E266.1072

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. 22-го июня выводит текст:

To the E-266, gone in our presence, living in our minds...The only iNTeRCePToR capable of speeds over Mach 3..The 'eXeCuToR' was the fear of all USAF pilots facing the iNTeRCePToR.





Демонстрации вирусных эффектов:

E266.COM



Eader.2000

Очень опасный нерезидентный вирус. Ищет .EXE-файлы и записывается в их конец. Нерезидентен, но оставляет в памяти небольшую резидентную программу, которая перехватывает INT 13h и иногда гадит на флоппи-диски. Вирус также содержит строку:

EADEREXE






EAF, семейство

Безобидные нерезидентные самошифрующийся вирусы, ищут COM-файлы и записываются в их конец. Используют антиотладочные приемы, содержат строку:

EAF0FF00F0


"EAF.737" содержит также строку:

K-4C VIRUS by KФhntark*.COM


"EAF.655,656" не содержат никаких строк, они выводят на экран имя только что зараженного файла.





Easy.200

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

Easy!






Eatrich.946

Опасный резидентный зашифрованный вирус. Копирует себя в UMB-память, перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Не заражает файлы *N386.* и *N286.*. При инсталляци в память уничтожает антивирусные базы данных: ANTI-VIR.DAT, CHKLIST.CPS, CHKLIST.MS. Если в памяти резидентно устанавлен антивирус TBSCAN, вирус выводит сообщение и перезагружает компьютер:

TbDriver, TBAV TSR utilities driver (C) Copyright 1992-94 Thunderbyte BV.ERROR!.



Вирус также содержит строку:

Eat the Ritch virus by Sx (c) 1995 AeroSmith Rulze!






Ebola, семейство

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при обращениях к ним. В зависимости от текущей даты выводят тексты:

"Ebola.3000.a":


Ebola virus 1.2!Extremly stealthmutating system!Technical infos:No way to detectFucked heuristicGreets go to allvirus developinggroups in Brno !Czech republic94



"Ebola.3000.b":


Ebola virus 1.4!Extremly stealthmutating system!Technical infos:No way to detectFucked heuristicGreets go to allvirus developinggroups in Brno !



"Ebola.3000.c":


Ebola virus 1.0!Extremly stealthmutating system!Technical infos:No way to detectHeuristic analysoften impossibleGreetings go toauthor of VolkovYour data are OKaNytime,ANywHereCzech rep. 1994!









Ebola_II, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записывается в середину COM-файлов при записи (AH=40h) в эти файлы. При заражении вирус ищет "дыру" из нулевых байт в теле файла и записывает свой код в обнаруженную "дыру". Содержит строки:

"Ebola_II.313": Ebola #2"Ebola_II.378": Ebola #1







ECW.570

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Выводит строки:

Evil Crusader Warrior X will rule..!!!!!!!!!!ECW-X Rules the Universe , Kneel for your righteous Ruller Forever!!!







Eddie, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец файлов. Содержат строки:

"Eddie.651": Eddie lives"Eddie.1797": McAfee and Associated (C)1992 Diana P. This program was written in the city of Sofia (C) 1988-89 Dark Avenger"Eddie.1799": Francis lives...in Hong Kong! Diana P. This program was written in the city of Sofia (C) 1988-89 Dark Avenger"Eddie.1800": Eddie lives...somewhere in time Diana P. This program was written in the city of Sofia (C) 1988-89 Dark Avenger"Eddie.1800.b": Never buy Quest computers again! This program is not dangerous stamp. All new software seriosly danger"Eddie.2000": Диана П. (c) 1989 by Vesselin Bontchev Zopy me - I want to trawel"Eddie.2100": Диана П. (c) 1989 by Vesselin Bontchev Eddie lives"Eddie.2000.b": 1994 Satan Virus[ Ver 3.09 ] 1994 by [Mad Satan] in TAIWAN."Eddie.2000.c": Only the Good die young... (c) 1989 by Vesselin Bontchev."Eddie.2000.d": go, go with a smile (CK) by McAfee Associates. (408-38





Eddie.651

Инфицирует COM- и EXE-файлы при загрузке их в память для выполнения. У заражаемого файла устанавливает значение 62 секунды. Никак не проявляется.

Перехватывает функции DOS FindFirst/Next FCB (команда DIR) и "уменьшает" длины зараженных файлов. При "уменьшении" длин файлов вирус определяет их зараженность по значению секунд даты последней модификации (62 секунды) и не проверяет истинных длин файлов. Если такое значение секунд встретится у файла небольшой длины (менее 651 байт), то команда DIR выдаст странную длину файла - около 4 гигабайт.

Eddie.1800

Резидентный очень опасный вирус. Изменяет векторы прерываний 13h, 21h, 27h. Быстро размножается: инфицирует COM- и EXE-файлы при загрузке их в память для выполнения, при создании, переименовании, открытии и закрытии файлов.

Вирус предпринимает ряд эффективных мер для того, чтобы остаться незамеченным:

- при старте любой программы помечает программный сегмент как последний и становится невидимым для этой программы, по окончании работы программы вирус помечает программный сегмент как не последний;

- аналогично поступает с вектором прерывания 21h при старте программы: восстанавливает его первоначальное значение;

- не позволяет программам изменять вектор прерывания 21h и защищается таким образом от резидентных антивирусов, установленных после того, как активизировался вирус;

- пытается обойти программы, следящие за прерыванием 13h, и установить вектор этого прерывания в его первоначальное значение.

Очень опасен: периодически стирает сектор со случайным номером ("оплевывает" диск), при этом может уничтожить часть информации на диске. Анализирует 2 байта (8-й и 10-й) загрузочного сектора диска, с которого была запущена зараженная программа. Увеличивает на 1 значение 10-го байта и сохраняет его в загрузочном секторе. Если новое значение 10-го байта кратно 16, то стирает на диске сектор со случайно выбранным номером, зависящим от значения 8-го байта.



Eddie.2000,2100

Резидентные очень опасные вирусы. Изменяют INT 13h, 21h, 27h. Быстро размножаются: инфицируют файл при загрузке его в память для выполнения, при создании, закрытии и переименовании файла, при чтении или изменении его атрибутов.

Вирусы следят за тем, чтобы длины заражаемых файлов увеличивались ровно на 2000 (или 2100) байт (к EXE-файлам, помимо выравнивания на границу параграфа, дописывается необходимое число байт). У заражаемых файлов устанавливается новое значение секунд даты последней модификации файла - 62 секунды.

"Eddie.2000" предпринимает ряд эффективных мер для того, чтобы остаться незамеченным, многие из них повторяют аналогичные меры вируса "Eddie.1800". Маскирующую функцию играет длина вируса: достаточно трудно заметить приращение длины, кратное 1000 байтам. Введена и другая функция защиты: вирус перехватывает функции DOS FindFirst/Next FCB и "уменьшает" длины зараженных файлов на 2000 байт.

"Eddie.2100" дополнительно к этому обрабатывает функции FindFirst/Next ASCII; исправлена ошибка, из-за которой команда DIR сообщала, что длина файла около 4 гигабайт (см. описание вируса "Eddie.651"). Непонятным образом манипулирует с секторами винчестера, видимо, пытается либо активизировать, либо вылечить неизвестный мне загрузочный вирус.

Вирусы "Eddie.2000" и "Eddie.2100" очень опасны: как и вирус "Eddie.1800" они стирают сектора со случайными номерами. При этом вирусы обращаются напрямую к драйверу, обслуживающему диск, и обходят многие резидентные блокировщики.

Если в теле запускаемой программы содержится строка "Vesselin Bontchev" (Весселин Бончев - автор известных болгарских антивирусов), то вирус зацикливается и система зависает.



Eddie.1028

Модификация "Eddie.1800": текстовые строки заменены на обработчик INT 1Ch (там - холостой цикл), удалены коды записи в сектора дисков.



Eddie.1530

Очень опасный резидентный вирус, перехватывает INT 21h, 27h и поражает COM- и EXE-файлы при обращениях к ним (переименование, изменение атрибутов и т.д.). Периодически перегружает компьютер, стирает часть CMOS-памяти.





Eddie.Father

Безобиден, содержит текст:

In memory of my father.(C)Nduk '91




Eddie.Jasper

Очень опасный самошифрующийся вирус. Перехватывает INT 8, 21h и 27h. В зависимости от системного времени уничтожает файлы или выводит текст:

If You Liked This Virus,Call Asaf, At +972-4-225288!


Также содержит строку:

Written By Jasper,and Dedicated to Freddie Mercury.




Eddie.Jericho

Содержат тексты:

"Eddie.Jericho.a": JERICHO by Eurystheus<FoG>0Calgary"Eddie.Jericho.b": JERICHO0Eurystheus0Calgary AB



"Eddie.Jericho.b" безобиден, не перехватывает INT 27h и не гадит на диски. Содержит ошибку и не заражает EXE-файлы.



Eddie.Korea

Плагиат вируса "Eddie.1800". Содержит тексты:

If you are a thieve man, virus lives...somewhere always! You must become good man! Kang Yong Il. This program was adjustted in 'Commputer Home' of KOREA (C) 1988-89 ,LSR+KYL





Eddie.Major

Вариант вируса "Eddie.1800", содержит строки:

Written In Turbo Assembler v2.84(C) 1992 MajorBBS Patch v1.0This Program Was Written To Patch The Backdoor Of MajorBBS(C) 1992 by Leroy Janowa





Eddie.Oliver

Содержит тексты:

Bill the Cat Lives!


by Oliver Wendell JonesPolitically Incorrect Personal Computers Presents:the OLIVER VIRUS! Nya Ha Ha! Men Rule! America Kicks Butt! Rap Sucks!Eat Fatty Food! Dames Melt Like Jell-O for Naughty Men!Ted Kennedy Sucks Barney Frank`s Fag Cock!



Berk B.


Banana 6000 P.I.P.C. (C) I spell -Lightening- wrong!




Eddie.Psko

Содержит строки:

The Ps!ko Virus - Version 1.0сSiTTThe Ps!ko Virus - Written in the USA, (C)1991 by SiTT and The Violator





Eddie.Satan.1800

Вариант "Eddie.1800", содержит строки:

* Satan Virus * Satan Ver 2.09- Satan Virus - 1994 Written by Mad Satan in TAIWAN. =Ver 2.09=





Eddie.Shyster

Вариант "Eddie.1800", содержит строку: "Shyster".



Eddie.Sign

Также плагиат с "Eddie.1800" (практически один-в-один). Содержит текст: "#.I.R. *-*-*-* Sign of the time! &^%s%c%d".



Eddie.Uriel

С 15-го февраля форматирует диски. Содержит ошибки, которые могут привести к зависанию компьютера. Содержит строки:

0ф0Uriel 1.000Eur<FoG>





Eddie.Apa

Семейство "Eddie" . Неопасен, резидентен. Перехватывает INT 8, 21h, 27h и записывается в конец COM- и EXE-файлов при их запуске, открытии, переименовании, изменении их атрибутов. При этом вирус пытается также поразить COMMAND.COM корневого каталога текущего диска. Содержит текст ":\COMMAND.COM". Периодически расшифровывает и выводит сообщение:

Apa depistata in microprocesor !Functionarea poate fi compromisa !Se recomanda oprirea calculatorului citeva ore pentru uscare ! Hellhound - Constanta, Romania





Eddie.Alexander

Семейство Eddie . Неопасный вирус, перехватывает INT 8, 21h, 27h и поражает COM- и EXE-файлы. Через некоторое время после инсталляции выводит на экран картинку:

+--------------------------------------+| Apa depistata in microprocesor ! || Functionarea poate fi compromisa ! || Se recomanda oprirea calculatorului || citeva ore pentru uscare ! || || Alexander - Constanta, Romania |+--------------------------------------+



а затем проигрывает мелодию.





Edolan.832

Очень опасный резидентный вирус. Записывается в конец .COM-файлов (кроме COMMAND.COM). При запуске перехватывает INT 21h и обрабатывает запуск файлов. При запуске .COM-файла заражает его, затем ищет и заражает .COM-файлы текущего каталога, затем ищет файлы *.DBF и проверяет их на наличие строки EDOLAN. Если такая строка найдена, вирус стирает сектора дисков C: и D: Содержит ошибку, в результате чего зараженные файлы небольшой длины вешают систему при их запуске. Содержит строки:

COMMAND.COM*.DBF*.COM







EDS.692

Неопасный нерезидентный вирус, ищет .COM-файлы текущего каталоша и записывается в их конец. Иногда выводит сообщение:

Welcome in the EDS Virus Version 2.0(c) 1992 The Ultimate Virus CreatorCopy me ! I want to travel !







Egg, семейство

Резидентные безобидные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при обращениях к ним. Перехватывают также INT 6Ch и используют его для идентификации своей TSR-копии при инициализации. Вирусы также содержат в себе тексты:

"Egg.833": egg"Egg.1000": [EGG]-1000 xxxxxxxyyyyyyyzzzzzzz eat cry sleep pizza cash getbackjack'chickens are good.ribbitribbitmefrogufrogwefrogs







Einstein

Резидентный безобидный вирус, перехватывает INT 21h и записывается в конец запускаемых .EXE-файлов. Содержит строки:

exeEXEEinstein







Einvolk.640

Нерезидентные вирусы. Ищут .COM-файлы текущего и родительского каталогов и записывают себя в конец обнаруженных файлов.

"Einvolk.521,525" очень опасны. В ноябре форматируют сектора дисков и выводят тексты:

"Einvolk.521": Weimar Republik 525 VF!93"Einvolk.525": Big brother is watching you. Virus Factory 93



"Einvolk.640" безобиден, содержит строку:

Ein volk, Ein reich, ein fБhrer!John.L.VF!93







Enola, семейство

Очень опасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец COM- и EXE-файлы при обращениях к ним. EXE-файлы переводятся в COM-формат (см. вирус "VACSINA" ).

"Enola.1864" проявляется следующим образом: стирает сектора со случайными номерами, вызывает INT 5 (печать экрана). Содержит строки:

comexeEnola Gay is now flying to SoftPanorama!command



"Enola.2430" записывает в Boot-сектора и MBR винчестера программу, которая при загрузке выводит на экран текст:

Long Live KOBA JUGASHVILI, The Chief Of All Times and Nations !


В зависимости от некоторых условий форматирует винчестер. Также содержит тексты:

Enola Gay LIVE! and now flying to SoftPanorama! Version 1.9 (C)ViruSoftPanorama 1990-91command





Демонстрации вирусных эффектов:

ENOLA.COM



EnolaGay.1183

Безобидный резидентный вирус. Перехватывает INT 21h, 27h, 2Fh и записывается в конец COM- и EXE-файлов при их закрытии, если они были открыты на запись (например, при копировании файлов). Вирус перехватывает вызовы Terminate And Stay Resident (INT 21h, AH=31h, или INT 27h) и дописывает свой код к программам, которые остаются в памяти резидентно. При этом вирус перемещает свой код в памяти.

Содержит строки:

Enola Gay ver.2.01 (C) 1994 by HPR Lab.Accidents newer happen...







Enter.613

Опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при обращениях к ним. При 100-м нажатии на ENTER перезагружает компьютер.





Enterprise.625

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. 6-го декабря расшифровывает и выводит сообщение, затем завешивает компьютер:

CPU errorSystem halted



Также содержит строку:

ENTERPRISE 2






Epsilon, семейство

Опасные резидентные компаньон -вирусы. Перехватывают INT 21h и заражают запускаемые EXE-файлы.

"Epsilon.513" содержит ошибки и иногда вешает систему. Содержит строку:

<Epsilon 1.0 (C) 15.3.1995 B.T.Pir8>




"Epsilon.1498" перехватывает DOS-функцию GetVector и, когда какая-либо программа пытается взять вектор INT 21h, вирус устанавливает INT 21h в его первоначальное значение и через 64 нажатия на клавиатуру опять перехватывает INT 21h. Для этого вирус также перехватывает INT 16h.

Вирус не хранит в памяти своего кода полностью. При заражении памяти он запоминает имя файла, из которого запущен, и при заражении очередных файлов считывает свой код из этого файла.

В зависимости от своего случайного счетчика записывает в сектора дисков текст:

<Epsilon 1.9 (C) 27.4.1995 B.T.Pir8 * This virus was written in the city of Brno, Czechoslovakia (4Ever!), Europe (No such bloody America !). Drink only Tuzemsky Rum and fuck only Slovak girls ! * A word to AEC, especially BBS Sysop and Mrnustik & comp. : You are bloody fucked idiots ! I'l destroy your dirty sickening BBS. Get ready, stupid idiotic lunatics ! Get ready for WAR !!! * Message to Grisoft : Your AVG 3.3 is nice but not very succesfull on Epsilon, I'm afraid.>





Error.628

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит грубые ошибки, в результате чего довольно редко заражает файлы, зато гораздо чаще завешивает систему.





ErrorInc, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Содержат строки:

"ErrorInc.260": (c)"ErrorInc.393": (c)"ErrorInc.465": (c)







ErrorMem.1994

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Не заражает файлы: SCAN.EXE, TBSCAN.EXE, TBAV.EXE, MSAV.EXE. В зависимости от своих счетчиков выводит текст и завешивает компьютер:

Error, memory 1F8E:07A2 hardware internal ...






ErrorVirus

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращении к ним. В сентябре выводит текст:

-=> ERROR Virus Version 0.1B (C) 1994 JH <=-






ES.400

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит слово-идентификатор "ES". 27-го и 28-го сентября выводит текст:

Your drives were on the Estonia... They DIDN'T survive!!!






Esime.379

Опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. 5 марта уничтожает текущий диск. Содержит текст:

ESIME VIRUS BY(C). ARV






Esot, семейство

Безобидные нерезидентные вирусы. Ищут .COM-файлы и записываются в их конец. Никак не проявляются. Содержат строку:

\ *.* *.COM


"Esot.500" также содержит строку:

[ MONSTER ]






Cемейство Espacio

Неопасные резидентные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец COM- и EXE-файлов при их запуске. Содержат в себе запакованную утилитой PKLITE одну из старейших игрушек PAC-MAN. При инсталляции вирусы распаковывают игрушку и в зависимости от системного таймера запускают ее. При запуске игрушки вирусы перехватываю INT 09h и при нажатии Alt-Ctrl-Del возвращают управление прерванной программе. Код игрушки содержит строки:

Recorre la HabanaPresione la tecla ESPACIO para comenzeren busca de nuevas aventurasCopyright: NASA-MAN 1993Oprima ESPACIO para seguir PAC-MANeando ...oystick button FOR JOYSTICK PUNT.







Est.580

Опасный нерезидентный вирус. Ищет EXE-файлы и записывается в их начало. Первоначальный заголовок файла шифрует и записывает в конец файла. Содержит ошибки и портит некоторые файлы. Содержит/выводит строки:

Bad command or file nameEST







Este.303

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

Este es un codigo agregado para ver si pincha






Elaine.1127

Очень опасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец .COM- и .EXE-файлов при их запуске. В некоторых случаях портит сохраняемую на диск информацию. Содержит строки:

Elaine 1.0 28 May 1994E1.0=N







ELCN, семейство

Неопасные нерезидентные вирусы. Ищут COM-файлы и записываются в их начало. "ELCN.374" не заражает COMMAND.COM. Выводят тексты:

"ELCN.374": Лозинский - ЛОСЬ !!!


"ELCN.424":


Ты за Ельцина [y/n] ? Значит ты ублюдок ! Я тоже.



Также содержат строки:

"ELCN.374": COMMAND.COM "ELCN.424": Bryansk ELCN







Elena, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. При запуске на винчестере портят сектора флоппи-дисков и заражаемые файлы. "Elena.730" содержит строки:

Elena M.Tnx2NManHey Jack! please contact me, I'm in your city! What? This is a simplevirus? Don't worry...it's only a demo!







Elite, семейство

Безобидные нерезидентные вирусы довольно короткой длины. При запуске ищут .COM-файлы текущего каталога и записываются в их конец. Никак не проявляются.





Eliza, семейство

Нерезидентные очень опасные вирусы, ищут .COM-файлы и записываются в их начало.

В пятницу 13-го "Eliza.1184" ищет .EXE-файлы и стирает часть их заголовка. В зависимости от системного таймера форматирует диски, после чего сообщает:

++ Hi! I am Eliza. Good Luck! ++


В пятницу 13-го "Eliza.1282" форматирует диски. Содержит строку:

++ Hi! I am Venus. Good Luck! ++






Elvira, семейство

Неопасные нерезидентные вирусы. Ищут .COM-файлы в текущем каталоге и записываются в их конец. Заражают файлы только в октябре и ноябре. В декабре лечат их и выводят текст:

<-: Tip von Virus ELVIRA 2.1 R: :-><-: Traue nie Deinem Viren-Scanner! :->







Em, семейство

Очень опасные нерезидентные зашифрованные вирусы. При запуске зараженного .EXE-файла вирус открывает файл C:\AUTOEXEC.BAT, считывает его и ищет строку, которая начинается с "path" или "PATH". Если таковая строка обнаружена, то вирус вставляет после нее строку "em":

...PATH= ...em...



Затем вирус создает файл C:\EM.COM, в который записывает свое тело (1303 байт). Таким образом вирус создает свой "дроппер", вызываемый при каждом запуске файла AUTOEXEC.BAT. После заражения файла AUTOEXEC.BAT вирус передает управление программе-хозяину (.EXE-файлу).

При запуске файла EM.COM (например, при каждой загрузке с диска с "зараженным" AUTOEXEC.BAT) вирус ищет все .EXE-файлы диска C: и записывается в их конец.

28-го числа каждого месяца вирус вызывает процедуру, которая сканирует дерево подкаталогов и записывает пробел (20h) в первый символ всех файлов, подкаталогов и меток тома (т.е. всех обнаруженных объектов). При этом он использует функции абсолютного доступа к секторам дисков (INT 25h/26h). В результате вся информация на диске становится недоступной.

Вирус содержит строки:

pathPATHem.com c:\ autoexec.bat c:\*.* *.exe







Emas.2456

Неопасный резидентный частично зашифрованный стелс -вирус. Перехватывает INT 22h, возвращает управление программе-носителю, ждет окончания ее работы, затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от номера своего "поколения" выводит текст:

|| 50th Indonesia Emas


Также содержит строки:

(c)05,06-95 Emhaka!** pyuhh... ruwet juga sih....*Rev: OV32.PAS*Com: TP70>> BL-93115 <<





Демонстрации вирусных эффектов:

EMAS.COM



Emhaka.749

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Никак не проявляется, содержит строку:

(c)10-1994 Emhaka!






Emilia.214

Очень опасный нерезидентный вирус. При запуске выводит текст:

Enter girl to seduce:


и ждет имени файла. Затем записывается вместо указанного файла и добавляет:

is now infected!


Если файл не обнаружен, вирус выводит:

is not found - not infected!


Вирус также содержит строку:

Donelli LAMBRUSCHO DELL РMILIA BIANCO






Emmie, семейство

Неопасные (кроме "Emmie.2241,2823,3097", периодически стирающих сектора диска) резидентные вирусы, перехватывают INT 9, 10h, 17h, 21h и 27h. Заражают COM-файлы при их выполнении. Изменяют цифры, выводимые на экран и принтер. Повторяют символы, вводимые с клавиатуры. "Emmie.2823,3072" используют алгоритм самошифровки.

Записывают себя в конец файлов и изменяют вторую (не первую) команду в файле на команду перехода на вирус:

XXXX XXXX ; первая командаCALL VIRUS ; переход на вирус.... .....



Содержат строки:

My name is Emmie, I am Eddie`s sister..com .COMIt`ll tire you too much.



"Emmie.3072" содержит строку:

My name is Emmie+, I am Eddie`s sister.






Emorph.1696

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При заражении третьего файла перехватывает INT 8, 10h, 13h и проявляется несколькими способами: запускает по экрану шарик (см. "Ping-Pong" ), меняет таблицу шрифтов некоторых символов, выводит сообщение:

[1993 por JMC Ver 1.1]


Также содержит строку:

E-Morph






EMS, семейство

Безобидные резидентные вирусы. Копируют себя в EMS и таблицу векторов прерываний, перехватывают INT 21h и записываются в конец COM-файлов при их запуске. Содержат строку:

EMMXXXX0






Enculator.1089

Неопасный резидентный вирус. При запуске зараженного файла записывается в COMMAND.COM и возвращает кправление программе-носителю. При запуске зараженного COMMAND.COM ищет COM- и EXE-файлы и записывается в их конец, затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Уничтожает файлы SMARTCHK.* и CHKLIST.*. Содержит строки:

ENCULATOR IIICOMSPEC=*.COM *.EXESMARTCHK.* CHKLIST.*COMMAND.COM





Enculator.Turbo.1366

Опасный нерезидентный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Иногда перезагружает компьютер. Содержит строку:

Sorry, I think this is a Brain Faillure !!!! TV II (C) Turbo Power 94






EndOf, семейство

Резидентные безобидные вирусы. Перехватывают INT 21h. При вызове DOS-функции ChDir ищут .COM-файлы текущего каталога и записываются в их конец. В конце зараженных файлов можно найти строку:

end of


При инициализации своей TSR-копии пытаются перейти в каталог "ЖМОБ".





Enjoy.1667

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Не заражает файлы KERNEL.*, KRNL.*, SCAN.*, CLEAN.*. 31-го октября выводит текст:

Welcome to the ultimate computer virus! This program is not destructive so I hope you'll enjoy it. But don't think this was it now... The evolution goes on!





Experiment.416

Нерезидентный безобидный вирус. Ищет .COM-файлы в текущем каталоге и записывается в их конец. Содержит текст:

----- Мелкий эксперимент ----






Experiments.755

Неопасный нерезидентный вирус. Ищет EXE-файлы и записывается в их конец. Содержит текст:

---- Small experiments path 2.1 ----






Explorer, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Также ищут и поражают *.SYS-файлы. Уничтожают файлы CHKLIST.MS и CHKLIST.CPS. В зависимости от своих внутренних счетчиков перехватывают INT 15h, 1Ch и проявляются каким-то видео-эффектом. Содержат строку:

>The 21st Space Explorer< ver 3.00






Explosion

Неопасный резидентный вирус, перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их выполнении. Периодически расшифровывает и выводит сообщение:

Dis is one virus.Leave the room IMMEDIATLY !!!Your PC is about to EXPLODE within 20 sec !



и через 20 секунд добавляет:

EXPLOSIONWhat did you expect ?





Демонстрации вирусных эффектов:

EXPLOSIO.COM



Exterminate

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущей даты перехватывает INT 9 (клавиатура) ждет ввода какой-то строки и выводит сообщение (строка и тескт сообщения частично испорчены):

--Exterminate--- virus from "Divide by 0" groupWritten by A.B.C. launch:17.03.94Members of D.B.0. group









Exterminator, семейство

Очень опасные нерезидентные вирусы, записываются вместо всех .COM-файлов текущего каталога. Периодически стирают сектора логических дисков. Содержат тексты:

*.COMExterminator 1.0 - (c) by Cracker Jack 1991 (IVRL)Italian Virus Research Laboratory (C) 1990,1991Message to Virus Researchers:Non rompetemi le palle o mi arrabbio...non so se sono stato abbastanza chiaro.....



Exterminator Virus 1.0 (c) by Cracker Jack 1991 (IVRL)No panic...this is a Harmless Virus...







Ezt.977

Очень опасный резидентный вирус. Перехватывает INT 21h и при вызове DOS-функции ChangeDir ищет .COM-файлы и записывается в их конец. При запуске архиваторов PKZIP или ARJ вирус портит все архивируемые .COM- и .EXE-файлы - вирус записывает в буфер чтения/записи троянскую программу. В результате файлы на диске остаются без изменений, а архив содержит их испорченные копии - поверх кода файлов записан троянец. При запуске такого файла троянец сообщает:

Ezt jвl megszбvtad!






Earle.1431

Опасный резидентный вирус. Записывается в конец .СОМ- и .ЕХЕ-файлов (кроме COMMAND.COM) при их запуске и открытии. После заражения 97-го файла вирус перехватывает INT 13h и перенаправляет все обращения к диску А: на диск В: и наоборот, а с вероятностью 0.04% в зависимости от своего счетчика перенаправляет обращения к секторам винчестера на диск A:.

Содержит строки текста:

COMEXEThis program is dedicated to my girlfriend Gabriela,who hates computers. SWITCH v 1.3 (C) by Windom Earle







Exe_vb.529

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Признаком заражения служат 2 байта в конце файла: "VB". Никак не проявляется.





Estier.2126

Очень опасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h записывается в конец COM- и EXE-файлов при их запуске и закрытии. При открытии зараженных файлов лечит их (стелс). Не заражает антивирусы: TBAV, TBSCAN, NAV, VSAFE, F-PROT, SCAN.

При запуске TBSCAN перехватывает INT 1Ch и добавляет к командной строке опцию "co". При помощи перехвата INT 1Ch вирус проверяет код TBSCAN (ищет в нем строку "DOS OWN") и патчит его. Вирус также ищет в памяти код антивируса TBDRV и исправляет его.

17, 28 июля, 7 сентября и в 14 минут 10 секунд любого дня стирает на диске C: boot-сектор, FAT, корневой каталог и выдает сообщение:

ESTIERCOL! - Paraguay






Etc.700

Нерезидентный неопасный вирус. Ищет .COM-файлы и записывается в их конец. Периодически выводит на экран:

Virus, (c) ETC


Также содержит строки:

*.COME.T.C. VIRUS, Version 3.0, Copyright (c) 1989 by E.T.C. Co.







Eumel, семейство

Безобидные нерезидентные вирусы. Ищут .COM-файлы на диске C: и записываются в их конец. Некоторые вирусы зашифрованы. "Eumel.381.b" содержит ошибку и портит файлы при заражении. Содержат строки:

Eumel.235: EUMEL 2.5 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!347: EUMEL 1.6 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!347.b: EUMEL 2.4 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!363: EUMEL 1.2 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!363.b: EUMEL 2.0 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to HtTM!363.c: EUMEL 2.1 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Sirius!370: EUMEL 1.5 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!381: EUMEL 2.3 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!381.b: EUMEL 1.8 VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!383: EUMEL 1.3 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!383.b: EUMEL 2.2 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!391: EUMEL 1.9 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!393: EUMEL 1.4 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!406: EUMEL 1.7 - VIRUS, written by TRoMMS from D-17xxx. Greetinx to Alex!





"Eumel.401" выводит сообщение:

You have got the Anti TRON Virus!Don't support TRON (MrMsNort) in D-17149 Stavenhagen





"Eumel.708" проигрывает мелодию, похожую на эффект вируса "Yankee" и выводит сообщение:

You have got the NO TRON Virus!Don't support TRON in D-17149 Stavenhagen







Eupm.1731

Резидентный очень опасный зишифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов (кроме COMMAND.COM). По 1-м числам ежемесячно стирает сектора дисков. Содержит текст:

-- E.U.P.M. 1991 -- COMMAND






Europe, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. При старте заполняет экран надписями:

Europe/92 4EVER!




Демонстрации вирусных эффектов:

EUROPE.COM



Euskara.811

Неопасный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Оставляет в HMA резидентную программу, которая перехватывает INT 9 (клавиатура) и в зависимости от вводимых символов либо проявляется каким-то видео-эффектом, либо расшифровывает и выводит текст:

Milaka Urtez Eutsi Dugu Eta Milaka Urtez Eutsiko. Euskara, Jalgi Hadi Plazara.





EVC.161

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается вместо всех запускаемых файлов. Выводит текст:

MaKe ViRii oUT T aSS


Также содержит строку:

EVC 1.0






Evgenich.161

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Содержит строки:

Evgenich*.com







Evolution, семейство

Очень опасные резидентные полиморфик -стелс -вирусы. При инсталляции трассируют и перехватывают INT 13h, 21h, перехватывают также INT 9. Записываются в конец EXE-файлов при их запуске, переименовании или закрытии. При открытии зараженного файла загружают его в память, трассируют до момента, когда код вируса оказывается расшифрованным, и после этого лечат зараженный файл, используя расшифрованные данные. Таким образом вирусы реализуют стелс-алгоритм.

При каждом 256-м вызове INT 13h вирусы инверсируют один случайно выбранный бит записываемой/считываемой информации. При нажатии Alt-Ctrl-Del вирусы проверяют свои внутренние счетчики и в зависимости от их значения выводят текст (первый - на китайском) и перезагружают компьютер:

"Evolution.2761":-=0рсо|ъ[0+Рф/D+Х-rv+##||+уС0э1'o+#+Яa|k \ич-#+Dec 1993#|6-



"Evolution.2770":-=0 Evolution 2001 Virus was done by lord Salivantis - Nov/Dec 1993 0=-



Вирусы активно используют инструкции процессора i386. При инсталляции (если процессор находится в real mode) копируют таблицу векторов прерываний в свое тело и устанавливают указатель Interrupt Descriptor Table Register на эту скопированную таблицу. В результате процессор будет обращаться к этой таблице при вызове прерываний. Стандартная таблица (по адресам 0000:0xxx) не будет используется процессором, например, ее можно затереть нулями, но компьютер по-прежнему останется работоспособным.

Этот алгоритм направлен против отладчиков и антивирусных программ, поскольку отладчики не смогут установить INT 01/03, а антивирусные программы не определят реальные адреса "вирусных" прерываний INT 13h, 21h, 25h, 26h.





Executioner, семейство

Резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец файлов. "Executioner.1659,1708" заражает COM-файлы при их открытии, "Executioner.2052,2304" - запускаемые EXE-файлы. Содержат строки:

"Executioner.1659,1708":


Lame41 [Executioner]


"Executioner.2052,2304":


This is a polymorphic virusIt was written by the ExecutionerIt's called the lame virus #21





Executioner.2052

Очень опасен - 18-го февраля стирает сектора диска C: и выводит картинку:

############ ############### DOHHH!! ################# Homer, your HaRd DrIvE is ############ # d3aD ############### ############# DOHHH!! ############# Lotsa-luv, ##### RiKkY mOuSe.





Executioner.2304

Неопасен - 15-го сентября выводит текст:

SHATTERED/Pantera/Cowboys from HellIt's storming broken glass, corpses left in pilesUngracious bludgeonment that breaks the earth for milesNothing can stop it, the day has come, from below it's catastrophicFreezing, there's no healing families are dyingThis world is shattered...all shatteredLife crushing turbulence, this wrath can't be deniedWishing you could help your friends, standing where they diedEchoes haunting, a hollow planet, lacerations, dissected nationFreezing, there's no healing families are dyingThis world is shattered...all shattered









ExeHeader, семейство

Резидентные вирусы.Записываются в заголовок EXE-файла при наличии там свободного места. Размера файла не изменяют.

Содержат строки:

"Bane.256": [Bane]"Bosco.a": BOSCO"Bosco.b,d:" BOSCO D'SOUZA"Bosco.c": ROYDEN D'SOUZA"Dina.271": Dina v4.4r"Dina.283": Dina v4.2r"Dragon.400": DRAGON-2 Anti"Grigory": <* Григорий Б.С. C-2.3 *>"HeaderBug.324": C:\DOS\SMARTDRV.EXE =HeaderBug="Hobbit.416": HOBBIT"Mike.252": (c) MIKE."Morality": MORALITY"Mz1": Mz1 Copyright (c) 1992 by Андрюшка"Renegade.416": Renegade"Retro": [Dying_Oath] by Retro"Vlad.337": [Serrelinda], Rhince/VLAD"XAM.278": XAM





"ExeHeader.VVM,222,223,384" безобидны. Перехватывают INT 13h и поражают файлы, если при чтении/записи сектора в нем содержится заголовок EXE-файла. Реализуют стелс -механизм на уровне INT 13h.

"ExeHeader.396" очень опасен, перехватывает INT 21h и поражает файлы при их запуске. Переводит EXE-файлы в COM-формат. Через каждые 256 удачных заражений пытается испортить жесткий диск.

"ExeHeader.440" очень опасен. Перехватывает INT 1Ch, 21h и записывается в EXE-файлы при их запуске или открытии. В некоторых случаях поражает и COM-файлы, заражая их как EXE. Такие файлы становятся неработоспособными и не лечатся. Вирус проявляет себя видеоэффектом.



ExeHeader.AntiArj

Портят сектора, содержащие заголовок ARJ-архива.



ExeHeader.Bosco

Ищут и уничтожают *.CHK-файлы.



ExeHeader.Clust

Зашифрованы, содержат строки:

"Clust.a": [Clust2] JT / TridenT"Clust.b": [Clust2B]"Clust.c": [Clust2C]





ExeHeader.Dragon.400

При запуске инсталлирует себя как системный драйвер. Обрабатывает функции чтения и записи. Если блок данных содержит EXE-метку (MZ) в своем начале, вирус записывается в этот блок данных. Является стелс -вирусом.



ExeHeader.Joan

Очень похож на "ExeHeader.Pure" (см. ниже). Содержит строку:

> Joan v1.2 by KiKo NoMo of T.N.T. Taipei/Taiwan 1995/08 <




ExeHeader.Ming

В некоторых случаях портит файлы при их заражении. В зависимости от текущего времени выводит сообщение:

Written By Crazy Lord (Ming)Made In Hong Kong





ExeHeader.Olya

Опасный стелс -вирус. 26-го апреля записывает в сектора дисков строку:

Olya Kibina




ExeHeader.Pure

Безобидные стелс -вирусы. Копируют себя в High Memory Area используя функции INT 2Fh, трассируют и перехватывают INT 13h.



ExeHeader.SkidRow

При заражении памяти копируют себя в один из системных буферов и перехватывают INT 13h. Если номер дня совпадает с номером месяца выводят сообщения:

"ExeHeader.SkidRow.415,427":


This is Skid-Row Virus Written by Dark Slayer * in Keelung. Taiwan *



"ExeHeader.SkidRow.432":


This is Skid-Row Virus Written by Dark Slayer % in Keelung. Taiwan %





ExeHeader.XAM.278

Перехватывает INT 16h и при обращениях к клавиатуре вирус ищет в системных буферах заголовки EXE-файлов и записывается вместо них.



Демонстрации вирусных эффектов:

EXEHEADE.COM



Exile.255

Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в начало COM-файлов при их запуске. В зависимости от содержимого зараженного файла стирает сектора дисков и выводит текст:

I'm Vindictive Exile!






Exit.376

Безобидный резидентный вирус. Копирует себя в таблице векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при их выходе в DOS. Содержит строку:

=Ильич=






Exorcist, семейство



Exorcist.212

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы, записывается вместо них, выводит сообщение:

Bad command or file name


и выходит в DOS. По первым числам ежемесячно стирает сектора диска C: Также содержит строки:

[RED MEASLES]Exorcist[DC]*.com





Exorcist.613,617

Очень опасные нерезидентные частично зашифрованные вирусы. Ищут COM-файлы и записываются в их конец. В зависимости от текущей даты стирают сектора дисков и выводят текст:

Relapse The Cronic Odium


Также содержат строки:

[ODIUM RELAPSE]*.com .. [Exorcist!dc^96]







Exp, семейство

Очень опасные резидентные вирусы. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. При открытии или отладке зараженных файлов лечат их. 24-го января стирают сектора дисков, затем расшифровывают и выводят текст:

Experimental virus v1.0 by TC (Spain 1994).