Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Описания вирусов
137 views
Skip to first unread message
John Zaicev
Aug 5, 2013, 6:58:01 PM8/5/13
to
[√] Приветствую тебя, _All_ !
MTZ.PinkPanther.4510, MTZ.PinkPanther.5081
Очень остроумно определяют оригинальный адрес обработчика INT 21h,
перехватив INT 6 и "забив" ядро DOS байтами 0FFh, предварительно
скопировав данное ядро в область UMB. Содержат расшифровщик,
извлекающий начальные значения регистров из стека. PinkPanther.4510
содержит текстовую строку:
2 - The Pink Panther - (c) MTZ Sept. 1993 Italy
PinkPanther.5081 31 декабря выводит на экран текст:
Pink Panther 2 (*The Last One*) - (c) MTZ `1 Jan 1994` Italy
Также в своем теле содержит строку: "Dedicated to Federica!"
Muhamor.4608
Неопасный резидентный вирус. Не заражает файлы, содержащие в своем
имени буквосочетание "WE". Записывает в файл C:\WINDOWS\LOGOS.sys и
C:\WINDOWS\LOGOW.sys изображение мухомора. В результате при выходе из
Windows 95 на его стандартных заставках в правом нижнем углу появляется
изображение мухомора. Вирус содержит текст:
≤© O Muhamor virus O ©≤ Краснодар 1997г.
MultiAni
Опасный загрузочный вирус. Записывает свой код длиной 55 байт в область
сообщений загрузочного сектора, и внедряет команду передачи управления
в начало стандартного загрузчика. В декабре вирус выводит на экран
текст: "La multi ani !". Содержит тексты "SoSo3" и "! ina itlum aL".
Murcia.4651
Неопасный резидентный шифрованный вирус. Иногда перепрограммирует
знакогенератор и выводит на экран шагающего человечка с флаконом,
видимо, одеколона. В последствии человечек бросает данный флакон на
"землю" и на этом месте "вырастает" некий дворец с надписью "MURCIA".
Также создает файл MURCIA!!.001, в который записывает текст:
MURCIA (SPAIN): THE BEST PLACE IN THE WORLD!
WHERE THE PEOPLE MAKES VIRUSES FOR YOUR COMPUTER!
NOW, IN SPANISH:
иSABES LO FACIL QUE RESULTARIA BORRARTE TODOS
LOS FICHEROS DEL DISCO? O MEJOR AUN: FORMATEARLO.
QUE PASES UN FELIZ DIA.
Murky
Очень опасный загрузочный вирус. Вирус перехватывает INT 13h (операции
с диском) и при записи секторов через функцию AX=3 записывает данные
сектора, используя другую функцию AX=0Bh (длинная запись) INT 13h. При
чтении же этих секторов через стандартную функцию AX=2 INT 13h, если
происходит ошибка чтения (т.к., сектор, записанный через "длинную
запись" не может быть прочтен стандартным способом), то вирус считывает
"сбойные" сектора с помощью функции AX=0Ah (длинное чтение), и, таким
образом, создает видимость нормальной работы системы. При удалении же
вируса из памяти, жесткий диск становится недоступен средствам DOS.
Программа Dr. Web после удаления вируса из MBR жесткого диска
автоматически приступает с "исправлению" жестких дисков. Помните, что
данная операция может быть довольно продолжительна по времени. Murky
содержит текст "Murky".
Murphy.1008
Опасный резидентный вирус. Удаляет *.ZIP файлы.
Murphy.Tormentor
Очень опасный вирус. 2 числа месяца уничтожает 255 секторов на всех
головках первого жесткого диска. Содержит строки: "NUKE!",
"TORMENTOR,soldier of -=DY=-", "[Thanks DAv!] DEMORALIZED YOUTH!".
Mururoa.2464, 3443
Неопасные резидентные шифрованные вирусы. Mururoa.2464 4 числа выводит
текст:
÷_________________________________________________"
' I have one mesage to all people on earth : '
' Stop all French nuclear testing in the PACIFIC '
' Dont forgot :Comon people dont like nuc. tests! '
' This is is a MURUROA 1.386 by Blesk '
' PLUTONIUM IS BETTER IN POWER-PLANT !!!! '
' My greet to VYVOJAR,SVL,METABOLIS and all IRC. '
_________________________________________________"
Mururoa.3443 4, 8 и 14 мая выводит на экран текст:
÷_________________________________________________"
' I have one mesage to all people on earth : '
²_________________________________________________'
' All French nuc. test`s was STOPED. But MURUROA '
' IS DEAD !!!!! I am a coder of HELL FIRE and I '
' BRING YOU >>>>>> FIRE <<<<<< By Blesk/SVL '
'NOTE: Name of this virus is [MURUROA_END] '
' By Blesk from Slovak Virus Laboratories at .SK '
' Real name of BOZA is BIZATCH.. STUPID A-VERS !!!'
' PLUTONIUM IS BETTER IN POWER-PLANT !!!! '
' My greet to: VYVOJAR,SVL,VLAD,SKIMS,40-hex,IR '
²_________________________________________________'
' And to some my friends: DJ.Milan,DJ.Maros, '
' DJ.Babula(Baby),TINA-huhu,DURO,LACI,Duffy,Kaaa, '
' Stano ...and more... A zdravim Mira Trnku 8)) '
_________________________________________________"
Не заражают программы, начинающиеся на: avg,fv386,turbo,fv86,guard,
toolkit, scan, virlab,vir,asta,vc,sswap,debug,td,stacker,alik,rex,msav,
cpav,nod,clean,f-pro,tbav,tbdriver,tbclean,tbscan,avast,nav,vshie,dizz,
command, vsafe. Mururoa.3443 содержит тексты: "I am in LOVE now...
ZUZANKA B.B. in Slovakia <:)<8<","For M.T.: Vivat Ziar nad Hronom.. 8))
Uz si rad ?? RADAR v PC Revue 9/94".
MusicBug
Неопасный загрузочный вирус. Иногда проигрывает мелодии.Содержит тексты
"MusicBug v1.06. MacroSoft Corp.", "-- Made In Taiwan --".
MVF.1866, MVF.1896
Резидентные вирусы, перехватывают INT 21h. Но при вызове некоторых
функций INT 21h, пытаются найти COM-файлы и заразить их. В пятницу 13
выводят сообщения:
THE MVF-FILEVIRUS
Programmed 1991 by the MVF
MAD Virus Factory
Mw.278
Неопасный резидентный вирус. Заражает COM-файлы только при копировании
(создании). После 13 заражений выводит текст "Fuck off" и блокирует
работу системы.
MyChild.1000 (1,2)
Неопасные резидентные вирусы. Содержат текст "My Child...K-on-A".
Nadym.493
Неопасный нерезидентный вирус. Иногда выводит на экран текстовую строку
"[VivatNadym] v.1.0 [1998]". Также содержит текст "Proudly by
[GloomyTanat]".
Nadym.934
Неопасный нерезидентный шифрованный вирус. 2 июня, 3 сентября или 1
апреля вирус выводит на экран один из следующих текстов:
[Yanush Milovski] and [GloomyTanat]
Thanks to Yana Diagileva for their songs
Thanks to Shunya for their love and hate
And Thanks You Stupid User for using our virus
Relax man ... relax ...
[VivatNadym] v.2.0 [1998]
Hello, Welcome to the Psychiatric Hotline.
Nadym.1058
Опасный нерезидентный вирус. Иногда переименовывает C:\AUTOEXEC.BAT в
C:\AUTOEXEC.NAD, создает новый файл C:\AUTOEXEC.BAT, в который
записывает команды:
@echo off
cls
echo.[VivatNadym],_demo_version_[1997].
pause >>nul
Naive.1647
Неопасный вирус. При нажатии на Ctrl-Alt-Del выводит текст (только для
монохромного монитора):
÷_____________________________________"
' Л Ю Д И ! '
' Да услышат Ааши уши, да не отвра- '
' тятся глаза Ааши, да внемлют Ваши '
'"сердца, ибо глаголю истину и в ней '
' ваше"спасение. '
' Я, пречистый NAIVE, ниспослан на '
' землю"самим Люцифером, Князем Тьмы, '
' Хозяином Ада и Господином Страстей. '
' Он дал мне в руки демонов и"_ерез '
' них"_ обращаюсь к вам. Все они без- '
' вредны для"сынов и дочерей Евы, как '
' и для"творений"_ук их. '
' Знайте же,"что не Бог изгнал лю- '
' дей из Рая и не Сатана ввел их в '
' исскушение. Ибо возгордился"человек '
' и возомнил"себя богом вездесущим и '
' всезнающим. Заявил он себя господи- '
' ном"своего тела и"своих страстей. '
' И чтобы доказать"это, отрекался '
' от желаний тела: секса, пищи и дру- '
' гого. Но чего он добился"этим? '
' Так отрекитесь от власти над телом! '
' NAIVE. '
_____________________________________"
Вроде бы ничего не забыл...
[√] Пока, _All_ !
▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 http://my.mail.ru/community/v---i---r---u--s/
... [Freq 7-343-3665612 22:00-07:00][Набираю поинтов (пока только по модему)]
MTZ.PinkPanther.4510, MTZ.PinkPanther.5081
Очень остроумно определяют оригинальный адрес обработчика INT 21h,
перехватив INT 6 и "забив" ядро DOS байтами 0FFh, предварительно
скопировав данное ядро в область UMB. Содержат расшифровщик,
извлекающий начальные значения регистров из стека. PinkPanther.4510
содержит текстовую строку:
2 - The Pink Panther - (c) MTZ Sept. 1993 Italy
PinkPanther.5081 31 декабря выводит на экран текст:
Pink Panther 2 (*The Last One*) - (c) MTZ `1 Jan 1994` Italy
Также в своем теле содержит строку: "Dedicated to Federica!"
Muhamor.4608
Неопасный резидентный вирус. Не заражает файлы, содержащие в своем
имени буквосочетание "WE". Записывает в файл C:\WINDOWS\LOGOS.sys и
C:\WINDOWS\LOGOW.sys изображение мухомора. В результате при выходе из
Windows 95 на его стандартных заставках в правом нижнем углу появляется
изображение мухомора. Вирус содержит текст:
≤© O Muhamor virus O ©≤ Краснодар 1997г.
MultiAni
Опасный загрузочный вирус. Записывает свой код длиной 55 байт в область
сообщений загрузочного сектора, и внедряет команду передачи управления
в начало стандартного загрузчика. В декабре вирус выводит на экран
текст: "La multi ani !". Содержит тексты "SoSo3" и "! ina itlum aL".
Murcia.4651
Неопасный резидентный шифрованный вирус. Иногда перепрограммирует
знакогенератор и выводит на экран шагающего человечка с флаконом,
видимо, одеколона. В последствии человечек бросает данный флакон на
"землю" и на этом месте "вырастает" некий дворец с надписью "MURCIA".
Также создает файл MURCIA!!.001, в который записывает текст:
MURCIA (SPAIN): THE BEST PLACE IN THE WORLD!
WHERE THE PEOPLE MAKES VIRUSES FOR YOUR COMPUTER!
NOW, IN SPANISH:
иSABES LO FACIL QUE RESULTARIA BORRARTE TODOS
LOS FICHEROS DEL DISCO? O MEJOR AUN: FORMATEARLO.
QUE PASES UN FELIZ DIA.
Murky
Очень опасный загрузочный вирус. Вирус перехватывает INT 13h (операции
с диском) и при записи секторов через функцию AX=3 записывает данные
сектора, используя другую функцию AX=0Bh (длинная запись) INT 13h. При
чтении же этих секторов через стандартную функцию AX=2 INT 13h, если
происходит ошибка чтения (т.к., сектор, записанный через "длинную
запись" не может быть прочтен стандартным способом), то вирус считывает
"сбойные" сектора с помощью функции AX=0Ah (длинное чтение), и, таким
образом, создает видимость нормальной работы системы. При удалении же
вируса из памяти, жесткий диск становится недоступен средствам DOS.
Программа Dr. Web после удаления вируса из MBR жесткого диска
автоматически приступает с "исправлению" жестких дисков. Помните, что
данная операция может быть довольно продолжительна по времени. Murky
содержит текст "Murky".
Murphy.1008
Опасный резидентный вирус. Удаляет *.ZIP файлы.
Murphy.Tormentor
Очень опасный вирус. 2 числа месяца уничтожает 255 секторов на всех
головках первого жесткого диска. Содержит строки: "NUKE!",
"TORMENTOR,soldier of -=DY=-", "[Thanks DAv!] DEMORALIZED YOUTH!".
Mururoa.2464, 3443
Неопасные резидентные шифрованные вирусы. Mururoa.2464 4 числа выводит
текст:
÷_________________________________________________"
' I have one mesage to all people on earth : '
' Stop all French nuclear testing in the PACIFIC '
' Dont forgot :Comon people dont like nuc. tests! '
' This is is a MURUROA 1.386 by Blesk '
' PLUTONIUM IS BETTER IN POWER-PLANT !!!! '
' My greet to VYVOJAR,SVL,METABOLIS and all IRC. '
_________________________________________________"
Mururoa.3443 4, 8 и 14 мая выводит на экран текст:
÷_________________________________________________"
' I have one mesage to all people on earth : '
²_________________________________________________'
' All French nuc. test`s was STOPED. But MURUROA '
' IS DEAD !!!!! I am a coder of HELL FIRE and I '
' BRING YOU >>>>>> FIRE <<<<<< By Blesk/SVL '
'NOTE: Name of this virus is [MURUROA_END] '
' By Blesk from Slovak Virus Laboratories at .SK '
' Real name of BOZA is BIZATCH.. STUPID A-VERS !!!'
' PLUTONIUM IS BETTER IN POWER-PLANT !!!! '
' My greet to: VYVOJAR,SVL,VLAD,SKIMS,40-hex,IR '
²_________________________________________________'
' And to some my friends: DJ.Milan,DJ.Maros, '
' DJ.Babula(Baby),TINA-huhu,DURO,LACI,Duffy,Kaaa, '
' Stano ...and more... A zdravim Mira Trnku 8)) '
_________________________________________________"
Не заражают программы, начинающиеся на: avg,fv386,turbo,fv86,guard,
toolkit, scan, virlab,vir,asta,vc,sswap,debug,td,stacker,alik,rex,msav,
cpav,nod,clean,f-pro,tbav,tbdriver,tbclean,tbscan,avast,nav,vshie,dizz,
command, vsafe. Mururoa.3443 содержит тексты: "I am in LOVE now...
ZUZANKA B.B. in Slovakia <:)<8<","For M.T.: Vivat Ziar nad Hronom.. 8))
Uz si rad ?? RADAR v PC Revue 9/94".
MusicBug
Неопасный загрузочный вирус. Иногда проигрывает мелодии.Содержит тексты
"MusicBug v1.06. MacroSoft Corp.", "-- Made In Taiwan --".
MVF.1866, MVF.1896
Резидентные вирусы, перехватывают INT 21h. Но при вызове некоторых
функций INT 21h, пытаются найти COM-файлы и заразить их. В пятницу 13
выводят сообщения:
THE MVF-FILEVIRUS
Programmed 1991 by the MVF
MAD Virus Factory
Mw.278
Неопасный резидентный вирус. Заражает COM-файлы только при копировании
(создании). После 13 заражений выводит текст "Fuck off" и блокирует
работу системы.
MyChild.1000 (1,2)
Неопасные резидентные вирусы. Содержат текст "My Child...K-on-A".
Nadym.493
Неопасный нерезидентный вирус. Иногда выводит на экран текстовую строку
"[VivatNadym] v.1.0 [1998]". Также содержит текст "Proudly by
[GloomyTanat]".
Nadym.934
Неопасный нерезидентный шифрованный вирус. 2 июня, 3 сентября или 1
апреля вирус выводит на экран один из следующих текстов:
[Yanush Milovski] and [GloomyTanat]
Thanks to Yana Diagileva for their songs
Thanks to Shunya for their love and hate
And Thanks You Stupid User for using our virus
Relax man ... relax ...
[VivatNadym] v.2.0 [1998]
Hello, Welcome to the Psychiatric Hotline.
Nadym.1058
Опасный нерезидентный вирус. Иногда переименовывает C:\AUTOEXEC.BAT в
C:\AUTOEXEC.NAD, создает новый файл C:\AUTOEXEC.BAT, в который
записывает команды:
@echo off
cls
echo.[VivatNadym],_demo_version_[1997].
pause >>nul
Naive.1647
Неопасный вирус. При нажатии на Ctrl-Alt-Del выводит текст (только для
монохромного монитора):
÷_____________________________________"
' Л Ю Д И ! '
' Да услышат Ааши уши, да не отвра- '
' тятся глаза Ааши, да внемлют Ваши '
'"сердца, ибо глаголю истину и в ней '
' ваше"спасение. '
' Я, пречистый NAIVE, ниспослан на '
' землю"самим Люцифером, Князем Тьмы, '
' Хозяином Ада и Господином Страстей. '
' Он дал мне в руки демонов и"_ерез '
' них"_ обращаюсь к вам. Все они без- '
' вредны для"сынов и дочерей Евы, как '
' и для"творений"_ук их. '
' Знайте же,"что не Бог изгнал лю- '
' дей из Рая и не Сатана ввел их в '
' исскушение. Ибо возгордился"человек '
' и возомнил"себя богом вездесущим и '
' всезнающим. Заявил он себя господи- '
' ном"своего тела и"своих страстей. '
' И чтобы доказать"это, отрекался '
' от желаний тела: секса, пищи и дру- '
' гого. Но чего он добился"этим? '
' Так отрекитесь от власти над телом! '
' NAIVE. '
_____________________________________"
Вроде бы ничего не забыл...
[√] Пока, _All_ !
▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 http://my.mail.ru/community/v---i---r---u--s/
... [Freq 7-343-3665612 22:00-07:00][Набираю поинтов (пока только по модему)]
John Zaicev
Aug 7, 2013, 4:54:07 AM8/7/13
to
[√] Приветствую тебя, _All_ !
Nameless.3000
Очень опасный резидентный шифрованный вирус. При старте инфицированной
программы вирус "выкусывает" свой код из нее, запускает ее, а потом
вновь заражает. Иногда, в зависимости от своих внутренних счетчиков или
при неаккуратной трассировке, уничтожает содержимое жесткого диска, а
также периодически уничтожает содержимое случайных секторов логических
дисков. Содержит текст "Nameless virus v.2.0 Глазовская водка-лучшая в
России! Завалим юзеров вирусами! Игорь, помоги назвать вирус (только не
Nameless) U my last hope... Please...".
Natas.4740, 4744, 4746, 4766, 4774, 4786, 4826, 4918, 4988, 5228
Очень опасные файлово-загрузочные полиморфные вирусы. Заражают MBR
"винчестера", Boot-сектора флоппи-дисков, COM и EXE-файлы. Не заражают
файлы, обрабатываемые программами PKZIP, PKUNZIP, ARJ и LHA. В
зависимости от своих счетчиков могут отформатировать жесткий диск.
Содержат текстовые строки: "Natas" и "BACK MODEM". Natas.4746 содержит
ошибку в процедуре заражения MBR и Boot-секторов дискет. В результате
этого система перестанет загружаться с таких дисков и восстановление
оригинальных MBR и Boot-секторов окажется невозможным. Natas.4774
имеет текст "Time has come to pay (c)1994 NEVER-1". Natas.4988 содержит
следующий текст:
Yes I know my enemies
They`re the teatchers who taught me to fight me
Compromise, conformity, assimilation, submission
Ignorance, hypocrisy, brutality, the elite
All of whitch are American dreams
(c) 1994 by Never-1(Belgium Most Hated) Sandrine B.
Nax.858
Опасный резидентный вирус. Из-за ошибки разрушает инфицируемые файлы.
При нажатии на клавишу F5 вирус меняет ее в буфере клавиатуры на F8 и
наоборот - F8 на F5.
Nax.1402
Опасный резидентный вирус. Каждое четвертое нажатие на клавиши
\/:;<>()[],.90 изменяет на /\;:><)(][.,09, а также F5->F8, F6->F8,
F8->F5,Enter->Escape,Escape->Enter.
NearDark
После загрузки с жесткого диска может вывести строку "NearDark", после
чего уничтожит Partition Table.
Necros.1164
Неопасный резидентный полиморфный вирус. Заражает COM-файлы, внедряя
свой код в их начало. EXE-файлы заражает, как вирус-спутник. Т.е.,
создает COM-файл, содержащий вирусный код с именем EXE-файла. 21 ноября
выводит на экран текст:
Virus V2.0 (c) 1991 Necros The Hacker.
Written on 29,30 June in Tralee, Co. Kerry, Ireland.
Happy Birthday, Necros!
Содержит строку "Virus V2.0 [FrIEND]".
NED-вирусы
NED (NuKE Encryption Device) - полиморфный генератор вирусных
шифровщиков и расшифровщиков. Содержит текстовую строку: [NuKE]
Encryption Device v1.00 (C) 1992 Nowhere Man and [NuKE]
NED.ItsHard
Опасный нерезидентный полиморфный вирус. В декабре пытается
отформатировать 32 цилиндра первого жесткого диска, после чего
перезагружает компьютер. Содержит строку
IT`S HARD. SMAUG REIGNS SUPREME AS THENEW FORCE IN VIRUS WRITING.
SMIRK. SMIRK. POOF!
NED.Tester
Нерезидентный полиморфный вирус. Перед заражением файла выводит текст:
"Test virus successful!". Содержит строки: "*.COM", "[VCL]".
NeedLove.5000
Опасный резидентный шифрованный вирус. В вирусе присутствуют некоторые
процедуры, которые никогда не получают управления. Так, видимо, в
январе вирусу хотелось бы вывести на экран текст "ALL YOU NEED IS
LOVE!" и запустить по экрану "бегущие" справа налево разноцветные
сердца разного размера, одновременно с этим последовательно читая
сектора жесткого диска, видимо имитируя разрушение информации в них. А
также в теле вируса присутствует подпрограмма записи в файлы текста:
Whenever I`m alone with you
You make me feel like I am free again
Whenever I`m alone with you
You make me feel like I am clean again
However far away I will always love you
However long I stay I will always love you
Whatever words I say I will always love you I will always love you
Вирус содержит текст:
I`m the Ghost 1.5 and maybe last.
It`s time to die.
Viruses adding on and on...DrWeb`s getting too slow.
What`s next?
Halt?
Neko.2697
Резидентный полиморфный вирус. Отличается оригинальным алгоритмом
шифрования. Помимо простого шифровщика вирус создает код, который в
случайных местах уже зашифрованного вирусного кода изменяет некоторые
байты и слова (XOR, ADD, SUB, INC, DEC, AND). Во вторник перед
заражением файла выводит текст:
Dear Mrs.Grandy:
Aloha!
It is me,Neko again! This is the lastest version 2.0
Undoubtedly,I am not what I was.
Let me tell you something about my improvement.
I work with the Antilogic Engine I.
It is a new invention.So,
Showtime! Neko version 2.0
Made by Metal Satan
Nessuno.2170
Опасный резидентный полиморфный вирус. Разрушает, записывая в случайное
место файла 21 случайный байт, файлы, расширения которых заканчиваются
на буквы, указанные в следующем списке (2 последовательных символа для
каждого файла): ocxtas.cppodroorsmspldakrgbfpsiprj. Содержит текст
"[For pirates... (C)1993-94 nessuno] sono solo stronzate".
Net.4340
Опасный резидентный вирус. Может записывать в программы троянский код,
уничтожающий CMOS и сектора дисков. Содержит текст "Retix PC-21
NETBIOS".
Neurobasher.Alpha
Неопасный резидентный стелс-вирус. При старте или открытии зараженных
файлов вирус удаляет свой код из них. Иногда выводит сообщение:
_ оALPHA STRIKEп © Advanced Tactical Viral Implant by NEUROBASHER`93 / Germany
Neurobasher.Avalanche
Опасный резидентный шифрованный вирус. При старте файлов, содержащих
словосочетания F-PR, TBAV, SCAN, MSAV, CPAV, TBME, TBFI, TBSC, VIRS,
TBDR, вирус удаляет их. Содержит текст "AVALANCHE/Germany `94...Metal
Junkie greets Neurobasher".
Nameless.3000
Очень опасный резидентный шифрованный вирус. При старте инфицированной
программы вирус "выкусывает" свой код из нее, запускает ее, а потом
вновь заражает. Иногда, в зависимости от своих внутренних счетчиков или
при неаккуратной трассировке, уничтожает содержимое жесткого диска, а
также периодически уничтожает содержимое случайных секторов логических
дисков. Содержит текст "Nameless virus v.2.0 Глазовская водка-лучшая в
России! Завалим юзеров вирусами! Игорь, помоги назвать вирус (только не
Nameless) U my last hope... Please...".
Natas.4740, 4744, 4746, 4766, 4774, 4786, 4826, 4918, 4988, 5228
Очень опасные файлово-загрузочные полиморфные вирусы. Заражают MBR
"винчестера", Boot-сектора флоппи-дисков, COM и EXE-файлы. Не заражают
файлы, обрабатываемые программами PKZIP, PKUNZIP, ARJ и LHA. В
зависимости от своих счетчиков могут отформатировать жесткий диск.
Содержат текстовые строки: "Natas" и "BACK MODEM". Natas.4746 содержит
ошибку в процедуре заражения MBR и Boot-секторов дискет. В результате
этого система перестанет загружаться с таких дисков и восстановление
оригинальных MBR и Boot-секторов окажется невозможным. Natas.4774
имеет текст "Time has come to pay (c)1994 NEVER-1". Natas.4988 содержит
следующий текст:
Yes I know my enemies
They`re the teatchers who taught me to fight me
Compromise, conformity, assimilation, submission
Ignorance, hypocrisy, brutality, the elite
All of whitch are American dreams
(c) 1994 by Never-1(Belgium Most Hated) Sandrine B.
Nax.858
Опасный резидентный вирус. Из-за ошибки разрушает инфицируемые файлы.
При нажатии на клавишу F5 вирус меняет ее в буфере клавиатуры на F8 и
наоборот - F8 на F5.
Nax.1402
Опасный резидентный вирус. Каждое четвертое нажатие на клавиши
\/:;<>()[],.90 изменяет на /\;:><)(][.,09, а также F5->F8, F6->F8,
F8->F5,Enter->Escape,Escape->Enter.
NearDark
После загрузки с жесткого диска может вывести строку "NearDark", после
чего уничтожит Partition Table.
Necros.1164
Неопасный резидентный полиморфный вирус. Заражает COM-файлы, внедряя
свой код в их начало. EXE-файлы заражает, как вирус-спутник. Т.е.,
создает COM-файл, содержащий вирусный код с именем EXE-файла. 21 ноября
выводит на экран текст:
Virus V2.0 (c) 1991 Necros The Hacker.
Written on 29,30 June in Tralee, Co. Kerry, Ireland.
Happy Birthday, Necros!
Содержит строку "Virus V2.0 [FrIEND]".
NED-вирусы
NED (NuKE Encryption Device) - полиморфный генератор вирусных
шифровщиков и расшифровщиков. Содержит текстовую строку: [NuKE]
Encryption Device v1.00 (C) 1992 Nowhere Man and [NuKE]
NED.ItsHard
Опасный нерезидентный полиморфный вирус. В декабре пытается
отформатировать 32 цилиндра первого жесткого диска, после чего
перезагружает компьютер. Содержит строку
IT`S HARD. SMAUG REIGNS SUPREME AS THENEW FORCE IN VIRUS WRITING.
SMIRK. SMIRK. POOF!
NED.Tester
Нерезидентный полиморфный вирус. Перед заражением файла выводит текст:
"Test virus successful!". Содержит строки: "*.COM", "[VCL]".
NeedLove.5000
Опасный резидентный шифрованный вирус. В вирусе присутствуют некоторые
процедуры, которые никогда не получают управления. Так, видимо, в
январе вирусу хотелось бы вывести на экран текст "ALL YOU NEED IS
LOVE!" и запустить по экрану "бегущие" справа налево разноцветные
сердца разного размера, одновременно с этим последовательно читая
сектора жесткого диска, видимо имитируя разрушение информации в них. А
также в теле вируса присутствует подпрограмма записи в файлы текста:
Whenever I`m alone with you
You make me feel like I am free again
Whenever I`m alone with you
You make me feel like I am clean again
However far away I will always love you
However long I stay I will always love you
Whatever words I say I will always love you I will always love you
Вирус содержит текст:
I`m the Ghost 1.5 and maybe last.
It`s time to die.
Viruses adding on and on...DrWeb`s getting too slow.
What`s next?
Halt?
Neko.2697
Резидентный полиморфный вирус. Отличается оригинальным алгоритмом
шифрования. Помимо простого шифровщика вирус создает код, который в
случайных местах уже зашифрованного вирусного кода изменяет некоторые
байты и слова (XOR, ADD, SUB, INC, DEC, AND). Во вторник перед
заражением файла выводит текст:
Dear Mrs.Grandy:
Aloha!
It is me,Neko again! This is the lastest version 2.0
Undoubtedly,I am not what I was.
Let me tell you something about my improvement.
I work with the Antilogic Engine I.
It is a new invention.So,
Showtime! Neko version 2.0
Made by Metal Satan
Nessuno.2170
Опасный резидентный полиморфный вирус. Разрушает, записывая в случайное
место файла 21 случайный байт, файлы, расширения которых заканчиваются
на буквы, указанные в следующем списке (2 последовательных символа для
каждого файла): ocxtas.cppodroorsmspldakrgbfpsiprj. Содержит текст
"[For pirates... (C)1993-94 nessuno] sono solo stronzate".
Net.4340
Опасный резидентный вирус. Может записывать в программы троянский код,
уничтожающий CMOS и сектора дисков. Содержит текст "Retix PC-21
NETBIOS".
Neurobasher.Alpha
Неопасный резидентный стелс-вирус. При старте или открытии зараженных
файлов вирус удаляет свой код из них. Иногда выводит сообщение:
_ оALPHA STRIKEп © Advanced Tactical Viral Implant by NEUROBASHER`93 / Germany
Neurobasher.Avalanche
Опасный резидентный шифрованный вирус. При старте файлов, содержащих
словосочетания F-PR, TBAV, SCAN, MSAV, CPAV, TBME, TBFI, TBSC, VIRS,
TBDR, вирус удаляет их. Содержит текст "AVALANCHE/Germany `94...Metal
Junkie greets Neurobasher".
John Zaicev
Aug 7, 2013, 6:22:32 AM8/7/13
to
[√] Приветствую тебя, _All_ !
Neurobasher.Havoc (1,2)
Файлово-загрузочные полиморфные стелс-вирусы. Заражают MBR,
Boot-сектора дискет и EXE-файлы. При старте зараженной программы вирусы
первым делом устанавливает свою TSR-копию в память по адресу 7C00:0000,
перехватывают INT 13h и INT 21h, причем при "захвате" INT 21h, вирусы
могут внедрить инструкции перехода на свой обработчик в оригинальный
обработчик прерывания DOS, находящийся в HMA. После этого заражают MBR
"винчестера", шифруют истинный "спрятанный" в 7 секторе MBR и
Boot-сектор активного раздела DOS. 9 секторов своего тела вирусы
записывают начиная с 8 сектора жесткого диска. При загрузке с
инфицированного жесткого диска вирусы устанавливают в память по адресу
7C00:0000 свой код, перехватывают INT 13h, INT 21h, ждут загрузки DOS,
и "законным" способом (f.48h INT 21h) получают свой участок памяти. При
возможности размещают себя в область UMB. Заражают дискеты емкостью
1.2M или 1.44M. Причем вирусы форматируют дополнительную 81 дорожку из
10 секторов, куда "прячут" оригинальный Boot-сектор и 9 секторов своего
кода. Havoc (1) содержит ошибку в процедуре заражения Boot-секторов
дискет. Правильное заражение флоппи-дисков будет происходить только в
том случае, если первая команда загрузчика JMP SHORT PTR (EBh ??). Во
второй модификации вируса данная ошибка исправлена. Через 3 месяца
после заражения компьютера вирусы выводят сообщение:
Havoc (1):
<HAVOC> by Neurobasher`93/Germany - GRIPPED BY FEAR - UNTIL DEATH US DO PART !
Содержит также строку "`1993 / Germany >>>".
Havoc (2):
<HAVOC> by Neurobasher`93/Germany _GRIPPED_BY_FEAR_UNTIL_DEATH_US_DO_PART_
Neurobasher.N8Fall.527
Неопасный резидентный стелс-вирус-спутник. Не заражает файлы,
содержащие символы "F-" (F-PROT). Содержит текстовую строку
"-A-VICTORY-THAT-WON`T-LAST-"
Neurobasher.N8Fall.4518 (1,2), 5770, 5081
Неопасные резидентные полиморфные стелс-вирусы. Устанавливают свою TSR-
копию в область UMB или в верхние адреса памяти. Внедряют прямой
межсегментный CALL на свой код в оригинальный обработчик DOS INT 21h.
Иногда выводят на экран сообщения:
Neurobasher.N8Fall.4518 (1,2):
Invisible and silent - circling overland :
\\\ N 8 F A L L ///
Rearranged by Neurobasher - Germany
_MY_WILL_TO_DESTROY_IS_YOUR_CHANCE_FOR_IMPROVEMENTS_
Neurobasher.N8Fall.5770, 5081:
"Any means necessary for survival"
' N8FALL/2XS '
"By the perception of illusion we experience reality"
Art & Strategy by Neurobasher 1994 - Germany
"I don`t think that the real violence has even started yet"
Neurobasher.N8Fall.4518 (1,2) иногда вызывает печать экрана на принтер
(Int 05). Neurobasher.N8Fall.5770,5081 при завершении работы какой-либо
программы (f.4Ch INT 21h) может установить в память "на INT 21h" другой
стелс-вирус-спутник Neurobasher.N8Fall.527, хранящийся в теле вируса-
родителя в зашифрованном виде, который в дальнейшем может "жить
собственной жизнью".
Neurobasher.Tremor
Неопасный резидентный полиморфный стелс-вирус. Трассирует INT 21h.
Копирует свою TSR-копию в область UMB, если это возможно. Перехватывает
INT 15h, 21h, причем может не просто перехватить INT 21h, а
"вклиниться" в цепочку обработчиков INT 21h. И сам перехват INT 21h и
15h довольно необычен: вирус находит в памяти PSP (префикс программного
сегмента) резидентной части командного процессора и оставляет в нем по
смещению 5 и 53h прямые межсегментные jump`ы соответственно на свои
обработчики INT 21h, 15h. И делает ссылки векторов в таблице прерываний
или значения адресов межсегментных переходов на установленные им
инструкции переходов в PSP COMMAND.COM. INT 15h вирус использует для
вызова видеоэффекта: при нажатии на Ctrl-Alt-Del, иногда, выводится
сообщение:
-=> T©R©E©M©O©R was done by NEUROBASHER / May-June`92, Germany <=-
_MOMENT_OF_TERROR_IS_THE_BEGINNING_OF_LIFE_
Также, в некоторые моменты, вирус может "потрясти` экран.
Nexivder.4224, 4286
Неопасные файлово-загрузочные полиморфные вирусы. Заражают MBR жесткого
диска, загрузочные сектора дискет и COM-файлы. В COM-файлы вирусы
внедряются в середину файлов, используя трассировку для замены по
случайному смещению программы определенной вирусом программной
инструкции на вирусную команду передачи управления (CALL NEAR).Основной
зашифрованный вирусный код размещается в конце файлов.
NextGen.2304
Неопасный резидентный стелс-вирус. Содержит текст "The NextGen Stealth
Virus IL USA, 6-93...(Revision)".
NG.695, 1036
Неопасные резидентные вирусы. Перехватывают INT 20h, INT 21h, INT 27h,
ожидают окончания работы инфицированной программы, после чего
восстанавливают указанные вектора прерываний и перехватывают INT 13h и
INT 28h. После каждого 4го вызова INT 28h пытаются найти в текущем
каталоге (f.4Eh, 4Fh INT 21h) и заразить *.COM-файл. С помощью INT 13h
контролируют запись на диск (AH=3) и производят поиск и заражение
только после данной записи. Содержат зашифрованные тексты:
NG.695: "New Generation v.2.1 (NG-2.1 Ukr)",
NG.1036 "NG-2.3 Ukr", "i vir our service".
Nice
Неопасный загрузочный стелс-вирус. Шифрует оригинальный загрузочный
сектор. Может вывести сообщение "Virus "NICE"".
Neurobasher.Havoc (1,2)
Файлово-загрузочные полиморфные стелс-вирусы. Заражают MBR,
Boot-сектора дискет и EXE-файлы. При старте зараженной программы вирусы
первым делом устанавливает свою TSR-копию в память по адресу 7C00:0000,
перехватывают INT 13h и INT 21h, причем при "захвате" INT 21h, вирусы
могут внедрить инструкции перехода на свой обработчик в оригинальный
обработчик прерывания DOS, находящийся в HMA. После этого заражают MBR
"винчестера", шифруют истинный "спрятанный" в 7 секторе MBR и
Boot-сектор активного раздела DOS. 9 секторов своего тела вирусы
записывают начиная с 8 сектора жесткого диска. При загрузке с
инфицированного жесткого диска вирусы устанавливают в память по адресу
7C00:0000 свой код, перехватывают INT 13h, INT 21h, ждут загрузки DOS,
и "законным" способом (f.48h INT 21h) получают свой участок памяти. При
возможности размещают себя в область UMB. Заражают дискеты емкостью
1.2M или 1.44M. Причем вирусы форматируют дополнительную 81 дорожку из
10 секторов, куда "прячут" оригинальный Boot-сектор и 9 секторов своего
кода. Havoc (1) содержит ошибку в процедуре заражения Boot-секторов
дискет. Правильное заражение флоппи-дисков будет происходить только в
том случае, если первая команда загрузчика JMP SHORT PTR (EBh ??). Во
второй модификации вируса данная ошибка исправлена. Через 3 месяца
после заражения компьютера вирусы выводят сообщение:
Havoc (1):
<HAVOC> by Neurobasher`93/Germany - GRIPPED BY FEAR - UNTIL DEATH US DO PART !
Содержит также строку "`1993 / Germany >>>".
Havoc (2):
<HAVOC> by Neurobasher`93/Germany _GRIPPED_BY_FEAR_UNTIL_DEATH_US_DO_PART_
Neurobasher.N8Fall.527
Неопасный резидентный стелс-вирус-спутник. Не заражает файлы,
содержащие символы "F-" (F-PROT). Содержит текстовую строку
"-A-VICTORY-THAT-WON`T-LAST-"
Neurobasher.N8Fall.4518 (1,2), 5770, 5081
Неопасные резидентные полиморфные стелс-вирусы. Устанавливают свою TSR-
копию в область UMB или в верхние адреса памяти. Внедряют прямой
межсегментный CALL на свой код в оригинальный обработчик DOS INT 21h.
Иногда выводят на экран сообщения:
Neurobasher.N8Fall.4518 (1,2):
Invisible and silent - circling overland :
\\\ N 8 F A L L ///
Rearranged by Neurobasher - Germany
_MY_WILL_TO_DESTROY_IS_YOUR_CHANCE_FOR_IMPROVEMENTS_
Neurobasher.N8Fall.5770, 5081:
"Any means necessary for survival"
' N8FALL/2XS '
"By the perception of illusion we experience reality"
Art & Strategy by Neurobasher 1994 - Germany
"I don`t think that the real violence has even started yet"
Neurobasher.N8Fall.4518 (1,2) иногда вызывает печать экрана на принтер
(Int 05). Neurobasher.N8Fall.5770,5081 при завершении работы какой-либо
программы (f.4Ch INT 21h) может установить в память "на INT 21h" другой
стелс-вирус-спутник Neurobasher.N8Fall.527, хранящийся в теле вируса-
родителя в зашифрованном виде, который в дальнейшем может "жить
собственной жизнью".
Neurobasher.Tremor
Неопасный резидентный полиморфный стелс-вирус. Трассирует INT 21h.
Копирует свою TSR-копию в область UMB, если это возможно. Перехватывает
INT 15h, 21h, причем может не просто перехватить INT 21h, а
"вклиниться" в цепочку обработчиков INT 21h. И сам перехват INT 21h и
15h довольно необычен: вирус находит в памяти PSP (префикс программного
сегмента) резидентной части командного процессора и оставляет в нем по
смещению 5 и 53h прямые межсегментные jump`ы соответственно на свои
обработчики INT 21h, 15h. И делает ссылки векторов в таблице прерываний
или значения адресов межсегментных переходов на установленные им
инструкции переходов в PSP COMMAND.COM. INT 15h вирус использует для
вызова видеоэффекта: при нажатии на Ctrl-Alt-Del, иногда, выводится
сообщение:
-=> T©R©E©M©O©R was done by NEUROBASHER / May-June`92, Germany <=-
_MOMENT_OF_TERROR_IS_THE_BEGINNING_OF_LIFE_
Также, в некоторые моменты, вирус может "потрясти` экран.
Nexivder.4224, 4286
Неопасные файлово-загрузочные полиморфные вирусы. Заражают MBR жесткого
диска, загрузочные сектора дискет и COM-файлы. В COM-файлы вирусы
внедряются в середину файлов, используя трассировку для замены по
случайному смещению программы определенной вирусом программной
инструкции на вирусную команду передачи управления (CALL NEAR).Основной
зашифрованный вирусный код размещается в конце файлов.
NextGen.2304
Неопасный резидентный стелс-вирус. Содержит текст "The NextGen Stealth
Virus IL USA, 6-93...(Revision)".
NG.695, 1036
Неопасные резидентные вирусы. Перехватывают INT 20h, INT 21h, INT 27h,
ожидают окончания работы инфицированной программы, после чего
восстанавливают указанные вектора прерываний и перехватывают INT 13h и
INT 28h. После каждого 4го вызова INT 28h пытаются найти в текущем
каталоге (f.4Eh, 4Fh INT 21h) и заразить *.COM-файл. С помощью INT 13h
контролируют запись на диск (AH=3) и производят поиск и заражение
только после данной записи. Содержат зашифрованные тексты:
NG.695: "New Generation v.2.1 (NG-2.1 Ukr)",
NG.1036 "NG-2.3 Ukr", "i vir our service".
Nice
Неопасный загрузочный стелс-вирус. Шифрует оригинальный загрузочный
сектор. Может вывести сообщение "Virus "NICE"".
John Zaicev
Aug 7, 2013, 9:46:55 AM8/7/13
to
[√] Приветствую тебя, _All_ !
Nigeb.890
Опасный резидентный вирус. При записи в файл или на экран (f.40h INT
21h) слова BEGIN вирус изменяет его на NIGEB. На экране же при встрече
слова NIGEB вирус изменяет его на первоначальное BEGIN. Содержит тексты
"igeb", "egin", "AntiPascal-1 (C)Godzilla Corp.".
Nikolas.1101
Неопасный резидентный вирус. Содержит зашифрованный текст "Nikolas" и
"V4.5".
Nilz.1000
Опасный резидентный вирус. 10 марта уничтожает содержимое CMOS-памяти и
выводит на экран текст "HAIGUSTE RAVI KONTROLLITUD VAIKUSE PIMEDUSE JA
RAADIOGA". Содержит текст "NiLZ".
Ninja.1181, 1195
Неопасные резидентные вирусы. Ninja.1195 содержит текст:
В УдГУ никто и ничто не пашет!
It`s a beautiful life!
Can`t stop raving
Ninja.1225, 1336, 1376
Очень опасные зашифрованные резидентные вирусы. Ninja.1225, 1376 13
числа в 13 минут уничтожают по 256 секторов на 13 головках жесткого
диска. Заражают файлы, записывая в их конец, перед основным вирусным
кодом блок до 256 байт и после тела вируса, для EXE-файлов - блок до
256 байт, для COM-файлов - блок до 512 байт. С вероятностью 1/256
уничтожают программные файлы, записывая в них код, который при старте
выводит следующее сообщение:
Ninja.1336: DZINA VIRUS v 4.0 Copyright (C) 1990,91,97 Dzina Corp
Ninja.1376:
Mutant Ninja Version 2.0 Copyright (C) 1990,91 Virus&Worm Software
Ninja.1383
Опасный резидентный вирус. При старте программы с именем DRWEB вирус
освобождает "захваченное" им INT 21h, обезвреживая тем самым свою
резидентную копию в памяти. При старте программы LOGIN, если в этот
момент значение секунд системного времени более 20 секунд, то вирус
выводит на экран текст:
********** Warning ! **********
Novell NetWare report : Hardware A30 error detected.
Registers :
AX :2134 BX :3C23 CX :1841 DX :5421
CS :2451 DS :2023 ES :538A SS :6C8B
SI :46AE DI :94B4 SP :4541 BP :491C
Try restart file-server,if it will not give effect,
switch off your network and call trained service-people.
Press any key to restart this computer.
Также содержит тексты:
NetWare virus from Avenge (tm) family .
(C)Rager , Simferopol State University
Nki.3477
Опасный резидентный вирус. При создании файлов с расширениями AS? или
DB?, вирус может удалить их или создать вместо файла директорий с таким
же именем. При нахождении в левом верхнем углу экрана буквосочетания
"AX", вирус подставляет вместо вызванной функции INT 21h функцию
удаления файла (f.40h Int 21h). Иногда выводит текст "No Viruses" и
рисует на экране диагональные черно-белые полосы.Содержит зашифрованный
текст "Николаевский Кораблестроительный институт. Oct(123,123,126) by
one of student".
Nocopy.3695
Неопасный резидентный шифрованный вирус. Заражает EXE-файлы при их
старте или при обращении к ним. Создает файл C:\NOCOPY.COM, содержащий
вирусный код и вставляет строку C:\NOCOPY в начало файла AUTOEXEC.BAT.
Корректирует MBR жесткого диска таким образом, чтобы после загрузки
системы вирус смог бы узнать адрес INT 13h в ПЗУ.
NoDBF.1000
Опасный резидентный вирус. Блокирует обращение к файлам *.DBF.
NoFrills.835, 843, 1422
Неопасные резидентные вирусы. Содержат строки:
NoFrills.835 - "+-NF3.0-H.McB-[PuKE]-+";
NoFrills.843 - "+-No Frills 2.0 by Harry McBungus-+".
NoFrills.1422 -
*X-Fungus by Harry McBungus*
*Nugga!*
*Greets SCP*
*Greets RABID*
* Patricia: Grow some programming knowledge *
*Grease me!*
*K-Mart in full effect*
*Max is braindead*
NoFrills.1422 также выводит на экран текст:
John Bonham - September 20, 1980
- L E D Z E P P E L I N -
NoFrills.Dudley
Неопасный полиморфный вирус. Содержит строку "<[Oi Dudley!][PuKE]>".
NoGraph.784
Опасный резидентный вирус. Может запретить графический режим монитора.
Возможен вывод случайных символов на экран, зависание или перезагрузка
системы, изменение контрольной суммы CMOS-памяти.
Noki.448
Опасный резидентный вирус. Записывает свой код в 17 сектор жесткого
диска, записывает 39 байт своего кода в область векторов прерываний по
адресу 0:210h, "перехватывает" INT 21h. При старте файлов (f.4Bh Int
21h) вирус считывает 17 сектор, содержащий вирусный код в область
видеопамяти BD00:0000, проверяет является ли запускаемая программа EXE-
файлом и считывает 448 байт из области стека данной программы в память.
Если данные 448 байт состоят из нулевых байт, то вирус записывает свой
код в данное место программного стека, не изменяя длины пораженного
файла. 23 числа нечетного месяца вирус уничтожает MBR жесткого диска.
Вирус содержит строку "NOKI", которая выполняется как инструкции
процессора.
Nomenklatura.1024
Неопасный резидентный вирус. Содержит тексты "Nomenklatura`, "Този
дебел идио_ вме%_о да _ел<не %о_ни_е <%_ни на моми_е_о, впи <%_ни _ам,
к'де_о __-бва_е да %ложи %'в%ем д_<го не'о".
Noon.1163
Неопасный резидентный вирус. В 12.00 имитирует сигналы точного времени
радиопрограммы "Маяк". Содержит зашифрованный текст "byMH&MHsoftware".
NoRemorse.1319
Опасный нерезидентный шифрованный вирус. COM-файлы заражает, внедряя
свой код в начало файлов. EXE-файлы заражает, как вирус-спутник,
присваивает оригинальному EXE-файлу расширение WIT и создает вирусный
файл с именем и расширением исходного файла. В EXE-файлы, имеющие
расширение COM (кроме файла CO*.COM), вирус записывает троянский код,
который выводит сообщение "_%_%_ NO REGRET _%_%_" и "вешает"
систему. 15 апреля или 50-ое поколение вируса уничтожает содержимое
CMOS - памяти, выводит текст "Корабелка - rulez forever !" и
"перезагружает" систему. Уничтожает файлы: *._*,chklist.*,anti-vir.dat,
msav.chk, *.avb, *.log, tbscan.sig, smartchk.cps, *.ms. Содержит текст
"Virus NoRemorse v1.8. Copyright (c) by Wit 1996.".
Notice.974, 987
Неопасные резидентные шифрованные вирусы. В воскресенье выводят тексты:
Notice.974:
10 нoябpя 1982 гoдa пepecтaлo битьcя cepдцe
Гeнepaльнoгo Cekpетapя ЦK KПCC,
Гepoя Coциaлиcтичeckого Tpyдa,
чeтыpeжды Гepoя Coвeтckoгo Coюзa
Лeoнидa Ильичa Бpeжнeвa ...
Notice.987:
BRYANSK INGENERING UNEVERSISTET
FUCK,FUCK,FUCK and FUCK
YOR FUCK MY BRAIN
GOOD BAY MY FREND !!!!!
GOOD LUCK IN WAR (LOW HAKER)
November17.768
Очень опасный резидентный вирус. В ноябре после 17 числа уничтожает
содержимое 8 первых секторов текущего диска.
Npuxogum.1176, 2025, 2036
Неопасные резидентные вирусы. 1 апреля производят вывод на экран
некоторой графической шутки.
NRLG.based
Данные вирусы сконструированы с помощью вирусного конструктора NRLG
(NuKE RANDOMIC LIFE GENERATOR), позволяющего создавать резидентные
полиморфные вирусы, заражающие COM-файлы. А также позволяют задавать
наличие в вирусах всевозможных текстовых строк, видеоэффектов и
деструктивных функций.
Nsd.266
Неопасный нерезидентный вирус. Иногда выводит текст "SYSTEM ERROR: DMA
DENIED." и, как правило, "вешает" систему. Также имеется строка "NSD".
Nsi.1509
Очень опасный резидентный вирус. Уничтожает *.PA? - файлы. Содержит
тексты "I`m sorry", "In & For NSI", "Nikolaev".
Nigeb.890
Опасный резидентный вирус. При записи в файл или на экран (f.40h INT
21h) слова BEGIN вирус изменяет его на NIGEB. На экране же при встрече
слова NIGEB вирус изменяет его на первоначальное BEGIN. Содержит тексты
"igeb", "egin", "AntiPascal-1 (C)Godzilla Corp.".
Nikolas.1101
Неопасный резидентный вирус. Содержит зашифрованный текст "Nikolas" и
"V4.5".
Nilz.1000
Опасный резидентный вирус. 10 марта уничтожает содержимое CMOS-памяти и
выводит на экран текст "HAIGUSTE RAVI KONTROLLITUD VAIKUSE PIMEDUSE JA
RAADIOGA". Содержит текст "NiLZ".
Ninja.1181, 1195
Неопасные резидентные вирусы. Ninja.1195 содержит текст:
В УдГУ никто и ничто не пашет!
It`s a beautiful life!
Can`t stop raving
Ninja.1225, 1336, 1376
Очень опасные зашифрованные резидентные вирусы. Ninja.1225, 1376 13
числа в 13 минут уничтожают по 256 секторов на 13 головках жесткого
диска. Заражают файлы, записывая в их конец, перед основным вирусным
кодом блок до 256 байт и после тела вируса, для EXE-файлов - блок до
256 байт, для COM-файлов - блок до 512 байт. С вероятностью 1/256
уничтожают программные файлы, записывая в них код, который при старте
выводит следующее сообщение:
Ninja.1336: DZINA VIRUS v 4.0 Copyright (C) 1990,91,97 Dzina Corp
Ninja.1376:
Mutant Ninja Version 2.0 Copyright (C) 1990,91 Virus&Worm Software
Ninja.1383
Опасный резидентный вирус. При старте программы с именем DRWEB вирус
освобождает "захваченное" им INT 21h, обезвреживая тем самым свою
резидентную копию в памяти. При старте программы LOGIN, если в этот
момент значение секунд системного времени более 20 секунд, то вирус
выводит на экран текст:
********** Warning ! **********
Novell NetWare report : Hardware A30 error detected.
Registers :
AX :2134 BX :3C23 CX :1841 DX :5421
CS :2451 DS :2023 ES :538A SS :6C8B
SI :46AE DI :94B4 SP :4541 BP :491C
Try restart file-server,if it will not give effect,
switch off your network and call trained service-people.
Press any key to restart this computer.
Также содержит тексты:
NetWare virus from Avenge (tm) family .
(C)Rager , Simferopol State University
Nki.3477
Опасный резидентный вирус. При создании файлов с расширениями AS? или
DB?, вирус может удалить их или создать вместо файла директорий с таким
же именем. При нахождении в левом верхнем углу экрана буквосочетания
"AX", вирус подставляет вместо вызванной функции INT 21h функцию
удаления файла (f.40h Int 21h). Иногда выводит текст "No Viruses" и
рисует на экране диагональные черно-белые полосы.Содержит зашифрованный
текст "Николаевский Кораблестроительный институт. Oct(123,123,126) by
one of student".
Nocopy.3695
Неопасный резидентный шифрованный вирус. Заражает EXE-файлы при их
старте или при обращении к ним. Создает файл C:\NOCOPY.COM, содержащий
вирусный код и вставляет строку C:\NOCOPY в начало файла AUTOEXEC.BAT.
Корректирует MBR жесткого диска таким образом, чтобы после загрузки
системы вирус смог бы узнать адрес INT 13h в ПЗУ.
NoDBF.1000
Опасный резидентный вирус. Блокирует обращение к файлам *.DBF.
NoFrills.835, 843, 1422
Неопасные резидентные вирусы. Содержат строки:
NoFrills.835 - "+-NF3.0-H.McB-[PuKE]-+";
NoFrills.843 - "+-No Frills 2.0 by Harry McBungus-+".
NoFrills.1422 -
*X-Fungus by Harry McBungus*
*Nugga!*
*Greets SCP*
*Greets RABID*
* Patricia: Grow some programming knowledge *
*Grease me!*
*K-Mart in full effect*
*Max is braindead*
NoFrills.1422 также выводит на экран текст:
John Bonham - September 20, 1980
- L E D Z E P P E L I N -
NoFrills.Dudley
Неопасный полиморфный вирус. Содержит строку "<[Oi Dudley!][PuKE]>".
NoGraph.784
Опасный резидентный вирус. Может запретить графический режим монитора.
Возможен вывод случайных символов на экран, зависание или перезагрузка
системы, изменение контрольной суммы CMOS-памяти.
Noki.448
Опасный резидентный вирус. Записывает свой код в 17 сектор жесткого
диска, записывает 39 байт своего кода в область векторов прерываний по
адресу 0:210h, "перехватывает" INT 21h. При старте файлов (f.4Bh Int
21h) вирус считывает 17 сектор, содержащий вирусный код в область
видеопамяти BD00:0000, проверяет является ли запускаемая программа EXE-
файлом и считывает 448 байт из области стека данной программы в память.
Если данные 448 байт состоят из нулевых байт, то вирус записывает свой
код в данное место программного стека, не изменяя длины пораженного
файла. 23 числа нечетного месяца вирус уничтожает MBR жесткого диска.
Вирус содержит строку "NOKI", которая выполняется как инструкции
процессора.
Nomenklatura.1024
Неопасный резидентный вирус. Содержит тексты "Nomenklatura`, "Този
дебел идио_ вме%_о да _ел<не %о_ни_е <%_ни на моми_е_о, впи <%_ни _ам,
к'де_о __-бва_е да %ложи %'в%ем д_<го не'о".
Noon.1163
Неопасный резидентный вирус. В 12.00 имитирует сигналы точного времени
радиопрограммы "Маяк". Содержит зашифрованный текст "byMH&MHsoftware".
NoRemorse.1319
Опасный нерезидентный шифрованный вирус. COM-файлы заражает, внедряя
свой код в начало файлов. EXE-файлы заражает, как вирус-спутник,
присваивает оригинальному EXE-файлу расширение WIT и создает вирусный
файл с именем и расширением исходного файла. В EXE-файлы, имеющие
расширение COM (кроме файла CO*.COM), вирус записывает троянский код,
который выводит сообщение "_%_%_ NO REGRET _%_%_" и "вешает"
систему. 15 апреля или 50-ое поколение вируса уничтожает содержимое
CMOS - памяти, выводит текст "Корабелка - rulez forever !" и
"перезагружает" систему. Уничтожает файлы: *._*,chklist.*,anti-vir.dat,
msav.chk, *.avb, *.log, tbscan.sig, smartchk.cps, *.ms. Содержит текст
"Virus NoRemorse v1.8. Copyright (c) by Wit 1996.".
Notice.974, 987
Неопасные резидентные шифрованные вирусы. В воскресенье выводят тексты:
Notice.974:
10 нoябpя 1982 гoдa пepecтaлo битьcя cepдцe
Гeнepaльнoгo Cekpетapя ЦK KПCC,
Гepoя Coциaлиcтичeckого Tpyдa,
чeтыpeжды Гepoя Coвeтckoгo Coюзa
Лeoнидa Ильичa Бpeжнeвa ...
Notice.987:
BRYANSK INGENERING UNEVERSISTET
FUCK,FUCK,FUCK and FUCK
YOR FUCK MY BRAIN
GOOD BAY MY FREND !!!!!
GOOD LUCK IN WAR (LOW HAKER)
November17.768
Очень опасный резидентный вирус. В ноябре после 17 числа уничтожает
содержимое 8 первых секторов текущего диска.
Npuxogum.1176, 2025, 2036
Неопасные резидентные вирусы. 1 апреля производят вывод на экран
некоторой графической шутки.
NRLG.based
Данные вирусы сконструированы с помощью вирусного конструктора NRLG
(NuKE RANDOMIC LIFE GENERATOR), позволяющего создавать резидентные
полиморфные вирусы, заражающие COM-файлы. А также позволяют задавать
наличие в вирусах всевозможных текстовых строк, видеоэффектов и
деструктивных функций.
Nsd.266
Неопасный нерезидентный вирус. Иногда выводит текст "SYSTEM ERROR: DMA
DENIED." и, как правило, "вешает" систему. Также имеется строка "NSD".
Nsi.1509
Очень опасный резидентный вирус. Уничтожает *.PA? - файлы. Содержит
тексты "I`m sorry", "In & For NSI", "Nikolaev".
John Zaicev
Aug 8, 2013, 2:52:55 AM8/8/13
to
[√] Приветствую тебя, _All_ !
NYB
В 1 час ночи и в 9 утра "вешает" систему при чтении диска.
Obid.555
Неопасный нерезидентный вирус. Выводит тексты "V mene obid,poguljay" и
"Prijdesh zavtra ja vidpochivaju".
Ocsana.692
Неопасный резидентный вирус. 13 августа выводит текст "Happy birthday,
Ocsana!"
OhLaLa.1895
Неопасный нерезидентный вирус. Удаляет файлы *.MS, *VIR.DAT. До 13
числа месяца проигрывает мелодию и выводит на экран текст:
Ohhhh La La!
Mommmmy, they`re teasing me again
Shut up you little sonsuvbitches
OkYes.1257
Очень опасный нерезидентный вирус. Может уничтожить информацию всех
дорожках первой головки жесткого диска. Очень низка вероятность вывода
на экран символов "!" вместе со звуковым сигналом. Свое название
получил за вызов INT 11h со словом "Ok? " в регистрах AX, BX и
ожиданием ответного слова в тех же регистрах "Yes." (?).
OldYankee.1961
После заражения EX-файла исполняет мелодию "Yankee Doodle".Имеет строку
"motherfucker".
OldYankee.Bandit
Опасный нерезидентный вирус. В понедельник пытается отформатировать
нулевую дорожку дискеты в третьем флоппи-дисководе. Содержит текст
"!!PCBANDIT!!".
Olenka.6144
Неопасный резидентный вирус. Устанавливает свою резидентную копию в
верхних адресах памяти, "отрезая" при этом от памяти DOS 12K (адрес
0:413h). При попытке какой-либо программы остаться в памяти резидентно,
вирус освобождает ранее занятую область памяти и копирует свой код
в память, расположенную непосредственно за кодом программы, пытающейся
остаться резидентно. Для выполнения данной операции вирус увеличивает
величину запрашиваемого участка памяти на размер собственного кода. 26
апреля вирус выводит на экран текст "Demo !". Свое название получил за
засылку в некоторые регистры фразы "Оленька!".
Olga.4448
Опасный резидентный вирус. В октябре уничтожает содержимое первых
секторов текущего физического диска и в это время выводит текст:
You must undertake nothing ,if you need the datas stored on your default disk.
Не советую что либо предпринимать если вы дорожите данными записанными на теку-
щем диске.
I M A R C E N C Y
T H E V I R U S O L G A W O R K I N G .
( W R I T E N B Y S C O R P I O N )
В Н И М А Н И Е
Р А Б О T А Е Т В И Р У С О Л Ь Г А .
( С О С Т А В И Т Е Л Ь - S C O R P I O N )
Раз на вокзале я девушку встретил Не знаю, что в ней мне приглянулось,
Она очень сильно понравилась мне, Но эти глаза меня завлекли.
А позже в вагоне ее я приметил, Во мне словно что-то проснулось ...
Сидела та дальше, на другой стороне. О, как быстро часы те прошли !
Потом оказалось, что едим мы вместе, В общении я был для нее как наставник,
О, как чудно то было узнать ! За старшего могла меня она звать.
И вот - очутившись на месте, И выглядел я точно забавник,
Я старался ее во всем поддержать. Который мог все и вся попирать.
Как сильно все время старался Но тут его величество случай
Ее хоть не много, но выше поднять. Ее вдруг к вершинам вознес.
Как сильно тогда я сам принижался, И я ей сказал, что над горною кручей,
И все для того ,что бы равными стать. Любовь в своем сердце я нес.
О! Как сильно тогда я боялся, И тогда, униженья так сильно боясь,
Что стараясь принизить себя, Я солгал, я солгал, но всего один раз.
Я не только с ней поровнялся, И соврал лишь к признанью стремясь,
Но и ниже вдруг стану мгновенье спустя. Но не был услышан негромкий мой глас.
О, боже насколько она изменилась, Я знал, что придет час прощанья,
Как сильно себя она подняла! Ведь насквозь ее видеть я мог.
И за нос меня поводить вдруг решилась, И вот услыхал от нее - до свиданья,
Про это не скажешь то слово - "Любя". И другом остаться к тому же зарок.
Мне больно! И она это знала. Не смейся ты, дураком меня называя.
Она знала, что я ее полюбил. О нет! Не буду один я страдать!
И хоть отказ этот тихий мне дала, И в помощь искуство свое призывая,
Я душу свою уже отравил. Хочу хоть частицу тебе передать.
Я вкладываю всю черную часть души своей,
В то мастерство простое,
Которое представит участи моей,
Народу множество большое.
И что бы участь эта слаще была,
Я нарекаю демона именем ее.
И знак который та носила,
Означит действие сие.
И так, его назвал я Ольга, Спасибо друг, что отхлебнул из чаши.
И здесь он уничтожил все. То не проблема, не скисай!
От бывшего остался стих сей только. Мы совместили боли наши ...
О, не старайся, не поймать тебе ее. Но мне кажись пора. Прощай!
Omega.440
Опасный нерезидентный вирус. В пятницу 13 числа уничтожает содержимое
первых секторов первого жесткого диска.
OneHalf.3544 (1-7), 3570, 3577, 3666
Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют
алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо
того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт)
инфицированный файл, производят шифрование основного тела вируса,
расположенного в конце файла. При первом запуске инфицированного файла,
заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела
"прячут" в последних секторах 0 цилиндра жесткого диска. При
перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K,
считывают в "отрезанную" верхнюю область памяти свое продолжение - 7
секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT
1Ch установку DOS`овского INT 21h, и перехватывают его. При каждой
перезагрузке системы с жесткого диска последовательно, начиная с
последних цилиндров, шифруют все сектора двух цилиндров на каждой
головке диска. Когда вирусы находятся в памяти, они контролируют чтение
секторов данных цилиндров и расшифровывают их. Если же вирусы будут
удалены из MBR и памяти, то восстановление зашифрованных секторов
окажется невозможным. При зашифровывании половины диска вирусы выводят
на экран фразу:
Dis is one half.
Press any key to continue ...
OneHalf.3544 (3) выводит текст:
Dis is TWO HALF.
Fucks any key to Goping...
OneHalf.3544 (4):
HET - фu3uke u ucTopuu B pacnucaHuu uy7 !
OneHalf.3544 (5):
Disk is Tpu half.
(Bepx, Hu3 u Pe6po)
OneHalf.3544 (6):
Dis is 3 HALF !.
Fucks any key to LoHing...
OneHalf.3544 (7):
A cup of Beer ?.
See you later...
После этого ожидают нажатия на любую клавишу. После чего продолжают
свою дальнейшую инсталляцию в память. При попытке трассировки
резидентной части вируса, предпринимают некоторые простые, но
действенные меры "завешивания" системы. Содержат текстовые строки "Did
you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет
текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU,
GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5)
не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright(c)
by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep
Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст
"WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf`s author!".
OneHalf.3544 (7): "Doyou want to Drink ?".
Oops.600
Опасный резидентный вирус. Заражает файлы только начиная с июня.
После установки своей TSR-копии или при старте программ, оканчивающихся
на ST, NF, -V, вирус выводит сообщение "Bad command or file name". В
воскресенье переименовывает C:\COMMAND.COM в C:\COMMAND.BAD и выводит
текст:
Oops! Sorry for BAD virus!
Ornate
Очень опасный загрузочный вирус. Может уничтожить информацию на жестком
диске.
NYB
В 1 час ночи и в 9 утра "вешает" систему при чтении диска.
Obid.555
Неопасный нерезидентный вирус. Выводит тексты "V mene obid,poguljay" и
"Prijdesh zavtra ja vidpochivaju".
Ocsana.692
Неопасный резидентный вирус. 13 августа выводит текст "Happy birthday,
Ocsana!"
OhLaLa.1895
Неопасный нерезидентный вирус. Удаляет файлы *.MS, *VIR.DAT. До 13
числа месяца проигрывает мелодию и выводит на экран текст:
Ohhhh La La!
Mommmmy, they`re teasing me again
Shut up you little sonsuvbitches
OkYes.1257
Очень опасный нерезидентный вирус. Может уничтожить информацию всех
дорожках первой головки жесткого диска. Очень низка вероятность вывода
на экран символов "!" вместе со звуковым сигналом. Свое название
получил за вызов INT 11h со словом "Ok? " в регистрах AX, BX и
ожиданием ответного слова в тех же регистрах "Yes." (?).
OldYankee.1961
После заражения EX-файла исполняет мелодию "Yankee Doodle".Имеет строку
"motherfucker".
OldYankee.Bandit
Опасный нерезидентный вирус. В понедельник пытается отформатировать
нулевую дорожку дискеты в третьем флоппи-дисководе. Содержит текст
"!!PCBANDIT!!".
Olenka.6144
Неопасный резидентный вирус. Устанавливает свою резидентную копию в
верхних адресах памяти, "отрезая" при этом от памяти DOS 12K (адрес
0:413h). При попытке какой-либо программы остаться в памяти резидентно,
вирус освобождает ранее занятую область памяти и копирует свой код
в память, расположенную непосредственно за кодом программы, пытающейся
остаться резидентно. Для выполнения данной операции вирус увеличивает
величину запрашиваемого участка памяти на размер собственного кода. 26
апреля вирус выводит на экран текст "Demo !". Свое название получил за
засылку в некоторые регистры фразы "Оленька!".
Olga.4448
Опасный резидентный вирус. В октябре уничтожает содержимое первых
секторов текущего физического диска и в это время выводит текст:
You must undertake nothing ,if you need the datas stored on your default disk.
Не советую что либо предпринимать если вы дорожите данными записанными на теку-
щем диске.
I M A R C E N C Y
T H E V I R U S O L G A W O R K I N G .
( W R I T E N B Y S C O R P I O N )
В Н И М А Н И Е
Р А Б О T А Е Т В И Р У С О Л Ь Г А .
( С О С Т А В И Т Е Л Ь - S C O R P I O N )
Раз на вокзале я девушку встретил Не знаю, что в ней мне приглянулось,
Она очень сильно понравилась мне, Но эти глаза меня завлекли.
А позже в вагоне ее я приметил, Во мне словно что-то проснулось ...
Сидела та дальше, на другой стороне. О, как быстро часы те прошли !
Потом оказалось, что едим мы вместе, В общении я был для нее как наставник,
О, как чудно то было узнать ! За старшего могла меня она звать.
И вот - очутившись на месте, И выглядел я точно забавник,
Я старался ее во всем поддержать. Который мог все и вся попирать.
Как сильно все время старался Но тут его величество случай
Ее хоть не много, но выше поднять. Ее вдруг к вершинам вознес.
Как сильно тогда я сам принижался, И я ей сказал, что над горною кручей,
И все для того ,что бы равными стать. Любовь в своем сердце я нес.
О! Как сильно тогда я боялся, И тогда, униженья так сильно боясь,
Что стараясь принизить себя, Я солгал, я солгал, но всего один раз.
Я не только с ней поровнялся, И соврал лишь к признанью стремясь,
Но и ниже вдруг стану мгновенье спустя. Но не был услышан негромкий мой глас.
О, боже насколько она изменилась, Я знал, что придет час прощанья,
Как сильно себя она подняла! Ведь насквозь ее видеть я мог.
И за нос меня поводить вдруг решилась, И вот услыхал от нее - до свиданья,
Про это не скажешь то слово - "Любя". И другом остаться к тому же зарок.
Мне больно! И она это знала. Не смейся ты, дураком меня называя.
Она знала, что я ее полюбил. О нет! Не буду один я страдать!
И хоть отказ этот тихий мне дала, И в помощь искуство свое призывая,
Я душу свою уже отравил. Хочу хоть частицу тебе передать.
Я вкладываю всю черную часть души своей,
В то мастерство простое,
Которое представит участи моей,
Народу множество большое.
И что бы участь эта слаще была,
Я нарекаю демона именем ее.
И знак который та носила,
Означит действие сие.
И так, его назвал я Ольга, Спасибо друг, что отхлебнул из чаши.
И здесь он уничтожил все. То не проблема, не скисай!
От бывшего остался стих сей только. Мы совместили боли наши ...
О, не старайся, не поймать тебе ее. Но мне кажись пора. Прощай!
Omega.440
Опасный нерезидентный вирус. В пятницу 13 числа уничтожает содержимое
первых секторов первого жесткого диска.
OneHalf.3544 (1-7), 3570, 3577, 3666
Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют
алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо
того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт)
инфицированный файл, производят шифрование основного тела вируса,
расположенного в конце файла. При первом запуске инфицированного файла,
заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела
"прячут" в последних секторах 0 цилиндра жесткого диска. При
перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K,
считывают в "отрезанную" верхнюю область памяти свое продолжение - 7
секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT
1Ch установку DOS`овского INT 21h, и перехватывают его. При каждой
перезагрузке системы с жесткого диска последовательно, начиная с
последних цилиндров, шифруют все сектора двух цилиндров на каждой
головке диска. Когда вирусы находятся в памяти, они контролируют чтение
секторов данных цилиндров и расшифровывают их. Если же вирусы будут
удалены из MBR и памяти, то восстановление зашифрованных секторов
окажется невозможным. При зашифровывании половины диска вирусы выводят
на экран фразу:
Dis is one half.
Press any key to continue ...
OneHalf.3544 (3) выводит текст:
Dis is TWO HALF.
Fucks any key to Goping...
OneHalf.3544 (4):
HET - фu3uke u ucTopuu B pacnucaHuu uy7 !
OneHalf.3544 (5):
Disk is Tpu half.
(Bepx, Hu3 u Pe6po)
OneHalf.3544 (6):
Dis is 3 HALF !.
Fucks any key to LoHing...
OneHalf.3544 (7):
A cup of Beer ?.
See you later...
После этого ожидают нажатия на любую клавишу. После чего продолжают
свою дальнейшую инсталляцию в память. При попытке трассировки
резидентной части вируса, предпринимают некоторые простые, но
действенные меры "завешивания" системы. Содержат текстовые строки "Did
you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет
текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU,
GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5)
не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright(c)
by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep
Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст
"WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf`s author!".
OneHalf.3544 (7): "Doyou want to Drink ?".
Oops.600
Опасный резидентный вирус. Заражает файлы только начиная с июня.
После установки своей TSR-копии или при старте программ, оканчивающихся
на ST, NF, -V, вирус выводит сообщение "Bad command or file name". В
воскресенье переименовывает C:\COMMAND.COM в C:\COMMAND.BAD и выводит
текст:
Oops! Sorry for BAD virus!
Ornate
Очень опасный загрузочный вирус. Может уничтожить информацию на жестком
диске.
John Zaicev
Aug 8, 2013, 1:21:15 PM8/8/13
to
[√] Приветствую тебя, _All_ !
OS2.Arelocs
Неопасный нерезидентный вирус, заражающий *.EXE и *.DLL - файлы в
формате NewExe (NE), принадлежащие OS/2. Данный вирус находит в
заголовке NE точку входа на кодовый сегмент, "сдвигает" все остальные
сегменты в конец файла, увеличивает размер стартового кодового сегмента
на размер вируса, записывает себя в освободившееся место и корректирует
заголовок NE. Это первый известный вирус для OS/2, "корректно и
правильно" заражающий NewExe (NE) файлы. Вирус содержит текст "(C) 1995
American Eagle Publications Inc., All rights reserved.".
OS2.First
Опасный нерезидентный, перезаписывающий (overwritting) программный код,
вирус. Заражает *.EXE - файлы в формате NewExe (LX) (файлы для OS/2).
Вирус выводит на экран сообщения:
<Error opening file>
My name is
--> infected
OS2.Jiskefet
Неопасный нерезидентный вирус. Заражает *.EXE- файлы для OS/2. Вирус
читает 2048 байт заголовка файла-жертвы, записывает их в конец файла, а
в начало файла записывает 2048 байт своего вирусного кода. Вирус имеет
тексты "Jiskefet", "MK".
Otti.937
Опасный резидентный шифрованный вирус. 14 и 18 числа месяца уничтожает
MBR первого жесткого диска. Имеет строку "OTTI FOREVER".
Ox.475
Неопасный резидентный полиморфный вирус. Использует один из 4 вариантов
расшифровщиков своего кода.
Oxana.747, 819
Неопасный резидентные вирусы. Не заражают программы, содержащие строки
Oxana.747: "Web" или "ADi", Oxana.819: "viru" или "виру". Содержат
тексты "Оксана v.4.8" или "Оксана v.4.D".
Oxana.1419, 1555, 1653, 1654, 1702
Неопасные резидентные вирусы. Иногда выводят текст:
___________________________________________________________-
< Я вирус! <
< Угадай мое имя,или я причиню страшные разрушения... <
< <
< <
< _- _- _- _- _- _- <
< <*< <*< <*< <*< <*< <*< <
< __+ __+ __+ __+ __+ __+ <
____________________________________________________________+
Если ввести имя "ОКСАНА", то вирус выводит следующее сообщение:
___________________________________________________________-
< Я вирус! <
< Угадай мое имя,или я причиню страшные разрушения... <
< <
< <
< _- _- _- _- _- _- <
< <О< <К< <С< <А< <Н< <А< <
< __+ __+ __+ __+ __+ __+ <
_Правильно! Найдите Борисову Оксану для получения антивируса+
Palma
Неопасный загрузочный стелс-вирус. При заражении MBR жесткого диска
использует прямое программирование контроллера жесткого диска. Содержит
текст "Palma5.".
OS2.Arelocs
Неопасный нерезидентный вирус, заражающий *.EXE и *.DLL - файлы в
формате NewExe (NE), принадлежащие OS/2. Данный вирус находит в
заголовке NE точку входа на кодовый сегмент, "сдвигает" все остальные
сегменты в конец файла, увеличивает размер стартового кодового сегмента
на размер вируса, записывает себя в освободившееся место и корректирует
заголовок NE. Это первый известный вирус для OS/2, "корректно и
правильно" заражающий NewExe (NE) файлы. Вирус содержит текст "(C) 1995
American Eagle Publications Inc., All rights reserved.".
OS2.First
Опасный нерезидентный, перезаписывающий (overwritting) программный код,
вирус. Заражает *.EXE - файлы в формате NewExe (LX) (файлы для OS/2).
Вирус выводит на экран сообщения:
<Error opening file>
My name is
--> infected
OS2.Jiskefet
Неопасный нерезидентный вирус. Заражает *.EXE- файлы для OS/2. Вирус
читает 2048 байт заголовка файла-жертвы, записывает их в конец файла, а
в начало файла записывает 2048 байт своего вирусного кода. Вирус имеет
тексты "Jiskefet", "MK".
Otti.937
Опасный резидентный шифрованный вирус. 14 и 18 числа месяца уничтожает
MBR первого жесткого диска. Имеет строку "OTTI FOREVER".
Ox.475
Неопасный резидентный полиморфный вирус. Использует один из 4 вариантов
расшифровщиков своего кода.
Oxana.747, 819
Неопасный резидентные вирусы. Не заражают программы, содержащие строки
Oxana.747: "Web" или "ADi", Oxana.819: "viru" или "виру". Содержат
тексты "Оксана v.4.8" или "Оксана v.4.D".
Oxana.1419, 1555, 1653, 1654, 1702
Неопасные резидентные вирусы. Иногда выводят текст:
___________________________________________________________-
< Я вирус! <
< Угадай мое имя,или я причиню страшные разрушения... <
< <
< <
< _- _- _- _- _- _- <
< <*< <*< <*< <*< <*< <*< <
< __+ __+ __+ __+ __+ __+ <
____________________________________________________________+
Если ввести имя "ОКСАНА", то вирус выводит следующее сообщение:
___________________________________________________________-
< Я вирус! <
< Угадай мое имя,или я причиню страшные разрушения... <
< <
< <
< _- _- _- _- _- _- <
< <О< <К< <С< <А< <Н< <А< <
< __+ __+ __+ __+ __+ __+ <
_Правильно! Найдите Борисову Оксану для получения антивируса+
Palma
Неопасный загрузочный стелс-вирус. При заражении MBR жесткого диска
использует прямое программирование контроллера жесткого диска. Содержит
текст "Palma5.".
John Zaicev
Aug 8, 2013, 5:56:13 PM8/8/13
to
[�] ����������� ����, _All_ !
Pamyat.2000 (1-5)
��������� ������������� ����������� ������. ��� ����������� � ���������
��������� (ENVIRONMENT) ������ "OBSHCHESTVO="������"" ������ �������
�����:
�������� ! ! ! ��� ��������� �������� ���� ������� !
�� ��������� ������������� ������� ��������.
1 ������� ������� �����:
� ����� ���� !
���������� �� � ���� �������� !
���:
��� ����� �������� ����.
���������� �� � ���� �������� !
����, � ����� ���� !!!
���:
��� ���������� ����� �������� ����.
���������� �� � ���� �������� !
����, � ����� ����� ���� !!!
� �������� Pamyat.2000 (3) ������� �����:
��� ��������� �������� �������.
��������� AIDSTEST !
Pamyat.2000 (5) �� ������ � ������ ������� �����:
���������, ����: ����� � ���� ����� ���� ��������.
����� 1 �������� � ����������� ����� ����� ���� ������� �����:
��� ���� ����, ������ ����, � ���������� - �� ���� !
�������� � ����� ���� ������ "�����������, 6 - 8 - 1996. Version 3b"
��� "�����������, 17-10-1996. Version 3d", ��� "�����������,
8-11-1996. ������ 3e.".
Pamyat.3000 (1,2)
����� ������� ������������� ����������� ������. ��� ����������� �
��������� ��������� (ENVIRONMENT) ������ "OBSHCHESTVO="������"" ������
������� �����:
�������� ! ! ! ��� ��������� �������� ���� ������� !
�� ��������� ������������� ������� ��������.
"��������" ����� �������� NewExe (NE) � PortableExe (PE) �� 1024 ���� �
� DOS-��������� ���� ������ ������ ���������� ���, ��������� �� �����
����� "This program must be run under OS/2.". � ���� DRWEB.EXE ������
���������� ���, ����������� ������ ���������. 1 ������� ������� �����:
��������� ������� ���� ����������� ������ ����� �������� ����.
����, ���������� ���� � ���� �������� !
����, � ����� ����� ���� !!!
3 ������ - ��������� �����:
�� ���������� � ����� ����������� ����� ������,
��� ��� ����� ������ �������, ���������� �����,
������ ������ ��������, � �������� �������� �� ������ -
������ � ��� �������� ����� ������� ��.
������ ������� ��� ���� ��������� � �������� �������� -
�����, ������� �� ��� � ���� �� ���� ������.
������ ������� �� - ���� ����� ����������� �����:
����� ������� - � ��� �� �� �������� �� ���.
����� �� ������� ���� ������ ������ � ����
�� �������� ������ ��� ��������� ������!
������ �� �����, ������ �� ������ ����� ������� -
� ���������� � ��� ��� ������ ��� ���� ����.
������� ��������
"De reditu suo"
�������� ����� "�����������, 31-03-1997. ������ 3f.".
Panda.1062, 1070
��������� ������������� ����������� ������. � ����������� ��������
�������� �������������� �����. Panda.1070 �������� ����� "Hi!PD".
Pande.1516, 1520, 1532
��������� ����������� �����-������. �� ����������� ������������� ����
����������� ����� � ������� UMB. ��� ������� �������� �� ������ (�� 2
����� �� ���) F-TBARRALHPKCH ��������� ���� �����-���������. ��������
������ "pandemonium by retch", "17/04/96".
Pantera.400
��������� ����������� �����. � ������ ������� ������ "Pantera".
Parity (1-3)
��������� Boot-������. ������ ������� �� ����� ��������� "PARITY CHECK"
� "������" �������. ���������� "������" ������������ (Ctrl-Alt-Del).
Paul.1536
�������� ������ "1992".
Paula
��������� ����������� �����. �������� ����� "DIGITAL`93".
Paulus.1804
������� ����������� �����. ����� �������� �� ������ �������� �������
����� �� ���������, � ����� ��� ������� �� Ctrl-Alt-Del ����� �������
����� "Paulus de DOSkabouter lives here..." � "��������" �������. �����
����� "(C) MeThOxY 1996".
Pcbb.J4j.833
��������� ����������� �����. �������� ������ "Jump 4 Joy, alpha-
release. Not to be distributed!", "A J4J".
PeaceKeeper.3820
������� ����������� ����������� �����. �������� COM � EXE-�����. � COM-
����� ����� ���������� �� ������ ������ CommanderBomber. ������ �����
����� ���������� boot-������ ����� A:, ������� � ������� ����������
���, ������� ������� �� ����� �����:
Peace-Keeper Virus V2.10
Written by Doctor Revenge 18-May-1994 , Italy
� "������" �������. ����� ����� �������� ������ "[MCG v0.31�]" �
"SCCLVIVSMSCPF-IMVHTB". ����� �� �������� �����, ���������� ������ 2
�����, ��������� � ��������� ������.
Peach.887
����������� �����. ���������� ����� CHKLIST.CPS. ������ ����������
��������� ������ "Roy CuatroNo 2 Peach GardenMeyer Rd. Spore 1543" ��
������ 0040:00FC.
Peel.334
������� ������������� �����. ��� ������������ ����������� ����������
���������� 720 �������� ����� C:. ������������ ������������� �������
����������� (��������������) ������� ��� ������� ����������� ����� �
������� �������� (partition table), � MBR.
Penetrator.491
��������� ����������� �����. ��� �������� ���������, ��� �������
(f.4B03h ��� 4B01h INT 21h) ������� �����:
PENETRATOR V3.02 (COM)
EA Cybernetic Empire
(C) BY GOSHA.INC. 1994
Your PC now Infected !
Pest.2743
������� ����������� ����������� �����. 13 ����� ����� ���������� 256
�������� ������� �������� �����. �������� ��������� ������
"Pest (c) 12/10/93 by (and best wishes from) PRIEST Int., Gbw/Germany",
"ASCECLHVSPF-ACPRVINWI".
Peter
������� ����������� ����� �����. ��������� ���� ����� �� ������
9F00:0000. 27-�� ������� ����� ������� �����:
Good morning,EVERYbody,I am PETER II
Do not turn off the power, or you will lost all of the data in Hardisk!!!
WAIT for 1 MINUTES,please...
����� ���� ������� ������� �������� �����. ����� ����� ������
����������� ������������ ������� � ���������� �������� �� ���:
Ok.If you give the right answer to the following questions,I will save
your HD:
A. Who has sung the song called "I`ll be there" ?
1.Mariah Carey 2.The Escape Club 3.The Jackson five 4.All (1-4):
B. What is Phil Collins ?
1.A singer 2.A drummer 3.A producer 4.Above all (1-4):
C. Who has the MOST TOP 10 singles in 1980`s ?
1.Michael Jackson 2.Phil Collins (featuring Genesis)
3.Madonna 4.Whitney Houston (1-4):
���� �������� �� ��� ������� ��������� �� ����� �������������� �������
� ����������� ������������:
CONGRATULATIONS !!! YOU successfully pass the quiz!
AND NOW RECOVERING YOUR HARDISK ......
����� ���������� �� ����� �� �����������������, � ��������� �����:
Sorry!Go to Hell.Clousy man!
Phalcon.894
������� ������������� �����. � ����� ����������� ��������� �����. ��
������������� ��������� � ������ "�� �������" (INT 08) ����������� ���,
������� ��������� �������� INT 1Ah (��������� ���������� �������).
Phalcon.BobRoss.1110, 1117 (1,2), 1133
��������� ������������� ������. 9 ���� ��������� � ������ �����������
���, ������� �������� ����� 4.5 ���� ������� � ������� ����� ����
������ ���������� ������:
Bob Ross lives!
Bob Ross is watching!
Maybe he lives here...
What a happy little cloud!
Maybe he has a neighbour right here...
You can make up stories as you go along.
��� Phalcon.BobRoss.1117 (2):
DR.LOH ! lives!
Don`t the PANIC !!!!!
WEB is LOH & Penis...
Please WAIT! HDD format WAIT!!!
MikeMutationEngine (c)MikeHacker
(DR.LOH is best of the best VIRUS !!!!!!
� ���� ������� ����� ������� ����� "PHALCON".
Phalcon.Dcool
��������� ������������� �����. ��������� � ������ ����������� ���,
������� ������� ��������� �����:
SHALOMKnock... Guess who`s There...
Fuck Asi Azulay and Lior Cohen ...
It`s Dr. Unknown... :-)
Fuck Guy Assado for Distributing my Sources...
Use XOPEN, MAN!!! FUCK Stick-Buster!!!
ViSiON-X is Some C00L Program !!!
Call to Support board: +972-X-XXXXXX !!!
TNTVIRUS is SHIT!!! Cpav is SHIT!!! Use McAfee!
But... McAfee is SHIT too...
Borland is the BEST...
Too bad, you didn`t make Backup for your HD... :)
I Wonder, What INT 13h Does with AH=05...
Just kiddin`... Ya know?
GUY ASSADO IS MONGOL!!!
COOLNESS is FOREVER!!!
����� �������� ������ "D-C00L-1 ViRUS".
Phalcon.Maria
������� ������������� �����. 2 ����� ������ ���������� ���������
������� �����. ��������� � ������ ����������� ���, ������� �������
�����:
Maria K lives..
Somewhere in my heart..
Somewhere in Sweden..
I might be insane..
But the society to blame..
The Unforgiven / Immortal Riot
Phalcon.Psychosis
��������� ������������� �����. 6 ���� ��������� � ������ �����������
���, ������� ����� 5 ����� ������� �����:
Another year passed by
Another tear the willows cry
to change the world we ever try
to make a difference before we die
[PSYCHOSIS] Greets, Phalcon/Skism.
(c) 93/94 The Unforgiven / Immortal Riot
�������� ����� ��������� ������:
\\ Merry Xmas and a happy new year // Sweden - Snowing Again
Phantom1.7000 (1-4), 7100, 7160
�����������. ���� ����� 20 ����� �� ���� ������� �� ������� �������
��������� ��������:
__%%________________%_
%%%_
_%_%_
__%%%
%_%%%%%
__%%%%%%_
__%%%%_%%%
%__%__%%%%%%%%_
%_______%__%%______%_____%%%%%%%%_
__ _%_____%%_ ___% _____%%%
_% %%%%%_ %% ___%%%
___ __%%___ _____%%%%
__%%%____ __%%__ _%______%_
___%_____ ___%%______%%%%___%%
_%%_%%__ __%%%_%%%%%%_%%%__ ___
%%_____%%%%%%_ _
%%____%%__
_%%%_%%_%%%_%%%__ _
_ _ _ _ __
_______ _____________ _%_
_____%_%%%%%%__%%%%%%%%%%%%
___%%%_%%%%%%%
%____%%%%%%__
����� �� ���� ������� "PHANTOM 1" ���������� ������� ������
"Congradulations!!! Your computer is now infected with a high
performance PHANTOM virus! Coming soon: next virii based on the
_C00LEST_ mutation engine all over the world: the Advanced
Polymorphic Engine! Enjoy this intro! (C) 1994 by Dark Prince.".
Phardera.5824
H�������� ����������� ����������� �����. 10 ����� ������� ������
������� ����� "Phardera + Dianita". �������� ����� �����:
Phardera
-by Phardera`95-----Batavia--------Indonesia----
RaredrahP Dianita
PHB.4315, 4461
PHB.4315 ����� ������� ������������� �����. ���������� ����� ����
������ � ���������� �� ����������, ��������� � ��� ���� �������� ���,
�� �������� ������������ ����������. PHB.4461 ��������� �������������
�����. ��� ������ ������ ������� �� ����� � ��������� ������ �����:
__________%_%__%%%%___%___%____%%__________%%___________________%_%__%%%%_%__
_%�_____-_R__-%R_�_-%R_�_-_�_____%_R_-%___%___%______________________%_%_%_%%_
__'_____<_____%_%'___%%'__%"___% __"_-_%___%____________________%__%_%______%%
________+%�__T___�__%__�___"__+__"__+_________________%_____________%%_%%_%%_
__'____%_%%%____%%%_______________%___________________________%_______%__%%%
__�%%_%______%%___%%____%________%_%%%_________%_________%__%___%_________%__%
%%%%%___%%_%___%_%___%_____%__%_%%__%_________%___%____%_%____________________
%%%_%%_%_____%%%__%_____%_______%__%%__________%____%____%____________________
________%%%_%%%%___________________%_______________%%______________________%__
_________%%________________%______%_______________%_%_________________________
________%_%______%_____%_______%%__%____%___%___%_______________%___%_________
%_%___%%%_____________%____%%___________________%____________________%________
%__%%_____________%__________%_%__%_%________%%_%__________________%__%______%
__%%____________%_______%___%____________________%%_________%_______%_%_%%____
_%%%__________________________%_%________________%%%%%___%_______%____%_%___%%
%%___________%%_____%%___%%___%______________________________%_____%%%________
%__________%%__%_%_%%%%_%%%%_______%_________%______%___%_______%%%%%_________
________%_%_%____%_%%%%%__________%_________%%_%___%%%%__%%%%_%_%______%_%_%%_
%%%_%%_%__%________%%_%%%%%_%__%__%___%___%_%_______%_%%%__%%_%__%%_%%___%%%__
___________%_%_%%______________%_%%_%%%_%_____%_____________%__%%___%__%___%_
________%__%__%%___%____%_%%%_%%___%________%____�____-%_R__-_R__-_�_-___R_-_
_________%___%_%___%%__%_%___%_%_%_______%___%____'___%<__'__<%'_%<___T-%%"_-_
%%_______%__%_____%___________________%_%%____%_%%_____T-%"__+_"__+%�__+_"__+%
_____%____%_______%%______%%%___%%__%_%%__%___%%__'%%%_%<_%_%________%%___%___
_%______%_%__%___%__%_%__%%_%%%_%_%%%_%%_%_%%%%%%%�_____+__________%_%%_____%_
�� ��������� ������ ������ ������� ��������� "Thank you for viewing
Patty Hoffman`s Boobs!". ���������� ����� ������:
PHB.4315:
Patty Hoffman`s Boobs! Virus version 1.0 Copyright (c) 1993 by Cerebral
Quantas. Made in Canada, Eh! July 4, 1993.
PHB.4461:
[Patty`s Boobs Virus] v2.5 Copyright (c) 1993 by Cerebral Quantas. Made
in Canada, Eh! January 27, 1993.
����� �� ������ �� �����...
[�] ����, _All_ !
������������ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2�5080�244�0 http://my.mail.ru/community/v---i---r---u--s/
... [Freq 7-343-3665612 22:00-07:00][������� ������� (���� ������ �� ������)]
Pamyat.2000 (1-5)
��������� ������������� ����������� ������. ��� ����������� � ���������
��������� (ENVIRONMENT) ������ "OBSHCHESTVO="������"" ������ �������
�����:
�������� ! ! ! ��� ��������� �������� ���� ������� !
�� ��������� ������������� ������� ��������.
1 ������� ������� �����:
� ����� ���� !
���������� �� � ���� �������� !
���:
��� ����� �������� ����.
���������� �� � ���� �������� !
����, � ����� ���� !!!
���:
��� ���������� ����� �������� ����.
���������� �� � ���� �������� !
����, � ����� ����� ���� !!!
� �������� Pamyat.2000 (3) ������� �����:
��� ��������� �������� �������.
��������� AIDSTEST !
Pamyat.2000 (5) �� ������ � ������ ������� �����:
���������, ����: ����� � ���� ����� ���� ��������.
����� 1 �������� � ����������� ����� ����� ���� ������� �����:
��� ���� ����, ������ ����, � ���������� - �� ���� !
�������� � ����� ���� ������ "�����������, 6 - 8 - 1996. Version 3b"
��� "�����������, 17-10-1996. Version 3d", ��� "�����������,
8-11-1996. ������ 3e.".
Pamyat.3000 (1,2)
����� ������� ������������� ����������� ������. ��� ����������� �
��������� ��������� (ENVIRONMENT) ������ "OBSHCHESTVO="������"" ������
������� �����:
�������� ! ! ! ��� ��������� �������� ���� ������� !
�� ��������� ������������� ������� ��������.
"��������" ����� �������� NewExe (NE) � PortableExe (PE) �� 1024 ���� �
� DOS-��������� ���� ������ ������ ���������� ���, ��������� �� �����
����� "This program must be run under OS/2.". � ���� DRWEB.EXE ������
���������� ���, ����������� ������ ���������. 1 ������� ������� �����:
��������� ������� ���� ����������� ������ ����� �������� ����.
����, ���������� ���� � ���� �������� !
����, � ����� ����� ���� !!!
3 ������ - ��������� �����:
�� ���������� � ����� ����������� ����� ������,
��� ��� ����� ������ �������, ���������� �����,
������ ������ ��������, � �������� �������� �� ������ -
������ � ��� �������� ����� ������� ��.
������ ������� ��� ���� ��������� � �������� �������� -
�����, ������� �� ��� � ���� �� ���� ������.
������ ������� �� - ���� ����� ����������� �����:
����� ������� - � ��� �� �� �������� �� ���.
����� �� ������� ���� ������ ������ � ����
�� �������� ������ ��� ��������� ������!
������ �� �����, ������ �� ������ ����� ������� -
� ���������� � ��� ��� ������ ��� ���� ����.
������� ��������
"De reditu suo"
�������� ����� "�����������, 31-03-1997. ������ 3f.".
Panda.1062, 1070
��������� ������������� ����������� ������. � ����������� ��������
�������� �������������� �����. Panda.1070 �������� ����� "Hi!PD".
Pande.1516, 1520, 1532
��������� ����������� �����-������. �� ����������� ������������� ����
����������� ����� � ������� UMB. ��� ������� �������� �� ������ (�� 2
����� �� ���) F-TBARRALHPKCH ��������� ���� �����-���������. ��������
������ "pandemonium by retch", "17/04/96".
Pantera.400
��������� ����������� �����. � ������ ������� ������ "Pantera".
Parity (1-3)
��������� Boot-������. ������ ������� �� ����� ��������� "PARITY CHECK"
� "������" �������. ���������� "������" ������������ (Ctrl-Alt-Del).
Paul.1536
�������� ������ "1992".
Paula
��������� ����������� �����. �������� ����� "DIGITAL`93".
Paulus.1804
������� ����������� �����. ����� �������� �� ������ �������� �������
����� �� ���������, � ����� ��� ������� �� Ctrl-Alt-Del ����� �������
����� "Paulus de DOSkabouter lives here..." � "��������" �������. �����
����� "(C) MeThOxY 1996".
Pcbb.J4j.833
��������� ����������� �����. �������� ������ "Jump 4 Joy, alpha-
release. Not to be distributed!", "A J4J".
PeaceKeeper.3820
������� ����������� ����������� �����. �������� COM � EXE-�����. � COM-
����� ����� ���������� �� ������ ������ CommanderBomber. ������ �����
����� ���������� boot-������ ����� A:, ������� � ������� ����������
���, ������� ������� �� ����� �����:
Peace-Keeper Virus V2.10
Written by Doctor Revenge 18-May-1994 , Italy
� "������" �������. ����� ����� �������� ������ "[MCG v0.31�]" �
"SCCLVIVSMSCPF-IMVHTB". ����� �� �������� �����, ���������� ������ 2
�����, ��������� � ��������� ������.
Peach.887
����������� �����. ���������� ����� CHKLIST.CPS. ������ ����������
��������� ������ "Roy CuatroNo 2 Peach GardenMeyer Rd. Spore 1543" ��
������ 0040:00FC.
Peel.334
������� ������������� �����. ��� ������������ ����������� ����������
���������� 720 �������� ����� C:. ������������ ������������� �������
����������� (��������������) ������� ��� ������� ����������� ����� �
������� �������� (partition table), � MBR.
Penetrator.491
��������� ����������� �����. ��� �������� ���������, ��� �������
(f.4B03h ��� 4B01h INT 21h) ������� �����:
PENETRATOR V3.02 (COM)
EA Cybernetic Empire
(C) BY GOSHA.INC. 1994
Your PC now Infected !
Pest.2743
������� ����������� ����������� �����. 13 ����� ����� ���������� 256
�������� ������� �������� �����. �������� ��������� ������
"Pest (c) 12/10/93 by (and best wishes from) PRIEST Int., Gbw/Germany",
"ASCECLHVSPF-ACPRVINWI".
Peter
������� ����������� ����� �����. ��������� ���� ����� �� ������
9F00:0000. 27-�� ������� ����� ������� �����:
Good morning,EVERYbody,I am PETER II
Do not turn off the power, or you will lost all of the data in Hardisk!!!
WAIT for 1 MINUTES,please...
����� ���� ������� ������� �������� �����. ����� ����� ������
����������� ������������ ������� � ���������� �������� �� ���:
Ok.If you give the right answer to the following questions,I will save
your HD:
A. Who has sung the song called "I`ll be there" ?
1.Mariah Carey 2.The Escape Club 3.The Jackson five 4.All (1-4):
B. What is Phil Collins ?
1.A singer 2.A drummer 3.A producer 4.Above all (1-4):
C. Who has the MOST TOP 10 singles in 1980`s ?
1.Michael Jackson 2.Phil Collins (featuring Genesis)
3.Madonna 4.Whitney Houston (1-4):
���� �������� �� ��� ������� ��������� �� ����� �������������� �������
� ����������� ������������:
CONGRATULATIONS !!! YOU successfully pass the quiz!
AND NOW RECOVERING YOUR HARDISK ......
����� ���������� �� ����� �� �����������������, � ��������� �����:
Sorry!Go to Hell.Clousy man!
Phalcon.894
������� ������������� �����. � ����� ����������� ��������� �����. ��
������������� ��������� � ������ "�� �������" (INT 08) ����������� ���,
������� ��������� �������� INT 1Ah (��������� ���������� �������).
Phalcon.BobRoss.1110, 1117 (1,2), 1133
��������� ������������� ������. 9 ���� ��������� � ������ �����������
���, ������� �������� ����� 4.5 ���� ������� � ������� ����� ����
������ ���������� ������:
Bob Ross lives!
Bob Ross is watching!
Maybe he lives here...
What a happy little cloud!
Maybe he has a neighbour right here...
You can make up stories as you go along.
��� Phalcon.BobRoss.1117 (2):
DR.LOH ! lives!
Don`t the PANIC !!!!!
WEB is LOH & Penis...
Please WAIT! HDD format WAIT!!!
MikeMutationEngine (c)MikeHacker
(DR.LOH is best of the best VIRUS !!!!!!
� ���� ������� ����� ������� ����� "PHALCON".
Phalcon.Dcool
��������� ������������� �����. ��������� � ������ ����������� ���,
������� ������� ��������� �����:
SHALOMKnock... Guess who`s There...
Fuck Asi Azulay and Lior Cohen ...
It`s Dr. Unknown... :-)
Fuck Guy Assado for Distributing my Sources...
Use XOPEN, MAN!!! FUCK Stick-Buster!!!
ViSiON-X is Some C00L Program !!!
Call to Support board: +972-X-XXXXXX !!!
TNTVIRUS is SHIT!!! Cpav is SHIT!!! Use McAfee!
But... McAfee is SHIT too...
Borland is the BEST...
Too bad, you didn`t make Backup for your HD... :)
I Wonder, What INT 13h Does with AH=05...
Just kiddin`... Ya know?
GUY ASSADO IS MONGOL!!!
COOLNESS is FOREVER!!!
����� �������� ������ "D-C00L-1 ViRUS".
Phalcon.Maria
������� ������������� �����. 2 ����� ������ ���������� ���������
������� �����. ��������� � ������ ����������� ���, ������� �������
�����:
Maria K lives..
Somewhere in my heart..
Somewhere in Sweden..
I might be insane..
But the society to blame..
The Unforgiven / Immortal Riot
Phalcon.Psychosis
��������� ������������� �����. 6 ���� ��������� � ������ �����������
���, ������� ����� 5 ����� ������� �����:
Another year passed by
Another tear the willows cry
to change the world we ever try
to make a difference before we die
[PSYCHOSIS] Greets, Phalcon/Skism.
(c) 93/94 The Unforgiven / Immortal Riot
�������� ����� ��������� ������:
\\ Merry Xmas and a happy new year // Sweden - Snowing Again
Phantom1.7000 (1-4), 7100, 7160
�����������. ���� ����� 20 ����� �� ���� ������� �� ������� �������
��������� ��������:
__%%________________%_
%%%_
_%_%_
__%%%
%_%%%%%
__%%%%%%_
__%%%%_%%%
%__%__%%%%%%%%_
%_______%__%%______%_____%%%%%%%%_
__ _%_____%%_ ___% _____%%%
_% %%%%%_ %% ___%%%
___ __%%___ _____%%%%
__%%%____ __%%__ _%______%_
___%_____ ___%%______%%%%___%%
_%%_%%__ __%%%_%%%%%%_%%%__ ___
%%_____%%%%%%_ _
%%____%%__
_%%%_%%_%%%_%%%__ _
_ _ _ _ __
_______ _____________ _%_
_____%_%%%%%%__%%%%%%%%%%%%
___%%%_%%%%%%%
%____%%%%%%__
����� �� ���� ������� "PHANTOM 1" ���������� ������� ������
"Congradulations!!! Your computer is now infected with a high
performance PHANTOM virus! Coming soon: next virii based on the
_C00LEST_ mutation engine all over the world: the Advanced
Polymorphic Engine! Enjoy this intro! (C) 1994 by Dark Prince.".
Phardera.5824
H�������� ����������� ����������� �����. 10 ����� ������� ������
������� ����� "Phardera + Dianita". �������� ����� �����:
Phardera
-by Phardera`95-----Batavia--------Indonesia----
RaredrahP Dianita
PHB.4315, 4461
PHB.4315 ����� ������� ������������� �����. ���������� ����� ����
������ � ���������� �� ����������, ��������� � ��� ���� �������� ���,
�� �������� ������������ ����������. PHB.4461 ��������� �������������
�����. ��� ������ ������ ������� �� ����� � ��������� ������ �����:
__________%_%__%%%%___%___%____%%__________%%___________________%_%__%%%%_%__
_%�_____-_R__-%R_�_-%R_�_-_�_____%_R_-%___%___%______________________%_%_%_%%_
__'_____<_____%_%'___%%'__%"___% __"_-_%___%____________________%__%_%______%%
________+%�__T___�__%__�___"__+__"__+_________________%_____________%%_%%_%%_
__'____%_%%%____%%%_______________%___________________________%_______%__%%%
__�%%_%______%%___%%____%________%_%%%_________%_________%__%___%_________%__%
%%%%%___%%_%___%_%___%_____%__%_%%__%_________%___%____%_%____________________
%%%_%%_%_____%%%__%_____%_______%__%%__________%____%____%____________________
________%%%_%%%%___________________%_______________%%______________________%__
_________%%________________%______%_______________%_%_________________________
________%_%______%_____%_______%%__%____%___%___%_______________%___%_________
%_%___%%%_____________%____%%___________________%____________________%________
%__%%_____________%__________%_%__%_%________%%_%__________________%__%______%
__%%____________%_______%___%____________________%%_________%_______%_%_%%____
_%%%__________________________%_%________________%%%%%___%_______%____%_%___%%
%%___________%%_____%%___%%___%______________________________%_____%%%________
%__________%%__%_%_%%%%_%%%%_______%_________%______%___%_______%%%%%_________
________%_%_%____%_%%%%%__________%_________%%_%___%%%%__%%%%_%_%______%_%_%%_
%%%_%%_%__%________%%_%%%%%_%__%__%___%___%_%_______%_%%%__%%_%__%%_%%___%%%__
___________%_%_%%______________%_%%_%%%_%_____%_____________%__%%___%__%___%_
________%__%__%%___%____%_%%%_%%___%________%____�____-%_R__-_R__-_�_-___R_-_
_________%___%_%___%%__%_%___%_%_%_______%___%____'___%<__'__<%'_%<___T-%%"_-_
%%_______%__%_____%___________________%_%%____%_%%_____T-%"__+_"__+%�__+_"__+%
_____%____%_______%%______%%%___%%__%_%%__%___%%__'%%%_%<_%_%________%%___%___
_%______%_%__%___%__%_%__%%_%%%_%_%%%_%%_%_%%%%%%%�_____+__________%_%%_____%_
�� ��������� ������ ������ ������� ��������� "Thank you for viewing
Patty Hoffman`s Boobs!". ���������� ����� ������:
PHB.4315:
Patty Hoffman`s Boobs! Virus version 1.0 Copyright (c) 1993 by Cerebral
Quantas. Made in Canada, Eh! July 4, 1993.
PHB.4461:
[Patty`s Boobs Virus] v2.5 Copyright (c) 1993 by Cerebral Quantas. Made
in Canada, Eh! January 27, 1993.
����� �� ������ �� �����...
[�] ����, _All_ !
������������ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2�5080�244�0 http://my.mail.ru/community/v---i---r---u--s/
John Zaicev
Aug 9, 2013, 12:54:50 AM8/9/13
to
[√] Приветствую тебя, _All_ !
PhisDept.6294
Очень опасный резидентный вирус. Перехватывает INT 03,20h,21h,27h,2Fh,
80-84h. Заражает COM и EXE-файлы при их запуске. При заражении файлов
производит эмуляцию 1000 первых байт программного кода - анализирует и
копирует каждую команду в свой буфер и выполняет данную инструкцию.
Вместо любой команды может вставить вызов прерывания INT 03 (CCh) или
INT 80-84h (CDh 80-84h). Т.к., данные прерывания вирусом "захвачены",
то вирус считает, что это "внедренные" им инструкции и подставляет
вместо них сохраненные ранее в теле вируса 2 байта. 27 февраля, 20 июня
и 9 мая, при старте MS-Windows в режиме 286 (enhanced 286) вирус может
вывести текст:
У И Н Д О У З-ДУРА. (C) Copyright Kovalevsky & Co, MSU PhisDept.
Happy birthday to us.
А также может послать модему следующие команды управления "ATM2",
"ATL3M0Q0X4S7=5DP9W", "ATS7=30DP8W1018094745268". Последняя команда -
попытка позвонить в Калифорнию. Содержит тексты "AntiAidstest.
(C)Copyright Kovalevsky & company.", "AntiLozinsky.", "Лозинский-ЧМО",
"COMMAND.COM ".
Phonix.927
Опасный резидентный вирус. При старте инфицированного файла вирус
пытается заразить командный процессор (COMMAND.COM). Инсталлируется в
память вирус только из командного процессора. Заражает COM и EXE-файлы
при их закрытии (f.3Eh Int 21h). В пятницу 13 числа вирус уничтожает
содержимое 14 цилиндров жесткого диска и выводит строку "PhФnix".
Phx.823, 965
Опасные резидентные вирусы. При записи в файлы (f.40h INT 21h) могут
испортить последний байт данных. Содержат строку "PHX".
Pieck.2016
Неопасный файлово-загрузочный вирус. 3 марта выводит сообщение
"Podaj haslo ?" и ждет ввода символов. Если ввести "pieck", то вирус
выводит текст "Pozdrowienia dla wychowankow Pieck`a." и продолжает свою
работу. Если же будет введено какое-либо другое слово, то вирус выводит
сообщение "Blad !" и "вешает" систему.
PifPaf.760
Неопасный резидентный вирус. Содержит тексты "PIF-PAF B v1.0", "Nincs
kegyelem !".
Pindonga.3550, 3652
Опасные резидентные полиморфные вирусы. 16 сентября, 25 февраля, 21
марта и 27 августа вирусы уничтожают содержимое двух первых жестких
дисков и выводят текст:
PINDONGA Virus V5.6. (Hecho en ARGENTINA)
Programado por Otto (16977)
Saludos a MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA-PABLIN
PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)
PINDONGA Virus (Programado por OTTO en ARGENTINA) 16977.
Pit.611
Опасный нерезидентный вирус. Удаляет файлы CHLLIST.CPS. Содержит
строку "The Pit v.1.20".
Pixel.based - вирусы
Нерезидентные вирусы. Производят поиск *.COM-файлов и внедряются в их
начало. Иногда выводят на экран сообщения:
Pixel.299, 342, 345, 846, 847
Program sick error:Call doctor or buy PIXEL for cure description
Pixel.457, Pixel.550
Устраивают видео-эффекты в графическом режиме монитора.
Pixel.851, 852
С'д за Владко и негови- _а_ко ! Ние в%и_ки %ме за п_е<%__ой%_во !
Pixel.877:
Sector not found error fucking defoult drive! Please buy me a new disk drive!
Pixel.1268, 1271
После заражений файлов просит ввести пароль " ENTER THE PASSWORD: ".
Если ввести фразу отличную от "Ken Sent Me", то вирус выведет текст
" YOU HAVE ENTERED THE WRONG PASSWORD!!" и возвратит управление DOS.
Содержит также текст "PreComFileRunSyndrome 1993".
Pixel.Flea.1577, 1647
Очень опасные вирусы. Уничтожают некоторые файлы, записывая в них код
вируса Dir-II. Уничтожают содержимое текущего диска или случайных
секторов диска.
Pixel.Hydra.340, 342, 343, 368, 372, 391, 403, 495
Опасные нерезидентные вирусы. Некоторые версии вирусов удаляют файл
COMMAND.COM, или портят все EXE-файлы в текущем каталоге, или
записывают в EXE-файлы код, который выводит текст "Who is John Galt?",
или переназначают INT 4, INT 40h на INT 9 или на INT 13h, или выводят
текст:
HYDRA
Copyright (c) 1991 by C.A.V.E.
Также содержат текст "HyDra-X Beta - Not For Release.", где X -
порядковый номер версии вируса.
Pixel.Hydra.736
Неопасный нерезидентный вирус. Иногда выводит на экран сообщение:
HYDRA
Watch for the many heads.
The first eight are easy to find and kill.
Their replacements will be more sophisticated.
(c) 1991 - C. A. V. E.
Содержит тексты "HyDra Beta - Not For Release.", "Copyright (c) 1991
by C.A.V.E.", "Coalition of American Virus Engineers",
"-=-=- Dedicated to supporting the anti-virus industry
without recognition or reward. -=-=-".
Вроде бы ничего не забыл...
[√] Пока, _All_ !
▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 http://my.mail.ru/community/v---i---r---u--s/
PhisDept.6294
Очень опасный резидентный вирус. Перехватывает INT 03,20h,21h,27h,2Fh,
80-84h. Заражает COM и EXE-файлы при их запуске. При заражении файлов
производит эмуляцию 1000 первых байт программного кода - анализирует и
копирует каждую команду в свой буфер и выполняет данную инструкцию.
Вместо любой команды может вставить вызов прерывания INT 03 (CCh) или
INT 80-84h (CDh 80-84h). Т.к., данные прерывания вирусом "захвачены",
то вирус считает, что это "внедренные" им инструкции и подставляет
вместо них сохраненные ранее в теле вируса 2 байта. 27 февраля, 20 июня
и 9 мая, при старте MS-Windows в режиме 286 (enhanced 286) вирус может
вывести текст:
У И Н Д О У З-ДУРА. (C) Copyright Kovalevsky & Co, MSU PhisDept.
Happy birthday to us.
А также может послать модему следующие команды управления "ATM2",
"ATL3M0Q0X4S7=5DP9W", "ATS7=30DP8W1018094745268". Последняя команда -
попытка позвонить в Калифорнию. Содержит тексты "AntiAidstest.
(C)Copyright Kovalevsky & company.", "AntiLozinsky.", "Лозинский-ЧМО",
"COMMAND.COM ".
Phonix.927
Опасный резидентный вирус. При старте инфицированного файла вирус
пытается заразить командный процессор (COMMAND.COM). Инсталлируется в
память вирус только из командного процессора. Заражает COM и EXE-файлы
при их закрытии (f.3Eh Int 21h). В пятницу 13 числа вирус уничтожает
содержимое 14 цилиндров жесткого диска и выводит строку "PhФnix".
Phx.823, 965
Опасные резидентные вирусы. При записи в файлы (f.40h INT 21h) могут
испортить последний байт данных. Содержат строку "PHX".
Pieck.2016
Неопасный файлово-загрузочный вирус. 3 марта выводит сообщение
"Podaj haslo ?" и ждет ввода символов. Если ввести "pieck", то вирус
выводит текст "Pozdrowienia dla wychowankow Pieck`a." и продолжает свою
работу. Если же будет введено какое-либо другое слово, то вирус выводит
сообщение "Blad !" и "вешает" систему.
PifPaf.760
Неопасный резидентный вирус. Содержит тексты "PIF-PAF B v1.0", "Nincs
kegyelem !".
Pindonga.3550, 3652
Опасные резидентные полиморфные вирусы. 16 сентября, 25 февраля, 21
марта и 27 августа вирусы уничтожают содержимое двух первых жестких
дисков и выводят текст:
PINDONGA Virus V5.6. (Hecho en ARGENTINA)
Programado por Otto (16977)
Saludos a MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA-PABLIN
PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)
PINDONGA Virus (Programado por OTTO en ARGENTINA) 16977.
Pit.611
Опасный нерезидентный вирус. Удаляет файлы CHLLIST.CPS. Содержит
строку "The Pit v.1.20".
Pixel.based - вирусы
Нерезидентные вирусы. Производят поиск *.COM-файлов и внедряются в их
начало. Иногда выводят на экран сообщения:
Pixel.299, 342, 345, 846, 847
Program sick error:Call doctor or buy PIXEL for cure description
Pixel.457, Pixel.550
Устраивают видео-эффекты в графическом режиме монитора.
Pixel.851, 852
С'д за Владко и негови- _а_ко ! Ние в%и_ки %ме за п_е<%__ой%_во !
Pixel.877:
Sector not found error fucking defoult drive! Please buy me a new disk drive!
Pixel.1268, 1271
После заражений файлов просит ввести пароль " ENTER THE PASSWORD: ".
Если ввести фразу отличную от "Ken Sent Me", то вирус выведет текст
" YOU HAVE ENTERED THE WRONG PASSWORD!!" и возвратит управление DOS.
Содержит также текст "PreComFileRunSyndrome 1993".
Pixel.Flea.1577, 1647
Очень опасные вирусы. Уничтожают некоторые файлы, записывая в них код
вируса Dir-II. Уничтожают содержимое текущего диска или случайных
секторов диска.
Pixel.Hydra.340, 342, 343, 368, 372, 391, 403, 495
Опасные нерезидентные вирусы. Некоторые версии вирусов удаляют файл
COMMAND.COM, или портят все EXE-файлы в текущем каталоге, или
записывают в EXE-файлы код, который выводит текст "Who is John Galt?",
или переназначают INT 4, INT 40h на INT 9 или на INT 13h, или выводят
текст:
HYDRA
Copyright (c) 1991 by C.A.V.E.
Также содержат текст "HyDra-X Beta - Not For Release.", где X -
порядковый номер версии вируса.
Pixel.Hydra.736
Неопасный нерезидентный вирус. Иногда выводит на экран сообщение:
HYDRA
Watch for the many heads.
The first eight are easy to find and kill.
Their replacements will be more sophisticated.
(c) 1991 - C. A. V. E.
Содержит тексты "HyDra Beta - Not For Release.", "Copyright (c) 1991
by C.A.V.E.", "Coalition of American Virus Engineers",
"-=-=- Dedicated to supporting the anti-virus industry
without recognition or reward. -=-=-".
Вроде бы ничего не забыл...
▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 http://my.mail.ru/community/v---i---r---u--s/
John Zaicev
Aug 9, 2013, 5:52:50 AM8/9/13
to
[√] Приветствую тебя, _All_ !
Plague.2647
Неопасный резидентный стелс-вирус. При открытии инфицированных файлов
(f.3Dh INT 21h) удаляет свой код из них. При закрытии (f.3Eh INT 21h)
снова заражает. Внедряет команды межсегментного перехода на свой код в
оригинальный обработчик INT 21h. При заражении файлов на флоппи-диски
проверяет наличие защиты от записи на диск посредством чтения и
обратной записи Boot-сектора данного диска. Содержит строку "PLAGUE".
Platov.1644, 1700
Опасные резидентные вирусы. При смене директории на GAMES или ANT*,
выводят тексты:
Access Denied Software presents Access Denied Software presents
The PC Virus The PC Virus
Компьютер создан не для игр! Не пытайтесь меня уничтожить!
И уничтожают файлы в этих каталогах. При смене диска на A: (f.0Eh Int
21h) выводят такой текст:
Access Denied Software presents
The PC Virus
Не пользуйтесь дискетами.
Там могут быть вирусы.
После чего уничтожают 256 секторов диска A:. При печати на принтер
меняет букву "е" на "э" и после каждой запятой вставляют междометие
"бля". Содержат тексты "Programmed by Andrey Platov 15 years old on
09.07.1992", "Hello to Igan, Pershin ЧМО".
PlayGame.2000
Неопасный файлово-загрузочный вирус. Заражает EXE-файлы при доступе к
ним через INT 21h и MBR жесткого диска при первом старте инфицированной
программы. Инсталляция в память TSR-копии вируса производится при
загрузке системы с "винчестера". Содержит текстовые строки "[ MK /
TridenT ]" и "CO4DSCCLVSNEHTTBVIF-FIGIIMRAFEMTBR". Не заражает
программы, которые начинаются с двух букв, имеющихся в последней
строке. В декабре с 21 часа вирус выводит приглашение к игре:
H A P P Y V I R U S
T i m e t o p l a y a g a m e
(Use shift keys)
После чего вирус предлагает поиграть в игру, смысл которой сводится к
провождению "улыбающейся рожицы" код ASCII 02 между двигающимися
препятствиями код ASCII 254. В процессе анализа вируса я даже поиграл в
данную игрушку. Дошел аж до 2 уровня... Вид игры выглядит, примерно,
так:
_ _
_ _ _ _ _ _
_ _ _ _ _ _ _
Опасные нерезидентные пермутирующие (pemutating) вирусы. Данные вирусы
не являются, ни шифрованными, ни полиморфными вирусами. Но алгоритм
создания своих вирусных копий очень близок к полиморфным алгоритмам.
Каждая ассемблерная команда вируса занимает не более 3 байт, эти 3
байта в свою очередь составляют некую вирусную компоненту. Если
ассемблерная инструкция занимает менее 3 байт в компоненте, то вирус
"разбавляет" ее NOP-командами. Причем в случайный момент времени эти
NOP`ы могут изменять свое местоположение ("плавать") в компоненте.
Например:
FB STI -> 90 NOP -> 90 NOP
90 NOP FB STI 90 NOP
90 NOP 90 NOP FB STI
Вирусы состоят из 3 блоков: основной блок, блок данных и блок
тождественных вызовов. Также в случайный момент времени вирусы могут
переносить данные трехбайтовые компоненты из основного блока в блок
тождественных вызовов и заменять их на JUMP или CALL в основном блоке.
И наоборот из блока тождественных вызовов в основной блок в
первоначальном виде. Например:
FB STI -> E9 ?? ?? JMP LOC_1
90 NOP
90 NOP
RET_1: RET_1:
E8 ?? ?? CALL LOC_1 B8 00 01 MOV AX,100
.................... ....................
LOC_1: LOC_1:
B8 00 01 MOV AX,100 90 NOP
C3 RET FB STI
?? 90 NOP
?? E9 ?? ?? JMP RET_1
Таким образом, одинаковые инфицированные файлы могут не совпадать
ни в одном байте основного вирусного блока. Различные модификации
вируса могут не заражать следующие файлы: AVP,AVPLITE,AVPVE,BAIT,EICAR,
EMM386, F-PROT, FV386, FV86, MSAV, MVTOOL10, SCAN, TBSCAN,TBAV,TBCHECK,
TBCLEAN, TBDISK, TBDRIVER, TBFILE, TBGENSIG, TBKEY,TBLOG,TBMEM,TBSETUP,
TBSCANX,TBUTIL,VALIDATE,VIRSTOP,VIRUS,VPIC,VSAFE. Ply.4722, 5133, 5175
удаляют файл \NCDTREE.
PM.Wanderer
Неопасный резидентный полиморфный вирус, использующий защищенный
(виртуальный) режим процессоров i80386-Pentium. Для установки своей
резидентной копии в память и переключения в защищенный режим процессора
(Protected Mode) использует документированный интерфейс VCPI (Virtual
Control Programm Interface) драйвера расширенной памяти EMS (EMM386).
Вирус заражает COM и EXE-файлы при их запуске или открытии (f.4b00h,
f.3dh Int 21h). При старте инфицированной программы, вирусный
полиморфный декриптор расшифровывает основное тело вируса и передает
ему управление. Далее основной вирусный код выделяет участок памяти в
верхних адресах, копирует в него собственный код и передает ему
управление. Затем он восстанавливает код инфицированного файла в
программном сегменте (для EXE-файлов также производит настройку адресов
перемещаемых элементов) и приступает к непосредственному внедрению
в память своей резидентной копии. Первым делом вирус пытается выяснить
установлен ли в системе драйвер EMS. Для этого он получает адрес
прерывания INT 67h и проверяет наличие строки EM* в заголовке драйвера.
Далее вирус проверяет не находится ли уже в памяти его резидентная
копия - вызывает функцию AX=0BABAh INT 21h и проверяет ответ AX=0FA00h.
Если драйвер EMS не установлен в системе или вирусная резидентная копия
уже находится в памяти, а также в дальнейшем -при отсутствии интерфейса
VCPI, вирус освобождает ранее выделенную память и отдает управление
программе-вирусоносителю, заканчивая тем самым свою "жизнедеятельность"
в системе. Если же "условия флоры" благоприятствуют, то вирус
"перехватывает" INT 01 и трассирует INT 21h с целью нахождения
определенной последовательности байт, присутствующих в оригинальном
обработчике INT 21h MS - DOS версий 5.00 - 7.00. Если данная
последовательность обнаружена, то вирус запоминает адрес ядра
обработчика INT 21h, обычно расположенного в области HMA. В дальнейшем
вирус будет использовать этот адрес для вызова INT 21h при заражении
файлов. Дальнейшие действия вируса - проверка наличия в системе
интерфейса VCPI и получение 4-ех адресов страниц памяти. Затем вирус
получает адрес интерфейса VCPI, таблицу страниц и адрес глобальной
дескрипторной таблицы GDT (Global Descriptor Table), состоящей из трех
элементов (первый - дескриптор сегмента кода, два другие - используются
драйвером VCPI). Вирус записывает в таблицу страниц ссылку на страницы,
выделенные им драйвером VCPI, получает физический адрес страницы памяти
сегмента, в котором вирус в данный момент находится. Потом получает
регистры глобальной дескрипторной таблицы GDT и дескрипторной таблицы
прерываний IDT (Interrupt Descriptor Table). Далее вирус создает три
собственных дескриптора (кода и данных) и дескриптор сегментов
состояния задачи TSS (Task State Segment) в глобальной дескрипторной
таблице GDT, подготавливает значения для регистров CR3, GDTR,IDTR,LDTR,
TR и адрес CS:EIP точки входа в защищенный режим и производит
переключение процессора в защищенный режим работы с наивысшим уровнем
привилегий - 0. В защищенном режиме вирус корректирует таблицу GDT,
создавая в ней два собственных дескриптора сегментов и производит поиск
дескриптора TSS. После чего вирус устанавливает две аппаратные
контрольные точки по командам (Breakpoints) на первый байт кода
обработчика INT 21h (адрес 0000:0084h) и на первый байт кода в BIOS по
адресу 0FE00:005Bh (линейный адрес 0FE05Bh). Обычно в BIOS по адресу
0FE00:005Bh находится команда перехода (Near Jump) на процедуру
перезапуска компьютера. Затем вирус корректирует дескрипторную таблицу
прерываний таким образом, чтобы установить на прерывания: 1 (особый
случай отладки) и 9 (клавиатура) собственные дескрипторы обработчиков
данных прерываний. После этих приготовлений вирус копирует свой код
в страницу памяти, полученную им еще до входа в защищенный режим и
производит переключение процессора в виртуальный режим работы.
Вирусный обработчик INT 09 производит контроль за наличием и (или)
восстановлением своих двух контрольных аппаратных точек. А также,
данный обработчик отслеживает нажатие на Ctrl-Alt-Del и в этом случае
"сбрасывает" все аппаратные контрольные точки. Вирусный обработчик
особого случая отладки проверяет произошло ли нарушение одной из двух
"вирусных" контрольных точек по адресу команды.Если управление в данный
обработчик попало из точки, находящейся "на процедуре" в BIOS -
перезагрузки компьютера, то вирус сбрасывает все аппаратные контрольные
точки, так же, как и обработчик INT 09 при нажатии на Ctrl-Alt-Del.
Если же нарушение вызвано контрольной точкой оригинального обработчика
INT 21h, то вирус анализирует значение регистра AX (или AH) с целью
определения функции прерывания INT 21h и в зависимости от этого
предпринимает различные действия. Если AX=0BABAh, то вирус считает, что
данный вызов исходит от его "собрата",записывает в AX значение 0FACCh и
возвращает управление оригинальному обработчику INT 21h. Если AX=3506h
(получить адрес прерывания INT 06;обычно такой вызов существует во всех
программах, написанных на языках высокого уровня: C, Pascal,...), то
вирус пытается найти в пространстве линейных адресов 0-90000h некоторую
последовательность байт, очевидно, принадлежащих программе ADinf
(Дмитрию Мостовому - автору ADinf, не удалось найти такую версию ADinf
от 10.00 до 11.01, в которой данная последовательность байт бы
присутствовала). Если данная последовательность будет вирусом найдена,
то он неким образом модифицирует найденный код, так, чтобы управление
не попадало на вызов какой-то межсегментной процедуры. Если AX=4B00h
(запуск программы) или AH=3dh и AL не равно ?Fh (открытие файла только
на чтение), то вирус копирует свой код по адресу 9000:0000h (линейный
адрес 90000h),переключает процессор в виртуальный режим работы и отдает
управление своему коду, находящемуся в пределах первого мегабайта в
сегменте 9000h. Вирус проверяет последние две буквы расширения имени
файла и производит создание своей полиморфной копии и заражение файлов
размером более 4K. Причем вирус внедряет свой код в начало COM или в
середину (сразу же за заголовком) EXE-файлов, запоминая оригинальный
программный код в конце файлов."Реальный рабочий код" вируса составляет
3684 байт, но на практике инфицированные файлы имеют приращение длины
более 3940 байт.При возникновении любой ошибки в процессе заражения или
при выходе из виртуального режима процессора вирус вызывает INT 21h с
AX=4B00h для вызова особого случая исключения и возвращения управления
оригинальному обработчику INT 21h. Вирус в своем теле содержит текст
"WANDERER,(c) P. Demenuk". По этой строке, видимо,можно сделать выводы,
что автором данного "шедевра" следует считать московского человека -
Петра Деменюка. Через три года Петя создал все-таки свой новый
"великолепный продукт, достойный восхищения...".
Из всего вышесказанного следует, что обнаружить резидентную копию
данного вируса, находящегося в нулевом кольце защищенного режима
процессора обычными способами невозможно. Для обнаружения вируса в
памяти необходимо переключаться в защищенный режим с наивысшими
привилегиями и по таблицам GDT или IDT производить его поиск. Но
попытаться обнаружить признаки вируса в системе можно и обычными
способами. Для этого необходимо прочитать линейные адреса двух первых
аппаратных контрольных точек (0 и 1) и сравнить их со значениями,
которые описаны выше. На основании наличия определенных адресов и
делается вывод о возможности нахождения вируса PM.Wanderer в памяти
компьютера.
Теперь немного о результатах тестирования. При заражении нескольких
тысяч файлов-жертв вирус проявил себя, как "жилец" - все зараженные
файлы оказались работоспособными. Здесь надо только сделать поправку -
файлы могут оказаться неработоспособными в том случае, если их стек
после заражения окажется в области вирусного кода. PM.Wanderer при
заражении файлов не корректирует значения стартовых SS:SP. Как уже
отмечалось выше, вирус сохраняет способность к воспроизводству,только в
том случае, если в системе установлен драйвер EMS (EMM386). При
установленном драйвере EMM386 с ключом NOEMS, вирус перезагружает
компьютер. Компьютер также может перезагрузиться, если в системе
используется драйвер QEMM386. Самое интересное в том,что если в системе
находился резидентный вирус, а потом произошла загрузка Windows 3.1x
или Windows`95, то вирус не сможет размножаться в данных операционных
средах, но при выходе в DOS, вирус опять получает управление и может
"трудиться не покладая рук". Если же вирус будет запущен в Windows DOS-
окне, то из-за отсутствия интерфейса VCPI вирус не сможет переключиться
в защищенный режим. Под OS/2 вирус - нежизнеспособен, также из-за
отсутствия VCPI. В заключение стоит отметить, что это первый известный
вирус (причем, российский), использующий защищенный (виртуальный) режим
работы процессора и не конфликтующий с операционными системами "от
Microsoft", работающими также в защищенном режиме.
Plague.2647
Неопасный резидентный стелс-вирус. При открытии инфицированных файлов
(f.3Dh INT 21h) удаляет свой код из них. При закрытии (f.3Eh INT 21h)
снова заражает. Внедряет команды межсегментного перехода на свой код в
оригинальный обработчик INT 21h. При заражении файлов на флоппи-диски
проверяет наличие защиты от записи на диск посредством чтения и
обратной записи Boot-сектора данного диска. Содержит строку "PLAGUE".
Platov.1644, 1700
Опасные резидентные вирусы. При смене директории на GAMES или ANT*,
выводят тексты:
Access Denied Software presents Access Denied Software presents
The PC Virus The PC Virus
Компьютер создан не для игр! Не пытайтесь меня уничтожить!
И уничтожают файлы в этих каталогах. При смене диска на A: (f.0Eh Int
21h) выводят такой текст:
Access Denied Software presents
The PC Virus
Не пользуйтесь дискетами.
Там могут быть вирусы.
После чего уничтожают 256 секторов диска A:. При печати на принтер
меняет букву "е" на "э" и после каждой запятой вставляют междометие
"бля". Содержат тексты "Programmed by Andrey Platov 15 years old on
09.07.1992", "Hello to Igan, Pershin ЧМО".
PlayGame.2000
Неопасный файлово-загрузочный вирус. Заражает EXE-файлы при доступе к
ним через INT 21h и MBR жесткого диска при первом старте инфицированной
программы. Инсталляция в память TSR-копии вируса производится при
загрузке системы с "винчестера". Содержит текстовые строки "[ MK /
TridenT ]" и "CO4DSCCLVSNEHTTBVIF-FIGIIMRAFEMTBR". Не заражает
программы, которые начинаются с двух букв, имеющихся в последней
строке. В декабре с 21 часа вирус выводит приглашение к игре:
H A P P Y V I R U S
T i m e t o p l a y a g a m e
(Use shift keys)
После чего вирус предлагает поиграть в игру, смысл которой сводится к
провождению "улыбающейся рожицы" код ASCII 02 между двигающимися
препятствиями код ASCII 254. В процессе анализа вируса я даже поиграл в
данную игрушку. Дошел аж до 2 уровня... Вид игры выглядит, примерно,
так:
_ _
_ _ _ _ _ _
_ _ _ _ _ _ _
_ _ _ _ _ _
Ply.based (Ply.3360,3486,3759,3768,4224,4722,5133,5175)
Опасные нерезидентные пермутирующие (pemutating) вирусы. Данные вирусы
не являются, ни шифрованными, ни полиморфными вирусами. Но алгоритм
создания своих вирусных копий очень близок к полиморфным алгоритмам.
Каждая ассемблерная команда вируса занимает не более 3 байт, эти 3
байта в свою очередь составляют некую вирусную компоненту. Если
ассемблерная инструкция занимает менее 3 байт в компоненте, то вирус
"разбавляет" ее NOP-командами. Причем в случайный момент времени эти
NOP`ы могут изменять свое местоположение ("плавать") в компоненте.
Например:
FB STI -> 90 NOP -> 90 NOP
90 NOP FB STI 90 NOP
90 NOP 90 NOP FB STI
Вирусы состоят из 3 блоков: основной блок, блок данных и блок
тождественных вызовов. Также в случайный момент времени вирусы могут
переносить данные трехбайтовые компоненты из основного блока в блок
тождественных вызовов и заменять их на JUMP или CALL в основном блоке.
И наоборот из блока тождественных вызовов в основной блок в
первоначальном виде. Например:
FB STI -> E9 ?? ?? JMP LOC_1
90 NOP
90 NOP
RET_1: RET_1:
E8 ?? ?? CALL LOC_1 B8 00 01 MOV AX,100
.................... ....................
LOC_1: LOC_1:
B8 00 01 MOV AX,100 90 NOP
C3 RET FB STI
?? 90 NOP
?? E9 ?? ?? JMP RET_1
Таким образом, одинаковые инфицированные файлы могут не совпадать
ни в одном байте основного вирусного блока. Различные модификации
вируса могут не заражать следующие файлы: AVP,AVPLITE,AVPVE,BAIT,EICAR,
EMM386, F-PROT, FV386, FV86, MSAV, MVTOOL10, SCAN, TBSCAN,TBAV,TBCHECK,
TBCLEAN, TBDISK, TBDRIVER, TBFILE, TBGENSIG, TBKEY,TBLOG,TBMEM,TBSETUP,
TBSCANX,TBUTIL,VALIDATE,VIRSTOP,VIRUS,VPIC,VSAFE. Ply.4722, 5133, 5175
удаляют файл \NCDTREE.
PM.Wanderer
Неопасный резидентный полиморфный вирус, использующий защищенный
(виртуальный) режим процессоров i80386-Pentium. Для установки своей
резидентной копии в память и переключения в защищенный режим процессора
(Protected Mode) использует документированный интерфейс VCPI (Virtual
Control Programm Interface) драйвера расширенной памяти EMS (EMM386).
Вирус заражает COM и EXE-файлы при их запуске или открытии (f.4b00h,
f.3dh Int 21h). При старте инфицированной программы, вирусный
полиморфный декриптор расшифровывает основное тело вируса и передает
ему управление. Далее основной вирусный код выделяет участок памяти в
верхних адресах, копирует в него собственный код и передает ему
управление. Затем он восстанавливает код инфицированного файла в
программном сегменте (для EXE-файлов также производит настройку адресов
перемещаемых элементов) и приступает к непосредственному внедрению
в память своей резидентной копии. Первым делом вирус пытается выяснить
установлен ли в системе драйвер EMS. Для этого он получает адрес
прерывания INT 67h и проверяет наличие строки EM* в заголовке драйвера.
Далее вирус проверяет не находится ли уже в памяти его резидентная
копия - вызывает функцию AX=0BABAh INT 21h и проверяет ответ AX=0FA00h.
Если драйвер EMS не установлен в системе или вирусная резидентная копия
уже находится в памяти, а также в дальнейшем -при отсутствии интерфейса
VCPI, вирус освобождает ранее выделенную память и отдает управление
программе-вирусоносителю, заканчивая тем самым свою "жизнедеятельность"
в системе. Если же "условия флоры" благоприятствуют, то вирус
"перехватывает" INT 01 и трассирует INT 21h с целью нахождения
определенной последовательности байт, присутствующих в оригинальном
обработчике INT 21h MS - DOS версий 5.00 - 7.00. Если данная
последовательность обнаружена, то вирус запоминает адрес ядра
обработчика INT 21h, обычно расположенного в области HMA. В дальнейшем
вирус будет использовать этот адрес для вызова INT 21h при заражении
файлов. Дальнейшие действия вируса - проверка наличия в системе
интерфейса VCPI и получение 4-ех адресов страниц памяти. Затем вирус
получает адрес интерфейса VCPI, таблицу страниц и адрес глобальной
дескрипторной таблицы GDT (Global Descriptor Table), состоящей из трех
элементов (первый - дескриптор сегмента кода, два другие - используются
драйвером VCPI). Вирус записывает в таблицу страниц ссылку на страницы,
выделенные им драйвером VCPI, получает физический адрес страницы памяти
сегмента, в котором вирус в данный момент находится. Потом получает
регистры глобальной дескрипторной таблицы GDT и дескрипторной таблицы
прерываний IDT (Interrupt Descriptor Table). Далее вирус создает три
собственных дескриптора (кода и данных) и дескриптор сегментов
состояния задачи TSS (Task State Segment) в глобальной дескрипторной
таблице GDT, подготавливает значения для регистров CR3, GDTR,IDTR,LDTR,
TR и адрес CS:EIP точки входа в защищенный режим и производит
переключение процессора в защищенный режим работы с наивысшим уровнем
привилегий - 0. В защищенном режиме вирус корректирует таблицу GDT,
создавая в ней два собственных дескриптора сегментов и производит поиск
дескриптора TSS. После чего вирус устанавливает две аппаратные
контрольные точки по командам (Breakpoints) на первый байт кода
обработчика INT 21h (адрес 0000:0084h) и на первый байт кода в BIOS по
адресу 0FE00:005Bh (линейный адрес 0FE05Bh). Обычно в BIOS по адресу
0FE00:005Bh находится команда перехода (Near Jump) на процедуру
перезапуска компьютера. Затем вирус корректирует дескрипторную таблицу
прерываний таким образом, чтобы установить на прерывания: 1 (особый
случай отладки) и 9 (клавиатура) собственные дескрипторы обработчиков
данных прерываний. После этих приготовлений вирус копирует свой код
в страницу памяти, полученную им еще до входа в защищенный режим и
производит переключение процессора в виртуальный режим работы.
Вирусный обработчик INT 09 производит контроль за наличием и (или)
восстановлением своих двух контрольных аппаратных точек. А также,
данный обработчик отслеживает нажатие на Ctrl-Alt-Del и в этом случае
"сбрасывает" все аппаратные контрольные точки. Вирусный обработчик
особого случая отладки проверяет произошло ли нарушение одной из двух
"вирусных" контрольных точек по адресу команды.Если управление в данный
обработчик попало из точки, находящейся "на процедуре" в BIOS -
перезагрузки компьютера, то вирус сбрасывает все аппаратные контрольные
точки, так же, как и обработчик INT 09 при нажатии на Ctrl-Alt-Del.
Если же нарушение вызвано контрольной точкой оригинального обработчика
INT 21h, то вирус анализирует значение регистра AX (или AH) с целью
определения функции прерывания INT 21h и в зависимости от этого
предпринимает различные действия. Если AX=0BABAh, то вирус считает, что
данный вызов исходит от его "собрата",записывает в AX значение 0FACCh и
возвращает управление оригинальному обработчику INT 21h. Если AX=3506h
(получить адрес прерывания INT 06;обычно такой вызов существует во всех
программах, написанных на языках высокого уровня: C, Pascal,...), то
вирус пытается найти в пространстве линейных адресов 0-90000h некоторую
последовательность байт, очевидно, принадлежащих программе ADinf
(Дмитрию Мостовому - автору ADinf, не удалось найти такую версию ADinf
от 10.00 до 11.01, в которой данная последовательность байт бы
присутствовала). Если данная последовательность будет вирусом найдена,
то он неким образом модифицирует найденный код, так, чтобы управление
не попадало на вызов какой-то межсегментной процедуры. Если AX=4B00h
(запуск программы) или AH=3dh и AL не равно ?Fh (открытие файла только
на чтение), то вирус копирует свой код по адресу 9000:0000h (линейный
адрес 90000h),переключает процессор в виртуальный режим работы и отдает
управление своему коду, находящемуся в пределах первого мегабайта в
сегменте 9000h. Вирус проверяет последние две буквы расширения имени
файла и производит создание своей полиморфной копии и заражение файлов
размером более 4K. Причем вирус внедряет свой код в начало COM или в
середину (сразу же за заголовком) EXE-файлов, запоминая оригинальный
программный код в конце файлов."Реальный рабочий код" вируса составляет
3684 байт, но на практике инфицированные файлы имеют приращение длины
более 3940 байт.При возникновении любой ошибки в процессе заражения или
при выходе из виртуального режима процессора вирус вызывает INT 21h с
AX=4B00h для вызова особого случая исключения и возвращения управления
оригинальному обработчику INT 21h. Вирус в своем теле содержит текст
"WANDERER,(c) P. Demenuk". По этой строке, видимо,можно сделать выводы,
что автором данного "шедевра" следует считать московского человека -
Петра Деменюка. Через три года Петя создал все-таки свой новый
"великолепный продукт, достойный восхищения...".
Из всего вышесказанного следует, что обнаружить резидентную копию
данного вируса, находящегося в нулевом кольце защищенного режима
процессора обычными способами невозможно. Для обнаружения вируса в
памяти необходимо переключаться в защищенный режим с наивысшими
привилегиями и по таблицам GDT или IDT производить его поиск. Но
попытаться обнаружить признаки вируса в системе можно и обычными
способами. Для этого необходимо прочитать линейные адреса двух первых
аппаратных контрольных точек (0 и 1) и сравнить их со значениями,
которые описаны выше. На основании наличия определенных адресов и
делается вывод о возможности нахождения вируса PM.Wanderer в памяти
компьютера.
Теперь немного о результатах тестирования. При заражении нескольких
тысяч файлов-жертв вирус проявил себя, как "жилец" - все зараженные
файлы оказались работоспособными. Здесь надо только сделать поправку -
файлы могут оказаться неработоспособными в том случае, если их стек
после заражения окажется в области вирусного кода. PM.Wanderer при
заражении файлов не корректирует значения стартовых SS:SP. Как уже
отмечалось выше, вирус сохраняет способность к воспроизводству,только в
том случае, если в системе установлен драйвер EMS (EMM386). При
установленном драйвере EMM386 с ключом NOEMS, вирус перезагружает
компьютер. Компьютер также может перезагрузиться, если в системе
используется драйвер QEMM386. Самое интересное в том,что если в системе
находился резидентный вирус, а потом произошла загрузка Windows 3.1x
или Windows`95, то вирус не сможет размножаться в данных операционных
средах, но при выходе в DOS, вирус опять получает управление и может
"трудиться не покладая рук". Если же вирус будет запущен в Windows DOS-
окне, то из-за отсутствия интерфейса VCPI вирус не сможет переключиться
в защищенный режим. Под OS/2 вирус - нежизнеспособен, также из-за
отсутствия VCPI. В заключение стоит отметить, что это первый известный
вирус (причем, российский), использующий защищенный (виртуальный) режим
работы процессора и не конфликтующий с операционными системами "от
Microsoft", работающими также в защищенном режиме.
John Zaicev
Aug 11, 2013, 2:31:53 AM8/11/13
to
[√] Приветствую тебя, _All_ !
PME - вирусы
PME (Phantasie Mutation Engine) - полиморфные генераторы вирусных
шифровщиков и расшифровщиков. Создан китайским вирусописателем по
кличке Burglar. Существуют две версии данного генератора. Они содержат
тексты:
PME v1.00 (C) Jan 1995 By Burglar
PME v1.01 (C) Feb 1995 By Burglar
PME.Burglar
Опасный резидентный полиморфный вирус. Иногда вешает систему и выводит
текст:
Hello! This is [Super Virus-2] ... written by Burglar in Taipei, Taiwan
Pojer.1941, 4028
Неопасные резидентные шифрованные (Pojer.4028 - полиморфный) вирусы. 17
ноября и 6 февраля выводят на экран тексты:
Pojer.1941:
** B R A I N 2 v1.40 **
WARNING ! Your PC has been WANKed !
>> 17.11.1989 <<
Viruses against political extremes , for freedom and parliamentary
democrac
>> STOP LENINISM , STOP KLAUSISM , STOP BLOODY DOGMATIC IDEOLOGY !!
>> <<
Remarks:
- for John McAfee: John,your SCAN = good program.
- for CN and his company:
Boys,the best ANTI-VIRUSES are Zeryk,Saryk and Vorisek !
- for F : Girls are better than computers and programming !
This program is copyright by SB SOFTWARE All rights reserved.
O.K. Your PC is now ready !
Pojer.4028:
** BRAIN2 v2.00beta - upgrade from POJER **
BETA tester, thank you,
.. have a nice day in cyberspace ...
This crazy program is (c) 12/93 by SB
Polimer.512
Неопасный нерезидентный вирус. При старте вирус выводит сообщение
"A legjobb kazetta a POLIMER kazetta ! Vegye ezt !". Содержит строку
"ERROR".
Polska.4004
Неопасный вирус. В 1994 году 7 и 23 числа каждого месяца до июля
выводит в графическом режиме поднимающийся на флагштоке развивающийся
бело-красный польский флаг, на котором написано "TERAZ POLSKA" и в
левом вернем углу текст:
TERAZ POLSKA v2.0
produced by NoName
All rights reserved
(c) 93.12.22 POLAND
Poro.1257
Опасный резидентный вирус. С 15 по 25 сентября выводит на экран текст:
С Днем рождения, Аллочка !
Наилучшие пожелания твоему Hard Disk`у !
При записи на диск (f.03 Int 13h) вирус пытается найти словосочетания
"Bori", "BORI", "Бори" и "БОРИ" и заменить их соответственно на "Poro",
"PORO", "Поро" и "ПОРО". Содержит зашифрованный текст "Turbo Bugger (C)
1994 Dedicated to Alla R. Borisyuk ( МЕХ-МАТЬ 307 )".
Poruchik.2774
Написан для процессора 386. Устанавливается резидентно в верхние адреса
памяти. При смене директория (f.3Bh INT 21h) вирус производит поиск
файлов *.exe и заражает их. Содержит текст: "Поручик Лозинский,
раздайте Aidstestы".
Possessed.2175, 2367, 2438, 2443, 2446 (1,2)
Опасные резидентные вирусы. Иногда удаляют файлы. Рисуют на экране в
графическом видеорежиме улыбающееся лицо. Выводят текст "POSSESSED!
Bwa! ha! ha! ha! ha!". Также содержат строку "Author: JonJon Gumba of
AdU".
Predator.1063,1072 (2),1137,1148,1154,1195
Опасные резидентные самошифрующиеся, кроме Predator.1063, вирусы.
Перехватывают INT 21h и INT 13h. При чтении секторов через INT 13h
вирусы могут испортить значение одного случайно выбранного бита в
буфере считанных секторов. Содержат текстовые строки:
Predator.1072 (1): Predator virus (c) Mar. 93 Priest
Predator.1072 (2):
Predator Strain B (c) 1993 Priest - Phalcon/Skism
Predator.1063,1137,1148,1154,1195:
Predator virus (c) Mar. 93
In memory of all those who were killed...
Wookies ain`t the only ones that drop! Priest
Predator.2448
Резидентный файлово-загрузочный полиморфный вирус. При старте
инфицированного файла трассирует INT 13h и INT 21h, становится
резидентно в верхних адресах памяти. Может "внедриться" в оригинальный
обработчик INT 21h, произведя изменение его 5ти первых байт. Заражает
MBR и Boot-сектора дискет, причем загрузочный сектор диска шифрует и
"прячет": для жесткого диска в секторе 2, для дискет - в первом секторе
последней дорожки. Содержит текстовую строку: Predator virus #2 (c)
1993 Priest - Phalcon/Skism
PME - вирусы
PME (Phantasie Mutation Engine) - полиморфные генераторы вирусных
шифровщиков и расшифровщиков. Создан китайским вирусописателем по
кличке Burglar. Существуют две версии данного генератора. Они содержат
тексты:
PME v1.00 (C) Jan 1995 By Burglar
PME v1.01 (C) Feb 1995 By Burglar
PME.Burglar
Опасный резидентный полиморфный вирус. Иногда вешает систему и выводит
текст:
Hello! This is [Super Virus-2] ... written by Burglar in Taipei, Taiwan
Pojer.1941, 4028
Неопасные резидентные шифрованные (Pojer.4028 - полиморфный) вирусы. 17
ноября и 6 февраля выводят на экран тексты:
Pojer.1941:
** B R A I N 2 v1.40 **
WARNING ! Your PC has been WANKed !
>> 17.11.1989 <<
Viruses against political extremes , for freedom and parliamentary
democrac
>> STOP LENINISM , STOP KLAUSISM , STOP BLOODY DOGMATIC IDEOLOGY !!
>> <<
Remarks:
- for John McAfee: John,your SCAN = good program.
- for CN and his company:
Boys,the best ANTI-VIRUSES are Zeryk,Saryk and Vorisek !
- for F : Girls are better than computers and programming !
This program is copyright by SB SOFTWARE All rights reserved.
O.K. Your PC is now ready !
Pojer.4028:
** BRAIN2 v2.00beta - upgrade from POJER **
BETA tester, thank you,
.. have a nice day in cyberspace ...
This crazy program is (c) 12/93 by SB
Polimer.512
Неопасный нерезидентный вирус. При старте вирус выводит сообщение
"A legjobb kazetta a POLIMER kazetta ! Vegye ezt !". Содержит строку
"ERROR".
Polska.4004
Неопасный вирус. В 1994 году 7 и 23 числа каждого месяца до июля
выводит в графическом режиме поднимающийся на флагштоке развивающийся
бело-красный польский флаг, на котором написано "TERAZ POLSKA" и в
левом вернем углу текст:
TERAZ POLSKA v2.0
produced by NoName
All rights reserved
(c) 93.12.22 POLAND
Poro.1257
Опасный резидентный вирус. С 15 по 25 сентября выводит на экран текст:
С Днем рождения, Аллочка !
Наилучшие пожелания твоему Hard Disk`у !
При записи на диск (f.03 Int 13h) вирус пытается найти словосочетания
"Bori", "BORI", "Бори" и "БОРИ" и заменить их соответственно на "Poro",
"PORO", "Поро" и "ПОРО". Содержит зашифрованный текст "Turbo Bugger (C)
1994 Dedicated to Alla R. Borisyuk ( МЕХ-МАТЬ 307 )".
Poruchik.2774
Написан для процессора 386. Устанавливается резидентно в верхние адреса
памяти. При смене директория (f.3Bh INT 21h) вирус производит поиск
файлов *.exe и заражает их. Содержит текст: "Поручик Лозинский,
раздайте Aidstestы".
Possessed.2175, 2367, 2438, 2443, 2446 (1,2)
Опасные резидентные вирусы. Иногда удаляют файлы. Рисуют на экране в
графическом видеорежиме улыбающееся лицо. Выводят текст "POSSESSED!
Bwa! ha! ha! ha! ha!". Также содержат строку "Author: JonJon Gumba of
AdU".
Predator.1063,1072 (2),1137,1148,1154,1195
Опасные резидентные самошифрующиеся, кроме Predator.1063, вирусы.
Перехватывают INT 21h и INT 13h. При чтении секторов через INT 13h
вирусы могут испортить значение одного случайно выбранного бита в
буфере считанных секторов. Содержат текстовые строки:
Predator.1072 (1): Predator virus (c) Mar. 93 Priest
Predator.1072 (2):
Predator Strain B (c) 1993 Priest - Phalcon/Skism
Predator.1063,1137,1148,1154,1195:
Predator virus (c) Mar. 93
In memory of all those who were killed...
Wookies ain`t the only ones that drop! Priest
Predator.2448
Резидентный файлово-загрузочный полиморфный вирус. При старте
инфицированного файла трассирует INT 13h и INT 21h, становится
резидентно в верхних адресах памяти. Может "внедриться" в оригинальный
обработчик INT 21h, произведя изменение его 5ти первых байт. Заражает
MBR и Boot-сектора дискет, причем загрузочный сектор диска шифрует и
"прячет": для жесткого диска в секторе 2, для дискет - в первом секторе
последней дорожки. Содержит текстовую строку: Predator virus #2 (c)
1993 Priest - Phalcon/Skism
John Zaicev
Aug 11, 2013, 5:21:48 AM8/11/13
to
[√] Приветствую тебя, _All_ !
Pretentious.680
Неопасный нерезидентный вирус. Иногда выводит на экран текст:
Windows 95 may be dangerous.
OS/2 is the best operating system!
I`ll prove it soon...
Также содержит строку "* Gdynia 1996 * v1.0 *".
Priest.1416
Нерезидентный очень опасный вирус. Заражает COM и EXE-файлы в текущей
директории. Если номер месяца совпадает со значением дня, то вирус
считывает 9 первых секторов жесткого диска в память, уничтожает их на
диске, а затем выводит текст:
Я великий вирус ЖРЕЦ !!! Только что я стер ваши BOOT,MBR и FAT.
Не расстраивайтесь ,эта жертва будет принесена только если
вы не отгадаете загадку (отвечайте латинскими буквами) :
Какой в КМУГЕ самый лучший факультет :
Если ответить, что fareo, то вирус восстановит первые сектора диска.
Также в 16 часов вирус может вывести сообщение:
"Hello i`m virus Crazy Priest !!!
Мне очень жаль,но в жертву был принесен файл " - дальше идет имя файла.
В данный файл вирус будет записывать случайную информацию, до тех пор,
пока не будет нажата клавиша "Space" - "Пробел". 15 августа выводит
текст: "HAPPY BIRTHDAY CRAZY !!!".
Printerceptor
Опасный резидентный стелс-вирус-спутник. Перехватывает INT 21h.
Блокирует вывод на принтер. Содержит строку "Printerceptor".
Privet.1152
Неопасный резидентный вирус. При старте может вывести текст "привет
всем". также содержит тексты "*.exe skh", "плохо дело".
Problem.734, 845, 854, 856, 857, 863
Неопасные резидентные вирусы. Problem.854, 856, 863 содержат текст
"THIS IS YOUR PROBLEM !", Problem.857 - "by Mojo Risin for 1605",
Problem.845 - "dATA kILLER !".
Procuror
Очень опасный Boot-вирус. Имеет различные загрузчики для жестких и
гибких дисков. При загрузке с гибкого диска может отформатировать
начальную дорожку первого жесткого диска. Оригинальный MBR шифрует и
прячет в 7 секторе первой дорожки. Для гибких дисков оригинальный
Boot-сектор и 2 сектора своего продолжения записывает в последние 3
сектора последней дорожки. При загрузке с флоппи-диска прехватывает INT
1Eh и INT 13h. При загрузке с "винчестера" перехватывает INT 08h
(таймер), INT 13h, INT 17h (вывод на принтер). При выводе на принтер
цифр 0-4, вместо них выводит значения увеличенные на 1, вместо цифры 5
выводит 0. Примерно через 30 минут работы после загрузки в буфер
клавиатуры помещает слово "PROCUROR". Может изменить значение часов
реального времени в CMOS-памяти.
Prohibit.1500
Неопасный резидентный шифрованный стелс-вирус. При открытии файла вирус
удаляет свой код из файла, при его закрытии снова заражает его. Иногда
выводит текст "Will see you next time . Stone 93". Также содержит текст
"Prohibit MARYJUANA".
Promiscuo.2725
Опасный резидентный полиморфный вирус. Уничтожает файлы ANTI-VIR.DAT,
CHKLIST .MS, CHKLIST.MS,THIMAGEN.ARC,ACUARIO.SEX,TH.RPT.Содержит тексты
"pRoMiScUo ViRuS DeDiCaDo A ToDaS MiS MuJeReS!!","(c)1996 por pRoMisCuO
sExUaL!!".
PrtSc.1024 (1,2)
Неопасный резидентный вирус. Свое название получил за "перехват" INT 05
(Print Screen).
Punisher.1632
Неопасный резидентный шифрованный вирус. Имеет строку "The Punisher-I".
Puppet.487
Неопасный резидентный шифрованный вирус. Содержит текстовую строку
"[PS/G_] eMpIrE-X [G_ The Puppet Masters 3 Virus]".
Q.8Ball (1,2)
Неопасные резидентные вирусы.Заражают загрузочные сектора дискет и файл
C:\CONFIG.SYS. При загрузке системы с инфицированного флоппи-диска
вирусы копируют себя в область видеопамяти B800:7C00, "перехватывают"
INT 1Ah (BIOS time and date), "ждут" вызова данного прерывания, после
чего "перехватывают" INT 21h и "освобождают" INT 1Ah. После вызова
любой функции INT 21h (кроме запуска программ - AH=4Bh) вирусы создают
файл со случайным именем (f.5Ah Int 21h) на диске C:, записывает в него
свой код и внедряют в конец файла c:\config.sys строку вызова данного
файла, типа INSTALL=C:\ABCD.FGH (Q.8ball (1)) или DEVICE=C:\IJKL.MNO
(Q.8ball (2)). После этого или после функции EXEC (f.4Bh Int21h)
вирусы восстанавливают оригинальный адрес обработчика INT 21h. При
запуске файла, указанного в файле CONFIG.SYS, вирусы копируют себя в
область памяти HMA и "перехватывают" INT 40h для заражения загрузочных
секторов дискет. Q.8ball (1) содержит текст "8_Ball -=Q=-".
Q.IOwe
Неопасный вирус. Заражает файл IO.SYS, если он содержит в начале
последовательность 261 повторяющихся нулевых байт. Вирус записывает
свой код в область нулей и устанавливает на себя первую инструкцию
файла IO.SYS (короткий JUMP - EB 05). При старте такого инфицированного
файла, вирус копирует свое тело в область видеопамяти BE00:0000,
"перехватывает" INT 1Ah (BIOS time and date), "ждет" вызова данного
прерывания, после чего "перехватывает" INT 21h и "освобождает" INT 1Ah.
После вызова любой функции INT 21h (кроме запуска программ - AH=4Bh)
вирус пытается заразить файл C:\IO.SYS указанным выше способом. После
заражения данного файла или после функции EXEC (f.4Bh Int21h) вирус
восстанавливает оригинальный адрес обработчика INT 21h. Содержит тексты
"I OWE" и "-=Q=-".
Q.Shimmer (1,2)
Неопасные вирусы. Заражают файл C:\WINDOWS\WINSTART.BAT и загрузочные
сектора дискет. При загрузке системы с инфицированного флоппи-диска
вирус копирует себя в область видеопамяти B800:7C00, "перехватывает"
INT 1Ah (BIOS time and date), "ждет" вызова данного прерывания, после
чего "перехватывает" INT 21h и "освобождает" INT 1Ah. После вызова
любой функции INT 21h (кроме запуска программ - AH=4Bh) вирус создает
файл WINSTART.BAT в каталоге C:\WINDOWS, если таковой существует и не
содержит данного файла. В файл WINSTART.BAT вирус записывает свой код,
содержащий текстовые строки:
@ECHO PKX>INSTALL.EXE
@COPY/B INSTALL.EXE+%0.BAT>NUL
@INSTALL.EXE
После которых идет основное вирусное тело, состоящее из ассемблерных
инструкций. При запуске такого файла, происходящего, как правило, при
старте MS-Windows, вирус создает файл INSTALL.EXE из 5 текстовых байт
и собственного кода из файла WINSTART.BAT. Данный файл INSTALL.EXE
запускается вирусом. Первые 5 текстовых байт файла INSTALL.EXE
понимаются процессором, как ассемблерные команды: PUSH AX, DEC BX, POP
AX, OR AX, ??0A, после которых управление попадает в основной код
вируса. Вирус проверяет установлена ли его резидентная копия в памяти,
копирует себя в область HMA и "перехватывает" INT 2Fh. При получении
управления через INT 2Fh, вирус "перехватывает" INT 40h для заражения
загрузочных секторов флоппи-дисков. Q.Shimmer (2) пытается послать
в любой доступный из 4 последовательных портов последовательность
модемных команд "~ATM0L0S0=1O1". Q.Shimmer (1) содержит текст "New
Shimmer".
Qawo.719
Неопасный резидентный вирус. Вроде бы, содержит зашифрованную строку
"Qawo".
Qmu.1513
Опасный файлово-загрузочный вирус. Заражает MBR жесткого диска и COM-
файлы. При старте инфицированного COM-файла вирус устанавливает в
память свою резидентную копию и выводит сообщение "Bad command or file
name". При 100-й загрузке с инфицированного жесткого диска уничтожает
16 его первых секторов. При каждом 256-м чтении с диска (f.2 Int 13h)
подставляет в считанный блок по адресу 0C8h слово "mj".
Qudem.555
Неопасный резидентный вирус. Содержит тексты "Quick Demon 2", "Dr.WEB
меня не находит-обманули !".
Query
Опасный загрузочный вирус. В декабре уничтожает информацию на жестком
диске.
Quox
Опасный загрузочный вирус. При заражении MBR может записать
оригинальный MBR в сектор, содержащий данные.
Pretentious.680
Неопасный нерезидентный вирус. Иногда выводит на экран текст:
Windows 95 may be dangerous.
OS/2 is the best operating system!
I`ll prove it soon...
Также содержит строку "* Gdynia 1996 * v1.0 *".
Priest.1416
Нерезидентный очень опасный вирус. Заражает COM и EXE-файлы в текущей
директории. Если номер месяца совпадает со значением дня, то вирус
считывает 9 первых секторов жесткого диска в память, уничтожает их на
диске, а затем выводит текст:
Я великий вирус ЖРЕЦ !!! Только что я стер ваши BOOT,MBR и FAT.
Не расстраивайтесь ,эта жертва будет принесена только если
вы не отгадаете загадку (отвечайте латинскими буквами) :
Какой в КМУГЕ самый лучший факультет :
Если ответить, что fareo, то вирус восстановит первые сектора диска.
Также в 16 часов вирус может вывести сообщение:
"Hello i`m virus Crazy Priest !!!
Мне очень жаль,но в жертву был принесен файл " - дальше идет имя файла.
В данный файл вирус будет записывать случайную информацию, до тех пор,
пока не будет нажата клавиша "Space" - "Пробел". 15 августа выводит
текст: "HAPPY BIRTHDAY CRAZY !!!".
Printerceptor
Опасный резидентный стелс-вирус-спутник. Перехватывает INT 21h.
Блокирует вывод на принтер. Содержит строку "Printerceptor".
Privet.1152
Неопасный резидентный вирус. При старте может вывести текст "привет
всем". также содержит тексты "*.exe skh", "плохо дело".
Problem.734, 845, 854, 856, 857, 863
Неопасные резидентные вирусы. Problem.854, 856, 863 содержат текст
"THIS IS YOUR PROBLEM !", Problem.857 - "by Mojo Risin for 1605",
Problem.845 - "dATA kILLER !".
Procuror
Очень опасный Boot-вирус. Имеет различные загрузчики для жестких и
гибких дисков. При загрузке с гибкого диска может отформатировать
начальную дорожку первого жесткого диска. Оригинальный MBR шифрует и
прячет в 7 секторе первой дорожки. Для гибких дисков оригинальный
Boot-сектор и 2 сектора своего продолжения записывает в последние 3
сектора последней дорожки. При загрузке с флоппи-диска прехватывает INT
1Eh и INT 13h. При загрузке с "винчестера" перехватывает INT 08h
(таймер), INT 13h, INT 17h (вывод на принтер). При выводе на принтер
цифр 0-4, вместо них выводит значения увеличенные на 1, вместо цифры 5
выводит 0. Примерно через 30 минут работы после загрузки в буфер
клавиатуры помещает слово "PROCUROR". Может изменить значение часов
реального времени в CMOS-памяти.
Prohibit.1500
Неопасный резидентный шифрованный стелс-вирус. При открытии файла вирус
удаляет свой код из файла, при его закрытии снова заражает его. Иногда
выводит текст "Will see you next time . Stone 93". Также содержит текст
"Prohibit MARYJUANA".
Promiscuo.2725
Опасный резидентный полиморфный вирус. Уничтожает файлы ANTI-VIR.DAT,
CHKLIST .MS, CHKLIST.MS,THIMAGEN.ARC,ACUARIO.SEX,TH.RPT.Содержит тексты
"pRoMiScUo ViRuS DeDiCaDo A ToDaS MiS MuJeReS!!","(c)1996 por pRoMisCuO
sExUaL!!".
PrtSc.1024 (1,2)
Неопасный резидентный вирус. Свое название получил за "перехват" INT 05
(Print Screen).
Punisher.1632
Неопасный резидентный шифрованный вирус. Имеет строку "The Punisher-I".
Puppet.487
Неопасный резидентный шифрованный вирус. Содержит текстовую строку
"[PS/G_] eMpIrE-X [G_ The Puppet Masters 3 Virus]".
Q.8Ball (1,2)
Неопасные резидентные вирусы.Заражают загрузочные сектора дискет и файл
C:\CONFIG.SYS. При загрузке системы с инфицированного флоппи-диска
вирусы копируют себя в область видеопамяти B800:7C00, "перехватывают"
INT 1Ah (BIOS time and date), "ждут" вызова данного прерывания, после
чего "перехватывают" INT 21h и "освобождают" INT 1Ah. После вызова
любой функции INT 21h (кроме запуска программ - AH=4Bh) вирусы создают
файл со случайным именем (f.5Ah Int 21h) на диске C:, записывает в него
свой код и внедряют в конец файла c:\config.sys строку вызова данного
файла, типа INSTALL=C:\ABCD.FGH (Q.8ball (1)) или DEVICE=C:\IJKL.MNO
(Q.8ball (2)). После этого или после функции EXEC (f.4Bh Int21h)
вирусы восстанавливают оригинальный адрес обработчика INT 21h. При
запуске файла, указанного в файле CONFIG.SYS, вирусы копируют себя в
область памяти HMA и "перехватывают" INT 40h для заражения загрузочных
секторов дискет. Q.8ball (1) содержит текст "8_Ball -=Q=-".
Q.IOwe
Неопасный вирус. Заражает файл IO.SYS, если он содержит в начале
последовательность 261 повторяющихся нулевых байт. Вирус записывает
свой код в область нулей и устанавливает на себя первую инструкцию
файла IO.SYS (короткий JUMP - EB 05). При старте такого инфицированного
файла, вирус копирует свое тело в область видеопамяти BE00:0000,
"перехватывает" INT 1Ah (BIOS time and date), "ждет" вызова данного
прерывания, после чего "перехватывает" INT 21h и "освобождает" INT 1Ah.
После вызова любой функции INT 21h (кроме запуска программ - AH=4Bh)
вирус пытается заразить файл C:\IO.SYS указанным выше способом. После
заражения данного файла или после функции EXEC (f.4Bh Int21h) вирус
восстанавливает оригинальный адрес обработчика INT 21h. Содержит тексты
"I OWE" и "-=Q=-".
Q.Shimmer (1,2)
Неопасные вирусы. Заражают файл C:\WINDOWS\WINSTART.BAT и загрузочные
сектора дискет. При загрузке системы с инфицированного флоппи-диска
вирус копирует себя в область видеопамяти B800:7C00, "перехватывает"
INT 1Ah (BIOS time and date), "ждет" вызова данного прерывания, после
чего "перехватывает" INT 21h и "освобождает" INT 1Ah. После вызова
любой функции INT 21h (кроме запуска программ - AH=4Bh) вирус создает
файл WINSTART.BAT в каталоге C:\WINDOWS, если таковой существует и не
содержит данного файла. В файл WINSTART.BAT вирус записывает свой код,
содержащий текстовые строки:
@ECHO PKX>INSTALL.EXE
@COPY/B INSTALL.EXE+%0.BAT>NUL
@INSTALL.EXE
После которых идет основное вирусное тело, состоящее из ассемблерных
инструкций. При запуске такого файла, происходящего, как правило, при
старте MS-Windows, вирус создает файл INSTALL.EXE из 5 текстовых байт
и собственного кода из файла WINSTART.BAT. Данный файл INSTALL.EXE
запускается вирусом. Первые 5 текстовых байт файла INSTALL.EXE
понимаются процессором, как ассемблерные команды: PUSH AX, DEC BX, POP
AX, OR AX, ??0A, после которых управление попадает в основной код
вируса. Вирус проверяет установлена ли его резидентная копия в памяти,
копирует себя в область HMA и "перехватывает" INT 2Fh. При получении
управления через INT 2Fh, вирус "перехватывает" INT 40h для заражения
загрузочных секторов флоппи-дисков. Q.Shimmer (2) пытается послать
в любой доступный из 4 последовательных портов последовательность
модемных команд "~ATM0L0S0=1O1". Q.Shimmer (1) содержит текст "New
Shimmer".
Qawo.719
Неопасный резидентный вирус. Вроде бы, содержит зашифрованную строку
"Qawo".
Qmu.1513
Опасный файлово-загрузочный вирус. Заражает MBR жесткого диска и COM-
файлы. При старте инфицированного COM-файла вирус устанавливает в
память свою резидентную копию и выводит сообщение "Bad command or file
name". При 100-й загрузке с инфицированного жесткого диска уничтожает
16 его первых секторов. При каждом 256-м чтении с диска (f.2 Int 13h)
подставляет в считанный блок по адресу 0C8h слово "mj".
Qudem.555
Неопасный резидентный вирус. Содержит тексты "Quick Demon 2", "Dr.WEB
меня не находит-обманули !".
Query
Опасный загрузочный вирус. В декабре уничтожает информацию на жестком
диске.
Quox
Опасный загрузочный вирус. При заражении MBR может записать
оригинальный MBR в сектор, содержащий данные.
John Zaicev
Aug 11, 2013, 9:23:01 AM8/11/13
to
[√] Приветствую тебя, _All_ !
Radio101.1000
Неопасный шифрованный вирус. Примерно, через 53 минуты после старта
вирус выводит текст "Paдио 101". Содержит текстовую строку "Без
паники-идем ко дну!Ver 2.01".
Radio101.2076
Неопасный полиморфный резидентный вирус.Примерно, через 5 минут после
старта вирус выводит текст "Радио 101-наслаждение даже при половине
громкости!". При нажатии на Ctrl-Del или Alt-Del вирус выводит текст:
·······································
BERZIN FANS CLUB PRESENT
TEL:(095)434-00-00 OR 03
_______________________________________
Raiden.1433
Неопасный файлово-загрузочный вирус. Заражает MBR жесткого диска и EXE-
файлы. При старте инфицированной программы с некой командной строкой
(вирус считает CRC данной строки), вирус может произвести самолечение
данной программы. В вирусе существует код вывода сообщения:
÷_______________________________________"
' MBR VIRUS V.01 NECROSOFT CORPORATION '
' WRITEN BY RAIDEN COPYRIGHT (C) 1996 '
_______________________________________"
Rain
Опасный загрузочный вирус. В 19:15 уничтожает 2 сектора на головке-1,
цилиндре-0 и с сектора-1, где, как правило, находится загрузочный
сектор активного раздела, записывая туда вирусный код. Содержит текст
This is only a demo version made for Germany. New versions coming soon.
Written in the rain..
Rake.975
Неопасный резидентный вирус. Пытается не заражать файлы, содержащие в
своем теле строки "ИРУС", "IRUS", "виру" или "viru". Может перемещать
свою резидентную копию по различным адресам памяти.
RaseK.1489, RaseK.1490, RaseK.1492
Очень опасные файлово-загрузочные вирусы. Заражают COM, EXE-файлы и MBR
жесткого диска. Также внедряют деструктивный код в Boot-сектора дискет,
не сохраняя оригинальный сектор. При загрузке с такого флоппи-диска вся
информация на первом жестком диске будет уничтожена. Вирусы также могут
уничтожить информацию на "винчестере" при загрузке с жесткого диска.
Вирусы перехватывают INT 13h и INT 21h. Используют стелс-механизм при
попытке чтения MBR, скрывают приращение длины зараженных файлов. Не
заражают файлы, содержащие строку AND.COM (COMMAND.COM). В теле вирусов
присутствуют строки:
RaseK.1489 - "RaseK v2.1,from LA CORUеA(SPAIN).Mar93";
RaseK.1490 - "RaseK v2.0,from LA CORUеA(SPAIN).Mar93";
RaseK.1492 - "RаseKо v3.1,from La Coruдa(SPAIN).Ap93".
Raving.2300
Опасный нерезидентный вирус, создающий новые COM-файлы вместо
найденных. Выводит приглашение "C:\>", после чего ждет нажатий на
клавиши и выводит случайные символы вместо введенных. После этого
выводит текст:
I DON`T THINK YOU WOULD LIKE TO SMILE, BECAUSE I HAVE INFECTED A
FILE!!!
HAVE YOU HEARD OF A RAVING VIRUS MC, YES YOU GUESSED IT THAT IS ME!!!
YOU WONT SEE ANOTHER RHYME UNTIL IT IS INFECTING TIME!!!
RDA.Fighter.5871, 5969, 7408, 7802, 7868
RDA.Fighter.5871, 5969, 7802, 7868 -это резидентные сложнополиморфные
вирусы, заражающие файлы в формате COM и EXE. RDA.Fighter.7408 -
файлово-загрузочный полиморфный вирус (заражает COM, EXE-файлы и MBR
жесткого диска), скрывающий приращение свой длины в инфицированных
файлах. RDA.Fighter.7802 помимо полиморфных расшифровщиков имеет также
полиморфный механизм случайной расшифровки собственного кода. При
неаккуратной трассировке RDA.Fighter.5969, 7408 могут уничтожить
случайные сектора на жестком диске. Получив управление, основной
расшифрованный код вирусов получает из часов реального времени
случайное 32 разрядное значение, используемое вирусами для расшифровки
еще одного своего участка кода. После всевозможных умножений, делений,
сложений, вычитаний из 32хразрядного случайного числа получается
базовое 16 разрядное случайное число в регистре AX. Это число
умножается на 2 в регистре DI. Этот регистр DI будет указывать точку
входа в таблицы комбинаций вирусных расшифровывающих команд. Существует
2 таблицы по 16 комбинаций расшифровывающих команд, некоторые из
которых повторяются. Эти таблицы представлены ниже. Назовем эти
таблицы: "первая" и "зеркальная".
Первая таблица Зеркальная таблица
XOR [BX], DX NOT [BX] ;в данных таблицах регистр
ROR [BX], CL NEG [BX] ;BX указывает на код, для
............ .......... ;которого производится
NEG [BX] ROR [BX], DX ;расшифровка
NOT [BX] XOR [BX], DX
Далее, на основе установленных бит 16 разрядного числа в регистре AX,
выбирается расшифровывающая команда из первой таблицы, в зависимости от
регистра DI. Например, если нулевой бит установлен в 1, то берется
команда из таблицы (команду в таблице выбирает регистр DI), которая
копируется в тело расшифровщика с помощью антиотладочных команд
манипуляции стеком. В тело расшифровщика также заносится некоторая
первоначальная константа, с помощью которой могут производиться
операции расшифрования, и которая в цикле расшифровки будет динамически
изменяться по определенному закону. Данный закон направлен против
отладчиков. По окончании цикла данной расшифровки значение регистра DI
устанавливается на следующую команду в первой таблице. Потом данная
операция производится для всех установленных битов в 16 разрядном
значении AX. Если какой-либо бит не установлен, то цикл не проводится,
а значение DI передвигается на следующую команду. Если указатель DI
выходит за рамки последней 16 команды в таблице, то его значение
устанавливается на первую команду таблицы. Как только все биты в AX
исчерпаны, вирусы приступают к проверке того, что они всеми этими
хитроумными комбинациями расшифровали. Делают они это также хитроумным
способом. Они подсчитывают контрольную сумму расшифрованного участка
кода в зависимости от участка кода, который не был зашифрован. Подсчет
CRC производится "веером", от границы расшифровки и вверх, и вниз
подсчитывается 48 разрядное значение. При подсчете CRC используются
всевозможные команды пересылки, ADD, XOR,... Причем, вирусы
RDA.Fighter.5969, 7408 использует еще и дополнительную динамическую
корректировку CRC с помощью INT 01. А вирус RDA.Fighter.7408
дополнительно имеет 4 различных варианта подсчета CRC, меняющихся от
копии к копии. Полученное значение CRC хранится в регистрах AX, BP и
DX. Регистр BP складывается с числом, хранящимся в теле вируса,
корректируется относительно нахождения базовой точки вируса в памяти и
значение по смещению BP сравнивается с полученным значением DX. Причем,
в случае правильной расшифровки смещение хранения CRC должно находиться
в ранее зашифрованной области вируса. Если полученное значение CRC не
совпадает со значением DX, то вирусы повторяют описанную выше
комбинацию, только в качестве таблицы расшифровывающих команд теперь
будет использоваться зеркальная таблица. А делается это для того, чтобы
возвратить в исходное состояние ранее расшифрованную по "неправильному"
закону область вирусного кода. После того, как вирус возвратит все в
исходное состояние, попытка "правильной" расшифровки повторяется
сначала, начиная с получения случайного числа в регистре AX, и
использования в качестве базовой - первой таблицы расшифровывающих
команд. Вирусы будут "прокручивать" весь цикл с 16 разрядами регистра
AX, потом тот же вариант повторять с зеркальной таблицей и т.д., до тех
пор, пока, наконец, они не удостоверятся, что все расшифровалось
правильно. Но, так как, вирусы постоянно "следят" за отладчиком,
следует помнить, что в разрывах между попытками расшифровки вирусного
кода можно угодить в "опасный" код, уничтожающий информацию в секторах
жесткого диска, описанный выше. RDA.Fighter.7802, 7868 "разбавляют"
инструкции кода случайной расшифровки командами-"мусором" (такие
команды, которые не влияют на результат расшифровки). А также "первая",
и соответствующая ей "зеркальная" таблица, будут отличаться для каждого
экземпляра вирусов RDA.Fighter.7802, 7868.
Вирусы иногда выводят на экран тексты:
RDA.Fighter.7408:
"Stealth Fighter 2.0 : New Aggression."
RDA.Fighter.7802:
"Stealth Fighter DEMO Part (3.1) : Enemy Unknown"
RDA.Fighter.7868:
"Stealth Fighter,DEMO Part (3.2) : Next mutation 06/09/95"
RDA.Fighter.7408 заражает еще и Master Boot Record (главный загрузочный
сектор) жесткого диска.
Резидентные части вирусов контролируют функции запуска программ (
AX=4B00h) и открытия файлов (AH=3Dh). RDA.Fighter.5969 также
контролирует функцию переименования файлов (AH=56h). При вызове данных
функций вирусы пытаются заразить файлы, длина которых не меньше, чем
4096 байт. RDA.Fighter.7408, 7802, 7868 дополнительно контролируют
функции поиска файлов (AH=11h,12h,4Eh,4Fh) и скрывают приращение своей
длины у инфицированных файлов. В конце каждого зараженного файла
RDA.Fighter.7408, 7802, 7868 хранят 2 байта размера вирусного кода,
внедренного в данный файл. RDA.Fighter.7408, 7802, 7868 "перехватывают"
также INT 08 и несколько замедляют работу компьютера. Резидентная
активная копия вируса RDA.Fighter.7408 при вызове функции AX=0EEEEh
удаляет свой код из MBR жесткого диска. RDA.Fighter.7408, 7802, 7868
при вызове данной функции также и обезвреживает себя в памяти.
Резидентные копии вирусов используют очень мощный помехозащищенный
алгоритм восстановления собственного кода, позволяющий не допустить
отладку кодов вирусов с использованием отладочных точек останова.
Мало того, вирусы "ради шутки" пытаются ввести в заблуждение, внедряя
сразу в свои обработчики INT 21h инструкцию выхода из прерывания- IRET!
Но оригинальные байты обработчика вирусы сами же и исправляют с помощью
помехозащищенного алгоритма восстановления. Начальный код вирусных
обработчиков INT 21h выглядит следующим образом (ниже представлен
обработчик INT 21h вируса RDA.Fighter.5969):
PUSH AX
INC AH
CMP AX,4C00 ;запуск программы?
JE CHECK_FILES
CMP AH, 3E ;открытие файла?
JE CHECK_FILES
CMP AH, 57 ;переименование файла?
JE CHECK_FILES
DESTROY_HANDLER:
POP AX
JMP DWORD PTR CS:[ADR_INT21] ;выход в оригинальный INT 21h
CHECK_FILES:
CALL CHECK&RESTORE ;проверка и восстановление
MOV CS:DESTROY_HANDLER, 90CF ;вместо POP AX установить IRET?!
MOV CS:DESTROY_HANDLER+2, AX ;и регистр AX (4C00 или 3E??)
CALL CHECK&RESTORE ;проверка и восстановление
CALL CHECK_FILE_NAME ;а здесь уже никакой команды IRET
;не будет!
....................
Вирусы не заражают следующие файлы *ES?.* (AIDSTEST.EXE), *WE?.*
(WEB.EXE), *AN?.* (COMMAND.COM). RDA.Fighter.7408 при старте программы
CHKDSK "выключает" свой механизм скрытия истинной длины зараженных
файлов. После завершения ее работы - снова "включает". В процессе
инфицирования вирусы устанавливают свой обработчик критических ошибок
INT 24h, дисковый обработчик INT 13h, если в системе нет дискового кэша
и устанавливают обработчики INT 01 (пошаговое выполнение команд), INT
03 (точка останова) и INT 2Ah (Microsoft network) на свои обработчики,
содержащие единственную инструкцию - IRET. При заражении файла, вирусы
случайным образом выбирают (таким же, как и при определении регистра AX
при попытках расшифровки своего кода) смещение и размер области,
которая будет зашифрована в инфицируемом файле. Данная шифровка
предназначена, видимо, для невозможности восстановления файлов
специальными антивирусными утилитами (ADinfExt, TbClean,..).
Вирусы содержат следующие тексты:
RDA.Fighter.5871 -
RandomDecodingAlgoritm 1.0
"Stealth Fighter PART I" devoted MSU!
RDA.Fighter.5969 -
RandomDecodingAlgoritm 1.1
"Stealth Fighter PART I (1.1) for ALL."
RDA.Fighter.7408 -
"RandomDecodingAlgoritm 2.0"
"PhantomPolymorphicMultiLayerEngine 1.2"
RDA.Fighter.7802 -
"RandomDecodingAlgoritmEngine 1.0"
"PhantomPolymorphicMultiLayerEngine 1.2"
RDA.Fighter.7868 -
"RandomDecodingAlgorithmEngine 1.1"
"PhantomPolymorphicMultiLayerEngine 1.2"
RedArc - вирусы
Вирусы, изготовленные тульским "умельцем" Игорем Дикшевым 2:5022/12.23,
известным более под кличкой Red Arc.
RedArc.Fraud
Неопасный нерезидентный вирус. Заражает EXE-файлы, внедряя свой код в
начало файлов (переводя их в COM-формат), а зашифрованные оригинальные
начальные байты переносит в конец файлов. При старте такого файла,
вирус производит поиск и заражение EXE-файлов. После чего, если было
произведено хоть одно заражение, вирус восстанавливает файл-жертву в
исходное состояние ("самоизлечивается") и выводит текст "Bad command or
file name".
RedArc.Helga.666
Опасный нерезидентный вирус. Разрушает файлы *._*, *.ms. Иногда выводит
текст:
ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? ГОЛУБОЕ-ГОЛУБОЕ?
ТЫ ХОТЕЛ УВИДЕТЬ НЕБО?
НЕВИДАТЬ ЕГО СО МНОЙ!
и "завешивает" систему. Содержит строку "Helga".
RedArc.Stinger
Неопасный нерезидентный шифрованный вирус. Иногда выводит на экран
строку "STINGER".
RedArc.Vesna.1000 (1,2), 1614, 1724, 1751, 1833
Опасные нерезидентные вирусы. Удаляют файлы ch*.* и *.___. Vesna.1000
(1) в пятницу 13го числа выводит текст:
Friday 13th ?
Friday 13th ...
Friday 13th !
Good bye !
Vesna.1000 (2) 22 июня выводит строку "*KILLER*" и разрушает EXE-файлы,
приписывая им в конец 3 байта, производящих перезагрузку системы (CD
19). Vesna.1724 в марте выводит текст:
Bad command or file name
DOS not support!
You have virus!
Press any key to reboot...
Vesna.1833 в пятницу 13го выводит следующие тексты:
Friday 13th !
You have virus !
My name is GARRY ...
I fuck your PC !
Vesna.1614,1751 при совпадении дня недели и дня месяца в нечетные часы,
совпадающие со значением минут, выводит одно из следующих сообщений:
Весна пришла!
Unpress key TURBO to continue...
Format drive c: completed
PRESS RESET TO CONTINUE
Пора пить кофе!
Здесь был Игорь Д.
I LOVE
LORA
VESNA <LORA> (c) 1994,96 by Red Arc -=* Uni Tula *=-
или
Слышь, ты... чувак...
передай привет Веденеевой Лорисе!
VESNA (c) 1994,96 -=* Uni Tula *=-
И под мигание лампочек клавиатуры и дисководов система "зависает".
Vesna.1751 не заражает файлы из списка (по 2 буквы на имя файла):
aicodrwetbmsmvavscadutanatsdncvcdnwiioibvi. Различные версии вируса
содержат следующие тексты "My name is GARRY", "*TULA*", "Это зделано в
ТулE", "TULA", "Пришла весна !", "Здесь был Игорь Д.", "ОЛЕЧКА", "TYPE
HAPPY BIRTHDAY GARRY".
Radio101.1000
Неопасный шифрованный вирус. Примерно, через 53 минуты после старта
вирус выводит текст "Paдио 101". Содержит текстовую строку "Без
паники-идем ко дну!Ver 2.01".
Radio101.2076
Неопасный полиморфный резидентный вирус.Примерно, через 5 минут после
старта вирус выводит текст "Радио 101-наслаждение даже при половине
громкости!". При нажатии на Ctrl-Del или Alt-Del вирус выводит текст:
·······································
BERZIN FANS CLUB PRESENT
TEL:(095)434-00-00 OR 03
_______________________________________
Raiden.1433
Неопасный файлово-загрузочный вирус. Заражает MBR жесткого диска и EXE-
файлы. При старте инфицированной программы с некой командной строкой
(вирус считает CRC данной строки), вирус может произвести самолечение
данной программы. В вирусе существует код вывода сообщения:
÷_______________________________________"
' MBR VIRUS V.01 NECROSOFT CORPORATION '
' WRITEN BY RAIDEN COPYRIGHT (C) 1996 '
_______________________________________"
Rain
Опасный загрузочный вирус. В 19:15 уничтожает 2 сектора на головке-1,
цилиндре-0 и с сектора-1, где, как правило, находится загрузочный
сектор активного раздела, записывая туда вирусный код. Содержит текст
This is only a demo version made for Germany. New versions coming soon.
Written in the rain..
Rake.975
Неопасный резидентный вирус. Пытается не заражать файлы, содержащие в
своем теле строки "ИРУС", "IRUS", "виру" или "viru". Может перемещать
свою резидентную копию по различным адресам памяти.
RaseK.1489, RaseK.1490, RaseK.1492
Очень опасные файлово-загрузочные вирусы. Заражают COM, EXE-файлы и MBR
жесткого диска. Также внедряют деструктивный код в Boot-сектора дискет,
не сохраняя оригинальный сектор. При загрузке с такого флоппи-диска вся
информация на первом жестком диске будет уничтожена. Вирусы также могут
уничтожить информацию на "винчестере" при загрузке с жесткого диска.
Вирусы перехватывают INT 13h и INT 21h. Используют стелс-механизм при
попытке чтения MBR, скрывают приращение длины зараженных файлов. Не
заражают файлы, содержащие строку AND.COM (COMMAND.COM). В теле вирусов
присутствуют строки:
RaseK.1489 - "RaseK v2.1,from LA CORUеA(SPAIN).Mar93";
RaseK.1490 - "RaseK v2.0,from LA CORUеA(SPAIN).Mar93";
RaseK.1492 - "RаseKо v3.1,from La Coruдa(SPAIN).Ap93".
Raving.2300
Опасный нерезидентный вирус, создающий новые COM-файлы вместо
найденных. Выводит приглашение "C:\>", после чего ждет нажатий на
клавиши и выводит случайные символы вместо введенных. После этого
выводит текст:
I DON`T THINK YOU WOULD LIKE TO SMILE, BECAUSE I HAVE INFECTED A
FILE!!!
HAVE YOU HEARD OF A RAVING VIRUS MC, YES YOU GUESSED IT THAT IS ME!!!
YOU WONT SEE ANOTHER RHYME UNTIL IT IS INFECTING TIME!!!
RDA.Fighter.5871, 5969, 7408, 7802, 7868
RDA.Fighter.5871, 5969, 7802, 7868 -это резидентные сложнополиморфные
вирусы, заражающие файлы в формате COM и EXE. RDA.Fighter.7408 -
файлово-загрузочный полиморфный вирус (заражает COM, EXE-файлы и MBR
жесткого диска), скрывающий приращение свой длины в инфицированных
файлах. RDA.Fighter.7802 помимо полиморфных расшифровщиков имеет также
полиморфный механизм случайной расшифровки собственного кода. При
неаккуратной трассировке RDA.Fighter.5969, 7408 могут уничтожить
случайные сектора на жестком диске. Получив управление, основной
расшифрованный код вирусов получает из часов реального времени
случайное 32 разрядное значение, используемое вирусами для расшифровки
еще одного своего участка кода. После всевозможных умножений, делений,
сложений, вычитаний из 32хразрядного случайного числа получается
базовое 16 разрядное случайное число в регистре AX. Это число
умножается на 2 в регистре DI. Этот регистр DI будет указывать точку
входа в таблицы комбинаций вирусных расшифровывающих команд. Существует
2 таблицы по 16 комбинаций расшифровывающих команд, некоторые из
которых повторяются. Эти таблицы представлены ниже. Назовем эти
таблицы: "первая" и "зеркальная".
Первая таблица Зеркальная таблица
XOR [BX], DX NOT [BX] ;в данных таблицах регистр
ROR [BX], CL NEG [BX] ;BX указывает на код, для
............ .......... ;которого производится
NEG [BX] ROR [BX], DX ;расшифровка
NOT [BX] XOR [BX], DX
Далее, на основе установленных бит 16 разрядного числа в регистре AX,
выбирается расшифровывающая команда из первой таблицы, в зависимости от
регистра DI. Например, если нулевой бит установлен в 1, то берется
команда из таблицы (команду в таблице выбирает регистр DI), которая
копируется в тело расшифровщика с помощью антиотладочных команд
манипуляции стеком. В тело расшифровщика также заносится некоторая
первоначальная константа, с помощью которой могут производиться
операции расшифрования, и которая в цикле расшифровки будет динамически
изменяться по определенному закону. Данный закон направлен против
отладчиков. По окончании цикла данной расшифровки значение регистра DI
устанавливается на следующую команду в первой таблице. Потом данная
операция производится для всех установленных битов в 16 разрядном
значении AX. Если какой-либо бит не установлен, то цикл не проводится,
а значение DI передвигается на следующую команду. Если указатель DI
выходит за рамки последней 16 команды в таблице, то его значение
устанавливается на первую команду таблицы. Как только все биты в AX
исчерпаны, вирусы приступают к проверке того, что они всеми этими
хитроумными комбинациями расшифровали. Делают они это также хитроумным
способом. Они подсчитывают контрольную сумму расшифрованного участка
кода в зависимости от участка кода, который не был зашифрован. Подсчет
CRC производится "веером", от границы расшифровки и вверх, и вниз
подсчитывается 48 разрядное значение. При подсчете CRC используются
всевозможные команды пересылки, ADD, XOR,... Причем, вирусы
RDA.Fighter.5969, 7408 использует еще и дополнительную динамическую
корректировку CRC с помощью INT 01. А вирус RDA.Fighter.7408
дополнительно имеет 4 различных варианта подсчета CRC, меняющихся от
копии к копии. Полученное значение CRC хранится в регистрах AX, BP и
DX. Регистр BP складывается с числом, хранящимся в теле вируса,
корректируется относительно нахождения базовой точки вируса в памяти и
значение по смещению BP сравнивается с полученным значением DX. Причем,
в случае правильной расшифровки смещение хранения CRC должно находиться
в ранее зашифрованной области вируса. Если полученное значение CRC не
совпадает со значением DX, то вирусы повторяют описанную выше
комбинацию, только в качестве таблицы расшифровывающих команд теперь
будет использоваться зеркальная таблица. А делается это для того, чтобы
возвратить в исходное состояние ранее расшифрованную по "неправильному"
закону область вирусного кода. После того, как вирус возвратит все в
исходное состояние, попытка "правильной" расшифровки повторяется
сначала, начиная с получения случайного числа в регистре AX, и
использования в качестве базовой - первой таблицы расшифровывающих
команд. Вирусы будут "прокручивать" весь цикл с 16 разрядами регистра
AX, потом тот же вариант повторять с зеркальной таблицей и т.д., до тех
пор, пока, наконец, они не удостоверятся, что все расшифровалось
правильно. Но, так как, вирусы постоянно "следят" за отладчиком,
следует помнить, что в разрывах между попытками расшифровки вирусного
кода можно угодить в "опасный" код, уничтожающий информацию в секторах
жесткого диска, описанный выше. RDA.Fighter.7802, 7868 "разбавляют"
инструкции кода случайной расшифровки командами-"мусором" (такие
команды, которые не влияют на результат расшифровки). А также "первая",
и соответствующая ей "зеркальная" таблица, будут отличаться для каждого
экземпляра вирусов RDA.Fighter.7802, 7868.
Вирусы иногда выводят на экран тексты:
RDA.Fighter.7408:
"Stealth Fighter 2.0 : New Aggression."
RDA.Fighter.7802:
"Stealth Fighter DEMO Part (3.1) : Enemy Unknown"
RDA.Fighter.7868:
"Stealth Fighter,DEMO Part (3.2) : Next mutation 06/09/95"
RDA.Fighter.7408 заражает еще и Master Boot Record (главный загрузочный
сектор) жесткого диска.
Резидентные части вирусов контролируют функции запуска программ (
AX=4B00h) и открытия файлов (AH=3Dh). RDA.Fighter.5969 также
контролирует функцию переименования файлов (AH=56h). При вызове данных
функций вирусы пытаются заразить файлы, длина которых не меньше, чем
4096 байт. RDA.Fighter.7408, 7802, 7868 дополнительно контролируют
функции поиска файлов (AH=11h,12h,4Eh,4Fh) и скрывают приращение своей
длины у инфицированных файлов. В конце каждого зараженного файла
RDA.Fighter.7408, 7802, 7868 хранят 2 байта размера вирусного кода,
внедренного в данный файл. RDA.Fighter.7408, 7802, 7868 "перехватывают"
также INT 08 и несколько замедляют работу компьютера. Резидентная
активная копия вируса RDA.Fighter.7408 при вызове функции AX=0EEEEh
удаляет свой код из MBR жесткого диска. RDA.Fighter.7408, 7802, 7868
при вызове данной функции также и обезвреживает себя в памяти.
Резидентные копии вирусов используют очень мощный помехозащищенный
алгоритм восстановления собственного кода, позволяющий не допустить
отладку кодов вирусов с использованием отладочных точек останова.
Мало того, вирусы "ради шутки" пытаются ввести в заблуждение, внедряя
сразу в свои обработчики INT 21h инструкцию выхода из прерывания- IRET!
Но оригинальные байты обработчика вирусы сами же и исправляют с помощью
помехозащищенного алгоритма восстановления. Начальный код вирусных
обработчиков INT 21h выглядит следующим образом (ниже представлен
обработчик INT 21h вируса RDA.Fighter.5969):
PUSH AX
INC AH
CMP AX,4C00 ;запуск программы?
JE CHECK_FILES
CMP AH, 3E ;открытие файла?
JE CHECK_FILES
CMP AH, 57 ;переименование файла?
JE CHECK_FILES
DESTROY_HANDLER:
POP AX
JMP DWORD PTR CS:[ADR_INT21] ;выход в оригинальный INT 21h
CHECK_FILES:
CALL CHECK&RESTORE ;проверка и восстановление
MOV CS:DESTROY_HANDLER, 90CF ;вместо POP AX установить IRET?!
MOV CS:DESTROY_HANDLER+2, AX ;и регистр AX (4C00 или 3E??)
CALL CHECK&RESTORE ;проверка и восстановление
CALL CHECK_FILE_NAME ;а здесь уже никакой команды IRET
;не будет!
....................
Вирусы не заражают следующие файлы *ES?.* (AIDSTEST.EXE), *WE?.*
(WEB.EXE), *AN?.* (COMMAND.COM). RDA.Fighter.7408 при старте программы
CHKDSK "выключает" свой механизм скрытия истинной длины зараженных
файлов. После завершения ее работы - снова "включает". В процессе
инфицирования вирусы устанавливают свой обработчик критических ошибок
INT 24h, дисковый обработчик INT 13h, если в системе нет дискового кэша
и устанавливают обработчики INT 01 (пошаговое выполнение команд), INT
03 (точка останова) и INT 2Ah (Microsoft network) на свои обработчики,
содержащие единственную инструкцию - IRET. При заражении файла, вирусы
случайным образом выбирают (таким же, как и при определении регистра AX
при попытках расшифровки своего кода) смещение и размер области,
которая будет зашифрована в инфицируемом файле. Данная шифровка
предназначена, видимо, для невозможности восстановления файлов
специальными антивирусными утилитами (ADinfExt, TbClean,..).
Вирусы содержат следующие тексты:
RDA.Fighter.5871 -
RandomDecodingAlgoritm 1.0
"Stealth Fighter PART I" devoted MSU!
RDA.Fighter.5969 -
RandomDecodingAlgoritm 1.1
"Stealth Fighter PART I (1.1) for ALL."
RDA.Fighter.7408 -
"RandomDecodingAlgoritm 2.0"
"PhantomPolymorphicMultiLayerEngine 1.2"
RDA.Fighter.7802 -
"RandomDecodingAlgoritmEngine 1.0"
"PhantomPolymorphicMultiLayerEngine 1.2"
RDA.Fighter.7868 -
"RandomDecodingAlgorithmEngine 1.1"
"PhantomPolymorphicMultiLayerEngine 1.2"
RedArc - вирусы
Вирусы, изготовленные тульским "умельцем" Игорем Дикшевым 2:5022/12.23,
известным более под кличкой Red Arc.
RedArc.Fraud
Неопасный нерезидентный вирус. Заражает EXE-файлы, внедряя свой код в
начало файлов (переводя их в COM-формат), а зашифрованные оригинальные
начальные байты переносит в конец файлов. При старте такого файла,
вирус производит поиск и заражение EXE-файлов. После чего, если было
произведено хоть одно заражение, вирус восстанавливает файл-жертву в
исходное состояние ("самоизлечивается") и выводит текст "Bad command or
file name".
RedArc.Helga.666
Опасный нерезидентный вирус. Разрушает файлы *._*, *.ms. Иногда выводит
текст:
ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? ГОЛУБОЕ-ГОЛУБОЕ?
ТЫ ХОТЕЛ УВИДЕТЬ НЕБО?
НЕВИДАТЬ ЕГО СО МНОЙ!
и "завешивает" систему. Содержит строку "Helga".
RedArc.Stinger
Неопасный нерезидентный шифрованный вирус. Иногда выводит на экран
строку "STINGER".
RedArc.Vesna.1000 (1,2), 1614, 1724, 1751, 1833
Опасные нерезидентные вирусы. Удаляют файлы ch*.* и *.___. Vesna.1000
(1) в пятницу 13го числа выводит текст:
Friday 13th ?
Friday 13th ...
Friday 13th !
Good bye !
Vesna.1000 (2) 22 июня выводит строку "*KILLER*" и разрушает EXE-файлы,
приписывая им в конец 3 байта, производящих перезагрузку системы (CD
19). Vesna.1724 в марте выводит текст:
Bad command or file name
You have virus!
Press any key to reboot...
Vesna.1833 в пятницу 13го выводит следующие тексты:
Friday 13th !
You have virus !
My name is GARRY ...
I fuck your PC !
Vesna.1614,1751 при совпадении дня недели и дня месяца в нечетные часы,
совпадающие со значением минут, выводит одно из следующих сообщений:
Весна пришла!
Unpress key TURBO to continue...
Format drive c: completed
PRESS RESET TO CONTINUE
Пора пить кофе!
Здесь был Игорь Д.
I LOVE
LORA
VESNA <LORA> (c) 1994,96 by Red Arc -=* Uni Tula *=-
или
Слышь, ты... чувак...
передай привет Веденеевой Лорисе!
VESNA (c) 1994,96 -=* Uni Tula *=-
И под мигание лампочек клавиатуры и дисководов система "зависает".
Vesna.1751 не заражает файлы из списка (по 2 буквы на имя файла):
aicodrwetbmsmvavscadutanatsdncvcdnwiioibvi. Различные версии вируса
содержат следующие тексты "My name is GARRY", "*TULA*", "Это зделано в
ТулE", "TULA", "Пришла весна !", "Здесь был Игорь Д.", "ОЛЕЧКА", "TYPE
HAPPY BIRTHDAY GARRY".
0 new messages