обычно это последний кластер  диска,  который  при

этом  помечается  в FAT как "конец файла".  Одновременно в каталогах для

всех COM- и EXE-файлов ссылка на начало файла меняется на этот  кластер,

а  правильный  указатель  в  закодированном  виде  прячется  в резервной

области строки каталога.  Таким образом,  при запуске любой программы  в

память  загружается  вирус.  После  этого вирус подключается к дисковому

драйверу и при всех нормальных обращениях к каталогу  отдает  правильные

ссылки.

 

     К сожалению,  в  вирусе  имеются  ошибки.  Во-первых тело вируса не

всегда записывается на диск, хотя ссылки и указывают на то место, где он

должен быть.  Кроме того,  вирус иногда неправильно определяет параметры

диска и образуются два потенциальных места размещения вируса. Если такая

ситуация происходит на диске "C:", система перестает загружаться.

 

     Почти безнадежно  испорченым  диск  оказывается  в случае,  если до

лечения его обработали программой CHKDSK с  параметром  /F  (естественно

при загрузке со здоровой системы).

 

DIR_2

     В связи с  появлением  этой  версии  вируса  алгоритм  лечения  был

     переработан.  Теперь  существенно  повышена  вероятность  успешного

     лечения.  Если диск испорчен вирусом, но AIDSTEST вирус на диске не

     обнаруживает, можно попытаться использовать ключ "/S".

 

DIR_3

     Отличается от предыдущих очень мало.

 

DIR_D

     Явно местного  производства  -  при  каждом  обнаружении  в секторе

     каталога расширения ".DBF" вычитает 1 из второго байта  длины,  что

     уменьшает длину файла на 256,  причем на проход через нуль внимание

     не  обращается.  Теоретически  после  лечения  такие  файлы   можно

     исправить,  но  готовых подходящих программ я не знаю.  Кроме того,

     вирус стирает с диска все файлы с именами,  начанающимися на "AIDS"

     и "ADIN".

 

DIR_4

     Имеет длину кода  больше  1024,  в  связи  с  чем  занимает  четыре

     сектора.  Не заражает диски,  имеющие кластеры из одного сектора (в

     частности,  дискеты 1.2 Мб),  а  также  с  недоступными  последними

     кластерами.  Может  исполнять  мелодию  Паганини  аналогично вирусу

     Tumen, но для этого в момент прерывания от часов во всех регистрах:

     AX,  BX,  CX,  DX,  BP,  SI,  DI  должно  быть одинаковое ненулевое

     значение. Такую ситуацию можно вызвать только искуственно.

 

DIR_5, DIR_6, DIR_7

     Переделки первой версии,  в  результате  которых  добавлены  мелкие

     ошибки. DIR_5 содержит текст "For pirates....".

 

DIR_8, DIR_9, DIR_10, DIR_11

     Еще одна  группа  переделок  первой версии.  Похоже,  что из одного

     источника.  Два из них - 9 и 10 - кодируют  себя.  DIR_10  имеет  в

     конце жуткую надпись "CREEPING DEATH 3".

 

DIR_EXE

     Вполне оригинальная  разработка.  Повторена  только  основная  идея

     способа заражения.  Тело вируса,  имеющее формат  EXE,  помещает  в

     "Cluster 1",  т.е.  в конец Root Directory. Такой подход спасает от

     заражения дискеты 1.2 и  1.4,  поскольку  у  них  в  кластере  один

     сектор.  В  качестве  компенсации  заражает все диски,  в том числе

     размеченные DM  и  ADM.  Побочным  эффектом  является  блокирование

     ошибок  от всех драйверов устройств.  Например,  исполнение команды

     "COPY ......  prn" при выключенном устройстве печати  проходит  без

     каких бы то ни было сообщений об ошибке.

 

DIR_X

     Какой-то подлец заменил в первой версии пять команд.

 

DIR_XX-1024

     Очередная переделка начального варианта.

 

DIR_DX

     Переделка вируса  DIR_D  (скорее  всего не авторская).  На этот раз

     портится длина и у файлов  с  расширениями  ".ZIP"  и  ".AR?".  При

     лечении от этого вируса приходится обнулять время создания файла.

 

DIR_Hnd-2048

     Образует на  всех  зараженных  дисках  файл CHKLIST.MS.  Есть текст

     "The-Hnd" и "<by:Wai-Chan,Aug94,UCV>".  С 1996 года планирует раз в

     месяц в начале каждого четвертого часа выводить под музыку в первой

     строке экрана текст "TRABAJEMOS TODOS POR VENEZUELLA !!!".

 

DIR_Hippie-1024

     Еще одна  переделка.  За  счет выброшенных тонких мест освободилось

     место под тексты: "По Интегралу плывет пирога, в ней едут хиппи, их

     очень много.", "БОИНГ-748", "ПО-2", "ТУ144".

 

DIR_Oct-1024

     Очередная переделка.  В конце текст "Не забудь  поздравить  себя  с

     днём рождения 20 октября.".

 

ПРИМЕЧАНИЯ:

 

     Обнаружена  способность   большинства   разновидностей   вируса   к

     двукратному заражению (по крайней мере на дискетах). Это происходит

     при попеременной  работе с  дискетами  разных  типов.  После  этого

     успешное лечение становится невозможным.

 

     Как упоминалось  выше,  довольно  часто  на  испорченном  диске  не

     оказывается тела  вируса. Лечение в этом случае возможно при помощи

     специальной процедуры  проверки, которая  включается заданием ключа

     "/S". При  этом в  протоколе различаются  следующие  разновидности:

     DIR, DIR_D, DIR_EXE, DIR_DX, DIR_6.