Лозинский Д.Н. Антивирусная программа AIDSTEST. Краткое описание опознаваемых вирусов (файл aidsvir.txt) Версия 1559 от 15 июля 1996 г. Данное описание является приложением к краткому руководству по использованию антивирусной программы Aidstest (файлу aidsread.me в комплекте поставки). Программа Aidstest предназначена для обнаружения и исправления программ, зараженных определенными типами вирусов, а именно типами, известными в настоящее время автору. Перечень опознаваемых вирусов дается в отдельном файле aidslist.txt, поставляемом в комплекте с программой. Этот перечень постоянно пополняется по мере появления у автора новых вирусов. Данный документ содержит описание вирусов, входящих в этот перечень. Предполагается хотя бы общее представление о структуре, жизненном цикле и классификации компьютерных вирусов. Для углубленного изучения этих вопросов могут быть использованы, например, монографии Н.Н.Безрукова "Компьютерные вирусы" (М.: Наука, 1991.- 160 с.) и "Компьютерная вирусология" (Киев: Укр. сов. энцикл., 1991.- 416 с.). Описание вирусов построено в две колонки. Левая колонка содержит имена и длины вирусов и используется для идентификации вирусов. Правая колонка содержит собственно описания. Отдельные вирусы группируются по некоторым родственным признакам, и их описания даются одной группой. 1. Программные вирусы Vienna-648, -534, -574, -623, -625, -627, -23693 Наиболее примитивный из широко распространенных вирусов. При загрузке в память просматривает все COM-программы в текущем каталоге и в доступных через PATH. Первую найденную еще не зараженную программу либо заражает, либо, с вероятностью 1/8, портит таким образом, что она при запуске вызывает перезагрузку системы. Если испорченной таким образом оказывается одна из программ, вызываемых из AUTOEXEC.BAT, процедура начальной загрузки зацикливается. Самым опасным свойством этого вируса оказалась его простота. Из-за этого в малопочтенное общество авторов вирусов смогла вступить группа личностей, способных разобраться в несложной чужой программе и слегка ее модифицировать. Таким образом появилось много разновидностей этого вируса, отличающихся от него длинами. В модификации длиной 623 вместо ухода на перезагрузку стоит переход по адресу C800:0000. Вероятно, предполагалось, что от этого произойдет форматизация диска. Если у Вас будет обнаружен этот вирус, можете сами искать модули, в начале которых стоит EA 00 00 00 C8, и стирать их с диска. Думаю, что предметом особой гордости автора этой модификации была обработка ошибок ввода/вывода, благодаря чему не должны выдаваться сообщения о попытке записи на защищенную дискету. В версии 627 отключена ветка порчи программ, в связи с чем она занимается только размножением. Версия 23693 появилась в Ленинграде и является, вероятно, самой безграмотной и гнусной. Естественно, проверка длины заражаемой программы не скорректирована. Оригинальный вирус и, если не ошибаюсь, все модификации помечают зараженные файлы, проставляя во времени коррекции файла 62 секунды. При лечении эта пометка не снимается. Некоторые антивирусные программы реагируют на эту пометку, заявляя о наличии вируса "Time Stamp". Vienna-462 Видно слово "Angel". Пакостей не делает, но на будущее предусмотрен счетчик поколений и опрос системного времени. Vienna-481 Запланирована форматизация диска, но с ошибкой. Vienna-502 14 января надеется портить нулевую дорожку на третьем цилиндре первого твердого диска. Есть текст "/mw soft/93.3.15/norilsk/". Vienna-507 Заражает только в текущем каталоге. Зараженные файлы помечает 13-м месяцем. Vienna-520 После очень большого числа заражений намерен портить первый твердый диск. Есть текст "/MW Soft./1993Feb6/Norilsk/Shura M./Depeche Mode/". Vienna-535 Во времени ставит 58 секунд. В первые 5 байт испорченных файлов попадают относительно случайные данные, поскольку это поле иногда пересекается с именем файла. Vienna-565 Вместо перезагрузки пишет 5 нулей. Vienna-576 Собирался вместо перезагрузки системы заставлять испорченные файлы стирать начало диска "C", но, как обычно, в этом месте есть ошибка. Vienna-604 Во времени ставит 0 секунд. В первые 5 байт испорченных файлов JMP F000:E05B, что для большинства версий BIOS также означает перезагрузку. Vienna-613 Пометка во времени - 60 секунд. EXE опознает правильно. В связи с особым способом заражения COMMAND.COM версии 3.30 AIDSTEST лечит его не вполне корректно (уменьшает длину), что не должно приводить к отрицательным последствиям. Vienna-618 Вместо команды перезагрузки портит файлы командой "JMP 0:FFF0", что приводит к повисанию системы при запуске испорченной программы. Vienna-708 Портит один из восьми файлов куском, выводящим текст "Copyright 1992 Metal TechnoRat (MTR).". Vienna-757 Иногда выдает на экран "Безвредный вирус: Долой Кузьмичей !!!". Vienna-779 Может стереть с диска 256 первых секторов. Есть тексты "Violator Strain C - (C) 1991 RABID Int'nl Development Corp.", "Violator strikes again...". Vienna-833 С вероятностью 1/8 заражает куском длиной 171, который ставит в памяти резидент на INT 13, производящий довольно бессмысленные действия. Vienna-998 Весьма творческая переработка: добавлено кодирование и изменена пометка во времени. Vienna-1000 Оставляет в памяти резидентную часть, которая через час, в случае нажатия на "Print Screen" устраивает падение букв на экране со звуковым сопровождением. Vienna-1006 Вместо порчи некоторых программ, которая была в первой версии, играет мелодию, которая даже на XT в "турбо" режиме исполняется слишком быстро. Vienna-1201 Изготовлен в лучших традициях структурного программирования. Попытка испортить загрузочный сектор диска реализована не вполне удачно. Vienna-1239 Портит первые 3 сектора на секторе 0 головка 1 первого твердого диска (обычно это BOOT и два первых сектора FAT). Cascade-1701, -1704 Два варианта в протоколе можно различать по разности длин. Заражает только COM-программы, однако опознает их не по имени, а по внутреннему формату. Это широко известный вирус, вызывающий осыпание букв на экране. Как и большинство вирусов, он остается в памяти машины и заражает запускаемые после него программы. Алгоритм активизации использует часы и устроен таким образом, что наблюдать деятельность этого вируса (осыпание букв) можно обычно только на PC -XT, да и то необходимо устанавливать дату. На AT этот вирус демонстрировал свои способности только в третьем квартале 1988 года. Приятной особенностью этого, как и большинства действительно грамотно написанных вирусов, является отсутствие непоправимых последствий его деятельности. Следует отметить, что автор вируса хотел сделать его не заражающим машины фирмы IBM, но сделал в этом месте ошибку (перепутал сегментный регистр). Название в классификации SCAN "Cascade [170X]". Cascade-1661 Переделка классических 1701/1704. Scan опознает как "Turkey [Trk]". Jerusalem-1808 Заражает и EXE- и COM-программы. К сожалению, этот вирус различает их по имени и потому делает неработоспособными программы, у которых имя не соответствует содержанию. Из-за ошибки этот вирус многократно заражает одну и ту же EXE-программу. Внешние проявления - "черный квадрат" на экране (координаты 5,5 - 16,16) и замедление работы машины. Главная опасность от него грозит, когда на 13 число приходится пятница. По таким дням вирус стирает все загружаемые программы. Название в классификации SCAN "Jerusalem Virus Version B [Jeru]". Edd) Группа вирусов одного автора, в которую объединены и вирусы, имевшие имена "E" и "Bch". Изготовлены в Болгарии, заражают и EXE и COM. Программные файлы заражают даже при их чтении, из-за чего размножаются очень быстро. Главная опасность состоит в том, что вирусы портят на диске относительно случайно выбираемые сектора. При этом очень трудно определить, какие же файлы он успел испортить. Это проделывается при каждом шестнадцатом запуске зараженной программы. Edd-651 Только заражает и только при загрузке программ. Edd-1800 Прежнее название этого вируса "E". Испорченные сектора содержат в начале фразу "Eddie lives...somewhere in time!", которая имеется в начале вируса. После лечения диска можно найти по этому признаку все испорченные файлы. Эта фраза должна стоять по адресу, кратному 512. Название по SCAN "Dark Avenger virus [Dav]". Edd-2000 Дальнейшее развитие вируса. В этой версии появилось заражение создаваемых программных файлов и элементы невидимости. Прежнее название "Bch", по наличию в теле вируса текста "(c) 1989 by Vesselin Bontchev". Существует два варианта, отличающиеся текстом в начале: "Only the Good die young..." и "Zopy me - I want to travel". AIDSTEST различает их, но не отражает этого факта в протоколе. Этот вирус, как и следующий, в испорченные сектора пишет BOOT Sector текущего диска. SCAN опознает его как "2000 Virus [2000]" Edd-2100 Следующая разновидность. Содержит в начале и в конце текст "Eddie Lives", поскольку именно эти слова стали "пакостной маркой" автора, которой он очень гордится. Сохранен и текст "(c) 1990 by Vesselin Bontchev". Отличия от предыдущей версии не слишком принципиальны. SCAN опознает его как "2100 Virus [2100]" EddX-1800 Очень малая переделка Edd-1800. EdXX-1800 Очередная переделка Edd-1800. Eddie-1530 Заражает COM и EXE, резидентный. Иногда устраивает перезагрузку системы. Может портить тип диска в CMOS. I-529 Заражает только COM, но различает типы только по имени, из-за чего делает неработоспособными EXE-программы, имеющие расширение COM. Остается резидентным, перехватывая прерывание 21. Никакой вред не предусмотрен. Не проверяет версию операционной системы, но использует имя программы, которое ставят в Environment версии не ниже 3.0. Записывается в начало, переписывая старое начало в конец файла. Внешне опознается только по длине. Прислан из Ленинграда 15.12.89. Судя по всему, автором является начинающий пакостник, так как почти все передрано из знаменитого "Израильского" вируса - в классификации AIDSTEST - вирус (C). Есть шансы на появление новых версий, поскольку предусмотрена подпрограмма обработки EXE-файлов, которая пока состоит из одного RET. M) Весьма большая группа вирусов одного автора. Внутри каждого из них есть номер разновидности в авторской классификации. Этот номер приводится в протоколе вслед за буквой "M". Подробности о разных версиях приведены в отдельном разделе ниже. SCAN называет представителей этой группы "Vacsina virus [Vacs]" или "Yankee Doodle Virus [Doodle]", а иногда и обоими именами одновременно, что обычно не означает наличия в модуле сразу двух вирусов. Sun-1631 Удлиняет файлы на 1636 (5 - длина признака зараженности, приписываемого к концу файла). Весьма похож на "Израильский" вирус, что позволяет подозревать либо одного автора, либо плагиат. Отсутствует ошибка, вызывавшая многократное заражение одного EXE модуля. В качестве пакости предусмотрено стирание всех загружаемых программ по воскресеньям с выдачей при этом на экран совета по воскресеньям отдыхать. В связи с этим свойством вирус известен под именем "SUNDAY". Впрочем, есть надежда, что в этом месте вирус содержит ошибку и пакостная ветка никогда не должна работать. Дополнительная неприятность заключается в том, что вирус, приписываясь к началу заражаемых COM-модулей, не контролирует их длину и поэтому безнадежно портит модули, длина которых вместе с ним превышает 64К. SCAN опознает как "Sunday Virus [Sunday]". IV) Группа, состоящая пока из трех представителей с длинами 847, 740 и 345 байт. Устройство предельно примитивное - заражаются только COM- модули в текущей директории, причем не предусмотрено даже сохранение даты, не говоря о контроле длины. Заражение производится приписыванием к началу. IV-740 не контролирует и своего наличия в модуле, в связи с чем заражение происходит многократно. Остальные довольно скоро и часто начинают вместо исполнения программы выдавать сообщение "Program sick error:Call doctor or buy PIXEL for cure description". Очень похоже на то, что первый из этих вирусов был опубликован в виде исходного текста в каком-то издании по компьютерным вирусам в качестве наиболее простого примера. В результате получился наглядный пример того, что нельзя давать такого рода информацию, которой может воспользоваться любое ничтожество. На расстоянии 2-3 байта от начала в этих вирусах стоят буквы "IV". Из этой группы SCAN опознает IV-345 и IV-847, называя их "Amstrad Virus [Amst]". V) Эта буква в дальнейшем будет использоваться для обозначения всех новых вирусов, о которых нельзя сказать ничего интересного. Их перечень будет следовать ниже с вынесением на поля длины. V-600 Заражает только COM-программы. Приписывается к началу. 600 байт правильного начала программы переписываются в конец, причем зачем- то кодируются (XOR 0xBB). Программы с флагом защиты от записи не заражает. В процедуре обработки неустранимой ошибки ввода/вывода (INT 24) есть неточность. V-257 Заражает только COM-программы, причем только в текущей директории. Получен из Кемерово. По-видимому, местного происхождения. Иногда вызывает перезагрузку операционной системы. Сделан весьма неграмотно. Никогда не закрывает файлы, причем открыть их может очень много. Портит время. Не блокирует сообщения о защите от записи. Зараженные программы теряют способность обрабатывать параметры. V-4096 Заражает и COM и EXE. Scan опознает его как "4096 Virus [4096]". Все зараженные программы удлиняются ровно на 4096, а в дате год увеличивается на 100. Впрочем, обычно этого обнаружить не удается. Этот вирус превосходит все мыслимые пределы затраты труда на столь ничтожную цель. В нем обрабатываются 20 функций DOS (INT 21), в результате чего в зараженной машине полностью маскируются следы его деятельности. Мне представляется, что универсальный сторож, который обнаружил бы появление в машине этого вируса, должен просматривать каталоги не стандартными средствами MS DOS, а через прямое считывание секторов, поскольку все средства доступа к файлам отдают программам информацию, из которой удалены все следы деятельности вируса. Мне пока не удалось обнаружить никакой специфически пакостной деятельности вируса, но уверяют, что он портит каталоги. Я достаточно тщательно изучил его средства размножения, а на детальный анализ прочих частей пока не хватило времени. SCAN опознает его как "4096 Virus [4096]" V-644 Заражает только COM в текущей директории, причем не в корневой, причем только первые 20 минут каждого часа. Является, по-видимому, свободной вариацией на тему вируса "A". При этом, однако, автору не удалось справиться с регистрами, и заражение через PATH не происходит. Время создания файла портится, поскольку в него довольно глупо ставится признак зараженности. V-1049 Заражает COM и EXE. Очевидный плагиат из "музыкальных" вирусов, впрочем, только достаточно тривиальной части. "Оригинальной" является только пересылка содержимого AX в BX до сравнения, вставленная, по-видимому, в соответствии с моими рекомендациями для авторов вирусов. V-512 Заражает только COM. Является первым представителем давно ожидаемого семейства вирусов, не меняющих длину заражаемой программы. Как это сделать знают достаточно многие. Думаю, что такие вирусы до сих пор не появлялись из-за одного очень неприятного их свойства - после копирования зараженной программы она становится неработоспособной. Текущая версия AIDSTEST различает 6 вариантов этого вируса, хотя и не отражает этих различий в протоколе, поскольку они существенны только для лечения, а не по последствиям. Даже главная ошибка, упоминаемая ниже, присутствует во всех версиях. Судя по некоторым приметам, и этот вирус написан автором вируса "Dark Avenger". Ему, очевидно, доступна внутренняя документация фирмы Microsoft, поскольку в тексте использовано большое число недокументированных возможностей MS DOS. Есть две довольно грубых ошибки, одна из которых должна с вероятностью 2/n, где n - количество системных буферов (параметр Buffers), приводить к повисанию системы в момент первой загрузки вируса в память машины. Учтите, что при лечении программ от этого вируса нет гарантии того, что они будут восстановлены в исходное состояние (особенно для двух из шести версий). В частности, абсолютно невозможно восстановить программы, которые после заражения были переписаны на другой диск или даже на новое место того же диска. SCAN опознает пять из шести версий как "512 Virus [512]". V-900, -905 Заражает только EXE. При заражении сегментированной программы может сделать ее неработоспособной, однако лечению это не мешает. Предусмотрена оригинальная шутка: на адаптере EGA с определенного момента времени каждые 10 секунд изображения символов на экране переворачиваются. V-707 Заражает только COM, отличая их по имени. При определенных условиях появляется треск (18 раз в секунду включает и выключает звук). Текст вируса интересен упорной борьбой автора с несуществующими трудностями. Вирус активизируется только в MS DOS-3.30, однако, зачем автору это понадобилось понять трудно, поскольку все специфичное для этой версии можно было в вирус не вставлять. V-572 Заражает только EXE. При заражении сегментированной программы может сделать ее неработоспособной. В этом случае и после лечения программа может оказаться испорченной (недоступны правильные параметры длины в EXE HEADER). Привезен из Воронежа. Из текста вируса видно, что автор очень спешил напакостить, не успев в достаточной мере изучить MS DOS. V-516 Заражает только COM, причем только начинающиеся командой JMP. Является первым представителем давно ожидаемой мной разновидности - не меняет начало, а вставляет JMP на себя в позицию перехода первого JMPа. По мелким приметам похоже, что и его сочинил автор "Dark Avenger". Содержит ошибку в использовании системных буферов, приводящую к повисанию системы, впрочем, с вероятностью вдвое ниже, чем у V-512. V-948 Заражает COM и EXE. За счет округления истинное изменение длины больше на 1-16. При заражении COMMAND.COM его длину не меняет. Работает только в MS DOS 3.xx. В качестве шутки предусмотрено изменение случайно выбираемых букв на экране, но мне кажется, что эта ветка никогда не работает. V-699 Заражает только COM, отличая их по имени. Не заражает COMMAND.COM и файлы короче 1700. Истинное удлинение файлов от 704 до 719. В качестве пакости предусмотрена периодическая симуляция сбоев на устройствах гибких дисков, но, как мне кажется, в этом месте имеется ошибка, которая может приводить к повисанию системы. V-696 Заражает только COM, просматривая каталоги. Это, кажется, первый вирус, который работает не только в текущем каталоге (если не считать "A", работающего через PATH). Впрочем, хотя в алгоритме хождения по каталогам я детально не разбирался, некоторые ошибки в нем обнаружил. До заражения округляет длину до кратной 16, причем точную исходную длину восстановить не удается. Дату и время портит. Не заражает COMMAND.COM и файлы с атрибутами Read only, Hidden, System. После 64 запусков зараженной программы предусмотрено ее стирание и попытка испортить первый твердый диск. V-1150 Все откровенно украдено из "музыкальных" вирусов, хотя украдено далеко не все. В частности, автор не сумел даже обеспечить однократное заражение модуля. Впрочем, автору можно быть благодарным за то, что он не вставил какой-нибудь пакостной самодеятельности. V-370 Предыдущая и более примитивная версия Воронежского вируса V-600. V-765 Заражает только EXE. На дискетах делает фиктивные BAD Cluster'ы (по одному на каждый вызов функции Select default drive). V-1232/1472 Через каждые 10 минут устраивает мелкую пакость с клавиатурой - пятикратное повторение последней нажатой клавиши. Время создания файла портит. Обнаружены две переделки, которые через час выдают на экран слово "SAMSOFT". Scan опознает как "Keypress [Key]". V-695 Заражает COM и EXE, различая их по имени. Резидентный. Для второй половины 1990 года предусмотрена шутка: каждый час 5 раз с небольшой задержкой гасит экран. Не заражает файлы Read Only, хотя и хотел это делать. Дату не портит. V-1308 Заражает только COM просматривая диск классическим Венским алгоритмом. В качестве пакости предусмотрено быстрое забивание свободного места в FAT признаками конца файла. После лечения необходимо пустить CHKDSK и затем удалить из корневого каталога файлы с именами FILEnnnn.CHK. V-537 Заражает только EXE в текущем каталоге. Портит дату и время, устанавливая фиксированные значения: 17.08.88 - 02:08:34. В процессе поиска файла для заражения забывает их закрывать, в связи с чем при исполнении программы возможна ошибка. V-310 Заражает только COM. Резидент в области векторов прерываний. Иногда вызывает перезагрузку системы. V-384 Содержит гордую фразу: "Infects ani .COM or .EXE file on any writeable Device". На самом деле и те и другие безнадежно портит, причем только в текущей директории. Единственное почти оригинальное достижение - использование доступа FCB. Все зараженные файлы приходится удалять. V-1202 Вариант V-1150. V-821 Заражает только EXE. Новая продукция автора V-900 и V-905. Однако, на этот раз вместо шутки с экраном вставлена мелкая пакость - на дисках, имеющих 12-битовый FAT, постоянно образуются псевдосбойные кластеры. Алгоритм заражения сохранен полностью. Scan опознает как "905". V-1014 Заражает только EXE, однако, из абсолютно непонятных соображений, COM-программы, имеющие в начале JMP, обрабатывает по тому же пути. В результате вирус оказывается дописан к концу файла, а в начале портятся 6 байт (+4-+5 и +14-+15h). Такие файлы AIDSTEST не обнаруживает. Опасности они не представляют, но работоспособность могут потерять. Очень редко вирус может производить мелкие шутки на адаптере типа EGA/VGA - смещать по вертикали развертку на экране. Scan опознает его как "Armagedon [Arma]". V-715 Заражает только COM в корневом и текущем каталоге текущего диска. Содержит довольно интересный алгоритм обхода резидентных сторожей. Зараженная программа через месяц после своего заражения после 13.00 перезагружает систему. Из непонятных соображений заражает и файлы с атрибутом System, в т.ч. ibmbio.com и ibmdos.com, что приводит к очевидным результатам. Весьма тяжелое впечатление оставляет сочетание хорошего уровня программирования и столь примитивного результата. V-300, -748 Заражают только COM в текущем каталоге. Судя по почерку, одного автора. 300 по 3-м числам месяца портит 19 секторов в случайном месте диска D: и выдает текст "Happy Birthday,Cheef!", а 748 в 5 часов утра в субботу портит все EXE-файлы в текущем каталоге таким образом, что они портят при запуске сектора в случайных местах первого твердого диска. V-756 Заражает только EXE. Довольно грамотно и оригинально реализован тривиальный "Венский" алгоритм просмотра каталогов по PATH. Тело вируса кодируется. Совершенно оригинально сделан обход слежения за DOS-функциями, но дубово до изумления - по памяти ищется последовательность байтов, стоящая на входе в MS DOS 3.30, в связи с чем на других версиях вирус добровольно отказывается работать. Замедляет работу машины, оставляя на прерывании по времени цикл из восьми байт. Интересные люди пишут вирусы! V-1355 Заражает EXE и COM. Резидентный. Стирает и не восстанавливает атрибуты. Если не ошибаюсь - проверить не было возможности - каждый час устраивает дрожание экрана. V-1131 Заражает EXE и COM. Резидентный. По шестым числам месяца устраивает осыпание букв при помощи довольно примитивного алгоритма. V-454 Заражает только COM, резидентный. На адаптерах EGA/VGA устраивает подергивание экрана по горизонтали. V-1576 Заражает EXE и COM. Резидентный. Не меняет длину COMMAND.COM. V-550 Заражает только EXE, резидентный. V-388 Заражает только COM, резидентный. Содержит две грубые ошибки, одна из которых очень быстро приводит к повисанию системы. В связи с этим лечение возможно только в чистой операционной системе. V-855 Заражает COM и EXE, резидентный. С 1 по 16 ноября после 500 нажатий на клавиши стирает первые 8 секторов текущего диска. Scan опознает как "855". V-1391 Заражает только EXE, резидентный. Не работает ни на 8088/8086 ни на 80386 процессорах, хотя и по разным причинам. По первым числам портит Partition Table (меняет параметры второго раздела), сохраняя исходную в третьем секторе. Исправить эту ситуацию можно только при помощи NU или DiskEdit. V-373 Заражает только COM (различает по имени), резидентный. Иногда при EGA/VGA адаптерах подергивает экран по горизонтали. V-586 Заражает только COM, резидентный. V-302 Заражает только COM, резидентный. Портит дату и время. Не заражает файлы с атрибутом "только чтение". V-1441 Заражает COM и EXE, резидентный. При заражении COM дописывает в конце дополнительно до 31 байта. При заражении файлов, имеющих в конце много нулей (COMMAND.COM), не меняет длину зараженного файла. V-330, -357, -475, -563 Заражают только COM, резидентные. Абсолютно бесцветные. V-1526 Заражает только COM, резидентный. Написан весьма оригинально, но часто конфликтует с операционной системой. V-1635 Заражает только EXE, резидентный. Удивительно безграмотный. Портит дату файла, заражает многократно, быстро вешает систему. V-458 Заражает только COM, резидентный. Стандартное сочетание серости с подлостью. Старается во всех файлах испортить 1 байт (+2) и затереть 9 первых секторов диска "C". К счастью, успешность этих попыток маловероятна. Mur-1277 Заражает и COM и EXE. Близко от начала содержит текст "I'm Murphy. ...". Главное внешнее проявление: в интервале от 10 до 11 часов пищит с частотой 11.9 Кгц. В процедуре обработки INT 24 применен очень хитрый прием выхода - прямое восстановление всех регистров непосредственно из стека (наглядная демонстрация того, что лишние знания дураку только вредят). Поскольку автор забыл, что может понадобиться восстановление и стековых регистров, последствия этой хитрости при попытке писать на защищенную дискету являются непредсказуемыми. Например, при загрузке AIDSTEST с защищенной дискеты появлялись совершенно некорректные сообщения. Заметен плагиат из "Dark Avenger", причем без достаточного понимания функций копируемых фрагментов. Vrn-1600 Заражает и COM и EXE. Заражение производит не только при загрузке программ, но и при открывании на чтение файлов с расширением EXE. Имеется ряд признаков, позволяющих с уверенностью говорить о родстве с V-600. Произведен в Воронеже, причем мне сообщили имя автора - Стас Олейников. В подтверждение этой информации Касперский Е.В. обнаружил в V-600 закодированный текст "Oleynikoz S.,1990". Для меня абсолютно непостижим стимул, которым руководствовался автор, сочиняя этот вирус. Дело в том, что его единственная задача - обойти самозащиту AIDSTEST, которая описана в последнем разделе настоящего описания, причем с предельным старанием, без проблеска новых идей и даже с ошибкой реализована рекомендованная процедура. Сообщая эту процедуру, я надеялся, что главной движущей силой авторов вирусов является болезненное самолюбие и желание доказать свою способность придумать нечто принципиально новое. На этот раз воронежский пакостник недалеко ушел от тех, кто гордится умением поменять пару команд в простейшем вирусе "Vienna (DOS 62)". Vrn-1536 Заражает COM и EXE, различая их только по имени. Реализован тот же алгоритм заражения EXE-файлов. В текстах, выдаваемых на печать, меняет некоторые слова на нецензурные. VrnA-1536, VrnB-1536 Слегка подправленные версии предыдущего. Vrn-1584 Новый вариант предыдущих. Вместо развлечения вставлена существенная пакость - порча всех DBF-файлов. В подробностях ее я не разбирался. Ysh-1961 Заражает только EXE, просматривая в момент запуска зараженной программы все каталоги диска. Перед тем как передать управление исходной программе, исполняет мелодию. В конце вируса имеется слово "motherfucker". Поступил из коллекции известного болгарского вирусолога Бончева и ему же принадлежит название YANSHORT. В живом виде пока не замечен, как я думал в момент его обработки, но уже на следующий день мне его прислали, как отловленного в Кемерово. SCAN опознает его как "Yankee Two Virus [Doodle2]". sI-492 Заражает только COM. В памяти остается в области второй половины векторов прерываний (0:200-0:3FF). Кроме прерывания 21 берет и 1C, которое использует для выбора момента порчи случайного места диска "C:". Есть, впрочем, надежда, что автор немного напутал и такой момент никогда не наступает. Первым делом вирус пытается заразить "C:\COMMAND.COM". До заражения в конец файла дописывается от 1 до 16 нулей, чтобы длина стала кратной 16. Исходную длину файла восстановить невозможно. Время также портится. Более того, время постоянно указывает на момент последнего запуска программы, пока количество запусков с момента заражения не станет равным 256. Сообщение о попытке записи на защищенную дискету не блокируется. Комбинация "sI" присутствует со смещением 3 от начала всех зараженных программ и используется вирусом в качестве опознавательного знака. Atn-394 Заражает только COM, различая их по имени. Остается резидентным, занимая 416 (1A0) байт в конце памяти. В начале всех зараженных файлов стоит текст "ATTENTION !". Дату портит. При попытке записи на защищенную дискету (точнее при неустранимой ошибке ввода/вывода) сообщение блокирует, однако трижды включает и выключает мотор дисковода "A". BEBE-1004 Заражает только COM в текущей директории, различая их по имени. Оставляет в памяти резидентную часть, которая помещается по адресам 0:1CE-3EB и перехватывает прерывание от часов (1C). Через 10 минут после загрузки на экран выдается идиотский текст, после чего из-за абсолютно безграмотной работы с клавиатурой вирус зацикливается и приходится перезагружать систему кнопкой RESET или выключением машины. Блокирование этого фрагмента пока не предусмотрено, поэтому рекомендуем запускать AIDSTEST для лечения с чистой системы или сразу после загрузки, а после лечения сразу перезагружаться. BEBE-486 Отличается тем, что резидентный фрагмент вместо организации остроумного диалога пакостит на диске - при исполнении функции WRITE меняет символы "+" на "-" и наоборот. Важным достоинством обоих разновидностей вируса является их неработоспособность практически на всех типах машин. MGTU-273 Заражает только COM в текущей директории, различая их по имени. Содержит текст "Эта пpогpамма написанна в МГТУ студентом гpуппы ИУ4" (текст полностью скопирован из вируса). LCh-488 Заражает только COM, различая их по имени. Содержит текст "LoveChild in reward for software sealing". Специально настроен на работу в MS DOS-3.30, причем из-за ошибки мгновенно вешает любую другую версию. Заражение производит не только загружаемых программ, но и при исполнении функций OPEN и RENAME, однако содержит счетчик на 5000 до первого заражения. Иногда при создании файла вместо него создает под тем же именем оглавление. Самым гнусным свойством является его способность записать в начало EXE-программы последовательности команд, которая полностью сотрет все содержимое диска. Естественно, такие модули AIDSTEST с диска стирает. Loz) Вирусы, объединяемые под этим именем, являются расплатой за популярность AIDSTEST. Loz-1023, -1018 Заражает только COM, однако заметно желание в дальнейшем распространить деятельность и на EXE-программы. Заражение происходит и при открытии файла на чтение. Атрибуты и дата файла портятся. Главной задачей, которую поставил перед собой автор, является борьба против AIDSTEST. Вирус, как и большинство остальных, остается резидентным в памяти, перехватывая обработку функции 4B (загрузка программ). При попытке исполнить программу AIDSTEST он вместо этого выдает текст: Welcom to demo version (C) Zherkov Лозинский-ДУБ , AIDSTEST - горбуха и пытается стереть AIDSTEST с диска. Для лечения необходимо работать в чистой операционной системе, загружаемой с дискеты, либо, если у вас такой нет, переименовать AIDSTEST (защита от переименования снята). Еще раз напоминаю - имейте копию на защищенной дискете. В вирусе предусмотрена и еще одна пакость: при записи на дискету BOOT Sector (например, при форматизации) в нем заменяется на 0 параметр количества поверхностей (смещение 1A). Как ни странно, исправить такую дискету довольно трудно. Программу NU (Norton Utilities) следует запустить командой "nu a: /m", причем в это время дискета не должна быть загружена, и только после начала работы программы ее можно загрузить. В противном случае NU зацикливается. Из анализа текста вируса видно, что автор знаком с довольно тонкими возможностями MS DOS, но применяет их довольно бессмысленно. Loz-1915 Новая версия вируса того же автора. На этот раз добавлена обработка EXE-программ. Пострадавшим от этого вируса могу сообщить координаты автора. Loz-1882 Тот же вариант с исправлением нескольких ошибок. Loz-2968 Отличается от предыдущей регулярной выдачей на экран весьма изящной рекламы AIDSTEST, а также тем, что не портит дискеты. Loz-1922, -1958 Почти точное подобие 2968, но без рекламы AIDSTEST. Loz-2970 Функционально подобен 2968, но с фрагментами из 1958. Loz-776 Очередная вариация на тему "Vienna (DOS 62)". Пометка зараженности заменена с 62 на 58 секунд. Автору можно быть благодарным за то, что он, по крайней мере, выкинул порчу программ и заражает только программы длиной от 813 до 3302. Иногда выдает сообщение: Я, кажется, подхватила какую-то заразу... Срочно звоните Дмитрию Николаевичу Лозинскому по телефону 292-40-76 (Москва) и приобретите ПРОГРАММУ AIDSTEST !!! Loz-693 Заражает только COM, кроме COMMAND.COM. После 224 загрузок системы каждые 4 минуты осыпает содержимое экрана и выдает в центре экрана: Бей жидов и Лозинского Version d13,copyright (c) 1991 by LEV & "С.Х." Счетчик загрузок ведет в MBR со смещением E3. Loz-2253 Функционально подобен 1958. MSTU-554/551, -532/531 Заражает только в текущей директории, различая их по имени. В качестве признака зараженности ставит фиксированное время (10:47:22). Файлы с флагом Read only не заражает. Содержит текст "This program was written in MSTU,1990". Думаю, что позорит МГТУ своим безграмотным творением тот-же, кто сочинил и MGTU-273. Поскольку никакие проверки длин в вирусе не предусмотрены, полноценное лечение всех файлов не гарантируется. MSTU-1351 Заражает COM и EXE, резидентный. Выводит текст "Innoxious Bug 2.02 'The Sad Flasher' (c) 1994-95 BugsoftIU7, MSTU, Moscow. We offer our apologies for possible data destruction.". Bug'ов, действительно, много. SVC) Группа вирусов одного автора, живущего по имеющейся информации в Нижнем Новгороде. Все имеющиеся версии заражают COM и EXE. Содержат близко от конца текст: "(c) 1990 by SVC,Vers. 4.0". Корректируют время создания файла, ставя в нем 60 секунд. Если зараженную программу загружает DEBUG, вирус ее исправляет. При вызове функций просмотра каталога, вирус корректирует в информации о зараженных программах время и длину, скрывая свое наличие в них. SVC-1689, -1740 Две разновидности одной версии, отличающиеся в одном фрагменте, который, кажется, так и не был отлажен. SVC-3103 Существенно переработанная версия - 5.0, в которую добавлены новые старания скрыть свое наличие в машине, впрочем, основанные на известных методах. Можно одобрить стремление автора не испортить диск при работе программы CHKDSK и не заражать COMMAND.COM и системные модули. SVC-1064 Версия 3.1. Занимается только заражением. SVC-4644 Очередная версия 6.0. На этот раз добавлено заражение MBR (Partition Table) и даже программ в формате драйвера. В связи с последним обстоятельством при обнаружении этого вируса необходимо производить чистку с параметром /G (просмотр не только EXE и COM). Вставлена защита от трассировки, позаимствованная из музыкальных вирусов. Трудолюбию автора можно только удивляться. Сколько же можно тратить сил, повторяя давно сделанное другими? Формально новое - заражение драйверов достаточно тривиально. Думаю, что этого до сих пор никто не делал, поскольку этот путь размножения абсолютно бесперспективен - драйверы практически никогда с машины на машину не копируют. SVC-4661 Отличается от 4644 только исправлением одной ошибки - теперь к AIDSTEST.EXE приписывается текст: "/* (c) 1990-91 by Moscow SVC, Vers.". Прочие ошибки остались в неприкосновенности. SVC-4677 Весьма мало отличается от 4644. SVC-2936 Старательно переписанная версия 3103. Добавлена порча дисков 4-го и 19-го июня. SVCX-3103 Переделка вируса SVC-3103. Вставлена обработка INT 13 (работа с диском), причем весьма безграмотно. Используется фиксированный адрес, по которому MS DOS 3.30 хранит вход в INT 13. В результате в остальных версиях MS DOS вирус неработоспособен. SVCX-1064 Наивная переделка SVC-1064, в надежде на усложнение его лечения. SVCXX-3103 Еще одна малограмотная, но весьма гнусная переделка. Добавлена порча диска "C:", а вместо обработки CHKDSK не заражается Aidstest. MLTI-830 Заражает только COM. Дату портит. По пятницам после трех часов непрерывной работы стирает с диска все загружаемые программы. Содержит тексты, свидетельствующие о том, что вирус изготовлен в МЛТИ. Способ фиксации в оперативной памяти заимствован из одной из последних версий "музыкальных" вирусов (как и в V-1049). HYMN-1865, -1962, -2144 Заражает и COM и EXE, причем не только при загрузке программы, но и при открытии файла, переименовании, изменении атрибутов и даже при создании нового программного файла. При совпадении номера дня и месяца (1 января, и т.д.) портит BOOT Sector диска "C", после чего, довольно фальшиво, исполняет Гимн Советского Союза с выводом на экран саморекламы. Особенно неприятно, что на PC XT в момент загрузки системы стоит дата 01.01.80, и, если COMMAND.COM заражен, диск "C" сразу портится. Исправить BOOT Sector диска "C" можно при помощи программы NU.EXE. Для этого ее следует запустить с дискеты командой "nu c: /m", выбрать сектор 0, скопировать вручную 9 байт, которые стоят со смещением 1F3, в байты со смещением 0C и записать сектор на диск. Обезвредить эти вирусы в памяти абсолютно чисто удается только для версии MS DOS 3.30, поскольку автор вируса использует некоторые особенности, присущие только этой версии, не давая, естественно, себе труда проверить, в какой версии пакостит. Особенности версий: 1865 - записывается в программу без модификации; 1962 - кодирует себя до записи в заражаемую программу; 2144 - кроме кодирования содержит некоторые хитрости, которые должны затруднить его изучение. Еще раз советую чистить машину от вирусов, загружаясь с дискеты с чистой операционной системой. Kuku-448 Заражает только COM. Алгоритм поиска содран из классического вируса "Vienna (DOS 62)" (поиск через PATH). Пишется в начало, копируя старое начало в конец. Метит зараженные файлы во времени - ставит 20 секунд. Ранее зараженные программы портит, переписывая первые 49 байт. При запуске такой программы на экране (только цветном) начинает бегать весьма остроумная надпись "Kuku!". Успешное лечение от этого вируса не всегда возможно. В случае сомнения в возможности правильного лечения программа спрашивает разрешение на удаление файла с диска. Mgn-2048 (две версии), -2560 (три версии) Заражают и COM и EXE. По имеющейся информации произведены в Магнитогорске. Некоторые версии в определенные моменты переворачивают всю информацию на экране, причем восстанавливает расположение всех рамок и скобок. Другие вместо этого выдают приветствие в мой адрес или содержат обе эти шутки. Написан с большой изобретательностью и довольно аккуратно. В частности, не заражает сегментированные программы. Более того, в вирусе предусмотрена возможность лечения зараженных программ. Остается только сожалеть, что автор не объявляет об этом и не воздержался от распространения своего вируса. В одной из версий есть довольно примитивный антитрассировочный прием. Кроме того она производит мелкую пакость в Partition Table на дисках, если не ошибаюсь, размеченных программой DM (параметр System Code меняет с 50h на 51h). Mgn6-3000 Автор, вероятно, надеялся этой версией сделать большое открытие в области вирусологии и поэтому оставил довольно солидное количество ошибок. При этом новизна состоит лишь в записи вируса в начало файла, а не в конец. Новый весьма патриотический видео-эффект - раскрашивание экрана в цвета Флага России реализован также с ошибкой, которая может приводить к повисанию системы. Mgn7-2560 Довольно близко к первым версиям, но использован другой транслятор. Fu-417 Заражает только COM. Портит дату. Приблизительно через каждый час стирает экран и выдает в центре текст, который не принято приводить в печати. Tula-419 Заражает только COM. Портит дату. Пишет себя в начало. Содержит текст "Tula 1990". В субботу 14-го пытается испортить нулевой цилиндр диска "C:". Судя по почерку, изготовлен автором "Fu-417". Tula-635 Заражает COM и EXE. Того же автора. Через два часа выдает на экран текст "Formatting drive..." и начинает читать диск. Портит атрибуты файлов. Tula-593 Заражает COM и EXE. С интервалом в 2 часа выдача на экран аналогичная Fu-417, а через 3 часа блокирует работу с дисками. Tula-1480 Заражает COM и EXE. После каждых 50 программ устраивает представление с музыкой, включением моторов дискетников и выводом на цветной экран двустишия на любимую автором тему. Minsk-1075 Заражает COM и EXE, однако различает их по имени. Портит дату. Безнадежно портит сегментированные программы. Заражает, в отличие от большинства вирусов, только при открытии программного файла. Предусмотрена пакость против файлов DBF: при каждом 20-м чтении вместо прочитанного блока возвращаются пробелы. Minsk-825 Заражает COM и EXE, резидентный. Изготовлен очень старательно. AT-144 Заражает только COM, резидентный. Содержит пару команд, которых нет в процессоре 8088, в связи с чем не должен работать на PC-XT. Написан явно способным программистом в расчете на побитие рекорда длины вируса. Должен, однако, его разочаровать - есть болгарский вирус имеющий длину 133, причем без PUSHA. Причем его автор отличается и большей порядочностью - этот вирус существует только в коллекциях вирусологов. AT-132 Просто великолепно! Words-1069, -1085, -1387, -1391, -1485, -1503 Группа вирусов, изготовленных, судя по тексту в некоторых из них, в Киеве. Заражают и COM и EXE, причем последние превращением в COM. Резидент в середине памяти (алгоритм взят из вируса осыпания букв). Предусмотрена весьма гнусная пакость - при записи любых файлов в них переставляются соседние слова, под которыми понимаются последовательности букв, цифр и знаков препинания, разделенные пробелами. Поскольку в качестве букв принимаются и русские, очевидно отечественное происхождение. Версия длиной 1069 портит дату и атрибуты файла. В версии 1085 эти ошибки исправлены. Версии 1387, 1391, 1485 и 1503 кодируются и в алгоритме перестановки слов содержат что-то дополнительное, в чем я не разбирался. Hero-506, -394 Заражает COM и EXE, резидентный. Разновидность длиной 394 заражает только EXE. По первым числам при загрузке зараженной программы выдает текст "С Л А В А Г Е Р О Я М !". Некто неизвестный в порыве благородного гнева заменил этот текст на "АВТОР ВИРУСА - КРЕТИН" и пустил дальше новую разновидность... "И что ты смотришь на сучок в глазе брата твоего, а бревна в твоем глазе не чувствуешь" (Матфея 7,3). ATA-1150 Заражает COM и EXE, резидентный. Заражает не только загружаемые программы, но и при открытии файла, переименовании и т.д. Содержит тексты: "DESTRUCTOR V4.00 (c) 1990 by ATA", "The Time is my!". DLk-920 Заражает COM и EXE, причем COM не короче 23000. Резидентный. В конце содержит текст "DataLock version 1.00", рекламируя тем свою способность блокировать работу с DBF-файлами. Впрочем, в этом месте имеется ошибка, приводящая к непредсказуемым последствиям (не тем, к которым стремился автор вируса) при попытке открыть файл с расширением DBF. Flip-2343, -2365 Заражает не только COM и EXE, но и Partition Table первого твердого диска. От первой Partition диска в момент заражения отрезается 6 секторов. При лечении этот эффект не исправляется, что, кажется, не должно приводить к неприятным последствиям. Грамотные специалисты могут это исправить при помощи программы NU. При этом придется прибавить 6 к номеру последнего сектора и общему количеству секторов в Partition Table, а также аналогичный параметр в BOOT Record (смещение +13). При наличии экранного адаптера EGA устраивает на нем шутки в виде переворачивания изображений букв и текста на экране. В подробностях этих шуток пока разобраться не удалось. Вирус производит еще одну непонятную работу: во всех программных файлах ищется определенная последовательность команд и ее начало заменяется на команду "INT 9F". Flip-2153 Отсутствует работа с INT 9F и не всегда - в зависимости от значения внутреннего счетчика в загружаемом экземпляре вируса - устраивается шутка с EGA. Sov-1193 Заражает только COM. Резидентный. Портит дату файла. Автор - большой любитель Советских праздников, поскольку пять дней в году (23.02, 07.03, 22.04, 30.04 и 06.11) вирус не размножается, а в момент запуска зараженной программы заполняет экран вертикальными полосами. Sov-1205 Новая версия, которая по праздникам выдает вместо полос большими буквами "I AM VIRUS". MS-457, -550 Заражают только COM. Плагиат из примитивного вируса "IV". Добавлена примитивная шутка на экране, а в версии 550 и довольно гнусная пакость: порча при определенных обстоятельствах всех EXE-программ в текущем каталоге. IBM-547 Очередная вариация на тему "Vienna (DOS 62)". В начале стоит слово "IBM". Длину округляет, причем исходную длину восстановить невозможно. Invader-4096 Заражает COM, EXE и BOOT Sector. Во многих случаях через полчаса играет вальс Штрауса "На прекрасном голубом Дунае". Это, впрочем, не компенсирует того, что в некоторых случаях после нажатия на клавиши Ctrl+Alt+Del он может затереть все диски и стереть содержимое CMOS (памяти для параметров конфигурации машин типа AT). Очень многое в этом вирусе скопировано из известного Иерусалимского вируса (C). В том числе, различение COM и EXE по имени и безнадежная порча сегментированных программ. Оставлено и замедление работы машины. Вообще написан очень длинно и скучно. Черпать из него идеи для новых пакостей не советую. SCAN опознает этот вирус. Pascal-3678 Заражает COM и EXE во всех директориях диска, на котором находится зараженная программа. Учтите, что при одновременном заражении вторым вирусом, правильное лечение от этого вируса маловероятно. Pascal-3680, -3779 Отличаются от предыдущего тем, что стараются не заражать COMMAND.COM и NCMAIN. Pascal-3966 Заражает только EXE в текущей директории. ВНИМАНИЕ: при обезвреживании этого вируса невозможно восстановить 6 последних байт программного файла. Поэтому многие (возможно большинство) из них окажутся после лечения неработоспособными. Pascal-4075 Близок к 3680. Не заражает также ADINF. Добавлено стирание некоторых файлов. Pascal-4240 Заражает COM и EXE. С вероятностью 1/50 меняет в BOOT диска C: количество головок на 1, после чего выводит текст "Smokie3 virus, я затер Ваш сектор, Вы поняли ? Y/N". С вероятностью 3/50 делает то же с первым гибким диском. Pascal-4641 Заражает только EXE. "Немножко" портит файлы с расширениями PAS, BAS, TXT, BAK, PCX, MID, PIC, CUT, C, ARC, PAK, ZIP, LZH, ICE, CHZ, ARJ, перемещая в них 64 байта. Pascal-5000 Заражает COM и EXE. Устанавливает в системе случайное время и дату. Есть текст +--------------------------+ | Уважаемый Игорь Данилов! | |Мне нравится Ваш антивирус| |Dr.Web,но я разочаровался,| |когда обнаружил,что Dr.Web| |3.01 неправильно лечит мой| |вирус SV11(HLLP.Ceib.4629)| +--------------------------+ До встреч ! Pascal-6117 Заражает только EXE. Поиск по всем дискам, в том числе и по второму гибкому, даже если его нет. Портит файлы "*.TXT" и "*. DOC". В конце всех зараженных и испорченных файлов символы "RevengE". Чисто выводит текст "I Like this Job!" и вешает систему. Из-за ошибок многие зараженные файлы безнадежно портятся. Pascal-6009 Заражает только EXE. Отличается от 6117 текстом: "Русский язык - самый Великий и Могучий!". Pascal-6640 Заражает только EXE. Поиск во всех каталогах текущего диска. В конце всех зараженных файлов видно "INNA 2.4". В 13 часов вызывает Print Screen. По каким-то датам выводит на экран "Virus INNA Version 2.4" в рамке. Pascal-6768 Заражает только EXE. Поиск по всем каталогам, начиная с корневого. Если все файлы уже заражены, стирает один EXE-файл в текущем каталоге. Pascal-7792 Заражает COM и EXE. Поиск по PATH и просто по каталогам. Особое пристрастие к файлам, имя которых начинается на "A". В частности, заражает AUTOEXEC.BAT. Оставляет в памяти бессмысленный резидент. Pascal-7808 Заражает COM и EXE в текущей директории. Написан на Turbo-Pascal. Pascal-5062 Заражает только EXE. Поиск в текущем каталоге. 13 августа намерен стереть нулевую дорожку первого твердого диска. Среди текстов есть "Санкт-Петербург, 1995, Max Hacker ( 14 years old )". К 14 годам можно научиться программировать и лучше. Pascal-4170 Заражает COM и EXE. Портит BAS-файлы, дописывая в начало "Smokie4 virus (c) by N5 school BISHKEK 1". Иногда тот же текст выводит на экран. Pascal-7840 Заражает только EXE. Поиск во всех каталогах всех дисков. Иногда оставляет резидент, который должен производить что-то с палитрой и выводить текст "General error: Smoked cigarrete on hard disk C:". Из-за ошибок весьма опасен. Pascal-6421 Заражает только EXE. Поиск по всем каталогам дисков C, D, E. По 16-м числам выводит текст "ЕЛЬЦИН - ПРЕЗИДЕНТ!!!". Может также выдавать тексты "School 1279", "Path not found", "Bad command or file name", "Not enough programs". Alabama-1560 Заражает только EXE в текущей директории, хотя и является резидентным. Выдает на экран протест против незаконного копирования программ и некий адрес в штате Алабама. Scan его опознает. DM-400 Заражает только COM. В конце содержит текст "(C)1990 DM". Может испортить некоторые дорожки первого твердого диска. Версия 1991 года диска не портит, но портит файлы с расширением TP. Часть кода вируса кодируется, поэтому содержащийся в этой версии текст "(C)1991 1.01 DM" не виден. Третья версия файлы с расширением TP из-за ошибки не портит, а заражает как обычный COM. DM-330 Тело закодировано. Содержит текст "(C)1991 1.05 DM". Портит файлы с расширением TP. STARSHIP-2616 Длина переменная. В качестве его формальной длины указывается 2616, что является лишь оценкой снизу. Заражает COM, EXE и Partition Table. Заражение программных файлов происходит только в момент копирования их на дискету. Активизируется вирус при загрузке системы с зараженного твердого диска. После лечения от этого вируса в операционной системе, загруженной с дискеты, рекомендую произвести перезагрузку и повторное лечение. Автор вируса приложил огромные усилия для того, чтобы затруднить его изучение. Вероятность того, что этот вирус приведет к большим неприятностям довольно мала, за что можно быть благодарным автору. JOCKER-1371 Заражает COM и EXE. Очередной плагиат из музыкальных вирусов. В качестве пакости предусмотрено стирание файлов с расширением BAS (обнуление длины). Подозреваю, что такой эффект является следствием ошибки. Другая ошибка может приводить к безнадежной порче заражаемых программ, причем в случае COM-файлов обнаружить этот факт невозможно и программы, объявленные исправлеными, работать не будут. Tumen-1255 Заражает только COM. Портит дату создания файла. При перезагрузке по Ctrl+Alt+Del с вероятностью около 1/20 исполняет мелодию Паганини и на адаптере EGA меняет палитру, что приводит к постепенному исчезновению изображения на экране. Содержит текст "Tumen.,v1.2;", что, возможно, означает Тюмень. Tumen-1663 Заражает только EXE, резидентный. Версия, судя по тексту в вирусе, номер 0.5. В начале и в конце большие тексты с саморекламой. Some-658 Заражает только COM. Резидентный. Пишется в начало. Содержит текст "Something v1.1". По 11-м числам заменяет "AUTOEXEC.BAT", записывая в него пару строк: @del *.com @del *.exe По вторникам в текущей директории пишет файл "SOME" нулевой длины. Первые четыре и седьмой с восьмым байты исходной программы прячет, заменяя другими значениями. И откуда у грамотных людей берется столько тупой злобы? Kiev-483 Заражает только COM в текущей директории. Содержит текст "Kiev 1990". Kiev-2048 Заражает EXE и BOOT диска C. Активизируется только при загрузке с зараженного диска, причем применяет совершенно оригинальный алгоритм. Поскольку часть тела вируса и исходный Boot Record записываются в сектора, помеченные как занятые, но не принадлежащие ни одному файлу, после работы программы CHKDSK или NDD лечение Boot Record, а также и загрузка с диска, скорее всего станут невозможными. На успешность лечения EXE-файлов это не повлияет. Иногда при загрузке системы в четвертом часу дня немного фальшиво играет Гимн Советского Союза. mutant-1744 Заражает COM и EXE, но может заразить далеко не каждую программу. Некоторые программы может заражать несколько раз (например, COMMAND.COM два раза). Длину не меняет. Внешне, если не ошибаюсь, проявляется тем, что каждые два часа издает звук случайной частоты. Имеются существенные заимствования из "музыкальных" вирусов. mutant-1680 Слегка модифицированная версия. Мне было бы очень интересно узнать, является ли она авторской, или продукцией "гения", сумевшего разобраться в этом вирусе. TAIWAN-2900 Весьма похож на Invader. Отличается тем, что не заражает BOOT и исполняет другую мелодию (на этот раз идентифицировать ее не удалось). Питает лютую ненависть к Autocad. При попытке исполнения ACAD.EXE начинает стирать все диски. Scan опознает его как "TAIWAN3 [T3]". PRTSCR-1024 Заражает только COM. Для внутренних надобностей использует INT 5 (BIOS функция Print Screen), в связи с чем, при наличии этого вируса в памяти, попытка распечатать экран вызывает непредсказуемые последствия. IFS-361, -377 Две разновидности очередного примитивного подражания классическому вирусу "Vienna". Заражают только COM в текущей и корневой директориях. Пометка о зараженности ставится не в секунды, а в определенные разряды даты. Chemist-650 Заражает только COM. Записывается в начало. Спрятанное начало кодирует. Содержит текст "Химик & Слон". При запуске зараженной программы в третью минуту каждого часа переводит экран в режим 40x25 и выдает текст "Video mode 80x25 not supported". Feist-670 Заражает COM и EXE. Содержит текст "R.Feist". Размещается по сегментному адресу 97F0, не пытаясь защитить эту память от повторного использования. Как ни странно, до повисания системы иногда успевает что-нибудь заразить. Очередной продукт непреодолимого желания срочно облегчиться. DADA-1356 Заражает только EXE. Дату файла портит. Программы с атрибутом Read only не заражает. Резидентный. В конце содержит текст "да,да...". Временами циклически сдвигает на экране символы в строках. AIDS-552 Заражает только EXE. Все прочие файлы (не только программные) портит. Испорченные COM при запуске выдают на экран большими буквами из мерцающих точек слово "AIDS". XPEH-4016 Заражает COM и EXE после марта 1991. Не заражает COMMAND.COM и AIDSTEST. Кроме того, начиная с сентября 1991, будет портить файлы с расширениями TXT, LEX, BAK и без расширения, прибавляя по модулю 2 ко всем четверкам байт значение 90958D85. В альтернативной кодировке это должно означать "ХРЕН", хотя и с переставленными буквами. Упоминание этого овоща встречается и в другом месте вируса. Основная часть вируса очень добросовестно переписана из "M2C". На этот раз плагиат на грани гениальности - скопированы и все тонкие антитрассировочные возможности. XPEH-4048 Активизируется в июле вместо марта, а пакости в текстовых файлах планирует начать в ноябре. XPEH-3600 Активизация начиная с мая. Отсутствуют все упоминания любимого овоща, а также порча текстовых файлов. XPEH-4928 Активизируется независимо от даты. Старается скрывать удлинение зараженных файлов корректировкой длин после исполнения функций поиска в каталоге. Кроме того, из абсолютно непонятных соображений, при загрузке COMMAND.COM с параметром "/C DIR ..." самостоятельно выдает каталог на консоль, причем не вполне корректно. Например, если задать в качестве параметра имя подкаталога, будет выдано не его содержимое, а только он сам. Начиная с 1992 года по дням, которые совпадают с номером месяца, (1 января, 2 февраля и т.д.) собирается стирать содержимое 1-го твердого диска, предваряя это сообщением: Если у вас есть индикатор работы с жестким диском и он горит, то форматизация диска близится к концу Большой привет Одного мне так и не удалось понять - откуда в людях берется столько тупой злобы. XPEH-5808 Дальнейшие попытки так запутать алгоритм кодирования, чтобы никто не разобрался. Стирание диска не предполагается. Имеется текст: "В связи с получением работы выпуск новых ХРЕНов временно приостанавливается. 1991- МФТИ(77)". Можно представить, что произойдет, если этот ХРЕН решит, что заказчик его обидел. Ведь против подлости программиста пользователь абсолютно беззащитен. XPEH-3840 Одна из ранних версий. Порча текстовых файлов имеется, но при помощи двухбайтового кода 9095. XPEH-5856 Отличается от 5808 странным пристрастием к программам, имя которых оканчивается на "SAFE" - у них первый байт меняется на команду RET. Обещание приостановить свою деятельность присутствует. XPEH-5648 Промежуточный вариант между 4928 и 5808. Еще содержит порчу диска и уже - дополнительное кодирование. XPEH-4752 Отличается от 4928 отсутствием порчи дисков. SEAT-1614 Заражает COM и EXE. При наличии адаптера EGA или VGA, после 15 успешных заражений в одном сеансе в центре экрана выдает изображение зада с мультипликационным и звуковым эффектами. SEAT-1868 Отличается от 1614 наличием кодирования тела вируса. SEAT-2389 Отличается ускоренным заражением - в процессе просмотра каталога и более редким появлением зада. Содержит пару наивных попыток усложнить лечение. Sistor-2380 Заражает COM и EXE. Есть основания подозревать, что данный вирус является представителем целого семейства. После десяти заражений происшедших после 16 часов на цветном экране появляется бегающий мячик, иногда выбивающий строчные латинские буквы (по образу осыпающихся букв). Судя по коду, предусмотрен и звуковой эффект, но мне услышать его не удалось. Слово "Sistor" стоит в конце вируса, а за ним самый последний байт (05) обозначает, судя по всему, номер версии вируса. Sistor-2225 Версия 4. Отличается весьма удивительным методом определения кода MS DOS функции. Sistor-1000 Версия 1. Только размножается. Алгоритм сравнения, при котором значения, например, 4Bh и 0Bh неразличимы, появился в этой версии и продержался до четвертой. Sistor-1149 Версия 2. Sistor-2630 На этот раз автор забыл вставить в конец слово "Sistor", в связи с чем заражение происходит многократно. Настоятельно советую до изготовления следующих версий поучиться программированию, чтобы не использовать 10 команд там, где вполне достаточно двух. Sistor-2605 Существенно переработана. Добавлен видеоэффект, работающий на адаптерах типа EGA/VGA, под заглавием "Welcome to new Digger-virus. (Sistor)". Sistor-3009 Версия 8. Кроме видеоэффекта с шариком добавлена шутка при попытке перезагрузки по Ctrl+Alt+Del. На экране появляется надпись "(C) AWARD. IBM compatible ROM BIOS Ver 2.03", пару раз дергаются головки дисководов, после чего система виснет. Siskin-1017 Заражает COM и EXE. По 7-м числам через каждые 30 минут исполняет 3 мелодии, в том числе "Чижик-пыжик". Siskin-948 Мелодии только две. TEQUILA-2468 Заражает EXE и Partition Table первого твердого диска. При заражении Partition Table прячет его исходное содержимое и свое продолжение в последних шести секторах логического диска. В этом месте можно обнаружить текст: Welcome to T.TEQUILA's latest production. Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland. Loving thoughts to L.I.N.D.A. BEER and TEQUILA forever Вирус активизируется только при загрузке с зараженного диска, а при запуске зараженной программы происходит только заражение диска. MANOVAR-921 Заражает EXE и COM. Резидентный. COMMAND.COM может заражать дважды, причем при первом заражении не изменяет длину. При исполнении функции OPEN для программных файлов (COM, EXE) меняет режим на Read/Write, а в момент закрытия файла пытается его заразить. В конце содержит текст "Dark Lord, I summon thee MANOVAR". KBbug-1596 Заражает EXE и COM. Способ перехвата функций MS DOS ориентирован на конкретные версии операционной системы, в связи с чем возможны непредсказуемые последствия в новой или нестандартной версии. Изменение длины при заражении может отличаться от базовой на 57. Каждые 15 минут посылает в буфер клавиатуры 10 случайных кодов. KBbug-1720 Отличается увеличением интервала между пакостями до 20 минут и приближением к полному маразму использования свойств конкретной операционной системы. KBbug-895 Заражает только COM. Скорее всего это первая версия вируса. Шутит не с клавиатурой, а с экраном - периодически меняет на нем все символы "0" на "9", однако при этом не проверяет ни тип монитора, ни режим работы. Сообщения об ошибках обмена не блокирует. KBbug-2662 Шутки с адаптером EGA производит в понедельник после 25-го. В пятницу 13-го меняет местами входы INT 25 и 26, что скорее всего приведет к серьезной порче содержимого дисков. Как и большинство гнусных вирусов, содержит многочисленные ошибки, приводящие к быстрому повисанию системы. KBbug-1568 В начале второго часа после загрузки блокирует клавиатуру. JEWS-513 Заражает EXE и COM. Отличается гнусной способностью после определенного числа запусков зараженной программы портить на диске "C:" Boot Record и следующие 7 секторов (начало FAT). При этом в начале Boot Record оказывается текст "Jews NEVER surrender!". JEWS-2339 Заражает COM, EXE и драйверы. Относительную новизну представляет стратегия его деятельности. При загрузке из COM- или EXE-программы он только заражает все драйверы, обнаруженные в CONFIG.SYS на диске "C:", а резидентным становится только при загрузке зараженного драйвера. Став резидентным, лечит все программы на твердых дисках и заражает на гибких. Его главная опасность заключается именно в этом лечении. Дело в том, что как признак зараженности он использует классические 62 секунды и в процессе лечения не проверяет ничего другого. В результате, программы, у которых этот признак остался от других вирусов, оказываются залеченными до смерти. Внешними приметами являются текст "JEWS-2 Virus. MSU 1991" и исполнение позывных радиостанции "Маяк" вместе с сигналами точного времени в конце каждого часа. JEWS-2370 Несколько подправленная версия 2339. Penza-700 Заражает EXE и COM. Довольно часто выдает на консоль текст "Welcome to Penza!". Penza-1210 Заражает EXE и COM. Плагиат из "музыкальных". При наличии вируса в памяти в момент запуска любой программы с вероятностью 1/32 на консоль выдает текст "Best whished from Penza!". BootEXE-452 Заражает некоторые EXE-программы и Boot Sector. Заражая Boot Sector прячет старое содержимое на гибком диске в 0/1/3, а на твердом - в 0/0/11. При заражении EXE-программ использует свободное место в Relocation Table, причем заражение происходит только если оно имеется в достаточном количестве. Длина программы не меняется. BootEXE-451 На твердом диске прячет старый BOOT в 0/0/12. BootEXE-443 На дискетах емкостью кроме 360 Кб старый BOOT не сохраняет. BootEXE-444 На всех дисках прячет старый BOOT в последнем секторе Root Directory. SADIST-1434 Заражает только EXE на текущем диске путем поиска по каталогам. Для маскировки повторяет в конце файла последние 96 байт заражаемой программы. Название авторское - хранится в конце вируса с инвертированными битами и применяется им для своего опознания. SUM-1233, -1232 Заражает только COM. Резидентный. Очень похоже, что автор намерен начать этим вирусом большое семейство по образу и подобию музыкальных вирусов. А не лучше ли передумать и заняться более полезным делом?! Версия 1.01 отличается на 1 байт в длину и в паре мест собственно номером версии. Переименование из "V" в "SUM" вызвано наличием уже вируса V-1232. SUM-1569 Новая версия 2.00 того же вируса. На этот раз автором одержана большая победа - заражаются и EXE-программы. Большая просьба к автору этого вируса, как и ко многим остальным, - не выпускать в свет вирусы с такими грубыми ошибками. Мне жаль тратить лишнее время еще и на оживление ваших вирусов из неработоспособных программ. SUM-3022 Версия 2.01. Содержит пространное послание ко мне. Главная ошибка, резко снижающая работоспособность вируса, не исправлена. Lip-286 Заражает только COM в текущем каталоге. В определенный момент выдает на экран текст "(C)RomlSoft(LipPI)1991" и пытается уничтожить содержимое текущего диска. Как обычно, чем примитивнее, тем злее. Rust-1710 Заражает и EXE и COM, причем последние, только если они начинаются с JMP. Не заражает COMMAND.COM и AIDSTEST.EXE (я очень тронут!). Начиная с 13 числа до конца месяца при загрузке программ исполняет 3 ноты. Содержит закодированный текст "(C) Dialogue, Rust. 1991". Scan опознает как "Alfa [Alf]". Write-1514/1554 При заражении COM длина 1554, а EXE - 1514-1529. Имеет гнуснейшую пакость - начиная с сентября при любой записи на диск (точнее при исполнении функции WRITE с номером файла больше 4) адрес области данных в памяти сдвигается на 8. Scan опознает как "1554". Write-474 Заражает только EXE, резидентный. Не заражает файлы, в имени которых есть "AI". После 12 июля 1994 года будет безнадежно портить всю информацию, записываемую на диски - менять во всех блоках по 2 первых и последних байта. Write-488 Заражает только EXE, резидентный. Блокирует вывод на принтер. При операциях записи не в конец файла отрезает все продолжение. Мне кажется, что автор не предвидел такого эффекта, а планировал портить всю записываемую информацию. Write-2320 Заражает COM и EXE, резидентный. Часто сдвигает на 1 байт информацию, записываемую на диск, причем, по пятницам в четыре раза чаще. DUSHANBE-458 Очередной плагиат из "Vienna". Впрочем, автор не сумел разобраться в обработке PATH и поэтому заражает только в текущем и корневом каталоге. Есть, впрочем, и личный вклад - вместо 62 секунд делается 13-й месяц. В конце содержит текст "DUSHANBE M&A!". Scan опознает как "W13". Sverdlov-921 Заражает и COM и EXE. При заражении EXE безнадежно портит сегментированные (алгоритм Иерусалимского). Портит время. Через 1 час после загрузки исполняет начало траурного марша Шопена и уходит на перезагрузку системы. Sverdlov-1064 Заражает и COM и EXE. Не заражает программы, имя которых начинается на "AI" или "SC", а также имеющие длину 25307 или 25312. Очевидно, имеется в виду COMMAND.COM из PC DOS 3.30, в том числе "вакцинированный" при помощи TNTVIRUS, дописыванием в конец "MsDos". Содержит в конце текст: "(C) 1991 by CHR,Sverdlovsk". Sverdlov-1228 Отличается от предыдущего наличием перехвата ввода с клавиатуры (INT 9). При обнаружении комбинации Ctrl+Alt+Del выдает в центре экрана текст: "Recommendation for restart make use of RESET" и блокирует дальнейшую работу (перезагрузку). Tetris-552 Заражает только COM, резидентный. Содержимое всех файлов с расширением .PRG замещает текстом ?"PLAY TETRIS,HI-HI-HI" ChDir-783, -788 Резидентный. Заражает все COM-файлы в текущем каталоге в момент исполнения DOS функции CD (CHDIR). ChDir-523 Заражает COM и EXE, резидентный. Неизлечим. Не заражает только файлы, имя которых начинается на "C", и длинее 64K. Tired-1740 Заражает COM и EXE. Длина может превышать номинальную на 31 (пишет от 0 до 31 байта после себя). Может выдать текст: "I think you're tired to the bone. You'd better go home." и перезагрузить систему. Имеет хитрый список 16-ти программ, которые не следует заражать, - сравнение ведется по сумме первых 16-ти слов и значению второго слова программного файла. Scan опознает как "Alfa [Alf]". CROSS-734 Заражает только COM. Пишет себя в начало. Старое начало переписывается в конец, причем первые 16 байт кодируются при помощи значений, взятых из конца BIOS. В связи с этим, успешное лечение скопированных файлов гарантировано только при совпадении версии BIOS. При запуске зараженных программ на PC с другой версией BIOS включается часть вируса, выводящая в начале каждого часа на цветной экран на мигающем фоне красный диагональный крест с надписью в центре "VINDICATOR". В связи с тонкими свойствами процессоров, вирус работоспособен только на PC-XT. Ghost-1963 Заражает COM и EXE. Не изменяет длину заражаемого файла, используя алгоритм, впервые появившийся в V-512. Весьма аккуратно обеспечена "невидимость" вируса, однако его наличие сразу проявляется при использовании CHKDSK в виде большого количества сообщений "Allocation error, size adjusted.". Как и в случае V-512, лечение скопированных файлов невозможно. Столь же безнадежной становится ситуация и после использования CHKDSK с параметром /F или NDD. Впрочем, если AIDSTEST не предлагает стереть файл, вероятность его полноценного восстановления достаточно велика. Никакие специальные пакости не предусмотрены. Scan опознает как "1963 Virus [1963]". Ghost-1447 Заражает COM и EXE. Накакого родства с предыдущим нет. B данном случае имя отражает наличие в вирусе текста "MINSK GHOST,1991". Типичная продукция любителя ковыряться в системе. Потуги автора на открытия оставляют довольно комическое впечатление. Используются абсолютные адреса действительные только в версии 3.30, одновременно с бессмысленным копированием из чужого вируса приема, дающего тот же результат. Зараженные файлы метятся "невидимой" меткой 62 секунды, и при этом портится дата - всегда ставится 07.13.82 (13-й месяц). Перехватываются функции поиска в каталоге чтобы скрыть изменение длины, но при этом учитывается только базовая длина, в то время как истинная длина варьируется в диапазоне 1447-1483. Day7-839 Заражает COM и EXE. В качестве буфера использует видео память, что иногда приводит к безнадежной порче программ вместо заражения. По 7-м числам каждого месяца примерно через 25 минут исполняет мелодию, идентифицировать которую мне не удалось. Day7-978 Заражает COM, резидентный. Не меняет длины заражаемого файла, но может заразить не все. IMP-1445 Заражает только COM. Для "невидимости" при загрузке программ и перед открытием программных файлов их лечит, а затем повторно заражает. При просмотрах каталога корректирует длину. Содержит текст "Crazy imp v2.0". IMP-1402 Пишется в начало. "Crazy imp v1.5". MIX-1618 Заражает только EXE. Атрибут Read Only стирает и не восстанавливает. Отличается наличием букета милых шуток - перекодировка символов, выдаваемых на принтер и последовательные порты, замена символов на экране, переключение регистров на клавиатуре. Виден почерк молодого дарования с большим чувством юмора. MIX-2280 Заражает COM и EXE. Добавлена обработка ошибок обмена. Пакости переработаны, но не принципиально. Enola-1183/1312 Заражает COM и EXE, резидентный. В начале виден текст "Enola Gay ver.2.01 (C) 1994 by HPR Lab.", а в конце "Accidents newer happen...". Enola-1864 Заражает COM и EXE. Не работает в стандартных версиях MS DOS. Для его активации достаточно, например, наличия резидентного антивируса или другой программы, перехватывающей INT 13. Содержит текст "Enola Gay is now flying to SoftPanorama !". После некоторого времени начинает перезагружать систему или распечатывать экран, а затем и портить случайные сектора на диске "C:". Enola-2430 В дни, когда номер дня равен удвоенному номеру месяца, пишет в BOOT диска A: программу, выводящую на экран: "Long Live KOBA JUGASHVILI, The Chief Of All Times And Nations !". Впрочем, до этого вряд ли дойдет дело, поскольку каждый час на диске портятся случайные сектора или диск C: стирается целиком. Также содержит текст: "Enola Gay LIVE! and now flying to SoftPanorama! Version 1.9 (C) ViruSoftPanorama 1990-91 " Find-1575 Заражает COM и EXE при исполнении MS DOS функций Find FCB (11h, 12h). При каких то условиях возможно проползание по экрану зеленого "червяка". Scan опознает как "1575". Find-512 Заражает только EXE в текущем каталоге в момент исполнения функций FIND (4Eh, 4Fh). Find-600 Заражает только EXE, резидентный. Развитие 512 - текст закодирован с применением довольно наивного средства борьбы с трассированием. Find-229 Заражает только COM, резидентный. Заражает файлы в текущем каталоге в момент исполнения функции Find Next (4Fh). Find-610 Заражает только EXE, резидентный. Частично невидимый. Виден текст "[BigX]". Find-3000 Заражает только COM, резидентный. Поиск в текущем каталоге при исполнении всех четырех функций поиска и изменении текущего каталога. Из 3000 байт длины больше 2000 - мусор. Liberty-2857, -2867 Заражает COM, EXE и Boot гибких дисков. При загрузке вируса из программы заражение Boot происходит только при переполнении диска в момент заражения программы. После загрузки вируса из Boot активизируется его дальнейшее Boot-размножение и замена всей информации, идущей на печать, через последовательные каналы и на экран через BIOS на повторяющееся слово "MAGIC". Зараженные COM- файлы содержат в начале текст: " - M Y S T I C - COPYRIGHT (C) 1989-2000, by SsAsMsUsEsL" и отдельно слово "Liberty". NOMEN-1024 Заражает COM и EXE. В начале содержит слово "Nomenklatura", а в конце фразу на болгарском языке. Весьма опасен способностью иногда менять местами пару элементов сектора шестнадцатибитового FAT. DCR-1168, -1280, -1480 Все заражают COM, а 1480 и EXE. Заражение производится поиском по каталогам. Иногда пытается форматировать диск "C:", причем выдает текст "DATACRIME VIRUS ...". COM-файлы лечатся полностью успешно, а при лечении EXE невозможно восстановить стековые регистры и исходный размер файла. Сегментированные программы портятся безнадежно. Hard-662 Заражает только COM, резидентный. Весьма опасен - по понедельникам после полудня выводит на экран текст "It's hard days night!" и стирает на всех дисках, начиная с "C:", по 50 первых секторов. Mini-145 Заражает только COM, резидентный. Сделан довольно изобретательно, но рекорд длины, к которому явно стремится автор, не побит. Mini-145, -146, -150 Еще три вируса, по-видимому, того же автора. Два вируса Mini-145 являются совершенно различными, хотя в протоколе неразличимы. Mini-127 Заражает только COM, резидентный. Безнадежно портит все заражаемые программы, если машина имеет память 512 Кб или меньше. Mini-140 Не работает на 8088. Mini-143 Заражает только COM, в начале которых стоит команда JMP. Mini-122, -128, -129, -130, -131, -132, -137, -152, -157, -160, -164, -169, -178, -184, -185, -187, -212, -261, -264 Заражают только COM, резидентные. Mini-200 Заражает только COM, резидентный. Даже сохраняет дату создания файла! Mini-207 Заражает только COM, причем в текущем каталоге. Не меняет длину заражаемого файла. Mini-239 Заражает только COM, резидентный. Содержит удивительно безграмотную попытку портить диск A:. Mini-286 Заражает только COM, резидентный. При заражении довольно часто издает писк и выводит на консоль слово "VIRUS". Korea-1947 Заражает COM и EXE. Полностью плагиат из DARK AVENGER вместе с порчей секторов диска. В связи с этим весьма трогательно выглядит нравоучительный текст в начале вируса: "If you are a thieve man , virus lives...somewhere always!You must become good man!". Кроме того в конце имеется текст: "This program was adjustted in 'Commputer Home' of KOREA (C) 1988-89 ,LSR+KYL". Korea-1347/1417 Заражает COM и EXE, резидентный. Есть закодированный текст "[I am a Wanderer,May 30th,1994 Korea]". Korea-1448/1502 Заражает COM и EXE, резидентный. В воскресенье может стереть BOOT (MBR) текущего диска, записав в него "[The Wanderer, June 5th,1994 Korea]". Estonia-1712/1716 При заражении COM длинa 1716, EXE - 1712. Плагиат из музыкальных, причем не вполне грамотный. По понедельникам в 14:00 выдает в центре экрана: "Independent Estonia presents", играет "Собачий вальс" и перезагружает систему. Большая честь для независимой Эстонии! Attn-629 Заражает только COM в текущем каталоге. Предельно примитивный с ошибками, приводящими к повисанию системы. Предусмотрена выдача на консоль текста: "Attention! I'm virus", но это событие крайне маловероятно. Предполагается Запорожское происхождение. Problem-863, -856 Заражает COM и EXE. Утверждают, что может "заражать" и другие файлы (данных), но мне такой возможности обнаружить не удалось. Написан довольно изобретательно - в стиле программирования на ламповых ЭВМ. В конце содержит текст "THIS IS YOUR PROBLEM !". Problem-734 Заражает только EXE. Текст в конце отсутствует. Problem-845 Заражает COM и EXE. В конце текст "dATA kILLER !". Problem-857 Заражает COM и EXE, резидентный. Переделка вируса 1992 года "Problem856". Главное достижение - замена текста в конце на "by Mojo Risin for 1605". SeaCat-160 Заражает только COM в текущем каталоге, причем зараженным файлам ставится атрибут Read Only. Если убрать этот атрибут, происходит повторное заражение. По моей информации, этот вирус изготовлен в Омске, причем был мне прислан в начале 1991 года авторами. Теперь он появился из независимого источника, что наводит на грустные размышления. Phx (PHOENIX) Серия вирусов одного автора (Болгария). Почти все заражают только COM, причем многократно. Резидентные, причем для перехвата функций MS DOS используют весьма оригинальный прием. Все кодируют свое тело, причем сама подпрограмма раскодировки случайным образом варьируется во всех версиях, кроме 800. Прочие особенности версий: Phx-800, -1226 Содержат текст "Live after Death". Phx-965 Заражает COM и EXE. Задумана весьма гнусная пакость - порча одного бита в отдельных байтах при записи в файл, однако, реализация этого не вполне удачна. Phx-1302 Содержит текст "Proudly made in Sofia". Phx-1701 Содержит текст "The evil that men do lives on and on...". В памяти восстанавливает на 1 байт меньше, чем портит при заражении, в связи с чем зараженные программы могут работать неправильно. Заражает EXE -программы фрагментом длиной 121 байт, который, сохраняя биологическую терминологию, следует назвать "токсином". Он не способен к самостоятельному размножению, но при отсутствии в памяти породившего его вируса, или одного из его братьев, уничтожает информацию на всех доступных твердых дисках. При лечении этот токсин обозначается как "Phx-121". Phx-1704 Содержит текст "PHOENIX". Порождает токсин "Phx-132". Phonix-927 Заражает COM и EXE, резидентный. В "черную пятницу" стирает 14 цилиндров первого твердого диска и выводит на консоль "PhФnix". Не проверяет сигнатуру EXE-файлов. Jassy-778 Заражает COM и EXE, кроме COMMAND.COM. Перехватывает INT 17 (работа с принтером) и стирает 8-й бит из всех передаваемых на него символов. Утверждают, что обнаружили его в Ясском университете. Scan опознает как "Mannequin [Mn]". Ninja-1376 Заражает COM и EXE. Приписывает до себя и после случайные куски длиной до 255, в связи с чем изменение длины варьируется. Восстановить исходную длину файла невозможно, поскольку нельзя определить величину добавки до вируса. С вероятностью 1/256 вместо заражения портит программу таким образом, что она при запуске выдает на экран текст: "Mutant Ninja Version 2.0 Copyright (C) 1990,91 Virus&Worm Software". Исправить их невозможно. Поскольку никакого нового вреда они нанести не могут, в AIDSTEST их удаление не вставлено - можете стереть их самостоятельно. По 13-м числам 1992 года портит информацию на диске "C:". Не заражает COMMAND.COM и AIDSTEST. Maxi-2332/2859 При заражении COM имеет длину 2332, а EXE - 2859. Из каких соображений делается разная длина понять невозможно. Не заражает COMMAND.COM. Написан удивительно длинно и нудно. Содержит немало абсолютно ненужных хитростей. Например, переименовывает файл до заражения, задавая случайное имя, а после заражения переименовывает обратно. Кроме традиционного заражения при загрузке и открытии файлов, ищет объекты для заражения в каталогах, включенных в PATH, причем занимается этим, используя простои MS DOS. Портит сегментированные программы, поскольку использует "Иерусалимский метод" - длина файла берется из EXE-заголовка. И когда же вы перестанете передирать худшие образцы?! Andryushka) Пока обнаружено две разновидности этого вируса. Различия между ними даны ниже. Оба заражают и COM и EXE. Длины вирусов могут быть больше номинальных на 128. Заражение происходит не только при непосредственном обращении к программному файлу, но и в некоторые моменты поиском в текущем каталоге. Через некоторое время после заражения системы вирус может испортить диск, после чего под музыку выдаст на экран саморекламу - в рамке текст: "Hello!!! My name is Andryushka I come from Perm,USSR". Andryushka-3536 Заражение EXE делает по COM алгоритму, причем только в том случае, если длина зараженного файла не выйдет за 64K. Из-за ошибки с вероятностью чуть меньше 1/2 делает зараженную программу неработоспособной, причем, когда я запустил такую программу она не тилько повесила систему, но при этом также испортилась дискета. Это произошло, скорее всего, из-за порчи системных таблиц в памяти. Лечатся такие файлы успешно. Andryushka-3568 Заражение EXE происходит по стандартной схеме - с заменой точки входа в EXE-заголовке, причем допускается произвольная длина файла. Tim-1600 Заражает COM и EXE, щадя только BACKUP.COM. После 6000 нажатий на клавиши пытается блокировать команды записи на диски. Содержит слегка закодированный текст "Hi to Eastern Digital.Greetings to Mister L.______ to Mihai Sirbu -- MicroTimSoft. " (пришлось опустить одно не вполне приличное слово). TimA-1600 Новая версия вируса Tim-1600. Отличается отсутствием блокирования записи на диск, но зато при первом нажатии на клавишу "Delete" выдает в центре экрана весьма остроумное приветствие в рамке. Hi-460 Заражает только EXE. Не заражает сегментированные. Опознает свое наличие в файле по паре байт "Hi", которые находятся за 8 байт от конца. Tiny) Под этим именем объединяются вирусы, создаваемые для побития рекорда размера вируса. Если не будет указано специально, все вирусы этой группы заражают только COM и резидентные. Tiny-198, -167, -160, -159, -158, -156, -154, -143, -138, -134, -133 Болгарского производства. Сделаны весьма изящно. Все используют только команды процессора 8088. Tiny-132 Работает на всех процессорах. Tiny-122, -118, -114 Произведены, скорее всего, в Москве. На этот раз использован ряд команд, отсутствующих в 8088. На машине, имеющей меньше 640 Кб памяти, портят все загружаемые программы. Надеюсь, что автор не станет пускать их в свободное распространение. Tiny-127, -119 Заражают только COM, резидентные. Версия 119 использует пару команд, отсутствующих в процессоре 8088. Tiny-108 С некоторой вероятностью портит файлы. Tiny-100 Прислан из Санкт Петербурга. IRON-636 Заражает COM в текущем каталоге текущего диска и диска "C:". После 10-го августа по четвергам пакостит на диске - пишет в случайные места по несколько секторов. В конце имеетса текст "IRON MAIDEN", по которому вирус опознает зараженные файлы. Astra) Серия вирусов, поступивших из Ташкента. Все они содержат текст "(C) AsTrA". Оба вируса, описываемые ниже, в определенные моменты слегка пакостят в Partition Table - меняют во всех строках параметр System Code (+4) сложением по модулю два с 0x55 и переводят адаптер EGA в двухфонтовый режим, при котором символы с атрибутом яркости выводятся фонтом 8x8. Кроме них в коллекции имеется 3 вируса, заражающих только драйверы устройств. Их обработка не включена в программу, поскольку их размножение весьма маловероятно, так как драйверы друг у друга почти не копируют. По всему видно, что автор накопил довольно много информации, но абсолютно не знает, что делать. Astra-976 Заражает только COM. Пакостит в 11-ю минуту каждого часа. Astra-1010 Заражает COM и EXE. При этом EXE заражает вставкой команды CALL в точку входа, абсолютно не думая о возможных ссылках на это место в Relocation Table, что делает неработоспособным довольно много программ, в том числе и NC.EXE. А ведь я писал об этом! Пакостит по 10-м числам. Blaise-720 Заражает только COM. Плагиат из 1701/1704. По пятницам каждую минуту демонстрирует довольно примитивные шутки с экраном - сдвиг на нем изображения. В начале имеется текст "Signs Of Life", за которым в закодированном виде следует "By Lord Blaise". KLF-356 Заражает только COM. В начале зараженного файла после JMP пишет "KLM". Слова "The KLM" есть и в теле вируса. Сделан старательно. Ballad-1581 Заражает только COM. В конце каждого часа выдает на экран "Романтическую балладу". Только графомания еще не была стимулом для писания вирусов! AMOEBA-2477 Заражает EXE и COM, кроме COMMAND.COM. Истинная длина может превышать базовую на 119. Содержит ряд хитрых приемов, мешающих расшифровке, но заражает так аккуратно, что исходный файл можно восстанавить абсолютно точно. 15-го марта и 1-го ноября портит все доступные диски - пишет на первых 30 цилиндрах по четыре сектора на нулевой дорожке, а затем монитор заполняется меняющимися символами. При загрузке с испорченного диска на экране появляется: "To see a world in a grain of sand, And a heaven in a wild flower Hold Infinity in the palm of your hand And Eternity in an hour." THE VIRUS 16/3/91 Кроме того в записанных секторах находится текст: "AMOEBA virus by the Hacker Twins (C) 1991 This is nothing, wait for the release of AMOEBA II-The universal infector, hidden to any eye but ours! Dedicated to the University of Malta- the worst educational system in the universe,and the destroyer of 5X2 years of human life.". SCAN опознает его как "Irish", однако, в документации утверждается, что "Irish" заражает и COMMAND.COM. Adolf-475 Заражает только COM, резидентный. С вероятностью 1/4 блокирует выполнение функции Delete (удаление файла). Содержит текст "Adolf Hitler". Lycee-1975 Заражает только COM. В значительной степени "невидим". Если в течении 5 минут не было нажатий на клавиатуру, выдает на экран подробные координаты заведения, в котором, скорее всего, учится автор. Думаю, его удивит, что сотрудник этого учреждения, принесший мне вирус, не считает это большой честью и просил не приводить здесь его названия. Lycee-1788, -1800 Заражает COM и EXE. Выдержка до вывода картинки 30 минут. Lycee-1832 Заражает COM и EXE. Выдержка до вывода картинки 5 минут. В конце виден текст: "Welcome to Lycee of Information Technologies !" Lycee-1888 В качестве большого достижения автора можно отметить вывод текста попеременно по русски и английски. Судя по тексту он сейчас учится в МИРЭА. Какие же достижения будут к моменту окончания института! Lycee-1901 Практически совпадает с 1888. На этот раз я заметил, что серия MIREA изготовлена им же. Lycee-1950 Заражает COM и EXE, резидентный. Добавлена шутка из MIREA - замена символов, вводимых с клавиатуры. Lycee-703 Заражает COM и EXE, резидентный. Постоянно всюду пишет файл README.!!! с текстом "Поздравляем Профорга группы А1-94 с 8 марта !". Pause-1024 Заражает только EXE в текущем и корневом каталоге. Портит параметры командной строки. С вероятностью 1/7 перед выполнением программы включает звук, выдает на консоль "Press any key" и ждет нажатия на клавишу. Частоту звука не устанавливает. Plastique-3004 Очень похож на TAIWAN, даже исполняет ту же мелодию. Активизирует пакости через 7 дней после заражения. Стирание информации с дисков может происходить и в момент попытки нажатия на клавиши Ctrl+Alt+Del. Кроме того, после 5000 нажатий на клавиши блокирует запись на диски. Испорченные диски во всех секторах содержат текст: "Program: Plastique 4.51 (plastic bomb), Copyright (C) 1988, 1989 by ABT Group.Thanks to: Mr. Lin (IECS 762??), Mr. Cheng(FCU Inf- Center)". Scan опознает его как "Plastique [Plq]". Plastique-4096 Как следует из закодированного текста в теле вируса, это версия 5.21. Кроме COM и EXE, заражает и Boot Record, пряча продолжение и старый Boot на дискетах на дополнительном цилиндре (40 или 80), а на твердом диске в секторе 7 и дальше. Постепенно замедляет работу процессора. После загрузки ACAD.EXE может испортить все диски. INFO-666 Заражает COM и EXE, резидентный. Иногда возможен вывод на экран "VIRUS INFO". INFO-1256 Заражает COM и EXE. Резидентный. Полностью плагиат из музыкальных. Search) Это название будет даваться многочисленным нерезидентным вирусам, которые ищут объекты для заражения просмотром каталогов, кроме явных подражаний классическому Vienna. Поскольку большинство из них заражают только COM-файлы, указываться будут только отклонения от этого правила. Слова "текущий" и "корневой" будут относиться к каталогам текущего диска, в которых происходит поиск. Search-96, -122, -124, -165, -175, -264 Текущий. Search-165 существуют два разных вируса. Search-228 Текущий. Включает звук какой-то очень высокой частоты. Search-238 Текущий и все его родители вплоть до корневого. Search-377 Текущий и COMMAND.COM. Пытается испортить диск. После большого перерыва появился вирус Khizhnjak-377 явно того же автора. Search-309 Текущий. 6-го ноября выводит на экран слово "Sveta". Search-789 Заражает COM и EXE во всех каталогах текущего диска. Предусмотрено стирание информации с первых 100 секторов всех дисков (если не ошибаюсь, 18-го сентября). Search-1660 Заражает COM и EXE во всех каталогах текущего диска. Калечит файлы с расширениями DBF, PRG, FOX, KAR. Search-424 Текущий и C:\COMMAND.COM". В начале зараженных файлов есть текст: "SIMPLE 1992 (c)". Search-755 Текущий и все его родители вплоть до корневого, заражает только EXE. В конце текст: "---- Small experiments path 2.1 ----". Search-778 Во всех каталогах диска C: и текущего. Блокирует работу драйвера мыши. Search-416 Текущий и наверх до корневого. Портит дату файла. Бывают случаи, когда файл оказывается недозараженным - начало испорчено, а вируса нет. Обнаружение и тем более лечение таких файлов невозможно. В конце имеется текст "---- Мелкий эксперимент ----". Заметно родство с Search-755. Search-673 Текущий и наверх до корневого. По пятницам ставит всем файлам в текущем каталоге атрибут "Read Only". Содержит текст: " BRYANSK 1992, BITE 0.01 (C) ". Интересно, что имелось в виду - bit или byte? Search-910 Текущий и корневой. Если номер дня на 1 больше номера месяца (2-е января и т.д.), пытается испортить информацию на диске C:, выдает на консоль "SINGAPORE" и портит содержимое памяти параметров (CMOS). Search-984 Поиск по PATH, как в Vienna, но с ошибками. Портит атрибуты и дату. Работоспособность на процессоре выше 286 маловероятна. Search-357 Весь текущий диск. Содержит текст: "This program was writen in the city of Kudepsta". Search-801 Отличается от 789 стиранием 200 секторов 13-го февраля. Search-853 Текущий. Оставляет резидентную часть, которая к кодам символов, отправляемых на печать, прибавляет 2 (для интервала от ! до z). Search-132 Текущий. Портит файлы короче 132. Содержит текст "Foxy". Search-1536 Текущий, заражает COM и EXE. После нескольких заражений стирает MBR и выдает на консоль: "METALLICA"-BEST GROUP OF THE WORLD!!! (METALLICA-virus realised after 22 infection) ALL GOOD V 3.11. Search-166 Текущий. Портит дату файла и параметры командной строки. Search-657 Текущий. Всем DBF-файлам в текущем каталоге попеременно ставит и снимает атрибут "только чтение". Search-188 Текущий. При успешном заражении выводит текст "Evil has an iron fist". Search-641 Текущий и корневой. 6 дней в году портит диск "C:". В конце текст "C-641.SPb Sankt-Petersburg (C) 1992". Search-1148 Весь текущий диск, заражает только EXE. По 7-м числам зеркально поворачивает символы на адаптере EGA. Search-343 Текущий. Портит параметры вызова программы. Search-71 Текущий. Зараженные программы не работают, но лечение почти всегда успешно. Search-512 Текущий и C:\COMMAND.COM. Блокирует работу первого принтера. Имеется текст "Alex & Solo". Search-599 Текущий и PATH. В конце имеет текст "ALEX". Search-127, -208 Текущий. Портит дату создания файла. Search-515 Текущий. Портит дату создания файла. Иногда устраивает дрожание изображения на экране, не проверяя тип адаптера. В конце имеется текст "by Traven (Traveller)". Search-302 Резидентный. Портит дату и время. Не заражает файлы с атрибутом "только чтение". Search-128 Текущий. Портит дату файла и параметры. Заражает многократно. Search-2000 Подкаталоги корневого на текущем диске. Оставляет в памяти резидент, который портит все дискеты в первом устройстве. Search-1000 Текущий. 29 ноября при запуске зараженной программы выводит текст "Your computer is breaking . . .". Search-1680 Текущий. Предусмотрена порча дисков. Имеется текст "Virus Created by NuKE-GenVirus V1.51 Licence n° id# [NuKE]-93" Search-330 Текущий. Один день в месяц портит диски - записывает 3 сектора, начиная с 3-го, что обычно попадает на первую копию FAT. Search-2248 Текущий, заражает только EXE. При успешном заражении издает писк. Изготовлен при помощи какого-то C-транслятора. Search-652 Текущий диск. При успешном заражении выводит текст "** CODE ZERO **" и издает 3 писка. Содержит и закодированный текст "Nowhere Man, [NuKE] '92". Search-821 Поиск через параметр "PATH=", но забывая про возможность наличия там разных дисков. С 17 до 19 часов исполняет мелодию "Yankee Doodle", причем так же фальшиво, как и классический вирус. Имеются тексты "[Yankee Doodle 2]", "Nowhere Man, [NuKE] '92". Search-1024 Текущий, заражает только EXE, резидентный. Очень редко объясняется в любви, объявляя телефон (095) 3652658. Search-284 Текущий. При соответствующих обстоятельствах при размножении выводит текст "Seventh son of a seventh son". В конце слово "Вирус" в основной кодировке. Search-626 Текущий. Содержит набор весьма наивных средств борьбы против резидентных антивирусов. Search-1070 Текущий, заражает COM и EXE. Работает только при формальном наличии цветного монитора (режим экрана 2 или 3). По воскресеньям лечит исполняемые программы. Search-872 Поиск по PATH. Имеет ошибку, из-за которой вешает систему. В конце слово "Aids". Search-452 Текущий каталог всех дисков. Заражает только EXE. При лечении невозможно восстановить SS и SP, в результате чего некоторые программы могут оказаться неработоспособными. В конце выводит на экран два сердечка (код 03). Search-475 Текущий. Оставляет резидентную часть, которая при нажатии на клавишу "F" ставит в буфер клавиатуры популярное у подобной публики английское слово. Search-511 Текущий. Содержит нечто, задуманное, кажется, как лечение запускаемых программ. Однако, работать это должно в 17-й день недели. Search-253 Текущий. В конце вируса текст "MSUVirus v1.0:The StartUp !". Search-600 Заражает только COM. Текущий. Прибавляет к системной дате 100 лет. Есть текст "Victim of Galeocerdo cuvieri". Search-414 Текущий. В конце "USSR". Search-563 Автор надеялся заражать в каталоге, из которого запущена зараженная программа, но заражает только, если он совпадает с текущим. Search-1039 Текущий и его содержащий. Заражает COM и EXE. В начале вируса виден текст "(- PLAYBOY -)". Search-318, -331 Текущий и корневой. Search-469 Текущий. В начале вируса текст "I'm GIDRA v1.6 : Life is Good, But Good Life Better Yet.". Search-274 Текущий. В 25-м поколении начинает безнадежно и неопознаваемо портить 3 байта в начале. Виден текст "Western Ukraine". Search-391 Текущий. Задумано иногда выводить текст "Как много виpусов хоpоших ..." и включать писк. Search-1461 Заражает только EXE. Поиск через PATH, но фантастически безграмотный! После 7 октября может стирать относительно случайный сектор на диске "D:", хотя скорее всего автор хотел стирать BOOT на диске "C:". Search-1203 Текущий диск. Запланирован вывод 6 июня текста: Another year passed by Another tear the willows crys to change the world we ever try to make a difference before we die однако, в этом месте имеется ошибка, в результате которой текст будет испорчен. Search-498 Отличается безграмотной изобретательностью автора - в процессе работы трижды модифицирует в себе 25 адресов. Search-943 Поиск по PATH, заражает только EXE. Иногда выводит текст "САМЫЙ! ЧЕЛОВЕЧНЫЙ! ЧЕЛОВЕК! Ленин и сегодня всех живых держит мертвой хваткой упыря". Search-774 Текущий и все старше, включая корневой. Заражает COM и EXE. До 13-го выводит текст "I am he, the bornless one, the fallen angel watching you ! (C) Dread Lord. You are the real dead one now ...", а начиная с 13-го работа программ блокируется. Search-495 Текущий с подкаталогами и корневой. Заражает только EXE. Search-1800/1803 Текущий и C:\COMMAND.COM. Заражает COM и EXE. При загрузке из COM-файла оставляет в памяти резидентную часть, которая, если система не успеет повиснуть, устраивает фокусы с дрожанием и переворачиванием экрана. Search-385 Текущий и то, что задано в COMSPEC. В конце текст "I'm sorry. SNV 1.1!Y". Search-738 Текущий и PATH. В конце текст "This program was written in St.Petersburg in 1992. It is absolutely harmless /at least the author had no bad intentions /. Say NO to comunism & nacism !". Search-432 Текущий и COMSPEC. В 1994 году пытается все стереть с первого твердого диска. Search-880 Заражает только EXE. Содержит элементы полиморфности. Search-473 Текущий и COMSPEC. В 1994 году запланировано портить диски, но способом, который если и работает, то только на XT. Search-316 Может стереть нулевую дорожку первого твердого диска. Search-404 Текущий. Видно "I just had your files for lunch!!!". Search-4148 Заражает COM и EXE. Содержит закодированный текст "* Демонстраци- онный вирус класса SEARCH (4148) *". Поиск по PATH, заражает *.COM, начинающиеся с E9 и *.EXE (переделывает в COM по типу format.com). За 9 байт от EOF сохраняется оригинальный вход (3 байта нач с E9), далее оригинальная длина (DW), служебный делитель (DW) и сигнатура (DW). Время увеличивает на 2 с, если есть куда, иначе уменьшает.". При лечении EXE-файлов описанное выше преобразование к формату COM из файлов не убирается, поскольку довольно трудно отличить его от стандартного. Ведет протокол своей деятельности в файле inf_301.log. Если обнаруживает AIDSTEST.EXE, замещает его довольно примитивной, хотя и безобидной, пародией. Search-293 Текущий. В начале выводит текст "Helloy, baby!!!". Search-192 Текущий. Поиск в текущем каталоге "*.c*", в результате чего может заразить и C-файлы. Search-334 Текущий. Постоянно меняет в MBR байт +D8, может стереть байт Active Partition. При неграмотном трассировании может стереть диск C. Search-1062 Текущий. Заражает COM и EXE. По воскресеньям лечит запускаемые файлы, но EXE не вполне корректно. Search-101 Текущий. Заражает в текущем каталоге все файлы, в начале которых нет кода E9 (JMP). Search-571 Поиск по всем каталогам, но только начиная с июня. Search-1006 Поиск в текущем каталоге и по PATH. Весьма изощренный, часто вешает систему. В конце символы "Ms". Ieronim-512, -560 Заражают только COM, приписываясь к началу, резидентные. Делают длину зараженных файлов кратной своей, причем первоначальную длину восстановить невозможно. Переход на начало программы делают некорректно, из-за чего многие программы не могут работать. В начале каждого часа выдают на экран некий текст (вероятно, на латыни), приписываемый святому Иерониму. Ieronim-600 Заражает более корректно. Шутка та же. Ieronim-1166 Заражает только EXE, резидентный. Цитата из Иеронима выводится попеременно на латыни и английском. Ieronim-1024 Только COM. Добавлена не слишком грамотная борьба против трассировки, часто приводящая к повисанию системы. Ieronim-1020 Добавлено шифрование вируса. Ieronim-1082 Заменена шутка. При нажатиях на F1 сначала 3 раза в рамке выводится "ПОМОГИТЕ!", затем "Слушай, дорогой, отстань, пожалуйста!" а затем "Лозинский тебе поможет!". Работает это только на цветных мониторах. Ieronim-570 Где-то задержавшаяся версия (а может быть кто-то подправил одну из старых). Ieronim-1596 Заражает только EXE, резидентный. Портит Aidstest, поэтому в зараженной системе им можно пользоваться только под другим именем. Цитаты из святого Иеронима выводятся в начале каждого часа попеременно на латыни и английском. Иногда образует файл DIRINFO с обрывками любимого текста. Ieronim-1492 Заражает только EXE, резидентный. Близок к 1596. Отличается чуть меньшей скоростью размножения. Protect-1196 Заражает COM и EXE. Портит атрибуты. Отключает COM1-COM4, LPT1 и Mouse driver, а также запрещает прерывания по IRQ3 и IRQ4. Содержит в начале тексты "File protection" и "File not found". Digger-1475, -1512 Заражает COM и EXE путем поиска в текущем каталоге и C:\COMMAND.COM. При заражении EXE длина 1478 и еще от 1 до 16 байт на округление. Ставит в память резидентную часть, которая каждые 15 минут на 1.5 секунды переворачивает экран, аналогично части вирусов группы MGN. Digger-1000 Заражает только COM, резидентный. При исполнении зараженной программы удаляет себя из нее. После каждого 30-го заражения выдает на экран текст: "Ты долго в DIGGER не играл - теперь я грустный терминал". На монохромный монитор этот текст не попадает. Автор пытался организовать продолжение нормальной работы после нажатия на клавиши Ctrl+Alt+Delete, но сделал это слишком неграмотно, в результате чего приходится нажимать Reset. Klaeren-971 Заражает COM и EXE. Иногда выдает на экран "Klaeren Haс, Haс!" и стирает Setup-параметры. Очень тонко, но неправильно, определяет наличие защиты от записи на дискете. Scan опознает его как "Klaeren [Kla]". Civil-6656 Заражает EXE на дискетах и Master Boot Record на первом твердом диске. При запуске зараженной программы происходит заражение MBR и программа исправляется. Работает только на AT, однако проверку типа компьютера делает слишком поздно - уже после использования команд, отсутствующих на стандартных XT. Содержит большое количество шуток разной степени гнусности: блокирование вывода на принтер, выдача всевозможных, в том числе и матерных, сообщений, мигание лампочек на клавиатуре и т.п. Разобраться в них полностью отняло бы слишком много времени. Civil_0-6656 Предыдущая версия вируса. Принципиальных отличий не имеет. Civil_3-6656 Версия, обозначенная как 3.3. Наивные попытки сделать невозможной борьбу с ним, новая порция мерзостей и новые ошибки, часто приводящие к повисанию системы. Terror-1085 Заражает COM и EXE. COM-файлы короче 1024 и длинее 64000 не заражает, но успевает округлить их длину до кратной 16. Изготовлен с претензиями на гениальные находки. В результате с весьма большой вероятностью до начала работы вешает систему. Scan опознает его как "Terror [Ter]". Later-981/1009 При заражении COM длина 981, а EXE - 1009 и от 1 до 16 на выравнивание. COM-файлы могут заражаться многократно. При запуске зараженной программы исправляет ее. В версиях MS-DOS до 3.00 выдает сообщение "This program requires MS-DOS 3.00 or later" и прекращает работу программы. Pravda-1949 Заражает COM и EXE кроме COMMAND.COM и AIDSTEST.EXE. Содержит текст "(C) Правдиченко А.". Ion-231, -2372 Примитивные вирусы, заражающие только COM в текущем каталоге. Второй достаточно часто образует и запускает программу "IONKIN.COM", которая через час выдает на экран требование "засунуть 10 рублей в дисковод A:". Alex) Примитивные вирусы, заражающие только в текущем каталоге. Оставляют в памяти резидентную часть, предназначенную для глупых шуток. Alex-368 Заражает только COM. Не работает на PC-XT. Содержит текст: "The One Night Virus (C) Alex Hacker". Alex-818 Заражает только EXE. Резидентная часть производит что-то на экране. Содержит текст: "The Kite Virus (C) Alex Hacker". Alex-1843, -1951 Заражает COM и EXE, резидентный. Если не ошибаюсь, нейтрализует какуюто вакцину. Временами на цветной монитор выводит рамку с текстом, из которого можно сделать вывод о том, что вирус произведен в Румынии и играет музыку (только 1951). Scan опознает как "1530 Virus [1530]". Alex-2104 Заражает COM и EXE, резидентный. Еще одна разновидность Румынского вируса. Dima-325 Заражает только COM, резидентный. В начале зараженных файлов видно "Dima". Dima-1024 Заражает EXE и COM поиском в каталогах. При наличии часов реального времени после 21.00 выдает на экран "9pm" и циклится, пока не будет нажата клавиша ESC при нажатой Ctrl и включенных Num Lock, Caps Lock и Scroll Lock. В конце имеет текст " The -9pm-. Call the Dima & Dima corporation if it will be difficult." UnGame-766, -768 Заражает EXE и COM, резидентный. Каждые 4 минуты проверяет режим экрана и при обнаружении некоторых графических режимов устраивает мелкие пакости от вывода на экран текста: "Come On, no. 51, You Time is Up." до перезагрузки системы. В самом конце текст: "UnGame(C)Dr". UnGame-823 Заражает только COM, резидентный. При переводе экрана в режим 320x200x256 перегружает систему. UnGame-1065 Заражает только EXE, резидентный. Судя по текстам, произведен в Тирасполе и задуман для борьбы против игр. Однако, борьба заключается в том, что при обнаружении формата экрана 640x480x256, через некоторое время стирается содержимое памяти параметров системы (CMOS). UnGame-1053 Заражает только EXE, резидентный. Исправлена ошибка в обработке int 24. DrWatson-1503 Заражает AUTOEXEC.BAT, резидентный. На всех доступных дисках образует файл DRWATSON.COM с атрибутами Read Only и Hidden и дописывает в начало AUTOEXEC.BAT строку "@drwatcon". За счет перехвата ряда функций DOS скрывает изменения в AUTOEXEC.BAT и не дает стереть или переименовать файл DRWATSON.COM. Впрочем, это легко сделать, загрузив чистую операционную систему с дискеты. При неграмотном трассировании может стереть FAT. AIDSTEST обезвреживает вирус в памяти и стирает файл DRWATSON.COM на диске. Прошу прощения за не вполне корректное сообщение: DRWATSON.COM испорчен вирусом (DrWatson) Лишнюю строку из AUTOEXEC.BAT можно удалить любым редактором - AIDSTEST этого не делает. MPTI-1536 Заражает EXE и COM, резидентный. Старается не заражать AIDSTEST и VL. По 26-м числам портит MBR и Boot Record диска "C:", а также память параметров (CMOS Memory). Работоспособность на версиях MS DOS кроме 3.30 маловероятна. Обнаружено две разновидности, отличающиеся очень мало. CPSU-2535 Заражает EXE и COM, резидентный. Старается не заражать AIDSTEST и COMMAND.COM. Каждый час выдает на экран "Моральный кодекс строителя коммунизма". CPSU-480 Заражает только COM, резидентный. После 20 запусков зараженных программ начинает вращать строки экрана в противоположных направлениях. В конце текст "Long live CPSU". Sentinel-5173 Заражает EXE и COM, резидентный. Написан на языке высокого уровня. Содержит закодированный текст: "You won't hear me, but you'll feel me... (c) 1990 by Sentinel. Thanks Borland." Multi-2560 Заражает EXE, COM и драйверы устройств, резидентный. Написан весьма изобретательно, но с ошибками, из-за которых его работоспособность на PC-AT маловероятна. Попытки оживить его на AT отняли у меня уйму времени. Иногда порождает вирусы длиной 131 и 123. Содержит в начале текст: "MultiVirus(R), Release 1.0, Copyright (c) 1990-91 by Андрюшка". Multi_1-2560 Версия 1.1, в которой исправлены наиболее существенные ошибки. На этот раз система повисает не сразу. Порождает вирусы длиной 110 и 104. Multi-131, -123, -110, -104 Заражают только COM, резидентные. 123 и 104 не работают на процессоре 8088. Multi-384 Заражает только EXE, резидентный. Не меняет длину файла, записываясь в заголовке EXE-программы, если он содержит в необходимом интервале только нули. Работоспособен только на PC XT. При просмотре зараженных файлов в зараженной системе абсолютно невидим. Содержит текст: "Copyright (c) 1992 by Андрюшка". Close-960 Заражает только EXE, резидентный. Содержит в закодированном виде решительный протест против покойного "Союзного договора". Предполагался вывод этого текста на консоль, но в этом месте автор потерпел неудачу. VERWOLF-3294 Заражает только EXE. Очередная попытка изготовить абсолютно неизлечимый вирус при помощи УЖАСНО сложного кодирования. И не жалко тратить месяцы, чтобы отнять у пары специалистов по 2 дня? Через 15 дней после заражения оставляет резидентную часть, которая блокирует запуск всех программ, в которых обнаружится слово "GAME". ABC-2378 Заражает только EXE, резидентный. Отличается весьма громоздким алгоритмом кодирования. Во второй половине месяца портит нулевые дорожки двух твердых дисков, повторяет символы, вводимые с клавиатуры, и портит EXE-файлы, созданные 15-го числа, - при их запуске также портятся нулевые дорожки дисков. В протоколе такие файлы показываются как содержащие вирус "ABC-22". В конце вируса после раскодирования обнаруживается текст (орфография оригинала): "Ну теперь ты добрался и досюда. Я думаю,тебе интересно было посмотреть как написан вирус. Но что ты будеш делать дальше? Если хочеш познакомится со мной то дай объявление в "АиФ", "7 дней" или в какой-нибудь компьютерный журнал/газету для автора вируса "ABC_FFEA". А теперь пока. Minsk 8.01.92". Voice-1495 Заражает EXE и COM, резидентный. Старается не заражать AIDSTEST и COMMAND.COM. Портит дату создания файла. Работоспособен только на XT. Вместо перезагрузки выдает на экран текст с "приветом". Виден текст "VOICE V1.01". Ryazan-512 Заражает только EXE, резидентный. Старается не заражать AIDSTEST. Слово "RYAZAN", имеющееся в нем в закодированном виде, отражает, очевидно, желание прославить Рязань. Rat-615 Заражает только COM в каталогах, содержащихся в текущем. Содержит текст: "Techno-Rat I. Copyright by Lord Blaise, Odessa 1991." Rat-1488 Заражает COM и EXE, резидентный. Из-за ошибки весьма вероятна неработоспособность зараженных EXE-программ. Rat-1010 Заражает COM и EXE, резидентный. Каждый восьмой экземпляр вируса портит всю записываемую на диски информацию, заменяя ее текстом "R. A.T. [R]iots [A]gainst [T]echnology -- FIGHT IT BACK !!!". Rat-1945 Заражает только COM, поиск в текущем каталоге. 8 и 9 мая 1995 должен был выводить во весь экран "50 Лет Победы БЕЙ ФАШИСТОВ!!! ЗА НАШУ СОВЕТСКУЮ РОДИНУ! За Сталина и Партию!!!" после чего катастрофически фальшиво исполнять "Священная война". В конце есть еще "AntiFashistЭто,собственно,не программа,а самое общее марксистское заявление... (В.И.Ленин)Советский сношатель by Stainless Steel RatПроживи всю жизнь Этой датой !" Rat-2400 Заражает COM и EXE, резидентный. Удивительное сочетание надерганных из других вирусов приемов программирования и безграмотной реализации. Стремление к невидимости должно очень часто приводить к безнадежной порче программ. Имеется много текстов, в том числе "The Stainless Steel TechRat, Version 1.0, 2.03.94, (C) 1993-94 by MadWill International, Moscow, Russia", "Story 1 : The Stainless Steel TechRat is Born". Одна из разновидностей вируса ранее опознавалась как Rat-2384. CCCP-510 Заражает только COM в текущем каталоге. Иногда выдает на экран текст: "*** CCCP - 75! ***". Am-1061 Заражает только EXE, резидентный. На 1996 год запланирован какой-то фокус с экранным адаптером, который по моим наблюдениям просто вешает систему. Am-1281 Заражает EXE и COM, резидентный. По 2-м числам изображает "Маяк", аналогично вирусу JEWS, но при этом еще и переводит часы на 1 час вперед. Символы "Am" имеет в конце и использует их как признак своего наличия в файле. Tina-826 Заражает только COM поиском по всем каталогам текущего диска. Если незараженный файл не найден, приписывает к началу AUTOEXEC.BAT: @echo off echo Tina, do you love me? pause >nul Тина, не стоит любить таких! Malign-575, -630 Заражают только COM, резидентные. Заражение производят после исполнения команд перехода на новый диск или в новый каталог путем поиска в каталоге. При успешном заражении трех файлов выдает на консоль слово "Malign". Безнадежно портят файлы, длина которых меньше длины вируса. Версия 630 отличается тем, что при ошибках ввода/вывода выдает на консоль "Wait.". MX-335 Заражает только EXE, резидентный. "MX" присутствует в заголовке файла со смещением +18 и в теле вируса со смещением +8. Gorlovka-1022, -1024 Заражает EXE и COM, резидентный. При заражении COM-файлов иногда не меняет длину, записываясь вместо последовательности одинаковых байтов. Однако, поиск этой последовательности написан настолько безграмотно, что далеко не всегда ее находит. В конце имеет текст "ГОРЛОВКА9101". Helloween-1376 Заражает EXE и COM, резидентный. Не заражает ряд программ, в том числе COMMAND.COM, SCAN, CLEAR. 1-го ноября выдает на экран текст: Nesedte porad u pocitace a zkuste jednou delat neco rozumneho! ******************* !! Poslouchejte HELLOWEEN - nejlepsi metalovou skupinu !! и уходит на перезагрузку. VGA-2221 Заражает COM, драйверы и MBR. Активизируется только из MBR твердого диска, причем только через 33 загрузки после заражения. По пятницам каждые 10 минут переворачивает информацию на экране (меняет первый символ с последним и т.д.), а при наличии адаптеров VGA или EGA переворачивает изображение букв. Прежде чем вернуть экран в нормальное состояние и после этого ждет ввода с клавиатуры. AndA-506 Заражает только COM, резидентный. Пишется в начало. Со смещением 97h имеет символы "{A&A}". Портит время создания файла. В качестве буфера использует сегмент 9000h, в связи с чем на машинах имеющих только 512 Кб безнадежно портит все программы. С февраля по октябрь каждый час исполняет примитивную шутку с перестановкой символов на экране (только цветном). ATAS-1268 Заражает только COM, резидентный. Заражение производит при вызове 12 различных функций. Содержит наивный алгоритм "невидимости" - коррекцию длины. Зараженные файлы метятся во времени создания файла - минуты округляются до кратных 8, а секунды равны 34. Если при вызове ряда DOS функций нажата клавиша Ctrl или Alt, на консоль выдается: "ATAS Corporation.(C)Copyright (B)BadWare". При нажатии на клавишу Print Screen происходит осыпание букв на экране, но при этом не проверяется тип монитора и режим экрана, да и алгоритм довольно серый. ATAS-384 Заражает только COM. Иногда выводит "Ok.". Есть закодированный текст "ATAS V0.1 Cr.24.01.92". KELA-690 Заражает только COM, резидентный. В связи с крайней безграмотностью очень быстро вешает систему. Между 11.10 и 11.15 выдает на экран: "Я Дон Карнаш - 4 KELA". KELA-823 Заражает только COM, резидентный. Частично невидимый. В конце есть текст "KELA lives Don Kr. 1992". KELA-1171 Заражает COM и EXE, резидентный. Довольно безграмотный, но с элементами невидимости. Может заражать и неисполняемые файлы. Иногда портит драйверы - абсолютно безграмотно пытается их заразить. KELA-1735 Заражает COM и EXE, резидентный. Имеется текст "KELA-9 lives all times 1992-93", а в самом конце "Alien". KELA-1904 Заражает COM и EXE, резидентный. Пакостей нет, Aidstest заражает. В начале зараженных COM-файлов (+3) видно "COM". KELA-2002 Невидимость разработана весьма детально. Пакости не предусмотрены, но дефекты алгоритма невидимости могут приводить к порче программ. Имеется текст "KELA lives all times 1993 ver-". KELA-2010 Заражает COM и EXE, кроме AIDSTEST, резидентный. Частично невидим. Во всех PAS-файлах заменяет 1840 байт в начале на безграмотное двустишие, повторенное 40 раз. KELA-2099 Заражает COM и EXE, резидентный. Невидимость разработана довольно старательно, но в предположении, что 62 секунды ставит только этот вирус. В противном случае последствия будут самые печальные. Предполагается вывод на экран текста "You Are Dead !! Ha Ha Ha KELA -16". Боюсь, что увидеть его никому не удастся... KELA-2163 Заражает COM и EXE, резидентный. В конце тексты, в частности с благодарностью в адрес "Dark Avenger". KELA-2520 После 3 ноября каждый час на цветном мониторе устраивает "осыпание" букв с довольно примитивным алгоритмом. KELA-2530 Заражает COM и EXE, резидентный. Не заражает ADinf. Через час после загрузки выводит на экран "Ну вот и я ребята злобный вирус!! Ха Ха Заждались небось. Ну ничего Теперь скучно не будет." Предполагался и регулярный вывод текста "You Are Dead !! Ha Ha Ha KELA-15", но в этом месте есть ошибка. LPToff-256 Заражает только COM, резидентный. Блокирует вывод на принтер. Содержит текст "(с) 1992 , ВМШ ВМиК МГУ". Beep-375 Заражает только COM, резидентный. После успешного заражения издает писк. Beep-1984 Заражает COM и EXE, кроме AIDSTEST и COMMAND.COM. Резидентный. Везде кроме PC XT сразу вешает систему. Каждые 5 минут издает писк. FamE-896 Заражает только EXE, резидентный. Scan опознает его как "FamE [FE]" HoChiMinh-950 Заражает EXE и COM кроме COMMAND.COM версии 3.30, резидентный. В начале третьего часа после загрузки выдает на экран: This playgame was writen by Nguyen The Quang, Nacentra Co. 101 - Hai Ba Trung, St.1 - Ho Chi Minh City, Phone: 96282 Press any key to Continue! April-483 Заражает EXE и COM, резидентный. Использует в качестве буфера память экранного адаптера, не проверяя ее наличия. Из-за этого может безнадежно портить все заражаемые программы. 1-го апреля выводит на экран "Христос - Воскрес ! ! !". Oxana-1653 Заражает только EXE, резидентный. Начиная с ноября часто выдает на экран рамку с текстом: "Я вирус! Угадай мое имя,или я причиню страшные разрушения". Если ответить "ОКСАНА", выдает: "Правильно! Найдите Борисову Оксану для получения антивируса". Oxana-1654 Отключена шутка. Oxana-1555 Шутку выдает начиная с августа. Oxana-1419 По видимому, наиболее ранняя версия. Шутит, начиная с марта. Судя по динамике активизации шуток, автор трудится над вирусом не меньше года. Oxana-1702 Заражает только EXE, резидентный. Шутит, начиная с июня. Scoundrel-3323 Заражает EXE и COM, резидентный. Иногда выводит на экран: "ScoundrelSoft -'Your pleasure is our business'". Столь правильную самооценку можно только приветствовать. Igor-384 Заражает только COM, резидентный. Грамотностью не отличается. В конце текст: "V 1.0 Igor,1992 The Urik-hai are upon you!". Igor-300 Портит атрибуты и время файла. В первый час суток может испортить многие файлы - при исполнении функции Write пишет в файл текст: "Igor 1992 v.2.0 The Uruk-hai and winged Nazgul strikes again!". Igor-361 Написан столь же грамотно, как о предыдущие. В 10-м часу блокирует выбор в качестве текущего диска любого, кроме "C:". Содержит в конце текст: "Igor 1992 v.3.0 It was last assault of the Uruk- hai... We shall meet in Valhalla!". Igor-427 При запуске зараженной программы может выдать текст: "Invalid user Replace and strike a key" и перезагрузить систему. Текст в конце как и в 384, но номер версии 1.1. Beer-2850/3109 Заражает EXE и COM, резидентный. При заражении EXE пишет лишние 259 байт и еще до 20 на округление. Очень редко выдает на экран текст: "Сейчас бы пивка" и исполняет мелодию "Семь сорок". Кроме того, также очень редко, блокирует запуск AIDSTEST с исполнением той же мелодии. Beer-2794/3053 Другая версия. При обезвреживании в памяти Aidstest эту версию от предыдущей не отличает. Beer-2984/3243 От 2850/3109 отличается только наличием поиска объектов для заражения при смене текущего каталога. Beer-2620/2879 Заражает COM и EXE, резидентный. Одна из сравнительно ранних версий. Beer-645 Заражает только COM. Мечты о пиве музыкой не сопровождаются. Beer-3164/3423, -3192/3451 Добавлена порча файлов DISKDATA.DTL, VIRUSES.INF, DIRINFO и одного из имен базы данных ADinf. Beer-2473/2732 Переделка версии 3192/3451. Вместо базы ADinf портит файл "-V.MSG", причем вместо мечтаний о пиве использует текст "Вирус,Вирус ха-ха- ха" ... Добавлено несколько ошибок. Beer_11-3192/3451 Промежуточная между 3164/3423 и 3192/3451 (по авторской нумерации 11-я). Beer-3225/3484 Заражает COM и EXE, резидентный. Обнаруживая в текущем каталоге файлы "DISKDATA.DTL", "VIRUSES.INF", "ADINF-+.+++", "REPORT.WEB", "REPORT.TXT", "ADINF-C.LOG", "ADINFD.LOG", "ADINF-E.LOG", "CHKLIST.MS", "AVPTSR.EXE", "-D.COM", "-D3.COM", "VSAVE.EXE", "ANTI4US.EXE" пишет в них текст +-----------------------------------+ | Жили у бабуси ТPИ веселых гуся: | | лОЗ,дАНИЛОВ и кАСПЕPСКИЙ - | | Я ОТ НИХ ТАЩУСЯ !!! | +-----------------------------------+ Тот же текст иногда выводит на экран с исполнением соответствующей мелодии. Beer-3307/3566 Очень близка к 3192/3451. Главное отличие - замена текста на "(c) Испытательный центp самоходного пpогpаммнoго обеспечения имени Ячменного колоса", причем, даже с рамкой вокруг. Beer-3399/3658 Заражает COM и EXE, резидентный. На этот раз в тексте меня приглашают на платформу Солнцево, чтобы выпить пива. Beer-3490/3749 Заражает COM и EXE, резидентный. Вместо музыки предусмотрена "EGA - text mode demonstration. Copyright (c) by Wadim 1990.", однако, я сомневаюсь в ее работоспособности. Beer-3612/3871 Заражает COM и EXE, резидентный. Забивает файлы "DISKDATA.DTL", "REPORT.WEB", "AVPTSR.EXE" текстом "Сергей Мавроди - П И Д О Р !!! Вам псина улыбнулась !!! <------- Прочтите справа налево - выйдет палиндром (сырой)". Иногда выводит этот текст на экран, после чего начинается издевательство над мелодией "Риорита". Face-414 Заражает только COM, резидентный. Заражение производит при создании файлов (копировании), причем далеко не всегда. Иногда в текстах, выводимых на консоль, заменяет первый символ на код 01 (лицо). Drug-959/987 Заражает EXE и COM, резидентный. При заражении EXE длинее на 28 байт. При запуске зараженной программы старается ее вылечить. FaX-1536 Заражает только EXE, резидентный. По 25, 26-м числам устраивает странную шутку, которая должна приводить к бдокированию диска A: или повисанию системы. Содержит в закодированном виде тексты "FaX Free!" и "Welcome". Fisher-2420 Заражает COM и EXE, резидентный. Содержит текст: "Copyright 1991-92 by Fisher. Version 2.0 . Идея эффектов на принтере - ДАС-2, комната 1405 .". Упоминаемая здесь "идея" заключается в выдаче междометий из лексики уличных подонков. Fisher-1100 Заражает только COM, резидентный. Скрывает изменение длины. Содержит текст: "(c) Copyright 1992 by Fisher. Version 3.0 . PUNK- ROCK & BEER FOREVER ! $" Login-2971/2967, -2972/2968 Заражает COM и EXE, резидентный. При заражении COM пишет лишних 4 байта. Плагиат из ставшего классическим M2C, естественно, без всего непонятного. При этом были оставлены многочисленные куски, ставшие абсолютно бессмысленными без выброшенных. Собственное творчество автора, насколько мне удалось понять, направлено на определение чужих паролей в локальной сети. Для этого во время работы программы LOGIN ввод с клавиатуры копится в буферах, которые затем оказываются в зараженных файлах. До конца разобраться в этой идее мне не удалось. BUPT-1220/1223 Заражает COM и EXE, резидентный. При заражении EXE пишет лишних 3 байта в начале. Безнадежно портит сегментированные EXE-программы, однако по безграмотной самоуверенности после каждых 20 заражений выдает на экран: "Traveller (C) BUPT 1991.4 Don't panic I'm harmless". EGA-571 Заражает только COM, резидентный. По 31-м числам на EGA-адаптере устраивает фокусы с зеркальным отображением букв (не проверял). EGA-469 Заражает только EXE, резидентный. Портит аттрибуты время создания файла. Каждый час сдвигает по вертикали развертку на адаптере EGA. EGA-900 Заражает только COM, резидентный. Содержит текст: "<< Кот и Шмель представляют >>". Должен отметить, что в этом представлении слишком много ошибок. В частности, некий фокус с адаптером EGA, как мне кажется, работать не будет. EGA-445 Отличается от 469 некорректной работой с INT 24. EGA-557 Другая версия EGA-571. По 31-м числам переворачивает и зеркально отображает по одному символу на каждый запуск программы. EGA-1323 Заражает COM и EXE, резидентный. Каждый час устраивает подергивание изображение на экране в вертикальном направлении. EGA-1056 Заражает только EXE, резидентный. Устраивает представления с зеркальным поворотом изображений символов. Имеет ряд ошибок. Girl-1004 Заражает COM и EXE, резидентный. После пяти успешных заражений в сеансе портит все открываемые файлы. В начале испорченных файлов стоит: "File was destroyed by virus Little girl ver 2.00". Girl-1008 Портит только один файл на пять заражений. ZeroTime-1721/1716 Заражает COM и EXE, резидентный. При заражении COM пишет лишних 5 байт в конце. Через большое время после заражения пишет нулевое время создания во всех закрываемых файлах. Goat-1172 Заражает только EXE, резидентный. Через 3 месяца после заражения предполагается вывод в последнюю строку экрана (почему-то только при наличии EGA) длинной фразы, в которой называет "козлом" того, у кого возникнут проблемы от столь "безобидного" вируса. Автору было бы полезно узнать, что безобидных вирусов не бывает, тем более так безграмотно написанных. Trouble-3569 Заражает COM и EXE, резидентный, невидимый. Если номер дня равен номеру месяца, стирает нулевую дорожку диска "C:". Содержит в закодированном виде фразу: "Don't trouble trouble until trouble troubles you". KIWI-550 Заражает только EXE, резидентный. Не заражает AIDSTEST. Стирает атрибуты. В начале содержит фразу: "I'm KIWI-586.(C) Vegetable- Soft.1992". Cha-2391 Заражает COM и EXE, резидентный. Написан удивительно безграмотно. Содержит текст: "cha-cha-chacha-cha-cha" Erase-821 Заражает только COM, резидентный. При обнаружении любых файлов с именами, содержащими последовательности символов: "AID", "VIR", "DINF", "CHK", "TEST", "AUR", "PAV", "NAV", "-V", "SENT", "ASM", "SCAN", "LEAN", "ANT", "SAFE", "BOOT", "STRA", стирает их с диска. Месть непримиримого врага с антивирусными средствами настигает и вполне невинный CHKDSK. Erase-1476 Заражает COM и EXE. Следующая продукция того же автора. Проявления те же. Erase-1563 Слегка подправленный вариант предыдущей версии. Erase-777 Заражает COM и EXE, резидентный. Стирает все файлы с расширениями ".C", "PA?", ".AS?", ".IC?", ".LZ?". Портит дискеты. Harm-1082 Заражает только EXE, резидентный. Содержит закодированные тексты "Eat me Lozinsky!" и "Harmless v1.0, 10/06/92 Tyumen". Уместно заметить, что безвредных вирусов не бывает по причине безграмотности их авторов. В частности, данный вирус безнадежно портит все сегментированные и некоторые другие программы. China-777 Заражает только COM. Поиск в текущем каталоге. В 13 часов выводит текст "The China Syndrome Version 1.00a Written by : Crypt Keeper Well, I guess you found the sectors... You got a warning... This program was written in the city of Cincinnati. Non-destructive version - A-". После этого может испортить информацию на текущем диске. К счастью, алгоритм не работает на дисках больше 32 Мб. China-1824 Заражает COM и EXE, резидентный. Из-за ошибок иногда вешает систему. 4-го июня выдает на экран: Eternal glory to those Chinese people who fell in 1989, in the noble struggle for freedom of speech, expression, the press, assembly, association, procession, demonstration and the freedom to strike! Not one single drop of blood, not one single tear, not one single act of courage will have been wasted in vain. Wild grasses spreading o'er the plain With every season come and go. Heath fire can't burn them up, again They rise when the vernal winds blow. Zattr-382 Заражает только COM, резидентный. У заражаемых файлов портит дату и время. Всем открываемым файлам (не только программным) ставит нулевые атрибуты. EXE-222 Заражает только EXE, резидентный. Файлы заражает только при записи (копировании). Длину не меняет. Содержит две ошибки, из-за которых его работоспособность довольно низкая. EXE-223 Заражает только EXE, резидентный. Организован довольно оригинально. Не меняет длины заражаемого файла, но может заразить далеко не все EXE-программы. EXE-323 Заражает только EXE, резидентный. По 7-м и 18-м числам портит случайные сектора на первом твердом диске. EXE-334 Заражает только EXE, резидентный. Не заражает программы, у которых SP=200, в частности, NC.EXE. EXE-394 Заражает только EXE, резидентный. Бездарный плагиат из BootEXE-451. EXE-410 Заражает только EXE, резидентный. Не меняет длины заражаемого файла, но может заразить далеко не все EXE-программы. У адаптера EGA через 5 минут меняет один параметр настройки, в результате чего изображение на экране принимает довольно странный вид (сбивается вертикальная развертка). EXE-388 Заражает только EXE, резидентный. При переключении экрана в режим 320x200x256 перезагружает систему. EXE-283 Заражает только EXE, резидентный. Довольно опасен из-за ошибок. Есть текст "Dina v4.2r". Tu-482 Заражает только COM, резидентный. В заражаемые файлы со смещением 1000h пишет символы "Tu". Tu-2500 Заражает COM, резидентный. При нажатии Ctrl+Alt+Del с вероятностью 1/256 предусмотрено исполнение какой-то музыки. Мне кажется, что из -за ошибок будет лишь повисание системы. Vologda-723 Заражает только COM, резидентный. Насколько можно понять, у автора большие планы по выпуску новых версий вируса. AVV-1667 Заражает только COM в текущем каталоге. Самое интересное в этом вирусе, что его автор считает его антивирусным средством! В момент запуска зараженной программы производится просмотр всех COM-файлов в текущем каталоге и проверка их по ряду мелких признаков, среди которых и 60 секунд во времени создания. При обнаружении чего-то выдается сообщение "Warning! In file ....... may be virus". Ко всем "чистым" файлам он себя дописывает в начало. Мало нам пакостников, так еще и благодетели появились! AVV-2300 Дальнейшие изыскания того же благодетеля. Обозначен как версия 1.12 и обещано обнаружение более чем 200 вирусов. Suriv-897 Заражает только COM, резидентный. 1-го апреля выдает текст: "APRIL 1ST HA HA HA YOU HAVE A VIRUS" и вешает систему, а после 1-го апреля при загрузке каждой программы - текст: "YOU HAVE A VIRUS !!!". Suriv-1000 Заражает только COM, резидентный. Что-то делается с клавиатурой, но смысла этой деятельности я не понял. NG-706 Заражает только COM, резидентный. Для пущей оригинальности производит заражение поиском в текущем каталоге на каждом четвертом вызове INT 28, если в промежутке была запись на какой-то диск. В начале закодированный текст "New Generation v.2.1 (NG-2.1 Ukr)". При первом запуске зараженной программы не исполняет ее, а выдает текст "Bad command or file name". NG-914 Заражает только COM, резидентный. В начале есть закодированный текст: "NG-2.2 Ukr". NG-1036 Заражает только COM, резидентный. Есть закодированный текст "NG-2.3 Ukr". AMT-3000 Заражает только EXE, резидентный. Не заражает наиболее известные антивирусные программы и TLINK. После 666 загрузок одной из зараженных программ предполагается порча первого твердого диска. AMT-4000 Заражает только EXE, резидентный. Предполагаются пакости в момент записи в файлы, имеющие расширения имени: OBJ, LIB, TPU, TPL, ARJ, $00, ZIP, ARC, LZH, ICE. В сути этой пакости я не разобрался. ZYX-644 Заражает только COM, резидентный. Портит атрибуты и дату создания файла. MWS-788 Заражает только COM, резидентный. Резидент содержится в видеопамяти и при явной опасности отключается. В начале слегка закодированный текст: "(C)MWSoft,1993 Rookie". Fans-500 Заражает только COM, резидентный. Есть закодированный текст "Fans Ver 0.00". Fans-560 Заражает только COM, резидентный. В конце закодированный текст "Fans Ver 0.01" XAM-797/821 Заражает COM (797) и EXE (821), резидентный. Содержит тексты: "Wait viruses XAM", "Hi, Dmitriy Nikolaevich!". XAM-278 Заражает только EXE, резидентный. Размещается в EXE Header при наличии там свободного места. Перехватывает INT 16 и, получив управление, ищет объекты для заражения в системных буферах. Zelen-379 Заражает только COM, резидентный. Портит атрибуты и дату файла. Содержит в конце текст: "Virus ZELENTSOV". Micro-92 Заражает только COM, резидентный. Написан удивительно изящно. Особенно приятно, что прислал мне его из Санкт Петербурга сам автор - Соловьев Михаил Анатольевич,- причем гарантировал, что распространяться он не будет. В Aidstest он включен лишь в качестве украшения коллекции. Micro-66 Заражает только COM, резидентный. Это, конечно, невозможно, но Игорь Данилов сумел его сделать! Есть еще и 86, 80, 76, но на свободе им не гулять, поэтому в Aidstest вставлен только текущий рекорд. Мне кажется, что его побить невозможно, но... Micro-60 Заражает только COM, резидентный. Автор Дмитрий Кубов. Micro-59 Заражает только COM, резидентный. Рекорд, но я уже не решаюсь утверждать, что его не побьют. GJV-308 Заражает только COM, резидентный. Предельно примитивен, портит дату файла, не работает на машинах с процессором 8088 или старше 80286. GJV-532 Заражает только EXE, резидентный. После 17.00 изображает очень примитивное осыпание букв. Есть текст "G.J.V Tver". GJV-776 Заражает только EXE, резидентный. Дату не портит, но процессорами старше 80286 еще не разобрался. Mirror-1056 Заражает только EXE, резидентный. Содержит слово "Mirror". Начиная с марта 1993 на адаптере EGA/VGA меняет изображения символов первой половины на зеркальное. Keypress-1495/1735 Заражает COM (1495) и EXE (1735), резидентный. Очень похож на V-1232. Начиная с июня 1993-го через каждые 4 минуты собирается выдавать в клавиатурный буфер текст: "Mubark is caw". Keypress-1600/1840 Заражает COM и EXE, резидентный. Выдает в буфер клавиатуры попеременно "HELLO SHSHTAYY", "GODBYE AMIN", "ZAGAZIG UNIVER" Surgut-1410 Заражает COM и MBR диска "C:". Остается резидентным только при загрузке с зараженного диска. Старый MBR прячет в 0/0/5. Заметно намерение автора в следующих версиях заражать также EXE и драйверы. По имеющейся информации обнаружен в Сургуте. Surgut-360 Заражает только COM. Поиск в текущем каталоге. В начале текст "I'm GIDRA v1.5 from Surgut.". Paramon-917 Заражает только EXE, резидентный. Не проверяет свое наличие в файле, поэтому заражает многократно. При округлении заражаемого файла до кратного 16 пишет текст "Paramon.Paramon". Sept13-432 Заражает только COM, резидентный. 13 сентября стирает 13 первых секторов диска C: (логического). Sept13-440 Заражает только COM, резидентный. Эта версия, вместо порчи диска 13 сентября, в 12-м часу устраивает мелкую пакость на экране (сдвигает информацию на 5 строк). DiS-1024 Заражает только EXE, резидентный.Из-за ошибки перед собой пишет еще не меньше 531 байта. Иногда пытается стереть Boot Sector дисков A: и B:, медленно выдает тексты: " ***The Heaven Version 3.0 (C)Copyright 1993 DiS co.*** " и "***If you can read this , you don't need glasses!***", а затем вешает систему. ZRK-2435 Заражает EXE и COM, резидентный. Содержит специальные средства борьбы против трассировки на 386 процессоре, однако не учитывает одну его простейшую особенность, из-за которой зараженные EXE- программы на нем вешают систему. Имя "ZRK" выбрано, поскольку так его опознает Scan. YaQi-3072 Заражает COM, EXE и MBR первого твердого диска. COM и EXE различает по имени, в связи с чем COM-файлы с расширением EXE портятся безнадежно. 4-го мая может стереть с диска очень многие файлы, выводя при стирании каждого послание, адресованное "YqR". По воскресеньям может портить регистры клавиатуры. В середине вируса виден текст: "Welcome! Auto-Copy Deluxe R3.00 (C)Copyright 1991. Mr. YaQi. Changsha China No one can Beyond me!", а в конце и в зараженном MBR: "New Century of Computer Now!". Nygus-752 Заражает EXE и COM, резидентный. COM и EXE различает по имени. Портит время создания и атрибуты файла. Содержит ошибку, из-за которой у зараженных COM-файлов часто бывают испорченными 5 байт со смещением 5 от начала. Восстановить их Aidstest не может. Содержит закодированный текст: "(c)Nygus v2.0". Wildy-354 Заражает только COM, резидентный. Не работает при наличии монохромного монитора. Видно слово "WILDY". Ice-734 Заражает только COM, резидентный. На цветном мониторе слишком часто устраивает шутку с последовательным стиранием всех букв и цифр. Со смещением 3 от начала файла ставит слово "Ice". Ice-746 Заражает только COM, резидентный. Часто пытается инвертировать первое слово случайного сектора диска. К счастью, не всегда успешно. Подключаясь к одной из BIOS-функций вывода символа на экран, иногда добавляет два лишних символа. В начале зараженного файла видно "Ice". Reset-352 Заражает только COM, резидентный. Через некоторое время (не больше часа) перезагружает систему. Udm-559 Заражает только EXE, резидентный. Не работает на XT. Портит время файла - устанавливает на момент последнего ее запуска. Не всегда корректно передает параметры зараженной программе. После 64 запусков одной из зараженных программ пытается испортиь диск "A:". UFO-2728/2984 Заражает COM (2728), EXE (2984) и BOOT дискет емкостью до 360 Кб, резидентный. Через час в первой строке цветного монитора выводит тексты "The U F O Club" и "FO-4 By Faisal-Andre-Akhmad Klp Gading Jakarta Utara" с цветовыми и динамическими эффектами. Заметно родство с "Mubark-1495". UFO-1468 Заражает только EXE, резидентный. После каждых 3000 прерываний от клавиатуры выводит на экран один из четырех текстов. Один из них "THEY... are here !", а остальные воспроизводить не хочу. После 10 таких событий стирает CMOS, предварительно выведя текст "I am sick of a bullshit", а после него много мусора. Из-за ошибки может устанавливать файлу случайные атрибуты. Vova-8896 Очередной вирус на Паскале. Заражает только COM. Из-за ошибок большинство файлов стирает и завершается сообщением об ошибке. Предполагается вывод текста "*** VoVaVir 3.0 (c) 3/9/92 by Vova, Tatarstan,SPTU-12 ***". Vova-9904 Заражает только COM. На этот раз объявлено, что это версия "3.3 for Marina". За счет дополнительных возможностей повышены шансы повесить систему. Vova-12560 Заражает COM и EXE. Изготовлен на Паскале. В зараженных файлах меняет пары байт со значением 0CD21h (команда INT 21) на 0CD65h. При лечении производится обратная замена, но она иногда может оказаться неправомочной, в результате чего восстановленный файл может быть испорчен. Судя по тексту внутри, изготовлен неким "Vova of Ufa" в честь "LENA". PI_PI-1552 Заражает COM и EXE, резидентный. Алгоритм заражения EXE взял из Jerusalem, в связи с чем портит сегментированные. В качестве шутки выдает на монохромный монитор мигающую надпись "PI_PI". VIV-524 Заражает только COM, резидентный. В начале зараженных файлов со смещением 3 стоит "VIV". Lostkey-1200 Заражает только COM, резидентный. Довольно часто блокирует ввод с клавиатуры. Сделан с большими претензиями на оригинальность и большим количеством ошибок, которые, к счастью, не должны приводить к тяжелым последствиям. Try-1074 Заражает только COM, резидентный. Судя по заготовкам, автор намерен в дальнейших версиях заражать и EXE. В начале виден гордо- безграмотный текст "Try to DIE". Vinnitsa-1620, -1658 Заражает EXE и COM, резидентный. В начале зараженных COM-файлов стоит текст "Vinnitsa 1992 year" или часть его. В DBF-файлах постоянно портит случайные байты в начале - записывает в них значение, равное смещению от начала файла. Иногда может испортить несколько случайно выбранных секторов на диске, испортить в памяти переменные, управляющие экранным адаптером, или записать случайное значение в случайный порт. Warlock-666 Заражает только COM. Поиск в текущем и корневом каталогах. Есть закодированное слово "WARLOCK". Warlock-1672 Заражает COM и EXE, резидентный. Заражает файлы с расширениями COM, EXE, OVL и DBF, причем, если в начале стоит байт с нулевым значением, пишет поверх начала 32 нуля. Есть текст "WARLOCK". Warlock-1817 Заражает COM и EXE, резидентный. Портит DBF-файлы. У тех из них, которые имеют в начале байт со значением 3, забивает 32 байта в начале, а остальные заражает как COM. Последние Aidstest может исправить. Содержит закодированный текст "Revenge of WARLOCK!". Warlock-2879 Заражает COM и EXE, резидентный. Портит первые 32 байта у всех файлов, начинающихся на 03, и всех, кроме EXE, после 30 заражений в одном сеансе. Весьма старательно скопировано почти все из "музыкальной" серии. MIREA-930 Заражает EXE и COM, резидентный. После 1000 нажатий на клавиши заменяет следующие 7 символов на " МИРЭА ". Не заражает Aidstest и Scan. MIREA-958 На этот раз текст состоит из 10 символов " МИРЭА II ", а в начало вируса добавлен текст "HELLO HACKERS FROM MIREA". Julia-1027 Заражает EXE и COM, резидентный. Из-за больших претензий на оригинальность довольно быстро вешает систему. Предусмотрен вывод на консоль текстов "Julia L." и "Today is May Day", однако до того система также повисает. Julia-1000 Имеется указание о том, что это версия 3, однако, ничего принципиально нового обнаружить не удалось. Система виснет так же быстро. Julia-240 Заражает только COM, резидентный. В конце видно "Julia". Julia-600 Заражает только COM поиском в текущем каталоге и C:\COMMAND.COM. По первым числам в текущем каталоге создает файл DIRINFO с изображением сердца с надписью "FOR JULIA". В конце видно "Julia". Cobra-400 Заражает только COM в текущем каталоге и COMMAND.COM. В начале стоит "Cobra". RV-1355 Заражает только EXE, резидентный. Символы "RV" ставит как признак зараженности в позицию контрольной суммы (+18). Содержит целый букет пакостей, производимых в разное время. От взаимной замены кодов Escape и Enter, мелких замен и дополнений при выводе на печать, помех при работы с дискетами, до полной порчи некоторых файлов. Fred-657 Заражает только COM, резидентный. Видны слова "Fred" и "COM". Заметно намерение автора продолжать свои труды. CCC-381 Заражает только EXE, резидентный. Достаточно быстро вешает систему. Sauron-375 Заражает только COM, резидентный. В середине текст "SAURON-1". В версиях MS DOS с 5.0 сразу вешает систему. SSI-623 Заражает только COM, резидентный. В конце текст "SSI v. 1.00". SSI-945 Заражает COM и EXE, но из-за ошибки многие EXE и некоторые COM при этом делает неработоспособными. В конце текст "SSI v. 2.01". SSI-1428 Заражает COM и EXE, резидентный. Переписано основательно, но при полном отсутствии чего-то нового. Omsk-560 Заражает только COM, резидентный. Предусмотрена порча первого твердого диска. В начале текст "OMSK 02.12.93", а в конце "WARIOR". Omsk-1855/2000 Заражает COM и EXE, резидентный. Заражает только файлы, создаваемые на дисках "A" и "B", и "c:\command.com". При заражении COMMAND.COM длину не меняет, во всех остальных случаях удлиняет файл на 2000. Номинальная длина показывает размер самого вируса. Блокирует форматизацию дисков. Omsk-1860/2000 Заражает и файлы, открываемые на дисках "A" и "B". Omsk-2365 Заражает COM и EXE, резидентный. В этой версии предусмотрена особенно гнусная пакость - в ноябре при некоторых операциях записи информация сдвигается на 1 байт. Omsk-2329 Заражает COM и EXE, резидентный. Пакость при записи (см. 2365) творит по пятницам. Omsk-2754 Заражает COM и EXE, резидентный. По первым числам стирает первый твердый диск и выводит текст "Hello! I am the Little Cat - lovely VIRUS !". Но предварительно, соблюдая кодекс чести палача, лечит COMMAND.COM. CSF-240 Заражает только COM, резидентный. Пишется в начало файла. В его конце видны символы "csf". Kamchatka-1000 Заражает только COM в текущем каталоге. Иногда выдает один из 13 текстов типа "Water detect in Co-processor !", одновременно излечивая запущенную программу. Kamchatka-1575 Заражает только COM. Заражает поиском на текущем диске. В зашифрованном теле вируса имеются тексты: "Friday I'm in LOVE !", "No smoking, please ! Thanks.", "Kamchatka". Заметно родство с Kamchatka-1000, но на этот раз накручено сверх всякой меры и необходимости. Kamchatka-326 Заражает только EXE, резидентный. Не меняет длину. Применен алгоритм заражения, который приводит к тому, что программа загружается в память со смещением. В результате некоторые зараженные программы оказываются неработоспособными. В частности, многие системные программы MS DOS, которые при загрузке выводят сообщение "Packed file is corrupt". К сожалению, полноценное лечение от этого вируса невозможно. Paul-1536 Заражает COM и EXE, резидентный. Близко от конца видно "1992.". Arus-817 Заражает COM и EXE, различая их по имени, резидентный. В 1994 году намерен включать шутку - эмуляцию ввода с клавиатуры текста "Arusiek R.". Dubna-1244 Заражает EXE и COM, резидентный. Не заражает EXE-файлы, запакованные LZEXE. TSTU-550 Заражает только EXE, резидентный. Портит атрибуты файла. Sixteen-512 Заражает только COM, резидентный. Плагиат из V-512 с сохранением ошибок, но без некоторых тонкостей. Добавлена порча диска C: после 27-го числа. В конце много 38 байтов с кодом 16h. Trash-1024 Заражает только EXE, резидентный. В середине текст "(C) 1993 Trash Soft & HardWare". Bob-448 Заражает только EXE, не меняя длины файла, резидентный. В конце вируса имеется текст "Work448(Bob)". Small) Продолжение групп Tiny и Mini, когда одна и та же длина встречается в третий раз. Все заражают только COM, резидентны и не сохраняют дату создания файла. Small-122, -130 Безнадежно портят программы короче собственной длины. Small-132, -140, -178, -200 Crimea-490 Заражает только COM. Программа, из которой он становится резидентом, не исполняется. Портит дату файла. Crimea-1582 Заражает COM и EXE, резидентный. С претензией на невидимость. Если в одном сеансе удается заразить 47 файлов, переводит экран в формат 40x25 и выводит тексты, в том числе "Do not interrupt; the D.A.C action.", "Simferopol-city. Written by M>2,F<2,T>2". Mill-2189 Заражает COM и EXE, резидентный. В качестве даты всех зараженных файлов ставит 31 апреля. После 25 заражений на цветном экране начинает "вращать" все символы "\|/-". Star-486 Заражает только COM, резидентный. Портит дату файла. В конце "STAR5". MzBoot-464 Заражает EXE, не меняя их длину, и MBR. В начале стоит "MzBoot" а в середине видно "(c) Андрюшка". Дальнейшее развитие Multi-384. VS-612 Заражает только COM, резидентный. Портит дату создания файла. В конце текст "VS-01. (C) ViruSystems inc.$VS". VS-2790 Заражает COM и EXE, резидентный, невидимый. В конце текст "VS-061- "STEALTHIE" (C) 1993 ViruSystems inc.$VS". При отсутствии ввода с клавиатуры в течение 6 минут играет Гимн СССР. VS-3900 Заражает COM и EXE, резидентный, невидимый. В конце зашифрованный текст "VS-071-"GHOST" (C) 1993 ViruSystems inc.". При отсутствии ввода с клавиатуры в течение 15 минут играет одну из 4 мелодий, в том числе Гимн СССР. VS-4000 По авторской нумерации версия 7.2. Содержит особую благодарность Е.В.Касперскому. VS-1000, -985 Заражает только EXE, резидентный. Свое наличие отмечает символами "VS" со смещением 26 от начала файла (параметр Overlay в заголовке). Athens-1561 Заражает COM и EXE, резидентный, невидимый. Содержит в конце закодированный текст "TROJECTOR ]I[,(c) Armagedon Utilities, Athens 1992, Greetings to Vesselin". Блокирует чтение блоков длиной 16 Кб из первого открытого файла (File Handle 5). E_burg-1000 Заражает только EXE, резидентный. Содержит много следов ковыряния в глубинах операционной системы, а также ошибки, приводящие к очень быстрому ее повисанию. Night-2048 Заражает COM и EXE, резидентный. Не заражает COMMAND.COM и AIDSTEST. После каждого заражения (автор собирался сделать после 15, но ошибся) издает серию писков, устанавливает дату 1 апреля и через некоторое время выдает на экран текст, соответствующий уровню интеллекта автора. CLI-1345 Заражает COM и EXE, резидентный, частично невидимый. Примерно через 50 минут после загрузки начинает призводить мелкие шутки - вызывает INT 2, надеясь вызвать сообщение об ошибке четности, или, если не ошибаюсь, меняет случайным образом цвнта символов на экране. Содержит текст "** CLI&HLT (C) Hackers Group **". Calm-1153 Заражает только COM, резидентный. 3 марта выдит на экран текст "OK!! NOW KEEP CALM AND LIE DOWN ON THE FLOOR -- THIS IS A VIRUS!!!!" и включает оригинальный алгоритм осыпания букв на экране. Slash-457 Заражает только EXE, резидентный. Опознает себя в памяти по символам "//" в начале. В поле Overlay ставит значение 1234h. Grozny-999 Заражает COM и EXE, резидентный. Исходную длину файла восстановить невозможно, поскольку до заражения к нему дописывается до 255 случайных байт. При запуске Aidstest выдает текст "Господа ! Hе веpьте AIDSTESTу ! Он пpинесет вам беду ! Дедушке Лозинскому поpа на пенсию.". Рядом имеется закодированный текст "Для Лозинского: это далеко не последняя веpсия, ждите новые "пакости" из Гpозного", однако, пока ничего оригинального обнаружить не удалось. DBF-734 Заражает только COM, резидентный, не меняет длину. Иногда может безнадежно портить DBF-файлы. August-600 Заражает только EXE, резидентный. Начиная с августа при любом запуске зараженной программы стирает Partition Table. Incom-648 Заражает только COM, поиском в текущем каталоге. Изредка устраивает мелкую шутку с палитрой адаптера типа EGA. Wishes-970, -981 Заражают EXE и COM, резидентные. Различают EXE и COM по именам. В Boot всех дисков постоянно уменьшают, а в пятницу 13-го обнуляют параметр размера диска. В конце текст "With Best Wishes". Wishes-1024 Заражает COM и EXE. Содержит безграмотный плагиат из чужого вируса, в результате чего очень быстро делает неработоспособной операционную систему. Предусмотрено периодическое уменьшение, а в пятницу 13-го и обнуление параметра размера диска (BOOT+13h). Если у вас произойдет такое на твердом диске, для восстановления можно использовать значение из Partition Table. Лечение возможно только при загрузке с чистой операционной системы, поскольку зараженная успевает безнадежно испортиться до начала работы программы. MIFI-1489 Заражает только EXE, резидентный. Безнадежно портит сегментированные программы (Иерусалимский алгоритм). Надеется блокировать работу Aidstest при помощи уже не оригинального алгоритма, планируя при этом выдать на экран текст, "В памяти Вашего компьютера обнаружено нечто, весьма похожее на AIDSTEST. Отошлите его Лозинскому и больше никогда им не пользуйтесь". Виден текст "Лозинскому Д.Н. посвящается". Среди закодированных текстов есть "Хрюша V1.0 (C) 1992 МИФИ-"Ф", by S.N.". Pages-421 Заражает только COM, резидентный. Через каждый час 6 раз переключает страницы экрана (мигание экрана). Pages-498 От 421 отличается исполнением и дрожания экрана в горизонтальном направлении. TridenT-3010 Заражает COM и EXE, резидентный. Не слишком аккуратно реализованная невидимость может приводить к порче файлов. В основном компиляция из известных вирусов. Старается не заражать AIDSTEST, COMMAND.COM и ADINF. Scan опознает его как TridenT, однако явно путает его с другим вирусом. Kurgan-919, -939, -948, -1624, -1654 Заражают COM и EXE, резидентные. Все в начале содержат слово "command". Отличаются один от другого только "шутками". 919 иногда переключает состояние "Num Lock". В 939 и 948 предусмотрено изменение некоторых букв на экране, но в 939 это не срабатывает. 1624 и 1654 содержат переписанный из Cascade алгоритм осыпания букв. 1654 кроме того портит в CMOS параметры дискет. Mxx-1227/1223 Заражает COM и EXE, резидентный. Плагиат из классических "музыкальных", но без всех тонкостей и эффектов. Очень быстро начинает стирать все программы. Mxx-2433 Заражает COM и EXE, резидентный. Плагиат из M2C. Все непонятые места отключены. Ничего нового не добавлено. Anti_font-964 Заражает только COM, резидентный. Безнадежно портит все файлы с расширениями SFP, SFL, LOD, WID, FON, CDR, MEM, PRG, DBT, FRM, многие из которых обычно содержат начертания символов. Содержит текст "Data Base Killer Version 1.0 (C) CopyRight 1992 By Virus Development Incorporated. All Rights Reserved.". Вызывает частые сбои при работе с дискетами. GKChP-800 Заражает COM и EXE, резидентный. 19-го августа стирает все исполняемые программные файлы. В конце содержит закодированные тексты "ГКЧПП" и "Commonwealth of Independent States". GKChP_S-800 Заражает COM и EXE. Заражает поиском во всех каталогах дисков A-D. После 19-го августа блокирует работу системы - сразу пытается сделать перезагрузку. В конце содержит закодированный текст "ГКЧП". Leningrad-2000 Заражает COM, резидентный. После седьмого заражения исполняет мелодию "Семь сорок". Видны тексты "Эта программа написана мной", "Вирус-Квартирус. Ленинград 1992" и очень много раз повторенное "Leningrad". Shift-1024 Заражает только EXE, резидентный. Производит мелкие пакости с регистровыми состояниями клавиатуры, иногда возможны потери символов. Tremor-4000 Заражает COM и EXE, резидентный. При активизации вируса из программы, зараженной больше трех месяцев назад, устраивает дрожание изображения на экране. При перезагрузке по Ctrl+Alt+Del на экран выдает текст "-=> T?R?E?M?O?R was done by NEUROBASHER/May-June'92, Germany <=-", "-MOMENT-OF-TERRORIS-THE-BEGINNING-OF-LIFE-". Khizhnjak За вирусы этой группы следует благодарить автора книги "Пишем вирус и антивирус" Хижняка. В ней был опубликован с подробными комментариями исходный текст абсолютно примитивного вируса, заражающего COM-файлы в текущем каталоге. О таком подарке могли только мечтать серости с атрофированной порядочностью. Ниже описан личный вклад этой публики. Khizhnjak-155 Для этой серии пока рекорд. И самая творческая переработка. Khizhnjak-377 Пытается испортить диск "A:". Khizhnjak-415, -444, -469, -507, -701, -709 Без особенностей. Khizhnjak-452 Заражает только EXE. Меняет, но не сохраняет регистры SS и SP. Из-за этого полноценное лечение невозможно и многие файлы будут неработоспособными. После заражения выводит на экран два символа "сердечко". Khizhnjak-496 При удачном заражения выдает текст "Hallo! I have got a virus for you!", после чего на всех машинах, кроме некоторых PC-XT система повисает. Khizhnjak-509 Весьма творческая переработка. Заражает не только на текущем диске. Кроме того оставляет резидентную программу из двух команд, которая не дает обнулить счетчик, управляющий выключением мотора дискет. Khizhnjak-515 Зашифрованный. Когда-нибудь может выдать текст "Ой, що це було мабуть <-НЛО-> !". Khizhnjak-549 Иногда перезагружает систему. Виден текст "CREATED IN MIREA". Khizhnjak-560 В 1 час ночи намерен портить диск C и выдавать "Hello!". В конце видно "Killer-94". Khizhnjak-565 Может испортить нулевую дорожку диска "C". В конце текст "Killer-94". Khizhnjak-576 С сентября собирается портить случайные сектора первого твердого диска. Khizhnjak-632 Заражает кроме текущего и корневые каталоги дисков "C:" и "A". Существует слегка подправленный вариант, который после 27-го числа портит содержимое диска C. Khizhnjak-639 Даже с кодировкой, да еще и с вызовом через INT 3. В конце выводит текст "From Russia with love!". Khizhnjak-649 Очень творческая переработка оригинала. Часть вируса зашифрована. Заражает в текущих каталогах всех дисков. В конце выдает текст "From Russia with love!". Khizhnjak-676 При успешном заражении выдает текст "KIPA Ver1.0 Sergey K. school 654 class 9". Khizhnjak-692 Две разновидности. Одна из них 10-го марта стирает память параметров системы (CMOS). Khizhnjak-715 Заражает только COM. После заражения выводит текст "Не пугайтесь !". Khizhnjak-719 Из-за грубой ошибки портит время создания файла. Очень часто стирает информацию в памяти параметров системы (CMOS). Khizhnjak-726 При успешном заражении демонстрирует знание автором двух английских слов. Работает только на XT. Khizhnjak-731 Заражает только COM, резидентный. При успешном заражении выдает "Хеллоу !". Khizhnjak-732 После заражения выводит текст "Hallo ! I have got a virus for you". Khizhnjak-749 После каждого файла устраивает цветные проблески на экране (переключает палитру). Khizhnjak-752 В различное время не только устраивает тривиальные шутки на экране, но и портит BOOT диска "C:". Khizhnjak-754 После заражения выводит текст " Привет ! А я уже покушал ...". Khizhnjak-759 При успешном заражении выдает на консоль: "Hello! I have got a virus for you!", после чего везде кроме XT вешает систему. Khizhnjak-765 После успешного заражения выдает "Hello! I have got a virus for you". Khizhnjak-768 Добавлен "Венский" алгоритм поиска по "PATH=". Через 3 месяца после заражения обнуляет первый байт Root Directory, что делает диск как бы пустым. Khizhnjak-774 Выводит текст "Hallo! I have got a virus for you!". Khizhnjak-776 Заражает многократно. 19 августа исполняет мелодию. В конце текст "Долой банду Ельцина! Вся власть - Советам!". Khizhnjak-782 Везде кроме XT сразу вешает систему. Если успевает что-нибудь заразить, выдает на экран текст: "Евгенич, ты скотина!!! ХА-ХА-ХА!!!". Khizhnjak-810 После успешного заражения выводит текст "Small present only for you! Happy New Year!!!". Khizhnjak-812 Намерен портить 180 секторов текущего диска. В конце текст "Hello! There is a new virus in your computer! Good luck!". Khizhnjak-822 Очень редко выдает на экран текст "Благополучия и глобальности тебе мы". Khizhnjak-823 В конце текст "Привет системным программистам !!! MGUL !!!". Khizhnjak-846 Текущий на всех дисках. Содержит текст, умиляющий своей тупой самоуверенностью: "Привет! Я - добрый вирус! Я ничего плохого не делаю. Но на моем месте мог бы оказаться злой вирус. Если Вы не защитились от меня, то подавно не защитились бы от него. И я просто советую Вам работать в редакторе . Уж он-то защитит Ваш компьютер на 100% от ЛЮБОГО вируса. Вот и все. Пока.". Khizhnjak-847 Поиск через PATH. Есть тексты "(C) 1993 AREG Soft" и "Благополучия и глобальности тебе мы". Khizhnjak-875 При успешном заражении выдает текст, распространяющий на всех и все известное мнение М.С.Горбачева о членах ГКЧП. Khizhnjak-892 После успешного заражения включает мотор дискетника. В конце текст "Jeff Lynne&John Lennon#We Like E.L.O.!#v.2.0$". Khizhnjak-933 После заражения файла издает писк. 8-го марта портит BOOT на текущем диске, а 1-го сентября кроме того и стирает все COM-файлы в текущем каталоге. Содержит текст: "Created by Death Lord". Khizhnjak-962 Ищет также и на дисках "A:" и "C:". В конце текст "Hallo! I have got a virus for you!". Khizhnjak-990 Заражает COM и EXE. Очень похож на 1114. Khizhnjak-1011 Очень творческая переработка - поиск идет не только в текущем каталоге, но и по параметру "PATH=". В конце текст "MSTU proudly presents in 1994 (C)Copyleft IU7-42 Send your special thanks to FREZER", который часто выводится на консоль. Khizhnjak-1114 Заражает COM и EXE. Весьма творческая обработка первоисточника. Добавлено не только заражение EXE, но и элементы мутаций. Иногда старается слегка подпортить DBF-файлы. Khizhnjak-1269 Пытается заражать также и в каталогах, указанных в PATH. Портит месяц в дате файла. Иногда меняет местами адреса INT 40 и INT 41, а также пытается испортить диск "C:". В конце текст "BADWARE FROM OREL". Khizhnjak-1134 Заражает только COM. Поиск и по PATH. Заражает многократно, выводя при каждом заражении "Файл Заражен Успешно !Tapeworm !". KhiDBF-1046 Заражает COM и EXE. Поиск в текущих каталогах всех дисков. Заметно сильное влияние школы Хижняка. В начале DBF-файлов меняет 03 на 06. MREI-776 Заражает COM и EXE, резидентный. Работает только в версии 3 MS DOS. В конце в закодированном виде имеет текст "(C) Student 1993". Со смещением 7 от начала символы "MREI" (возможно, название учебного заведения). PC_Flu-763 Заражает только COM, резидентный. Размещается в памяти в фиксированном месте, не сообщая об этом системе, что быстро приводит к ее повисанию. К конце текст "PC-FLU by WIZARD 1991". Macho-3551 Заражает COM и EXE. Заражает поиском в текущем каталоге и ниже. Старается все встречающиеся на диске слова "MICROSOFT" заменить на "MACHOSOFT" с сохранением регистров букв. При этом в главном каталоге диска образуется файл "IBMNETIO.SYS", в котором хранится номер последнего просмотренного на данном диске сектора. NetBIOS-4340 Заражает COM и EXE, резидентный. При определенных обстоятельствах пытается разместить в памяти дополнительный резидент, который должен что-то делать в локальной сети через NetBIOS (разбираться в деталях у меня не хватило терпения). Содержит довольно много ошибок. После 1-го августа старается вылечить все зараженные файлы. Sair-1150 Заражает COM и EXE, резидентный. При заражении EXE портит время. Начиная с апреля 1994 года намерен портить 5 первых цилиндров диска C: (вычитать каждый байт из -1), и после этого выдавать текст: Ben bir garip virusum Disket disket gezerim Bugun kismet sendeymis Yarin belki kimdeyim Sair virus Voco-702 Заражает COM и EXE. Безнадежно портит (замещает собой начало) EXE и COM, обнаруженные при поиске в каталогах, перечисленных в "PATH=". A_DIR-1686 Заражает только COM. Стандартный "Венский" алгоритм поиска через PATH. Как положено для примитивных вирусов, весьма опасен. Все файлы, имя которых начинается на "A" (не только программные), заменяет на вирус DIR. В октябре стирает все диски - текущий на момент запуска зараженной программы. Andreev-805 Заражает COM и EXE, резидентный. Иногда при запуске зараженной программы выводит текст "Андреев - хам и жадина". Начиная с августа, одновременно обнуляет в BOOT байт со смещением 1Ah. Как ни странно, для исправления такого диска нужна довольно высокая квалификация. Fear-1645 Заражает только COM, резидентный. Со второй половины часа по цветному экрану начинает бегать "мячик", отражаясь от препятствий и стирая некоторые символы. Близко от начала вируса виден текст "The Retribution", а в конце - "Creater of fear". Explode-1000 Заражает COM и EXE, резидентный. Иногда при запуске зараженной программы устраивает представление с обещанием взорвать машину через 20 секунд. Cock-512 Заражает только COM. Заражает поиском в текущем каталоге. Иногда выводит на консоль два английских слова. В конце текст "Smart Cock". Cock-451 Заражает только COM. Поиск в текущем каталоге. Никаких примет, но похож на Cock-512. Samara-863 Заражает только EXE, резидентный. Никаких особых примет. Three-525 Заражает только COM, резидентный. После нескольких заражений перезагружает систему. Stalker-320 Заражает EXE, резидентный. Не меняет длину заражаемого файла. При запуске зараженной EXE-программы на чистой системе заражает также MBR, после чего система сразу виснет. Содержит "*Stalker*" с инвертированными битами. Stalker-310 Плагиат. Переставлено несколько команд и удалена "торговая марка". Eights-512 Заражает только COM, резидентный. Кроме нормального заражения COM-файлов пишет себя в случайные сектора диска "C:". В связи с этим приходится при его обнаружении начинать полный просмотр файлов, что резко замедляет работу программы. О начале такого режима работы выдается соответствующее предупреждение. Barrotes-1310 Заражает COM и EXE, резидентный. 5 января портит MBR первого твердого диска, выводит на экран текст "Virus BARROTES por OSoft" и заполняет экран цветными полосами. Knight-1948/1944 Заражает COM и EXE, резидентный. В начале вируса имеется текст "Night Knight!". Изготовлен старательно, с многими элементами невидимости. Заметно стремление обмануть Aidstest. Судя по всему, автор собирается и дальше упорно трудиться над этим вирусом. VVM-204, -205 Заражает только EXE, резидентный. Не меняет длины заражаемого EXE-файла, записываясь в его заголовок вместо нулей. В конце видно "(C)VVM*". Оба варианта различаются только приемами программирования. VVMa-205 Заражает только EXE, резидентный. Небольшая переделка VVM-205. VVM-207 Заражает только EXE, резидентный. В конце символы "XAM". Mike-256 Заражает только EXE, резидентный. Не меняет длины заражаемой программы. Виден текст "(c) MIKE". Очень похож на EXE-223. Mike-252 Заражает только EXE, резидентный. Отличается парой приемов программирования. Uncle-1377 Заражает COM и EXE, резидентный. В начале имеет зашифрованный текст "(*) Small Uncle (*)", который в памяти зачем-то расшифровывается. Uncle-1410 Заражает COM и EXE, резидентный. Старается не заражать COMMAND.COM. NOPm-494 Заражает только COM, резидентный. Довольно примитивный, однако, автор явно собирается изготовить большую серию вирусов, причем длиной до пяти килобайт! Loren-1374, -1387 Заражает COM и EXE, резидентный. Размножается очень активно. В частности, при выполнении команды DIR. Частично невидим. После 20 заражений стремится испортить диски. Если ему это удастся, в чем я сомневаюсь, должен выдать текст: Your disk is formated by the LOREN virus. Written by Nguyen Huu Giap. Le Hong Phong School *** 8-3-1992 SVM-695 Заражает только COM, резидентный. Скрывает изменение длины. Есть закодированный текст "svm killer v 4.0". SVM-1153 Заражает COM и EXE, резидентный. Некоторые EXE заражает некорректно. В зашифрованном виде содержит текст "svm killer v 5.0". Hobbit-416 Заражает только EXE, резидентный. Не меняет длину. Видно слово "HOBBIT". Ret-641 Заражает только COM, резидентный. Весьма примитивный. Портит дату создания файла. Первым делом старается заразить командный процессор. VM-3275 Заражает COM, EXE и SYS, резидентный. На всех дисках, содержащих систему, записывает файл VMEM.SYS и в начало CONFIG.SYS вставляет команду его загрузки. Не заражает SCAN и CLEAN. Все зараженные файлы получают нулевой день в дате создания. AIDSTEST при обнаружении на диске VMEM.SYS стирает его, а лишнюю строку из CONFIG.SYS не удаляет. Это можно сделать при помощи любого редактора текстов. Sarov-1200 Заражает только COM, резидентный. Несколько переработанная версия Lostkey-1200, но с тем же набором ошибок. В середине появилась подпись автора (или плагиатора) "BIL_92_Sarov", зашифрованная вместе с вирусом. Spider-948 Заражает COM и EXE, резидентный. По ошибке портит адреса прерываний 23 и 24, что может часто приводить к повисанию системы. Имеет закодированный текст "Red Spider Virus created by Garfield from Zielona Gora in Feb 1993". MGUL-925 Заражает COM и EXE, резидентный, частично невидимый. Из-за ошибки зараженные файлы получают случайную дату. Через каждые 10 минут проверяет режим экрана, и, обнаружив нечто не тривиально-символьное, перезагружает систему. Очевидно, предполагалась борьба против игр. Текстов нет. Принадлежность семейству определена по почерку. MGUL-944 Заражает COM и EXE, резидентный, частично невидимый. Блокирует исполнение ADinf. Hе заражает Aidstest и Scan. Иногда портит MBR (кодирует операцией XOR 34). MGUL-950 Заражает COM и EXE, резидентный, частично невидимый. 30 ноября, 11 июня, 31 декабря стирает с диска C: Boot и MBR. В конце имеется текст "МГУЛ. ВТБ-11. v1.0". MGUL-1953 Заражает COM и EXE, резидентный, невидимый. 30 ноября и 11 июня стирает MBR диска "C:". В конце видно "MGUL. v2.5". MGUL-1962 Заражает COM и EXE, резидентный. 30 ноября и 11 июня стирает MBR диска "C:". При запуске на исполнение стирает Aidstest, ADinf, Scan, -V. В конце видно "МГУЛ. v2.0". Nov_17-800 Заражает COM и EXE, резидентный. 17 ноября стирает 8 первых секторов со всех дисков. Не заражает SCAN и CLEAR. Nov_17-768 Заражает COM и EXE, резидентный. Размножается несколько медленнее, чем 800. BBS-1258/1514 Заражает COM и EXE, резидентный. При заражении EXE пишет в начале дополнительные 256 байт. Попадая на BBS стремится зарегистрировать на ней пользователя с именем "Platon Potapov", обладающего высшими привилегиями. BBS-1000/1256 Заражает COM и EXE, резидентный. Ближайший родственник BBS-1258/1514, но без характерной шутки. В марте намерен стирать 720 секторов текущего диска. Есть текст "King worm". Pong-691 Заражает только COM, резидентный. Портит дату создания файла. После 8 заражений устраивает представление с бегающим шариком, выбиванием букв и стуком. При этом не проверяется ни тип, ни режим экрана. S_key-240 Заражает только COM, резидентный. После нескольких нажатий на клавишу "S" делает перезагрузку системы. Наличие ошибок может приводить к неожиданным последствиям. Angel-1000 Заражает только COM, резидентный. Заражает поиском в текущем каталоге. 29 ноября выводит цитату из Апокалипсиса (7,8). Turbo_C-7924 Заражает только COM. Новая большая победа на вирусном фронте - для изготовления вирусов освоен еще один транслятор. Объекты для заражения ищет во всех каталогах текущего диска. В качестве пакости предусмотрена перезагрузка и порча адреса LPT1, а также абсолютно бессмысленное оставление вируса в памяти в качестве ничего не делающего резидента. Galya-500 Заражает только COM, резидентный. Продукция современной разновидности "рыцаря" - 17 декабря, в день рождения своей дамы сердца, портит диск "C". Trash-512 Заражает только EXE, резидентный. При определенных обстоятельствах пишет на диск COM-файлы со случайным именем из 4 букв. Как и задумал автор, Aidstest опознает их как зараженные вирусом "V-512", однако, лечить отказывается (предлагает стереть). Tamanna-1857 Заражает COM и EXE, резидентный. Все зараженные файлы получают атрибут Read Only. Старается работать как вакцина - при обнаружении заражения еще одним вирусом, старается его удалить и даже сообщает об этом: "File has been modified. Rebuilding...". Временами стирает экран, выдает на него ряд текстов и требует нажать клавишу "T". Gelio-1024 Заражает COM и EXE, резидентный. Содержит незадействованные заготовки для будущей версии. Veronika-1549 Заражает COM и EXE, резидентный. Продукция еще одного рыцаря. В конце видно "Veronika P.". Иногда в BOOT дискет пишет программу, которая вместо загрузки выводит на экран крупными буквами "VERONIKA". MRTI-577 Заражает только COM, резидентный. После 12288 обращений к принтеру печатает на нем ">> Привет от АНДРЕЯ МРТИ~93 <<" (где "М" скорее всего значит "Минский"). Сделан с претензией на оригинальность, но весьма безграмотно. Быстро вешает систему. Metal-400 Заражает только COM, резидентный. Портит атрибуты. Во времени создания зараженных файлов ставится 50 секунд. В конце слово "MetallicA". Metal-500 Заражает COM и EXE, резидентный. Не заражает программы, имя которых кончается на "ST". В конце слово "MetallicA". Metal-1103 Заражает COM и EXE, резидентный. 22 апреля портит настройку видеоадаптеров. Видны тексты - в начале "Metallica Ver 2.2", а ближе к концу "(c) USSR Moscow 92". Birthday-1333 Заражает COM и EXE, резидентный. При обнаружении версии операционной системы, кроме 3.20, 3.30, 4.0 или 5.0, выводит текст "Dec 3 92 is my 20th birthday (V6)". Размножается весьма активно. Первым делом заражает программу, заданную параметром COMSPEC, причем записывается поверх ее конца. При лечении это обстоятельство не учитывается, в результате чего программа укорачивается. AntiPAS-602 Заражает только COM. Поиск в текущем каталоге и его подкаталогах. Портит PAS- и BAK-файлы - записывает себя в них. Такие файлы Aidstest обнаруживает, но вылечить не может. AntiPAS-642 Заражает только COM. Поиск в текущем каталоге и COMSPEC. Кодирует первые 3000 байт программ на Паскале в текущем каталоге. AntiPAS-1186 Заражает только EXE, резидентный. После 16.00 стирает все PAS-файлы. Видны тексты "*.EXE", ".PAS", "AIDS", "SCAN". Есть закодированный текст "Вы больны !". DrWhite-2403 Заражает COM и EXE, резидентный. В зашифрованном теле вируса имеются тексты "Desperado Virus - Written in Malmo", "Dr White - Sweden 1993". В некоторых случаях может по ошибке заразить и не программы. DrWhite-1027 Заражает COM-файлы, MBR и бутсектор дискет, резидентный. В закодированном теле вируса есть тексты "Dr White - Sweden 1994" и "Junkie Virus - Written in Malmo". DSU-1414 Заражает COM и EXE, резидентный. После 25-го числа месяца меняет при выводе на принтер 'р' на 'г'. Невидимый. DSU-1422 Заражает COM и EXE, резидентный. 1 апреля мешает правильному исполнению функции DOS Version. 31 января выводит текст "Happy New Year !!!" и перезагружает систему. Закодирован, невидимый. Есть тексты "= DSU RFF =" и "= Dark Angel =". Romania-895 Заражает только EXE, резидентный. После 10 октября каждые 30 секунд играет короткую мелодию. Romania-1054 Заражает только COM, резидентный. Есть заготовка для заражения EXE и большой кусок лишнего кода. Оригинально использует INT 24h, что может приводить к неожиданным результатам при ошибках ввода/вывода. Belorussia-459, -463 Заражают только COM, резидентные. Не меняет длины. Слово "Belorussia!" стоит в начале зараженных файлов. Belorussia-1298 Заражает COM и EXE, резидентный. Примерно через 25 минут после загрузки изображает на экране флаг Белоруссии или исполняет мелодию. Jos-1000 Заражает только COM, резидентный. При вводе с клавиатуры слова "jos" (по-румынски - "долой") помещает в буфер клавиатуры " ILIESCU". Блокирует загрузку нескольких отладчиков. Видны тексты "JABBERWOCKY (.), the first Romanian Political Virussian" и "Release date 12-22-1990". AI-1759 Заражает только EXE, резидентный. Через 6 месяцев после заражения может стереть нулевые дорожки дисков "C:" и "D:". Two-600 Заражает только EXE, резидентный. Отличается удивительной безграмотностью и подлостью. Очень часто при операциях записи на диск вставляет 2 лишних байта. Передавая управление программе, портит регистры, что обычно приводит к неправильной обработке параметров и повисанию системы. MVF-1953 Заражает только COM, резидентный. Содержит большое количество наивных усложнений, быстро приводящих к повисанию системы. Сбивает работу часов. По пятницам 13-го выводит текст: THE MVF-FILEVIRUS Programmed 1991 by the MVF MAD Virus Factory 28/9/91 - V1.6 Mao-1465 Заражает COM и EXE, резидентный. В дни рождения и смерти Мао Цзе-дуна (26 декабря, 9 сентября) исполняет две различные мелодии. Rest-1588 Заражает только EXE, резидентный. Часто, а после 21-го числа постоянно, выводит на экран текст "Выключите ЭВМ Вам нужно отдохнуть" и стирает первый гибкий диск. В некоторых случаях может вместо исполнения программы выводить текст "Abnormal program termination". Gambler-288 Заражает только COM, резидентный. При очень неграмотной попытке его трассировать может испортить первые 10 секторов диска "C". В середине видно слово "GAMBLER". KhAI-1835 Заражает только COM, резидентный. При чтении EXE-файлов (не при вызове на исполнение) с вероятностью 1/4 портит первый 2 байта, меняя их на CD 20. Каждые 20 минут проводит по нижней строке текст "ВНИМАНИЕ ВСЕМ ПОДПИСЬЧИКАМ нашего канала ! При перемене места жительства звоните по телефону: +939-(88)322-223-(223)322. Копия "фильма" предоставлена филиалом по ул. Дарвина, 9. *** Всем нашим посписьчикам мы предоставим новые версии нашего продукта без дешифратора !!!", а после каждых 6 нажатий не клавишу F5 "Аааа... Это ты, ВЕЛИКИЙ КОПИРОВЩИК пожаловал !!! Отдохни, сходи в буфет ... Ну ладно, я тебе попорчу чуть-чуть EXE файлы, хорошо ?!". Urphin-317 Заражает только COM, резидентный. По ошибке оставляет себя в памяти многократно. В конце текст "Уpфин Джюс". HM-828 Заражает COM и EXE, резидентный. Зачем-то до заражения пишет в конец до 63 байт мусора, причем COM-файлы короче 23000 после этого не заражает. В конце видно "*10-03(HM)*". AntiTrace-2122 Заражает только COM, резидентный. В начале зараженных программ видно "Anti_Trace". При некоторых обстоятельствах выводит в центре экрана текст в рамке "Loading AntiVirus didn't find me yet. I'm so sorry!". От этого вируса можно избавиться, если, запустив произвольную антивирусную программу, держать нажатыми обе клавиши Shift в течение ее работы. Eternal-2086 Заражает COM и EXE, резидентный. Закодирован, но без участия кода, который автор наивно-изобретательно пытался скрыть. При обнаружении какойто программы выдает текст "This is an [ illegal copy ] of KeyPress virus remover System Halted". Имеется также закодированный текст "Eternal Fair". Poss-2443 Заражает COM и EXE, резидентный. В начале зараженных COM-файлов и в начале вируса видны тексты "POSSESSED! Bwa! ha! ha! ha! ha!$", "Author: JonJon Gumba of AdU". Некоторые COM-файлы портит безнадежно, особенно часто COMMAND.COM. Komsom-1000 Заражает COM и EXE, резидентный. Имеется текст "REFsoft Komsom". Прислан из Комсомольска-на-Амуре. Не заражает COMMAND.COM и Aidstest. Exile-255 Заражает только COM, резидентный. Портит время и дату файла. Иногда пытается испортить диск "A:" и выводит текст "I'm Vindictive Exile!". Hacker-1594 Заражает COM и EXE, резидентный. Частично невидимый. В начале текст "N.Hacker". MrGu-635 Заражает только COM, резидентный. Размножается довольно быстро. В конце закодированного вируса символы "Mr.Gu". Midi-200, -254, -315, -319, -335, -349, -353, -387, -419, -953, -1079 Этим именем будут обозначаться вирусы, далеко не рекордного размера, но в остальном похожие на Mini и Tiny. Все они резидентные, заражают только COM, портят дату и не блокируют системные сообщения об ошибках ввода-вывода. AIW-572 Заражает только COM, резидентный. В начале зараженных файлов видно "AIW2°JB". SN-488 Заражает только EXE, резидентный. Виден текст "Лозинский! Моя нижайшая просьба - переименуй ASMODEOUS'а в его настоящее имя, т.е. в ASMODEOUS". 27 декабря выводит текст "Сегодня надо поздравлять Лену Сошникову с днем рождения, а не работать." и вешает систему. SN-665 Заражает COM и EXE, резидентный. 11 ноября в начало всех COM- и EXE-файлов пишет "Сатана там правит бал". Есть также текст "SATANA 666 (C) EA inc.". SN-666 Заражает COM и EXE, резидентный. Скрывает изменение длины. 11 ноября планирует запись в начало всех COM/EXE-файлов "Сатана там правит бал". SN-882 Заражает COM и EXE, резидентный. 11 ноября стремится стереть все файлы с дисков. Есть слово "ASMODEOUS". Скрывает изменение длины. SN-903 Заражает COM и EXE, резидентный. Портит дату создания файла. Стирает при запуске Aidstest, с связи с чем для использования в зараженной системе его необходимо переименовать. В текстах, выводимых на принтер, после запятых вставляет междометия из лексикона подонков. Мечтает 27 декабря портить диск "C:". Есть текст "HS86.2 Ver 4.06.Copyright by EA computers inc.1994". SN-982 Заражает COM и EXE, резидентный. Стирает также и ADinf. Есть тексты "Virus HS86.1 COM&EXE-Version 4.05", "Copyright by EA computers inc. 1994", и в конце "Купите себе селедку и морочте ей голову!!!". Шутки с принтером нет. SN-1160 Заражает COM и EXE, резидентный. 11 ноября может стереть с дисков все файлы. Есть закодированное слово "ASMODEOUS". Очередные накрутки на ту же основу. SN-1444 Заражает COM и EXE, резидентный. 27 декабря намерен портить диск C:. Read Only не заражает, несмотря на большое желание. К некоторым COM только приписывается на хвост, не получая управления. При этом есть большие шансы на повисание системы. Те же "остроумные" шутки на принтере. При активизации выводит "HS86.5 Ver 5.09.Copyright by EA computers inc.1994". Mummy-1399 Заражает только EXE, резидентный. Из наивно-глубоких соображений уменьшает размер буфера клавиатуры. Иногда стирает 99 первых секторов текущего диска. Содержит закодированные тексты "Mummy Version 1.2 Kaohsiung Senior School Tzeng Jau Ming presents". CD-2161 Заражает COM и EXE, резидентный. В четверг 12-го выводит на экран текст в рамке: VirCheck V1.2 (C)1991 Be aware of those worms out there, violating your machine on Friday 13th - it's tomorrow Special thanks to Ross M. Greenberg, Patricia M. Hoffmann and John McAfee Ugur-1297 Заражает COM и EXE, резидентный. Предусмотрено стирание первых 200 секторов логического диска "C", но при невозможном условии. Все зараженные файлы получают атрибут Read Only. При обнаружении файла "CHKLIST.CPS", его длина обнуляется и ставится атрибут Read Only. Ugur-1320 Заражает COM и EXE, резидентный. Вариант вируса Ugur-1297. Pharisee-492 Заражает только COM, резидентный. В конце текст "Слава Владыке". Pharisee-500 Заражает только COM, резидентный. От версии 492 отличается очень мало. Ce_Ce-1994 Заражает COM и EXE, резидентный. Умудряется оставить в памяти несколько одновременно активных экземпляров себя. В закодированном вирусе имеется длинный текст, полный восхишения собственной подлостью. Очень редко по экрану пробегает изображение некоего насекомого. Ovl-3966 Заражает только EXE. Для всех EXE-файлов в текущем каталоге образует COM-спутники. Иногда выводит текст "Я безвредное существо.". Есть текст " DPS.Companion Virus! (c) Copyright 1996 by Max Max Вирус написан для Санкт-Петербургского ДПШ ( абсолютно безвредная ) Привет Миксеру, Мишке, Кириюхе, Виктору Ивановичу, и всем другим Советую выполнить: Mov ax,310h / Xor cx,cx / Mov dx,80h / Int 13h ". Ovl-4560 Заражает только EXE. Для EXE-файлов создает файл-спутник с расширением COM. Ovl-7508, -12304 Заражает только EXE. Переименовывает файлы в "*.DAT" и записывает себя в том же каталоге под старым именем зараженного файла. Стирает CHKLIST.MS, CHKLIST.CP. По 15- м числам нечетных месяцев выводит на экран текст, начинающийся с "Let me present: CP-VIRUS! Copyright (c) 1994-1995 CP-MaN of CP-DeZiGN Written in Vasteras of Sweden! Ya know... Your mom can't save ya know!" с угрозой испортить диск. Затем под мигание лампочек клавиатуры и звуковое сопровождение на экране медленно уменьшается счетчик. Тот, кто дождется весьма нескорого окончания, увидит текст "Finished! I'm impressed. You did really wait didn't you? Well, I just want you to know that I keep my promises. No data is destroyed. Oh, just one more thing. This virus does not destroy data at all, it would have been enough to reset the computer. Hope you enjoyed waiting! Hehehe...". Ovl-14640, -14692, -24076 Заражает только EXE. Переименовывает файлы в "*.OVL" и записывает себя в том же каталоге под старым именем зараженного файла. В случае заражения 13-го числа 13 файлов, записывает в корневом каталоге файл под именем "_.COM" и вставляет вызов его в AUTOEXEC.BAT, что приводит на адаптерах типа EGA/VGA к переворачиванию изображения на экране. Версии отличаются тем, что меньший запакован LZEXE и не заражает файлы в каталогах N3, NC, CW, а второй - только N3 и NC. Bil-1000 Заражает только COM, резидентный, причем заражает многократно. Слегка пакостит при вводе с клавиатуры. Часто вешает систему. Bil-1140 Заражает только COM, резидентный. Не заражает стандартные приманки - файлы, состоящие почти целиком из одинаковых байтов. Содержит закодированный текст "BIL_92_Sarov". Aztech-1200 Заражает только EXE, резидентный. Иногда пытается стереть с диска какойнибудь каталог. Задуман алгоритм, который должен был обманывать многие вакцины. Из-за маленькой ошибки успешное срабатывание этого алгоритма маловероятно. В конец зараженного файла попадает большой кусок мусора. Keelung-2787 Заражает только EXE, резидентный. Написан с изобретательностью, что часто приводит к повисанию системы. Иногда играет какую-то мелодию. Есть закодированный текст "[MACGYVER V1.0 Written by JOEY in Keelung. TAIWAN 1992]". Mxx-2561 Заражает COM и EXE, резидентный. Самый полный плагиат из M2C. Добавлено дрожание экрана по 20-м числам и текст (закодирован) "(C) by M.E.S. from MSU. Moscow 1993. Version 1.00 ( Demo ).Wait new viruses soon. See Ya!". Кроме того, он не заражает Aidstest. Unerase-329 Заражает только COM, резидентный. Блокирует исполнение DOS-функций Delete, Attributes, Lock. BadSectors-3428 Заражает COM и EXE, резидентный. Образует псевдо-сбойные кластеры. Пакостит на клавиатуре (если не ошибаюсь, повторяет клавиши). В начале и в конце видно "BadSectors 1.2". Sh-841 Заражает только EXE, резидентный. 29-го числа выводит текст "So Far, So Good,...So What?" и стирает нулевую дорожку первого твердого диска. Не заражает некоторые программы по списку 2-3 символов имени. Sh-988 Заражает COM и EXE, резидентный. Вариант Sh-983. Xmas-1694 Заражает только EXE, резидентный. С 23 по 27 декабря выводит текст "Merry Christmas and happy new year ! Written from Tamsui Oxford college." и играет мелодию. Made_in-496 Заражает только COM, резидентный. По средам часто выводит текст "* VIRUS C * made in USA" и блокирует систему. Думаю, что к USA он не имеет никакого отношения. Elise-2402 Заражает только EXE, резидентный. При некоторых конфигурациях DOS сразу вешает систему. Ежедневно в 14.00 пытается исполнить "К Элизе" Бетховена. Vodka-560 Заражает только EXE, резидентный. Зараженным файлам ставит время 04.40.04. При запуске от 1.00 до 1.59 выводит на консоль текст "(copyleft) ДИБИЛИЗАТОР ver. 1.2 Пиво,Водку пить - здоровью вредить!? (Y/N)". При ответе "Y" нормально продолжает программу, а "N" - завершает. Ostap-322 Заражает только COM, резидентный. В конце текст "Киса и Ося были здесь.". Panic-400 Заражает только COM, резидентный. В конце текст "Без паники-идем ко дну! Ver 1.!5". Exit-376 Заражает только COM, резидентный. Заражает программы в момент их завершения. В конце "=Ильич=". Nr-300 Заражает только COM, резидентный. Меняет дату файла после каждого запуска зараженной программы. После нескольких запусков зараженного файла ставит какой-то пароль на загрузку, в формате AMI BIOS. BIOS-2048 Заражает COM и EXE, резидентный. По ошибке портит int 24, что может приводить к повисанию системы. За 2 байта от конца есть слово "BIOS", а в начале - закодированный текст "Mr.Watshira Sae-eu KMIT- NB Date 12/28/1990 BIOS". Platov-1628, -1684 Заражает только COM, резидентный. Взял из Хижняка наиболее маразматические приемы программирования. При переходе в каталоги games и ant начинает стирать файлы. Предварительно выдает текст "Компьютер создан не для игр!" или "Не пытайтесь меня уничтожить!". Пакостит на принтере - меняет "е" на "э" и выводит "междометие" после запятых. Есть закодированный текст "Programmed by Andrey Platov". Yeke-1204 Заражает только EXE, резидентный, частично невидимый. 26 марта, исполняя нечто вроде мелодии, переводит экран в формат 40x25 и выводит на него текст "Be Careful. YEKE Controls Your Computer.". June-1784 Заражает COM и EXE, резидентный. В июне с вероятностью 3/4 постоянно играет одну из трех мелодий. June12-1569 Заражает COM и EXE, резидентный. Не меняет длины COMMAND.COM. 12 июня выдает на экран рамку с текстом "С ПРАЗДНИКОМ ГОСПОДА !". Moslem-763 Заражает COM и EXE, резидентный. Весьма часто вешает систему. После 15 октября по пятницам выдает текст "Нормальные ЛЮДИ по ПЯТНИЦАМ не РАБОТАЮТ". FAT-666 Заражает только EXE, резидентный. Первым делом старается испортить на первом твердом диске сектор 11 дорожки 1, который чаще всего принадлежит первой копии FAT. Для специалиста исправление этого не должно составить трудности. Не заражает файлы, имя которых начинается на "A". Chain-512 Заражает только EXE, резидентный. В ряде случаев может портить таблицы распределения памяти. Nevor-9382 Заражает COM и EXE, резидентный. В начале зараженных COM-файлов стоит "VIVAT EGOR LETOV !!!". После запуска 32 программ выводит текст "NEVOR FREE, NEVOR ME. SO I DUB THEE" и вешает систему. Вирус содержит резидентную программу работы с файлами, которая без вируса могла быть кому-то полезной. Fire-2682 Заражает COM и EXE, резидентный. Невидимый. Делает некоторые попытки помешать ADINF. Есть закодированный текст "Fire walk with me.". Child-1000 Заражает COM и EXE, резидентный. Виден текст "My Child". PandCo-855 Заражает только COM, резидентный. В начале зараженного файла и вируса видно "P&C°". Заметно стремление к дальнейшему развитию. Boy-1919 Заражает COM и EXE, резидентный. Обладает элементами невидимости. В конце текст "TurboVirus (TV) v1.3 (C) 1993-94 by Power Boy.". RC-538 Заражает только COM, резидентный. Иногда вместо заражения портит COM-файлы. Заметно знакомство с "Cascade". RC-588 Заражает только COM, резидентный. Весьма примитивный уровень программирования, но с большими претензиями на оригинальность. RCE-307, -374 Заражают COM и EXE, резидентные. Для вирусов такого класса имеют довольно малый размер. RCE-554 Заражает COM и EXE, резидентный. Блокирует DOS-функцию "Get Vector" для INT 21 и 40. RCE-641 Заражает COM и EXE, резидентный. RCE-1277 Заражает COM и EXE, резидентный. Надергано из разных вирусов. Скрывает изменение длины. RCE-1320 Заражает COM и EXE, резидентный. Портит дату файлов. Заметно сильное влияние школы Хижняка. Dread-582 Заражает COM и EXE, резидентный. В конце закодированный текст "Night Boomer". Dread-612 Заражает COM и EXE, резидентный. Оставляет в памяти резидент многократно. Имеется закодированный текст "I will torment you ! Lord. Dennis-689 Заражает только EXE, резидентный. Отличается редкой безграмотностью. Возможно появление нескольких резидентных копий. При выводе на принтер, перед каждым символом вставляет команды переключения попеременно на верхний и нижний индекс. В конце видно "v1.0(CrazyPrinter)ByDennisDavydov". Dennis-539 Заражает только EXE, резидентный. Серия, интересная способностью автора создавать себе трудности и их, отчасти, преодолевать. Dennis-656 Заражает только EXE, резидентный. После 20 июня постоянно переключает состояния Scroll-, Caps-, Num-Lock, что должно привести к практической невозможности работать с клавиатурой. Dennis-1000 Заражает COM и EXE, резидентный. Есть закодированный текст "D.Davydov". Haifa-2354 Заражает COM и EXE, резидентный. Достаточно быстро вешает систему. Пакостит в начало файлов с расширениями ASM, PAS, TXT, DOC. 24 августа и 12 октября выдает на консоль текст "HAIFA VIRUS V1.01 WRITTEN BY Y.S. GUEST STARS: T.S. & I.F. MADE IN ISRAEL I AM TIRED. PLEASE WAKE ME UP ON TUE 12.4.3456 PRESS RESET TO CONTINUE...". Nikolaev-618 Заражает только COM, резидентный. Часто блокирует образование файлов с расширением, начинающимся с "PA" и "DW". Быстро вешает систему. Есть супернаивные попытки блокировать какой-то отладчик (скорее всего AT86). Not-397, -574 Заражают только COM, резидентные. Стандартные. Sayha-3984 Заражает COM и EXE, резидентный, частично невидим. Иногда после нажатия на F1 выводит на экран красиво оформленное "Sayha Watpu". Стиль программирования весьма оригинальный. Предполагается Филиппинское происхождение. OTAKA-1641 Заражает COM и EXE, резидентный. Не заражает AIDSTEST, ADINF, SCAN, HIEW и много других. В конце закодированный текст "Отака фигня малята". Уровень программирования также весьма высок. Magdzie-1114 Заражает только EXE, резидентный. Во всех каталогах стирает файлы, найденные по маске "chklist?.*". 26 мая выводит на экран текст "Magdzie T. - jutro Twoje urodziny!" и затем начинает игры с палитрой (на VGA). Многие версии DOS должен немедленно вешать. Mohova-659 Заражает только EXE, резидентный. В конце виден текст "Mohova N.I. is my love!". Happy-556 Заражает только COM, резидентный. 3 ноября выводит на консоль текст "Don't worry - be happy!". Itv-449 Заражает только COM. Вариация на тему "Vienna". 5 мая, 10 сентября и 20 ноября выводит текст "нViva MВxico!". Видно также "(C) ITV85020203 1990.". TaiPan-438 Заражает только EXE, резидентный. Виден текст "[Whisper presenterar Tai-Pan]". IBMDOS-1024 Заражает только EXE. Поиск в текущем каталоге. Портит сегментированные. Содержит большой кусок из COMMAND.COM IBMDOS-3.30, в том числе copyright IBM и Microsoft. Dead-641 Заражает только COM, резидентный. Если в течение часа не загружаются программы, выдает текст "Meня ты cлишкom долго МУЧАЛ ... Пpoщaй, мой друг ! Я УMИPAЮ ..." и перезагружает систему. Dead-790 Заражает только COM, резидентный. По понедельникам 7 и 23 портит на первом твердом диске случайные сектора. Dead-1111/1114 Заражает COM и EXE. Довольно часто выводит текст "Sorry, I'm completly dead." и оставляет в памяти резидент, который каждую минуту издает звуки. Tante-1778 Заражает COM и EXE, резидентный. С элементами невидимости. В начале следующего после заражения машины месяца портит все диски и CMOS. Есть закодированный текст "* MUTANT-93 * (Pre-Release version).". Free-1091 Заражает COM и EXE, резидентный. Заражает файлы в текущем каталоге в момент вызова DOS-функции "свободное место на диске" (36h). Если в течение часа не было нажатий на клавиши, стирает MBR диска C: и портит информацию в памяти параметров системы (CMOS). Free-1099 Заражает COM и EXE, резидентный. Отличается от 1091 пакостью - при тех же условиях старается отформатировать одну дорожку. Novell-708 Заражает только COM, резидентный. Пытается что-то совершить в Novell NetWare. Novell-528 Заражает только COM, резидентный. Очередные потуги что-то сделать под Novell. При завершении программы дважды исполняется функция "Add Trustee to directory" с именами "WORK:" и "SYS:". Novell-3120, -3128 Заражает COM и EXE, резидентный. С элементами невидимости. Производит какие-то операции над Novell NetWare. Novell-713 Заражает только COM, резидентный. Резидент в памяти оставляет многократно. Вариант Novell-708. WRA-501 Заражает только COM, резидентный. Иногда может мигать лампочкой Num Lock. Старается мешать доступу к Hidden файлам. WRA-1000 Заражает COM и EXE, резидентный. Портит точку входа int 67, дающего доступ к Expanded Memory. Размещается в фиксированных адресах памяти, что может приводить к повисанию системы. Перезагружает систему, если обнаруживает активность Windows. Скрывает файлы с атрибутом Hidden. Блокирует работу программ с первыми символами имени "AI", "TE", "SC", "V", так что для работы в зараженной системе их нужно переименовать. В конце видно "Novosibirsk". Riot-724 Заражает только COM. Поиск объектов для заражения в текущем каталоге и выше, а также в \dos. Портит \dos\keyb.com, в результате чего он непрерывно выводит "Immortal Riot". Может испортить все диски. Мне это событие кажется маловероятным, но, если оно произойдет, во всех секторах будет записано "[BAD ATTITUDE!]$ (c) '94 The Unforgiven/Immortal Riot". Riot-449 Заражает только COM. Поиск в текущем каталоге и выше. В конце текст "Naked Truth! Hi-Tech Assasins - Ready To Take On The World // DEATH TO ALL - PEACE AT LAST // The Unforgiven / Immortal Riot". Freeze-830 Заражает COM и EXE, резидентный. Иногда стирает все содержимое CMOS. Есть закодированный текст "I am Freeze". Freeze-980 Заражает COM и EXE, резидентный. Через 30 минут стирает содержимое CMOS. В конце закодированный текст "I am Freezer. V2.0". Radio101-1000 Заражает COM и EXE, резидентный. Через час выводит на экран текст "Paдио 101" с разноцветными буквами. MrD-1536 Заражает только EXE, резидентный. Иногда устраивает примитивные шутки на экране: спуск изображения вниз или случайные перестановки символов. Близко от конца видно "Mr. D". Elene-1000 Заражает COM и EXE, резидентный. Имеет склонность вешать систему. 20 февраля выводит на экран текст "Москва - Санкт-Пeтербург, Июль-Август 1994г. Сегодня Леночкин день рождения". Case-927 Заражает только COM, резидентный. Иногда на 1 секунду на экране латинские строчные буквы делает прописными. Hidenowt-1741 Заражает COM и EXE, резидентный. COM и EXE различает только по имени. Заражение производит в момент выполнения функции поиска в каталоге (формат FCB), что заметно замедляет исполнение команды DIR. IOerror-516 Заражает только EXE, резидентный. При ошибках ввода/вывода предусмотрено сообщение "IO_error", однако, его появление маловероятно. Left-345 Заражает только COM, резидентный. Если после последнего заражения стартовало 7 зараженных программ, начинает при каждом нажатии на клавишу сдвигать экран влево. MCGA-747 Заражает только EXE, резидентный. При работе в графическом режиме 320x200x256 больше 15 минут стирает CMOS. Bubble-656 Заражает COM и EXE, резидентный. Есть закодированный текст "-=Bubble Bubble=- This program is SHAREWARE!!!". Angry-393 Заражает только COM, резидентный. В конце страшный текст "I'm an angry virus from CMOS! Nobody can cure me!!". MST-322 Заражает только COM, резидентный. Иногда выводит на экран "(c) 1991 by MST,Vers.1.0". Kaos-697 Заражает COM и EXE. Поиск по PATH и в текущем каталоге. Sh-983 Заражает COM и EXE, резидентный. Имеется закодированный текст "(С) Shel,NSTU, 1994,v3.1". Rift-467 Заражает только COM, резидентный. В конце текст "Rift Villy v.3.0". Fascist-442 Заражает только COM. Поиск в текущем каталоге на всех дисках, начиная с C:. В конце выводит на экран гнусное изображение со свастикой. Plutto-602 Заражает только COM. Поиск в текущем каталоге. Beda-337 Заражает только COM, резидентный. Из класса Midi. Beda-338 Заражает только EXE, резидентный. Не восстанавливает int 24. В конце видно "ACHE". Beda-883 Заражает только COM, резидентный. Частично невидимый. Портит дату и время. После каждых 13 программ устраивает представление с бегающими по экрану тремя цветными полосами. HaHa-1730 Заражает COM и EXE, резидентный. Переделка классического Jerusalem. Через 30 минут постоянно выдает в левом верхнем углу экрана мигающее "Ha!Ha!". Стирает программы BASICA.EXE, CURE.EXE, LOTUS.COM, CWI.EXE, ETBASIC.EXE, BASICA.COM, 123.XE, DBASE.EXE, BASIC.COM. Ha-311 Заражает только COM. Поиск в текущем каталоге. В 11 часов зацикливается на выводе символов "HA". VComm-637 Заражает только EXE. Поиск в текущем каталоге. Оставляет резидент, блокирующий запись на диски. Много шансов на безнадежную порчу зараженных файлов, прежде всего сегментированных. Dron-995, -1024 Заражает только EXE, резидентный. После 10 успешных заражений выводит на весь экран "DRON", а внизу текст "Moscow Institute of Physics and Technology (c) 1994". Кроме того есть текст "DRON Ver 1.00, PhysTech,(c) 1994". Немного отличаются стратегией активации шутки. Kipa-1084 Заражает COM и EXE, резидентный. Удивительно безграмотный. Делает неработоспособными все COM-файлы. Лечение их, к счастью, возможно. Есть текст "The KIPA new Version 3.1 copyright (c) 1993 by Sergey Hacker, Moscow; 15 years old". Могу только поздравить родителей со столь гениальным ребенком. OkYes-1257/1275 Заражает COM и EXE. Поиск в текущем каталоге текущего диска и "C:". После 4 октября 1993 года старается стереть первый твердый диск. Не заражает Aidstest. В начале видно "AIDSTEST.EXE". Cafe-400 Заражает только COM, резидентный. Содержит глупую шутку: практически после каждого заражения блокирует клавиатуру (F5 в порт 60). Virogen-1673 Заражает COM и EXE, резидентный. COM заражает стандартно, а вместо заражения EXE записывает свою копию с расширением COM. В связи с этим, при лечении в протоколе Aidstest появятся сообщения о стертых COM-файлах. По вторым числам выводит "ASeXual Virus V0.99 - Your computer has been artificially Phucked!". Стирает "CHKLIST.*" и "ANTI-VIR.*". Tranzit-200 Заражает только COM, резидентный. В конце закодировано "-Tranzit-". Union-1449 Заражает только EXE. Поиск в текущем каталоге и PATH. После сентября 1994 по понедельникам в середине каждого четного часа выводит на экран Украинский и Российский флаги и текст "УКРАИНА И РОССИЯ ПОРОДНИЛИСЬ НАВСЕГДА". Iyau-570 Заражает только COM, резидентный. В 1995 году планируется в часы кратные 8 постоянно менять палитру VGA. Chaos-1241/1244 Заражает COM и EXE, резидентный. 13 сентября стирает диски и выводит текст "I see, I come, I conquer... Trojan horse-CHAOS v2.0 by Faust". EXE и COM различает по имени. Безнадежно портит сегментированные. ComeOut-3624 Заражает только EXE, резидентный. Заражает прежде всего поиском в текущем каталоге. Резидент оставляет в памяти экрана только при наличии адаптера EGA/VGA. Не активизируется при наличии файла C:\COME.OUT. Содержит заготовки для дальнейшего развития и глобальные идеи по взлому локальной сети. Сочетание глубины идей и не очень высокого класса программирования приводит к быстрому повисанию системы. ABBA-9849 Заражает COM и EXE, резидентный. В корневом каталоге пишет файл с именем ABBAл|01, а затем при каждой загрузке любой программы увеличивает число в конце имени на 1. Когда получается 59, на экран монохромного графического адаптера выводится портрет мужчины, похожего на китайца. Avl-352 Заражает только COM, резидентный. Частично невидим. По 13 числам портит вход в Print Screen и пытается что-то сделать с Memory Refresh. Ha-1456 Заражает COM и EXE, резидентный. Через каждые восемь дней включает по очереди либо взаимную замену при вводе с клавиатуры символов пробела и "!", либо после нажатия на Ctrl+Alt+Del на экране появляются большие буквы 'ha' из быстро меняющихся символов. Kak-678, -713 Заражает только COM, причем подкаталоги корневого на текущем диске. В конце текст "KAKASHKA v2.7 S. city , 1991" или "KAKASHKA v2.8 - S. city , 1991-92". Kak-911 Заражает только EXE, резидентный. Есть текст "KAKASHKA v3.21 - S. city , 1991-1992". Kak-928 Заражает только EXE, резидентный. Есть закодированный текст "KAKASHKA v3.3 - S. city, 1991-92". Trakia-1070 Заражает COM и EXE, резидентный. Заражает не только путем перехвата четырех DOS-функции, но и поиском в текущем каталоге EXE-файлов в момент запуска зараженной программы. При обнаружении в определенном месте файла значения 2219359359575480h меняет два байта близко от конца файла. Stranger-423 Заражает только COM, резидентный. Старается не активизироваться, если на машине установлен ADinf, но определяет его наличие довольно наивно. В начале видно "STRANGER 1.0". Sorry-353 Заражает только COM, резидентный. С элементом невидимости. В конце текст "Lipatov & Ivanov - mudaki oba. Sorry.". Kibina-398 Заражает только EXE, резидентный. Записывается в EXE Header, если там есть место, не меняя длины. 26 апреля все команды записи на диск пишут в начале сектора "Olya Kibina". Danny-872 Заражает только COM, резидентный. Если установлен год меньше 1992, блокирует работу системы. 17 октября при каждой загрузке программы выдает текст "Today is Danny's birthday! She is now NN years old.", правильно меняя возраст. ReedCat-916 Заражает COM и EXE. Поиск в текущем каталоге и по PATH. Есть закодированный текст "<< Камышовый Кот ХПИ 1992 >>". Forever-930 Заражает только EXE, резидентный. Работает только при DOS=HIGH. Не заражает Aidstest и ADinf. Есть закодированный текст "No WINDOWS, MS-DOS forever...". Forever-912 Заражает только EXE, резидентный. Работает только при DOS=HIGH. Не заражает Aidstest и ADinf. Видны тексты "AIDSTEST", "No WINDOWS, MS-DOS forever...", "Excuse Me, please...", "ADINF". Marlboro-2048 Заражает COM и EXE, резидентный. При первом запуске зараженной EXEпрограммы выдается сообщение "Program too big to fit in memory". Невидим за счет постоянного лечения-заражения. Содержит гордое послание: "The Marlboro virus Version 0.03(1.00) (C) Winston-Salem Inc. !Half-Stealth! Вы имеете честь познакомиться с первой тестовой версией вируса, выпущенной в свободное обращение. Реализовано около половины необходимых стелс-функций HANDLE-ориентированного ввода-вывода. Обещаю сохpанить стpуктуpу заголовка, по котоpому могут pаботать лечащие программы, ибо вся необходимая для лечения информация в них содержится организовано, но не проверено лечение файла при открытии через FCB, в связи с чем, надеюсь, ваша машина повиснет..." Green-839 Заражает только COM, резидентный. Очередной успех школы Хижняка. После 20 заражений в одном сеансе пытается нестандартно отформатировать нулевую дорожку всех дисков. В конце закодированный текст "Green Monster. I"m happy". Green-784 Заражает только COM, резидентный. Есть закодированный текст "Green Monster. I"m happy". Green-1036 Заражает COM и EXE. 3 июля пытается записать в BOOT диска A: код, который при загрузке будет выводить на экран "I (love) YOU GIRL IN GREEN!", причем, с сохранением старого содержимого в файле "A:\BOOT.SEC". Green-711 Заражает только COM, резидентный. Если удастся заразить в одном сеансе 20 файлов, пытается испортить дискеты. В конце текст "Green Monster. I"m happy" Cikl-765 Заражает COM и EXE, резидентный. В конце видно "MsDos", "COMMAND", "FMCIKLMOFR". Имеется пока незадействованная подпрограмма стирания CMOS. Goblin-1759 Заражает только EXE и MBR, резидентный. Активизируется только из Master Boot. Через несколько месяцев после заражения устраивает подрагивания экрана по вертикали. CC44-561 Заражает COM и EXE, резидентный. Стандартный. Sign-615 Заражает только COM. Поиск почти на всем текущем диске. В начале зараженных файлов видно "SIGN". Aman-10716 Заражает только EXE, резидентный. Видны слова "Аман Тулеев". При нажатии на клавишу Print Screen, а после 17.00 при завершении каждой программы выводит на экран изображение, особо любимое мастерами "настенной живописи". Yard-448 Заражает только COM, резидентный. При запуске любой программы стирает в текущем каталоге все файлы с расширением BAK. Видны тексты "Yardkeeper" "*.bak". Balashiha-271 Заражает только COM, резидентный. Представитель класса Midi. В конце "Balashiha-2". DOS_UP-3934 Заражает COM и EXE, резидентный. Зараженные файлы часто оказываются неработоспособными. Есть закодированные тексты "Злопастный Брандашмыг", "DOS-UP". Avalgasil-666 Заражает только EXE, резидентный. Скрывает изменение длины. В конце закодированный текст "(Avalgasil)666". Harlot-5632 Заражает COM и EXE, резидентный. Каждые 4 минуты выводит на экран одну из 100 острот, среди которых "Ой ! Звоните Лозинскому !!!", "Лозинского на мыло !!!", "Иди нафиг !!!", "TAMPAX - райское наслаждение". При не вполне понятных обстоятельствах выдает текст "Вирус HARDY HARLOT v1.06 by CRAZY Киев , КМУГА ФАРЭО 101 ,2.06.94 Исправлено: файлов - 13 Virus segment - 9A0h" и исполняет мелодию. Tune-544 Заражает только COM, резидентный. При нажатии Ctrl+Alt+Del исполняет мелодию, блокируя перезагрузку. Tune-663 Заражает только COM, резидентный. После запуска 33 программ сдвигает изображение на экране вниз и влево. ErasePT-512 Заражает только EXE. Поиск в текущем каталоге, его подкаталогах и корневом. В Master Boot записывает код, который через некоторое время может стереть Partition Table. Locust-711 Заражает только COM. Поиск в текущем каталоге и выше. Очень изобретателен в борьбе с собственной безграмотностью. Иногда выводит на консоль "<-LOCUST->". Locust-735 Заражает только COM, резидентный. С вероятностью 1/8 блокирует клавиши Escape, Enter, Space, и с вероятностью 1/32 вместо латинских букв A, E, O подставляет русские. Видно ".COM" и "Locust". Из-за безграмотного управления памятью практически занимает больше 64K. Click-291 Заражает только COM. Поиск в текущем каталоге. Есть текст "The Click". Пищит. Patch-2701 Заражает COM и EXE, резидентный. Отличается весьма старательно сделанным механизмом внедрения в DOS. Kvs-1942 Заражает COM и EXE, резидентный. 31 числа выводит на экран текст в рамке "Take Care of SoftWare ... KieViruSoft Data Product (c) 1994", после чего вешает систему. Автор, видимо, надеялся исполнить инициализацию диска. Есть текст "KieViruSoft (c) Ver1.0". NoFrills-843 Заражает COM и EXE, резидентный. Виден текст "+-No Frills 2.0 by Harry McBungus-+". NoFrills-813 Заражает COM и EXE, резидентный. В начале текст "+-No Frills by Harry McBungus-+". Er-291 Заражает только COM, резидентный. Зараженные файлы короче 291 вешают систему. WW34-2048 Заражает COM и EXE, а также MBR, резидентный. Содержит ряд ошибок, быстро приводящих к повисанию системы. Не исключено, что часть из них внесена чьей-то "модернизацией". Есть закодированный текст "(c) 93Virus Development Software". Globus-1742 Заражает только EXE, резидентный. Пишет в корневой каталог файл RECLAMA.TXT, содержащий рекламу: "Фиpма ГЛОБУС-ПЛЮС (г. Иваново) официальный дилеp АО АТЛАHТ-ИHФОРМ (г. Москва)". Не позавидую я тем, кто осмелится иметь дело с такой фирмой! Wreck-92, -462 Заражают только EXE, резидентные. Неизлечимые вирусы, размножаются очень быстро. Второй - с претензией на полиморфность. Alpha-2000 Заражает COM, EXE и SYS, резидентный. Невидимый. Иногда выводит текст "? оALPHA STRIKEп ? Advanced Tactical Viral Implant by NEUROBASHER'93 / Germany". Penetrator-491 Заражает только COM, резидентный. Задуман регулярный вывод текста "PENETRATOR V3.02 (COM) EA Cybernetic Empire (C) BY GOSHA.INC. 1994 Your PC now Infected !", но из-за ошибки его появление маловероятно. Ache-352 Заражает только EXE, резидентный. В конце видно "ACHE". Goddamn-302 Заражает только COM, поиск в текущем каталоге. Есть текст "Goddamn Butterflies". Hzp-512 Заражает только EXE, резидентный. Есть закодированные символы "ANVLDShzpfym01". Hell-1125 Заражает только COM. Поиск в текущем каталоге и корневом на C. После 15.12.94 портит все сектора первого твердого диска (XOR). При этом выводится сообщение "Formating cylindr #". Иногда выводит: "This is first version of virus Comes from HELL (CfH) Coming end of the world The time of the Eternal Dackness". AntiC-1000 Заражает COM и EXE. Ищет в текущем каталоге и COM, и EXE, но заражает их одинаково, в результате чего EXE становятся неработоспособными. Безнадежно портит файлы длинее 64Кб. Если обнаруживает в памяти VSAVE, выводит текст "И даже VSafe тебе не поможет...", но прекращает работу. Ищет и стирает файлы с расширениями ".MS", ".C", ".H". Если удается стереть 4 файла, выводит: "Ты на С не пиши!!! Это фигня!!! Я вот пишу на Paskalе!!!". В конце выводит "Слушай..." и исполняет мелодию. В конце "MsDos". Rock-409 Заражает только COM, резидентный. По пятницам с 11.00 до 11.20 устраивает горизонтальное дрожание изображения на экране. Rock-1076 Заражает только EXE. Поиск только в текущем каталоге, хотя уже есть в запасе константа "PATH=". Трясет экран по 20 секунд каждые 20 минут по четным числам с 10-го по 26-е, кроме декабря, субботы и воскресенья. Fantomas-432 Заражает только EXE, резидентный. В начале видно "FANTOMAS". Folks-618 Заражает только COM, резидентный. Ровно в 00.00, 3.00, 6.00, 9.00 переводит экран в режим 25x40 и выдает текст "THAT`S ALL, FOLKS !". В конце "MsDos". Tet-409 Заражает только COM. Поиск в текущем каталоге. В начале зараженных файлов видно "383". Ade-1024 Заражает только EXE. Поиск в текущем каталоге текущего диска и C. Может выводить текст "Job needed! Phone (095) 9430700 ADE". Saftan-1700 Заражает только COM, резидентный. Иногда должен выводить на экран текст "Hello, Losinsky!. I am First (creater's) Simple Virus. Hello. I am ~STan~ Virus. Please send me to Losinsky. I will wait long time until you press Some Key Kombination. Somebody knows this Key Combination. Please don't trace and disassembly my code.", а затем ждать ввода с клавиатуры слова "faust". Впрочем, мне не удалось добиться этого эффекта. Freedom-2560 Заражает COM и EXE, резидентный. Предусмотрена порча дисков при обнаружении слов "воен", "арми", "солдат". При этом во многие сектора будет записано "Закон о всеобщей воинской обязанности - ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека !". Впрочем, в попавшем ко мне экземпляре эта ветка закрыта изменением одного байта. Имеется закодированные тексты "F R E E D O M", "СВОБОДА * 1.00/1/18.9.1994", "ПОМНИТЕ - УНИЧТОЖИВ ЭТУ ПРОГРАММУ ИЛИ ЕЕ СОЗДАТЕЛЯ, ВЫ УНИЧТОЖИТЕ СЛЕДСТВИЕ, НО НЕ ПРИЧИНУ ...". Freedom-2448 Заражает COM и EXE, резидентный. Есть закодированные тексты "Закон о всеобщей воинской обязанности - ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека !", "F R E E D O M", "С В О Б О Д А * 1.45/2/01.02.1995". По некоторым признакам, запланировано в следующих версиях писать BOOT, который будет стирать информацию с твердых дисков. Pieck-2016 Заражает MBR и EXE, резидентный. Активизируется только при загрузке с зараженного MBR. Заражает EXE-файлы на дисках A и B, а на остальных лечит. Поскольку критерием зараженности считаются только популярные 62 секунды, это может привести к порче файлов. 3 марта выводит текст "Podaj haslo ?" и читает символы с клавиатуры. Если ввести "PIECK", ответит "Pozdrowienia dla wychowankow Pieck'a.", иначе "Blad !". DOOM-666 Заражает только EXE, резидентный. В конце текст: "DOOM2.EXE II signature Your version of DOOM2.EXE matches the illegal RAZOR release of DOOM2 Say bye-bye HD The programmer of DOOM II DEATH is in no way affiliated with ID software. ID software is in no way affiliated with DOOM II DEATH.". Int5-1024 Заражает только COM, резидентный. Резидент размещается в памяти многократно. Смело берет на себя INT 5, в связи с чем нажатие Print Screen намедленно вешает систему. Wizard-812 Заражает COM и EXE, резидентный. Портит дату файла. В конце видно "WIZARD". Wizard-897 Заражает COM и EXE, резидентный. В конце видно "WIZARD". Wizard-2502 Заражает только EXE, резидентный, невидимый. В конце "WIZARD". В 14.00 исполняет мелодию. Morgot-823 Заражает только EXE, резидентный. Портит дату файла. Видно "MORGOT". Morgot-841 Заражает только EXE, резидентный. В начале видно "-=MORGOT 2=-". Float-1300 Заражает только EXE, резидентный. С элементами невидимости и полиморфности. Obid-555 Заражает только COM. Поиск в текущем каталоге и корневом на C. Выводит тексты "V mene obid, poguljay", "Prijdesh zavtra ja vidpochivaju". Said-669 Заражает только COM по COMSPEC и поиском в текущем каталоге. 11-го и 23 -го числа пишет в BOOT программу, которая должна испортить три дорожки, а затем выводит текст "Andy Said:Zarin`iS dangerous!". HHHH-246 Заражает только COM, поиск в текущем каталоге. Портит некоторые заражаемые файлы. Ставит случайную дату файла. В конце текст "The MiNi-HHHH". Mudak-617 Заражает COM и EXE. Поиск в текущем каталоге. Есть закодированные тексты "[Zapadlo]", "Mudak software". Renegade-416 Заражает только EXE, резидентный. Весьма похож на Hobbit-416, и даже замещает его собой. Renegade-1176 Заражает только EXE, резидентный. Частично невидимый. Многие зараженные файлы становятся неработоспособными. По 11-м числам выводит текст "(C) Renegade 1994. Hello Hacker`s !!!". Escape-855 Заражает только COM, резидентный. Устраивает мелкие пакости с клавиатурой: засылка в буфер кода Escape, переключение регистров. Holiday-2900 Заражает COM и EXE, резидентный. 3 марта выводит на экран в рамке "ATTENTION! I'm very sorry, today is my holiday. So, I can't serve you, cause I want to play on your computers. DON'T TURN OFF YOUR COMPUTER UNTIL TOMORROW, OR YOUR DATA WILL BE LOST!!! I'll be back to serve you tomorrow. Thank You, AAA". Vojager-512 Заражает только EXE, резидентный. В конце видно "Vojager". Poruchik-2742 Заражает только EXE, резидентный. В конце виден текст "Поручик Лозинский, раздайте Aidstestы". Ash-712 Заражает только COM, поиск в текущем каталоге. Пытается оставить в памяти резидент, мешающий работать с COM-портами. HKs-2356/2612 Заражает COM и EXE, резидентный. 10 марта выводит текст "Don~t TRUST any virus scanner! -- HKs VTech --" и стирает содержимое первого твердого диска. Li-1413 Заражает только COM, резидентный. После запуска программы, имя которой кончается на LI.EXE делает какие-то попытки общения с Novell NetWare. Сам себя удаляет из памяти, если при буферизованном вводе набрать символы "kkyyzz". Mpc-32947 Заражает только EXE, поиск в текущем каталоге. Есть текст "[MPC] Dark Angel of PHALCON/SKISM [DemoEXE] for 40Hex". Phb-4461 Заражает только COM, поиск в текущем каталоге и его содержащих. В начале работы заполняет экран довольно абстрактным изабражением со словами PATTY'S BOOBS, а в конце выводит текст "Thank you for viewing Patty Hoffman's Boobs!". Locks-521 Заражает только COM, поиск в текущем и корневом каталоге. При успешном заражении мигает лампочками Num Lock, Caps Lock, Scroll Lock. Pixel-739 Заражает только COM, поиск в текущем каталоге. Pixel-846 Заражает только COM. Часто выводит текст "Program sick error:Call doctor or buy PIXEL for cure description". Pixel-851 Заражает только COM. Выводит текст (в болгарской кодировке) "Съд за Владко и неговия татко ! Ние всички сме за преустройство !". Pixel-1268 Заражает только COM. Кроме текущего, поиск в корневом и \DOS. Выводит "ENTER THE PASSWORD:" и, если не ответить "Ken Sent Me", прерывает программу, сообщив "YOU HAVE ENTERED THE WRONG PASSWORD!!". Spring-1555 Заражает COM и EXE, резидентный. Для EXE-файлов образует теневой COM-файл с атрибутами Read Only и Hidden, который должен запускать исходный EXE, но не делает этого. Портит файлы "CHKLIST.*" и "ANTIVIR.DAT". По 9-м числам выводит текст "OЯЯspring Virus V0.89", и затем циклится на писке и распечатке экрана. Zero-372 Заражает только COM, резидентный. Есть текст "Swedish Warrior v1.0 by Lord Zer0.". Zero-682 Заражает только EXE. Поиск по всем каталогам текущего диска. Видны тексты "*.*", "*.EXE", "-Zero-". Split-250 Заражает только COM. Поиск в текущем каталоге. По первым числам стирает файлы "*.D*". В конце текст "SPLIT". Gotcha-605 Заражает только COM, резидентный. Класса Midi. В конце видно "GOTCHA!". Acid-670 Заражает COM и EXE, резидентный. По понедельникам портит случайные сектора диска C. Портит EXE-файлы длинее 64K. Виден текст "[Binary Acid] (c) 1994 Evil Avatar". Ratboy-545 Заражает только COM. Поиск в текущем каталоге. По воскресеньям после 15-го пишет во все сектора дисков "RaTBoY WaS HeRe!!! My Vx, Invircible Killer". Портит некоторые файлы. Spruce-976 Заражает COM и EXE, резидентный. Содержит наряду с глубокими, но не вполне понятными идеями ряд ошибок. В частности, многократно оставляет в памяти резидент и вместо задуманной мелодии "В лесу родилась елочка" издает лишь один писк. Stone-1500 Заражает только EXE, резидентный. Заражал бы и COM, если бы не ошибка. Невидим. Иногда выводит текст "Will see you next time . Stone 93". Есть закодированный текст "Prohibit MARYJUANA .". Musca-892 Заражает только EXE, резидентный. После 23 октября при быстрых перемещениях "мышки" выводит на экран "NU MAI MUSKA MOUSE-il CA A LOVESTI PESTE COAIE". Babitch-645 Заражает только COM. Поиск в текущем каталоге. Старается стереть со всех дисков таблицы ADinf. В конце текст "*** (V) Sergey Babitch - 2:463/83@FidoNet - phone (044) 4420831 ***". Xyz-1561 Заражает COM и EXE, резидентный. Неграмотная попытка реализовать невидимость может приводить к тяжелым последствиям. По пятницам демонстрирует свой интеллект. Крупными буквами. Future-3000 Заражает COM и EXE, резидентный. Есть закодированный текст "Terminator Model 1.2 *Future Virus*". Future-3180 Заражает COM и EXE, резидентный. У меня создалось впечатление, что автор собирался сделать этот вирус невидимым. Есть закодированный текст "Terminator Model 1.3 *Future Virus*". Apparition-700 Заражает только COM, резидентный. Резидент размещает в экранной памяти. Для защиты от порчи просто блокирует смену режима. В начале зараженных файлов есть текст "THE APPARITION". Cpw-1457 Заражает COM и EXE, резидентный. Есть тексты "Este programa fue hecho en Chile en 1992 por CPW. ", "C:\COMMAND.COM", "Feliz cumpleaдos CPW!$". Иногда "вводит с клавиатуры" текст " You are here CPW!". Cpw-1527 Заражает COM и EXE, резидентный. 11 сентября, 30 декабря и 29 мая стирает файлы. Старается стирать с диска файлы из списка GUARD guard CPAV SCAN CHKVIRUS CLEAN TOOLKIT VSAFE CHKLIST.CPS. Есть закодированный текст "CPW fue hecho en Chile en 1992, нVIVA CHILE MIERDA!.". Mickie-1100 Заражает COM и EXE, резидентный. В конце закодированный текст "Mickie lives... somewhere in time! (c) 1995 Grave Lion". 7proc-718 Заражает COM и EXE, резидентный. Часто стирает корневой каталог и содержимое CMOS, причем выдает текст "The root directory of the current drive has been destroyed by the 7% Solution 3.0 virus!". Zeta-2536 Заражает только COM. Поиск по всем каталогам, но заражает, если не ошибаюсь, только в самом "далеком". После 22.45 перезагружает систему. Иногда на экране мелькает "физиономия". Есть закодированный текст "Live! From Zeta Reticuli..._Attack of the Reptoids_Starring Earl Gray as *The Lizard's Assistant* Swamp-1394 Заражает COM и EXE, резидентный. В начале видно "(C)Copyright by Swamp software 1993". Заражает файлы только, если в них происходила запись. Magelan-606 Заражает только EXE, резидентный. В конце закодированное слово "Magelan". WildFire-2222 Заражает COM и EXE, резидентный. Может стереть информацию на диске. Замедляет работу. В конце слово "WildFire". CursOff-934 Заражает только COM, резидентный. Постоянно гасит курсор на экране. Gloomy-2725 Заражает COM и EXE, резидентный. При каждом шестнадцатом запуске программы портит случайный сектор. Стирает файлы "*.MS" и "*.?AS". Заменяет MBR на программу, которая после 511 загрузок форматирует диск. Есть тексты "Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!" и "Only the Hope dies last!". Gloomy-3500 Заражает COM, EXE и MBR, резидентный. Невидимый. Есть закодированные тексты "Dreary Nutcracker(AB6)" и "Любовь Н.". 12 января старается полностью стереть первый твердый диск, считая это, вероятно, подвигом во имя любви. Mds-331 Заражает только COM, резидентный. Портит дату. Задуман, чтобы стирать какую-то программу длиной 365504. К конце видно "MDS93". Viking-1000 Заражает COM и EXE, резидентный. Не заражает "-V*.*", "AI*.*", "AD*.*", "??M*.*". Есть тексты "Crypted Here>", "ViKing-Mixtura, CopyLeft (L) 1993 by ViKing. ViKing is The Real King of Viruses' Kingdom.". Viking-59 Заражает только COM, резидентный. Был изготовлен еще в марте 95. Автор скрывается под псевдонимом. LittleCat-2898 Заражает COM и EXE, резидентный. 29 декабря забивает 960 секторов диска C: словами "Little Cat" и выводит текст "Happy New Year! I am the Little Cat 1.5 - your best friend!". EM-1303 Заражает только EXE. При запуске зараженных EXE-файлов записывает файл C:\EM.COM с телом вируса, а в AUTOEXEC.BAT после первой строки PATH записывает строку EM. EM.COM ищет и заражает EXE -файлы в подкаталогах C:\. По 28-м числам запланировано, если не ошибаюсь, заменять пробелом первый символ всех имен файлов. Jolter-2197 Заражает COM и EXE, резидентный. Невидимый. Иногда устраивает горизонтальное дрожание экрана. Есть закодированные тексты "COMMAND.COM", "COMMAND", "EXECOM*.COM", "*.EXE", "IBMJOLTER 4.0". Favour-2608 Заражает COM, EXE и SYS, резидентный. После 8 июля 1995 года в некоторых EXE-файлах будет менять "MZ" на пробелы. Иногда гасит экран VGA. Есть слово "FAVOUR". Favour-2576 Заражает COM и EXE, резидентный. После июля 1995 портит первые 4 байта многих файлов. Dinky-80, -126, -128, -132 Еще одна группа Mini. Заражают только COM, резидентные. Danish-163 Заражает только COM, поиск в текущем каталоге. MeiHua-1786 Заражает COM и EXE, резидентный. Сам себя считает антивирусом (класса вакцин), о чем гордо сообщает: "AntiVirus If your software has been inflected by other viruses, run your software, then the virus will be cleaned ! THANK YOU! --Mr. MeiHua--". Kennedy-333 Заражает только COM. Поиск в текущем каталоге. 6 июня, 18 и 22 ноября выводит текст "Kennedy er dЫd - lСnge leve "The Dead Kennedys" Urod-663, -773 Заражает только EXE. Поиск в текущем каталоге. Оставляют в памяти экранного адаптера резидент, который стирает все открываемые файлы и выводит на экран текст "Губатый лабоpант-уpод" (663) или "С новым годом !!!" (773). Last72-814 Заражает только EXE, резидентный. Ищет в последних 72 байтах всех заражаемых файлов последовательность F0FDC5AAFFF0, чтобы следующие 2 байта поставить вместо FFF0. А зачем? Troitsk-1058 Заражает COM и EXE, резидентный. В конце текст "Aidstest Fucker. Copyright (c) by Troitsk Hackers Club$". Слабовато для хакеров... Lobotomy-821 Заражает только COM. Поиск в текущем каталоге. Часто выводит тексты: 4 раза "Летний дождик напугал...", 10 раз "Лаа-бата-мия..." и "*** LOBOTOMYя v1.1beta (c)1995 MSfVC *** +: ***" Lobotomy-966 Заражает только COM. Поиск в текущем каталоге. Иногда выводит текст "RESET your machine and soon, you`ll know, that I`m the Natural_Born_Killer ... v1.1 (c)95_MSfVC Bye ..." и пытается установить "LOBOTOMY" в качестве CMOS пароля. Dog-252 Заражает только COM. Есть текст "< SVINOLOBOVA SYKA >". Koko-1780 Заражает COM и EXE, резидентный. 15 февраля и 29 июля выводит текст "Stop Keyboard Clicking KoKo is Sleeping in Your PC. ! To Scan & Clean Call, Adham Hammam Fax & Phone (20) 066 - 261841". 15 февраля кроме того портит MBR - меняет местами четные и нечетные байты. Clocking-737 Заражает COM и EXE, резидентный. После 10 часов непрерывной работы сбивает развертку EGA/VGA адаптера (посылает 0C01 в порт 3C4). Xtac-1564 Заражает COM и EXE, резидентный. После 24 числа каждого месяца стирает файлы с типом не из следующего списка: COM, EXE, SYS, BAT, OBJ, OVR, OVL, INI, CFG, TPU, HLP, TPL, BGI, CHR. В конце текст "good news! you have justbeen smitten by XTAC - lyndon siao, usc-tc". Chklist-1360 Заражает только EXE, резидентный. Стирает CHKLIST.TAV. Задумано было стирать также ANTI-VIR.DAT и еще два файла, но их имена в дошедшем до меня экземпляре уже забиты стеком. X13-1024 Заражает только EXE, резидентный. По 13-м числам портит последний байт MBR и ставит дату 25.12.1994. X13V-1024 Заражает только EXE, резидентный. Вариант X13. Пишет себя в память экрана, но безо всяких предосторожностей, что быстро приводит к повисанию системы. Youth-580 Заражает только COM, резидентный. При всех операциях Write меняет местами последние два байта. В конце текст "Demoralized Youth". Bailey-334 Заражает только EXE, поиск в текущем каталоге. В конце текст "Demo- Exe Virus Admiral Bailey [YAM]". Equus-480 Заражает только COM, резидентный. При исполнении операции смены текущего каталога иногда вносит путаницу. Есть текст "* Equus Trojanus v1.1 (C) AREOPAG No.15 *". ZzTop-340 Заражает только COM, резидентный. В конец всех "*.C" и "*.CPP" пишет строку "ZZ TOP". DiskOff-542, -558 Заражает только COM. Помесь Хижняка и Vienna с добавлением устаревшего приема против резидентных сторожей. Может запрещать текущий диск (только в MS DOS не ниже 5.0). Evil-1710 Заражает COM и EXE, резидентный. Во второй половине года в 11 и 16 часов портит на нулевой дорожке первого твердого диска сектора 15, 16, 17, что, впрочем, редко бывает опасным. Есть тексты "** (C) The Evil Spirit ** Gabrovo city, Bulgaria. Last_change : 28.05.1993 " "COMMAND.COM", "F-PROT", "F-TEST", "VIR", "DIR2CLR", "IMV", "ANTI", "DOCTOR", "SCAN", "CLEAN", "IVC", "CHKDSK". Singapore-534 Заражает только COM. Поиск во всех каталогах текущего диска. Poro-1257 Заражает COM и EXE, резидентный. При записи на диск старается комбинации символов "Bori', "BORI", "Бори", "БОРИ" заменить соответственно на "Poro", "PORO", "Поро", "ПОРО". С 15 по 25 сентября выдает текст "С Днем рождения, Аллочка ! Наилучшие пожелания твоему Hard Disk'у !". Есть закодированный текст "Turbo Bugger (C) 1994 Dedicated to Alla R. Borisyuk ( МЕХ-МАТЬ 307 )" Cheboksary-1024 Заражает COM и EXE, резидентный. Дописывается в конец всех EXE-файлов короче 64500, но полноценно заражает только те, у которых CS=IP=0. Блокирует на клавиатуре Caps Lock и левый Shift. Есть закодированный текст "Cheboksary-90". Aga-1500 Заражает только COM. Поиск в текущем каталоге и "\command.com". По 13 числам сообщает "WARNING! Today is the 13th !", а, если при этом пятница, дописывает в начало "\autoexec.bat" пару операторов ECHO, с текстами "Hey,suckers! Hold on,your data's gone too far!", "MONGOLIA,UB.". Может также выдать текст "WARNING!!! Your MS-Windows 3.1 you are working with is not licensed! In the light of it,we are entitled to aver that we will activate a protective application against your unauthorised access...". Есть текст "AGA Media(C),94". Sword-784 Заражает COM и EXE, резидентный. В конце текст "The POWER of my SWORD!!!$". MIPhT-460 Заражает только COM, резидентный. Видны тексты "<<< To serve and protect. >>>", "MIPhT 25.11.94.". MIPhT-905 Заражает только COM, резидентный. Видны тексты "<=Ё To serve and protect. Ё=>", "<Ё MIPhT 15.09.95. Ё>". Иногда устраивает мелкие фокусы на экране. Othello-681 Заражает только COM, резидентный. 19 числа может вывести на экран стих: Меня,я знаю,ты любила, Его,навеpное,хотела, Раздвинуть ноги поспешила, Кому тепеpь какое дело? и испортить первый твердый диск. Sily-745 Заражает только EXE, резидентный. После 31 августа постоянно мигает индикаторами клавиатуры и выводит в первой строке экрана "-== Hi! Everybody! This is nice and sily virus for you ==-". Maximum-1198 Заражает только COM. Поиск в текущем каталоге и по PATH, но не всегда успешно. Иногда выводит текст "Radio MAXIMUM virus ver.1.0 beta (c) 1995 D&M Software. So... tell me, what is the frequency of Radio MAXIMUM?". Если ответить "103.7", собщает "Right! Radio MAXIMUM - BEST Radio..." и пытается вылечить исполняемую программу. Иначе после сообщения "Error! Now restarting..." перезагружает систему. Ambulance-796 Заражает только COM. Классический вирус с бегающей по экрану "скорой помощью". AntiFortran-1110 Заражает COM и EXE, резидентный. Если запущена программа из каталога "F77", стирает ее, а в понедельник кроме того дописывает в конец файла "C:\AUTOEXEC.BAT" строку @ECHO Y | FORMAT D: По вторникам меняет параметры первого таймера, что должно замедлить процессор. Есть закодированный текст "ANTI FORTRAN OF OVER-X". AntiFortran-2660 Заражает COM и EXE, резидентный. Иногда переименовывает EXE-файлы, имя которых начинается на "FO", подставляя вместо 'X' русскую букву 'х', В феврале и октябре выводит на экран картинку со словами "FORTRAN MUST DIE", исполняя звуковые и оптические эффекты. Есть закодированный текст "[-DEDiCA+ED-+0-MARKiZ-]". VLamix-1090 Заражает только EXE, резидентный. Часто вместо заражения безнадежно портит файлы. Стирает файлы "smartc*.cps" и "chklist.*". Есть закодированные тексты "- =*@DIE_LAMER@*=-", "VLamiX-1". CMOSKiller-807 Заражает COM и EXE, резидентный. Довольно сложно меняет три параметра в CMOS, забывая о контрольной сумме. EXE заражает многократно и бессмысленно, поскольку из него не способен активизироваться. Solar-512 Заражает только EXE, резидентный. Эмулирует защиту записи на втором дискетнике. В конце текст: "Bring your FDD drive... to the slaughter" (C) Solar Wind fault!Function not Solar-100, -102, -122 Заражает только EXE, резидентный. Кажется, пока рекордные в этом классе. MMCA-505 Заражает COM и EXE, резидентный. Для перехвата функций DOS применяет довольно рискованный метод. В конце видно "ММСА_КПИ". Farside-3006 Заражает COM и EXE, резидентный. Удивительно тяжеловесный стиль программирования. 6 апреля зараженные программы не исполняются. Регулярно выводится текст "For cryin'out loud! My circuits are haunted by the ghost of a porcupine. . .". Есть также закодированный текст "FARSIDE virus 1.00 (C) Windom Earle ROMANIA". MH_MH-1163 Заражает COM и EXE, резидентный. В 12 часов издает 5 писков. В конце закодированный текст "byMH&MHsoftware". Chek-282 Заражает только COM, резидентный. Есть символы "CheK1". AntiLoz-6294 Заражает COM и EXE, резидентный. К сожалению надежное лечение файлов невозможно, поэтому все зараженные файлы предлагается стереть. Есть тексты "AntiAidstest. (C)Copyright Kovalevsky & company. AntiLozinsky. AntiLozinsky. AntiLozinsky.", "Лозинский-ЧМО!", "У И Н Д О У З-ДУРА. (C) Copyright Kovalevsky & Co, MSU PhisDept. Happy birthday to us.". Day14-789 Заражает только EXE. Поиск по PATH. По 14-м числам нечетных месяцев стирает CMOS и MBR. AntiZIP-1008 Заражает только EXE, резидентный. Стирает все "*.ZIP". Jump-833 Заражает только COM, резидентный. В конце виден текст "Jump 4 Joy, alpha-release. Not to be distributed!". Phalcon-894 Заражает только COM. Поиск по всем каталогам текущего диска. В марте намерен портить диски. По понедельникам творит нечто невообразимое с системными часами - вызывает функцию со случайными параметрами. Zz-412 Заражает только EXE, резидентный. В конце символы "ZZ". Lost-596 Заражает только COM. Поиск в текущем каталоге. В конце видно "* LOST *". Katya-732 Заражает только COM. Поиск в текущем каталоге и выше. Много ошибок, быстро вешает систему. 24 декабря выводит на экран "С днем рождения, КАТЯ". Последнее слово крупными буквами из сердечек. BlackMonday-1055 Заражает COM и EXE, резидентный. Часто портит первый твердый диск. Есть текст "Black Monday 2/3/90 KV KL MAL". Bishkek-559 Заражает только COM. Поиск в текущем каталоге и через PATH. Последнее реализовано своеобразно, но часто работает. Есть текст "Bishkek software *.* My rights reserved 23.08.1994". Bishkek-319 Заражает только COM. Поиск в текущем каталоге. По 31-м числам стирает MBR, а по 22-м выводит текст "Scorpions by Sch(5) in Bishkek". Arj-1997 Заражает COM и EXE, резидентный. Первым делом заражает C:\COMMAND.COM и то, что указано в COMSPEC. Остальные файлы заражает перед OPEN и лечит после CLOSE только при исполнении ARJ.EXE, RAR.EXE или AIN.EXE. В результате зараженные файлы оказываются только в архивах. Перед стартом ADinf старается вылечить COMMAND.COM. Shirley-4096 Заражает только EXE, резидентный. Очень часто вешает систему. В начале текст "IWANTSHIRLEY". Debilas-2000 Заражает COM и EXE, резидентный. 22 сентября стирает первые 128 секторов на всех дисках, если BIOS имеет дату не 03/09/94. Затем выводит на экран тексты " -=DMS=- ", "Fuck you b.tAMULYNAS and to your crack of Print_Screen", "Buvai DEBILAS , esi DEBILAS ir busi DEBILAS !!!", "Copy right Antanas Vidziunas ,VDU, 1996." и начинает завывать. Baba-356 Заражает только COM, резидентный. Класса Midi. Не заражает COMMAND.COM. Virgin-281 Заражает только COM. Видны тексты "COMMAND*.com", "VirVirgin". Inferno-781 Заражает только COM, резидентный. Из-за игр с системным таймером может вешать систему. Есть закодированный текст "NAME OF THIS VIRUS IS "INFERNO" NEXT VERSION WILL BE BETTER...". Dict-269 Заражает только EXE, резидентный. В конце текст "DICTEXE (C) EA inc.". Noki-448 Заражает только EXE, резидентный. Заражает очень немногие EXE-файлы. Не меняет длины. 17-го числа нечетного месяца портит MBR. Есть символы "NOKI". Gregory-406 Заражает только EXE, резидентный. Записывается в EXE Header, не меняя длины. Виден текст "<* Григорий Б.С. C-2.3 *>". Andrey-932 Заражает только COM, резидентный. Иногда выводит на экран "Hallo! From Andrey!". Svetlana-1110, -2060, -3410, -4734 Заражает COM и EXE, резидентный. Плагиат из SVC. Все версии в конце имеют текст "Svetlana v. 1.0" (1.1, 1.2, 1.3). Со второй версии вставлена шутка с вращением текста на экране. С третьей вставлено противодействие трассировке, а в четвертой - невидимость. Четвертая иногда может выводить текст "Welcome to demo version antisv.exe Волков - ДУБ, antisv - ГОРБУХА The evil, that I do, live on and on and on... Svetlana." - также краденый из разных источников. SwapFile-5000 Заражает COM и EXE, резидентный. Невидимый. Мешает работать с PAS- и CPP-файлами. Иногда может выводить текст "Swap file creation error at 0FAD:2DEC." В январе изображает на экране снегопад с текстом "Happy New Year ! Ghost 1.0 is terminating it`s work now. Please wait... Write down this number : 0000000000 and pray for your data rescue..". При этом возможна порча диска. В конце закодированный текст "I feel so tired. The way the rain comes down how it`s how I feel inside. I`ve been living so long with my pictures of you Remembering you standing quiet in the rain There is nothing in the world that I ever wanted more than to never feel breaking apart all my programs again. The spiderman is always hungry". Krasikov-264 Заражает только COM. По 6-м числам после полудня выводит текст "Destructor, Copyright (C) 1992 by Krasikov" и завершает программу. Crusade-3072 Заражает COM, EXE и MBR на жестком диске, резидентный. Невидимый. Есть закодированный текст "Take care of soft war or Last Crusade.". После 5 часов работы выводит на экран в рамке "LIVE `N` LET LIVE!". KPI-879 Заражает COM и EXE, резидентный. Оставляет в памяти по экземпляру при каждом запуске зараженной программы. В конце закодировано "ММСА_КПИ". Mipt-602 Заражает только COM, резидентный. Зачем-то блокирует открытие файлов с именами "logo.pic", "heretic.wad", "e", "kb2.dat". В конце текст "MIPT(75),1995(C),TERMINATOR". Gluck-761 Заражает только COM, резидентный. Стирает "chklist.ms". В течение часа после полуночи выводит на экран текст "You iave a ?GLUCK?!!!" и устраивает дрожание экрана. Блокирует запуск программы DRWEB, выводя при этом текст "Error reading fat!". Kavaklar-743 Заражает COM и EXE, резидентный. Скрывает изменение длины. Есть закодированный текст "Kavaklar v2.05 (c)Unterleutnant". Naive-1647 Заражает только EXE, резидентный. Предполагалось иногда при нажатии Ctrl+Alt+Del выводить на экран послание в стиле "сатанизма". BitAddict-512 Заражает только COM, резидентный. Два варианта. Оба после 100 запусков зараженной программы стараются стереть диск C (к счастью, это не всегда срабатывает). Первый перед этим выводит текст "Bit Addict says: "You have a good taste for hard disks, it was delicious!". Второй содержит закодированный текст "Bit Addict". BitAddict-979, -1190, -1459, -1601 Заражают COM и EXE, резидентные. Версии 1459 и 1601 могут стереть все содержимое диска "C". Все, кроме 1459 содержат в разных вариациях строку "Bit Addict". 979 и 1190 заражают COM-файлы многократно. Funky-692 Заражает только COM, резидентный. Перед перезагрузкой по Ctrl+Alt+Del трижды исполняет нечто вроде трели. Saratov-1790 Заражает COM и EXE, резидентный. Портит CHKLIST.MS. Не заражает файлы, имя которых начинается на COM, DRW, AID и т.д., а также, если обнаруживает на экране слово "Web". Иногда выводит на экран тексты "Thanks for using Saratov software." или "The File Corrector v2.0. Made in Saratov. Serial #". Hamme-1203 Заражает COM и EXE, резидентный. В январе иногда выводит текст "Forget it, I'm lazy today!" и не исполняет программу. HDZZ-566 Заражает только COM, резидентный. Первого августа может испортить нулевую дорожку на первом твердом диске. Bones 7-го числа стирает нулевую дорожку текущего диска и всю информацию с первого твердого. Leonid-974 Заражает только EXE, резидентный. По воскресеньям выводит текст: "10 нoябpя 1982 гoдa пepecтaлo битьcя cepдцe Гeнepaльнoгo Cekpетapя ЦK KПCC, Гepoя Coциaлиcтичeckого Tpyдa, чeтыpeжды Гepoя Coвeтckoгo Coюзa Лeoнидa Ильичa Бpeжнeвa ...". Pantera-400 Заражает только COM, резидентный. В начале видно "Pantera". Keyb-667, -756, -873 Заражает только COM, резидентный. Все 17-го числа замещают c:\dos\keyb.com разными пакостными программами. Первый портящую в CMOS параметры дисков. Второй ту же или стирающую 1911 секторов диска C: и выдающую после этого текст "777h sectors trashed. Repair!". KEYB.COM третьего правит MBR, в результате чего тот в апреле может стереть весь диск. Кроме того 873 перезагружает систему при нажатии на Ctrl+Del и Alt+Del. Beavis-657 Заражает только EXE, резидентный. Активизируется только при наличии UMB. Часто выводит один из текстов: "FIRE FIRE FIRE!", "Hey butthead this sucks change the channel!", "Shut up butthead or I'll kick your ass!", "We're there dude.", "The Beavis virus kicks ass!". Mavrodi-687 Заражает только COM, резидентный. Иногда выводит текст "Принцип взаимного доверия выше взаимных обязательств. С. Мавроди.". Kalinka-2920/3179 Заражает COM и EXE, резидентный. Портит файлы "DISKDATA.DTL", "VIRUSES.INF", "A-DINF-+.+++", "DIRINFO", "-V.MSG", записывая в них текст "Калинкамалинка-малинка-малинка моя !". Иногда исполняет мелодию и выводит на экран тот же текст. Заметно родство с семейством Beer. AntiGUS-1570 Заражает только EXE, резидентный. 24 июля при каждом запуске программы выводит текст "Happy birthday to me! :-)". Каждую секунду пишет в порты 302-303-304, 312-313-314,... Зачем - не знаю. Fighter-619 Заражает только COM, резидентный. Есть слегка закодированный текст "SHD Fighter9". Fistik-1280/1536 Заражает COM и EXE, резидентный. Если в одном сеансе удается заразить 5 файлов, при загрузке каждой программы выводит текст "DБnyalar TatlНsН Sevgilime 3.14 Seni Аok Seviyor FISTIK.". Andrew-634 Заражает COM и EXE, резидентный. 21 мая пишет в BOOT текущего диска текст "Happy birthday to Andrew !". Andromeda-1536 Заражает COM и EXE, резидентный. По пятым числам месяца после 4000 нажатий на клавиши перегружает систему. Видно "ANDROMEDA V3.2" и "HUNGARY". OS-840 Заражает только COM, резидентный. 5 января стирает MBR и постоянно выводит на экран вертикальные серые полосы и надпись на красном фоне "Virus BARROTES por OSoft". AmazonQueen-468, -479, -500 Заражает COM и EXE, резидентный. Могут выдавать текст "Amazon Queen...v1.0" (либо v1.1, v2.0). Есть еще тексты "LoRD Zer0", "WHY?". Avalanche-2818 Заражает COM и EXE, резидентный. Невидимый. Старается стереть программы, имя которых начинается на "F-PR", "TBAV", "SCAN", "MSAV", "CPAV", "TBME", "TBFI", "TBSC", "VIRS", "TBDR". Есть закодированный текст "AVALANCHE/Germany '94...Metal Junkie greets Neurobasher". Bobas-754 Заражает только EXE, резидентный. Начиная с 25 числа месяца после 25000 прерываний от клавиатуры (нажатий и отпусканий клавиш) начинает выводить в верху экрана "VIRUS :BOBAS v1.1". Bobo-1355 Заражает только COM, резидентный. 24 августа выводит текст "Welcome to Bobo virus ! Written in the town of Zagreb. Copyright (C) by Boris P., September 1992 Love goes to Ivana H.". и стирает Master Boot. Иногда при нажимании Ctrl+Alt+Del выводит на экран "I'll be back ...". Пропускает многие вводимые символы. Bugger-427 Заражает только EXE, резидентный. В памяти размещается только в UMB, а в файле в EXE Header. Довольно оригинально усложняет трассировку. Dracula-1370 Заражает только EXE, резидентный. С большой вероятностью стирает 13 первых цилиндров первого диска, после чего выводит текст "It's a pleasure for me to be so harmful. See you later, Count DRACULA.". Tie-710 Заражает только COM, резидентный. Есть закодированный текст "TIE Fighter". Coito-644 Заражает COM и EXE, резидентный. Есть закодированный текст "-= COITO, ERGO SUM =-By Green Leon 1993.". Core-1024 Заражает только EXE, резидентный. Много шансов на частое повисание системы. Есть закодированный текст "Work Area stopHello this is the core Rev 3 26/4/91 P 0.98c". WG-728 Заражает только EXE, резидентный. Портит в среднем 1 из 256 записываемых на диск блоков, инвертируя в нем биты. Есть закодированные тексты "WG02" и "AIADWEVDVSMSHI". Последний - список начал имен не заражаемых программ. MadMax-507 Заражает только COM, резидентный. Школа Хижняка. В конце текст "MadMax$". LameV-207 Заражает только COM. Поиск в текущем и выше. Вешает систему. Заражает многократно. В конце текст "Devastator/PHOBIA Lame virus #3". LameV-435 Заражает только COM. Поиск в текущем каталоге. В конце закодированный текст "Devastator Lame Virus #9Look, we are being encrypted, yes? A big improvement, but silly ". LameV-538 Заражает только COM. Поиск в текущем каталоге. В конце текст "Devastator Lame Virus #8We are very simple, no? But we do work, and we do not corrupt the program we infect, and that is good, yes? It is also all 100% original code, that has not been ripped off from anywhere, like so many so called virus "writers" that seem to appear everywhere with their silly VCL and MPC generated works of "art". Istanbul-1349 Заражает COM и EXE, резидентный. Пытается работать как "вакцина" - при заражении другим вирусом удаляет себя вместе с ним, но при этом EXE-файлы портит. Запланировано лечить все файлы 21 декабря 2000 года. Есть текст "Anti-Virus?? Written in the city of Istanbul (c)1993". Istanbul-1312 Заражает COM и EXE, резидентный. 21 декабря 2000 года намерен лечить все зараженные файлы, но с ошибкой. Есть тексты "Written in the city of Istanbul (c)1993" и "Installed". MzExe-384 Заражает только EXE, резидентный. Невидимый, не меняет длину. Есть тексты "MzExe", "Copyright (c) 1992 by Андрюшка". DVA-445 Заражает только COM. Поиск в текущем каталоге. Есть тексты "DVA желает вам хороших сновидений....", "Completed!!!- Осторожно у вас в файле код Вируса FSFirst!!!Бойтесь меня". Badless-494 Заражает только COM. Поиск в текущем каталоге. Портит все EXE-файлы с расширением COM, записывая в их начало код, выводящий текст "Only in God we trust...". Есть также текст "Badless 1992". Microb-431 Заражает только COM, резидентный. Все зараженные файлы получают дату 05.12.95 и время 17:57. 13-го числа выводит текст "MICROB I" и стирает первый твердый диск. 4 марта и 7 ноября стирает диски. Gosha-1831 Заражает COM и EXE, резидентный. Виден текст "GOSHA". Из-за особого метода заражения программ с длинами 54619, 52925, 47845 (разные версии COMMAND.COM), они могут после лечения стать неработоспособными. Burglar-1150 Заражает только EXE, резидентный. Не заражает файл, если в его имени есть символы "V" или "S", либо первые два символа имеются в списке "CLHWTBFWCTK". В 14-ю минуту часа выводит на экран "Burglar/H". В начале есть текст "AT THE GRAVE OF GRANDMA...". AOB-802 Заражает только EXE, резидентный. По воскресеньям блокирует работу с принтером, а 10 мая - с последовательными портами. 25 ноября стирает все запускаемые программы. По седьмым числам часто перезагружает систему. Есть текст "AOB 3". Sterculius-273 Заражает только COM, резидентный. В начале виден текст "STERCULIUS". Sterculius-428 Заражает COM и EXE, резидентный. Elaine-1127 Заражает COM и EXE, резидентный. С вероятностью 1/256 инвертирует первый байт записываемых на диск блоков. В начале текст "Elaine 1.0 28 May 1994". Jester-700 Заражает только COM. Поиск в текущем и корневом каталоге. В начале зараженных файлов видно "Jester-2_0". Roll-600 Заражает только COM, резидентный. Блокирует перезагрузку по Ctrl+Alt+Del, вращая при этом содержимое экрана вверх. Victor-749 Заражает только COM. Поиск в текущем каталоге и всех выше. 28 февраля выводит текст "Happy birthday VICTOR!!!". Есть текст "Hello Victor&Igor!!!Victor`s Virus For Igor&ALL!!! Warning!Super Virus!!! Hello!!HI!!!!ALL OK!!!DON'T WORRY". Fumble-867 Заражает только COM. Поиск в текущем каталоге. Оставляет в памяти резидент, который при вводе с клавиатуры заменяет символы, чаще всего на соседний справа. Als-335 Заражает только COM. Поиск в текущем каталоге. По понедельникам стирает 200 секторов диска C, после чего был задуман вывод текста "PC infected by KPOBOCOC 1.0 ViRUS. (C) by A.L.S.". Als-814 Заражает COM и EXE. Поиск в текущем каталоге и выше. В закодированном теле есть текст "XA-XA 4.0 A.L.S.". Helga-666 Заражает только COM. Заражает в текущем каталоге и COMSPEC. Портит файлы "*.MS" и "*.+*". Иногда выводит текст "ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? ГОЛУБОЕ-ГОЛУБОЕ? ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? НЕВИДАТЬ ЕГО СО МНОЙ!" Cuareim-800 Заражает только COM. Далекий от оптимальнного поиск по каталогам. В 22 часа выводит текст "ei-cuareim 1.5 By: V90d90A time to stop working - 22pm Lucky, I dont do anything" и прекращает программу. Alia-1023, -1200 Заражает только EXE, резидентный. Многие программы после лечения могут оказаться неработоспособными, так как невозможно восстановить исходное значение некоторых параметров (прежде всего SS). Valentin-480 Заражает только COM, резидентный. Скрывает изменение длины. Есть текст "SmS bItEs !!! aNd Is gAy ToO !!! wRiTteN bY BiGMaRtY, 2/13/96 HaPpY vAlEnTiNeS DaY eVeRyOnE... ... tO fUcK tOo mUcH ;)" NSD-266 Заражает только COM. Поиск в текущем каталоге и c:\command.com. Из-за ошибок может вешать систему. Иногда в режиме 320x200x256 выводит текст "SYSTEM ERROR: DMA DENIED.". В конце символы "NSD". Day13-666 Заражает COM и EXE, резидентный. По 13-м числам старается испортить нулевую дорожку и начало диска C. К счастью, успех этого мероприятия на современных дисках маловероятен. VXT-550 Заражает только COM, резидентный. Есть закодированный текст "* [VXT-1 Virus] (c) 1996 SMSoft *". Weekday-1614 Заражает COM и EXE, резидентный. Скрывает изменение длины. В качестве признака зараженности в секунды времени создания файла ставит удвоенный день недели создания. Sofia-1369 Заражает COM и EXE, резидентный. Скрывает изменение длины. Может портить некоторые дорожки первого твердого диска. В конце текст "Sofia 1994 by TERMINATOR". Solders-545, -557 Заражает только COM, резидентный. Старается портить случайные дорожки. 545 всегда на первом твердом диске, а 557 на дискетах, хотя предполагался текущий диск. Lapis-445 Заражает только EXE, резидентный. Есть текст "[Lapis-Lazuli], Rhince/VLAD". Fellow-1019 Заражает только EXE, резидентный. В сентябре при запуске каждой программы выводит текст "This message is dedicated to all fellow PC users on Earth Towards A Better Tomorrow And A Better Place To Live In". Worm-913 Заражает только EXE, резидентный. Пишет перед собой в конец заражаемого файла кусок случайной длины до 64К, который при лечении невозможно удалить. В конце есть закодированный текст "Worm!". Plovdiv-800 Заражает только COM, резидентный. При работе в MS DOS 3.30 может портить диски. Есть текст "(c)Damage inc.Ver 1.1,Plovdiv,1991". Larry-497 Заражает COM и EXE, резидентный. Из-за грубых ошибок портит некоторые EXE-файлы. Выводит на экран текст "Larry On a Screen". Kinnison-734 Заражает только COM. Поиск на текущем диске. По пятницам 11-го выводит текст "DIE BITCH!!!!! AHHHHHHHH!!!!!!!". Есть также закодированный текст "[VCL] Dedicated to the memory of Sam Kinnison 1954- 1992 [Kinnison] Nowhere Man, [NuKE] '92". XFungus-1483 Заражает COM и EXE, резидентный. Частично скрывает изменение длины. 20 сентября выводит текст "John Bonham - September 20, 1980 - L E D Z E P P E L I N -". Есть еще несколько текстов, в том числе "*XFungus by Harry McBungus*", "*Stormy: Yo im a nugga!*", "* Patricia: Get a life & some programming knowledge *". Lavi-797 Заражает только COM, резидентный. Предполагалась запись 17 июня метки тома "-USA 94-". Есть закодированный текст "[USA 94] (c)1994 ANuBiS". Rabbit-292 Заражает только COM. Поиск в текущем каталоге и выше. 4 апреля стирает MBR. Есть текст "The Rabbit Virus By: Corrupt Of Death Row". Ouse-591 Заражает только COM. Поиск в текущем каталоге и выше. Стирает BOOT диска C. Version-705 Заражает только COM, резидентный. При вызове функции DOS Version выдает практически случайное значение. Должен быстро вешать операционную систему. MZV-333 Заражает только COM, резидентный. В начале видно "MZV 2 !!!". Nike.Pox-1487, -1726 Заражает COM и EXE, резидентный. Невидимость обеспечивают "лечением" файлов при открывании и исполнении. Ozzy-546 Заражает COM и EXE, резидентный. Виден текст "Ozzy Osbourne virus por El Flaco". Proto-720 Заражает только COM, резидентный. Виден текст "** ProtoVirus v1.0 by Chr'92 **". Xram-1355 Заражает только EXE, резидентный. Портит ANTI-VIR.DAT, стирает CHKLIST.MS. Не заражает файлы, имя которых начинается на "F-", "TB", "SCAN". Скрывает изменение длины. По 15-м числам выводит текст "Capaz de reprimir con palos y armas a tus propios hermanos que luchan reclamando Justicia e Igualdad...te haces llamar DEFENSOR DE LA LEY Y EL ORDEN. Tu sola presencia da asco y repugnancia. Virus ANTI-YUTA, (C) Karl Xram, Abril 95 ". Xram-1000 Заражает только COM. Поиск в текущем каталоге. Выводит текст "** El COBOL no sirve, es una Mierda **". Есть также текст "(C) Karl Xram". DAN-585 Заражает только COM, резидентный. 18 января порит параметры CMOS. Портит "ANTI-VIR.DAT" и стирает "CHKLIST.MS". DAN-677 Заражает только COM, резидентный. Есть текст "Killer by Cancerbero". DAN-995 Заражает COM и EXE, резидентный. Не заражает программы, имя которых начинается на "F-", "TB", "AN", "SC". Есть закодированный тект "Androide 1с by WMТ [DAN]". DMA-1024 Заражает только EXE, резидентный. По 13-м числам пытается что-то делать с DMA. MW-278 Заражает только COM, резидентный. Заражает при создании (копировании) файлов. После 13 заражений блокирует исполнение программ, выводя "Fuck off". Revenge-1024 Заражает только COM, резидентный. По понедельникам перезагружает систему при каждом нажатии на клавишу ESC. Виден текст "Dark Revenge!". Kit-2384 Заражает COM и EXE, резидентный. Заражает многократно при каждом запуске программы. Устраивает игры в регистрами клавиатуры. Есть текст "Copyright 1991-1999. KIT VIRUS (version 2.0).". Dragon-414 Заражает только COM, резидентный. Есть закодированный текст "Quick Dragon v.7". BlackWind-476 Заражает только COM. Поиск в текущем каталоге и выше. По 6- м числам запланировано портить нулевую дорожку первого диска и выводить текст "ge by the BLACK WIND VIRUS... Copyright (C) 1992, Destructive Technologies, Unlimited.". Начало текста испорчено по неграмотности. MMIR-393 Резидентный. Заражает все файлы (не только программные). Есть текст "RAVAGE! (c) Metal Militia / Immortal Riot". Zed-287 Заражает только COM, резидентный. Есть текст "ZED-10 Virus 1.2B. (C) 1994 JH". Replicator-651, -655 Заражает только EXE, резидентный. Скрывают изменение длины. Зараженным файлам ставится дата 02.01.80. В конце текст "[Replicator] [Darkman/VLAD]". QueenBee-266 Заражает COM и EXE, резидентный. Из-за неверного значения регистра DS большинство EXE-файлов, зараженных этим вирусом, работают неправильно. RedLaugh-607 Заражает только COM, резидентный. Часто выводит текст "Красный смех гуляет по стране... 01/21/96 by FDD.". Aurea-653 Заражает только COM. По понедельникам старается стереть 720-й сектор диска C, а 1 марта 100 секторов, начиная с 720-го, выводя при этом текст "I'm sorry, you lost something because of AUREA". LittleBoy-944 Заражает COM и EXE, резидентный. Часто выводит на экран текст в рамке из сердечек: "!!! ВЫРУСС !!! УХ КАК СТРАШНО". В конце виден текст ")by Little Boy.1995.V0.3(SIMPLE". Jouce-1608 Заражает COM и EXE. Поиск в текущем каталоге и COMSPEC. По средам предполагалось портить первый твердый диск и выводить безграмотный нецензурный текст. Есть закодированный текст "*Jouce und Krisque*, Version 0001h.". Gurre-2247 Заражает COM и EXE, резидентный. Невидимость обеспечивается лечением открываемых файлов, что, из-за достаточно халтурного алгоритма, может приводить к роковым последствиям для некоторых файлов. Виден текст "Fucked file is FuckUp". Кроме того есть закодированный текст "Choise virus ver 1.0 !!!!!!!!!!!!!!!!!!!!!!!!!!! (c) Copyright 1996 by Gurre in Moscow... Голосуй за Генадия Андреевича Зюганова на выборах !!! Банду Эльцина - в отставку ! Банду Эльцина под суд !!!". Gurre-4115 Заражает только COM, резидентный. Постоянно ищет на экране символы "ESIK". Если они обнаружены, по экрану начинает бегать шар, постепенно заполняя экран точками. В конце есть закодированный текст "В семье все взвесив заново решили окончательно:КОМПАРТИЮ ЗЮГАНОВА ПОДДЕРЖИМ ОБЯЗАТЕЛЬН". MJ-1513 Заражает только COM и MBR жесткого диска, резидентный. После 100 загрузок с зараженного диска стирает 16 секторов нулевой дорожки. При каждом 256-м чтении с диска ставит в буфер со смещением 200 символы 'mj'. Не исполняет программу, из которой остался резидентным, а выводит текст "Bad command or file name". Tapeworm-2380 Заражает только EXE. Поиск в текущем каталоге. В начале работы выводит текст, из которого можно привести только "(c) Copyright 1996 by ВАНЯТКА (AKA M-r TapeWorm) tel +7(095)". При заражении каждого файла выводит "Successfully". Xed-1238 Заражает только EXE, резидентный. Плагиат из Jerusaleem. Стирает не только программы, но и другие файлы, причем, не только в "черную пятницу", а по счетчику заражений. Выводит текст "HA,HA,HA! BAD ILLUSIONS from U.C. (W) XED". YB-299, -426 Заражает только COM. Поиск в текущем каталоге. В 299 есть текст "INSERT YOUR NAME HERE". Lord-3061 Заражает COM, EXE и MBR жесткого диска, резидентный. Весьма витиевато внедряется в систему. Невидим за счет лечения. Есть закодированный текст "Мир вам. Меня зовут Demiurg. Я хранитель врат, врат Ада. Все кто хочет увидеть Хозяина встречается со мной,а ктовстречается со мной попадает к Хозяину...мертвым. Тупые охотники за головами, с притензией на интеллект гадатели, всезнающие визири многие пытались увидетьменя, но порой их глаза были ослеплены, а ум нашептывал соблазнительное OK". В зараженном MBR видно "LORD". Witching-1400 Заражает только EXE. Заражает в C:\DOS файлы chkdsk.exe, xcopy.exe, mem.exe и все в текущем каталоге. Стирает chklist.*. В различных случаях выводит тексты "IT'S WITCHING HOUR... YOUR COMPUTER IS BEING HAUNTED ! HAHAHA...", "Bad luck... You've got a virus in your system !", "Think about using a virusscanner which is more up-to-date !", "Here lies a program in its coffin, executed by a user one time too often..." и вешает систему. 2. Вирусы в начальном секторе Вирусы, заражающие секторы начальной загрузки (BOOT-вирусы) в протоколе обозначаются как "Вирус в начальном секторе". Эти вирусы обычно легко обнаруживаются и удаляются с диска при помощи, например, программы NU (Norton Utilities). Впрочем, мое первоначальное легкомысленное к ним отношение не вполне оправданно. Во-первых, некоторые из них могут довольно успешно скрывать свое наличие на диске: при чтении сектора, в котором находится вирус, в буфере оказывается не он, а нормальная информация. Во-вторых, такие вирусы могут быть весьма опасными. Кроме того, весьма трудно заблокировать заражение такими вирусами, поскольку они попадают в память до операционной системы. Следует отметить, что при наличии в машине сразу двух BOOT-вирусов дискеты начинают заражаться обоими вирусами поочередно, что приводит к потере правильного (исходного) содержимого начального сектора и невозможности лечения иначе как при помощи команды SYS. Если же дискета не системная и команда SYS не проходит, ее можно не лечить, а просто избегать случайных попыток загрузки с нее. Впрочем, у Вас всегда остается возможность повторной форматизации дискеты - даже 1.44 Мбайта не так уж сложно дважды скопировать. Ball Внешнее проявление - при определенных обстоятельствах на экране начинает бегать точка, отражающаяся от краев экрана и букв. Исходный "Boot Record" записывается в свободный кластер, который при этом помечается как испорченный (Bad cluster). Никакого существенного вреда этот вирус, кажется, не наносит. SCAN опознает этот вирус как "Ping Pong Virus - Version B [Ping]". В последствии появилась модификация этого вируса. Есть подозрение, что местного производства. Stoned Внешнее проявление - с вероятностью 1/8 в момент загрузки системы на экран выдается текст "Your PC is now Stoned", после чего загрузка нормально продолжается. Этот вирус записывается в абсолютный начальный сектор диска, который на твердых дисках содержит Partition Table. Исходный сектор записывается по абсолютному адресу (цилиндр/головка/сектор) на гибком диске 0/1/3, а на твердом 0/0/7. На гибком диске 360 Кб это последний сектор главного каталога (Root Directory), а на твердом чаще всего свободное место. Никаких проверок в момент заражения не производится. Вирус предельно примитивен. Для визуального опознания вируса на диске может служить пламенный призыв: "LEGALISE MARIJUANA!". Название по SCAN "Stoned Virus [Stoned]". Обнаружено, что очень неприятно заражение этим вирусом диска, на котором Boot Record следует непосредственно за Partition Table. При этом сектор 0/0/7 оказывается в FAT. Мне пришлось наблюдать такой случай, причем FAT испорчен не был, а зато пропал правильный вариант Partition Table. Исправление диска в такой ситуации возможно, но для этого необходима довольно высокая квалификация. Stoned_R Подлейшая переделка Stoned - очень часто стирает на дискетах Root Directory. Интеллект автора виден и в том, что он, не сумев до конца разобраться в столь примитивном вирусе, оставил два фрагмента, ставшие абсолютно бессмысленными. Старый MBR хранит в 0/0/6. Stoned_M Вместо клеветы о вашем компьютере выдает нелестный отзыв о некоем Muromtsev'е. Brain Один из самых знаменитых вирусов. Он считается первым, получившим широкое распространение (разработан в январе 1986 года). Заражает только стандартно форматированные дискеты емкостью 360 Кб. На зараженных дискетах появляется метка "(c) Brain". Занимает на диске три подряд идущих кластера, помечая их как испорченные. AIDSTEST освобождает эти кластеры, но метку не удаляет. SCAN его называет "Pakistani Brain/Ashar Virus [Brain]". Killer Сам себя называет "Disk Killer". Заражает Boot Record. При этом продолжение (4 сектора) и старый Boot Record на гибком диске прячется, как обычно, в Bad Claster'ы, а на твердом для них используется пять предшествующих секторов, которые обычно имеются в наличии и не используются никаким другим образом. Вирус производит соответствующую проверку и оставляет чистыми диски, на которых Boot Record стоит сразу за Partition Table. Пока не хватило времени и желания разобраться, в чем состоит "убийство диска", которое происходит после того, как некие счетчики, зависящие от времени и количества перезагрузок, принимают определенные значения, но по первому впечатлению содержимое диска портится безнадежно. Гарантировать можно только, что легендарные физические поломки диска при этом не происходят. SCAN его называет "Disk Killer Virus [Killer]". Joshi Как и "Stoned", при заражении твердого диска размещается в Partition Table. Кроме того, под свое продолжение и старое содержимое Partition Table использует 8 секторов. На твердом диске они размещаются на нулевой дорожке, начиная со второго сектора. Все неприятности, которые могут из этого проистекать, описаны для "Stoned". Впрочем, отныне в AIDSTEST предусмотрена новая возможность исправлять Partition Table даже в довольно безнадежных случаях. На гибких дисках дополнительные сектора размещаются на "заграничной" дорожке (40 или 80), что следует признать довольно гуманным по отношению к клиентам. В памяти вирус размещается по старшим адресам, занимая 6 Кб, и перехватывает, кроме законного для таких типов вирусов INT 13, еще и 8 9 21. SCAN не знаком с этим вирусом. Название вируса выбрано по наличию в нем текста: Type "Happy Birthday Joshi", который должен появляться на экране 5 января. Кстати, в этом месте автор вируса ориентировался только на цветной монитор. Abs-1 Продукция какого-то недоучки, не утруждающего свой мыслительный агрегат. Вирус сделан в предположении, что существуют только дискеты емкостью 360 Кб и диски емкостью 21 Мб. При этом последние, по мнению автора вируса, всегда содержат ровно один раздел (Partition), причем начинающийся на первой дорожке. На таких дисках абсолютный адрес, по которому прячется правильный BOOT-сектор, приходится на последний сектор Root Directory (на гибком диске 0/1/3, а на твердом 1/3/13). Поскольку эти предположения выполняются далеко не всегда, последствия могут быть самыми различными. Следует подчеркнуть, что вирус всегда портит на твердых дисках именно сектор 0/1/1, даже если на нем расположен не BOOT- сектор (причем не только на первом диске). AIDSTEST при лечении твердых дисков умеет обнаруживать и удалять этот вирус только в BOOT-секторе первого диска. Если на секторе 0/1/1 расположено нечто иное, его содержимое можно переписать с сектора 1/3/13 при помощи NU (Norton Utilities). Прочие последствия деятельности вируса исправить невозможно. В качестве шутки предусмотрена периодическая распечатка экрана на печатающее устройство (через INT 5). Однако, в соответствующих семи командах имеется одна ошибка и такое событие никогда не наступает. Вирус опознает свое наличие на диске по паре байт, в которых стоят коды 82 90. Если это русские буквы, то "ВР", что может быть и инициалами автора. Попытка заразить диск происходит при исполнении каждой команды чтения сектора, что приводит к резкому повышению подвижности головок. Rostov Модификация вируса "Stoned". Отличается способностью заражать диск "B", отсутствием характерных текстов, а также способностью мелко пакостить на нулевой дорожке диска "C". DenZuk Заражает только дискеты. Продолжение и правильный BOOT записывает на 40-м цилиндре, причем сектора получают номера от 33. При перезагрузке по Ctrl+Alt+Del на экран выдается фирменный знак. Если диск имеет метку, она заменяется на Y.C.1.E.R.P (вместо точек стоят символы с кодом F9. Если диск был заражен вирусом Brain, Den Zuk замещает его. FORM Заражает BOOT Record. При заражении твердого диска (C:) прячет свое продолжение и правильный BOOT Record в последних секторах физического диска, а на дискетах в Bad Cluster. По 24-м числам каждого месяца включает писк при каждом нажатии на клавишу. Piter Заражает Partition Table (на дискетах BOOT Record). Прячет свое продолжение и правильный сектор в трех Bad Cluster-ах. Только на AT через месяц после заражения начинается осыпание букв на экране. Алгоритм этой шутки полностью украден из классического вируса 1701/1704. Вирус привезен из Ленинграда. SCAN-67 его не опознает. LCh Заражает Partition Table (на дискетах BOOT Record). Правильный сектор прячет как Stoned. Может почти безнадежно испортить содержимое диска "C:". Содержит текст "LoveChild b3 in reward for software stealing.". Непонятно, зачем подчеркивать особенности своего происхождения, бросая в других камни. NearDark Вариация на тему "Stoned". В конце содержит слова "Near Dark", которые могут появляться на экране при загрузке с диска "C:". После выдачи этого сообщения вирус портит Partition Table. Abs-2 При заражении гибкого диска прячет исходный BOOT по адресу 39/1/8, а на твердом диске, заражая Partition Table не сохраняет старую программную часть, выполняя ее функцию самостоятельно. В связи с этим, при лечении твердого диска AIDSTEST просит разрешения поместить в Partition Table стандартную программную часть. После пяти загрузок с зараженного твердого диска вирус делает недоступными LPT1 и COM1, затирая в памяти их базовые адреса. MusicBug Заражает BOOT Sector. Заражает твердый диск (C:), только если Active Partition начинается на первой дорожке нулевого цилиндра. Прячет правильный BOOT и свое продолжение в свободных кластерах, помечая их как занятые (конец файла). Освободить это место можно при помощи CHKDSK. При этом образуются 2-4 файла в корневой директории, которые можно стереть. Если эту операцию проделать до лечения, последующее лечение будет значительно затруднено (можно воспользоваться программой SYS, загрузившись с чистой дискеты). "Музыка" состоит из случайных звуков и начинает исполняться через 4 месяца после заражения. В продолжении содержит текст "MusicBug v1.06. MacroSoft Corp.". Scan его опознает. Bloody Похож на Stoned. Отличается тем, что на твердом диске прячет Partition Table на 6-м секторе и после 128 загрузок с твердого диска через каждые 5 выдает на экран текст "Bloody! Jun. 4, 1989". Пытается заразить дискету при каждом обращении к ней, поэтому сразу проявляет себя резким замедлением работы с дискетами. Обнаружено две очень близких разновидности. March6 На твердом диске заражает Partition Table. Правильное содержимое прячет на твердом диске на 7-м секторе, а на гибком - в секторе 0/1/3 или 0/1/14 в зависимости от типа диска. Обычно это последний сектор Root Directory. При наличии таймера реального времени 6-го марта стремится стереть все содержимое диска, с которого идет загрузка. Scan опознает как "Michaelangelo [Mich]". October1 Весьма творческая переделка вируса "March6" - 6-е марта заменено на 1-е октября, 7-й сектор заменен на 15-й и удалена одна лишняя команда. MPHTI Заражает Boot record. Исходный прячет в предпоследнем секторе Root directory. Думаю, что автор метил в последний, но промахнулся. Заражение твердого диска происходит только в случае, если активный раздел описан первой строкой Partition Table. Предусмотрена порча при определенных обстоятельствах восьми секторов нулевой дорожки дисков "A:" и "C:" и первой дорожки диска "C:". Судя по тексту внутри, произведен в Физтехе. MPHTI-2 Снято ограничение на способность заражать твердые диски, но за счет неспособности работать без их наличия. На этот раз используется именно последний сектор Root directory. MPHTI_3 Нечто промежуточное между первым и вторым. При его исследовании обнаружено, что и он, и MPHTI_2 при заражении твердых дисков весьма значительно промахиваются мимо Root directory. Например, вместо первого цилиндра исходный Boot record оказывается на 64-м, попадая с большой вероятностью внутрь какого-нибудь файла. ABS-3 На твердом диске заражает Partition Table. Исходный сектор прячет на гибком диске в традиционном секторе 0/1/3, а на твердом - в 0/0/3. Предусмотрена порча семи секторов нулевой дорожки диска "A:". GELENDZIK Старый MBR хранит на гибком диске в 0/1/3, а на твердом - в 0/0/7. Ничего интересного. Clock Очередное подражание Stoned. Предусмотрен вывод в угол экрана показаний часов, однако из-за пары ошибок этот эффект увидеть довольно трудно, а при монохронном мониторе просто повисает система. Поместиться в одном секторе автору не удалось и поэтому для продолжения вируса используется сектор перед спрятанным BOOT (0/0/6 или 0/1/2). Dinamo Старый MBR хранит на твердом диске в 0/0/9 (в другой версии 0/0/11), а на гибком в последнем секторе Root Directory. При ошибке чтения в момент загрузки выдает на экран: "Dinamo(Kiev)- champion !!!". Nov_7 Старый MBR хранит на твердом диске в 0/0/11, а на гибком в 0/1/3. В октябре при каждой загрузке выдает на экран 10 символов с кодом 01, а 7-го ноября, вероятно, в знак протеста против отмены праздника, портит первые 7 секторов диска "C:". Это легко исправлется, если только 1-й раздел диска не начинается на втором секторе. Nov_15 Старый MBR пишет в 0/0/6, а BOOT в 0/1/14. Hе заражает дискеты емкостью меньше 1.2 Mb. 15 ноября намерен портить диск C: (форматизовать нулевую дорожку). Loa На твердом диске заражает сектор 0/1/1, не пытаясь проверить находится ли там Boot Sector. Старый BOOT на твердом диске прячет в 0/0/8, а на гибком в последнем секторе Root Directory. Довольно часто исполняет мелодию. Scan опознает его как "Loa Duong Virus [Loa]". Anti_TEL Заражает Master Boot Record. Свое продолжение и старый MBR записывает на твердом диске в секторах 6 и 7, а на гибком в двух последних секторах Root Directory. Адреса этих секторов определяет при помощи таблицы, входами в которую служат полные объемы диска. При использовании нестандартно размеченных дисков, объема которых нет в таблице, например, 720 Кб последствия непредсказуемы. После 400 загрузок с зараженного диска его содержимое стирается и на экран выдается текст: "Campaдa Anti-TELEFONICA (Barcelona)". Здесь буква "д" не опечатка, а "n" с тильдой. Anti_TL2 Скорее всего не авторская переделка Anti_TEL. Эта версия не заражает диски, на которых уже есть вирус семейства "Stoned". В конце добавлены слова "Grupo Holokausto" с инвертированными кодами. Число загрузок до порчи диска заменено на 333. Spook Заражает Master Boot Record. Старый MBR на твердом диске сохраняет в секторе 8, а на гибких старается попасть в последний сектор Root Directory. Иногда портит Partition Table. Содержит текст "Spook 1.0 LIM". Scan опознает как "Generic Boot Virus [GenB]". Spook_1 Partition Table портит несколько чаще. Alive Очередная вариация на тему "Stoned". Использует сектора 0/0/7 и 0/1/3. Очень часто на цветной монитор выводит текст: "I AM ALIVE". Scan опознает его как "Azusa". Mikola Очередной "Stoned". Пытается портить случайные сектора диска C:. Содержит текст "Mikola v 1.13". Scan опознает его как "No-Int [Stoned]". Mik_G Прячет MBR в 0/0/15, а BOOT 0/1/2. Содержит текст "MIKOLA V15 GHOST". TurboBasic Переделка March6. На твердом диске правильный MBR пишет на 0/0/7. Диски не портит, но содержит алгоритм, который должен блокировать исполнение некоторых EXE-программ, но может вызвать и побочный эффект. Имеет текст "Don't run TurboBasic!". Turbo_2 Минимальная переделка TurboBasic. Вместо блокировки исполнения программ вешает систему. VolGU Заражает Master Boot Record. Старый MBR на твердом диске сохраняет в секторе 0/0/7, а на гибких - 0/1/3. Может очень быстро испортить содержимое диска. VolGU_2 Заражает MBR диска C: и BOOT диска A:. На дискете старый Boot не сохраняет, а на C: сохраняет во втором секторе в закодированном виде. Весьма опасен тем, что портит контрольные байты многих секторов. При наличии вируса в памяти эти сектора доступны, поскольку он вместо команды чтения использует "длинное чтение", при котором контрольные байты не проверяются. Если же вируса в памяти нет, информация на диске становится практически недоступной. При чтении всех секторов, испорченных вирусом, выдается ошибка "сектор не найден". VolGU_3, VolGU_4 Еще два вируса того же автора. Оба также прячут старый MBR во втором скеторе закодированным. Для VolGU_4 правильно раскодировать удается не всегда, поэтому после лечения может понадобиться восстановление Partition Table той же программой, что и при начальной разметке диска. Эти вирусы портят многие сектора на всех твердых дисках так же, как и VolGU_2. Теперь Aidstest умеет исправлять все такие сектора, но эта процедура на больших дисках с большим количеством испорченных секторов может продолжаться больше часа. VolGU_6, VolGU_8 Действуют аналогично предыдущим. VolGU_5, VolGU_7 Сбойные сектора не образуют. VolGU_9 Близок к 5-й и 7-й версиям, но заражает дискеты только формата 360 Кб. Devil Полный плагиат из "Dinamo". Соственное творчество заключается в замене адреса на твердом диске на 0/0/10 и текста на "(c) Devil Production Ver 1.0 28/08/1972". Devil_2 Эта версия на твердом диске заражает не MBR, а BOOT. Старый хранит в 0/0/13, а на гибком в последнем секторе корневого каталога. Есть текст "(c) Devil v2.0". Devil_3 В начале текст "(c) Devil", а в конце "v3.0". Старый MBR в 0/0/4. Service Очередная переделка Stoned. Содержит тексты: "Service-1 presents", "made in Russig". MISiS На твердом диске прячет MBR на 0/0/6, а на гибком на 0/1/12 или, при его отсутствии на 0/1/3. Время от времени выдает в начало экрана один из восьми текстов среди которых: "МИСиС Май'92", "Жаринов пришел...", "Работу программистам!" и "Тебя МИНЗДРАВ предупреждал?!". Все тексты видны в теле вируса, если он не активен в памяти. MISiS_3 Переставлено несколько команд и тексты заменены на английские. MISiS_X Малая переделка "MISiS". Заменены адреса на 0/0/7 и 0/1/14, а также все тексты. Самое интересное, что в новых текстах содержатся проклятия в адрес автора первого вируса за то, что "Испоганили винт моей PC!!!". Прекрасный повод для того, чтобы испоганить еще кому- нибудь. COMx Очередная версия Stoned. После 25 мая производит мелкие пакости с COM1 и COM2 - чтение и запись по базовому адресу. Fish Прячет MBR на твердом диске в секторе 10, а на гибком в секторе 3 последнего цилиндра. Предыдущие 2 сектора занимает продолжение вируса. По 1-м и 17-м числам выдает на экран текст: "Hello! I am FISH, please don't kill me. Congratulate 80th year of the Republic Of China Building,Fish will help to kill stone Written by Fish in NTIT. TAIWAIN 80.10.18" ANTI_EXE Прячет MBR на твердом диске в секторе 13, а на гибком - в последнем секторе Root Directory. При чтении с диска какой-то EXE-программы (у меня ее нет), имеющей длину 200256, портит в буфере 9-й байт. F360 Заражает MBR твердых дисков и Boot Sector гибких 360 Кб. MBR прячет в секторе 4, а Boot в 39/1/8. Под свое продолжение использует следующий сектор. Последний Cluster гибких дисков помечает как Bad. Pilgrim Заражает только Boot диска A. Если в одном сеансе удается заразить 13 дискет, выдает текст в рамке: "PILGRIM-1 / Ваш диск отформатирован ! / Хлопайте ушами дальше." Day_X Переработка March6. Старый MBR прячет в 0/0/17, а порчу диска производит после 255 загрузок с зараженного диска. Email В MBR или BOOT дискеты меняет первые два байта и 66 байт со смещения 3Eh. Свою основную часть пишет в последние 6 секторов дискеты или первого по размещению в Partition Table раздела диска. При этом соответствующие параметры в Partition Table и Boot Record изменяются, чтобы исключить эти 6 секторов из учета. При лечении эти параметры не восстанавливаются. В теле вируса содержит экран Help Norton Comander, описывающий использование E-Mail. Этот текст иногда отправляется в COM порты. Кроме того, производятся мелкие пакости с клавиатурой - пропуск некоторых символов. Million Предельно примитивен. На гибком диске Boot не сохраняет, а на твердом сохраняет MBR в 0/0/6. При попытке загрузки с гибкого диска выдает: "Non-System disk.". В начале имеет цифры "1000000". Parity На твердом диске сохраняет MBR в 0/0/14, а на гибком, в зависимости от емкости, в 0/1/3, 0/1/5 или 0/1/14. Довольно часто выдает на экран текст "PARITY ERROR" и блокирует работу системы. Parity2 MBR сохраняет в 0/0/7, а Boot Record гибкого диска, в 0/0/9, 0/1/5 или 0/1/14. Parity3 Мало отличается от первой версии. LCh15 MBR на твердом диске прячет в 0/0/6, а Boot на гибком в 0/1/3. После 90 загрузок с зараженного диска или при попытке записи MBR в зараженной системе безнадежно портит содержимое диска "C:" и пакостит в памяти параметров системы (CMOS). Имеются тексты: "LCh15" в середине и "For pirates" в конце. May21 Переделка March6. При наличии на диске March6 или его ближайших родственников заменяет их собой. При этом, если предшественник прятал старый MBR не в 0/0/7, загрузка с диска не работает. Вместо порчи дисков 21-го мая при загрузке выводит на экран (только цветной) текст: "ANTI March6 Karpachev Dmitr". Не исключено, что автор считает себя благодетелем. CLC При заражении MBR твердых дисков прячет себя в 0/0/5, а на гибких в 39/1/9. При этом на дискетах емкостью больше 360 возможна порча файла. Scan принимает его за "Stoned". Flame При заражении гибкого диска прячет Boot в 25/1/1, в результате чего может испортить какой нибудь файл. MBR твердого диска не сохраняет, из-за чего приходится его заменять на стандартный. Иногда в момент загрузки выводит на цветной экран нечто, изображающее скорее всего пламя. BadBuf Безграмотное подражание Stoned. Исходный MBR прячет в 0/0/10, а Boot на всех дискетах в 0/1/3. Занимая в памяти ровно в 4 раза больше, чем нужно (2 Кб), использует в качестве буфера еще и 512 байт в сегменте 8000h, что может привести к самым неожиданным последствиям. Int_FF Подражание Stoned (адреса 0/0/7 и 0/1/3). Через большое число поколений должен во всей информации, записываемой на диск, менять команду int 21 на int FF. Иногда меняет символы, вводимые с клавиатуры. Kotlas Прячет MBR в 0/0/10, а BOOT на гибком диске в 0/1/2. На габких дисках больше 360 Кб с большой вероятностью портит информацию в Root Directory. При неаккуратной трассировке забивает на диске C: себя и спрятанный MBR, после чего исправление диска значительно затрудняется. DAMC На гибких дисках BOOT не сохраняет, а MBR прячет в 0/0/6. В начале стоит "DAMCDOOM". Hmm На твердом диске MBR сохраняет в 0/0/17, а в трех предыдущих секторах - свое продолжение. На гибком диске аналогично использует 4 последних сектора. Мелко пакостит на клавиатуре - дублирует одну случайно выбранную клавишу. Содержит довольно хитрый алгоритм размещения резидента в памяти, причем, если этот алгоритм не может сработать, выдает текст: "Hmm... Strange drivers you have, very strange... ;-)". Copy77 Вариация на тему Stoned. При загрузке с 77-го поколения выдает на экран текст: "Copy 77 in job ...". Stb На гибком диске Boot сохраняет в последнем секторе, а для MBR старается использовать последний сектор нулевой дорожки. Однако, используемый для этого алгоритм срабатывает не при всех форматах Partition Table. Scan опознает его как "Stealth [Stb]". Aircop Заражает только дискеты. Старый BOOT хранит в 39/1/9, что на дискетах больше 360 Кб достаточно часто может оказываться внутри какого-то файла. После успешного заражения выводит текст: ".RED STATE, Germ offensing --Aircop". Scan его опознает под тем же именем. Duran Старый MBR хранит в 0/0/2, а BOOT на дискетах в последнем секторе. Если после загрузки системы происходит больше 65408 обращений к диску, стирает MBR. В начале стоит "(c)AVB91", а в конце - "Duran- Duran lives...". USSR MBR хранит в 0/0/7, а BOOT гибкого диска в 0/1/3 или 0/1/14. 7-го октября выводит текст: "I'm backing to the USSR !". MBR77 Старый MBR хранит в 0/0/3, а BOOT на дискетах в 0/1/3. После 77 загрузок с диска начинает портить дискеты. SEA MBR хранит в 0/0/5, а BOOT гибкого диска в 0/1/3 или 0/1/13. Содержит текст, начинающийся с "SEA.Moscow.5-29-1992.". Далее следует реклама достоинств и безвредности вируса. SVK Старый MBR хранит в 0/0/17, а BOOT на дискетах в последнем секторе Root Directory. В первом часу ночи и девятом утра зацикливается на чтении диска. E_burg Старый MBR хранит в 0/0/9, а BOOT на дискетах в последнем секторе Root Directory. Содержит "Ekaterinburg" с инвертированными битами. Abs_4 Заражает Boot-сектор. Старый прячет на гибком диске в последнем секторе корневого каталога, а на твердом - в 6-м секторе. Sector_9 Старый MBR (Boot) прячет всегда в секторе 0/0/9, который на всех дискетах кроме 360 попадает на второй экземпляр FAT. GKChP Старый MBR прячет в 0/0/7, а Boot на дискете в 0/1/3. После 90 загрузок стирает диск. AT Старый MBR прячет в 0/0/6, а Boot на дискете в 0/1/2, что очень часто должно приводить к порче части корневого каталога. При заражении MBR на AT безнадежно портит содержимое Partition Table. Pervert Очередной вариант "Stoned". С вероятностью 1/8 при загрузке выдает текст "Your PC is now Stoned! Present young Pervert!". При обезвреживании с памяти идентифицируется как "Mikola". Big_V Два сектора своего тела прячет на твердом диске в 0/0/4, а на дискетах в последних двух секторах главного каталога. Исходный MBR целиком не сохраняет. Старается заместить собой вирус "Stoned", если встречает его на диске или в памяти. После успешного заражения 63 дисков в одном сеансе выводит на весь экран изображение буквы "V" и блокирует систему. LZR Свое продолжение (1 сектор) и старый MBR хранит на твердых дисках в 0/0/2, на дискетах 1.2 Мб в 79/1/14, а на остальных в 39/1/8. С большой вероятностью безнадежно портит все содержимое дисков. В связи с повышенной активностью существенно замедляет работу машины. Vaucher Из компании Stoned. По неграмотности должен портить FAT на втором твердом диске. Lucky Старый MBR (Boot) прячет всегда в секторе 0/0/9, который на всех дискетах кроме 360 попадает на второй экземпляр FAT. В середине каждого часа выводит на экран "I wish you a lucky". NOPs Старый MBR прячет в 0/0/2, а BOOT на гибких дисках - в секторе 2 головка 0 последнего цилиндра. Пишет себя также в относительно случайные места диска. В результате может неожиданно "оживать". В связи с этим приходится при его обнаружении начинать полный просмотр файлов, что резко замедляет работу программы. О начале такого режима работы выдается соответствующее предупреждение. Traveller Старый MBR пишет в 0/0/2, а Boot гибкого диска в 0/1/3. Видно слово "Traveller". Pskov Не сохраняет исходные MBR и Boot, самостоятельно, хотя и не слишком аккуратно, исполняя загрузку. Достаточно часто портит параметры дисков и дискет в CMOS. Break Старый BOOT (MBR) не сохраняет, в связи с чем полноценное лечение невозможно. При нажатии на Ctrl-Break старается испортить диск "C:". WXYC На диске "C" заражает то, что находится в 0/1/1, причем старое содержимое прячет в 0/0/3. На дискетах старается спрятать старый BOOT в последнем секторе Root Directory, определяя его по размеру FAT. Часто выводит на консоль "WXYC rules this roost!". COM_LPT Похож на Abs_1. Не сохраняет MBR на твердых дисках и после 63 загрузок делает недоступными COM1 и LPT1. Ripper Весьма подлый - с вероятностью 1/1024 при записи сектора переставляет в нем 2 слова. Есть закодированный текст "(C)1992 Jack Ripper". LPT MBR сохраняет в 0/0/13, а Boot на дискетах в последнем секторе корневого каталога. Постоянно портит адрес LPT1, что делает невозможным его использование, и иногда изменяет состояния регистров клавиатуры. ScrLock Переделка Stoned. При включенном Scroll Lock блокирует запись на твердые диски и мигает цветом рамки экрана. Есть текст "ScrLock Protection". Monkey Старый бут-сектор кодирует операцией (XOR 2) и записывает на дискетах в конец Root Directory, а MBR на твердом диске - на один из секторов нулевой дорожки. Monkey_2 Другая версия. Отличается от первой перестановкой фрагментов программы. YMP Старый MBR не сохраняет, а BOOT гибких дисков в 0/1/3 - 360 Кб или 0/1/14 - остальные. По 1-м числам месяца при загрузке выводит на экран текст "HAVE A NICE DAY (c)YMP". Ep Старый MBR сохраняет в 0/0/14, а BOOT на гибких дисках в 0/1/3 или 0/1/5, в зависимости от типа. Для оригинальности перехватывает не int 13, как все BOOT-вирусы, а int 21. Relative Старый BOOT старается спрятать в последнем секторе дискеты, а MBR в последнем секторе нулевой дорожки, но при не тривиальной Partition Table возможны всякие неожиданности. Caxa Старый MBR прячет в 0/0/7, BOOT на дискетах 1.2 Mb в 0/1/14, а на остальных в 0/1/3. В июне намерен обнулять типы дискет в памяти параметров системы (CMOS), причем, не забывая корректировать сумму. XorAA Старый MBR прячет в 0/0/6, BOOT на дискетах 360 Kb в 0/1/2, а на остальных в 0/1/13. После 256 загрузок с зараженного твердого диска кодирует по 17 секторов на всех дорожках первых 5 цилиндров операцией XOR со значением из последнего байта MBR (почти всегда AA). TRTU На твердом диске старый MBR не сохраняет, а на гибком сохраняет в конце Root Directory. Собираясь заразить B:, пишет на A:. Maxi Свое продолжение и старый MBR на твердом диске хранит начиная с 0/0 /2, а на гибких - в последних 6 секторах. Эти сектора даже помечает в обоих копиях FAT как сбойные. Сделано это весьма аккуратно, но предельно примитивно. Для заражения всех пяти типов дисков (360K, 720K, 1.2M, 1.44M, hard) сделаны отдельные подпрограммы. BackSlash Каждый час в течение примерно 15 секунд во всех читаемых с дисков секторах после всех символов '\' ставит 0. Xpong Автор мечтал сделать классическую шутку с бегающим по экрану мячиком, но не очень преуспел в этом деле. Xpong1 Со второй попытки автору удалось заставить бегать по экрану мячик, но с отражением от боковых сторон он еще не справился. FFFF На гибких дисках старый BOOT не сохраняет. Перехватывает прерывание от часов, но зачем - понять не удалось. Angelina Сохраняет MBR в 0/0/2, а Boot на гибких дисках в последнем секторе Root Directory. Имеется закодированный текст "Greetings for ANGELINA !!!/by Garfield/Zielona Gora". July29 В MBR меняет только ссылку в первой строке Partition Table. В случае ошибки при загрузке выдает текст "BIOS fatal error. System halted...". Продукция очередного "рыцаря". 29 июля при загрузке выдает текст "July 29 today...", а при нажатии Ctrl+Alt+Del "Happy birthday, B..... M...... !". EncePhalyt Старый BOOT (MBR) не сохраняет. Dog Дискеты заражает только 360 Кб и 1.2 Мб. Если считает, что обнаружил Stoned или March6, пытается их заместить. Иногда выводит гнусные слова о женщине, которая, вероятно, не смогла оценить достоинства этого подонка. WBoot Старый MBR сохраняет в 0/0/7, а BOOT в 0/1/3 - дискеты 360 или 0/1/ 14 - остальные. IntAA Старый MBR сохраняет в 0/0/16, а BOOT на дискетах в последнем секторе Root Directory. Konstantin Старый MBR прячет в 0/0/13, а BOOT на гибких дисках в конце Root Directory. Обнаружив в начале любого сектора последовательность 5A40 0088 0137 592, портит следующий байт. Видно слово "Konstantin". Veronika Если в одном сеансе удается заразить 15 дискет, выводит на экран крупными буквами "VERONIKA". Andrew После 512 загрузок с зараженного диска намерен его форматизовать. MBR прячет в 0/0/13, а BOOT в последнем секторе Root Directory. В начале видно "Andrew". Andrew2 Слегка подправленная версия. Wrong BOOT на гибком диске сохраняет в 38/1/1. Сохранять MBR автор скорее всего планировал на последней дорожке диска, но на самом деле номер "последнего" цилиндра берет по модулю 255. Sampo Старается нейтрализовать в памяти вирусы March6, Stoned, Joshi и еще один мне незнакомый. Иногда пытается себя выдать за Anti_TEL. 30 ноября через 1-2 часа после загрузки выводит в рамке: "S A M P O "Project X" Copyright (c)1991 by the SAMPO X-Team. All rights reserved. University Of The East Manila". Vtb BOOT на гибком диске сохраняет в последнем секторе Root Directory, а MBR не сохраняет. Cheolsoo BOOT на гибких дисках прячет в 0/1/3, а на твердых - в последнем секторе активного раздела. Использует int 6D, что для многих VGA-адаптеров может приводить к тяжелым последствиям. Есть текст "All computing and no play makes Cheolsoo a dull boy!". MrHu В BOOT заменяет только 37 байт, причем, в различных местах. Основное тело на дискетах размещает в последнем секторе. Есть закодированный текст "(C) Copyright Mr. Hu 1992-93 V1.00". Boroda Плагиат из March6. 30 октября поздравляет себя с днем рождения и требует угадать его "little name" (BORODUSHECHKA). Alfredo Пишет свое продолжение и старый MBR в 0/0/2, а на дискетах в шести последних секторах, причем, даже помечает их как сбойные. В начале продолжения видно "ALFREDO". Может выводить на принтер текст "ANGEL X TE SALUDA (c) Laboratorio Luz de Luna LIMA - PERU". Dream MBR сохраняет в 0/0/6, а Boot на гибких дисках в 0/1/3 или 0/1/13. В начале видно "dream". BUPT Модифицированную часть BOOT сохраняет в секторе продолжения, который пишет в 0/0/4 (hard), 0/1/3 (360) или 0/1/14. В нем же виден текст "Welcome to BUPT 9146,Beijing!". Tula MBR прячет в 0/0/7, а Boot на гибких дисках в 0/1/3 или 0/1/14. CMOSKiller Заражает MBR жесткого диска и бут-сектор дискет. Есть шансы, что этот вирус окажется активным даже при загрузке с чистой системы, поскольку, он постоянно вычеркивает из конфигурации первый гибкий диск. Поэтому полезно перед такой загрузкой проверять конфигурацию. В относительно случайные места диска пишет код, который может стереть все содержимое диска. Wet Заражает сектор 0/1/1, где чаще всего бывает BOOT. Есть текст "- (c) 1990 W.E.T. -". Chigi Переделка Stoned. В начале видно "CHIGI", а в конце - гнусный текст, выводимый при каждой второй загрузке с твердого диска. Rain При загрузке системы в 19.15 портит сектора 0/1/1 и 0/1/2, которые чаще всего содержат BOOT и первый сектор FAT. На гибких дисках старый BOOT и второй сектор вируса находятся в двух последних секторах Root Directory, а на твердом - в секторах 11, 12. Во втором секторе вируса виден текст "This is only a demo version made for Germany. New versions coming soon. Written in the rain..". AntiParity Дискеты заражает только 1.44 Мб. Обнаружив "Parity", замещает его. Murky В начале видно "Murky". Очень опасный. При отсутствии вируса в памяти диск может стать нечитаемым. Aidstest старается исправить это, но соответствующая процедура может продолжаться довольно долго. Minimax Во всей информации, читаемой с диска, меняет "MIN" на "MAX" и наоборот, сохраняя регистры символов. Не удивляйтесь, если запущенный в зараженной системе Aidstest будет называть его "Maximin". Есть закодированное слово "MiniMax". Midnight В полночь покрывает экран узором из синих интегралов с надписью внизу "IT'S MID NIGH". Mostovoy Предполагается портить ADinf. Однако, опознается только конкретная версия, либо разыскивается слово "Мостовой". Начиная с июня портит MBR. JMP_Boot Заражает MBR. При операциях записи на дискеты, обнаружив в начале сектора команду JMP, пишет себя в этот сектор. При этом может либо испортить файл данных, либо инфицировать исполняемый файл. В каждом сеансе делает это не больше одного раза. Michael В MBR меняет только адрес BOOT. Старается удалить "Stoned". 29 июля при нажатии Ctrl+Alt+Del стирает MBR и выводит на экран "Happy birthday, MICHAEL !". Блокирует исполнение некоторых EXE-программ. Если не ошибаюсь, написанных на Borland-C, причем, запакованных LZEXE. Интересно, против кого это задумано - ADinf или AVP? Еще одна разновидность в момент запуска программ, имя которых кончается на "T", "B" или "F" (конечно, имеются в виду Aidstest, DrWeb, ADinf), лечит твердый диск, заражая его вновь после их завершения. По 29-м числам стирает каждую восьмую запускаемую программу, а 29 июля после вывода текста "July 29 today... Happy birthday, MICHAEL !" стирает Master Boot. Еще одна версия cтарается опознать запуск ADinf и скрыть от него свое наличие, но сработает это только с довольно старыми его версиями. IntC1 Сохраняет MBR в 0/0/2, а BOOT гибкого диска - в последнем секторе. Spirit Заражает MBR. В конце видно "SPIRIT (c) MW". BOOT на дискетах прячет на дополнительной дорожке. CandC В половине дней мая выводит текст "Bye by C&C" и блокирует загрузку. Впрочем, попавший ко мне экземпляр испорчен в этом месте каким-то исследователем, и такое событие может возникать в других случаях. Zappa Заражает MBR. 4 декабря выводит текст "Dedicated to ZAPPA..." и портит первый твердый диск. Bones 7-го числа стирает нулевую дорожку текущего диска и всю информацию с первого твердого. Schafft 7-го февраля стирает все твердые диски и выводит текст "Schafft die Schweizer Armee ab !". DeadFace Свое продолжение размещает в последнем секторе Root Directory. По первым числам мая, сентября и ноября блокирует загрузку системы. RP 17 декабря выводит текст "RP wants to say hello!" и стирает MBR. Bravo Заражает MBR. С вероятностью 1/4096 пишет вместо MBR случайные данные со словом "Bravo" в начале. Старый MBR при этом находится в секторе 0/0/2. CpuFailed При загрузке системы часто выдает текст "CPU FAILED." или "HDD ERROR.". Старые Boot и MBR не сохраняет. KL Прячет старый MBR в 0/0/7, а Boot в последнем секторе Root Directory. Strafer Через 10 дней после заражения стирает содержимое первого твердого диска. В конце текст "Boot Strafer". Stir На гибких дисках образует 1-2 псевдосбойных кластера. После большого числа нажатий на клавиши все символы с экрана по одному "улетают" наверх. CCCHeHe Заражает MBR жесткого диска. Иногда выводит текст "ШstanbulCCC was here. He He" и вешает систему. 3. О "музыкальной" группе В эту группу входит довольно большое количество вирусов, явно сочиненных одним автором. Их общим признаком является наличие за 4 от конца байтов с шестнадцатиричным значением F47A. Следующий байт (в файле он предпоследний) содержит номер версии вируса. Пока в нашу коллекцию попали следующие версии (номера - шестнадцатиричные, в скобках - длины): 04 (1212), 05 (1206), 06 (1269), 10 (1339), 17 (1753), 18 (1760), 19 (1805), 21 (2680), 22 (2568), 26 (2756), 27 (2772), 29 (2932), 2A (2997), 2C (2885), 2D (2901), 2E (2981), 53 (1905). Ранние версии AIDSTEST обозначали представителей этого семейства буквами D, F, G, H, отмечая развитие способов заражения и внешних проявлений. Теперь они все обозначаются буквой (M) с добавлением шестнадцатиричного номера. Общей для всех версий является способность заражать как COM, так и EXE-программы. В антивирусных публикациях уже отмечалось, что последние представители этой компании (начиная с 29) модифицируют "Мячик". По моему впечатлению из этого не следует, что и он принадлежит тому же автору. Ниже описано все, что удалось выяснить о развитии версий из анализа известных с некоторой долей интерполяции. До версии 6 при заражении портится дата создания файла. До 9 включительно при заражении COM требуется, чтобы первой командой была JMP (код E9). До 10 заражение EXE-программ происходит в два приема - при первом программа формально приводится к формату COM и к ней добавляется фрагмент длиной 132 байта, который обеспечивает преобразование EXE- программы в памяти для ее правильной работы, а при втором - получившийся агрегат заражается как обычный COM. Если AIDSTEST встречает такой агрегат, он помечает его как (ML). Следующие версии, включая 22, также преобразуют EXE в COM, однако делают это в один прием. Пока не известно, где проходит граница между версиями 10 и 17. Начиная с версии 23, EXE программы сохраняют свой формат, причем во всех заражаемых модулях со смещением 0x12 от начала стоит расстояние до начала вируса, деленное на 16. Одновременно в начале вируса дублируется пароль F47A и номер версии. Версии 2D и 2E при заражении EXE в конец файла эту информацию не пишут. С версии 17 размножение не обнаруживается резидентными антивирусными программами, следящими за записью в программные файлы, поскольку вирус передает управление непосредственно в MS DOS, обходя сторожей. С версии 21 вирусы принимают очень хитрые меры защиты от вирусологов. Вирус оказывается "невидимым" при попытке пройти через его резидентную часть отладчиком в пошаговом режиме или поставить внутри останов (Break point). Кроме того, при попытке изучить явно зараженную программу при помощи DEBUG, она вдруг оказывается здоровой, конечно, если вирус уже находится в памяти. В пользу автора этих вирусов следует сказать, что никакие подлые шутки в них не предусмотрены. Более того, принимаются все меры, чтобы зараженные программы всегда работали правильно. Даже попытка умышленно заразить программу для коллекции не всегда кончается успехом. До версии 10 не удалось обнаружить вообще никаких шуток, а остальные исполняют мелодию, которую знатоки идентифицируют как "Янки Дудль" (Yankee Doodle). Версии 17-19 исполняют ее перед перезагрузкой по CTRL+ALT+DEL, a следующие - в 17 часов (точнее в 16:59:53). Остается выразить сожаление, что явно талантливый программист потратил столько сил и изобретательности на такую неблагодарную работу, которая даже для саморекламы не очень годится. Обнаруженная в конце 1990 года версия 53 является плагиатом с последних версий, причем без наиболее тонких возможностей. 4. Вирус "DIR" Этот вирус начинает принципиально новую группу компьютерных вирусов. Внешне он проявляется весьма странно. Дискета, зараженная этим вирусом, кажется безнадежно испорченной. Программа CHKDSK выдает сообщения о многочисленных пересечениях файлов ("... cross linked on cluster ...") и цепочках потерянных кластеров ("... lost clusters found in ... chains."). При попытке скопировать с такой дискеты программные файлы из них копируется только 1024 байта, хотя в каталоге стоят совсем другие длины. Однако, стоит только исполнить одну из этих программ, как дискета сама по себе исправляется. Основная идея вируса заключается в том, что его тело находится на диске в одном месте. Обычно это последний кластер диска, который при этом помечается в FAT как "конец файла". Одновременно в каталогах для всех COM- и EXE-файлов ссылка на начало файла меняется на этот кластер, а правильный указатель в закодированном виде прячется в резервной области строки каталога. Таким образом, при запуске любой программы в память загружается вирус. После этого вирус подключается к дисковому драйверу и при всех нормальных обращениях к каталогу отдает правильные ссылки. К сожалению, в вирусе имеются ошибки. Во-первых тело вируса не всегда записывается на диск, хотя ссылки и указывают на то место, где он должен быть. Кроме того, вирус иногда неправильно определяет параметры диска и образуются два потенциальных места размещения вируса. Если такая ситуация происходит на диске "C:", система перестает загружаться. Почти безнадежно испорченым диск оказывается в случае, если до лечения его обработали программой CHKDSK с параметром /F (естественно при загрузке со здоровой системы). DIR_2 В связи с появлением этой версии вируса алгоритм лечения был переработан. Теперь существенно повышена вероятность успешного лечения. Если диск испорчен вирусом, но AIDSTEST вирус на диске не обнаруживает, можно попытаться использовать ключ "/S". DIR_3 Отличается от предыдущих очень мало. DIR_D Явно местного производства - при каждом обнаружении в секторе каталога расширения ".DBF" вычитает 1 из второго байта длины, что уменьшает длину файла на 256, причем на проход через нуль внимание не обращается. Теоретически после лечения такие файлы можно исправить, но готовых подходящих программ я не знаю. Кроме того, вирус стирает с диска все файлы с именами, начанающимися на "AIDS" и "ADIN". DIR_4 Имеет длину кода больше 1024, в связи с чем занимает четыре сектора. Не заражает диски, имеющие кластеры из одного сектора (в частности, дискеты 1.2 Мб), а также с недоступными последними кластерами. Может исполнять мелодию Паганини аналогично вирусу Tumen, но для этого в момент прерывания от часов во всех регистрах: AX, BX, CX, DX, BP, SI, DI должно быть одинаковое ненулевое значение. Такую ситуацию можно вызвать только искуственно. DIR_5, DIR_6, DIR_7 Переделки первой версии, в результате которых добавлены мелкие ошибки. DIR_5 содержит текст "For pirates....". DIR_8, DIR_9, DIR_10, DIR_11 Еще одна группа переделок первой версии. Похоже, что из одного источника. Два из них - 9 и 10 - кодируют себя. DIR_10 имеет в конце жуткую надпись "CREEPING DEATH 3". DIR_EXE Вполне оригинальная разработка. Повторена только основная идея способа заражения. Тело вируса, имеющее формат EXE, помещает в "Cluster 1", т.е. в конец Root Directory. Такой подход спасает от заражения дискеты 1.2 и 1.4, поскольку у них в кластере один сектор. В качестве компенсации заражает все диски, в том числе размеченные DM и ADM. Побочным эффектом является блокирование ошибок от всех драйверов устройств. Например, исполнение команды "COPY ...... prn" при выключенном устройстве печати проходит без каких бы то ни было сообщений об ошибке. DIR_X Какой-то подлец заменил в первой версии пять команд. DIR_XX-1024 Очередная переделка начального варианта. DIR_DX Переделка вируса DIR_D (скорее всего не авторская). На этот раз портится длина и у файлов с расширениями ".ZIP" и ".AR?". При лечении от этого вируса приходится обнулять время создания файла. DIR_Hnd-2048 Образует на всех зараженных дисках файл CHKLIST.MS. Есть текст "The-Hnd" и "". С 1996 года планирует раз в месяц в начале каждого четвертого часа выводить под музыку в первой строке экрана текст "TRABAJEMOS TODOS POR VENEZUELLA !!!". DIR_Hippie-1024 Еще одна переделка. За счет выброшенных тонких мест освободилось место под тексты: "По Интегралу плывет пирога, в ней едут хиппи, их очень много.", "БОИНГ-748", "ПО-2", "ТУ144". DIR_Oct-1024 Очередная переделка. В конце текст "Не забудь поздравить себя с днём рождения 20 октября.". ПРИМЕЧАНИЯ: Обнаружена способность большинства разновидностей вируса к двукратному заражению (по крайней мере на дискетах). Это происходит при попеременной работе с дискетами разных типов. После этого успешное лечение становится невозможным. Как упоминалось выше, довольно часто на испорченном диске не оказывается тела вируса. Лечение в этом случае возможно при помощи специальной процедуры проверки, которая включается заданием ключа "/S". При этом в протоколе различаются следующие разновидности: DIR, DIR_D, DIR_EXE, DIR_DX, DIR_6.