перехватывает INT 16h вместо INT

Вариант вируса "3APA3A", перехватывает INT 16h вместо INT 13h и заражает флоппи-диски при вводе символов с клавиатуры. Проявляется треском в динамике компьютера.

загрузочные зашифрованные вирусы. Поражают начальные

Резидентные файлово- загрузочные зашифрованные вирусы. Поражают начальные сектора дискет и файл IO.SYS на диске С. Занимают 1024 байта и состоят из двух частей (секторов). Первая часть содержит инсталлятор вируса и подпрограмму заражения флоппи-дисков, вторая часть содержит код, внедряемый в boot-сектора дискет. Этот код представляет собой процедуру заражения файла IO.SYS (или его эквивалента типа IBMBIO.COM) на винчестере. В boot-секторах вирус зашифрован. При загрузке с зараженного флоппи-диска вирус расшифровывает себя и передает управление подпрограмме заражения файла IO.SYS. Эта подпрограмма считывает первый boot-сектор винчестера (диск C), проверяет размер диска (не заражает диск, если он меньше 26M, т.е. используется 12-битная FAT), подсчитывает адрес корневого каталога, считывает его, проверяет атрибут первой записи корневого каталога и не заражает диск, если первая запись в корневом каталоге имеет атрибут VOLUME. Если этот атрибут - не VOLUME, то вирус копирует в последние сектора диска файл, соответствующий первому входу (стандартно это IO.SYS) и сдвигает вниз на одну позицию все записи в корневом каталоге с 3-го по 77-й (последняя запись будет потеряна, так как она затирается предпоследней). Затем вирус копирует системные данные из первой записи корневого каталога в третью и устанавливает в третьей записи адрес первого кластера файла на только что созданную копию IO.SYS. В результате в системе появляются два файла IO.SYS: на первый указывает первая запись в корневом каталоге, на второй - третья запись. Затем вирус записывает вместо первого IO.SYS свой код и ставит у этой записи атрибут VOLUME.
Корневой каталог до заражения:
size cluster attributes
IO SYS 40470 2 Arc R/O Sys Hid MSDOS SYS 38138 22 Arc R/O Sys Hid COMMAND COM 52928 41 Arc DOS 0 67 DIR AUTOEXECBAT 100 68 Arc CONFIG SYS 150 69 Arc
Зараженный корневой каталог:
size cluster attributes +----- VOLUME attr V IO SYS 40470 2 Arc R/O Sys Hid Vol <- вирус MSDOS SYS 38138 22 Arc R/O Sys Hid IO SYS 40470 16108 Arc <- первоначальный IO.SYS COMMAND COM 52928 41 Arc <- сдвинутые вниз входы DOS 0 67 DIR в корневой каталог AUTOEXECBAT 100 68 Arc CONFIG SYS 150 69 Arc


Все описанные выше манипуляции производятся вирусом через INT 13h, причем довольно тщательно: он проверяет диск на наличие свободных кластеров, аккуратно сохраняет все копии FAT и т.д. Атрибут VOLUME у зараженного IO.SYS играет двоякую роль - идентификатора зараженного диска и "стелс"
-функция вируса. Файл с атрибутом VOLUME не виден стандартными функциями DOS, такими, как FindFirst/Next, Open, Read, Close. Для того чтобы обнаружить этот файл и прочитать его содержимое требуются специальные утилиты чтения дисковых секторов (например, AVPUTIL или DiskEditor). В результате описанной выше процедуры диск C: оказывается зараженным, однако ни MBR, ни boot-сектор не изменились. Изменен единственный объект - файл IO.SYS. При загрузке системы с пораженного винчестера все будет идти, как и на чистой системе (загрузка и выполнение MBR и boot-сектора) до момента запуска IO.SYS. Стандартный загрузчик DOS сравнивает имена первых двух входов в корневой каталог со строками IO.SYS и MSDOS.SYS (или эквивалентными строками). Загрузчик ищет строки, но не проверяет атрибуты обнаруженных входов в каталоге. В результате загрузчик найдет в первом входе строку IO.SYS, загрузит соответствующий файл (вирус) в память и передаст ему управление. При загрузке с зараженного диска процедура инсталляции, получив управление, перехватывает INT 13h и оставляет вирус в памяти стандартным способом, уменьшая размер системной памяти (слово по адресу 0000:0413). При вызове INT 13h вирус обрабатывает обращения к флоппи-дискам и заражает их. Он сохранает свое продолжение и первоначальный boot-сектор в последних секторах корневого каталога дискеты и записывает свой инсталлятор вместо boot-сектора, предварительно зашифровав его при помощи полиморфик
-алгоритма. В августе при загрузке с зараженного диска вирус расшифровывает и выдает сообщение:
B BOOT CEKTOPE - 3APA3A
С формальной точки зрения этот вирус не является стелс-вирусом, однако процедура его обнаружения и лечения на винчестере довольно трудна.Зараженный IO.SYS не виден стандартными функциями DOS и может быть обнаружен только вызовами через INT 13h/25h. Зараженный файл невозможно также ни удалить, ни переименовать. Единственный способ обнаружить вирус из DOS - это команда LABEL, при ее вызове DOS отвечает:
Volume in drive C is IO SYS
На попытку изменения метки диска DOS реагирует сообщением:
Cannot make directory entry
Невозможно также вылечить диск утилитой SYS, поскольку она заменит только вторую копию IO.SYS, не затронув вируса. Более того, диск станет незагружаемым, поскольку вирус считывает зараженный IO.SYS по абсолютным адресам, сохраненным при заражении диска, а при команде SYS этот файл будет (скорее всего) помещен на новое место.

в MBR винчестера, затем перехватывает

Очень опасный резидентный файлово-загрузочный стелс
-вирус. При загрузке с зараженного флоппи-диска вирус записывается в MBR винчестера, затем перехватывает INT 13h (как и при загрузке с пораженного винчестера) и проверяет функции записи на диск и чтения с него. При чтении с флоппи-диска вирус поражает его boot-сектор. При записи на флоппи-диски вирус проверяет начало буфера данных. Если первый байт буфера содержит команду JMP (E9h), то вирус записывает себя вместо первых 200h байт буфера. Таким образом вирус вставляет себя в начало или середину файла. При запуске такого файла на выполнение вирус поражает MBR и возвращается в DOS. Такие файлы не восстанавливаются и должны быть уничтожены.

загрузочный вирус. При запуске зараженного

Неопасный резидентный файлово- загрузочный вирус. При запуске зараженного файла копирует себя в HMA, перехватывает INT 40h, а затем записывается в boot-сектора дискет при обращениях к ним. При загрузке с пораженной дискеты вирус перехватывает INT 1Ah, ждет загрузки DOS, перехватывает INT 21h и при первом вызове INT 21h заражает диск C:. При этом вирус создает на диске C: файл со случайным именем, записывает в него свою копию и добавляет в файл C:\CONFIG.SYS строку:
INSTALL=C:\<filename>
Таким образом при загрузке с пораженного диска C: вирус получает управление из файла CONFIG.SYS. После заражения файла CONFIG.SYS он восстанавливает INT 21h, этим удаляя себя из памяти. Вирус использует антиотладочные приемы, что-то делает с портами клавиатуры, содержит строки:
PK INSTALL=C:\ c:\config.sys 8_Ball -=Q=-

Alar, семейство

Очень опасные резидентные файлово-загрузочные полиморфик-стелс-вирусы. Заражают MBR винчестера, записываются в конец COM- и EXE-файлов при их запуске и закрытии. При открытии зараженных файлов лечат их. MBR заражают при первом запуске зараженного файла. При заражении MBR портят информацию на дисках, если они размечены менее чем 18 секторов на трек. Остаются резидентно как при загрузке с MBR, так и при запуске зараженных файлов. Перехватывают INT 21h для заражения и стелс; INT 13h для стелс и перехвата INT 21h при загрузке с зараженного MBR; INT 17h - меняют какие-то символы при их печати; INT 1Ch - периодически "трясут" экран и проверяют CRC кода своего перехватчика INT 21h. При заражении MBR временно перехватывают INT 10h, 16h (видео и клавиатура), видимо, пытаются "одурачить" встроенную в BIOS защиту от записи. Вирусы перехватывают ввод с командной строки и при вводе текста "stop creeping" блокируют свои процедуры заражения и стелс, при вводе "do it right now" стирают CMOS, при вводе "tell me your version" выводят на экран текст:

"Alar.4270":

Alar Abaddon virus. Version 1.2 (peaceful) Created by G..... A..... (C) 05/29/97

"Alar.4625":

Alar Abaddon virus. Version 2.0 (peaceful) Created by G..... A..... (C) 07/06/97

"Alar.4873"

Alar Abaddon virus. Version 2.1 (harmful) Created by G..... A..... (C) 07/18/97

"Alar.6047":

Alar Abaddon virus. Version 2.4 (harmful) Created by G..... A..... (C) 08/03/97

Проверяют CRC кода своего обработчика INT 21h и, если CRC не совпадает (код вируса модифицирован, например, при лечении), выводят текст и завешивает компьютер:

Не занимайтесь самолечением, друг мой !

При запуске под старыми версиями DOS выводят текст:

Invalid parameter missing

"Alar.6047" также содержит текст:

+-----------------------------------------------------------------------+ | Глубокоуважаемый господин Данилов ! Имею честь сообщить, что в ваше | | описание вирусов от 25.07.97 вкралась ошибка :(. Вирусы Alar.4270 и | | Alar.4625 вы по недоразумению отнесли к серии вирусов MF.xxxx, разра- | | боткой которой я не занимался. Пришлось выпустить новую версию с | | данным сообщением. Нижайшая просьба исправить вашу доку. | | С уважением, Г..... А..... | +-----------------------------------------------------------------------+

загрузочный вирус. При запуске зараженного

Опасный(?) резидентный файлово- загрузочный вирус. При запуске зараженного файла или загрузке с пораженной дискеты вирус записывается в MBR винчестера. Затем перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. Дискеты заражает при любом обращении к ним. В зависимости от своего "поколения" каким-то образом портит(?) CMOS.

Alla, семейство

Опасные резидентные файлово-загрузочные вирусы. Перехватывают INT 13h, 21h и записываются в MBR винчестера, boot-сектора дискет и в конец COM-файлов при обращениях к ним. В результате ошибки портят информацию на дисетах 1.4M. Содержат строки:

Alla 1.0 Wild W0rker /RSA

Anthrax

Резидентный файлово-загрузочный вирус. Записывается в конец COM- и EXE-файлов и в MBR винчестера. Поражает MBR при старте зараженного файла, продолжение вируса и MBR-сектор сохраняются начиная с адреса 0/0/2 (трек/головка/сектор). Память заражается при загрузке с инфицированного диска, вирус перехватывает INT 21h и затем поражает только файлы. Содержит строки:

ANTHRAX (c) Damage, Inc

Arianna, семейство

Резидентные самошифрующиеся файлово-загрузочные стелс

-вирусы. При запуске зараженного файла записываются в MBR винчестера. При зазрузке с зараженного MBR перехватывают INT 1Ch, ждут загрузки DOS, затем перехватывают INT 13h (для реализации стелс-алгоритма при обращении к зараженному MBR) и INT 21h (для заражения файлов). Вирусы записываются в конец EXE-файлов при их запуске или закрытии. При открытии зараженного файла вирусы лечат его. Периодически проявляются видеоэффектами и затирают первоначальный MBR-сектор. "Arianna.3076" является файловым вирусом - заражает COM и EXE файлы и не заражает MBR винчестера. Вирусы содержат строки:

"Arianna.2864":

"ARIANNA VIRUS"HAS DONE A RECOVERABLE DAMAGE GOOD LUCK FRIEND !! +--------------------------------------------+ | ARIANNA is changing your computer activity | | If you wish no damage do not turn it off | | ThanX for diffusion ! | +--------------------------------------------+ Coded in Bari thanX 2 DOS UNDOCUMENTED

"Arianna.3076":

Improved ARIANNA , waiting for ADVANCED 386 Bari @1995 by AV(ANTI)-VIRUS SYSTEM

"Arianna.3375":

Coded in BARI ThanX to DOS UNDOCUMENTED See you for a new virus release. Bye !

"Arianna.3375":

Coded in BARI ThanX to DOS UNDOCUMENTED Check the code to discover the virus name It is very easy ! Bye !!

Демонстрации вирусных эффектов:

arianna.com

загрузочный вирус. Заражает MBR винчестера,

Очень опасный зашифрованный файлово- загрузочный вирус. Заражает MBR винчестера, COM- и EXE-файлы. При запуске зараженного файла вирус записывается в MBR, затем перехватывает INT 13h, 21h и остается резидентно в памяти. При загрузке с зараженного диска вирус перехватывает INT 13h, 1Ch, ждет загрузки DOS и перехватывает INT 21h. При обращениях к зараженной MBR вирус вызывает свою стелс-процедуру. Вирус записывается в середину COM- и EXE-файлов при обращениях к ним. При смене каталогов и удалении файлов вирус ищет COM- и EXE-файлы и также заражает их. После заражения вирус удаляет файлы CHKLIST.MS, если таковой присутствует. Вирус не заражает файлы:

CHKDSK.*, COMMAND.COM, EMM386.*, POWER.* INTERLNK.*, MCA.*, MSCDEX.*, SHARE.*, CERT.*, TOOLKIT.*, GUARDMEM.*, GUARD.*, SCAN.*, CLEAN.*, FINDVIRU.*, FV*.*, TB*.*, CLEANPAR.*, CLEANBOO.*, VSAFE.*, MSAV.*, NAV.*, VALIDATE.*, VSHIELD.*, VIVERIFY.*, IMENSCAN.*, TAROMAR.*

В зависимости от системной даты выводит текст:

Arya V1.0 This is the most Powerfull and Technical Iranian program ... Azad University of Lahijan . Sig: - 17FSAK - ( 1996 )

Начиная с июня по 13-м числам записывает тот же текст в начало файлов .DBF, .ZIP, .LZH, .GIF, .DAT, PCX и .GN. Подсчитывает CRC-сумму своего кода и стирает CMOS, если эта сумма неверна. Содержит ошибки и в некоторых случаях завешивает компьютер.

AT-Corp, семейство

Безобидные резидентные вирусы. "AT-Corp.321" - файлово-загрузочный вирус, "AT-Corp.363" заражает только файлы. Перехватывают INT 13h и записывается в заголовок EXE-файлов при наличии там свободного места при чтении/записи соответствующих секторов. Длина файла при заражении не увеличивается. "AT-Corp.321" заражает также MBR винчестера. Остается резидентно в памяти только при загрузке с зараженого MBR. Содержат строки:

"AT-Corp.321": (c)AT Corp. 1995 "AT-Corp.363": (c) AT Corp. 1994

загрузочные вирусы. Перехватывают INT 13h,

Неопасные резидентные файлово- загрузочные вирусы. Перехватывают INT 13h, 21h и записываются в конец файлов, в MBR винчестера и boot сектора дискет при чтении этих секторов. При обращении к зараженным секторам являются стелс

-вирусами. "Australian.1024.a" поражает COM-файлы при их запуске или открытии, "Australian.1024.b" - запускаемые COM- и EXE-файлы. В зависимости от числа пораженных объектов "Australian.1024.a" выводит текст:

GOTTERDAMERUNG: Silicon Valley: The Next Golgotha Hey PuKE keep up or fall behind

Также содержит строку:

Dрrk ЯНсюr [AIH]

"Australian.1024.b" содержит строку-идентификатор "AP".

загрузочный вирус. Заражает MBR винчестера

Очень опасный резидентный файлово- загрузочный вирус. Заражает MBR винчестера и записывается в конец .COM- и .EXE-файлов, кроме CO*.* и IB*.*. При запуске зараженного файла вирус заражает MBR, перехватывает INT 8, 13h, 21h и остается резидентно в памяти (DOS-вызов Keep INT 27h). При загрузке с зараженного диска вирус уменьшает размер DOS-памяти (слово по адресу 0000:0413), перехватывает INT 8, 13h, ждет загрузки DOS, перехватывает INT 21h и восстанавливает размер DOS-памяти. При обращении к файлам DOS-функциями Exec, Open, Rename, FindFirst/Next FCB и ASCII вирус заражает их. При обращениях в зараженной MBR вирус исполняет стелс-подпрограмму. При загрузке зараженного файла под отладчиком вирус лечит файл. Если при этом возникает ошибка, то он выводит сообщение:

Error in File

Вирус использует антиотладочные приемы. 13-го июля вирус уничтожает файлы вместо их заражения. Вирус также содержит строки:

Ver 4.00 (C)Copyright Autumnal Water Corp. 1991

загрузочный вирус. Заражает MBR винчестера,

Опасный резидентный файлово- загрузочный вирус. Заражает MBR винчестера, загрузочные сектора дискет, записывается в конец запускаемых COM- и EXE-файлов. При заражении MBR затирает таблицу разбиения диска, в результате MBR невозможно вылечить командой "FDISK/MBR". Вирус также уничтожает файл C:\WINDOWS\SYSTEM\IOSUBSYS\HSFLOP.PDR. Код вируса содержит зашифрованную строку:

Baphometh v2 ~CAD

При запуске зараженного файла вирус заражает MBR, перехватывает INT 21h, остается резидентно в памяти и затем заражает выполняемые DOS-файлы. При загрузке с зараженного диска вирус перехватывает INT 8 (таймер), ждет загрузки DOS и затем перехватывает INT 21h. При этом вирус также перехватывает INT 13h и при обращениям к дискам вызывает свои процедуры заражения и стелс.

Blah, семейство

Опасные резидентные файлово-загрузочные "стелс"

-вирусы. Перехватывают INT 13h, 21h и записываются в начало .BAT-файлов и MBR винчестера. Содержат строку текста:

Blah virus (DA/PS)

При заражении MBR вирус записывается в первые четыре сектора винчестера, четвертый сектор содержит первоначальную MBR. При заражении BAT-файлов вирус записывается в их начало, сдвигая первоначальный текст на 3385 байт вниз. При этом кодирует себя каким-то алгоритмом, преобразующим HEX-код вируса в ASCII-строки, и записывает результат кодировки и служебные строки в начало BAT-файлов (текст между '[' и ']' является комментарием):

@echo [ HEX код ] >|.com @echo [ HEX код ] >>|.com @echo [ ASCII текст ] >>|.com @echo [ ASCII текст ] >>|.com [ повтор ... ] @echo [ ASCII текст ] >>|.com @if %0. == . | @| @del |.com @if %0. == . autoexec @%0

HEX-код содержит декодировщик ASCII->BIN, строки ASCII-текста содержат основное тело вируса, преобразованное в ASCII (подобно UUencode/XXencode). При запуске такого BAT-файла его команды создают файл є.COM , в который записывается код декодера ASCII->BIN и закодированное тело вируса. Затем этот COM-файл запускается, его код декодирует тело вируса из ASCII в HEX, и управление передается на декодированный участок (основное тело вируса), который заражает оперативную память (перехватываются INT 13h, 21h) и возвращает управление BAT-файлу. BAT-файл затем уничтожает файл є.COM и запускает себя повторно. При повторном запуске BAT-файл проходит через "стелс"-фильтр (код вируса не получает управления) и выполняется в своем первоначальном виде. Вирус обращает особое внимание на файл AUTOEXEC.BAT, так как это единственный BAT-файл имя которого недоступно по команде "%0": при первом запуске AUTOEXEC.BAT (при загрузке системы) команда "%0" не содержит имени запущенного файла. При выполнении основного тела (декодированного из ASCII) вирус проверяет в памяти наличие уже загруженной TSR-копии вызовом "Ты здесь?" (INT 21h, AH=62h, DX=F904h), а затем передает управление на процедуру инсталляции (эта же процедура выполняется при загрузке с зараженной MBR).
При инсталляции вирус уменьшает размер оперативной памяти (слово по адресу 0000:0413), копирует себя в "отрезанный" блок памяти, перехватывает INT 13h, 21h и передает управление процедуре заражения MBR. Обработчик INT 21h вируса перехватывает пять функций: AH=11h/12h (FindFirst/Next FCB / DIR command) - вирус "уменьшает" длины файлов. AX=3D00h (Open file) - при обращении к BAT-файлам заражает их: кодирует сабя в ASCII и записывает в начало файла. AH=3Fh (Read) - вызывает "стелс"-процедуру. AH=62h (Get PSP) - вызов "Ты здесь?". При этом вызове вирус выключает все процедуры заражения и "стелс" (INT 13h/21h). Зачем это сделано - непонятно, так как "стелс"-процедуры не позволяют коду вируса быть исполненным дважды. Обработчик INT 13h вируса перехватывает функции чтения/записи (AH=2/3) и вызывает процедуры заражения винчестера и "стелс". "Blah.3385" содержит ошибку: маркер загрузочного сектора (слово 55AAh) расположен в теле вируса со смещением 01FFh вместо 01FEh (ошибка всего на один байт). По этой причине загрузка с зараженного MBR приводит к выдаче сообщения об ошибке, а диски винчестера оказываются недоступными. В результате вирус работает только до первой перезагрузки.

Bootache

Резидентный файлово-загрузочный полиморфик

-вирус. При загрузке из пораженного файла перехватывает INT 21h и записывается в конец COM-, EXE- и SYS-файлов при их запуске или открытии. При загрузке из пораженного сектора перехватывает INT 13h и записывает себя в Boot-сектора флоппи-дисков. При загрузке из файла вирус не поражает секторов, при загрузке из сектора не поражает файлов. Это выглядит как два разных вируса в одном массиве кодов и данных. Содержит строки:

COMSPEC=\COMMAND.COM COMEXEOVLSYS *YAM* Your PC has a bootache! - Get some medicine! Ontario-3 by Death Angel

Безобидный вирус. При запуске зараженного

Безобидный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного MBR перехватывает INT 13h, затем ждет загрузки первого EXE-файла и перехватывает INT 21h. Затем записывается в конец COM-файлов при их запуске. Содержит строку: "[Max]".

BootCOM.Peanut

Безобидный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с зараженного диска перехватывает INT 21h и записывается в конец COM-файлов при их запуске, поражает boot-сектора дискет.

BootCOM.PureText

Безобидный вирус. При запуске зараженного файла перехватывает INT 13h, 21h B записывается в конец COM-файлов при их запуске или смене атрибутов файла. При записи на флоппи-диски поражает их boot сектора. При загрузке с пораженного флоппи-диска перехватывает INT 13h, затем ждет загрузки DOS и перехватывает INT 21h. "Master copy" вируса содержит строки:

PURE TEXT

BootCOM, семейство

Резидентные файлово-загрузочные вирусы. Поражают COM-файлы и системные сектора дисков (boot, MBR).

BootExe, семейство

Резидентные безобидные файлово-загрузочные вирусы. Перехватывают INT 13h и записываются в EXE-файлы и Boot-сектор дисков. Boot-сектор винчестера инфицируется при старте зараженного файла, Boot-секторы флоппи-дисков - при чтении с диска. Первоначальный Boot-сектор сохраняется на винчестере по адресу 0/0/11 или 0/0/12 (головка/трек/ сектор), на флоппи-диске - по адресу 1/0/3. EXE-файлы поражаются по довольно оригинальному алгоритму: вирусы анализируют считываемую (INT 13h) с диска информацию. Если в считанном с диска секторе лежит заголовок EXE-файла (первые два байта равны "MZ", выполняются некоторые другие условия), то вирус записывается в свободное место в этом заголовке и сохраняет модифицированный сектор на диск. Т.е. а) при заражении файла его длина не увеличивается; б) не требуется обрабатывать атрибуты, время файла и критические ошибки (INT 24h). Вирусы никак не проявляется. "BootExe.Stalker" поражает MBR винчестера и EXE-файлы. После заражения MBR вирус завешивает систему, после загрузки с зараженного диска перехватывает INT 13h и записывается в EXE-файлы. Содержит зашифрованную строку

*Stalker*

CCBB, семейство

Резидентные неопасные файлово-загрузочные вирусы. Записывается в конец файлов и в MBR винчестера. MBR винчестера инфицируется при старте зараженного файла. Перехватывают INT 13h, 21h. "CCBB.1410" поражает только COM-файлы, "CCBB.2221" записывается в COM- и SYS-файлы. "CCBB.2221" - стелс

-вирус при обращении к зараженной MBR. Он проявляется видео-эффектом: в зависимости от текущего времени "переворачивает" экран. Оба вируса используют слово CCBBh как идентификатор зараженного файла/сектора.

Changsha

Резидентный опасный вирус, поражает MBR винчестера и записывается в конец .COM- и .EXE-файлов. Винчестер поражается при запуске пораженного файла. Затем вирус перехватывает INT 8, 13h, 21h и записывается в файлы (кроме файлов CO*.* и IB*.*). 4-го мая стирает файлы вместо их заражения, затем расшифровывает и выводит текст:

XqR:

Wherever, I love you Forever and ever ! The beautiful memory for ours in that summer time has been recorded in the Com- puter history. Bon voyage, My dear XqR !

Yours 05121991 in our Home.

Также содержит строки:

Welcome! Auto-Copy Deluxe R3.00 (C)Copyright 1991. Mr. YaQi. Changsha China No one can Beyond me!

New Century of Computer Now!

Демонстрации вирусных эффектов:

changsha.com

загрузочный стелс вирус. Перехватывает INT

Неопасный резидентный файлово- загрузочный стелс вирус. Перехватывает INT 13h и записывается в заголовок EXE-файлов при обращении к ним, также заражает MBR винчестера и Boot-сектора 1.44 Mb флоппи-дисков. Никак не проявляется.

и MBR винчестера. MBR инфицируется

Резидентен, записывается в конец EXE-файлов и MBR винчестера. MBR инфицируется при старте зараженного файла, продолжение вируса и MBR-сектор сохраняются начиная с адреса 0/0/2 (трек/головка/сектор). Память заражается при загрузке с инфицированного диска. Затем вирус поражает только файлы. Перехватывает INT 8, 9, 11h, 17h, 21h, форматирует диски, выводит тексты на экран (в том числе матерные), печатает их на принтере, исполняет мелодии. Вот некоторые тексты, содержащиеся в теле вируса. По ним видно, что за компьютером можно дожить до глубокого маразма.

CIVIL DEFENSE VIRUS VER 1.1

Formating disc c: complete. Format another ? (y/n)

Эх, как жаль, ведь мне так хотелось э т о сделать ...

Hard disk 1 formated. All your data lost. How are you feel now ?

ХА - ХА - ХА !!! СЛАВА К П С С ! НАРОД И ПАРТИЯ ЕДИНЫ ! ПРИВЕТ ОТ Г К Ч П!

Хреновая версия DOS Заменена. Press any key

ВАС ПРИВЕТСТВУЕТ ВИРУС CDV Ver 1.1 (c) 1992 Н-ск НЭТИ АСУ

загрузочный вирус. Перехватывает INT 21h,

Очень опасный зашифрованный резидентный файлово- загрузочный вирус. Перехватывает INT 21h, 40h и записывается в конец COM-файлов при их запуске и в boot-сектора дискет при обращениях к ним. При загрузке с зараженной дискеты или при запуске зараженного файла записывается в boot-сектор диска C: В зависимости от своего счетчика стирает сектора дисков.

Codewar

Неопасный резидентный зашифрованный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного диска перехватывает INT 13h, 1Ch, затем ждет загрузки DOS и перехватывает INT 21h, 2Fh. Затем вирус записывается в конец COM- и EXE-файлов при их запуске или открытии, и в boot-сектора дискет при обращениях к ним. При загрузке с зараженного диска вирус может вывести красную точку в верхний правый угол экрана. Вирус содержит строки:

PSYCHo-TECH GMBH 1995 >>> BRAVEd DANGER 4 BRAVE PEOPLe <<< [[ C000D0E0W0A0R ]] <31> Germany 1995 Virtually called to life & survival by MiNDMANiAC! RGOEPMSQO ==>= AllE GUtEN DiNGE SiND DREi ==>=

Config_Boot, семейство

Безобидные резидентные файлово-загрузочые вирусы. Родственны вирусам "HMA_Boot"

. При запуске зараженного файла перехватывают INT 21h и остаются резидентно в DOS-памяти. При переходе на диск A: записываются в его boot-сектор. При загрузке с зараженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, затем создают в корне диска C: файл со случайно выбранным именем, записывают в него свой код и добавляют к файлу C:\CONFIG.SYS команду запуска этого файла ("INSTALL=\"). Содержат строки:

"Config_Boot.a": C:\CONFIG.SYS INSTALLHIGH=C:\ "Config_Boot.b": C:\CONFIG.SYS INSTALL=\

Coup, семейство

Очень опасные резидентные файлово-загрузочные вирусы. При запуске зараженного файла записываются в MBR винчестера и возвращают управление программе-носителю. При загрузке с зараженной MBR вирусы выделяют блок памяти, копируют туда свой код, перехватывают INT 13h, 1Ch и возвращают управление первоначальной MBR. Обработчик INT 13h в вирусе содержит стелс-процедуру, исполняемую при обращениях к зараженным секторам. Обработчик INT 1Ch ждет загрузки DOS и перехватывает INT 21h. Затем вирус записывается в конец запускаемых .COM- и .EXE-файлов (кроме COMMAND.COM). При запуске антивирусов SCAN, MSAV, PART*, CLEAN, VSAFE, TOOLKIT, GUARD и FINDVIRU вирус портит их - записывает в их начало программу, которая при запуске сообщает:

"Coup.1957,2052.a":

Coup De Main : In Childhood taught me to Love Now that I Love Frenzied,Said me Forget !!!

"Coup.2052.b":

If you are boy,go and play ball !! Otherwise,Our "Blind Date" every day in "4-Bagh" at 6-9(pm).

CrazyEddie

Резидентный очень опасный файлово-загрузочный вирус. Ищет в каталогах COM- и EXE-файлы и записывается в их конец. MBR винчестера поражается при запуске зараженных файлов, старое содержимое MBR не сохраняется. Инфицирует память только при загрузке с зараженного диска. Портит файлы и каталоги, шифруя их содержимое довольно сложным алгоритмом. Перехватывает INT 1, 8, 13h. Содержит текст:

Crazy Eddie

Crepate, семейство

Очень опасные резидентные файлово-загрузочные самошифрующиеся вирусы. При запуске зараженного файла записываются в первый сектор текущего диска (boot-сектор на дискетах или MBR винчестера). При загрузке с зараженного диска перехватывают INT 1Ch, ждут загрузки DOS, перехватывают INT 21h и записываются в конец файлов при обращениях к ним. "Crepate.1944" заражает только COM-файлы, "Crepate.2910" заражает COM- и EXE-файлы. В зависимости от текущего времени вирусы стирают сектора дисков. Содержат строки:

"Crepate.1944":

Crepa R.T. (c) by MI BRACCOBALDO 1992/93 (CREPA) Italian Virus Laboratory (PISA) Released 3.0 - REDRUM. Crepa - R.T.

"Crepate.2910":

COMcomEXEexeOV?ov? Crepate (c)1992/93-Italy-(Pisa) Crepa(c) bye R.T.

CriCri, семейство

Очень опасные резидентные файлово-загрузочные полиморфик

-стелс

-вирусы. Перехватывают INT 13h, 21h. Записываются в boot-сектора дискет и в конец COM- и EXE-файлов при их запуске или закрытии. Не заражают файлы, если в их имени есть цифра или символ 'V', также не заражают файлы TB*.*, SC*.*, F-*.* и GU*.*. Содержат ошибку и в некоторых случаях портят файлы при их заражении. 4-го июня выводят текст и завешивают компьютер:

"CriCri.4300": Cri-Cri ViRuS by Griyo/29A ...Tried, tested, not approved. "CriCri.4616": Cri-Cri ViRuS by Griyo96 ...Tried, tested, not approved.

"Родственником" вирусов "CriCri" является вирус "Implant"

.

При запуске зараженного файла вирус

Неопасный резидентный файлово-загрузочный стелс-вирус. При запуске зараженного файла вирус трассирует INT 13h, заражает MBR винчестера, затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Вирус не заражает файл, если его имя содержит строки:

MM ID SC RG WE VI AD

При загрузке с зараженного диска вирус также перехватывает INT 13h (стелс) и INT 1Ch (эффект). Эффект вызывается через 5 часов после загрузки с зараженного диска - вирус расшифровывает и выводит текст:

+--------------------+ | LIVE `N` LET LIVE! | +--------------------+

Вирус также содержит зашифрованную строку:

Take care of soft war or Last Crusade.

Crusher

Неопасный резидентный MBR-EXE-стелс-вирус. При запуске зараженного файла он записывается в MBR винчестера, затем перехватывает INT 21h и записывается в начало EXE-файлов при их копировании. При загрузке с пораженного диска перехватывает INT 1Ch, ждет загрузки DOS, затем восстанавливает INT 1Ch, перехватывает INT 21h и приступает к заражению файлов. Если при работе вируса ему не хватает памяти, он сообщает: "Insufficient memory" и возвращается в DOS. При запуске CHKDSK вирус выводит текст:

Crusher You are damned Bit Addict / Trident

ДДДДДДДДДДДДДДДДДДДДДД

Daemaen, семейство

Резидентные зашифрованные вирусы. Записывают себя в конец COM-, EXE- и SYS-файлов, файлы SC*.*, CL*.*. VS*.*, F-*.* не заражаются. При запуске зараженного файла записываются в MBR винчестера, первоначальный сектор и само тело вируса сохраняется в секторах диска начиная с 9-го сектора. Вирусы перехватывают INT 13h и записываются в boot-сектора дискет, старый сектор и тело вируса сохраняется в последних секторах дискеты. Вирусы перехватывают INT 21h и записываются в файлы при доступе к ним. Выглядят как безобидные, однако во время одного из тестов FAT компьютера была уничтожена. Содержат строки:

"Daemaen.1894":

COMEXEBINOVLSYSSCCLVSF- Cowboys From Hell/Vulgar Display of Power [Pantera] The best Power Metal band in the world. tHiS k0oL ViRUZ WaReZ bY [TДLФN<=>NЦKф] '93!

"Daemaen.2041,2042,2048":

[DДeMЖИn] by TДLФN-{{NЦKф} Hugs to Sara Gordon Hey John! If this is bad, wait for [VCL20]! For Dudley [VCL20с]/TДLФNшЛ COMEXEBINOVLSYS

загрузочный вирус. При запуске зараженного

Опасный резидентный файлово- загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера и возвращает управление DOS. При загрузке с пораженного диска остается резидентно в памяти (при загрузке с дискеты заражает MBR). Перехватывает INT 13h, ждет загрузки DOS, затем перехватывает INT 21h и затем записывается в конец COM-файлов при их запуске и boot-сектора дискет при обращениях к ним. Не сохраняет первоначальный код boot-секторов дискет. Содержит ошибки и может завесить компьютер при заражении дискеты. Содержит строку:

wma

DAS_Boot

Безобидный файлово-загрузочный резидентный вирус. При запуске зараженного файла записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с пораженного диска перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в конец COM- и EXE-файлов при их запуске. Никак не проявляется.

загрузочный вирус. Для определения своей

Очень опасный резидентный зашифрованный файлово- загрузочный вирус. Для определения своей TSR-копии использует вызов INT 13h, AX=DEADh. Заражает MBR винчестера, записывается вместо boot-секторов дискет и в заголовок EXE-файлов при их копировании на дискеты. Первоначальное содержимое EXE-файлов и boot-секторов дискет не сохраняется. Шифрует сектора винчестера, содержащие информацию о файлах в каталогах.

в MBR винчестера. При запуске

Опасный резидентный зашифрованный файлово-загрузочный стелс

-вирус. Записывается в конец COM- и EXE-файлов и в MBR винчестера. При запуске зараженного файла трассирует INT 13h, 21h, 2Ah, перехватывает INT 13h, 2Ah, заражает MBR и остается резидентно в памяти. При загрузке с зараженного диска перехватывает INT 13h, 1Ch, ждет загрузки DOS и перехватывает INT 2Ah. Для того чтобы перехватить INT 13h, вирус корректирует ядро DOS в HMA: записывает туда вызов INT CEh (CDh CEh) и перехватывает INT CEh. Ядро корректируется по фиксированным адресам, которые верны для DOS 6.x и могут быть неправильными для других версий DOS. Вирус также содержит и другие ошибки, в результате система может зависнуть при загрузке с зараженного MBR. INT 13h перехватывается вирусом только для того, чтобы скрыть зараженные сектора (MBR). Перехватив INT 2Ah, вирус получает вызовы из ядра DOS, обрабатывает обращения к файлам и заражает файлы только на дискетах при их (файлов) создании и закрытии (т.е. при копировании) или при обращениях к ним вызовами FindFirst/Next ASCII. При открытии зараженных файлов вирус лечит их. При открытии файла A-Dinf-°.°°° вирус проверяет какие-то адреса в системе (подсчитывает CRC?) и в некоторых случаях стирает свою копию с секторов диска. MBR при этом не восстанавливается, и система зависает при перезагрузке. Вирус содержит строки: Мир вам.Меня зовут Demiurg.Я хранитель врат,врат Ада.Все кто хочет увидеть Хозяина встречается со мной,а ктовстречается со мной попадает к Хозяину...мертвым.Тупые охотники за головами,с притензией на интеллектгадатели,всезнающие визири-многие пытались увидетьменя,но порой их глаза были ослеплены,а ум нашептывал соблазнительное OK LORD

При запуске зараженного файла вирус

Неопасный файлово-загрузочный вирус. Содержит строку: "DOOM". Заражает MBR винчестера, boot-сектора дискет, COM- и EXE-файлы. При запуске зараженного файла вирус записывается в MBR и возвращает управление программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS и перехватывает INT 21h. Затем при обращениях к флоппи-дискам вирус записывает свой код вместо их boot-сектора; записывается в конец COM- и EXE-файлов при изменении их даты/времени (например, при копировании).

Очень опасные резидентные зашифрованные файловые

Очень опасные резидентные зашифрованные файловые вирусы. Трассируют INT 21h, перехватывают INT 8, 21h и затем записываются в конец COM- и EXE-файлов при обращениях к ним. "DrDemon.1816" содержит ошибку и может испортить файлы при их заражении. При запуске AIDS*.* выводят:

MUTABOR

Эту же строку вирусы выводят через примерно 30 минут после заражения системной памяти. По 13-м числам после заражения 10-го файла вирусы выводят тексты:

It is very long story - struggle against viruses... (c) 1994,95 by Dr. Demon , version 4.0 Make sure all your disks are not bootable now !

и записывают эти же тексты в сектора диска.

При заражении MBR переопределяет адрес

Вариант вируса "DrDemon.4634". При заражении MBR переопределяет адрес активного boot-сектора (см. "Starship"

). Перехватывает INT 1Ch, постоянно проверяет адрес INT 21h и блокирует переопределение его адреса. Содержит строку:

MB Pro (c) 1994-96 by Dr.Demon

При запуске зараженного файла записывается

Безобидный резидентный файлово-загрузочный полиморфик-вирус. При запуске зараженного файла записывается в MBR винчестера, перехватывает INT 21h и остается резидентно в памяти. При загрузке с зараженного MBR уменьшает на 10K размер DOS-памяти (слово по адресу 0000:0413), перехватывает INT 1Ch, ждет загрузки DOS, затем перехватывает INT 21h и освобождает INT 1Ch. При первом вызове любой из DOS-функций Execute или Allocate/Release/Free Memory вирус восстанавливает размер памяти DOS и обозначает свой код как отдельный блок памяти в MCB-списке. Вирус перехватывает обращения к COM- и EXE-файлам и записывается в конец. Не заражает файлы, имена которых начинаются с любого из вариантов:

AIDS WEB VB ADINF SCAN CLEAN DRW

Также содержит строку:

MB Pro (c) 1994,95 by Dr.Demon

Заражает файлы форматов COM, EXE

Безобидный резидентный стелс

-вирус. Заражает файлы форматов COM, EXE и NewEXE, boot-сектора дискет и MBR винчестера. При заражении файлов записывается в их конец, затем модифицирует их заголовки: записывает команду JMP_Virus в начало COM-файлов, меняет точку входа в заголовке DOS EXE-файлов, в случае NewEXE-файла создает в его заголовке новую таблицу сегмента, описывает в ней новый сегмент кода и изменяет некоторые другие поля заголовка. При заражении дискет форматирует дополнительный 80-й трек и записывает туда свой код. При заражении MBR записывает свой код в скрытые сектора первого трека диска. Затем записывает в MBR/boot-сектор 1Сh байт своего загрузчика. Вирус перехватывает INT 13h, 21h, 2Ah, 2Fh. Для этого при загрузке системы с зараженного диска загрузчик считывает код вируса в системную память и перехватывает INT 13h. Обработчик INT 13h ждет загрузки DOS и перехватывает INT 2Ah. При вызове INT 2Ah вирус сканирует ядро DOS и записывает по определенным адресам команды CALL FAR, указывающие на обработчики INT 21h, 2Fh в теле вируса. Затем при запуске первого файла вирус выделяет себе блок UMB или обычной DOS-памяти и копирует туда свой код. При запуске зараженного DOS-файла вирус выделяет себе блок обычной памяти и перехватывает те же вектора прерываний. При запуске NewEXE-файла он выделяет себе память DPMI-вызовами. Затем вирус заражает выполняемые файлы DOS, Windows и boot-сектора дискет при обращениях к ним. При обращениях к файлам вирус проверяет имя активной программы и в случае утилит PKZIP, ARJ, RAR, LHA, TELIX, BACKUP, MSBACKUP, CHKDSK выключает часть своих стелс-процедур. Свою резидентную копию вирус определяет вызовом INT 21h, AX=187Fh и BX=4453h (строка "DS", по которой он получил название). Резидентная часть вируса возвращает BX=87A1h.

Ekoterror

Резидентный опасный стелс-вирус, при запуске зараженного файла записывается в MBR винчестера и передает управление программе-носителю, при загрузке из пораженного MBR перехватывает INT 8, 13h, затем используя INT 8 перехватывает INT 21h и записывается в начало .COM-файлов при их создании. Периодически расшифровывает и выводит текст:

EkoTerror (C) 1991 ATK-toimisto P.Linkola Oy Kovalevysi on poistettu kДytФstД luonnonsuojelun nimessД. VihreДssД yhteiskunnassa ei saa olla ydinsДhkФllД toimivia kovalevyjД.

а затем завешивает компьютер. В некоторых случаях некорректно поражает MBR, в результате DOS погибает при загрузке.

Emperor

Крайне опасный резидентный файлово-загрузочный полиморфик-вирус. Записывается в конец DOS COM- и EXE-файлов, заражает MBR винчестера и загрузочные сектора дискет. Использует анти-отладочные приемы, стелс

-алгоритмы, для определения адресов необходимых ему прерываний трассирует цепочки этих прерываний и сканирует ядро DOS. Содержит ошибки и в некоторых случаях портит файлы при их заражении.

При запуске зараженного файла вирус расшифровывает свой код, проверяет наличие в памяти компьютера своей уже активной резидентной копии, если память еще не заражена - выделяет себе блок DOS-памяти, перехватывает прерывания INT 12h, 13h, 21h и заражает MBR винчестера.

Обработчики INT 13h и 21h перехватывают обращения к файлам и загрузочным секторам и вызывают процедуры стелсирования и заражения.

При заражении MBR вирус использует несколько приемов для обхода антивирусных защит: либо записывает новый (зараженный) код MBR при помощи прямых обращений к портам ввода-вывода контроллера диска, либо проверяет защиту от вирусов в CMOS (в случае Megatrends или AWARD BIOS) и записывает в буффер клавиатуры разрешающий запись символ 'Y', если эта защита установлена.

Вирус сохраняет заражаемые образы MBR и загрузочных секторов в несипользуемые обрасти диска, однако при этом шифрует и портит их содержимое таким образом, что они становятся работоспособны только при условии активной резидентной копии вируса (т.е. если идет загрузка с зараженного диска, вирус уже установил себя в память и передал управление первоначальному загрузчику). Дополнительно вирус портит таблицу разбиения диска - зацикливает ее таким образом, что загрузка многих распространенных версий DOS с чистого загрузочного диска становится невозможной.

При заражении загрузочных секторов вирус проверяет их на какой-то код и, если этот код обнаружен, стирает CMOS, выводит текст "Error in CMOS" и завешивает компьютер.

Более опасная деструктивная функция вируса стирает данные на винчестере и портит данные в Flash BIOS (эта процедура полностью аналогична вирусу "Win95.CIH"- "Chernobyl"). В этот момент вирус также выводит текст:

EMPEROR I will grind my hatred upon the loved ones. Despair will be brought upon the hoping childs of happiness. Wherever there is joy the hordes of the eclipse will pollute sadness and hate under the reign of fear. In the name of the almighty Emperor....

Процедура уничтожения диска и Flash BIOS вызывается вирусом если в памяти компьтютера обнаружен отладчик, либо компьютер загружается в период с 5 до 10 часов утра. Эта процедура также может быть активизирована по причине ошибок в коде вируса.

Вирус также содержит текст:

the EMPEROR virus written by Lucrezia Borgia In Colombia, 1999

ExeBug, семейство

Это семейство включает в себя как загрузочные, так и файлово-загрузочные стелс

-вирусы. Они перехватывают INT 13h и записываются в MBR винчестера и boot-сектора дискет. Файлово-загрузочные представители семейства записывают в заголовок EXE-файлов свой код таким образом, что при запуске файла вирус заражает винчестер компьютера. Прочие вирусы записывают в EXE-файлы троянские программы, которые стирают сектора винчестера. "ExeBug.a" использует довольно интересный прием для инсталлирования себя в память даже при загрузке с чистой системной дискеты (этот прием работает только на некоторых BIOS, см. также "Ugly"

). Вирус стирает CMOS-память в тех ячейках, которые отвечают за флоппи-диски, и тем самым отключает эти диски. При загрузке (холодной или горячей) такого компьютера BIOS не обнаруживает флоппи-дисков и передает управление MBR винчестера (которая уже заражена). Вирус получает управление, включает флоппи-диски и загружает с них систему. Таким образом, код вируса оказывается в памяти даже при загрузке с чистого системного диска. "ExeBug.d" занимает два сектора и перехватывает INT 1Ch, однако полный анализ вируса пока невозможен, так как у меня нет его второго сектора. "ExeBug.Hooker" записывает в EXE-файлы троянскую прорамму, которая содержит строку:

HOOKER

Файлово-загрузочные вирусы

3APA3A, семейство

3nop

8ball

Alar, семейство

Alfa.3072

Alla, семейство

Anthrax

Arianna, семейство

Arya.4616

AT-Corp, семейство

Australian.1024

Autumnal.3072

Baphometh.1536

Blah, семейство

Bootache

BootCOM, семейство

BootExe, семейство

CCBB, семейство

Changsha

Chloride.480

Civil.6656

Clist.1025

Codewar

Config_Boot, семейство

Coup, семейство

CrazyEddie

Crepate, семейство

CriCri, семейство

Crusade.3072

Crusher

Daemaen, семейство

DAN (файлово-загрузочные)

DAS_Boot

DeadBoot.446

Demiurg.3061

DoomMbr.406

DrDemon, семейство

DS.3783

Ekoterror

Emperor

ExeBug, семейство

Fanthomas.1443

Fantom.954

Fatty.3008

Fist.927

Flip, семейство

Fowl.3072

Ginger, семейство

GK.7697

Glue.4000

Goblin, семейство

GoldBug

GraveLion.2250

Gumbs.3584

Hare, семейство

HMA_Boot, семейство

HongKong.1997

Idie.3520

Ignorance

Implant, семейство

Invader и Plastique, семейство

Invisible

Ithaqua.8030

Jackal

Jerusalem файлово-загрузочные

JumpBoot

Junkie, семейство

Kaczor.4444

Keypress.Ufo

Kiev.2048

Kiuca, семейство

Kuarahy.4608

Kyokushinkai

Lamerman, семейство

Liberty

Lithium.4113

LivingDeath

LungHua.2589

Majkl, семейство

Malaga, семейство

Markus.5415

Marzia (файлово-загрузочные), семейство

MBRExe

Messev, семейство

Mirkis.4292

Mity.1982

MJ.1513

Mul.452

MzBoot.464

Narcosis.1431

Natalie.1192

Natas, семейство

Neurobasher, семейство

NexivDer.3888

NTMY.1722

Nutcracker, семейство

Oeur.3072

Olga.483

OneHalf, семейство

Orphan.174

Patras, семейство

Paz.2560

PFS.3786

Pieck.2016

Plagiarist

Playgame, семейство

Predator (файлово-загрузочные)

PresidentB.1504

Printerceptor

Prowler.1727

QPHS.2931

Raiden.1433

Rainbow, семейство

Rajaat.518

Ramones

Radom.2688

Rasek, семейство

Renegade, семейство

Res.2879

Res, семейство

Rex.1637

Riot файлово-загрузочные

Samara.1536

Senda.4162

Shimmer, семейство

Shrapnel.6067

Smile

Snafu

Sphinx.2751

Starship

SVC.4644,4661,4677

TD.1536

TeaForTwo.1024

Telefonica, семейство

Tequila, семейство

Terminator.3490

Theta, семейство

Tiso, семейство

TPK.2083

TPVO.3464

Traka.1471

Ugly, семейство

Uranus.2048

USTC.7680

V.1253

V.1526

V.1536

Vecna

VLAD (файлово-загрузочные)

Yang.2528

Yosha (файлово-загрузочные)

ZhengZhou, семейство

загрузочный вирус. Перехватывает INT 13h,

Безобидный резидентный файлово- загрузочный вирус. Перехватывает INT 13h, 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске. При запуске зараженного EXE-файла записывается в MBR винчестера. Содержит строку:

-=0FANTHOMAS vir. 1.00(c) Szczecinek0Dla Izy W. z Bestwiny0=-

В файлах зашифрован. При обращении

Безобидный резидентный файлово-загрузочный вирус. Записывается в MBR винчестера и в конец запускаемых EXE-файлов. В файлах зашифрован. При обращении к зараженной MBR вызывает стелс

-процедуру. При запуске зараженного файла записывается в MBR и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 8, ждет некоторое время (пропускает загрузку DOS), затем перехватывает INT 13h, 21h и таким образом активизирует свои процедуры заражения и стелс. Содержит строку:

FANTOM vir. 2.0 -(c)Szczecinek- Dla Malgorzaty P.

в некоторых случаях портит их.

Очень опасный резидентный файлово-загрузочный вирус. Заражает .COM- и .EXE-файлы (записывается в их конец), MBR винчестера и boot-сектора диска C: и дискет. При заражении .EXE-файлов в некоторых случаях портит их. При запуске зараженного файла заражает MBR и boot-сектор диска C:, перехватывает INT 8, 9, 13h, 17h, 21h и остается резидентно в памяти компьютера. При загрузке с пораженного диске перехватывает те же вектора за исключением INT 9, 21h, ждет загрузки DOS и перехватывает INT 9, 21h. INT 21h: вирус перехватывает создание/закрытие .COM- и .EXE-файлов и заражает их (в результате "обходит" CRC-ревизоры). Перехват INT 13h используется для стелс-процедур и заражения дискет. INT 17h используется для детектирования своей TSR-копии. INT 8 используется при инсталляции в память и для вызова эффектов - вирус записывает в буффер клавиатуры какие-то данные. INT 9: в зависимости от своего случайного счетчика вирус либо стирает один символ из буффера клавиатуры, либо записывает в него один случайный символ. В зависимости от системной даты вирус также портит какие-то данные на диске (FAT?). Вирус содержит строки:

#FATTY by SULPH (c)97 0Manufactured in Vsetin (CZ) 0THANX to Grisoft & Borland 0BIG KISS to my GIRL 0Have FUN, see YA!!# .COM.EXE

загрузочный вирус. Перехватывает INT 13h,

Резидентный зашифрованрый файлово- загрузочный вирус. Перехватывает INT 13h, 1Ch, 21h и записывается в конец COM- и EXE-файлов и в MBR винчестера. MBR инфицируется при старте зараженного файла, продолжение вируса и MBR-сектор сохраняются начиная с адреса 0/0/2 (трек/головка/сектор). Память заражается при загрузке с инфицированного диска. Затем вирус поражает только файлы. Является развитием файловых вирусов семейства "Fist"

.

Flip, семейство

Резидентные файлово-загрузочные вирусы. Перехватывают INT 10h, 1Ch, 21h, 9Fh и заражают COM- и EXE-файлы и MBR винчестера. При запуске зараженного файла вирусы поражают MBR винчестера. При этом уменьшают размер логического диска и в освободившееся пространство записывают первоначальный MBR-сектор и свое продолжение. Записывается в конец запускаемых COM- и EXE-файлов. В файлах являются полиморфик

-вирусами: зашифрованы, а расшифровщик не имеет постоянного участка (сигнатуры) длиннее, чем 2 байта. Второго числа в 16.00 "переворачивают" экран: меняют (верх-низ, право-лево) расположение символов на экране и переворачивают их изображение ('U' -> 'П', '/' -> '\'). "Flip.2343" заменяет в файлах набор команд

MOV DX,Data_1 MOV Data_2,DX MOV DX,Data_3 MOV Data_4,DX

на вызов INT 9Fh. Такое сочетание команд встречается в файле COMMAND.COM в подпрограмме, отвечающей за вывод на экран результатов работы функций DOS FindFirst и FindNext. Вирус содержит обработчик INT 9Fh и "уменьшает" длины файлов. Содержат текст "OMICRON by PsychoBlast". "Flip.Madrid" форматирует сектора дисков и выводит:

RAISTLIN I from Spain

Также содержит строку:

MADRID a favor del consumo de costo!

Демонстрации вирусных эффектов:

flip.com

загрузочный вирус. При запуске зараженного

Очень опасный резидентный файлово- загрузочный вирус. При запуске зараженного файла или при загрузке с зараженной дискеты вирус записывается в активный boot-сектор винчестера. Вирус заражает оперативную память только при загрузке с пораженного диска (винчестера или дискеты). При этом вирус перехватывает INT 9, ждет загрузки DOS, затем перехватывает INT 28h и, когда процедура инсталляции DOS закончена, выделяет себе блок conventional-памяти, копирует туда свой код и перехватывает INT 13h, 21h. Затем вирус записывается в конец EXE-файлов при их запуске и в boot-сектора дискет при обращении к ним. В зависимости от текущей даты стирает сектора дисков.

Энциклопедия компьютерных вирусов

Безобидные резидентные стелс

-вирусы. При запуске зараженного файла инфицируют MBR. При этом корректируют адрес активного boot-сектора - устанавливает его в 0/0/2 (цилиндр/сторона/сектор) - и записывают по этому адресу свое тело. Таким образом в зараженной MBR изменяются только три байта, указывающие на активный boot-сектор. При загрузке с пораженной MBR вирусы перехватывают INT 13h, 21h и записываются в конец COM- и EXE-файлов. Содержат в себе строки, некоторые из них используются при заражении файлов:

"Ginger.2774,2782":

You can't catch the Gingerbread Man!! Bad Seed - Made in OZ COMSPEC= \COMMAND.COM CHKDSK MEM 10/23/92

"Ginger.Orsam.2624":

Orsam - Made in OZ You can't catch the Gingerbread Man!! COMMAND

Энциклопедия компьютерных вирусов

Опасный резидентный стелс

-полиморфик

-вирус. Заражает MBR винчестера, загрузочные сектора 1.4Mb дискет и записывается в конец COM- и EXE-файлов. Использует полиморфичный код не только в файлах, но и в загрузочных секторах дисков. При обращениях к зараженным файлам и секторам временно лечит их (стелс). При запуске CHKDSK и архиваторов ARJ, LHA, PKZIP временно выключает свои стелс-процедуры. Перехватывает INT 13h, 21h, 29h. При инсталляции в системную память и при заражении файлов использует несколько достаточно сложных приемов: трассирует цепочки векторов прерываний, правит ядро DOS, использует недокументированные таблицы DOS. В этих процедурах содержит ошибки и в некоторых случаях завешивает компьютер. Заражает MBR винчестера только при запуске зараженного файла в DOS-окне под MS Windows. Перехватывает INT 13h и заражает дискеты только после загрузки с зараженного винчестера. При заражении первоначальный MBR сохраняет во втором секторе диска, а загрузочный сектор дискет - на дополнительно отформатированном 80-м треке дискеты. При заражении MBR портит таблицу разбиения диска, по этой причине логические диски винчестера недоступны при загрузке с чистой дискеты или после удаления кода вируса при помощи FDISK/MBR. Вирус содержит строку:

Unknown (c) 1997 G.K. Poland

Энциклопедия компьютерных вирусов

Очень опасный резидентный файлово-загрузочный вирус. Записывается в конец .COM- и .EXE-файлов и в MBR винчестера и boot-сектора дискет. В файлах зашифрован. При обращении к зараженным секторам вызывает стелс-процедуру. При запуске зараженного файла перехватывает INT 21h и остается резидентно в памяти. Затем заражает запускаемые и открываемые файлы. Перед тем, как заразить файл, заражает текущий диск (MBR или boot-сектор). При заражении MBR/boot записывает первоначальный сектор и свой код в свободные сектора диска, которые потом помечает как сбойные. Возможно повторное заражение файлов и секторов. В некоторых случаях портит boot-сектора дискет. Содержит прочие ошибки, которые могут привести к зависанию системы. При DOS-вызовах FindFirst/Next вызывает стелс-процедуру, показывающую уменьшенную длину зараженных файлов. При запуске BACKUP.COM или CHKDSK.COM выключает эту стелс-процедуру. При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS, затем перехватывает INT 21h и INT 9 (клавиатура). В обработчике INT 9 находится счетчик, подсчитывающий число нажатий на клавиши. При 10000-ном нажатии вирус блокирует запись на диск (INT 13h) и не выставляет флагов ошибки. Это может привести к потере информации на диске. Варианты вируса содержат строки:

"Glue.4000.a":

COMEXEBACKUP.COMCHKDSK.COM The Digital Glue (C) 1990,1991 by Eastern Digital 1900 Timi$oara THE END

"Glue.4000.b": COMEXEBACKUP.COMCHKDSK.COM Lipici (C) 1991 by Eastern Digital 1900 Timi$oara

Энциклопедия компьютерных вирусов

Неопасные резидентные зашифроавнные файлово-загрузочные вирусы. При запуске зараженного файла записываются в MBR винчестера. При загрузке с пораженного диска перехватывают INT 13h, 1Ch, 21h и записываются в конец EXE-файлов при их запуске или открытии. В зависимости от текущей даты "переворачивают" экран. При помощи INT 13h реализует стелс

механизм при обращении к пораженной MBR. "Goblin.1759" - стелс-вирус при обращении к файлам. Содержат строки:

"Goblin.1199": GOBLIN "Goblin.1759": DELWIN

Энциклопедия компьютерных вирусов

Неопасный резидентный файлово-загрузочный стелс

-вирус. Копирует себя в HMA, перехватывает INT 13h, 21h и поражает MBR винчестера, boot-сектора 1.2Mb дискет и EXE-файлы. При заражении файлов использует компаньон

и полиморфик

алгоритмы. Содержит строки:

CHKLIST???? 1O7=0SLMTA

Вторая строка выводится на модем (задом наперед): "ATMLS0=7O1".

Энциклопедия компьютерных вирусов

Неопасный резидентный файлово-загрузочный полиморфик

-вирус. При запуске зараженного файла вирус заражает MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 8, 9, ждет загрузки DOS, перехватывает INT 13h, 21h и затем записывается в клнец COM- и EXE-файлов при их запуске, открытии или переименовании. При заражени MBR вирус не модифицирует код загрузчика в MBR. Он записывает себя на диск начиная с адреса 0/0/2 и модифицирует Partition Table - устанавливает адрес активного загрузочного сектора на код вируса (см. также вирус "Starship"

). Помимо этого использует стелс

-алгоритм для того, чтобы "спрятать" зараженный MBR-сектор - подставляет незараженный MBR-сектор при чтении через INT 13h и временно "лечит" диск при запуске файлов B*.EXE, F*.EXE, T*.EXE. Если при загрузке системы происходит ошибка, вирус сообщает:

Access to Hard Drive denied...

Также содержит строку:

[Бычий Цепень] v1.0 Copyright (c) 1995 Grave Lion

Энциклопедия компьютерных вирусов

Неопасный резидентный файлово-загрузочный вирус. Заражает загрузочный сектор диска C: и записывается в конец EXE-файлов на флоппи-дисках при обращениях к ним. Зашифрован как в файлах, так и в загрузочных секторах. Использует стелс-приемы. Перехватывает INT 13h, 1Ch, 21h.

Hare, семейство

Очень опасные резидентные файлово-загрузочные стелс

-полиморфик

-вирусы. Записываются в конец COM- и EXE-файлов, в MBR винчестера и boot-сектора дискет. В файлах зашифрованы трижды. Применяют полиморфизм как в файлах, так и в зараженных секторах.

HMA_Boot, семейство

Безобидные резидентные файлово-загрузочые вирусы. При запуске зараженного файла копируют себя в HMA-память и перехватывают INT 21h (для этого трассируют и правят ядро DOS). Если программа, запускаемыя на диске A:, вызывает DOS-функцию GetCountryInfo (AH=38h), вирусы записываются в boot-сектор диска A:. При загрузке с зараженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, затем создают в корне диска C: файл со случайно выбранным именем, записывают в него свой код и добавляют к файлу C:\CONFIG.SYS команду запуска этого файла ("INSTALL=\"). Вирусы содержат строки:

"HMA_Boot.a": C:\Config.Sys Install=\ "HMA_Boot.b": C:\CONFIG.SYS INSTALL=\ HMABOOT

Неопасный резидентный зашифрованный вирус. Записывается

Неопасный резидентный зашифрованный вирус. Записывается в начало COM-файлов (кроме COMMAND.COM), середину EXE-файлов и MBR винчестера. При запуске зараженного файла записывается в MBR, затем (также, как и при загрузке с зараженного винчестера) перехватывает INT 13h, 21h и заражает запускаемые файлы. При помощи перехвата INT 13h реализует стелс при чтении/записи зараженной MBR. При запуске зараженных файлов вирус проверяет командную строку. В зависимости от каких-то символов в этой строке (вирус использует двух-байтную китайскую кодировку) вирус либо лечит MBR, либо выводит текст:

HONG KONG 1997

Это же сообщение выводится 1-го июля. Вирус использует несколько приемов противодействия отладке и лечению: при заражении MBR зиписывает в Disk Partition Table такой код, что MS-DOS (включая DOS 7.0) записает при загрузке с системной дискеты (при этом вирус вполне нормально грузится с винчестера). В результате оказывается невозможным загрузить систему с дискеты, проверить диск и вылечить вирус при помощи расположенного на дискете антивируса. Второй прием заключается в том, что 90% кода вируса (ассемблерных команд) перемешано с одно-байтовым случайным мусором. Для того чтобы пропускать этот мусор при работе, вирус перехватывает INT 1 (трассировка) и при выполнении каждой команды своего кода вызывает процедуру, пропускающую байты мусора.

загрузочный вирус. Заражает MBR винчестера

Неопасный резидентный зашифрованный файлово- загрузочный вирус. Заражает MBR винчестера и записывается в конец COM- и EXE-файлов. MBR заражается при запуске инфицированного файла. Затем вирус перехватывает INT 13h, 1Ch, 21h и при запуске, закрытии файлов и при смене текущего каталога ищет файлы в текущем каталоге и в PATH и заражает их. Проверяет имена файлов и не заражает антивирусы: TOOLKIT, FINDVIRU, FV86, FV386, CLEANPAR, CLEANBOO, GUARD, GUARDMEM, VIVERIFY, SCAN, CLEAN, MSAV, VSAFE, IMENSCAN. В зависимости от своих счетчиков выводит сообщения:

I Never Forget K.Z.M.F Group !!! I Die For Beautiful Girls !!!

Ignorance

Безобидный резидентный файлово-загрузочный самошифрующийся вирус. При загрузке с пораженного диска перехватывает INT 13h и ждет загрузки DOS, затем перехватывает INT 21h. При запуске зараженного файла записывается в MBR винчестера, затем перехватывает INT 21h и остается резидентным. При помощи INT 13h реализует стелс

механизм при чтении зараженного MBR, также использует это прерывание для поражения boot-секторов флоппи-дисков. При помощи INT 21h записывается в конец COM-, EXE- и SYS-файлов при обращении к ним. Содержит строки:

Ignorance is Strength Freedom is Slavery War is Peace COMEXEBINOVLSYSSCCLVSF- [1984] bY [TДLФN<>NЦKф] '93! THiS iZ iNFeCTi0N #00000032! Greetz RS/NuKE!

где строка "#00000032" - номер "поколения" вируса, в различных пораженных файлах/секторах эта строка может быть отличной от приведенной выше. "COMEXESYSBINOVL" - строка расширений имени файла, поражаемых вирусом. "SCCLVSF-" - по два символа от имен антивирусных программ (SCAN.EXE, CLEAN.EXE, и т.д.). При запуске этих программ вирус отключает часть своих функций.

Implant, семейство

Очень опасные резидентные файлово-загрузочные стелс

-полиморфик

-вирусы. Заражают .COM-, .EXE- и .SYS-файлы, MBR винчестера и boot-сектора дискет. При запуске зараженного файла вирус записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 12h, 13h, 1Ch, ждет загрузки DOS и перехватывает INT 21h. Вирусы заражают файлы при их закрытии, переименовании и обращении к их атрибутам. При запуске файлов они запоминают их имена и заражают при окончании их работы. При открытии и чтении из зараженных файлов вызывают стелс-процедуру. При записи в зараженные файлы лечат их. Если активны архиваторы ARJ, PKZIP, PKLITE, LHA или BACKUP, вирусы выключают свой стелс. При запуске антивирусов TBAV и SCAN изменяют командную строку таким образом, что эти антивирусы не сканируют системную память. При запуске Windows добавляют к командной строке опцию, запрещающую 32-битный доступ к дискам. Некоторые из "Implant"-ов не заражают антивирусы TBAV, SCAN, F-PROT,... Определяют они их по первыв двум символам имени: 'TB', 'SC', 'F-', 'GU'. Также не заражаются файлы с именами, содержащими цифры и символы 'V', 'MO', 'IO', 'DO', 'IB'. Перехват INT 13h используется вирусами для реализации стелс-процедуры при обращении к зараженным дискам и для заражения дискет при чтении их boot-сектора. Для размещения на дискете своего кода вирусы форматируют на ней дополнительный трек. 4 июня вирусы стирают сектора винчестера, пищат динамиком компьютера и выводят текст:

<<< SuckSexee Automated Intruder >>> Viral Implant Bio-Coded by Griyo/29A

В 1997 вирус "Implant.6128" был разослан в несколько Internet конференций. Зараженным был файл NENA.EXE, выводящий порно-картинку.

Инсталяция в память

После старта из инфицированного файла вирус записывается в boot-сектор первого жесткого диска (диск C:) и возвращает управление файлу-носителю. При загрузке операционной системы вирус загружается из boot-сектора диска C:, уменьшает облать памяти BIOS и копирует туда свое основное тело. Затем, после загрузки DOS, вирус перемещает свое тело из верхних адресов памяти в середину. Вирус устанавливает новый обработчик INT 13h, который скрывает присутствие вируса в загрузочном секторе жесткого диска (стелс).

Invader и Plastique, семейство

Резидентные очень опасные вирусы. Перехватывают INT 8, 9, 13h, 21h и поражают .COM- и .EXE-файлы (кроме COMMAND.COM) по алгоритму вируса "Jerusalem"

и boot-сектора флоппи-дисков и винчестера. У дискеты форматируют дополнительный трек, при поражении винчестера записываются сразу после MBR. В зависимости от своих счетчиков могут совершать холостой цикл при каждом прерывании по таймеру (INT 8), стирать информацию на дисках, исполнять мелодию, расшифровывать и выводить тексты:

"Invader.a,b.c,d": by Invader, Feng Chia U., Warning: Don't run ACAD.EXE! "Invader.e,f.g,h.i": by ABT Group at Feng Chia Univ., Taiwan. Mar/27/90 "Plastique": PLASTIQUE 5.21 (plastic bomb) Copyright (C) 1988-1990 by ABT Group (in association with Hammer LAB.)

WARNING: DON'T RUN ACAD.EXE! Также содержат текст "ACAD.EXECOMMAND.COM.COM.EXE".

Демонстрации вирусных эффектов:

invader.com

Invisible

Очень опасный резидентный полиморфик

-вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов. При запуске зараженного файла записывается в MBR винчестера. В MBR код вируса также зашифрован. В зависимости от текущей даты записывает вместо файлов программу, которая при запуске выводит текст и проигрывает мелодию "I'm Invisible Man":

I'm the invisible man, I'm the invisible man, Incredible how you can See right through me.

I'm the invisible man, I'm the invisible man, It's criminal how I can See right through you.

(Когда я разбирался с этим вирусом, по Радио-101 как раз передавали песню "Invisible man"...) Вирус содержит в себе также и строку: "Invisible": The Invisible Man - Written in SALERNO (ITALY), October 1992. Dedicated to Ester: I don't know either how or when, but I will hold you in my arms again. "Invisible.b" The Invisible Man II - Written in SALERNO (ITALY), December 1992. Dedicated to E.F.: I don't know either how or when, but I will hold you in my arms again.

Демонстрации вирусных эффектов:

invisibl.com

файлы при их запуске. При

Опасный резидентный файлово-загрузочный полиморфик

-вирус. Заражает MBR винчестера, COM- и EXE- файлы при их запуске. При заражении MBR шифрует ее первоначальное содержимое, в результате попытка восстановления MBR при помощи команды FDISK/MBR приводит к потере данных на дискe. Вирус использует также разнообразные антиотладочные приемы, зашифрован полиморфик-кодом не только в файлах, но и в MBR. Содержит большое количество ошибок и часто портит файлы и MBR при их заражении.

Вирус заражает файлы различными методами в зависимости от версии DOS. Под DOS 7+ (Windows) вирус заражает только EXE-файлы, при этом никак не изменяет COM-файлы и MBR. При заражении EXE вирус шифрует свой код 512-байтным полиморфик-циклом и записывается в конец файлов. Длина файлов при этом увеличивается на 8542 байт.

Под DOS 6 и ниже вирус заражает COM-, EXE-файлы и записывается в MBR при запуске первого зараженного файла. При заражении EXE вирус записывается в середину файла, если там есть «дыра» (область постоянных данных) подходящего размера. В этом случае длина файлов не увеличивается. При заражении COM-файлов вирус либо использует тот же прием, что и при заражении EXE-файлов под DOS 7+ и при этом записывает команду JMP_Virus в начало файла, либо записывает команду перехода на свой код в середину файла. Для этого вирус считывает код COM-файла в память и некоторое время эмулирует его работу. В процессе эмуляции вирус в зависимости от различных условий выбирает место для команды JMP_Virus. При этом вирус шифрует себя только обычным XOR-циклом, и длины зараженных файлов увеличиваются на 8030 байт.

Под DOS 6 вирус также использует эмулятор для определения DOS-адреса обработчика INT 21h.

29 апреля вирус вызывает видео-эффект: переключается в видео-режим и выводит изображение «падающего снега», постепенно закрывающего текст:

[Ithaqua] virus by Wintermute/29A

Вирус также содержит строки:

I'm Ithaqua,... that who walks over the wind Welcome to my world, adventurer. Follow me. Love. Hate. I'll be awaiting you on the dark side, watching the nonsense.

Jackal

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла трассирует и перехватывает INT 13h, 15h, 21h, 40h. Затем поражает MBR винчестера, при этом изменяет только адрес активного Boot-сектора и записывает себя по этому адресу. При загрузке с такого диска вместо первоначального Boot-сектора будет прочитано тело вируса. Затем вирус остается резидентно в памяти и записывается в конец COM- и EXE-файлов при доступе к ним. Периодически форматирует сектора винчестера. Перехватывает также INT 9 (клавиатура) и при нажатии на Alt-Ctrl-Del пытается пережить перезагрузку: восстанавливает вектора прерываний, очищает экран и т.д. Содержит строку: "Ja№ckєal".

Jerusalem.Havoc

Безобидный резидентный вирус. Перехватывает INT 13h, 21h. Записывается в конец EXE-файлов при вызовах FindFirst/Next FCB, в MBR винчестера при запуске зараженного файла и в boot-сектора дискет при обращениях к ним. Является гибридом вирусов "Jerusalem"

и "Havoc"

.

Jerusalem.MBR

Резидентный очень опасный вирус. Поражает COM- и EXE-файлы (кроме COMMAND.COM) по алгоритму вируса "Jerusalem" и MBR-сектор винчестера - записывается сразу после MBR. При запуске зараженного файла вирус записывается в MBR. При загрузке с пораженного диска вирус уменьшает размер памяти DOS, перехватывает INT 13h и ждет изменения вектора INT 21h. После этого вирус восстанавливает размер памяти DOS и перехватывает INT 21h, которое затем используется только при поражении файлов. В зависимости от своих счетчиков стирает сектора дисков. Также содержит текст "COMMAND.COM".

JumpBoot

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера и возвращает управление DOS. При загрузке с пораженного диска копирует себя в таблицу векторов прерываний и перехватывает INT 13h. При обращениях к зараженной MBR вирус подставляет ее первоначальное содержимое, т.е. является стелс-вирусом. При записи секторов на дискеты вирус проверяет первый байт записываемого сектора. Если этот байт является командой JMP (E9h или EBh), вирус записывает себя вместо этого сектора. При этом содержимое сектора уничтожается. В результате COM-файлы, начинающиеся с команды JMP, при копировании на дискеты будут уничтожены вирусом. При заражении сектора вирус не проверяет, является этот сектор началом файла или нет, и может записать себя в середину файла. После поражения одного файла вирус блокирует подпрограмму заражения и заражает следующий файл только после перезагрузки.

Junkie, семейство

Резидентные самошифрующиеся файлово-загрузочные вирусы. Перехватывают INT 13h, 1Ch, 21h и записываются в конец .COM-файлов при их запуске или открытии, boot-сектора дискет при чтении с них и MBR винчестера при запуске зараженного файла. "Junkie.1027" безобиден. "Junkie.1308" очень опасен - в зависимости от системной даты форматирует сектора дисков и выводит текст:

Disk Death

Вирусы содержат строки:

"Junkie.1027": DrW-3 Dr White - Sweden 1994 Junkie Virus - Written in Malmo...M01D "Junkie.1308": Bad Junky I want a job

и перехватывает INT 13h, 21h

Неопасный резидентный файлово-загрузочный полиморфик

-стелс

-вирус. Трассирует и перехватывает INT 13h, 21h и записывается в MBR винчестера и конец EXE-файлов на флоппи-дисках при обращении к этим файлам. При обращении к зараженным файлам на винчестере лечит их. При загрузке с зараженного MBR временно перехватывает INT 12h, 1Ch, ждет загрузки DOS, перехватывает INT 13h, 21h, "откусывает" кусок памяти и восстанавливает INT 12h, 1Ch. Шифрует себя также и в системной памяти. Обработчики INT 13h, 21h расшифровывают необходимые подпрограммы перед их вызовом. При загрузке с зараженной MBR проверяет буфер клавиатуры. Если там содержится строка "kaczor", вирус лечит MBR и выводит текст:

Zrobione.

Если в буфере клавиатуры находится строка "test", вирус выводит:

Wersja.......... Kodowanie....... Licznik HD......

и добавляет соответствующие цифры в конец строк. 3-го марта перехватывает INT 08h и "трясет" экран.

Демонстрации вирусных эффектов:

kaczor.com

Keypress.Ufo

Неопасный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 1Ch, 21h. Записывается в конец COM- и EXE-файлов при обращении к ним. При поражении каждого файла пытается также поразить COMMAND.COM. Заражает boot-сектора дискет. Иногда проявляется видеоэффектом: расшифровывает и выводит на экран текст:

The U F O Club UFO-4 By Faisal-Andre-Akhmad Klp Gading Jakarta Utara

Демонстрации вирусных эффектов:

keyp_ufo.com

загрузочный вирус. Перехватывает INT 8,

Резидентный файлово- загрузочный вирус. Перехватывает INT 8, 21h и поражает boot-сектор диска C: и каждый 3-й запускаемый .EXE-файл. При старте вирус создает в корневом каталоге диска C: файл '.SYS длиной 2048 байт, куда записывает тело вируса, оформленное как файл-драйвер и boot-сектор диска C:. Затем этот файл объявляется уничтоженным: в корневом каталоге диска C: соответствующая запись помечается как удаленная, однако цепочка файла в FAT не освобождается (т.е. файл формально уничтожается, но сектора файла становятся недоступными для использования и составляют т.н. потерянный кластер). В boot-сектор диска C: записывается часть кода вируса, которая при загрузке "оживляет" файл '.SYS и добавляет в начало файла C:\CONFIG.SYS строку "device='.sys". При инсталляции драйвера '.SYS он восстанавливает CONFIG.SYS в первоначальном виде и "уничтожает" '.SYS по описанному выше методу. Резидентным в памяти вирус остается только при загрузке с зараженного boot-сектора. Содержит строки "NUL", "KIEV", "c:\'.sys","CONFIG SYS","device='.sys". Сравнительно неплохо исполняет Гимн СССР. Не работает с дисками объема более 32M.

Демонстрации вирусных эффектов:

kiev2048.com

Kiuca, семейство

Безобидные резидентные файлово-загрузочные вирусы. Записываются в boot-сектор диска C: и в конец COM- и EXE-файлов. При запуске инфицированного файла заражают boot-сектор диска C:, при этом сохраняют свой основной код и первоначальный boot-сектор на трек/сторону 0/0. При загрузке с пораженного диска перехватывают INT 1Ch, ждут загрузки DOS, перехватывают INT 21h, ждут запуска первой программы (COMMAND.COM), выделяют себе блок DOS-памяти и копируют себя в этот блок. В результате не уменьшает размер DOS-памяти, как это делают обычные загрузочные вирусы, а располагает свой код между ядром DOS и копией COMMAND.COM. Затем вирус заражает создаваемые файлы: перехватывает DOS-функцию создания файла, ждет его закрытия и заражает файл. Таким образом, вирус заражает только файлы, которые копируются куда-либо, либо распаковываются из архивов, либо восстанавливаются из backup'а. Алгоритм работы вируса направлен против CRC-сканеров, которые детектируют вирусы по CRC-суммам. Во-первых, вирус заражает только новые файлы, о которых нет информации в базах данных CRC-сканеров. Во-вторых, "прячет" зараженный boot-сектор: при запуске любой программы вирус лечит его, а при окончании работы программ снова заражает. Вирусы семейства содержат строки: (c) Light General.Kiev.KIUCA.1996.NOT for free use. (Робкая попытка опустить Адинф...Адольф...Йосиф...ГУЛАГ...AАaaа)

загрузочный вирус. Перехватывает INT 13h,

Опасный резидентный зашифрованный файлово- загрузочный вирус. Перехватывает INT 13h, 21h. Заражает MBR винчестера, загрузочный сектор 1.4M дискет, записывается в конец COM-, EXE- и SYS-файлов, создает компаньон

-файлы формата COM для BAT-файлов, дописывает свои дропперы к ARJ-архивам. Также пытается заражать OBJ-файлы (объектные модули), но портит их по причине ошибки. Содержит прочие ошибки и часто завешивает систему. Не заражает COMMAND.COM и антивирусы: SCAN, NAV, F-PROT, GUARD, FINDVIRU, TOOLKIT, AVP. Уничтожает файлы данных: ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, AVP.CRC. По 31-м числам выводит текст:

[KUARAHY by Int13h] - Written in the Republic of Paraguay - Please register!

Также содержит строки:

[KUARAHY] Koa ha'e Int13h/iKx rembiapokuВ hina! :)

HOMO иSAPIENS? HAHAHA!

DOS Infection Device Learn some guaranб words!:Kuarahy=Sun Aда=Devil Kuда=Woman execomsysobjbatovlarj

E-mail me: Int13h@antisocial.com

PARAGUAY WORLD CUP '98

Rohaihг Paraguay!

Демонстрации вирусных эффектов:

kuarahy.com

Kyokushinkai

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного записывается в MBR винчестера, перехватывает INT 12h, 13h, 1Ch, 21h и при запуске программ ищет EXE-файлы и записывается в их конец. Зараженный MBR-сектор не виден при активном в памяти вирусе (стелс

. В зависимости от текущего времени стирает системные сектора строкой: ХХХХХХХ KШФkБshЛдkДЛ ЩЩЩЩЩЩЩ.- 39-mynrazCmeroizвJdanogewogninertuzoboogeintelвktаimapaN-OLYKaгysezrpuzoboogeгacaldainezcyзenzcedreS

В зависимости от текущего времени

Вариант вируса "Kyokushinkai". Записывается в первый Boot-сектор винчестера и EXE-файлы. В зависимости от текущего времени выводит строку:

(c) 1993 Kysia Software Co. Your fucking PC is infected ! I'm formating your hard disk now. I'm lucky. FUCK'AM ALL Bezplatna reklama kapeli ZOD ze Szczecina.

Lamerman, семейство

Очень опасные резидентные файлово-загрузочные вирусы. Заражают MBR винчестера и записываются вместо EXE-файлов при их создании или модификации. При запуске зараженного файла записываются в MBR и завешивают компьюетр. При заражении MBR обходят BIOS-защиту от вирусов при помощи простого приема - записывают символ 'Y' в буфер клавиатуры. При перезагрузке вирусы перехватывают INT 13h, остаются резидентно в памяти и при записи в EXE-файлы записывают в их заголовок свой код. Содержат строки:

"Lamerman.a": Lamerman .01 "Lamerman.b": Lamerman .02

Liberty

Резидентный опасный файлово-загрузочный вирус. Перехватывает прерывания 8, 10h, 13h, 14h, 17h, 1Ch, 21h и заражает поражает COM- и EXE-файлы при их выполнении. Записывается в конец EXE-файлов. При поражении COM-файла записывается в его конец, а в начало записывает 78h байт кода (расшифровка тела вируса и переход на него), старое начало файла шифрует и сохраняет внутри своего тела. Если при заражении расположенного на дискете файла не хватило свободного места, то вирус инфицирует boot-сектор дискеты. Старый boot-сектор и тело вируса записывает на 40-й трек дискеты (используется нестандартное форматирование), при этом может уничтожить информацию на дискетах размера 1М. Память заражается либо при старте инфицированного COM-файла, либо при загрузке с инфицированного флоппи-диска. Через некоторое время после загрузки с флоппи-диска вирус расшифровывает и выдает на экран, принтер и последовательные порты строку "MAGIC MAGIC MAGIC MAGIC ......". При 10-й загрузке с флоппи-диска лечит его. Содержит строки:

Liberty - MYSTIC - COPYRIGHT (C) 1989-2000, by SsAsMsUsEsL

сектора дискет. При запуске зараженного

Неопасный резидентный файлово-загрузочный полиморфик

-стелс

-вирус. Записывается в конец COM- и EXE-файлов, в MBR винчестера и boot- сектора дискет. При запуске зараженного файла записывается в MBR и возвращает управление программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS и затем перехватывает INT 21h. Вирус затем записывается в boot-сектора дискет и в файлы при обращениях к ним. При запуске PKZIP и BACKUP выключает свой стелс. Не заражает некоторые антивирусы и утилиты:

CHKD F- VIR SCAN CLEAN VSHI ITAV SKUD AVIR MSAV CPAV VSAF VWAT NAV THS TB VI- FLU ATP DOO WOLF QUA

В зависимости от текущей даты проявляется каким-то видеоэффектом. Содержит строки:

Lithium Nuotando nel miele Accecati dalla luce Oppressi dalla liberta' Nauseati dai falsi e facili sorrisi Lottiamo per trovare qualcosa in cui credere. Le note della rabbia e dell'instabilita' sono il detonatore della voglia di proseguire... ...'CAUSE WE'RE ALIVE! You'llKnowWhatNITROMeans! byATPY GENOCIDEYouthEnergy

LivingDeath

Очень опасный резидентный файлово-загрузочный вирус. Частично зашифрован. При запуске зараженного файла трассирует INT 13h и записывается в MBR винчестера. Затем, также как и при загрузке с пораженного MBR, перехватывает INT 8, 13h, 21h и остается резидено в памяти и записывается в конец EXE-файлов при обращениях к ним. В зависимости от текущей даты шифрует сектора дисков и выводит тексты:

I am the Living Death. I am coding your hard disk now. Your FAT is destroyed and his copy is only in memory. If you set power off, all your data will be lost !! Press any key ...

загрузочный вирус. Перехватывает INT 13h,

Неопасный резидентный файлово- загрузочный вирус. Перехватывает INT 13h, 21h и записывается в MBR винчестера, boot-сектора дискет и в конец EXE-файлов при обращениях к ним. В зависимости от текущего значения таймера выводит текст:

hello! This is <Lung-Hua 1.0> virus.

Don't worry, It's just a virus, It never damages your computer, It's written by a Lung-Hua's student. This is a test, I just want to know how far as virus can reach and how fast as virus can sprend. Specilly thanks to Dark Slayer (we are close friends), He teaches me so many virus skills, This is my first virus, It's a quite simple virus. At last, I want to say "Hay! Teachers, Don't down a lof of students, If you down them, They will very sad and cry, so... Don't make their heart break."

PS.1. I recommand the assembly language's teachers, I hope you can teach students "How to write viruses". 2. please send your comment to network (CC2 server, set file name to comment.xxx, If you are supervisor, please set it to read only and keep it many days, I'll receive it on the server) 3. keep my name "Blue Rose" in your mind, watch out my next virus, I'll be back, Enjoy my first virus now, Have fun! :)

Blue Rose of TPVO (a sweet little girl) - 1995.06.18

Majkl, семейство

Безобидные резидентные зашифрованные файлово-загрузочные вирусы. При запуске зараженного файла вирус записывается в MBR винчестера, затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При загрузке с зараженного MBR вирус перехватывает INT 8,13h, ждет загрузки DOS, затем перехватывает INT 21h и заражает запускаемые файлы. Вирусы семейства используют антиотладочные приемы, основанные на особенностях процессоров i368+. "Majkl.1438" содержит строку:

Majkl

Malaga, семейство

Резидентные неопасные файлово-загрузочные вирусы. Перехватывают INT 8, 13h, 21h и записываются в конец COM- и EXE-файлов, кроме COMMAND.COM. Вирусы заражают также boot-сектора дискет и логических дисков, первоначальный boot-сектор и тело вируса записывается в последние сектора диска. Вирусы расшифровывают и выводят тексты:

HB=ETA=ASESINOS PENA DE MUERTE AL TERRORISMOKI VIVA ESPA

Также содержат строку: "*.EXE *.COM COMMAND.COM".

При запуске зараженного файла расшифровывает

Очень опасный резидентный файлово-загрузочный стелс

-полиморфик

-вирус. При запуске зараженного файла расшифровывает себя, используя программный стек, отрезает блок системной памяти (включая UMB), копирует туда свой код, перехватывает INT 8, 13h, 1Ch, 21h и заражает MBR винчестера. Затем отдает управление программе-носителю. При заражении MBR вирус сохраняет первоначальную MBR и свой код начиная со второго сектора нулевого трека и записывает в MBR 29h байт своего загрузчика. Также стирает в зараженной MBR таблицу разбиения диска (Disk Partition Table), в результате чего команда FDISK/MBR делает диск недоступным. При загрузке с зараженной MBR вирус уменьшает на 6 размер системной памяти (слово по адресу 0000:0413), копирует туда свой код, перехватывает INT 8, 13h, 1Ch и отдает управление первоначальной MBR. При запуске или закрытии любого файла восстанавливает размер системной памяти и таким образом "откусывает" блок памяти для своего кода. Затем вирус постоянно проверяет наличие DOS (при вызовах INT 1Ch) и перехватывает INT 21h. Обработчик INT 13h содержит стелс-подпрограмму, которая делает "невидимой" зараженную MBR и код вируса в нулевом треке диска. Обработчик INT 21h содержит стелс-подпрограмму и подпрограмму заражения файлов. Вирус обрабатывает 15 функций DOS и при обращениях к зараженным файлам вызывает стелс-процедуру. При запуске или закрытии EXE-файлов записывается в их конец. Вирус не заражает несколько антивирусных программ и выключает стелс-процедуру при работе некоторых утилит проверки диска. Список соответствующих имен выглядит так: CHKDSK, SCANDISK, DISKFIX, TNTSCAN, CPAV, MSAV, SCAN, IBMAVD, IBMAVDQ, IBMAVSP, IBMAVSH, VWATCH, VSAFE При каждом десятом вызове INT 8 вирус проверяет свой код по CRC-сумме. Если CRC не совпадает с оригиналом, то вирус устанавливает INT 21h на другой адрес и при первом же вызове INT 21h выводит сообщение:

## (Copyleft) DD.MM.YY by MarkusMueller/GERMANY ## (V1.03)

<<<<< Eeehhjj, Du genetischer Abfall !!! >>>>>



Na, haben wir denn gerade einen Fehler gemacht ? Vorab mФchte ich mich kurz vorstellen: Mein Name ist Ebola, ich wohne auf Deiner FESTplatte, arbeite zur Zeit auf Deinem Rechner, ernДhre mich von Deinem Datensalat, habe Angst meine Arbeit und meine Wohnung zu verlieren und ich weiс bescheid.

Dummerweise will mich mein Vermieter loswerden, er hat wohl gerade irgend ein `SchДdlingsbekДmpfungsmittel` eingesetzt. Ich werde nun wohl besser verschwinden.

Ach, Бbrigens: Viel Spaс bei der Renovierung meiner Wohnung !

the crazy program from MM Und TschБс, (bis demnДchst...)

Затем вирус стирает CMOS, ждет некоторе время, медленно гасит экран (использует возможности VGA) и перезагружает компьютер. Точно так же ведет себя и под отладчиком. Вирус проявляется и другими способами. При вызовах INT 13h и INT 1Ch "трясет" изображение на экране. Через месяц после заражения системы периодически эмулирует ошибку обращения к винчестеру. 20-го мая выводит текст:

+---------------------+ TYPE Happy Birthday Markus | | +---------------------+

ждет ввода строки "Happy Birthday Markus", а затем добавляет:

Thank you very much for the congratulations.

11 ноября выводит текст:

Runtime error 032 at 0040:0074 (A)brechnen, (W)iederholen, (I)gnorieren?

и при нажатии на "a" стирает CMOS. Вирус также содержит строку:

** Ebola is present **

Marzia.Demian

Безобидный вирус. Записывается в конец EXE-файлов при их запуске или открытии. Содержит строки: (c)92 ASTRATTOSPAZIO realtЕ del mondo extraterrestre: Globalmente si distingue tutto ciХ che К uguale,localmente tutto ciХ che К diverso.IT Release Rev 4 24IX89 P.098 :) bye bye SPECIAL THANKS TO MAXCC, ALEX & DEMO. DVDEMIAN

Marzia (файлово-загрузочные), семейство

Резидентные файло-загрузочные стелс

-вирусы. При запуске пораженного файла заражают MBR винчестера, затем перехватывает INT 13h, 21h. При загрузке с пораженного сектора перехватывает INT 13h, ждут загрузку DOS и перехватывают INT 21h. Используя INT 21h вирусы определяют файлы для заражения При обращении к пораженной MBR (INT 13h) вирусы подстявляют первоначальный сектор.

Marzia.Pisello

Неопасный вирус. Записывается в конец COM- и EXE-файлов. В зависимости от текущей даты вызывает INT 24h, на что DOS реагирует соответствующим сообщением. Содержит строки:

PISello tenere fuori dalla portata dei bambini. PaxTibiQuiLegis.FaxFree!! WW20V3

Marzia.WW, DV, Baracuda, Pasiphae, Petunia

Опасные вирусы. При инсталляции трассируют INT 13h и перехватывают INT 1Ch. Записывают себя в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов вирусы лечат их. В зависимости от текущей даты стирают сектора винчестера или вызывают INT 24h. При вызове INT 21h, AX=3031h "Marzia.2048" расшифровывает и выводит текст:

Virus Development Software (c)92 PETUNIA virus Written by Willi Wonka Fago industries (c)1991

Также содержат строки:

"Marzia.DV.2048": DVv1.00a "Marzia.WW.2048.a": MARZIA WWMARZIA "Marzia.WW.2048.b": (c)93Virus Development Software WW34V "Marzia.WW.2048.c": WW20V "Marzia.WW.2048.e": PISello tenere fuori dalla portata dei bambini. WW20V "Marzia.WW.2048.f": SZ VIRUS

WW35V

"Marzia.Baracuda": BARACUDA Vds WW30V "Marzia.Pasiphae": PASIPHAE(c)93Knosso by Willi Wonka PpHhIiSsIiCcAaRrTt WW?-? "Marzia.Petunia": DVv1.00a Virus Development Software (c)92 PETUNIA virus Written by Willi Wonka Fago industries (c)1991

MBRExe

Резидентный безобидный вирус, записывается в EXE-файлы и MBR винчестера. MBR винчестера инфицируется при старте зараженного файла. Первоначальный MBR-сектор сохраняется на винчестере по адресу 0/0/9 (головка/трек/ сектор). При загрузке с зараженного диска перехватывает INT 21h и записывается в конец EXE-файлов. Никак не проявляется.

Messev, семейство

Очень опасные резидентные вирусы. Заражают DOS COM- и EXE-файлы, записывают свои загрузочные компоненты в boot-сектора дискет и MBR винчестера. Вирусы зашифрованы как в файлах, так и в загрузочных секторах. При обращениях к зараженным файлам и секторам вызывают стелс-процедуры.

При запуске зараженного файла вирусы трассируют и перехватывают INT 13h,21h и затем записываются в конец COM- и EXE-файлов при их запуске, открытии, чтении/изменении атрибутов и при удалении файлов. Перед тем, как вернуть управление программе-носителю вирусы заражают MBR винчестера и командный процессор DOS, указанный инструкцией "COMSPEC=". При записи или отладке зараженных файлов вирусы лечат их. При обращениях к зараженным файлам также "уменьшают" их длину. При запуске программ PKZIP, ARJ, LHA, RAR и CHKDSK вирусы выключают свои стелс-процедуры.

При запуске TBSCAN добавляют к командной строке опции отмены сканирования памяти и эвристического анализа. Под отладчиком стирают сектора винчестера. При заражении MBR уничтожают файл C:\WINDOWS\SYSTEM\IOSUBSYS\HDFLOP.PDR.

Загрузочная компонента вируса "Messev.3158" записывается только в MBR и boot-сектора и неспособна заражать файлы. 2 мая она стирает информацию на винчестере и выводит на экран и принтер текст:

Gwar virus v1.3, (c) 1998 by T-2000 / Invaders SKLSUX!Winsuck95

Также содержат строки:

"Messev.2778":

=[ Messev v1.00, (c) 1998 by T-2000 / Invaders ]= Daddy-K-tit 2 Gфllyon van Vessem If I don't pass... fuck it! SKLSUX!' [ DEMANUFACTURE - FEAR FACTORY ]

"Messev.3158":

=[ Messev v2.10, (c) 1998 by T-2000 / Invaders ]= MeSSeV LiVeS! Daddy-K-tit 2 Gallyon van Vessem This is a pretty lame virus, I only released it coz I wanted to infect some ppl.Messev - Screwed version If I don't pass... fuck it! My gun will be your angel of mercy! [ DEMANUFACTURE - FEAR FACTORY ]

загрузочный вирус. Заражает MBR винчестера,

Безобидный резидентный файлово- загрузочный вирус. Заражает MBR винчестера, записывается в конец COM- и EXE-файлов, в файлах зашифрован. Не заражает MBR под DOS 7+ (Windows). Никак не проявляется. Содержит текст:

TYSON greeting Mir.Kis & Ro.Ch 4.97 POLAND

При загрузке с зараженного диска вирус перехватывает INT 13h, ждет старта DOS и затем перехватывает INT 21h. При запуске зараженного файла вирус перехватывает INT 13h, 21h и заражает файлы при из запуске или закрытии. При окончании работы программ также ищет и заражает файлы в текущем каталоге. При открытии зараженных файлов лечит их (стелс). Не заражает файлы: *SC??, *PR??, *MA??, *MS??, *TB??, *AV?? (SCAN, F-PROT, COMMAND, TBAV, и т.д.). При запуске CHKDSK или MEM правит системные области памяти таким образом, чтобы скрыть присутствие своей TSR-копии. При запуске антивирусов MKS_DEMO, MKS_VIR и F-PROT добавляет к командной строке опцию "не тестировать память". При запуске Windows добавляет к командной строке опцию, запрещающую 32-битный доступ к дискам. При запуске PKZIP, ARJ или RAR вирус временно выключает свои стелс-процедуры. Вирус вызывает процедуру заражения MBR при окончании работы любой программы. При чтении/записи MBR использует прямые вызовы портов контроллера диска. При помощи перехвата INT 13h реализует стелс на чтение/запись зараженной MBR.

загрузочный вирус. При запуске зараженного

Неопасный резидентный файлово- загрузочный вирус. При запуске зараженного файла записывает свой код в последние сектора диска C: и модифицирует Partition Table так, что адрес активного boot-сектора указывает на код вируса (см. вирус "Starship"

). Затем вирус возвращает управление программе-носителю. При занрузке с пораженного диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем заражает запускаемый COM- и EXE-файлы. Вирус записывается в начало COM- и середину EXE-файлов. В зависимости от своих счетчиков выводит картинку:

#### #### ######## ########## ### ### ###### ###### ######## ########## ##### ##### ############### #### #### ######### #### ### #### #### #### #### #### #### #### #### ##### #### #### #### #### #####

Демонстрации вирусных эффектов:

mity.com

Резидентный очень опасный вирус, записывается

Резидентный очень опасный вирус, записывается в MBR винчестера при старте зараженного файла и в .COM-файлы при их запуске. Старый MBR-сектор сохраняется по адресу 0/0/2 (головка/трек/сектор), записывается в конец .COM-файлов. При старте .COM-файла вирус устанавливает в памяти свою TSR-копию, выдает сообщение "Bad command or file name" и возвращается в DOS. На 100-й загрузке с пораженного винчестера стирает его первые 16 секторов. При каждом 256-м считывании с диска (INT 13h) подставляет в считанный блок по адресу C8h слово "mj". Перехватывает INT 13h, 1Ch, 21h.

загрузочный вирус. При запуске зараженного

Безобидный резидентный файлово- загрузочный вирус. При запуске зараженного файла вирус записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 1Ch, ждет загрузки DOS, перехватывает INT 21h и затем записывается в конец запускаемых COM- и EXE-файлов. Вирус никак не проявляет себя.

загрузочный вирус. Перехватывает INT 13h

Безобидный резидентный файлово- загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и Boot-сектора дискет. При обращении к сектору, содержащему заголовок EXE-файла ('MZ' в начале сектора) записывает себя в область нулевых байт (если такая существует) и корректирует поля заголовка EXE. Таким образом вирус заражает EXE-файлы. Содержит в себе тексты: "MzBoot" and "(c) Андрюшка".

загрузочный вирус. Перехватывает INT 13h,

Очень опасный резидентный файлово- загрузочный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при обращенрии к ним, записывается в MBR винчестера и boot-сектора дискет. 9-го июня стирает сектора винчестера. Содержит строки:

[Narcosis] (c) 1994 Evil Avatar

загрузочный вирус. Перехватывает INT 1Сh,

Неопасный резидентный файлово- загрузочный вирус. Перехватывает INT 1Сh, 21h и записывается в MBR-сектор жесткого диска и конец EXE-файлов при завершении их работы. После старта из инфицированного файла вирус заражает MBR сектор жесткого диска. Запись секторов осуществляется в обход BIOS при помощи портов ввода/вывода жесткого диска. При старте из MBR вирус перехватывает INT 1Ch, который затем ждет загрузки DOS и патчит обработчик INT 21h, встраивая в него вызов подпрограммы заражения файлов.

Вирус никак не проявляется. Содержит строку текста:

Natalie Portman

Не заражает секторов дисков. Содержит

Не заражает секторов дисков. Содержит тексты:

SEXY ATHEN ##@ FoeTuS 5.xx BeTa @##

Natas, семейство

Очень опасные файлово-загрузочные резидентные полиморфик

-вирусы, перехватывают INT 13h, 21h и записываются в MBR винчестера, boot-сектора дискет и конец COM- и EXE-файлов при обращении к ним. Не поражают файлы, если они открываются утилитами PKZIP/PKUNZIP, LHA и ARJ. В зависимости от своих внутренних счетчиков форматируют сектора дисков. Содержат строку "BACK MODEM" и следующие строки:

"Natas.4744,4746": Natas "Natas.4766": Keep my flesh free from sin "Natas.4774": Time has come to pay (c)1994 NEVER-1 "Natas.4786": Time has come to pay (c)1994 NEVER-1 SANDRINE B. "Natas.4988":

Yes I know my enemies They're the teatchers who taught me to fight me Compromise, conformity, assimilation, submission Ignorance, hypocrisy, brutality, the elite All of whitch are American dreams (c) 1994 by Never-1(Belgium Most Hated) Sandrine B.

Neurobasher, семейство

Неопасные резидентные стелс

полиморфик

файлово-загрузочные вирусы. При запуске зараженного файла или при загрузке с пораженного диска перехватывают INT 13h, 21h и записываются в конец EXE-файлов при их запуске или открытии, поражают флоппи-диски при чтении/записи с/на них. Записываются в MBR винчестера при первом запуске зараженного файла. Через три месяца после заражения системы вирусы выводят текст: "Neurobasher.a": <HAVOC> by Neurobasher'93/Germany - GRIPPED BY FEAR - UNTIL DEATH US DO PART ! "Neurobasher.b": <HAVOC> by Neurobasher'93/Germany ДGRIPPEDДBYДFEARДUNTILДDEATHДUSДDOДPARTД

сектора дискет. Код вируса зашифрован

Очень опасный резидентный файлово-загрузочный полиморфик-вирус. Заражает COM-файлы, boot-сектор диска C: и boot- сектора дискет. Код вируса зашифрован полиморфик-циклом как в файлах, так и в boot-секторах. При запуске зараженного файла вирус записывается в boot-сектор диска C: и возвращается в DOS. Boot-сектор диска C: также заражается при загрузке с зараженной дискеты. При загрузке с зараженного винчестера или флоппи-диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в boot-сектора дискет при обращении к ним и в конец COM-файлов при их запуске. Вирус использует довольно сложный механизм при заражении COM-файлов: считывает 20h байт из начала файла (заодно проверяет, что формат файла не является EXE), перехватывает INT 3, INT 13h (еще одна процедура перехвата INT 13h) и отдает управление первоначальному обработчику INT 21h. Затем ждет момента загрузки файла (сравнивает считываемые по INT 13h сектора с 20h байтами заголовка файла) и записывает вместо первого байта запускаемого кода команду CCh (вызов INT 3). Таким образом, при запуске файла первой командой идет вызов INT 3, вирус перехватывает его, восстанавливает этот первый байт, перехватывает INT 1 (трассировка) и затем трассирует файл. При трассировке вирус пропускает 256 или более выполняемых команд, затем ждет команду JMP или CALL и записывает вместо нее команду перехода на тело вируса. Затем шифрует себя и записывает в конец файла. В результате вирус записывает команду перехода на себя в середину файла, а заголовок файла не изменяется. При заражении файлов вирус проверяет различные условия, чтобы не испортить файл, однако в некоторых случаях файл все равно оказывается испорченным. В результате ошибки при заражении boot-сектора диска C: вирус стирает на нем системную информацию, если число секторов на треке меньше 21. Более никак не проявляется, содержит строку:

Nexiv_Der takes on your files

загрузочный вирус. При запуске зараженного

Неопасный резидентный файлово- загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера, затем перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. При запуске с зараженного диска перехватывает INT 1Ch, ждет загрузки DOS и затем перехватывает INT 21h для заражения файлов. В зависимости от своего внутреннего счетчика вирус перехватывает также INT 8, 14h, 17h и заменяет символы 'a' и 'A' на пробел при печати и при выводе в COM-порты. Периодически вирус стирает символы 'a' и 'A' на экране. Вирус содержит строки:

^^^^^^^^^^^^^^^^ NICE TO MEET YOU -=VIRUS=- V 3.0 (C) March 1991 ^^^^^^^^^^^^^^^^

Демонстрации вирусных эффектов:

ntmy.com

Nutcracker.AB#

Семейство достаточно сложных резидентных файловых и файлово-загрузочных вирусов. Используют различные методы заражения файлов, секторов и оперативной памяти. Все вирусы (кроме "Nutcracker.AB1") очень опасны, используют различные способы порчи данных.

Очень опасные резидентные загрузочные вирусы.

Очень опасные резидентные загрузочные вирусы. Перехватывают INT 8, 15h, 40h и записываются в MBR винчестера и boot-сектора дискет. Вирусы поражают MBR при загрузке с зараженной дискеты, при этом вирусы переопределяют адрес активного boot-сектора диска и записывают по этому адресу свой код. Дискеты заражаются при обращениях к ним. При заражении вирус записывает первоначальный сектор и свое продолжение в дополнительные сектора винчестера (LandZone?) или форматирует дополнительный сектор на дискете. При заражении MBR вирус использует прямые вызовы портов винчестера. При загрузке с зараженного диска вирус перехватывает INT 8, 15h, 40h, ждет загрузки DOS, временно перехватывает INT 21h, ждет выполнения любой программы и затем копирует свой код в UMB (если такая память присутствует) или добавляет к последнему блоку обычной DOS-памяти. Для того чтобы перехватить INT 15h вирус правит код ядра DOS: записывает туда вызов INT 7Eh и перехватывает INT 7Eh (т.е. INT 15h). Перехватив INT 15h, вирус контролирует внутренние вызовы BIOS при обращениях к клавиатуре (ждет нажатия Alt-Ctrl-Del) и к дискам (вызывает стелс-программу). Проявляется несколькими способами. При нажатии на Alt-Ctrl-Del вирус в зависимости от своих флагов и системного таймера стирает сектора винчестера. В зависимости от системного таймера запускает по экрану изображение прыгающего шарика (см. "Ping-Pong"

). Если при загрузке с зараженного диска произошла ошибка, вирус расшифровывает и выводит текст, напоминающий стандартное сообщение DOS:

Non-system disk or disk error. Replace and press strike any key when ready.

7 апреля расшифровывает и выводит текст:

0S0U0P0E0R0U0N0K0N0O0W0N0 was done by Lord Nutcracker(AB0).

и перехватывает INT 21h, затем

Файловый полиморфик-вирус. Трассирует и перехватывает INT 21h, затем заражает COM- и EXE-файлы при их запуске, открытии, переименовании и смене их атрибутов. При заражении вирус проверяет имя файла и заражает только файлы с расширениями COM и EXE. При заражении EXE-файлов переводит их в COM-формат. При заражении системной памяти вирус проверяет видеокарту, и если она поддерживает режим перерисовки (video refresh), то перехватывает INT 8 (таймер) и проявляется видео-эффектом: разрешает/запрещает перерисовку экрана.

Nutcracker.AB1.Antarex

Файловые полиморфик-вирусы. Трассируют INT 21h, 2Fh, перехватывают INT 8, 21h, затем заражают COM- и EXE-файлы при обращениях к ним. Если при заражении системной памяти произошла ошибка, то вирусы стирают CMOS и перезагружают компьютер. Перед тем, как отдать управление программе-носителю вирус, ищет файлы в текущем каталлоге диска C: и заражает их. При заражении файла вирусы проверяют его имя и заражают только файлы с расширениями COM или EXE, "Antarex.2620" также заражает .BIN- и .SYS-файлы. Файлы формата EXE переводятся в формат COM. В зависимости от текущего значения системного таймера вирусы проигрывают мелодию "я на солнышке сижу". "Antarex.2620" портит EXE-файлы и заражает SYS-файлы троянской программой (см. выше).

они имеют длины: 2890, 2990,

Известно около 30 вирусов "Nutcracker.AB2", они имеют длины: 2890, 2990, 3021, 3472, 4540, 5375, 5413, 5440, 5589, 6082, 6100, 6425, 6500, 6727, 6996, 7008, 7033, 7034 байт. Являются очень опасными файлово-загрузочными вирусами. Поражают COM-, EXE- и SYS-файлы, MBR винчестера и boot-сектора дискет. При запуске зараженного файла или загрузке с зараженной дискеты вирус записывается в MBR винчестера. Затем вирус отдает управление программе-носителю (в случае зараженного файла) или остается резидентным в памяти (при загрузке с зараженной дискеты или MBR). При заражении системной памяти вирус копирует свое тело по адресу 7C00:0000, перехватывает INT 1Ch и возвращает управление первоначальному сектору (boot или MBR). Обработчик INT 1Ch перехватывает момент инсталляции DOS, перехватывает INT 13h, 21h (плюс к INT 1Ch) и при выполнении первой же программы "приписывает" свой TSR-код к последнему блоку памяти, уже занятому какой-либо программой или драйвером. В результате вирус не выделяет себе отдельный блок памяти, а паразитирует на каком-либо уже существующем блоке. Если есть свободный блок UMB, то старшие версии вируса записывают свои резидентные копии в этот блок. Обработчик INT 21h перехватывает обращения к файлам и заражает COM-, EXE- и SYS-файлы, записывая копии вируса в середину или конец файла, или помещает троянскую программу в конец SYS-файлов (см. выше) в зависимости от версии вируса. Перехват INT 13h используется для заражения дискет, стелс-процедуры, порчи EXE-файлов и подкаталогов (см. выше) в зависимости от версии вируса. INT 1Ch используется для проигрывания мелодии. Младшие версии вируса применяют антиотладочные приемы и завешивают систему под отладчиком и на Pentium PC. Старшие версии вируса начиная с "Nutcracker.AB2.5375" также перехватывают INT 28h и в зависимости от своих счетчиков ищут файлы в текущем каталоге и заражают их. "Nutcracker.AB2.5413,5440,5589,6082,6100" заражают не только MBR винчестера, но и активный boot-сектор (как правило этим сектором является boot-сектор диска C:). Начиная с "Nutcracker.AB2.5375" не шифруют заголовки EXE-файлов. Версии "Nutcracker.AB2.6082" и старше являются полиморфик-вирусами также и в boot/MBR-секторах. "Nutcracker.AB2.6082,6100,6500" пакуют блок заражаемого файла (см. выше) перед тем, как зашифровать его и сохранить в конце файла. В результате длина файла после заражения может оказаться меньше, чем сумма длин вируса и файла до заражения. Начиная с "Nutcracker.AB2.6425" шифруют подкаталоги, шифруют себя в SYS-файлах тем же способом, что и в COM- и EXE-файлах, трассируют INT 13h, проверяют имена файлов и не заражают антивирусы и некоторые утилиты. Список имен файлов выглядит следующим образом: SCAN CLEAN VSAFE NAV AVP AIDS GUARD NOD F-PROT DESINF VIRSTOP VSHIELD FINDVIRU VIVERIFY TB RKSD COMMAND SETVER CHKLIST ADINF SMARTCHK ANTI-VIR CHKDSK PKZIP PKLITE WEB DRWEB

файлов при их запуске, открытии

Файловые стелс-вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE- файлов при их запуске, открытии и переименовании. При создании файлов вирусы запоминают соответствующий handle и заражают файлы при их закрытии. Для маскировки своего тела используют стелс-процедуры при чтении из зараженных файлов и при вызове функций FindFirst/Next и LseekEnd. "Nutcracker.AB4" лечит файлы под отладчиком. "Nutcracker.AB5" при инсталляции трассирует INT 21h. Также использует антиотладочные методы, в результате чего не работает под отладчиком и на Pentium PC. При открытии *.?AS-файлов (.PAS, .BAS) с вероятностью 1/9 уничтожают их. Уничтожают также некоторые другие файлы (базы ADINF?). "Nutcracker.AB5" уничтожает *.MS-файлы. "Nutcracker.AB3" 12 января и 23 июля стирает сектора диска C:. При заражении файлов запоминает текущую дату и через 23 дня перехватывает INT 10h и замедляет работу компьютера (пустой цикл при каждом вызове INT 10h). "Nutcracker.AB4" записывает в MBR винчестера троянскую программу, которая 12 января и 23 июля форматирует сектора диска C:. Вирус также заводит счетчик в boot-секторах дисков и увеличивает его при запуске программ. Когда счетчик достигает значения 40h вирус перезапускает его и помечает один из кластеров диска как сбойный. "Nutcracker.AB5" также записывает в MBR троянскую программу, которая увеличивает свой внутренний счетчик при каждой перезагрузке. При достижении значения 511 троянец форматирует винчестер, стирает CMOS и выводит сообщение:

Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!

При запуске зараженного файла записываются

Файлово-загрузочные стелс-вирусы. При запуске зараженного файла записываются в MBR винчестера, перехватывают INT 13h, 17h, 21h, ищут и заражают COM- и EXE-файлы на диске C:, после чего остаются резидентно в памяти. Затем записываются в конец COM- и EXE-файлов при обращениях к ним. При загрузке с зараженной MBR вирус перехватывает INT 17h, 1Ch, ждет загрузки DOS и перехватывает INT 13h, 21h. Вирус не уменьшает размер DOS-памяти (слово по адресу 0000:0413), а самостоятельно корректирует цепочку MCB. Вирусы используют INT 13h для маскировки зараженной MBR. Перехватывая INT 17h, периодически меняют символы при их печати. Особое внимание вирусы уделяют утилите CHKDSK и при ее запуске отключают некоторые ветви стелс-процедуры. Уничтожают файлы *.FW* и *.?AS, также пытаются (безуспешно) уничтожить *.MS-файлы. 12 января при загрузке с зараженной MBR форматируют винчестер, стирают CMOS и выводят сообщения:

"Nutcracker.AB6.a": Dreary Nutcracker(AB6) Lives "Nutcracker.AB6.b": Dreary Nutcracker(AB6) Lives Again "Nutcracker.AB6.c": Dreary Nutcracker(AB6) "Nutcracker.AB6.d": Dreary Nutcracker(AB6) lives forewer !

сектора дискет. При запуске зараженного

Файлово-загрузочный стелс-вирус. Заражает EXE-файлы, MBR-винчестера и boot- сектора дискет. При запуске зараженного файла записывается в MBR винчестера и возвращает управление программе-носителю. Вирус остается резидентно в памяти только при загрузке с зараженной дискеты или MBR, при загрузке с дискеты вирус также поражает MBR винчестера. При заражении памяти вирус копирует себя по адресу 7C00:0000, перехватывает INT 1Ch, ждет загрузки DOS и перехватывает INT 21h. При запуске первой программы вирус выделяет себе блок обычной или UMB-памяти, копирует себя в этот блок и перехватывает INT 9, 13h, 15h, 21h, 2Fh, 40h. INT 9 (клавиатура) : вирус перехватывает Alt-Ctrl-Del и заражает MBR винчестера непосредственно перед перезагрузкой. В результате вирус может заразить MBR после лечения - в тот момент, когда пользователь нажимает Alt-Ctrl-Del. Таким образом, для полного удаления вируса из системной памяти недостаточно "вылечить" обработчики INT 13h и INT 21h, небходимо также деактивировать и INT 9. INT 13h : содержит стелс-процедуру для маскировки зараженных секторов. INT 15h : обрабатывает несколько системных PCMCIA-вызовов. INT 21h : перехватывает DOS-функции Execute, Create, Close и FindFirst/Next ASCII. При запуске файлов вирус заражает MBR, при создании файла вирус запоминает его handle и заражает файл при закрытии. Функции FindFirst/Next используются вирусом для маскировки длин зараженных файлов. Заражаются только EXE-файлы длиной до 64K, при заражении вирус переводит их в COM-формат. INT 2Fh : вирус перехватывает функцию GetDiskInterrupt (AH=13h) и лечит при этом MBR винчестера. Этот прием, видимо, направлен против антивирусных утилит, проверяющих диски на наличие изменений. Вирус удаляет себя из MBR, если такая утилита пытается получить прямой доступ к диску, а затем опять заражает MBR при запуске любой программы (INT 21h) или при перезагрузке (INT 9). INT 40h : используется для заражения дискет и реализации стелс-механизма. При загрузке с зараженного диска вирус проверяет системную дату и 12 января выводит сообщение:

I'm Nutcracker(AB7)!

Nutcracker.Boot

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и диска C:. При чтении или записи шифрует сектора, содержащие список файлов в подкаталоге, при этом использует рас/зашифровку "на лету". Содержит байт-опознаватель ABh.

Nutcracker.Punisher

Очень опасные резидентные загрузочные стелс-вирусы. Записываются в MBR винчестера и boot-сектора дискет. Являются "усеченными" вариантами вируса "Nuctracker.AB7": перехватывают тот же набор прерываний и используют те же приемы заражения дисков (кроме заражения файлов). 12 января стирают информацию на дисках и выводят тексты:

"Punisher.a": The Punisher in award for your self-confidence! "Punisher.b": The Punisher II in award for your self-confidence again!

Содержат также текст:

(c) 1994 by Dismal Nutcracker

Nutcracker, семейство

Это семейство содержит вирусы различных типов, написанные одним и тем же автором. Семейство разделяется на под-семейства: "Nutcracker.AB", "Nutcracker.Boot", "Nutcracker.Punisher" и "Nutcracker.SnowFall".

Nutcracker.SnowFall

Неопасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. В зависимости от своих счетчиков вызывают эффект "падающего снега", если в этот момент запустить какую-либо программу, вирусы расшифровывают и выводят текст:

Given program was generated in BrPI (c) 1994 The Snowfall.

Демонстрации вирусных эффектов:

nutcrack.com

загрузочный вирус. При запуске зараженного

Очень опасный резидентный файлово- загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При инсталляции в системную память перехватывает INT 13h, 21h, F5h (при загрузке с пораженого диска перехватывает также INT 1Ch). При вызове функции DOS ChDir вызывает INT F5h, которое указывает на подпрограмму заражения файлов. Эта подпрограмма ищет EXE-файлы и записывает вирус в их конец. INT 13h используется для реализации стелс

-алгоритма. В октябре вирус записывает в сектора дисков свой код, начинающийся со строки "oeur934". Содержит строки текста, которые выводятся (задом наперед) по пятницам:

$?! ynnuf uoy erA $.akrakurD ... eis im izduN $.draobyeK ... em ssiK $!!! EVITCAOIDAR si KSID DRAH ruoY $!!! em KCUF ton oD $:A evird otni AZZIP tresnI ! yrgnuh ma J $setteksid owt era :A evird nI ! gninraW $$ejeiwezdr rosecorp jowT $emsat agaicw :C ajcats agawU $tceted rosecorp 4XD687 oN ! gninraW $yob diputs uoY $.K ZSUIRAM ... .J ECZSEINGA ejukydyd asuriw ogeT $AGA evol J $noisrev SOD tnerrocnI $selif erom oN $$selif desolc ynam ooT $noitcerder etacilpuD $hctamsim egap edoC $deinad sseccA $sroloc eerhct si AGV ruoY $ydaer ton SME $SURIV rof yromeM etacolla tonnaC $sretemarap KCATS dilavnI $fys ot AGIMA $moniks creimS $$LUCSOK zrpeiP $hcanalg w eizdjyzrp suzeJ $NATAS EVA $azorgz oT $aselaW z zcerP $!! corw AGA $RAWONAM evol J $daed si - PAR - OKSID - ONHET $yladep ot ylap esyL $ycicam jem do zcerp eceR $! iwoloi $?! ynnuf uoy erA $.akrakurD ... eis im izduN $.draobyeK ... em ssiK

---

---