S5.1253

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку: "S5".





Sabotager.3133

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Не заражает файл, если его имя содержит символы: ID, WE или AD. Если на экран выводится строка "Лoзинский", то вирус выводит картинку:




%%@@################@% ПИШИТЕ ЖАЛОБЫ В ООH! @#########################@@% %@################################@% %####################################@@@ @####################################@@@@@ ######################################@@@@@@% %####################################@@@@#@@@ @################################@%%@@@@@@@@% @##%%%%%%@##########@@%%%%%%@####%%%@@@@@@@@% %% %@#####@@% %##@ %%%%%@@@ %@ @@@@@% @@ %%%@@@ ##% %#@@#%% %%%%%@@@@ %#######@@@##%% %####@@%% %@%%%%%%@% %##@#######%% %#######@@%%%%%%@@@@%%%@@ %@@%@@####% ##@@@%@@@@@@%@@@%% %%% @#####@%%%%%@@@@@@% % SABOTAGER @######@#####@#@%% Версия 1.0 %@@@##@@%@@@%@@@%% % Written by % % % % %% S H U L D E R %%%%%%% %%%%%%%%%%%%% %@% %####@%@@@@@@%%@@@@@@@@@@@@ %###############@@@#@@@@@@@ @################@@@@@@%%



Hажми любую клавишу ...






Sacrilege.1786

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Не заражает антивирусы TBAV, F-PROT, SCAN, CLEAN и VIRSTOP. При запуска зараженного файла 28-го марта с 10:00 до 13:00 вирус расшифровывает и выводит текст:

Virus "LA MULA RETOBADA", dedicado a Brocca..(jeje)".Special Greetings to: Blas Pascal , Mr.S, Krenchas.Fridirik agarrame las bolas, TBAV chupame el pitongoS&S haceme un pete y dejate de mentir, roba-guitaProfesora de Liquidacion de Sueldos TIRAME LA GOMAWalter Fabrica sos un PELOTUDO, LADINO, MENTI((profesionales en sitemas de informacion)) LADRONES..Aguante " Buenos para Nada " en concierto el 22/9/95 (que bienque toca el batero...quien sera????)Y por ultimo un gran saludo a DAVID SQUILLACE. a real Friend..Ahora si...Feliz cumpleaдanos Dr.k, feliz cumpleaдos Dr.k, feliz cumpleaдos, feliz cumpleaдos, feliz cumpleaдos Dr.K Gracias, gracias....1995 by Dr.K [PVC].





Sadam.919

Резидентный опасный вирус. Перехватывает INT 21h и при при каждом вызове INT 21h ищет .COM-файлы текущего каталога и записывается в их конец. Очень неграмотно работает с векторами прерываний и памятью компьютера, в результате чего может завесить систему. При каждом 8-м заражении выводит текст:

HEY SADAM LEAVE QUEIT BEFORE I COME






SadFace.843

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. В сентябре стирает сектора винчестера и выводит строку:

:-(


Также содержит строку:

comexe






Sadist.1209

Нерезидентный безобидный вирус. Ищет .EXE-файлы текущего каталога и записывается в их конец. Никак не проявляется. Содержит зашифрованную строку:

SADIST






Sailor, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец выполняемых файлов:


"Sailor.785": EXE при запуске "Sailor.834": COM при запуске "Sailor.1108": COM и EXE при запуске, переименовании и смене атрибутов



Содержат строки:


"Sailor.785": Sailor.Venus -b0z0/iKx- "Sailor.834": Sailor.Mercury -b0z0/iKx- ANTI-VIR.DAT CHKLIST.MS "Sailor.1108": Sailor.Mars -b0z0/iKx- TBAVF-VISCITIVFINACO



"Sailor.785" - полиморфик-вирус, никак не проявляется.

"Sailor.834" уничтожает файлы: ANTI-VIR.DAT, CHKLIST.MS. При запуске файлов *VP.* (AVP), *RO.* (AVPRO) или *OT.* (F-PROT) отключает процедуру заражения файлов.

"Sailor.1108" шифрует себя довольно сложным методом - при записи себя в файл пишет туда свой код задом-наперед (байт-за-байтом) за исключением команд вызова прерываний (CDxx). Эта процедура содержит ошибку и вирус в некоторых случаях портит файлы при их заражении. Не заражает некоторые антивирусы (TBAV, AVP, F-PROT,... см. строку выше) и файл COMMAND.COM.



Sailor.Neptune.938

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и заражает запускаемые COM-файлы. При заражении записывается в середину файла по случайному адресу, затираемый при этом блок данных шифрует и записывает в конец файла. Никак не проявляется. Содержит строки:


Sailor_Neptune -b0z0/iKx-





Sailor.Pluto.3673

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Содержит ошибки и в некоторых случаях завешивает компьютер. Не заражает файлы в соответствии со строкой "TBAVF-SCMSFINACO" - по два символа на имя: TBAV, AVP, F-PROT, COMMAND.COM и т.д. Также содержит строки:


Sailor_Pluto -b0z0/iKx- PADANIA - 1997 Chaos is the future and beyond it is Freedom [SMPE 0.2]









Sair.1150

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Шифрует сектора дисков, затем выводит сообщение:


Ben bir garip virusum Disket disket gezerim Bugun kismet sendeymis Yarin belki kimdeyim



Sair virus


Также содержит строку:

Fuck Serb Virus






Salamanca.1205

Опасный резидентный вирус. Перехватывает INT 21h и записывается в начало запускаемых COM-файлов. Содержит много ошибок и часто завешивает компьютер. В зависимости от текущего времени создает в корневом каталоге текущего диска файл VIRUS и записывает в него строку SALAMANCA. Затем вирус каким-то образом модифицирует данные корневого каталога диска C.





Salieris.1124

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. 26-го мая, 21-го октября, 26-го ноября перехватывает также INT 13h и при каждом вызове INT 13h выводит текст:

AIN'T A HACKER,AIN'T A CRACKER,I AM ONLY A MOTHERFUCKER.DEDICATED TO "MACA"


Вирус такде содержит строку:

VIRUS LOS SALIERIS DE CHARLY 2.






Salieri.1745

Очень опасный резидентный вирус. Перехватывает INT 17h, 21h и записывается в конец .COM- и EXE-файлов при их обращениях к ним. Различает программы от файлов данных по расширению имени .COM и EXE-метке MZ. При заражении файлов проверяет их имена и не заражает:

SCAN.EXE CLEAN.EXE RAWCOPY.EXE TNTVIRUS.EXE MSAV.EXE VSHIELD.EXE DETECTOR.EXE

В зависимости от системного таймера и данных, выводимых на принтер, вирус меняет печатаемые символы в соответствии с их расположением в строке:

AUEIOUVBvbCKckGJgjMNmnYIiyZSzsXSxsаaВeбiвoгu1736942508,.;:+-*/?и\/зж

Четные символы заменяются на предыдущие, нечетные - на последующие ('A' <-> 'U', 'E' <-> 'I', и т.д.)

В зависимости от системного таймера вирус также перехватывает INT 13h и запрещает запись на диск (за исключением моментов заражения очередных файлов). Это может вызвать потерю данных и зависание компьютера.

Вирус также содержит строку:

Programado en Sevilla por Salieri






Salman.2000

Опасный нерезидентный зашифрованный вирус. Ищет EXE-файлы и записывается в их конец. Не заражает файлы: SCAN.EXE, CLEAN.EXE, NAV.EXE, PACRUN.EXE. Уничтожает файлы: CHKLIST.MS, CHKLIST.CPS, C:\SIGNTURE.DAT. Выводит текст:

Kill Salman Rushdie and Taslima Nasrin !


Также содержит строку:

Kill them !!!






Sandy, семейство

Очень опасные полиморфик -вирусы. Записываются в конец EXE-файлов. Перед передачей управления программе-носителю лечат ее.

"Sandy.1038" нерезидентен, при запуске ищет .EXE-файлы текущего диска и поражает их.

"Sandy.1376" резидентен. Сначала ищет и заражает EXE-файлы, затем остается резидентным, перехватывает INT 21h, лечит файл-носитель, запускает его и после окончания его работы снова записывается в его конец.

200-е поколение вирусов записывает в файлы программу, которая при запуске выводит сообщение:


"Sandy.1038": YOUR P.C. Is Now Stoned! "Sandy.1376": sandy beaches bridges sinking into the sea beautiful confusion you're a fading memory



Вирусы также содержат строку:

*.EXE \*


"Sandy.1376" содержит строку:

Disappearer






SanLorenzo, семейство

Опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых файлов. "SanLorenzo.1025" заражает только COM-файлы, "SanLorenzo.1355" - только EXE. При заражении уничтожают файлы CHKLIST.MS, записывают в файл ANTI-VIR.DAT строки:


"SanLorenzo.1025": tbcheck "SanLorenzo.1355": TBcheck



При запуске F-PROT.EXE "SanLorenzo.1025" выводит сообщение:

Not enough memory


В зависимости от текущей даты и времени "SanLorenzo.1025" выводит сообщения и ждет нажатия на пробел:


SAN LORENZO CAMPEON 1995 by Mantis King El Ciclвn de Boedo se la banca, tiene aguante ! Boca sos puto, policбa y cagвn ! Abuelo Comisario Globo no existis. En el Bajo Flores vas a morir, sucio !



По 15-м числам "SanLorenzo.1355" выводит сообщение и завешивает PC:


Capaz de reprimir con palos y armas a tus propios hermanos que luchan reclaman- do Justicia e Igualdad...te haces llamar DEFENSOR DE LA LEY Y EL ORDEN. Tu sola presencia da asco y repugnancia.  Virus ANTI-YUTA, (C) Karl Xram, Abril 95 







Sarampo, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, при этом каждый раз пытаются заразить файл C:\COMMAND.COM. В зависимости от текущей даты перехватывают INT 1Ch и проявляются каким-то видео-эффектом. Содержат строки:

c:\command.com


и:


"Sarampo.1371": Do you like this Screen Saver ? I hope so. Created by Sarampo virus. "Sarampo.1470": Do you like this Screen Saver ? Cavaco - A virus created by The Portuguese Government







Saratoga (Icelandic), семейство

Резидентные опасные вирусы. Перехватывают INT 21h и записываются в конец каждого второго или десятого (в зависимости от версии вируса) .EXE-файл при его запуске или загрузке в память. После каждого удачного заражения файла объявляют один из свободных кластеров текущего диска сбойным (так называемый псевдосбойный кластер).





Slugger.288

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается вместо них. Выводит строки:


Runtime error 202 at 0000:0000 SLUGGER!







Small, семейство

Резидентные вирусы. При запуске копируют себя в таблицу векторов прерываний, перехватывают INT 21h и затем поражают COM-файлы при их загрузке в память. В зависимости от версии записываются либо в конец, либо в начало файлов. Большинство из вирусов семейства используют команды POPA и PUSHA процессоров 80x86. Могут некорректно заражать некоторые файлы. Принадлежат различным авторам. Видимо, появление семейства "Small" можно рассматривать как конкурс на самый короткий резидентный вирус для MS-DOS. Осталось только решить вопрос о размере призового фонда.

"Small.122.b" содержит ошибку: он заражает EXE-файлы как COM, эти файлы будут зависать при запуске.





SmartCock.512

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит/выводит строки:


Fucking shit Smart Cock







Smile_II.1113

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Блокирует DOS-вызовы "Delete File Using FCB" (INT 21h, AH=13h) и выводит при этом текст:

Access denied


В зависимости от системной даты перехватывает INT 1Ch и запускает по экрану символ рожицы. Содержит также строку:

Smile Virus.




Демонстрации вирусных эффектов:

SMILE_II.COM



Smiley.1983

Неопасный вирус, ищет и записывается в конец COM- и EXE-файлов. Нерезидентен, но может оставить в памяти небольшую программку, которая запускает рожицу, перемещающуюся по экрану. Вирус содержит строки:


\*.EXE *.* \*.COM OVFyANKEE Doodle#and VACsin. The red planet("INvasiOn IPR





Демонстрации вирусных эффектов:

SMILEY.COM



SMS, семейство

Безобидные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в начало запускаемых COM-файлов. Никак не проявляются. "Sms.480" содержит текст:


SmS bItEs !!!wRiTteN bY BiGMaRtY, 2/13/96 HaPpY vAlEnTiNeS DaY eVeRyOnE... tRy nOt tO fUcK tOo mUcH ;)







Smuggler.572

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При инсталляции в системную память увеличивает на 1 поле "Alarm Hours" в CMOS. Содержит зашифрованную строку:

Programa escrito por Mc Smuggler en Mar del Plata (C)1994






Smvb, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в начало запускаемых .COM-файлов. Содержат строки:


This Remark is used as an identification pattern for the Anti-Virus-Utility. Do not try to change it.




This Remark is used by the anti-virus utility as a pointer to the end of the Virus.



и:


"Smvb.1023": SmvbVir "Smvb.1100": ASUIDFMNCVOPSAIUFDNMVCPO



"Smvb.1023" перехватывает также INT 08h и перезагружает компьютер при запуске отладчиков, "Smvb.1100" перехватывает INT 16h и пытается (безуспешно) заменять символы, вводимые с клавиатуры. "Smvb.708" перехватывает INT 17h и заменяет символы, выводимые на принтер.





Snotkop.479

Безобидный нерезидентный .BAT-вирус. Создает файл SNOTKOP.BAT, который при запуске заражает файл, указанный как аргумент при запуске из командной строки. Затем вирус запускает этот файл с именами всех .BAT-файлов текущего каталога. В результате все .BAT-файлы содержат вирус в своем начале.





Socha.753

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их открытии. Размножается, если системный таймер указывает 1981 г. При запуске любого файла (кроме ME$.OVL и NCMAIN.EXE) к файлу C:\ M_EDIT\ME$.OVL дописывается командная строка. Содержит строки:


Socha C:\m_edit\me$.ovl comCOM







Sochi.703

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало и конец. Часть кода (395 байт) записывается в начало файла, остаток вируса и первоначальное начало файла записываются в конец файла.

Вирус записывает в MBR винчестера троянскую программу, которая содержит счетчик, уменьшаемый при каждой загрузке с пораженного MBR-сектора. Начиная с 40-й загрузки троянская программа выводит текст:

Enter password:


и продолжает загрузку DOS. При 60-й загрузке троянец стирает MBR винчестера. Троянец содержит в себе стандартный загрузчик активного boot-сектора и, как и стандартный MBR-сектор, содержит/выводит сообщения:


Invalid partition table Error loading operating system Missing operating system



Вирус также содержит строку:

*Ks&I* Sochi Olympic Games 2002






SoFar, семейство

Резидентные зашифрованные (кроме "SoFar.254") вирусы. Копирует себя в таблицу векторов прерываний и область данных DOS, перехватывают INT 21h и записываются в конец файлов при их запуске.

"SoFar.254" поражает только COM-файлы. Другие вирусы семейства поражают как COM-, так и EXE-файлы, кроме того при запуске файлов или смене рабочего каталога они ищут COM- и EXE-файлы и заражают их.

"SoFar.841" уничтожает файл CHKLIST.MS, по 29-м числам ежемесячно стирает сектора винчестера и выводит сообщение:

So Far,So Good,...So What?


Остальные вирусы содержат строки:


"SoFar.254": Sh "SoFar.973": Sh (C) Shel,NSTU,1994,v3.1 *.exe *.com "SoFar.988": Sh Novosibirsk,NSTU,1994,(С) Shel,v3.1 *.exe *.com







Sofia, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Создают файл SOFIA, содержат/выводят строки:


This Virus is named after a very nice, clever and cute girl, Sofia Sweden LoRD Zer0







Sofia_Terminator, семейство

При запуске трассируют INT 13h, 21h, перехватывают INT 21h и остаются резидентно в памяти. Записывается в конец COM-файлов при обращении к ним. Содержат строку: "Sofia 1993 by TERMINATOR".

"Sofia_Terminator.839" форматирует несколько случайно выбранных секторов.

"Sofia_Terminator.887,889,1369" проверяют конец файла на область, cоcтоящую из нулевых байт. Если они находят такую область, то записываются поверх нее. В результате такие файлы при заражении не увеличиваются.

"Sofia_Terminator.1369" поражает также EXE-файлы. В зависимости от текущего времени форматирует диски.





Sojourn.1369

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Не заражает: SCAN, CLEAN, F-PROT, GUARD, COMMAND, TB*. В зависимости от системного таймера добавляет к файлу C:\CONFIG.SYS команду: "DOS=SINGLE". Содержит также строки:


^Have you ever been to Sweden?^ CLEASCANF-PRGUARCHKDCOMMTB ^VIRAL SOJOURN (c)96 Evil Elk^







Squawk.852

Резидентный неопасный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Пищит динамиком компьютера, содержит текст:

Nguyen Van Cuong - Saigon IBM comppany.






Squeaker.1091

Резидентный неопасный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM-, EXE- и OVL-файлов при их загрузке в память. Периодически 'трещит' динамиком компьютера.



Демонстрации вирусных эффектов:

SQUEAKER.COM



Srp, семейство

Неопасные нерезидентные вирусы. При запуске ищут .EXE-файлы и записываются в их конец. При заражении очередного файла "Srp.2248" пищит динамиком компьютера. "Srp.2306" выводит строки:


This is SRP !!! (c)Copyright 1993,1994 Y&Y corp. Moscow Successfully







SSH, семейство

Неопасные резидентные вирусы. Перехватывает INT 5, 8, 16h, 17h, 21h, 24h и при вызове некоторых функций DOS (INT 21h, AH=0Dh, 15h, 16h, 22h, 28h, 3Ch, 68h, 5Ah, 40h) вирусы ищут .COM-файлы текущего каталога и записываются в их начала. При заражении создают файл .SSH, копируют в него себя и содержимое заражаемого файла, уничтожают заражаемый файл и переименовывают файл .SSH в имя только что удаленного файла. Вирусы проверяют клавиатуру на ввод фразы "My sister is SSH", запускают счетчик и в зависимости его значения проявляются каким-то видеоэффектом (на плате Hercules) и запрещают функцию PrintScreen и вывод на принтер.





Ssi, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске ("Ssi.623" заражает только COM-файлы). Некоторые из SSI вирусов перехватывают также INT 2Fh. Содержат строки:


"Ssi.623": SSI v. 1.00 "Ssi.905": SSI v. 2.01 "Ssi.1428": (*) (*) "Ssi.Uncle": (*) Small Uncle (*)







SSR.736,1945

Неопасные нерезидентные зашифрованные вирусы. При запуске ищут COM-файлы и записываются в их конец.

Начиная с 1994г. "SSR.736" лечит файл-носитель. Содержит строку:

(C) by Stainless Steel TechRat


8-го и 9-го мая 1995 года "SSR.1945" проигрывают мелодию (сильно исковерканную "Вставай страна огромная"), выводит тексты:


Б Е Й Ф А Ш И С Т О В !!! З А Н А Ш У С О В Е Т С К У Ю Р О Д И Н У ! *З а С т а л и н а и П а р т и ю !!!



Также содержит строки:

AntiFashist Это,собственно,не программа,а самое общее марксистское заявление... (В.И.Ленин) Советский сношатель by Stainless Steel Rat Проживи всю жизнь Этой датой ! S.S.R.S.S.R.S.S.R.S.S.R.S.S.R.S.S.R.S.S.R.S.S.R.S.S.R.S.S.R.S.S.R.



Демонстрации вирусных эффектов:

SSR.COM



SSR.18273,18364

Очень опасные резидентные полиморфик-вирусы. Зашифрованы не только в файлах, но и в памяти. Записываются в конец COM- и EXE-файлов при обращениях к ним. Зараженные файлы увеличиваются в размере на 18K, собственная длина вируса - около 11K (длина копируемого вирусом TSR-кода). Используют большое число различных полиморфик, антиотладочных, анти-антивирусных и прочих "хитрых" приемов. Настолько сложны, что гораздо чаще завешивают компьютер, чем заражают какой-либо файл.

Вирус в файле зашифрован тремя полиморфик-генераторами, и в зараженном файле присутствуют три абсолютно различных полиморфик-цикла расшифровки, которые при запуске файла последовательно расшифровывают код вируса: первый цикл расшифровывает второй цикл и снимает свою шифровку с третьего цикла и тела вируса, второй цикл расшифровывает третий цикл и тело вируса, затем третий цикл завершает расшифровку. Причем полиморфик-циклы помимо множества команд-"пустышек" используют также антиотладочные приемы.

Когда управление попадает собственно на тело вируса, оно оказывается все еще зашифрованным, и вирус выполняет окончательный (четвертый) цикл. Этот цикл достаточно сложен. Вирус устанавливает INT 1 на процедуру расшифровки одного байта, включает трассировку и выполняет "холостой" цикл (LOOP на себя). При этом каждый раз вызывается INT 1 и расшифровывается очередной байт кода вируса. Плюс к этому вирус не использует какую-либо постоянную комбинацию команд для расшифровки, а каждый раз выбирает команду из списка SUB, ADD, XOR, ROL в соответствии с некоторым алгоритмом, обратным алгоритму зашифровки при заражении файла.

Затем вирус инсталлирует себя в память. При этом проверяет свой идентификатор (сравнивает слово по адресу 0000:0198 с DEADh), трассирует INT 2Fh, используя полученный адрес определяет адрес INT 13h в BIOS, освобождает часть conventional-памяти, куда затем копирует свой код.

Перехватывает INT 21h. Для этого запоминает первые два байта обработчика INT 21h, записывает туда команду INT ACh (CDh ACh) и перехватывает INT ACh. Перехватывает также INT 1Ch и устанавливает INT ABh на свою подпрограмму заражения и "стелс".


Обработчик INT 21h Вирус +---------+ +---------+ <----+ |CDh ACh |----+ |.... | | зашифровано |.... | | |INT AB |<----+ | в TSR-копии |.... | | |заражение| | | |.... | | |.... | | | |.... | | |стелс | | | | | | |.... | | <----+ | | +---->|INT AC | | | | |.... | | | | |CDh ABh |-----+ | | |.... | +---------+ +---------+



Затем вирус аккуратно вычищает свой код, оставшийся в памяти при расшифровке, и отдает управление программе-носителю.



INT 21h



Перехватывает пять DOS-функций: 4B00h (Execute), 43h (Get/Set File Attribute), 3Dh (Open), 4Eh и 4Fh (FindFirst/Next ASCII). При обращениях к файлам заражает их. При вызовах FindFirst/Next подставляет первоначальную длину зараженных файлов ("стелс").

При всех этих вызовах вирус расшифровывает свой TSR-код, вызывает INT ABh, затем зашифровывает TSR-код и возвращает управление обработчику INT 21h. Когда управление возвращается первоначальному INT 21h, вирус восстанавливает два байта, затертые вызовом INT ACh, перехватывает INT 2Ah, ждет вызова INT 2Ah (этот вызов идет из ядра DOS), затем восстанавливает INT 2Ah и опять записывает в INT 21h команду INT ACh.

Вирус также перехватывает вызовы INT 21h, которые являются "Installation Check" некоторых вирусов и антивирусов, проверяет имя и расширение имени файла и проявляется различными способами (см. ниже).



Заражение



Вирус проверяет имя файла и заражает только .COM- и .EXE-файлы. Для того, чтобы отличить зараженные файлы от незараженных, он устанавливает специфичное время последней модификации файла: число секунд равно месяцу, умноженному на два. Затем вирус шифрует себя четыре раза (трижды - различными полиморфик-генераторами), записывает результат в конец файла и модифицирует заголовок файла. В начало .COM-файлов записывает команду JMP-Virus, а в .EXE-файлах корректирует поля CS, IP, SS и SP. Вирус также пытается обработать .COM-файлы, начинающиеся с JMP или CALL, и записать команду JMP-virus в адрес, куда указывает JMP или CALL, но все равно пишет JMP-Virus в начало файла.

Вирус также шифрует один байт в середине заражаемого файла: по адресу 0040h в COM-файлах и по смещению 200h от заголовка EXE в EXE-файлах. Зачем это делается - непонятно, скорее всего для того, чтобы было невозможно восстановление файлов при помощи лечащих CRC-сканеров (ревизоров диска).

При открытии файла для заражения вирус использует довольно оригинальный трюк, способный обмануть практически все резидентные мониторы. Для этого он "портит" имя файла: записывает 00h в первый символ расширения имени. Затем перехватывает INT 2Ah, вызывает DOS-функцию Open ReadWrite, ждет вызова INT 2Ah, который идет из ядра DOS, затем восстанавливает имя файла и адрес INT 2Ah. В результате пока такой вызов идет по цепочке INT 21h, имя файла не является подозрительным (COM или EXE), а когда запрос на открытие оказывается в ядре DOS, вирус восстанавливает первоначальное имя файла.



Заражение PKLITE



Особое внимание вирус уделяет файлам, упакованным утилитой PKLITE. Он записывает себя в конец файла, как и при заражении обычного файла, но команду JMP-Virus записывает в его середину. Для этого "портит" стандартный код распаковщика PKLITE таким образом, что при запуске файла происходит вызов процедуры, сообщающей:

Not enough memory


и возвращающей управление DOS. Вирус записывает код JMP-Virus в эту процедуру и таким образом получает управление при запуске зараженного PKLITE-файла. При возврате управления восстанавливает код PKLITE. В результате PKLITE не выдает сообщения об ошибке, а распаковывает и выполняет запакованную программу.





Проявления



Вирус проявляется несколькими способами. Во-первых, при вызовах INT 21h проверяет дополнительные функции:

1) FFh, FLU-SHOT (антивирусный монитор), вирусы "Jerusalem.Sunday", "Tumen", "Hero" - installation check

2) ABCDh, вирус "PME.Burglar" - installation check

3) 4B53h, вирусы "Horse" и "OneHalf" - installation check

4) CCCCh, ???

5) DEADh, несколько различных вирусов, installation check

Если обнаружен любой из этих вызовов, вирус пищит спикером компьютера и выводит сообщение:


!!! ALARM WARNING DANGER APPROACHING !!! Hacker-fucker TSR shit or Any Virus Detected !!! !!! ALARM WARNING DANGER APPROACHING !!! Hacker-fucker TSR shit or Any Virus Detected !!! Anyone who wants to fuck Revenge is Naivnij Man With best wishes & thanks to DialogScn Emulation engine will have problems with this ZHOM In future versions we will add : 1. Protected Mode Decryptor [VMME] 2. Adinf table Hacker-cracker 3. Destroy Files/Disks/CMOS/Printer/CDROM 4. Disk encryption and other BUGs,GLUKs & SHITs ! Dis is only BEGIN... Win95 & her lamers must die! Searching... SEEK & DESTROY There can be only one ...





При заражении файлов в зависимости от своего счетчика вирус выводит сообщение, ждет ESC, стирает случайный сектор диска C: и завешивает компьютер. Сообщение выглядит так:

T H I S I S



#@@ @@@@@ #@@ #@@@####@@ #@@@@@ #@@ #@@ #@@@@@ #@@ @@@@ @@@@ @@ #@@@@@ #@@@ #@@#@@###@@ #@@ #@@ #@@###@@ #@@@###@@#@@###@@@ #@@###@@ #@@@ #@@ #@@ #@@ #@ #@@ #@@ #@@ #@@ #@@#@@ #@@ #@@ #@@ #@@@@@@@ #@@@@@@@ #@@ #@@ #@@@@@@@ #@@ #@@ #@@@@@@@#@@@@@@@ #@@@ #@@ #@@@### #@@ #@ #@@@### #@@ #@@ ##@@@@@#@@@### #@@ #@@ #@@ @ #@@#@ #@@ @ #@@ #@@ ####@ #@@ @ #@@ #@@ #@@@@@ #@@ #@@@@@ #@@ #@@ @ #@@ #@@@@@ #@@@ #@@ #### ## #### ## ## @@ #@@ #### #@@ #@@ #@@@@@@ ### #@@ ##### #@@



O F S T A I N L E S S S T E E L R A T






При трассировке кода INT 21h вирус портит поле контрольной суммы в CMOS, завешивает систему и выводит текст:


И долго он INT`ы трассировал... Теперь я грустный терминал !



Проверяет имена файлов и не заражает:


DR*.* (DRWEB) AI*.* (AIDSTEST) AD*.* (ADINF) CO*.* (COMMAND.COM) HI*.* (HIEW) AV*.* (AVP) WI*.* (WIN) KE*.* (KEY* ?) US*.* ? GD*.* ?



При запуске файлов "?ID*.*" (AIDSTEST) завешивает компьютер и выводит:

А не пора ли г-ну Лозинскому на пенсию !




При DOS-вызовах FindFirst/Next уничтожает файлы с расширениями:

PAR PIF ICO WEB %%% PAS BAS AVB FRQ


и возвращает вместо имени уничтоженного файла строку "Шит !".



Содержит также много строк, расположенных в коде вируса в соответствии с подпрограммами. Так, в начале вируса присутствует строка:

Hi Hacker! Welcome to Hell


в процедуре заражения памяти:


Move over, I said move over Hey, hey, hey, clear the way There's no escape from my authority - I tell you -



в процедуре заражения файлов:

Gimme the prize, just gimme the prize


при записи кода вируса в файлы:

Save me,save me


при обработке EXE-файлов:

Don't lose your header


процедура подмены длины файлов при вызовах FindFirst/Next заканчивается строкой:

I'm the invisible man


при заражении файлов:

Now you DiE !


при обработке PKLLITE-файлов:

Crazy Little Thing Called PkLite




Вирус также содержит строки:


Give me your WEBs, let me squeeze them in my hands, Your puny scaners, Your so-called heuristics analyzers, I'll eat them whole before I'm done, The battle's fought and the game is won, I am the one the only one, I am the god of kingdom come, - THERE CAN BE ONLY ONE - I'M GOING SLIGHTLY MAD Just very slightly mad ! All dead... THIS IS OF STAINLESS STEEL RAT Revenge virus v 1.02 released at 22.04.96 Copyright (c) 1996-97 2 Rats Techno Soft Written by Stainless Steel Rat StealthedMetamorphicCrazyForcedSynthesatedRandom MegaLayerEncryptionProgressionMutationEngineGenerator Я мстю ,и мстя моя ужасна... S.S.R. BUGS INSIDE <tm>





Полиморфик-генераторы содержат тексты:

RandomEncryptionSynthezator 0 S.S.R. 1996-97



THE STAINLESS STEEL RAT MUTATION ENGINE v 1.21 beta #@%(c) S.S.R. 1996-97%@#




Metamorphic Mutation Engine v 2.00 (C) Stainless Steel Rat 1996-97 It's C00LEST Engine





Демонстрации вирусных эффектов:

SSR18XXX.COM



SSTR.717

Опасный нерезидентный зашифрованный вирус. Ищет в текущем каталоге COM-файлы и записывается в их конец. В 1997г портит файл-носитель - похоже на то, что вирус пытается его вылечить, однако файл при этом становится неработоспособным. Содержит строки:


*.COM (C) by SSTR







Staf.2083

Нерезидентный неопасный вирус, ищет и записывается в начало .COM-файлов. При их заражении выдает на экран строки:


Virus Demo Ver.: 1.1 - Handle with care! By STAF (Tel.: (819) 595-0787) Generation # This program has been infected by:




VIRUS ERROR # - Aborting process. Needs DOS version 2.0 and above.



Infecting:


Press any key to execute original program...



I have infected all your files in the current directory! Have a nice day!







Stahlpla.750

Нерезидентный безобидный вирус, ищет и записывается в начало .COM-файлов текущего каталога. Ищет файл STAHLPLA.TTE и, если этот файл присутствует, выводит на экран текст:

Ich bin da!






Star.486

Безобидный резидентный вирус. Копирует себя в видео-память по адресу BB00:0000, копирует свой обработчик INT 21h в область даных DOS по адресу 0600:0000, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

STAR5






Stasi.1728

Нерезидентный очень опасный полиморфик -вирус. Ищет EXE-файлы и записывается в их конец. Содержит в себе списки имен файлов. Первый список:

(.ID ANTI-VIR.DAT C:\TBAV\VIRSCAN.DAT CHKLIST.CPS C:\CPAV\CHKLIST.CPS C:\NAV_._NO C:\NOVIRCVR.CTS C:\NOVIPERF.DAT C:\TOOLKIT\FILES.LST C:\FSIZES.QCV C:\UNTOUCH\UT.UT1 C:\UNTOUCH\UT.UT2 C:\VS.VS

Вирус уничтожает эти файлы при запуске. Не поражаются вирусом файлы, содержащие в своем имени строки из второго списка:

F- FLU SCAN CLEAN TB TNT VIR


Периодически вирус выводит один из текстов:


Erich Mielke is still alive! Watch out for Stasi spys! Ever heard of Markus Wolf? Stasi is watching you!



Вирус записывает в Boot-сектора дисков команду, которая при загрузке с этого диска завешивает компьютер. Вирус также содержит строку:

Stasi is watching you! Nice programming, eh? The Stasi virus is written by the author of Vriest, 789 (aka Filehider) and Witcode. Black Axis





StayCool.573

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

Louise Broderick my princess Written at Barclays plc Softare Labs Stay Cool Mickey Athwel





StealthBomber

Неопасный резидентный зашифрованный вирус. Трассирует и перехватывает INT 21h. Записывает в оригинальный обработчик INT 21h 10 байт команд перехода на свой код и при вызовах INT 21h восстанавливает код обработчика, а при выходе из INT 21h снова правит его. Для этого перехватывает также INT 1, 1Ch, 20h.

Вирус записывается в начало .COM-файлов при их запуске или открытии. 31-го августа выводит текст:


! I AM THE STEALTH BOMBER ! +-------------------------+ | I BELONG TO THE NEW | | GENERATION OF COMPUTER | |VIRUSES. LIKE THE STEALTH| | BOMBER, I GO UNDETECTED | | BY ENEMY RADAR | +-------------------------+ !!! DO NOT PANIC !!! I AM JUST SHOWING OFF HOW EASY I CAN EVADE YOUR ANTI VIRUS SYSTEM - I DO NO HARM







SE.1853

Неопасный резидентный вирус. Перехватывает INT 21h, заражает файл C:\COMMAND.COM, остается резидентно в памяти, затем записывается в конец COM- и EXE-файлов при их запуске. В начале зараженных файлов содержится строка-идентификатор "SE".

3-го февраля ставит системную дату на 4-е февраля, изменяет фонт символа 'd' и выводит текст:


нн Esto es un virus llamado ESPAеA !! Por favor, descomprima el fichero que ha intentado cargar con el compresor LHA de la siguiente manera: LHA E [nombre del fichero ejecutable cargado] Y saldrа un fichero llamado MESSFROM.SPA, lealo.




This is a virus called ESPAеA !! Please, uncompress the file you tried to load with the LHA compressor at the following form: LHA E [the name of the executable file loaded] And will appear a file called MESSFROM.SPA, read it.





Вирус действительно содержит в своем коде файл MESSFROM.SPA, упакованный LHA, файл MESSFROM.SPA содержит текст:

Hello world!



You have a virus called ESPAеA,the virus was made in this wonderful country, in Madrid.Perhaps you don't know this city,but it's the best city around the world,and the best country is Spain,so you must visit it.



I hate E.T.A,they are a FUCKERMOTHER.


You can find me calling to CHIBA CITY BBS tlf. +34 1 XXX-XX-XX


My alias is Thorndike,I'm sixteen and I live near Vallecas.


Bye and see you soon.



Your hard disk's boot sector has been modified,the next time you can't to acces it,but you can use the DISKFIX tool from PCTOOLS.




So you will restore your hard disk's boot sector.Thanks,and snd snd snd snd snd snd snd snd snd snd snd snd snd snd snd snd







SeaCat.160

Нерезидентный опасный вирус. Записывается в начало .COM-файлов текущего каталога. У зараженных файлов устанавливает атрибут read-only и таким образом отличает их от незараженных. Однако у вируса это не всегда получается, что приводит к повторному заражению файлов.





Seagull.448

Опасный резидентный вирус. Копирует себя по адреcу 9000:0000 без коррекции MCB-блоков, что может завесить систему. Затем перехватывает INT 21h и записывается в начало .COM-файлов при их запуске. Расшифровывает и выводит текст:

SeaGull.448






Search, семейство

Нерезидентные вирусы, ищут и записываются в конец .COM-файлов. Содержат строки:


"Search.302": Goddamn Butterflies "Search.305": Suicidal! -/\-=> [Stingray/VIPER] <1992> "Search.357": This program was writen in the city of Kudepsta "Search.360": оSATYRICONп



"Search.413" зашифрован. С 1993-го года стирает сектора дисков. Содержит текст:

And one more thing... fuck you!


"Search.437" в 13-ю пятницу стирает содержимое диска C:.

"Search.512". В мае по пятницам перезагружает компьютер. Если при запуске зараженного файла в командной строке первый знак - '[', то вирус удаляет себя из файла.

"Search.549". 12-го мая стирает сектора дисков.





Seat, семейство

Резидентные неопасные вирусы. Перехватывают INT 9, 1Ch, 21h и записываются в начало COM- и конец EXE-файлов при их запуске. Периодически рисуют на экране голый зад, который при нажатии на любую клавишу выдает соответствующие ему (заду) звуки.

Seat.1614

Поражает файлы (кроме COMMAND.COM) при их запуске. Содержит текст:

VVF3.4


Seat.1868

Зашифрованный полиморфик -вирус. Поражает файлы при их запуске.

Seat.2389

Зашифрованный полиморфик-вирус. Поражает файлы при вызове DOS-функций FindFirst/Next.



Демонстрации вирусных эффектов:

SEAT.COM



Sebo.2048

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. При смене текущего диска также перехватывает INT 13h и пищит при чтении/записи на диск каких-то данных.





SecretForm.868

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .EXE-файлы и записывается в их конец. 11-го ноября или в зависимости от своего счетчика вирус записывает в начало своего файла-носителя программу, которая при запуске сообщает:


My mother used to say You're the boy that can enjoy invisibility The pleasure is everlasting Secret Form of Punishment originally released 29 April '92







Seeg, семейство

Опасные нерезидентные полиморфик -вирусы. Ищут COM-файлы и записываются в их конец. Содержат ошибки и иногда портят файлы при их заражении. В зависимости от текущего времени выводят тексты:


"Seeg.1422": -= [SEEG] Serg_Enigma EncryptioN GeneratoR v0.01 =- "Seeg.1698": -= [SEEG] Serg_Enigma EncryptioN GeneratoR v1.0b =- "Seeg.1870":




+----------------------------------+ | Serg Enigma present: | | New MUTANT-VIRUS with [SEEG] | | Serg_EnigmA EncriptioN GeneratoR | | Version 1.0 beta 25.10.96 | +----------------------------------+







Segal.552

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Никак не проявляется. Содержит строку:

-SEGAL(c)MM






Selectron, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- ("Selectron.1800") или EXE-файлов при их запуске или открытии. Содержат строки:


"Selectron.1112": (C) Selectronics Software "Selectron.1258": Digouterп01/15/88о (C) Selectronics Software "Selectron.1800": (C) Selectronics Software Virus has been disabled. Countdown to Extinction...



"Selectron.1112" перехватывает также INT 8, 9. По воскресеньям при нажатии на Alt-Ctrl-Del вирус проигрывает мелодию и вызывает видео-эффект.

"Selectron.1258" перехватывает INT 9, 10h, 1Ch. Под отладчиком вирус трещит спикером компьютера, и перезагружает систему. При нажатии на Alt-Ctrl-Del вирус медленно гасит экран (работает только на VGA).

"Selectron.1800" зашифрован. По 13-м пятницам или в зависимости от имени программы-носителя вирус выводит текст:

Countdown to Extinction...


и затем проявляется видео- и звуковыми эффектами.



Демонстрации вирусных эффектов:

SELECTRO.COM



Semtex, семейство

Резидентные неопасные вирусы. Перехватывают INT 8, 21h и записываются в конец .COM-файлов при их открытии или запуске. Периодически выдают 'кашу' на экран. Содержат тексты:


"Semtex.515,619,1000.a": S E M T E X by Dusan Toman, CZECHOSLOVAKIA (7)213-040 or (804)212-23




"Semtex.686": !!! explosive !!! S E M T E X !!! explosive !!! Written by Dusan Toman, CZECHOSLOVAKIA Pyrotechnician Lilo Hedera (7)213-040 or (804)212-23




"Semtex.1000.b": S E M T E X by Dusan Toman, CZECHOSLOVAKIA *** Have a nice day ***





Демонстрации вирусных эффектов:

SEMTEX.COM



Seneca.392

Очень опасный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается вместо них. 25-го ноября сообщает:


HEY EVERYONE!!! Its Seneca's B-Day! Let's Party!



и стирает сектора текущего диска. Периодически сообщает:


You shouldn't use your computer so much, its bad for you and your computer.



и также стирает сектора.





Sentinel, семейство

Резидентные безобидные (?) вирусы. Перехватывают INT 21h и записываются в конец COM-, EXE- и OVL-файлов при их запуске на выполнение, открытии и переименовании. Написаны на языке Pascal. Содержат зашифрованный текст:

You won't hear me, but you'll feel me... (c) 1990 by Sentinel. With thanks to Borland.





Sepultura.242

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Содержит строки:

[242] Sepultura






Serbu, семейство

Неопасные резидентные зашифрованные вирусы. В своей процедуре инсталляции в память компьютера и обработчиках прерываний используют несколько уровней антиотладочных приемов. Трассируют и перехватывают INT 21h, 2Fh, при этом правят ядро DOS. Записывают в себя в конец запускаемых COM- и EXE-файлов, также заражают открываемые .GIF- и .JPG-файлы - записываются в них как в COM-файлы.

В зависимости от текущей даты выводят прямоугольник:


######## ########





"Serbu.3493" выводит текст:

.. A_C_O: Dirgantara Jaya ..


Также содержат строки:


"Serbu.3493": R-SERBU-1"Serbu.3493": -SERBU-







Stryke.253

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляется, содержит строку:

STRYKE






Stsv, семейство

Нерезидентные безобидные вирусы. Ищут и записываются в начало .COM-файлов. Содержат строки:


STSV *.COM







Student.776

Безобидный резидентный частично зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит текстовые строки:


MREI (C) Student 1993







Stunning.1234

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Уничтожает файлы *.CPS. В зависимости от системной даты перехватывает INT 8 и вызывает видео и звуковой эффект. Выводит сообщение:

Stunning Blow ... Running Ghost (R) v00




Демонстрации вирусных эффектов:

STUNNING.COM



Stupid.1355

Резидентный очень опасный вирус. При создании своей TSR-копии не корректирует MCB-блоки, чем может вызвать зависание компьютера. Затем перехватывает INT 21h и поражает .COM-файлы текущего каталога при доступе к ним. В зависимости от текущей даты может стереть сектора дисков. Содержит текст:

*-BNL






Stupidus.1504

Опасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в конец COM- и EXE-файлов при их запуске. В зависимости от своего счетчика выводит текст и завешивает компьютер:


(C)Copyright Microsoft Corp. 1993. WARNING! No 786SDX processor detected! System killed! Scorpio(R) Pfeifer Virus(R) Version 1.00 (ha,ha,ha,khhh... pffuj!) (C)Copyright Scorpio Software Ltd. Created in 1993 - POLAND. See ya, lamer! A>



Также содержит строку:

Virus versus debuggerus !?! Yous stupidus foolus !






SU.387

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строки:


Soviet Union! \*.COM







Subconsious, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов.

"Subconsious.476" перехватывает также INT 08h (timer) и в зависимости от текущего состояния таймера выводит строку:

LOVE LOVE LOVE LOVE LOVE LOVE LOVE LOVE


Также содержит строки:


Subconsious virus - Conzouler/IR 1995. Mina tankar Дr det sista som ni tar...







Substitution.651

Безобидный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Использует необычный для вирусов алгоритм шифрования - вместо стандартных приемов "XOR/ADD/ROL key(s)" вирус заменяет свой код по 100-байтовой таблице (метод "простой замены"). Как результат вирус содержит дополнительно 100 байт данных - эту самую таблицу.

Вирус никак не проявляет себя. Содержит строки:


*.COM Name: Substitution Cipher Example Virus







Suburbs, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Никак не проявляются. Содержат строку:

[VD/SLAM] Suburbs






Suicidal, семейство

Очень опасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. Уничтожают файлы *.ZIP и ANTI-VIR.DAT. 21-го октября стирают сектора диска C: и выводят тексты:

Happy Birthday Freaky!


Также содержат строки, некоторые из них зашифрованы:

"Suicidal.843,847":


[TU.Suicidal.Dream.B] (c) 1996 The Freak/The Underground From the hypnotic spectre of wake I scream Locked in the depths of a Suicidal Dream Love to Leah and Lindsay! My fav babes!! Released Jan/96! From Canada! Yup, thats right av peoples.. CANADA!(c) 1996 The Freak. All rights So eat me. *.zip anti-vir.dat



"Suicidal.890":



[THU.Suicidal.Dream.A] (c) 1996 The Freak/The Hated Underground From the hypnotic spectre of wake I scream Locked in the depths of a Suicidal Dream Love to Leah and Lindsay! My fav babes!! Released Jan/96! From Canada! Yup, thats right av peoples.. CANADA!(c) 1996 The Freak. All rights So eat me. Bad command or file name *.zip anti-vir.dat







Suicide.2048

Нерезидентный неопасный зашифрованный вирус. Ищет COM- и EXE-файлы, затем записывается в их конец. Содержит в себе строки:


*.COM *.EXE .. [Suicide] Written by Dark Angel of PHALCON/SKISM Ross M. Greenberg blows goats.



Выводит на экран текст:


Your PC has been infected by the Suicide virus. I would disinfect myself, but I despise DOS 2.X Upgrade now! Brought to you by PHALCON/SKISM





Также выводит картинку с текстом:


Your PC has been infected by the Suicide virus. I will now kill myself. Press D to disinfect.




Hard at work to make your life a living hell



и ждет ввода с клавиатуры. Если нажата клавиша 'D', удаляет вирус из зараженного файла.



Демонстрации вирусных эффектов:

SUICIDE.COM



SuiGeneris.577

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. По причине ошибки портит некоторые файлы. В зависимости от текущего времени выводит текст:


Virus SUI GENERIS. Escrito por Javier en Paraguay. Dedicado al gran grupo de rock argentino SUI GENERIS.







Sundevil, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов при доступе к ним. "Sundevil.690,691": при запуске записывают себя в конец памяти DOS без коррекции MCB-блоков, что может завесить систему. 8-го мая стирают Boot-сектор текущего диска и выводят текст:

"Sundevil.690,691":



There is no America. There is no Democracy. There is only IBM, ITT, and AT&T. This virus is dedicated to all that have been busted for computer hacking activities. The SunDevil Virus (C)1993 by Crypt Keeper [SUNDEVIL]



"Sundevil.762":



There is no America. There is no Democracy. There is only IBM, ITT, and AT&T. Sundevil ][ by Crypt Keeper [RoT] -Reign of Terror- [SUNDEVIL 2] Insert disk with COMMAND.COM in drive A: and press any key.







Sunnyvale.2288

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращениях к ним. При заражении 512-го файла форматирует текущий диск и выводит одно из сообщений:


Welcom to the 21st century Today is Sunday ! Why do you work so hard? All work and no play make you a dull boy! Come on! Lets go out and have some fun! PROGRAM sick error:call doctor or buy PIXEL for cure description. Welcome to the JOJO virus and FUCK the system(c)-1990 Copy me__I went to travel Copyright(c) 1989 by VesselinBontchev The world will heard from me again !!! HA, HA, HA Your computer now has AIDS! Be careful , not to be infected ! Disk Killer_version 4.00 by COMPUTER OGRE 04/01/1993 Warning! Don not turn off power or remove the diskett While Disk Killer is processing! PROCESSING! Your PC is now stoned LEGALIZE MARIJUNA! VIRUS__SHOE RECORD, V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today Chinese Bomb (Made in China) Greeting from sunnyvale, Can you find me?







Saratov.1790

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM- и EXE-файлов при их запуске или открытии. Портит файл CHKLIST.MS, проверяет имена файлов и не заражает файлы из списка (по 3 символа на имя):

EVRWD.800COMDRWANTAIDWEBWINKRNSCACLEPT.


Ищет на экране строку "Web" и не заражает файлы, если таковая обнаружена. В зависимости от текущего таймера выводит текст:

Thanks for using Saratov software.


Перехватывает запуск файлов с параметрами "/c vir" и должен выводить текст и свою версию, однако содержит ошибку, и этот текст не выводится:

The File Corrector v2.0. Made in Saratov. Serial #






Sarcoma.1328

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. При инсталляции в память заражает также файл C:\COMMAND.COM, затем ищет в файле C:\CONFIG.SYS инструкцию "SHELLН" и заражает соответствующий файл.

Вирус никак не проявляет себя. Содержит строку:

'COMPUSARCOMA' virus by M.S.S.






Sarov, семейство

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 1, 8, 9, 21h. Проверяют DOS функции FindFirst/Next и записывают себя в конец обнаруженных COM-файлов. Используют INT 1 для блокировки трассирования своего тела. Прерывание таймера (INT 8) используют для периодического изменения статуса флоппи-диска и для вызова эффекта клавиатуры: периодически вирусы 'пропускают' один нажатый символ. Содержат в себе тексты:


"Sarov.1000": BIL`92`S "Sarov.1200": [BIL_92_Sarov] "Sarov.1400": BIL_92_Sarov







Satana, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. 11-го ноября записывают в начало файлов строку:

Сатана там правит бал


Также содержат текст:

SATANA 666 (C) EA inc.






Satanic.1345

Резидентный очень опасный вирус, перехватывает INT 21h и записывается в начало .COM-файлов при их запуске или открытии. По пятницам записывает в сектора дисков строку "Satanic Warrior". Также выводит текст на экран.





SatanBug

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывает себя в конец COM- и EXE-файлов при их запуске или открытии. Содержит строки:


Satan Bug virus - Little Loc COMSPEC=COMMAND.COM





SatanBug.1568

Безобидный резидентный полиморфик вирус. Перехватывает INT 21h и записывает себя в конец COM-файлов при их запуске. В зависимости от текущей даты лечит файл-носитель.



SatanBug.FruitFly

Опасный нерезидентный полиморфик вирус. Ищет COM-файлы текущего каталога и каталогов, отмеченных в строку PATH и записывается в их конец. Уничтожает файлы VS.VS и CHKLIST.CPS. Содержит строки:


PATH= VS.VS CHKLIST.CPS ????????.COM Fruit Fly virus - Little Loc Hacker4Life Hackers In ThE Mist









Saturday14

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске на выполнение. У COM-файлов меняет 17 байт начала на программу перехода на тело вируса. В субботу 14-го числа стирает несколько секторов на диске C:





Sauron.1088

Очеень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. Содержит строку "VIRCLEANSCANCPAVNAV" и не заражает файлы с именами из этой строки. В марте стирает сектора дисков и выводит сообщение:

Sauron is not dead.






Sauron-1.375

Безопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строку:

SAURON-1






Sayha.4000

Неопасный (?) резидентный вирус. Перехватывает INT 16h, 21h и записывается в конец COM- и EXE-файлов при обращении к ним. Содержит строку:

SW Error V2f Sayha Watpu


Выводит на экран текст:

Sayha Watru






SayNay, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Создают ASM-файл, куда записывают свой исходный текст (ассемблер). Для этого вирусы хранят в себе в зашифрованном виде свой исходный текст (поэтому длина вируса больше 5K), анализируют командную строку, которой был запущен зараженный файл, ищут в командной строке аргумент "NAY", и, если этот аргумент найден, выводят строку:

Magic! ;)


затем создают два файла - SAYNAY.ASM и SAYNAY.BAT. В первый файл (ASM) вирусы записывают свой исходный текст, а во второй (BAT-файл) записывают команды:


TAsm /M2 SayNay.Asm TLink /T SayNay.Obj Copy /B SayNay.Com+SayNay.Asm



Таким образом, на диске появляются два файла: первый содержит исходный текст вируса, а второй - команды компиляции исходного текста в COM-файл. При запуске BAT-файла DOS запускает ассемблер и линкер, которые выдают промежуточный вариант вируса - только его код без исходного текста. После этого командой COPY к коду вируса дописывается исходный текст. В результате получается вполне работоспособный файл, который при запуске шифрует исходный текст, а затем ищет и заражает .COM-файлы.





Scapny.795

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и при смене текущего каталога ищет .EXE-файлы и записывается в их конец. 21-мая стмирает MBR винчестера. Содержит строки:


<<<<< Hi,this is SCAPNY! It means "escape-niet". It also means that your time has come! Ha,Ha! (C)CZHARSILSO@galileo.uvt.ro >>>>>> *.EXE







Schizo.398

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляется. Содержит строку:

Schizophrenia






School.403

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

File is overwrited by SCHOOL SUCK! virus. Finnish quality!






Schrunch.420

Неопасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. При запуске выводит текст:

- S C H R U N C H E M U P T I M E -


и устанавливает размер фонта экрана в 8x8.



Демонстрации вирусных эффектов:

SCHRUNCH.COM



Schubert.323

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При записи в файлы в зависимости от системного таймера записывает в файлы строку:

SCHUBERT 1797-1828.






Scity, семейство

Безобидные вирусы.

"Scity.678,713" нерезидентны, при запуске ищут .COM-файлы и записываются в их конец.

"Scity.911,928" резидентны, перехватывают INT 21h и записываются в конец запускаемых EXE-файлов.

Содержат строки:


"Scity.678": KAKASHKA v2.7 - S. city , 1991 "Scity.713": KAKASHKA v2.8 - S. city , 1991-92 "Scity.911": KAKASHKA v3.21 - S. city , 1991-1992 "Scity.928": KAKASHKA v3.3 - S. city, 1991-92







Scitzo, семейство

Очень опасные резидентные полиморфик -вирусы. При запуске заражают файл C:\DOS\EDIT.COM file, затем перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. При заражении файла сравнивают его имя со строкой имен антивирусных программ (по три символа на имя):

TBATBSF-PVSHMSATBCCPAVSAVIRSCACLETOO


и не заражают файлы с именами TBA*.*, TBS*.* и т.д. В зависимости от системного таймера добывляют к файлам строку:

I feel a little scitzo...


Также содержат строки:


C:\DOS\EDIT.COM SCITZO - by "RED A", Lund, Sweden 1994



и


"Scitzo.1285,1337": So, you've found this text? "Scitzo.1264,1329": Fan, hДr gЖr man...







Scorpio.1000

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строки:


Plovdiv Scorpio







Scorpion.2278

Очень опасный нерезидентный зашифрованный вирус. При запуске заражает файл C:\COMMAND.COM, затем ищет COM- и EXE-файлы и записывается в их конец. При заражении COMMAND.COM записывается в конец файла в область стека COMMAND.COM и, таким образом, не увеличивает его длину.

Уничтожает файлы с именем CHKLIST.MS. В некоторых случаях также ищет другие файлы и уничтожает их. В зависимости от системной даты и установленного BIOS'а форматирует винчестер, выводит текст:


+---------------------------+ | DEATH ON TWO LEGS V2.8 | | (c) BLACK SCORPiON, 1996 | | Written in Moscow | +---------------------------+



затем перехватывает INT 1Ch и проигрывает мелодию.

Вирус также содержит строки:


*.* *.EXE *.COM C:\COMMAND.COM DEATH ON TWO LEGS WAS HERE







Scotch.2611

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит сообщения и ждет ответа с клавиатуры:


Donner un nombre entre 0 et pour exВcuter le programme demandВ: Bravo,vous Иtes la nouvelle victime du SCOTCH' virus! DВsolВ,j'avais choisi le nombre ...







Scoundrel

Резидентный неопасный полиморфик -вирус. Трассирует и перехватывает INT 21h. При доступе к COM- и EXE-файлам поражает их. При переименовании, открытии, загрузке в память лечит их. Периодически выводит сообщение:

SoftPecker v.1 (C) 1992 by ScoundrelSoft - 'Your pleasure is our business'






Scratch.554

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Использует слово по адресу 0000:0415 (scratch pad for manufacturing error tests) для детектирования своей резидентной копии.





Screen.600

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец COM-файлов при их запуске или открытии. При нажатии на Alt-Ctrl-Del вирус "трясет" экран.



Демонстрации вирусных эффектов:

SCREEN.COM



Screen_II, семейство

Очень опасные резидентные вирусы, перехватывает INT 10h, 21h и записываются в конец EXE-файлов при их запуске или открытии. В зависимости от системной даты и своих счетчиков "сдвигают" экран.

"Screen_II.1014" некорректно поражает COM-файлы, в результате чего они могут быть испорчены.

"Screen_II.1387" также перехватывает INT 13h и начиная с 10-го числа каждого месяца портит некоторые файли при записи в них. По тем же дням записывает в конец незараженных EXE-файлов троянца, который при запуске стирает сектора дисков.





ScreenMixer.1072

Неопасный резидентный частично зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске и вызовах DOS-функций FindFirst/Next FCB (команда DIR). В зависимости от системного таймера "перемешивает" символы на экране.



Демонстрации вирусных эффектов:

SCREENMI.COM



SC_Replicator

Безобидный резидентный вирус. Перехватывает INT 21h, 6Bh и записывается в конец запускаемых EXE-файлов. Перехват INT 6Bh использует для идентификации своей резидентной копии. Содержит строку:

SC.Replicator






Scroll.600

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит строку:

 Scroll v1.0 






Scrunch, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Содержат большое количество ошибок и могут испортить файлы при заражении. "Scrunch.1343" стирает сектора дисков. Вирусы выводят сообщения:


"Scrunch.423": - S C H R U N C H E M U P T I M E - "Scrunch.1343": WAREZ - W A R E Z D 0 0 D -







Scull.257

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается вместо них. Содержит строку:

Protovirus by Skull of Death






Sunset, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Не заражают антивирусы: ADINF, DRWEB, AIDSTEST, AVP, TBAV в соответствии со строкой (по два символа на имя):

ADDRAIAVTB


Также содержат строку:

Sunset v1.00 (c) Chaos OverLord


При заражении файлов вирусы запоминают текущую дату. При запуске файла 13-го числа следующего месяца стирают сектора дисков.





SuperVirus.1175

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В зависимости от текущей даты портит сектора дисков. Содержит строку:

Super F-117 Virus 93/03






Supervisor, семейство

Неопасные(?) резидентные вирусы. Перехватывают INT 8, 9, 21h, 28h и записываются в конец .COM- и EXE-файлов при их запуске или открытии. "Supervisor.1256,1448" заражают только .COM-файлы, "Supervisor.2221" - и COM, и EXE.

Проявляются каким-то видеоэффектом, в некоторых случаях вызывают функции Novell Netware (пытаются прочитать пароли?). Содержат строки:


SERVER SERVER SECURITY_EQUALS SERVER PASSWORD SERVER SECURITY_EQUALS SUPERVISOR MsDos







Susan.571

Резидентный очень опасный вирус. При старте выводит текст "Bad command or file name", перехватывает INT 2Fh и записывается поверх .EXE-файлов при вызове команды DIR. При заражении файлов использует недокументированные функции DOS. Содержит в себе строки:


Susan *.EXE DIR







Susenka.862

Резидентный опасный вирус. Перехватывает INT 21h и записывается в конец стартующих .COM-файлов. Начиная с сентября 1993 года перехватывает также и INT 9 (клавиатура) и INT 1Ch (таймер) и периодически выводит текст: "Dej mi susenku", а затем ждет ответа с клавиатуры: "susenka". По 14-юм субботам стирает сектора диска.





SVC, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. Содержат строки:


"SVC.1064": (c) 1990 by SVC, Vers. 3.1 "SVC.1064.c": (C) 1991 by CHR,Sverdlovsk "SVC.1689,1700": (c) 1990 by SVC, Vers. 3.1 "SVC.1689.CSW": [C.S.W Virus] By Mad Satan "SVC.2695": Copyright (C) Davor N.,1993 Croatia, Zagreb SILENT SERVICE! "SVC.3103.a": (c) 1990 by SVC, Vers 5.0 "SVC.3103.b": (c) 1991 by SVC, Vers 5.1 "Svetlana.1110": Svetlana v. 1.0 "Svetlana.2560": Svetlana v. 1.1 "Svetlana.3410": Svetlana v. 1.2 "Svetlana.4734": Svetlana v. 1.3





SVC.1064,1689,1700

Безобидны, поражают файлы при запуске их на выполнение. Не заражают файлы AI*.*, SC*.* (AIDSTEST.EXE, SCAN.EXE). Устанавливают секунды даты последней модификации файла в 1Eh (60 секунд).

Более сложные "SVC.1689,1700" обрабатывают функции DOS FindNext и FindFirst и подставляют старую длину файла, а при запуске под отладчиком самоизлечиваются.



SVC.3103.a

Безобиден, поражает файлы при их запуске на выполнение, открытии или закрытии файла. Незначительная часть вируса зашифрована. Как и "SVC.1689" подставляет старую длину файла. При попытке установить отладчик на коды вируса перезагружает компьютер.



SVC.3103.b

Опасен, во многом совпадает с "SVC.3103.a". Перехватывает INT 13h, 21h. Изменяет некоторые строки при считывании секторов диска (INT 13h).



SVC.2936

Очень опасный вирус. 4-го июня стирает винчестер.



SVC.Caco

Также перехватывают INT 8 (таймер) и в зависимости от текущего дня (понедельник и вторник) выводят тексты:

"Caco.2965": CACO VIRUS GENE-101. COCO, ALDO, CHINO, OTTO. DOOM-TEAM &CREADORES DE VIRUS&

В "Caco.3310" текст затерт нулевыми байтами.



SVC.Chigi

Если в имени файла есть строка "AI" или "SC", то вирус выводит текст и с вероятностью 1/5 уничтожает файл:


Если однажды какой-нибудь программы не окажется в заповедной директории твоего праведного компьютера знай неуловимый ChigiVarez настиг ее.... 1995г. Хроники DinaSoft.



Вирус также содержит строку:

---1995 by DinaSoft v2.0




SVC.Piter.1228

Неопасен. Перехватывает INT 9, 21h и поражает COM- и EXE-файлы. При нажатии на клавиши Ctrl-Alt-Del выводит:

Recommendation for restart make use of RESET


Кроме указанной содержит в своем теле строку "Piter".



SVC.Svetlana

Также перехватывают:


"Svetlana.2060": INT 8,9 "Svetlana.3410,4734": INT 1,3,8,9,1Ch



и проявляются различными видео-эффектами.

"Svetlana.4734" выводит текст:


Welcome to demo version antisv.exe Волков - ДУБ, antisv - ГОРБУХА The evil, that I do, live on and on and on... Svetlana.







Sveta.309

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Выводит строку:

Sveta






Svin.252

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при обращениях к ним. Содержит строку:

< SVINOLOBOVA SYKA ! >






Svir.512

Нерезидентный безобидный вирус. Ищет .EXE-файлы каталогов, отмеченных в строке PATH, и записывается в их конец. Содержит тексты: "a:*.*", "*.EXE".





Svirus.322

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

SVIRUSXXXXX






Svm.1153

Безобидный резидентный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Корректирует длину файла при вызове функций 11h, 12h, 4Eh, 4Fh. Содержит текст:

svm killer v 5.0






Swalker.1266

Резидентный неопасный вирус, перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов при их запуске или открытии. Периодически заменяет флаги клавиатуры. Содержит строку:

Sleepwalker. (c) OPTUS 1993.






Swapper, семейство

Опасный нерезидентный полиморфный вирус. При запуске ищет COM-файлы и записывается в их конец. По причине ошибок портит некоторые файлы при их заражении, такие файлы оказываются неработоспособными и завешивают компьютер при их запуске. Вирус содержит строку:

Swapper






Swastika.442

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Проявляется видео-эффектом.



Демонстрации вирусных эффектов:

SWASTIKA.COM



Swine, семейство

Резидентные зашифрованные вирусы. Перехватывают INT 21h, 2Fh и записываются в конец COM- и EXE-файлов при обращениях к ним. Содержат строку:

COMcomEXEexe


"Swine.3000.b" при запуске в 13:05 стирает MBR винчестера и сообщает:


Я тебя узнал,гадина ! ! ! Это ты вчера кидался из окна тухлыми яйцами. Получай испорченный "винт" за такие штучки (шутка,но только на счет яиц !)



Также содержит текст:

(C) ЭЛЬФ 13.3.1997






Switch.855

Опасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. Ищет и уничтожает файлы CHKLIST.CPS и ANTI-VIR.DAT. Содержит строки:


The SWITCH is ON The Doc (c)1994 chklist.cps anti-vir.dat \ *.* *.com







Sword.794

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Содержит строку:

The POWER of my SWORD!!!






SX.731

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .EXE-файлы и записывается в их конец. "Выключает" резидентные антивирусы F-LOCK.EXE, F-XCHK.EXE и F-DLOCK.EXE. Если детектирует резидентный антивирус TBSCAN, то выводит сообщение и выходит в DOS:

Too many TSR programs loaded! Out of memory.


1-го декабря выводит текст:


-THUNDER STRUCK- (c) SX Written in RSA.







Sylvia, семейство

Нерезидентные безобидные вирусы. Ищут в текущем каталоге текущего диска и диска C: не более 5 .COM-файлов (кроме COMMAND.COM, IBMIO.COM, IBMDOS.COM) и записываются в их начало

Если исправить содержимое текста, содержащегося в вирусе (см. ниже), расшифровывают и выводят на экран:

FUCK YOU LAMER !! system halted...


после чего система действительно зависает.

В начале вирусов содержится текст:


This program is infected by a HARMLESS Text-Virus V2.1 Send a FUNNY postcard to : Sylvia Verkade, Duinzoom 36b, 3235 CD Rockanje The Netherlands. You might get an ANTIVIRUS program.....



Пишите письма!





Sylwia.734

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит строку:

SYLWIA






Synergy.288

Безобидный резидентный вирус. Копирует себя в видео-память, перехватывает INT 10h, 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

SynergY






Syrian, семейство

Очень опасные резидентные вирусы. Перехватывает INT 21h и записывается вместо запускаемых файлов. Выводит сообщение: "Bad command or filename". Содержат строки:


"Syrian.241": Syrian Brain II MS-DOS v4.22 Volume label for drive Z is Infected! "Syrian.412": Syrian Brain II



"Syrian.412" уничтожает файлы:


C:\SYRIAN??.II? C:\*.BAT C:\*.SYS C:\*.COM C:\*.EXE C:\AUTOEXEC.* C:\CONFIG.*



и затем создает каталоги:


C:\The C:\Syrian C:\Brain C:\II C:\Has C:\Struck







Syst.1695

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Никак не проявляется.





Szamalk, семейство

Очень опасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. При заражении вирусы могут испортить файлы. В зависимости от текущей даты вирусы стирают сектора дисков и выводят сообщения ("Szamalk.1861,2034" не вызывает эту процедуру если присутствует каталог COMPUTER):

"Szamalk.1861":



===== SZПMALK vбrus V1.0E Copyright (C) SZПMALK 1992. (R) ===== SZПMALK oktatвi szбvВlyes БdvФzletБket kБldik Щnnek ! Рrtesбtik Щnt arrвl, hogy volt egy tele merevlemeze ! A merevlemez tartalmаt hiаnytalanul visszaаllбtjаk Фnnek , ha az alаbbi szаmlaszаmra befizet 19000 forintot , Вs a befizetВst igazolв csekkszelvВnyt beviszi az alаbbi cбmre: Budapest 1119 XI. Szakasits Пrpаd гt 68. (LevВlcбm: 1052 Budapest 112. Pf.: 146.) Telefon: 18-53-111 Telex: 22-44-98 SZПMALK MHB 215-51219-7131 (Adвszаm: 10151217201) A vбrus szБletВsi dаtuma: 1995.06.20.





"Szamalk.2034,2204":



===== SZПMALK vбrus V1.10 Copyright (C) SZПMALK 1992. (R) ===== A SZПMALK oktatвi szбvВlyes БdvФzletБket kБldik Щnnek ! Рrtesбtik Щnt arrвl, hogy volt egy tele merevlemeze ! A merevlemez tartalmаt hiаnytalanul visszaаllбtjаk Фnnek , ha az alаbbi szаmlaszаmra befizet 19000 forintot , Вs a befizetВst igazolв csekkszelvВnyt beviszi az alаbbi cбmre: Budapest 1119 XI. Szakasits Пrpаd гt 68. (LevВlcбm: 1052 Budapest 112. Pf.: 146.) Telefon: 18-53-111 Telex: 22-44-98 SZПMALK MHB 215-51219-7131 (Adвszаm: 10151217201) A vбrus szБletВsi dаtuma: 2000.01.10. (0000000. pВldаny)





"Szamalk.2588":



***** TerjedВsi kбsВrlet TerjedВsi idФszak: 1994.06.01.-1994.09.01. ***** A kбsВrlet a mai napon befejezФdФtt. A visszaigazolаsok miatt az Щn merevlemeze(i) mаr hasznаlhatatlanok. Bocs! Hogy mielФbb elkВszБlhessen az ezt a vбrust бrtв, бrtв jв vб- rusбrtв program,kВrjБk бrjon valamelyik szаmбtаstechnikai saj -tвorgаnumnak. A kбsВrlet eredmВnyВnek figyelВsВvel a kФvetke -zФ hazai lapok lettek megbбzva: CHIP, ALAPLAP, COMPUTER Pano -rаma (аmбtаstechnika halandвknak). Tehаt бrja meg hogy a kб- sВrlet eredmВnyes volt-e ! SegбtФkВsz egyБttmБkФdВse segбt- sВg a galаd vбrusбrвkkal szemben viselt szent hаborгnkban !!! (Bаr ki nem бrtjuk Фket, csak a vбrusaikat, mert nekБnk is Вl -ni kell valamibФl !) Ne aggвdjon ! Leperkаl nВhаnyezer forin -tot, Вs mi kБldjБk az бrtв jв vбrusбrtвnkat ! Persze te osto -ba, nВhаny napon belБl гj vбrusok szБletnek , Вs te perkаlsz гjra, mi meg gyarapodunk, de ilyen az Вlet. Seggfej ! Mаsol- gass csak Вsz nВlkБl ezentгl is, mert ez nekБnk nagyon jв !!! Ъzleti БdvФzlettel: Rudnai Tamаs , Szegedi Imre , Kiss Jаnos A vбrus szБletВsi dаtuma: 1994.06.01. (0000002. pВldаny)





Вирусы также содержат строки:


"Szamalk.1861,2034": JLLSafe "Szamalk.2588":




Copyright (C) Mr Tamаs Rudnai, Mr Imre Szegedi, Mr Jаnos Kiss 1993. (R) (It's we work dear user. Please call up we now !)







Sze, семейство

Безобидные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Содержат строку:

Sze






SoulManager.4838

Безобидный нерезидентный полиморфик -вирус. Ищет .COM-файлы в текущем каталоге и записывается в их конец. Использует крайне сложный полиморфик-генератор, который является одним из наиболее "навернутых" генераторов, известных на сегодняшний день. Код вируса в зараженных файлах зашифрован несколькими циклами расшифровки, каждый из которых содержит большое количество разнообразных команд-пустышек, циклов, вызовов DOS-функций (INT 21h) и антиотладочных приемов.

Вирус содержит строки:

RTP 0.1b Demo Virus (c) 1998, The Soul Manager


Greetings Mr Kaspersky, we've been expecting you ;)



If you can see this text, you are reading AVPVE! Red Team Polymorphy 0.1b - (c) 1997 The Soul Manager [IR/G]







Smoker.631

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. 11 ноября портит файлы вместо их заражения. Содержит строку:

Smoker >8-E






Spartak_II.2000

Неопасный нерезидентный полиморфик -компаньон -вирус. Ищет .COM- и .EXE-файлы в текущем каталоге, переименовывает .COM в .CCC и .EXE в .EEE и затем записывает себя вместо файлов. После заражения создает файл SPARTAK.BAT, который при запуске лечит все файлы в текущем каталоге:


copy *.ccc *.com copy *.eee *.exe if -%1 == - goto end del *.eee del *.ccc :end



В случае ошибки или если заражено более 16 файлов вирус выводит картинку:


## ## ## ## ## ## #### ## ########## ## # # ## # ## ########## ## #### ## ## ## ## ## ##





Демонстрации вирусных эффектов:

SPARTAK2.COM



Squatter.7310

Опасный резидентный полиморфик -стелс -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. В зависимости от своего счетчика заражает также файл. C:\DOS\KEYB.COM. Не заражает антивирусы: SCAN, TBAV, F-PROT. Уничтожает антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.MS.

По причинах ошибок в своем полиморфик-генераторе довольно часто не может расшифровать свой код и завешивает компьютер. 24 мая выводит текст:


I've just squattered your system!! - SQUATTER v1.0 - Coded by The Mental Driller







Starcon.1057

Опасный резидентный частично зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске, открытии и вызове DOS-функций FindFirst/Next. Уничтожает файлы STARCON.* и содержит строку:

starcon






SRX.2304

Очень опасный резидентный вирус. Перехватывает INT 21h и при запуске или создании файлов ищет в текущем каталоге .COM- и .EXE-файлы и записывается в их конец. По причине ошибок портит некоторые файлы при их заражении. Уничтожает антивирусные файлы данных CHKLIST.CPS и CHKLIST.MS.

2-го декабря стирает сектора винчестера, расшифровывает и выводит текст:


25 WAYS TO PREVENT A VIRUS ATTACK.... No.2 ALWAYS USE CONDOMS !! No.25 SELL YOUR COMPUTER !



При инсталляции в память (при первом запуске) из EXE-файла вирус не возвращает управление программе-носителю, а выводит стандартное сообщение об ошибке "Bad command or file name" и отдает управление DOS. Т.е. зараженные EXE-файлы выполняются только если копия вируса уже присутствует в памяти компьютера.

Вирус содержит строку-идентификатор:

SRX






Shark, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. "Shark.1283" трассирует INT 13h. В зависимости от номера "поколения" вируса он стирает случайно выбранный сектор диска. 17-го февраля стирают сектора диска C:, при этом выводят текст:


"Shark.1027": The Tiny Shark virus was here...(C) Stefano Toria 1993 Rome "Shark.1283": The Tiny Shark II was here...Happy Birthday Maria!



Вирусы семейства также содержат строки:


Made in Italy Prince&NPG Billy Idol



"Shark.1283" дополнительно к перечисленному выше имет строку:

I will kiss Maria's lips...






Shaware.502

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. Содержит строку:

This virus is Shaware!






Shel.983

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и при вызове функций Exec или ChangeDir ищет .COM- и .EXE-файлы и записывается в их конец. Не заражает файлы: AI*.*, WP*.*, HI*.*, DO*.* и KR*.*.

Содержит строки:


(С) Shel,NSTU,1994,v3.1 *.exe *.com Sh







Shengli.1024

Неопасный резидентный вирус. Записывается в конец .COM- и .EXE-файлов. При запуске перехватывает INT 21h, заражает файл C:\COMMAND.COM, возвращает управление программе-носителю и затем заражает запускаемые файлы. 16 сентября выводит текст и завешивает компьютер:


Happy birthday to you -SHENGLI OIL FIELD TXC







Shift.2004

Опасный резидентный вирус. Перехватывает INT 21h и при DOS-вызовах Open и FindFirst ASCII ищет .COM- и .EXE-файлы кроме COMMAND.COM и записывается в их конец. Содержит ошибки и может испортить файлы при заражении. В зависимости от своих счетчиков блокирует клавиши Shift или выводит текст:


Your computer is infected by SHIFT VIRUS This virus is dedicated to PCC, and was written by an PCC student. ALEX



Также содержит строку:

COMMANDCOMEXE






Shifter

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в середину объектных модулей (OBJ-файлы) при их закрытии. При этом поражает объектные модули таким образом, чтобы при линковке модуля в COM-файл вирус оказался в начале файла. При запуске такого COM-файла вирус остается резидентным.

При заражении объектного модуля вирус последовательно читает заголовки всех объектных записей (object records). В заголовок записи при этом входят ее тип и длина. Вирус обрабатывает четыре типа записей: Module End Record (тип 8Ah), External Names Definition Record (тип 8Ch), Logical Data Record (типы A0h или A2h).

При обнаружении записи типа Data Record, вирус прибавляет к ее смещению (data offset) в сегменте длину вируса в COM-файле (983 байта). Затем он подсчитывает и сохраняет новую контрольную сумму записи. В результате все записи типа Data Record в зараженном объектном модуле имеют смещение на 983 байта вниз по сравнению с незараженным модулем. Таким образом вирус заставляет линкер поместить код и данные COM-файла на 983 байта вниз и освобождает место для своего (вируса) кода.

Особое внимание "Shifter" уделяет первой записи типа Data Record. Если ее смещение не равно 0100h, вирус не заражает данный модуль. Таким образом вирус пытается отличить объектные модули COM-файлов от прочих модулей (EXE, SYS, LIB и т.д.). Кстати, смещение первой Data Record в уже зараженном OBJ-файле не равно 0100h, и вирус не заражает объектные модули дважды.

Если очередная запись имеет тип Module End Record, вирус помещает ее полностью в свой буфер и записывает вместо нее новую запись типа Data Record, которая содержит код вируса. Смещение данной записи в сегменте равно 0100h, таким образом линкер поместит эту запись в начало файла. Затем вирус дописывает в конец файла считанную ранее запись Module End Record.

Если очередная запись имеет тип External Names Definition Record, вирус проверяет текущее время и с вероятностью 1/4 сдвигает экран и выводит сообщение:


Shifting Objective .OBJ Virus (c) 1993 by Stormbringer Kudos for The Nightmare for his ideas and coolness. Greets go out to Phalcon/Skism, Urnst Kouch, Mark Ludwig, NuKE, and everyone else in the community.



Длина файлов, зараженных вирусом "Shifter", увеличивается на различные значения. Зараженные (т.е. слинкованные из пораженного модуля) COM-файлы увеличиваются на 983 байта по сравнению с непораженными. Объектные модули увеличиваются при заражении на 990 байт (так как помимо кода вируса в OBJ-файл записывается служебная информация: тип, длина и контрольная сумма записи).

"Shifter" пытается заражать только те файлы, которые должны линковаться в COM-файлы. Однако никто не мешает задать начальный адрес 0100h у большого многосегментного EXE-файла. Если вирус поразит объектный модуль такого файла, а затем этот модуль слинкуется в EXE, то при запуске этого EXE система, скорее всего, повиснет.



Другие варианты вируса ("Shifter.758,760") никак не проявляют себя, содержат строки:


Shifting Objective Virus 3.0 (c) 1994 Stormbringer [Phalcon/Skism] Kudos go to The Nightmare!





Демонстрации вирусных эффектов:

SHIFTER.COM



Shine.640

Неопасный нерезидентный зашифрованный вирус. При запуске ищет EXE-файлы и записывается в их конец. Содержит/выводит строки:


Eternal love, is like heaven, sometimes like eternal rain, sadness, deep inside pain ! [Shine Away] .oO 1995 by CoKe Oo. Made in Luxembourg 1995







Shiny, семейство

Неопасные резидентные вирусы, перехватывают INT 1, 3, 9, затем трассируют INT 21h и заменяют первую команду обработчика INT 21h в DOS на код CCh (вызов INT 3). При запуске COM- и EXE-файлов вирусы записываются в их конец. Периодически заменяют комбинации символов на экране:


-> ---------- :-) :-( :=) :=( ;) ;( |) |(





Содержат текст:

Shiny Happy Virus by Hellraiser and Dark Angel of Phalcon/Skism






Shire, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы текущего каталога и заражают их. "Shire.143,155" записываются в начало, а остальные вирусы - в конец файлов. "Shire.155,210,220,300" зашифрованы.

По четвергам "Shire.149" выводит сообщение (см. ниже), "Shire.300" вызывает какой-то видео-эффект.

Содержат строки:


"Shire.117": *.com +TIME+ "Shire.143": *.?Om "Shire.149": *.COM *LAVA* "Shire.155": *.CoM MrTiny "Shire.199": *.CTL <Your Sinclair> "Shire.210": -Kiss-*.cOm "Shire.220": -Purple-*.cOm "Shire.253": *.com +TIME+ +Chemical Clock+ "Shire.300": *EFIL*.COM







Shirley, семейство

Резидентные безобидные вирусы, перехватывают INT 21h и записываются в конец запускаемых .EXE-файлов.

"Shirley.4096" содержит строки:

IWANTSHIRLEY

Marty McFly lives somewhere in time (Doc Brown)kFuck for Eddie!!There is only one place to spend nice holidays... CASAL BORSETTIin Italy... Fuck for John McAfeeand all the other Vrs-Killers...We have a right to live !!!!!!!!Greetings to the 1704... you were the first Virus, that infected my System! Greetings to Jerusalem-B...You were the Second! But now its my turn. Hope You have fun with the Shirley-Virus !!!!!!----------------Dies ist die Geschichte einer Dreiecksbeziehung,kФnnte mann sagen-A.C,L.C.und,natБrlich,CHRISTINE. Aber sie sollten wissen,dass Christine zuerst kam. Sie war Arnies erste Liebe, und obwohl ich nicht meine Hand dafБr ins Feuer legen moechte(denn mit 22 kann der Mensch sich ja noch irren),mФchte ich doch sagen,dass Christine seine einzige wahre Liebe gewesen ist. Deshalb ist diese Liebesgeschichte fБr mich eine TragФdie



"Shirley.4096" содержит текст:

VIVALDI






Shish.1142

Опасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец запускаемых EXE-файлов. В зависимости от текущего месяца (до/после июня) вирус запоминает первоначальные данные заражаемых файлов в различном виде. При возврате управления программе-носителю вирус восстанавливает эти данные также в зависимости от текущего месяца. В результате файлы работают корректно, только если они были заражены в том же полугодии (до/после июня), и завешивают систему в противном случае. Когда пользователь нажимает Alt-Ctrl-Del, вирус сообщает:


WARNING! SYSTEM REPORT: If your system does not work properly, change the month of the current system date. Error code #



Вирус также содержит строку:

[SHISH. Version 2.00]






ShitMan.441

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при обращении к ним. Выводит строку:

SHIT MAN






Shizol.500

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит строку:

Shizol0.0






Shoe.1904

Очень опасный резидентный полиморфик -вирус. Копирует себя в UMB (если там есть свободный блок) или в обычную память, перехватывает INT 8, 21h и записывается в конец EXE-файлов при обращениях к ним. По 1-м числам по четным месяцам (февраль, апрель, ...) стирает сектора винчестера и выводит текст:


OOPS .. Sorry For help call now: 555-SHOE or 555-RGNE No rights reserved by M.WEINHOLD







ShuHard.386

Неопасный(?) резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов (кроме COMMAND.COM) при их закрытии. При заражении использует недокументированные вызовы DOS и System File Table.

При запуска каждой программы ищет в командной строку текст "doom". Если находит, то меняет регистр CR0 защищенного режима процессора i386 - записывает единицу в зарезервированный бит (CR0 OR 40000000h). При окончании работы каждой программы вирус меняет этот бит на обратный.

Содержит строки:


doom VM DOOM MD! R.ShuHard 1997







Shutdown, семейство

Очень опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их начало. В марте стирают сектора дисков и выводят сообщение:

Computers must be shutdown to dedicate my sister!


"ShutDown.698" также выводит:

-- HKs VTech --






Simbioz.331

Безобидный нерезидентный вирус. Ищет .COM-файлы в текущем каталоге и записывается в их конец. Команду перехода на вирус CALL_Virus записывает в середину файла. Для этого ищет в файле байты B4h ?? CDh 21h (MOV AH,?? ; INT 21h) и замещает их командой CALL_Virus. Перед тем, как вернуть управление программе-носителю, восстанавливает этот код.

Никак не проявляется. Содержит строку:

*.com [Simbioz.Inside]






Simple

Неопасный нерезидентный COM-вирус. При запуске заражает C:\COMMAND.COM и COM-файлы в текущем каталоге. Содержит текстовые строки:


SIMPLE 1992 (c) *.COM C:\COMMAND.COM







Simulation

Неопасный нерезидентный полиморфик -вирус. Ищет .COM-файлы и записывается в их конец. Периодически выводит одно из сообщений, после чего завешивает компьютер:


HA HA HA YOU HAVE A VIRUS ! FRODO LIVES! Have you ever danced with the Devil in the pale moonlight? DATACRIME VIRUS RELEASED: 1 MARCH 1989 ALIVE... Your system is infected by the SIMULATION virus. Have a nice day!







Sina.1208

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При инсталляции в память уничтожает файлы:


C:\DOS\KEYB.COM C:\DOS\CHKLIST.MS C:\DOS\CHKLIST.CPS C:\DOS\ANYCHECK.VAL C:\DOS\DOS.SIG



12-го января стирает MBR винчестера и выводит текст:


SuperSiдa v1.00 Grupo MK A la memoria de mi abuela ASESINADA por los PARASITOS de la S.S. ( иSEGURIDAD SOCIAL? ) н MEDICOS ASESINOS ! Realizado en PONTEVEDRA CAPITAL el 15 de Marzo de 1995



Также содержит строку:

Made in PONTEVEDRA RADIKAL POR CRISTOBAL COLLON






Sinep

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов. Примечателен тем, что все зараженные этим вирусом файлы начинаются с популярного матерного слова с переставленными в обратном порядке буквами, чем, собственно, и обусловлено имя вируса.





Singapore, семейство

Нерезидентные вирусы, при запуске ищут .COM-файлы и записываются в их конец.

"Singapore.521" при заражении файлов "мигает" индикоторами NumLock, CapsLoc и ScrollLock.

"Singapore.910" - очень опасен, зашифрован. Длина файлов при заражении увеличивается на случайное количество байт (больше, чем на длину вируса). Иногда вирус стирает CMOS, дисковые сектора и выводит текст:

SINGAPORE






Sink.400

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при обращении к ним. Содержит строку:

Без паники-идем ко дну!Ver 1.!5






Sirius, семейство

Безобидные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы диска C: и записываются в их конец. Содержат строки:


"Sirius.400": << Ebbelwoi >> by (Ы)SнRнUS 10-93 D-63225 "Sirius.615": <>[EBBELWOI]v34 by(C)SiRiUS 1/94 D-47885 TRAN "Sirius.640": <>[EBBELWOI]v34 by(C)SiRiUS 1/94 D-47885 VFAC "Sirius.720": <> EBBELWOI v33m BY (Ы)SнRнUS 12-93 D-63225 IAMQVE OPVS EXEGI QVOD NEC IOVIS IRA NEC IGNIS NEC POTERIT FERRVM NEC EDAX ABOLERE VETVSTAS





Sirius.975,1070

Безобидные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM-файлов. Содержат строку:

[EBBELWOI] Version QUX-7 3/94 Sirius




Sirius.Alive

Резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их обращениях к ним. Содержат строки:

"Sirius.Alive.2200":



<< ALIVE >> BY SiRiUS, Germany, Version 0.03 (Ы) 1994-Oct -WAtCh oUt fOr A pOlyMorpHic vErsIoN!- Generation: Infections: Sum: MyStamp: ParentStamp: [SPM] [-----------------]



"Sirius.Alive.2283":



c:\dos\doskey.com << ALIVE >> BY SiRiUS (Ы) 1994-SEP, OPENVALLEY/GERMANY TRoN! 3-Oak-SCHooL! Version 0.01с Adv.Polymorphic/Armed SIRIUS POLYMORPHIC MODULE <tm>




"Sirius.Alive.3400" (пробелы между '=' и ']' могут быть заполнены шестнадцатеричными данными):




[ALIVE 3] 1995 by Sirius - Germany [ID= ] [PARENT-ID= ] [GENERATION= ] [BROTHERS= ] [SUM= ] -D-U-VTBF-VISVSSVSSCCLINHMCOWIMS [SIRIUS POLYMORPHIC MODULE]



"Sirius.Alive.4000" (числа между '[' и ']' могут быть произвольными):



<=- A0L0I0V0E -=> Distributed by the Alternative AL and AI Research Lab Germany,1995 FIRST NAME [000000] LAST NAME [000000] BIRTHDAY [01-01-95 01:01] GENERATION [0001] HEIR [0001] SUM [0001] Rewritten by SiRiUS. PrimeCode:***ЩpNV|42$)fJ*** -D-U-VF-TBSSSVVIVSNEVPIMAVCLCOHMINMSSCWI



"Sirius.Alive.2283" опасен, уничтожает некоторые антивирусные программы. При инсталляции заражает файл C:\DOS\DOSKEY.COM. Перехватывает также INT 1Ch и иногда проявляется каким-то звуковым эффектом.

"Sirius.Alive.3400,4000" не заражают некоторые антивирусные программы, а при их запуске отключают свои стелс -блоки.

"Sirius.Alive.4000" проверяет командную строку, и выводит сообщение (см. выше), если строка содержит символы "AL".



Sirius.Annihilator

Неопасные нерезидентные зашифрованные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Содержат строку:

HtTM's Annihilator


или:


"Annihilator.304,308": [HtTM's Annihilator v2.00] "Annihilator.314": [HtTM's Annihilator v2.10] "Annihilator.305": The great Sirius Rip Off Virus! "Annihilator.357,361,379,383": Your harddisk has been infected with [HtTM's Annihilator v1.00] "Annihilator.390,394,412,416,510,548,711": Your harddisk has been infected with [HtTM's Annihilator v2.00 - 10.08.1991] "Annihilator.453": [HtTM's Annihilator v3.10]



"Annihilator.596":



This file is infected with Annihilator by [HtTM] - 10.08.1991/93



"Annihilator.599":



Your harddisk has been infected with HtTM's Annihilator 3.21 - 10.08.1991/93



"Annihilator.603":



our harddisk has been infected with [HtTM's Annihilator v3.00 - 10.08.1991/93]



"Annihilator.607,610":



-- Your harddisk has been infected with -- [HtTM's Annihilator v3.10 - 10.08.1991/93]



"Annihilator.673":



-- Your harddisk has been infected with -- [HtTM's Annihilator v3.00 - 10.08.1991/93] The slightly polymorph COM infector Virus!



"Annihilator.733,739":



Your harddisk has been infected with [HtTM's Annihilator v2.10 - 10.08.1991]





Некоторые из вирусов выводят соответствующую строку на экран. "Annihilator.711" проявляется каким-то звуковым эффектом.



"Annihilator.404" выводит текст и завешивает компьютер:


You have got the Anti TRON Virus! Don't support TRON (MrMsNort) in D-17149 Stavenhagen





Sirius.Homunculus

Опасный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Не заражает файлы, имена которых заканчиваются на любую из строк:


TB??????.* ST??.* F-????.* AV.??? VS???.* SC??.* CL???.* HM?.* WI?.* CT??.* L.* OR?.* CO??.*



Вирус уничтожает первые семь перечисленных выше файлов при их запуске.

В зависимости от системного таймера выводит текст:


[ HOMUNCULUS ] by SiRiUS nov/94 Germany WARNING: YOUR SYSTEM HAS BEEN CORRUPTED BY A COMPUTER VIRUS IF YOU TURN OFF YOUR COMPUTER NOW ALL DATA ON THE HARDDISK WOULD BE LOST Wait 5 minutes and think about the young english virus writers, who were arrested by the british police that year. IF YOU STRIKE ANY KEY BEFORE ALL DATA ON THE HARDDISK WILL BE LOST



а затем продолжает работу безо всякого вреда для системы и данных на винчестере. Вирус также содержит строки:


GEN: BROS: ANCESTORS: ID: PARENT-ID: [Sirius-Polymorphic-Module] [SPM]





Sirius.Mem

Очень опасные резидентные зашифрованный вирусы. Перехватывают INT 21h и записывается в конец запускаемых COM-файлов. В зависимости от текущей даты стирают сектора дисков, выводят сообщения, проявляются какими-то звуковыми эффектами. Содержит строки:


Greetings to TRON, Sirius and Man on the Moon! THANX to Dark Angel and PS



и/или:

"Mem.553":



Greetings to TRON, Sirius and Man on the Moon! [Mem-Annihilator II-*-v1.00-*-1994]



"Mem.1187,1217":



Your harddisk has been infected with |-----------------------------------------| > Mem-Annihilator II -*- v1.04 -*- 1994 < |-----------------------------------------| Greetings to all virus writers elsewhere! Serial Number: ELSE-0001



"Mem.1201,1203":



Your harddisk has been infected with |-----------------------------------------| > Mem-Annihilator II -*- v1.03 -*- 1994 < |-----------------------------------------| Greetings to all virus writers elsewhere! Serial Number: MA2-0001





Sirius.Spawn

Безобидные нерезидентные компаньюн-вирусы. При запуске ищут .EXE-файлы и создают компаньон-файлы с расширением COM. Содержат строки:

COM *.EXE


и:


"Spawn.252": Annihilator (SPAWN) is still alive! "Spawn.255,267": Annihilator (SPAWN v1.01) is still alive! "Spawn.258": Annihilator (SPAWN v1.00) is still alive!





Sirius.VCS

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:


COM-Stealth v1.00 [ANNI-VCS 2.0] CARO: Annihilator.VCS_2.Stealth.COM -OK- ???







Siskin, семейство

Неопасные резидентные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец COM-, EXE- и OVL-файлов. Ежемесячно 7-го числа исполняют три мелодии (одна из них - "Чижик-Пыжик").



Демонстрации вирусных эффектов:

SISKIN.COM



Sistor, семейство

Неопасные резидентные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец COM- и EXE-файлов. Запускают (кроме "Sistor.1000,1149") "скачущий" по экрану шарик, который отражается от символов и границ экрана. При попадании шарика в знаки текста или псевдографики они (знаки) "падают" вниз. Содержат текст:

Sistor


"Sistor.1000" также содержит:

Sistor & Co Present * Sistor & Co Present




Демонстрации вирусных эффектов:

SISTOR.COM



SixFaces.700

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM-файлов (кроме COMMAND.COM). При создании файлов и подкаталогов ищет .COM-файлы и заражает их. В зависимости от своего счетчика выводит шесть рожиц (ASCII 1).





Sk, семейство

Резидентные очень опасные вирусы. Перехватывают INT 13h, 20h и 21h. При возврате программ в DOS ищут .COM-файлы текущего каталога и записываются в их конец. В начале зараженных файлов располагается слово 'SK'. По 24-м числам ежемесячно стирают сектора дисков и сообщают:

Virus in memory !!! Created by 21.I.1990 - PMG\OTME - Tolbuhin ...






Skater, семейство

Резидентные неопасные полиморфик -вирусы. Перехватывают INT 10h, int 21h и записываются в конец COM-файлов при их запуске или открытии. Периодически выводят сообщение:


I love Tonya Harding, The best womens Figure Skater in history. Now Tonya, Do that triple axle and kick Kristi Yamaguchi's arse - Australian Parasite -



"Skater.664" безобиден, перехватывает только INT 21h и никак не проявляется.



Демонстрации вирусных эффектов:

SKATER.COM



Skew, семейство

Резидентные вирусы, записывают себя в таблицу векторов прерываний, перехватывают INT 21h и записываются в конец файлов при их запуске.

Skew.441,445,469

Неопасные вирусы. Поражают EXE-файлы. Через некоторое время начинают мудрить с разверткой экрана, в результате чего изображение на адаптере EGA циклически "проворачивается" на несколько строк вверх/вниз, а на адаптере CGA/VGA - начинает дергаться.

Skew.458

Опасный вирус, перехватывает также INT 1Ch. Поражает COM-файлы при их запуске и открытии. Портит некоторые файлы, стирает сектора дисков.



Демонстрации вирусных эффектов:

SKEW.COM



SkyNet.1448

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращении к ним. В зависимости от своих внутренних счетчиков замедляет работу компьютера (холостой цикл при каждом вызове INT 21h) и выводит тексты:

*** Terminator I *** Created by Sky Net in Chung-Li.



Terminator Message: Don't be afraid. I am a very kind virus. You have do many works today. So, I will let your computer slow down. Have a nice day, Goodbye. Press a key to continue. . .





Демонстрации вирусных эффектов:

SKYNET.COM



Slam, семейство



Slam.565

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. Никак не проявляется, содержит строку:

SKANK




Slam.Damned

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Уничтожает файлы: ANTI-VIR.DAT, CHKLIST.CPS, CHKLIST.MS, AVP.SET, FINDVIRU.DRV, AVP.OVL, SCAN.DAT, SIGN.DEF.

Также содержит строки:

DaMNeD Virus (c) 1997, Dark Chakal [SLAM]






SlamTilt.703

Неопасный нерезидентный частично зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Выводит строку:

<<< SLAM TILT >>>






Slash.457

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит строку "//".





Slava, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов (кроме COMMAND.COM). Содержат строки:


command Слава Владыке







Slavery.929

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от текущей даты выводит сообщение и проигрывает мелодию:

Freedom is Slavery: Berlusconi ti guarda


Также содержит строки:

*.com usta *.*




Демонстрации вирусных эффектов:

SLAVERY.COM



Slayer.2638

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Портит содержимое секторов дисков.





SLH.308

Очень опасный нерезидентный зашифрованый вирус. Ищет COM-файлы и записывается в их конец. По 13-м пятницам стирает случайный сектор на диске C: и выводит текст:

Satan's Little Helper






Slips, семейство

Безобидные резидентные вирусы. "Slips.1475" является стелс -вирусом. Перехватывают INT 21h и записываются в конец EXE-файлов при вызовах DOS-функций FindFirst/Next (команда DIR). Никак не проявляются. "Slips.1475" содержит строку:

SlipS gotcha!






Slof.775

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало запускаемых .COM-файлов. Никак не проявляется. Содержит строку-идентификатор:

SLOFTXC






Slost.596

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Использует антиотладочные приемы, содержит строки:


*.com * LOST *







Slovakia, семейство

Неопасные нерезидентные зашифрованные вирусы, ищут .COM-файлы или .EXE-файлы ("Slovakia.1629,2387") и записываются в их конец. После заражения могут проявить себя: выводят сообщение


Greeting from Bratislava, SLOVAKIA. Type the word SLOVAKIA : SLOVAKIA virus version 2.00 (c) 1991 by ??. All Rights Reserved.



и ждут ответа 'SLOVAKIA'. Если вводится другое слово, поправляют:

Type word SLOVAKIA, not CZECH, YUGOSLAVIA or SLOVENIA !! Press Esc.


"Slovakia.2387" также содержит строку:

Msg #0 to Slon! & Kuko. Hi _, pleased to meet your program. Enjoy new version of S. :-) Bye ??

"Slovakia.Silvia5" выводит текст:


Hi, my name is Silvia 5. I come to visit you. Please wait, exploring your system.. Preparing new mutation clone.. Looking for friends, cloning.. Sending message.. Answering messages.. Ok, it was nice to meet you. Press any key.





Slovakia_II.3854

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 21h и записываются в конец запускаемых .COM- и .EXE-файлов. Содержат строки:

"Slovakia.II.3854.a":



Not enough memory I'am SLOVAKIA virus Version 1.0 Copyright (c) 19.1.1994 SVL chklist.ms chklist.cps smartchk.cps svl.svl scan avg vir asta alik rex msav cpav nod clean f-prot tbav tbutil avast nav vshield vsafe (C) 26.1.1994 SVL TechnickВ paramete: MENO: Slovakia v.1.0. TYP: Rezidentny COM&EXE infektor. KRYPTOVANIE



"Slovakia.II.3854.b":



I'am SLOVAKIA virus Version 1.1 Copyright (c) 29.1.1994 SVL chklist.ms chklist.cps smartchk.cps svl.svl scan avg vir asta alik rex msav cpav nod clean f-pro tbav tbuti avast nav vshie dizz vsafe



"Slovakia.II.3854.c":



I'am SLOVAKIA virus Version 1.2 Copyright (c) 1994 SVL chklist.ms chklist.cps smartchk.cps svl.svl .exe .com scan avg vir asta alik rex msav cpav nod clean f-pro tbav tbuti avast nav vshie dizz vsafe





Вирусы выводят на экран первую (и вторую) строки, уничтожают файлы с именами их третьей (второй) строки, переименовывают при заражении файл в имя, содержащееся в четвертой (третьей) строке. Следующая строка содержит имена файлов, которые не поражаются вирусом.



Slovakia_II.Happy

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. С 1-го по 8-е января выводит текст:

HAPPY NEW YEAR,SLOVAKIA




Демонстрации вирусных эффектов:

SLOVAKIA.COM



Slow.1716

Неопасный резидентный вирус, зашифрован. Перехватывает INT 21h и поражает COM- и EXE-файлы при их запуске. По пятницам при закрытии файлов обнуляет их дату.





Slubdestr.1024

Неопасный резидентный вирус. Перехватывает INT 21h и при запуске файла или окончании программы ищет два .COM-файла текущего каталога и записывается в их конец. После чего проверяет значение системного таймера и в 10 и 17 часов переименовывает файл C:\AUTOEXEC.BAT в C:\SLUBDESTR.N23. Содержит строку:

c:\autoexec.bat c:\slubdestr.n23






Slug.872

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Не изменяет заголовок файла и адрес "точки входа" - трассирует файл и записывает команду перехода на тело вируса в середину файла. В зависимости от системного таймера выводит текст:

Removing virus from memory...


и завешивает систему. Содержит также строку:

TheBugger virus by The Slug/29A






ShyDemon, семейство

Неопасные нерезидентные зашифрованные вирусы. Ищут .COM-файлы, затем файл EDIT.COM и записываются в конец обнаруженных файлов. 30-мая выводят текст:


(C) Shy Demon Is A Dark Wizard 1996 Production Hello... Hope I'm Not Disturbing.... Don't Wanna Cause Any Trouble... But I Just Infected 2 Files... And If You're Not Nive To Me I Will Infect More... Please Don't Kill Me! We Virii's Also Have A Life You Know... See Ya Next [03.30], Gotta Run...



Содержат также строки:


[Shy Demon - Dark Wizard - Sweden - 96.03.10] *.com edit.com







SI.509

Опасный резидентный вирус. Перехватывает INT 1Ch, 21h и при DOS-вызовах создания/удаления/смены каталога, создания/открытия файлов ищет .COM-файлы и записывается в их конец. Детектирует свою TSR-копию по слову "SI", которое записывает по адресу 0:0472 (Warm boot flag). В 10:00 перезагружает компьютер. Содержит строку:

*.COM






Sibylle

Опасный резидентный вирус, перехватывает INT 21h, 2Fh и записывается в конец EXE-файлов при их запуске. Использует INT 2Fh для детектирования своей TSR копии. Иногда устанавливает атрибуты файлов в значение Volume Label. В зависимости от системного таймера может записать вместо файла AUTOEXEC.BAT строки:


@echo off :b echo Looking for Sibylle... goto b







Sidewinder.2048

Неопасный резидентный вирус. Перехватывает INT 21h и при запуске программ ищет EXE-файлы и записывается в их конец. 21-го апреля проявляется видео-эффектом, затем выводит текст:


+-----Today is my birthday-----+ | SIDEWINDER v.0.9 by Rafal D. | | ---- ЬХdz 1993 ---- | +------------------------------+



В зависимости от системного времени перехватывает INT 1Ch, меняет шрифт символа 'A' и выводит сообщение:

SIDEWINDER v.0.9 by Rafal D.




Демонстрации вирусных эффектов:

SIDEWIND.COM



Sign.615

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их конец. Содержит строку:

SIGN






Signed, семейство

Очень опасные нерезидентные зашифрованные вирусы. Ищут .EXE-файлы и записываются в их конец. Иногда стирают сектора дисков и сообщают:

There Can Be Only One..... Signed -Traveling 0ack-




Демонстрации вирусных эффектов:

SIGNED.COM



Signs.720

Резидентный неопасный вирус. Перехватывает INT 8, 21h и записывается в конец запускаемых COM-файлов. По пятницам циклически (сверху вниз) сдвигает изображение на экране. Содержит текст:

Signs Of Life




Демонстрации вирусных эффектов:

SIGNS.COM



Silence.555

Резидентный опасный самошифрующийся вирус. При старте расшифровывает себя и копирует в конец памяти без коррекции MCB блоков. Это может вызвать зависание компьютера. Затем вирус перехватывает INT 21h и записывается в начало запускаемых COM-файлов. Вирус содержит в себе строку текста:

The Silence Of The Lambs!






Silicon.1019

Опасный резидентный зашифрованный вирус. Копирует себя в EMS, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Выводит сообщения:


Silicon Avenger !!!! Out of Memory!



также содержит строку:

Silicon Avenger (c) Sx 1995


и уничтожает файлы:

Anti-Vir.Dat chklist.ms chklist.cps






Silly.2256

Очень опасный нерезидентный полиморфик -вирус. Ищет .COM-файлы и записывается в их конец. Код, передающий управление на тело вируса, состоит из двух блоков: первый блок передает управление на второй, а второй - на тело вируса, причем в этих блоках могут быть использованы различные инструкции при различных случаях поражения файлов вирусом "Silly".

Периодически вирус ищет и .EXE-файлы. Он записывает поверх них программу, уоторая при запуске стирает сектора дисков и выводит сообщения:


%%%%%%%%%%%% %%%%%%%%%%%%%% % __ __ % | o o | | | | (..) | | ) ---- ( | \__________/




The User of This Computer Is Stupid! Hello, I'm Silly Willy! - Now I'm formating Your HARDDISK! That's fine! - Isn't it? (har,har) Formating Drive C: ...$ERROR: No SYSTEM found! No files on drive C: Insert SYSTEM diskette in drive A: and push any key!





Демонстрации вирусных эффектов:

SILL2256.COM



Silver, семейство

Нерезидентные очень опасные вирусы, записываются вместо всех .COM- и .EXE-файлов текущего каталога. Содержат много шифрованных текстов, некоторые из них выводят на экран.

Silver.2071

Содержит строки:


Copyright(C) 1992 by CU, Boulder Colorado. Program too big to fit in memory Person/People/Things we >>hate<<: Person/People we admire: Person/People/Things we think are cool: Irving Berlin's Music.




The SILVER DOLLAR VIRUS v3.00b ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ NEWS FLASH!! Your System has been phried with The SILVER DOLLAR VIRUS. One more thing, we have your partition table valifiesationed, and we recommend you >>not<< turn off your computer, unless you have 400 clams or more for a new hard drive! Have a Phun time Phiguring this out!




See ya, Spies Without a Purpose, The Savage Samurai(an alias to an alias), Psuedo NIM(an alias to an alias), PLO, CU, Boulder, CO. January 25, 1992.




For educational purposes only. ThanWs to PCM2 for LEPROSY v1.00.



*.EXE *.COM



Silver.2218

Содержит строки:

Copyright(C) 1992 by Fairview High School, Boulder Colorado, 80303.

Program too big to fit in memory

Person/People/Things we >>hate<<: Paul Harvey's sucks!!!!! MacinTrashes Suck!!!! Graham (Not Alexander but this fuck ass kids whjo calls himself graham) sucks!

Person/People we admire:Lynn Bari, Jean Arthur, Jane Russel, Victoria Hill

Person/People/Things we think are cool: Cybernetics, C++, 39 Steps, The Mafia, maybe "Monty Python".


The SILVER DOLLAR VIRUS v2.00d ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ NEWS FLASH!! Your System has been phried with The SILVER DOLLAR VIRUS. One more thing, we have your partition table valifiesationed, and we recommend you >>not<< turn off your computer, unless you have 400 clams or more for a new hard drive! Have a Phun time Phiguring this out!




See ya, Spies Without a Purpose, The Savage Samurai(an alias to an alias), Psuedo NIM(an alias to an alias), PLO, Fairview High School, Boulder, CO. January 25, 1992.




For educational purposes only. ThanWs to PCM2 for LEPROSY v1.00.






Allocating memory.... Please wait..... Hard time accessing memory, please turn off all RAM resident programs and press >>Enter<< to continue....





Silver.8108

Выводит текст:


PLO VIRUS RESEARCH TEAM



Содержит в себе строки:


Copyright(C) 1992 by CU, Boulder Colorado. Program too big to fit in memory Person/People/Things we >>hate<<: Person/People we admire:A Midgit, or maybe two :-). The Luna - moon. Ivy, Irene, Iris Person/People/Things we think are cool or find phun:.Strip Poker,




The SILVER DOLLAR VIRUS v3.00d ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ NEWS FLASH!! Your System has been phried with The SILVER DOLLAR VIRUS. One more thing, we have your partition table valifiesationed, and we recommend you >>not<< turn off your computer, unless you have 400 clams or more for a new hard drive! Have a Phun time Phiguring this out!




See ya, Spies Without a Purpose, The Savage Samurai(an alias to an alias), Psuedo NIM(an alias to an alias), PLO, CU, Boulder, CO. FebuBerry 09, 1992 For educational purposes only. Thanks to PCM2 for LEPROSY v1.00.




The Silver Dollar Virus Strikes Again This is dedicated to a nice person Amy Everyone say Hi Amy!







Sily.745

Неопасный частично зашифрованный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. 31-го августа перехватывает также INT 8 и выводит сообщение:

-== Hi! Everybody! This is nice and sily virus for you ==-




Демонстрации вирусных эффектов:

SILY.COM



Simbiot, семейство

Опасные резидентные вирусы. Перехватывают INT 21h, записываются в конец COM и EXE файлов при обращениях к ним. Содержат много ошибок, в результате чего портят COM-файлы и завешивают систему. "Simbiot.875,881" содержат строки:


>SimbioT< [SLAM]



"Simbiot.878" выводит текст:

HELLOS!






Sparkling.705

Неопасный нерезидентный самошифрующийся вирус. При запуске ищет .COM-файлы и записывается в их конец. По 13-м числам устанавливает системные часы на 14-е число и выводит сообщение:


Goodday.. I am da Sparkling Cyanide fear, however, no need to vir.. 'coz I do NOT have a bomb like al those childish fears. On da contrary.. I've set your date to tomorrow, So all the other fears haven't got a chance.. Aren't you glad you ran me first? SPARKLING CYANIDE (c) [VooDoo]







Sparse.3840

Резидентный безобидный вирус. Перехватывает INT 21h и записывается в начало загружаемых в память .COM-файлов. Большая часть (около 3K) кода вируса состоит из нулевых байт, которые нигде и никогда не используются. Выполняемый же код объединен в 3 области, которые разбросаны (отсюда и название) по телу вируса.





Spartak.1100

Опасный резидентный вирус. Перехватывает INT 13h, 21h и записывается в конец EXE-файлов. В зависимости от системного таймера выдает сообщение и стирает CMOS:

Spartak Moskow v1.0 02/06/97 18:38:30 .






Spawn1.346

Безобидный нерезидентный зашифрованный компаньон -вирус. Содержит строку текста:

[SPAWN-1] ICE-9 Written 10 Nov 1992.Finished at 23:56.shame it wasn't 23:58 eh?





Spectral, семейство

Неопасные зашифрованные вирусы.

Spectral.601

Нерезидентен, при запуске ищет .COM-файлы и записывается в их конец. По 6-м числам выводит текст:

[CAUSTiC GRiP] By Spectral Shadow (c) 1994


Spectral.907

Резидентен, перехватывает INT 21h и при обращениях к .COM-файлам записывается в их конец. Выводит текст:

The Screeching Weasel is Installed.


Также содержит строку:

By Spectral Shadow






Spellbound

Неопасный нерезидентный полиморфик -вирус. При запуске ищет .COM-файлы и записывается в их начало. По первым числам ежемесячно "сдвигает" экран (на CGA или EGA мониторах) и выводит сообщение:


Prime Evil! (C) Spellbound, Line Noise 1992. Coded in Stockholm, Sweden. Please spell my name right!





Демонстрации вирусных эффектов:

SPELLBOU.COM



Spic.990

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. В зависимости от своего счетчика расшифровывает и выводит текст:


Hi! This is [SpiC] - next virus from XIV LO Wroclaw Written in Jan/Feb '97 Greetings for all my friends Fuckings go to microsoft and all windows '95/96 users Please, don't kill this virus. He is very friednly ;-) [SpiC]





Демонстрации вирусных эффектов:

SPIC.COM



SpiceGirl, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в начало COM-файлов при обращениях к ним (открытие, запуск и т.д.). Не заражают COMMAND.COM. Начиная с 1619-байтовой версии - зашифрованы. Начиная с 2123-байтовой версии используют "стелс"-алгоритм: при открытии зараженного файла создают на диске временный файл, куда записывают "вылеченную" копию файла, и возвращают "handle" этой копии. При закрытии файла уничтожают эту копию.

Вирусы используют новый и довольно необычный прием борьбы с антивирусными программами: зараженные файлы не имеют "точки входа" (startup-адреса). Точнее, в зараженных файлах адрес точки входа находится за пределами файла, однако DOS загружает и выполняет такие файлы без особых проблем. Для реализации этого метода вирусы используют специальным образом подобранные поля EXE-заголовка.

Вирус имеет формат EXE - содержит EXE-заголовок, таблицу настроек адресов и т.д. (заражает он COM-файлы, т.е. изменяет формат файла на EXE). Поля в EXE-заголовке вируса подобраны таким образом, что при загрузке файла управление передается на Program's Segment Prefix (PSP) файла, а точка входа указывает на команду RET FAR в PSP (эта команда является следующей после стандартного кода вызова INT 21h в PSP). В результате при запуске зараженного файла первой выполненной командой будет команда RET FAR, т.е. управление будет передано по адресу, находящемуся в стеке. Естественно, что стек вируса подобран так, что управление получает код вируса.


+------------+ PSP Передача управления 0000 |CD 20 | .... | | | 0050 |CD 21 | | 0052 |CB / RET FAR| Точка входа, DOS передает <-----+ .... | | управление на этот адрес -----+ | 0100 +------------+ Код вируса (файл) | | | | |------------| | |Стек | Данные стека указывают ---->| | | на код вируса | |------------| | | | Код вируса (инсталлятор) <-----+ | . . . |







Вирусы содержат строки:


What? 'Error: invalid program'? Me? Fprot, are you crazy? :) And you, Avp, 'EXE file but COM extension'. What a deep scan. ;) Spice_Girls virus causes problems to your scan engine eh? :)







Spirit.1710

Опасный резидентный вирус. Трассирует и перехватывает INT 21h, затем записывается в начало COM- и конец EXE-файлов при обращениях к ним. Вирус проверяет имя файла и не заражает файлы с именами:


COMMAND.COM F-PROT F-TEST VIR DIR2CLR IMV ANTI DOCTOR SCAN CLEAN IVC CHKDSK



В зависимости от текущей даты и времени вирус стирает несколько секторов винчестера. Вирус содержит строки:


COMEXE ** (C) The Evil Spirit ** Gabrovo city, Bulgaria. Last_change : 28.05.1993







Split.250

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку "SPLIT", уничтожает файлы *.D*.





Spooky, семейство

Очень опасны - записываются в начало файлов не сохраняя первоначальное содержимое файлов. "Spooky.215,228" нерезидентны - ищут .COM-файлы и заражают их. "Spooky.314" перехватывает INT 21h, остается резидентно в памяти и заражает файлы при их запуске.

Вирусы выводят тексты:


"Spooky.215": [Krautfresser written by Spooky] 1996 Austria "Spooky.228": 4711 written by Spooky. Austria 1996 "Spooky.314": ReIncanation written by Spooky. Austria 1996 Befehl oder Dateiname nicht gefunden.







Spring, семейство

Резидентные неопасные вирусы, перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске.

"Spring.768" содержит текст "Spring". Он также проявляется видео-эффектом.



Демонстрации вирусных эффектов:

SPRING.COM



Spy.1089

Неопасный резидентный вирус. Перехватывает INT 9, 21h, 28h, 2Fh и записывается в конец запускаемых EXE-файлов. При помощи перехвата INT 9, 28h вирус перехватывает клавиатурный ввод и пытается записывать его в файл C:\IO.IO, однако обламывается по причине ошибки. При вызове INT 2Fh AX=CX=CECEh вирус выводит текст:


I'm SPY by Costin,what's up ? c:\io.io







Sql.953

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку: "SqL.".





Squad.1299

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 10h, 17h, 21h и записывается в конец запускаемых COM- и EXE-файлов. При открытии файлов с расширениями .C, .CPP, .PAS, .TXT и .PRG вирус записывает в них текст:


This virus is a publicity stunt of the DOG SQUAD (CSE 93 Batch of RECJ) and has been issued in public interest by the Registar of the Squad. Long Live N.P.



Вирус блокирует печать файлов (INT 17h) и переход не некоторые графические видео-режимы (INT 10h).





Steatoda, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в начало COM- и конец EXE-файлов при их запуске или открытии. После заражения файла стирают на диске случайно выбранные сектора.

При заражении памяти ищут файл C:\DAMAGE.MOR. Если таковой найден, то вирус не заражает систему. При этом он расшифровывает и выводит текст:


This file is infected by "Steatoda", you seem to have the protection, so... you will not be harmed by the virus. Press any key...



Также содержат строки:


"Steatoda" EXE COM C:\DAMAGE.MOR







Steppan.736

Неопасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов при их запуске или открытии. "Выключает" клавишу Left-Shift. В зависимости от системного таймера выводит текст:

Your PC is infected with DEATH virus - greeting from Steppan


Также содержит строки:


Death COMSPEC







Sterculius, семейство

Безобидные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 21h и записывается в конец файлов при их запуске или при загрузке в память как оверлей. "Sterculius.280" поражает только COM-файлы, остальные записываются как в COM, так и в EXE. Вирусы содержат строки:


"Sterculius.266": <!> "Sterculius.273": <ARCLIGHT> "Sterculius.240,280": STERCULIUS "Sterculius.428,440,456,458,474": STERCULIUS ][







Steryd.399

Неопасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. 24-го декабря расшифровывает и выводит текст:

Wesolych Swiat i Szczesliwego Nowego Roku zyczy STERYD.






Stimp.248

Неопасный нерезидентный самошифрующийся вирус. При запуске ищет .COM-файлы и записывается в их начало. По 21-м числам выводит текст:

STIMP-VIRUS made in Poland






Stinger.710

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. В начале зараженных файлов присутствует строка:

STINGER






Stink, семейство

Опасные нерезидентные вирусы. Поражают .COM-файлы текущего каталога, при этом записываются в начало и конец инфицируемого файла:


+-------+ +-------+ | Файл |---+ |Вирус | - первая часть вируса |- - - -| | |-------| | | | | Файл | | | | | | +-------+ | |- - - -| +->| | |-------| |Вирус | - вторая часть вируса | | +-------+



Некорректно работают с INT 24h, поэтому при работе с защищенными от записи дисками компьютер может "зависнуть". Содержат строку "*.COM.COMMAND". Если при старте зараженного файла значение секунд текущего времени совпадает со значением минут, то с вероятностью 1/4 вирусы выводят на экран сообщения:


"Stink.1252,1254,1283": StinkFoot has arrived on your PC ! "Stink.1270,1283.b": StinkFoot: 'Eat this Paul Ducklin'







Stofi.998

Опасный резидентный вирус. Частично зашифрован. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. Может испортить некоторые файлы READ.ME, вирус записывает в них строку:

*Fuck you St StФfi - world's biggest lamer !!!*


Также содержит строку:

comexeread.me






StoneHeart.1490

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске, открытии или обращении к их атрибутам. При заражении шифрует в середине файлов блок длиной 200h байт, при возврате управления программе-носителю вирус расшифровывает етот блок. Не заражает антивирусы, включая AIDSTEST, AVP, SCAN, WEB в соответствии со строкой (по три символа на имя): "AIDAVPPROSCAEXTWEB".

При инсталляции в память вирус уничтожает файлы в корневых каталогах всех дисков. Уничтожаются файлы, 7-й символ которых совпадает с именем диска: C:??????C?.*, D:??????D?.*, e.t.c.

Вирус содержит строки:


:\*.* StoneHeart II EMME Small 1.1







Stonsky.1468

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или переименовании. Содержит строку-идентификатор:

tэдkЭ






Storm, семейство

Неопасны, резидентны. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. 3-го марта выводят тексты:

"Storm.1153,1172": OK!! NOW KEEP CALM AND LIE DOWN ON THE FLOOR -- THIS IS A VIRUS!!!!

"Storm.1163": OK EVERYBODY!! NOW KEEP CALM AND LIE DOWN ON THE FLOOR -- THIS IS A VIRUS!!!!

"Storm.1218": Wenn Du diesen Text liest ist es zu spДt.... Dein Computer ist infiziert!!!

затем перехватывают INT 8 (таймер) и осыпают символы на экране.



Демонстрации вирусных эффектов:

STORM.COM



Storyteller

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 8, 21h и записывается в конец .EXE-файлов при их запуске. Выводит текст:


Sitting on a grassy,beneath one of the window of the church,was a little girl.With her head bent back she was gazing up at the sky and singing,while one of her little hands was pointing to the a tiny cloud that hovered like a golden feather above her head.So co- mpletely absorbed was she in watching the cloud to which her string song or incantation seemed addressed,that she did not observe me when I rose and went towards her.As I slowly approached the child,I could see by her forehead,which in the sunshine seemed like a globe of pearl,and especially by her complexion that she was uncommonly lovely.Her eyes --which at one moment seemed blue_gray, at another violet,were shaded by long black lashes,curving backword in a most peculiar way,and these matched in hue her eyebrows, and the trees that were tossed about her tender throat and were quivering in the sunlight.Gradully the other features,especially the sensitive full-lipped mouth,grew upon me as I st- ood silently gazing. Here seemed to me a more perfect beauty than had ever co- me to me in my loveliest dreams of bea- uty.Yet it was not her beauty so much as the look she gave me that facinsted me ,melted me........

ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД


By : Theodore Watts-Dunton ---------------------------------------- Sir . Press any key





Также содержит строку: "STORYTELLER".



Демонстрации вирусных эффектов:

STORYTEL.COM



Stranger.734

Очень опасный резидентный самошифрующийся вирус. Трассирует и перехватывает INT 21h. Записывается в середину файлов при их запуске, причем ищет в файле участок постоянного кода и записывается вместо него (длина файла при этом не увеличивается). При запуске файла вирус восстанавливает этот блок и передает управление программе-носителю. Иногда уничтожает *.DB* файлы при их открытии. Содержит строку:

*Stranger*






Strategy.486

Безобидный нерезидентный вирус. Поражает только системные драйверы (SYS-файлы). Получает управление при загрузке DOS в тот момент, когда DOS грузит системные драйверы, и если в файле CONFIG.SYS в списке драйверов есть зараженный файл. Получив управление вирус считывает файл CONFIG.SYS, ищет в нем строки "DEVICE=" (большими и маленькими символами) и заражает соответствующий файл.

При заражении файла проверяет формат файла и не заражает EXE-файлы. Затем сохраняет и модифицирует поле Strategy и записывается в конец файла. После этого заражает следующий драйвер, указанный в CONFIG.SYS.

Содержит в себе имя файла-носителя и строку:

\CONFIG.SYS






Striker.461

Нерезидентный безобидный вирус. Сканирует дерево каталогов и записывается в конец .COM-файлов. В начале и конце пораженного файла можно обнаружить строку:

Striker #1






Sesc.448

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. В конце зараженных файлов содержится строка-идентификатор "SESC".





Sformat.699

Резидентный очень опасный вирус. Перехватиывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит слишком много ошибок и может завесить компьютер при запуске зараженного файла. По пятницам пытается отформатировать винчестер. Содержит в себе текст:

Sofia - Slow-Format/M 1992






Sfrust.632

Очень опасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. Периодически стирает FAT и выводит текст:

Sfrustrowany student v.1.1 RevSoft K-ce.






SG_Bomber, семейство

Безозидные нерезидентные зашифрованные вирусы. Ищут COM-файлы в текущем каталоге и записываются в их конец. При заражении записывают в середину файлов 10 блоков кода, которые передают управление из начала файла на код вируса - первый блок передает управление второму, второй - третьему и т.д. (примерно так же, как делает вирус "Bomber" ).

Вирусы содержат строки:


(c) Copyright by Beast. (c) Stealth Group Bishkek. (c) Stealth Group World Wide. Infection by Beast. v0.91 Stealth Group World Wide. [Bomber v1.0] by Beast. Stealth Group World Wide.







S-Gnome.654

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Уничтожает антивирусные файлы данных: CHKLIST.MS, CHKLIST.CPS. 1-го апреля устанавливает системную дату на 1-е января 2000г. По 13-м пятницам выводит случайные данные на принтер. В 1:30 выводит текст:


REDRUM WORKING v4.4 -GK-=!AssGnomes!=- 1997



Также содержит строку:

One ring to rule them all...






SH.2062

Очень опасный резидентный вирус. Перехватывает INT 8, 9, 13h, 21h и записывается в конец запускаемых COM- и EXE-файлов. При заражении файла прибавляет к текущей дате несколько дней (0-15 в зависимости от системного таймера) и запоминает результат (дату срабатывания) в своем теле. При запуске зараженного файла, если системная дата равна дате срабатывания, то вирус активизирует несколько эффектов: вызывает какой-то видео-эффект, пищит при вызовах INT 21h, в зависимости от случайного счетчика запрещает запись через INT 13h (это может привести к потере даных на диске), изменяет флаги и содержимое буфера клавиатуры.

Вирус содержит строку-идентификатор:

SH






Shadow, семейство

Резидентные очень опасные зашифрованные вирусы, перехватывают INT 21h и записывается в конец запускаемых COM- и EXE-файлов, а также при загрузке оверлеев. "Shadow.1702" перехватывает также функции FindFirst/Next (команда DIR) и заражает файлы при их перечислении.

При заражении COM-файлов совершают ошибку (кроме "Shadow.1702"), в результате чего эти файлы не восстанавливаются. Уничтожают '*BBS*.*'-файлы. "Shadow.1702" записывает в эти файлы программу, которая при запуске медленно гасит экран.

Содержат тексты:


"Shadow.1185,1200": [Shadow] NecroSoft Enterprises-a division of BCA Greets to SKISM "Shadow.1702": [Shadow-B/2] Greets to SKISM





Демонстрации вирусных эффектов:

SHADOW.COM



Shadowbyte, семейство

Нерезидентные очень опасные вирусы. Сканируют каталоги текущего диска и записываются в конец обнаруженных .COM-файлов. В июле форматируют диски A: и C:, выводят текст:

Shadowbyte Lives!


а затем издают (при помощи динамика) звук погибающего винчестера (Т-Р-Р-Р-р-р-р-рррр...).



Демонстрации вирусных эффектов:

SHADOWBY.COM



Shake

Резидентный очень опасный вирус. Перехватывает INT 21h и при вызове функции GetDiskSpace (INT 21, ah=36h) ищет .COM-файлы текущего каталога и записывается в их конец. У зараженных файлов устанавливает время 60 секунд. Перехватывает и не восстанавливает INT 24h. При старте зараженной программы с вероятностью 1/16 сообщает:

Shake well before use






Shaker, семейство



Shaker.373

Неопасный резидентный вирус, записывает себя в таблицу векторов прерываний и перехватывает INT 1Ch, 21h. Затем поражает COM-файлы при их выполнении. Периодически 'трясет' экран.

Shaker.409

Неопасный резидентный вирус, перехватывает INT 21h и поражает COM-файлы при их выполнении. По пятницам перехватывает также и INT 1Ch и с 11:00 до 11:20 'трясет' экран.



Демонстрации вирусных эффектов:

SHAKER.COM



Shaman.251

Нерезидентный безобидный вирус. Ищет и записывается в начало .COM-файлов текущего каталога. В теле вируса содержится байт-номер поколения вируса, если этот номер больше 6, то вирус выводит текст:

DemoVirus v1.0 Copyright (c) 20.8.1991 by Shaman






Shame.1455

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет EXE-файлы и записывается в их конец. Уничтожает файлы TBSCAN.EXE, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, IVB.NTZ. В некоторых случаях стирает сектора дисков и перезагружает компьютер. Выводит тексты:


Shame on you! Where did I come from? Dedicated to the people of Chung-Li, Tiawan. I feel safe, don't you? Dope! Tiwanese rise to the top while looking down at the empty bottom... Wait for the departure of you life... God loves you! Ur virux protexion sux. It's a Shame.







Shanghai_II.4077

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске. При вызовах DOS-функции GetDiskSpace (AH=36h) ищет файлы и заражает их. Ищет также файлы C:\COMMAND.COM, C:\DOS\COMMAND.COM и заражает их. Проверяет имена файлов и не заражает их, если в имя файла заканчивается на любую из строк:


K3 PC 50 SM TM EA FRAG COPY HINA V200 CDEX PLUS PROX CPAV ETUP TTTT IVER MAIN INIT 0001 OUND S4GW WAR2 RIAN PC43 KE3D ORUN \WPS



13-го марта, июня, сентября и декабря стирает сектора винчестера и выводит текст:


Shanghai No.1 2.0 PRO Super Virus , designed by Microvirus , 09-13-1996 !







Shanghai.848

Очень опасен. Резидентен: перехватывает INT 21h и отслеживает функции 36h, 3Bh. При вызове этих функций вирус ищет .COM-файлы и записывает себя в их конец. 20-го декабря выводит сообщение:


ShangHai Railway Institute +ж|0+|+--ф-|ZYL45--+| !!!



и стирает сектора винчестера. Содержит также строку:

*.COM






Solar, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h (функция Write, AH=40h) и записываются в конец EXE-файлов при их копировании или модификации. Никак не проявляются.





SolarWind.512

Неопасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Запрещает запись на диск B:. Содержит строки:


"Bring your FDD drive... to the slaughter" (C) Solar Wind fault!Function not







Soldier, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h, 27h и записываются в конец запускаемых COM-файлов. Форматируют сектора дисков.





Something.658

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в начало запускаемых COM-файлов. 11 числа ежемесячно стирает файл C:\AUTOEXEC.BAT и записывает в него команды:


@DEL *.COM @DEL *.EXE



затем создает файл SOME нулевой длины. Содержит тексты:

Something v1.1", "some c:\autoexec.bat @del *.com @del *.exe






Sonik.854

Очень опасный резидентный самошифрующийся вирус, ищет .EXE-файлы и записывается в их конец. Периодически записывает в начало файлов небольшую программу, которая при запуске сообщает:


My mother used to say You're the boy that can enjoy invisibility The pleasure is everlasting Sonik Youth originally released 29 April '92







Sopron.937

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. 8-го сентября стирает MBR и выводит текст:


 HDD-CLEANER Version 2.0   Copyright (c) 1997 (1st JAN)   Made in Hungary, Sopron 



DESTRUCTION IN PROGRESS...






Sorry.256

Очень опасный резидентный вирус. Копирует себя в область данных DOS по адресу 0060:0000, перехватывает INT 21h и записывается в конец COM-файлов при их запуске. При запуске EXE-файлов проверяет их заголовок и в некоторых случаях стирает файл и выводит сообщение:

Sorry






Soupy.1073

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. В зависимости от своего "поколения" выводит текст:

Bad command or file name


и оставляет в памяти небольшую резидентную программу, которая перехватывает INT 8 (таймер) и через некоторое время выводит тексты:


Unsuspecting user, 12 o'clock! Get ready... 'cause... THERE'S A VIRUS IN YOUR SOUP! From the guys that brought you Lythyum, Radyum, and VioLite comes: The Soupy Virus, (k) 1992 VG Enterprises, 216/513/602/914/703 By The Attitude Adjuster & AccuPunk! Hurry! Hire an Anti-Virus Professional! Increase Wallet Space! ...hmmm, ya' know, I think I'll halt now... [Soupy] The Attitude Adjuster & AccuPunk, VG







Sov, семейство

Резидентные неопасные вирусы. Перехватывают INT 21h и записываются в конец .COM-файлов, изменяя их первые 14 байт (... PUSH Segm_Virus; PUSH 0; RETF). В зависимости от памяти BIOS и текущей даты (23 февраля, 7 марта, 22 апреля, 30 апреля и 6 ноября) выдают:


"Sov.1193": "экран в полосочку" (вертикальную); "Sov.1205": текст "I AM VIRUS".



Содержат тексты:


"Sov.1193": (C)1987 American Megatrends Inc.286-BIOS (C)1989 American Megatrends Inc (c) COPYRIGHT 1984,1987 Award Software Inc.ALL RIGHTS RESERVED




"Sov.1205": (C)1991 SoftWare Developed by Maxi####Lena All Rights Reserved (c) COPYRIGHT 1984,1987 Award Software Inc.ALL RIGHTS RESERVED





Демонстрации вирусных эффектов:

SOV.COM



Sova.4060

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. 29-го января и 25-го октября портит каталоги, содержащие строку WIN. Содержит строки:


28/12/92 windows is there only to be defenestrAted LЖt mig sova!!







Spanish.1417

Опасный резидентный вирус. Перехватывает INT 21h, 28h и записывается в конец EXE-файлов. 30-го декабря пытается (безуспешно) уничтожать файлы.





Spanska, семейство

Неопасные нерезидентные зашифрованные вирусы. Ищут .COM-файлы кроме COMMAND.COM и записываются в их конец. "Spanska.1500" заражает .COM- и EXE-файлы. В зависимости от текущего времени вирусы выводят тексты:

"Spanska.1000,1008":



Remember those who died for Madrid No Pasaran! Virus v2 by Spanska 1997



"Spanska.1120":



Remember those who died for Madrid No Pasaran! Virus (c) Spanska 1996



"Spanska.1120.b":



To Carl Sagan, poet and scientist,this little Cosmos. (Spanska 97)



"Spanska.1500,1509":


Mars Land, by Spanska(coding a virus can be creative)


"Spanska.1500,1509" также проявляются видео-эффектом.



Демонстрации вирусных эффектов:

SPANSKA.COM



Spanska_II.4250

Неопасный резидентный зашифрованный полу-полиморфичный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и EXE-файлов. При инсталляции в память вирус также заражает файл C:\WINDOWS\WIN.COM. Не заражает несколько антивирусов и COMMAND.COM в соответствии со строкой:

TBVIAVNAVSFIF-FVIVDRSCGUCO


два байта на имя - TBAV, VI*, AVP, NAV, ...

Вирус также отключает свой стелс при вызове DOS-функций FindFirst/Next ("уменьшение" длины зараженных файлов), если запущен архиватор или BACKUP. Соответствующая строка имен выглядит следующим образом:

PKARRALHBA


Вирус использует антиотладочные приемы в коде своего расшифровщика. Этот расшифровщик является полу-полиморфичным - он состоит из 15 блоков, которые в зависимости от случайного счетчика выбираются из более чем 100 вариантов (12 вариантов первого блока, 10 вариантов второго и т.д.). Случайный счетчик вируса инициализируется значением даты текущего дня, поэтому при заражении файлов в один и тот же день вирус записывает в них один и тот же код расшифровщика. Следовательно, полиморфик-генератор вируса способен "выдать" не более чем 366 различных вариантов кода расшифровщика.

При запуске вирус в зависимости от системного времени проявляется видео-эффектом (если текущее время удовлетворяет условиям: час - до 16, секунды - ровно 30). Вирус при этом выводит одно из сообщений:


ELVIRA ! Black and White Girl from Paris You make me feel alive.




ELVIRA ! Pars. Reviens. Respire. Puis repars. J'aime ton mouvement.




ELVIRA ! Bruja con ojos verdes Eres un grito de vida, un canto de libertad.





Вирус также содержит строку:

(c) Spanska 97




Демонстрации вирусных эффектов:

SPANSKA2.COM



Spanz.639

Нерезидентный безобидный вирус, ищет .COM-файлы текущего каталога и каталогов, отмеченных в PATH, и записывается в их конец. Содержит текст:

INFECTED! * SPANZ *