U.524

Опасный резидентный вирус, перехватывает INT 1Ch, 21h и записывается в конец .COM-файлов при их запуске. Зараженные файлы содержат знак 'U' в четвертом байте от начала. Этот байт является идентификатором зараженности. Вирус постоянно проверяет текущее время и начиная с 7-го мая в 13:57 перезанружает компьютер.





Uck.475

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Оставляет резидентную программу, которая перехватывает INT 9 (клавиатура) и при нажатии на клавишу 'F' записывает в буфер клавиатуры строку 'uck'. Вирус содержит строку:

FFuucckk






Uddy.2617

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец .EXE-файлов при их запуске. Также ищет и заражает .EXE-файлы при записи в файлы (INT 21h, AH=40h). С 1998 года записывает в сектора дисков строку "UDDY UDDY UDDY ...", затем выводит эти строку на экран и перезагружает компьютер.





Uestc.888

Безобидный резидентный вирус. Перехватывает INT 21h и при запуске файлов ищет .COM- и .EXE-файлы и записывается в их конец. Содержит строку:

92\10\12 U.E.S.T.C Gu.YD






Ufa.1201

Нерезидентный очень опасный вирус. Прислан из Уфы. Ищет .COM-файлы в дереве каталогов и записывается в их конец. В начало файла записывает команды NOP, CALL Vir_Loc. В зависимости от системного времени стирает FAT текущего диска.





UFO.1468

Опасный резидентный зашифрованный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при обращениях к ним. При вводе каждого 3000-го символа выводит один из текстов:


THEY... are here ! We will see who is gonna survive, motherfuckers ! You are all some fuckin Unknown Flying Objects ! UFO has come to destroy the fucking thresh around here !



При 10-м выводе этих текстов стирает CMOS и добавляет:

I am sick of a bullshit like e-Щn-ЩfоЫFоУ


Также содержит строку:

UFO






Ugra.1394

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 1Ch, 21h и записывается в конец запускаемых EXE-файлов. Не заражает антивирусы: *AN, *IT, *AV, *OT, *RU (SCAN, NAV, F-PROT, FINDVIRU). В зависимости от своего счетчика (который хранит во втором секторе винчестера) и системного таймера стирает сектора диска или CMOS, пищит динамиком компьютера, запрещает печать, замедляет работу компьютера или перезагружает его.





Ugrad.1145

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии после создания (т.е. при копировании или при распаковке архивов/восстановлении backup'а). По субботам и воскресеньям перехватывает INT 8 и через некоторое время блокирует клавиатуру и Video Refresh Control.





Ugur, семейство

Резидентные опасные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. Содержат в себе текст:

UGUR MUMCU ФLMEDi..


Вирусы проверяют первую букву этой строки, и, если она исправлена, стирают сектора диска.





Ukraine, семейство

Очень опасные резидентные полиморфик-стелс-вирусы. Перехватывают INT 21h и записываются в конец COM-, EXE- и OVL-файлов (кроме COMM*.* и DROZ*.*) при обращениях к ним. Вирус проверяют имя запускаемого файла по строке:

.com.exe.ovlcommdrozarj.rar.pkziain.lha.chkd


и выключают стелс-функцию при запуске архиваторов ARJ, RAR, PKZIP, AIN, LHA и утилиты CHKDSK.

По 24-м числам ежемесячно перехватывают INT 1Ch, выводят на экран украинский флаг, проигрывает мелодию (гимн Украины?), стирают сектора дисков, расшифровывает и выводят сообщение:

24 СЕРПНЯ - ДЕНЬ НЕЗАЛЕЖНОСТI УКРАIНИ !!!


Вирусы также содержат строки:


"Ukraine.3201": СЛАВА УКРАIНI !!! "Ukraine.3537,3627": ПАМ'ЯТАЙТЕ КЛЯТI МОСКАЛI ! ОТОЖ !





Демонстрации вирусных эффектов:

UKRAINE.COM



UKTC.769

Очень опасный резидентный зашифрованный вирус. Записывается в конец .COM-файлов, кроме COMMAND.COM. Перехватывает INT 21h и при запуске каждого .COM-файла сначала заражает его, затем ищет .COM-файлы текущего каталога и также заражает их. В зависимости от своего поколения уничтожает файлы в текущем каталоге. Содержит строку:

SlowDeath is New Virus From UKTC






Ultimate, семейство

Нерезидентные зашифрованные вирусы. Ищут COM-файлы и записывается в их конец, свой расшифровщик записывают в начало файла. "Ultimate.419,487" безобидны и никак не проявляются. "Ultimate.982" очень опасен - начиная с июня с 20-го по 31-е число выводит текст и форматирует винчестер:

I twist de truth, I rule the world.


Этот вирус также деактивирует некоторые резидентные мониторы и уничтожает антивирусные файлы данных: CHKLIST.MS, ANTIVIR.DAT, TBUTIL.DAT, CHKLIST.CPS, NAV_._NO, MSAV.CHK, CHKLIST.TAV, SMARTCHK.CPS, AV.CRC, AVP.CRC, IM.PRM, IV.INI, IVB.INI, IVB.NTZ.



Вирусы также содержат строки:


"Ultimate.419": Ultimate Evil by Evil One "Ultimate.487": [Ultimate Evil II] by Vecna. "Ultimate.982": TBMEMXXXTBCHKXXXTBDSKXXXTBFILXXX [Ultimate Evil III] by Vecna.









Ultra.5700

Опасный резидентный вирус. Перехватывает INT 21h, 2Bh, 2Ch и записывается в конец .COM- и .EXE-файлов при обращениях к них. Содержит строки текста (второй блок строк содержит расширения файлов, вирус в некоторых случаях записывает поверх этих файлов строки из третьего блока):


Ultra Violent S.T. - ONE (India) Created by V.S. Since the beginning of time, When from the big bang, The mighty earth was born; Since that first cry of newborn man Amidst a brilliant dawn, twas proclaimed by the Talented Sadist Amidst great laughter, ridicule and scorn... That though a dark star may forever glow, Tis from light that light shalt dawn Quoted from the ST Book of Surrealistic madness - T.Sad, V.Sad & Sadistic T




EXE COM C CPP ASM PAS FOR BAS COB CBL PRG DOC TXT LET WK1 WP PCX BMP TIF GIF XLS DBF WRI BAK SAM PM4 PM5 PAK WK3 XLC CDR FLI ARC ZIP DXF EPS FXP FRM DBT WMF CGM




main() {{ } SEGMENT begin end. Fortran Runtime Module Err 10 END COBOL LINKE RETURN COMSPEC=







Unbidden.507

Опасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец. Содержит ошибку и в некоторых случаях портит файлы при их заражении. Более никак не проявляется, содержит строки:


*.com *.exe *.* <1996Nov3\Fryazino\Mikhail G.\Unbidden v1.00>







Uncouth, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записывается в конец запускаемых COM-файлов. Никак не проявляются.





Unerase.329

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Запрещает функции DOS удаления, переименования файлов и изменения их атрибутов.





Unexe.425

Очень опасный нерезидентный вирус, при запуске ищет .EXE-файлы и уничтожает первый из них. Затем ищет .COM-файлы и записывается в их конец. Содержит строку: "*.COM *.EXE".





Ungame, семейство

Опасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец запускаемых COM- и EXE-файлов. EXE-файлы переводятся в COM-формат (см. "VACSINA" ). Содержит текст "UnGame(C)Dr". Проявляются при работе в графических видеорежимах: либо выдают текст "Come On, no. 51, You Time is Up.", либо изменяют палитру цветов экрана или видеорежим, либо сдвигают экран, либо перезагружают компьютер.



Демонстрации вирусных эффектов:

UNGAME.COM



Ungame_II.823

Опасный резидентный вирус. Перехватывает INT 10h, 21h и записывается в конец .COM- при их запуске, открытии или переименовании, а также при закрытии новых файлов. При переходе в графический режим 13h перезагружает компьютер.





Ungame_3.645

Неопасный резидентный вирус. Перехватывает INT 9, 21h и записывается в конец EXE-файлов при обращениях к ним. При вводе с клавиатуры 4096-го символа переводит монитор в видео-режим Hercules.





Unhandled, семейство

Неопасные резидентные вирусы. Копируют себя в таблицу векторов прерываний, перехватывают INT 17h, 1Ch, 21h и записываются в конец .COM-файлов при обращениях к ним.

Запрещают работу с принтером (INT 17h, возвращают ошибку "out of paper"), в зависимости от своих внутренних счетчиков (INT 1Ch) выводят сообщение и перезагружают компьютер:

UNHANDLED SYSTEM ERROR #17 AT 0F00:0FFF


Также содержат строку:

aisaK






Union, семейство

Неопасные нерезидентные зашифрованные вирусы. При запуске ищут EXE-файлы и записываются в их конец. По 18-м числам проявляется видео-эффектом. Содержат строки:


УКРАИНА И РОССИЯ ПОРОДНИЛИСЬ НАВСЕГДА !!! *.exe AIADSCNCPATH=



и


"Union.1449": UNION 2.0 "Union.1531": UNION 2.5





Демонстрации вирусных эффектов:

UNION.COM



Unkempt.1342

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. При создании нового файла сравнивает расширение его имени со списком:

DOC TXT PAS C H PRG TEX COB FOR MOD LIS CLA PRO DBF


и при записи в такие файлы в зависимости от своего счетчика заменяет символы в файле в соответствии со строками:


szzsаaВeбiвoгugjEeAaIiUuOoyikcck1223344556677889 <>><= '":=&|!~/*+--+*/^/{{ 12233445566778899104}



Нечетные символы заменяются на четные: 's' -> 'z', '<' -> '>'.

Вирус также содержит строки:


com riS







Unknown, семейство

Опасные нерезидентные полиморфик -вирусы. При запуске ищут COM- (кроме COMMAND.COM) и EXE-файлы и записываются в их конец. В зависимости от своих счетчиков и текущей даты стирают файл-носитель и выводят тексты:


"Unknown1.1111": Parity error. "Unknown1.1279": Stack overflow.



Также содержат строки:

"Unknown1.1111":



Unknown Virus 1.0 COMMAND



"Unknown1.1279":



UNKNOWN Virus 1.1 10/94 John,put heuristic in SCAN! Tapi dans l'ombre,Il attendait son heure.. COMMAND







Unknown_II.5559

Безобидный резидентный полиморфик -"стелс" -вирус. При запуске зараженного файла перехватывает INT 21h, 22h и повторно запускает файл-носитель. Перехватывает INT 21h довольно сложным способом: сканирует ядро DOS и ищет там некоторую последовательность команд, записывает в DOS-обработчик INT 21h команду вызова INT 29h (CDh 29h) и записывает в обработчик INT 29h команду перехода на код вируса. Вирус также трассирует INT 13h, 21h, 40h и использует полученные адреса при заражении файлов.

Файлы заражаются вирусом при обращениях к ним. Вирус записывается в конец COM- и EXE-файлов (кроме IBMBIO.COM и IBMDOS.COM). При открытии зараженных файлов вирус лечит их.

Вирус содержит строки:


IBMBIO IBMDOS Unknown 1.0







Unlearned.488

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Оставляет в памяти резидентную программу, которая перехватывает INT 9 (клавиатура) и в зависимости от случайного счетчика заменяет в буффере клавиатуры 'а' на 'о' и 'е' на 'и'.





Unskip.1909

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. В зависимости от своих счетчиков сдвигает экран.



Демонстрации вирусных эффектов:

UNSKIP.COM



Unspeed.920

Опасный резидентный вирус. Перехватывает INT 21h и записывается в середину EXE-файлов при их запуске. Содержит ошибку и в некоторых случаях портит файлы при их заражении. После трех заражений совершает холостой цикл при каждом вызове INT 8 (таймер) и замедляет работу компьютера. Содержит строку:

UNSPEED Made in CUBA By ME






UpDown.881

Неопасный резидентный зашифрованный вирус. Перехватывает INT 15h, 21h и записывается в конец запускаемых EXE-файлов. При заражении файлов добавляет в их конец случайные данные случайной длины.

INT 15h: перехватывает системный вызов клавиатуры, подсчитывает количество нажатых Eenter'ов и в зависимости от этого числа вызывает видео-эффект (код эффекта испорчен) - похоже, что вирус "переворачивает" фонты.





UPS.1155

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системного таймера выводит на экран изображение черепа. Содержит строки:


!\ oH iTs X-MAS /!$*.COM .. \ThE_UpS-IsT_HiEr/





Демонстрации вирусных эффектов:

UPS.COM



Uracil.486

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их открытии и запуске. Не заражает файлы после 2013 года. Содержит строку:

[Uracil] by Adenine. Hi:P/S,NTH,John M.








Urfin.317

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строку:

Уpфин Джюс






Urod.773

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .EXE-файлы и записывается в их конец. В некоторых случаях оставляет резидентную программу, которая перехватывает INT 21h и при DOS-вызовах OpenFCB уничтожает открываемые файлы. При вызовах OpenHandle эта программа выводит текст:

С новым годом !!!






Urphin.1621

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов. Заражает EXE-файлы при их запуске, в COM-файлы записывается только на дискетах при вызовах DOS-функции FindNext ASCII. Не заражает файлы: *AI?.*, *WEB?.*, *ES?.*, *RA?.*.

При запуске компилятора TurboPascal вирус также перехватывает открытие и закрытие файлов. При открытии .PAS-файлов (исходники на Pascal) вирус ищет в них директиву подпрограммы ("BEGIN"), вставляет после нее свой код в в виде шестнадцатеричного дампа и снабжает его необходимыми командами Pascal. При закрытии такого файла вирус удаляет из него свой код. В результате при компиляции паскалевских исходников результирующие EXE-файлы оказываются "дропперами" вируса, а сами .PAS-файлы остаются без изменений.

Содержит строки:


BEGINbegin URPHIN ASM END;







Uruguay, семейство

Резидентные неопасные полиморфик -вирусы. Перехватывают INT 21h и поражают COM- и EXE-файлы (кроме COMMAND.COM) при их запуске или открытии. Переводят EXE-файлы в COM-формат (см. "VACSINA" ). Внедряются в середину файлов или приписываются в их конец в зависимости от длины поражаемого файла. Длина файлов при заражении увеличивается до значений, кратных 13h ("Uruguay.2379") или 17h (остальные "Uruguay"), "Uruguay.4268" увеличивает длину файлов на 4269 байт.

При инсталляции вирусы трассируют INT 13h, 21h. Некоторые из вирусов "Uruguay" заменяют 5 байт DOS'овского обработчика INT 21h на команду JMP FAR VIRUS и перехватывают INT 2Ah.

"Uruguay.4268" перехватывает INT 9 (клавиатура) и при нажатии Alt-Ctrl-Del (теплая перезагрузка) манипулирует с векторами прерываний и оперативной памятью таким образом, чтобы остаться резидентным и после перезагрузки: он трассирует и устанавливает в исходные BIOS'овские значения "железные" прерывания 8, 9, 10h, 13h, 15h, 16h, 1Ah и 1Ch, блокирует драйвер HIMEM.SYS, уменьшает размер памяти DOS (слово по адресу 0000:0413), копирует себя на освободившееся место, перехватывает INT 8, 9 и вызывает INT 19h (загрузчик системы). Загрузчик считывает файлы DOS, а вирус контролирует это и устанавливает на себя в нужный момент прерывания 21h и 2Ah. Таким образом он остается резидентным в памяти после "теплой" перезагрузки.

Вирусы семейства "Uruguay" проявляются писком внутреннего спикера компьютера и выводят сообщения:

"Uruguay.2313":


I love ROXETTE !!!



Virus 'Uruguay-#2' Programmed in Montevideo (URUGUAY) by F3161. 04/92. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.2379":



The BEATLEMANIA is alive! THE BEATLES, for ever, the best. John, Paul, George and Ringo, ladies and gentlemen, here they are! PLEASE, PLEASE ME. WITH THE BEATLES. A HARD DAY'S NIGHT. BEATLES FOR SALE. HELP. RUBBER SOUL. REVOLVER. SGT.PEEPERS LONELY HEARTS CLUB BAND. THE BEATLES. YELLOW SUBMARINE. ABBEY ROAD. LET IT BE. MAGICAL MISTERY TOUR. Other LP and singles available...




Virus 'Uruguay-#1' Programmed in Montevideo (URUGUAY) by F3161. 03/92. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.2456":



'Uruguay-#3' Virus Programmed in Montevideo (URUGUAY) by F3161. 06/92. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.2623":



'Uruguay-#4' Virus Programmed in Montevideo (URUGUAY) by F3161. 07/92. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.4268":



'Uruguay-#5' Virus Programmed in Montevideo (URUGUAY) by F3161. 08/92. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.4879":



'Uruguay-#6' Virus Programmed in Montevideo (URUGUAY) by F3161. 11/92. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.4906":



Uruguay-#9 Virus Programmed in Montevideo (URUGUAY). 12/93. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.6344":



Uruguay-#7 installed (seg=9CF8) Uruguay-#7 Virus Programmed in Montevideo (URUGUAY). 02/93. This is a research virus - DO NOT DISTRIBUTE.





"Uruguay.6396":



Uruguay-#10 Virus Programmed in Montevideo (URUGUAY). 05/94. This is a research virus - DO NOT DISTRIBUTE.





Все эти вирусы содержат также строку "COMMAND.COM.EXE".



Демонстрации вирусных эффектов:

URUGUAY.COM



Uruk, семейство

Неопасные резидентные COM-вирусы. Перехватывают INT 21h. "Uruk.300" с 0:00 до 1:00 выводит фразу:

Igor 1992 v.2.0 The Uruk-hai and winged Nazgul strikes again!




"Uruk.361" с 10:00 до 11:00 при изменении текущего диска все время устанавливает диск C:. Содержит текст


Igor 1992 v.3.0 It was last assault of the Uruk-hai... We shall meet in Valhalla!





"Uruk.394" в первую минуту каждого часа сдвигает первые символы в строках вниз на одну позицию. Содержит текст

V 1.0 Igor,1992 The Uruk-hai are upon you!




"Uruk.427" в первую минуту каждого часа выводит фразу:

Invalid user. Replace and strike a key


После чего перезагружает систему.



Фанаты Толкиена могут также прочитать описания вирусов "Frodo" , "Nazgul.266" .





UsePascal.2406

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. 20 ноября выводит текст:

If C doesn't work, use Pascal !!! --- many greetings to Niklaus Wirth !!!
---



Содержит также строку:

(C) 1994 by B&J, Swabia






USSR.414

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

USSR






USTC.919

Безобидный резидентный вирус. Перехватывает INT 22h, возвращает управление программе-носителю, ждет окончания ее работы, затем перехватывает INT 21h и записывается в конец запускаемых .EXE-файлов. Содержит строку-идентификатор:

USTC






UU.1200

Безобиднный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Никак не проявляется. Содержит подпрограмму, которая записывает слово "UU" (5555h) в верхний левый угол экрана, но эта подпрограмма никогда не получает управления.





UVR.3919

Опасный резидентный вирус. При запуске зараженного файла вирус записывает в начало файла AUTOEXEC.BAT строку

C:\UVR.COM


затем создает файл C:\UVR.COM, куда записывает свое тело (файл-dropper). При запуске файла-dropper (т.е. при загрузке с модифицированным файлом AUTOEXEC.BAT) вирус перехватывает INT 21h и затем записывается в конец COM-файлов при их запуске или открытии.

При повторном запуске в уже зараженной системе файл-dropper сообщает:

UVR Already installed.


Перед заражением файлов вирус лечит их от некоторых вирусов. При попытке вылечить файл, зараженный вирусом "UVR", он создает файл C:\PORNO, куда записывает вирус "Trivial.59". При открытии файлов *.CPS и *._NO вирус уничтожает их. Создает файл C:\00 со строками:


Hai sbagliato! -U.Vr-



19-го марта выводит текст:


+-------------------+ | Vietato FUMARE! | +-------------------+



затем перехватывает INT 10h и проявляется различными эффектами: меняет большие буквы на маленькие и наоборот, меняет размер курсора, и т.д.

Вирус также содержит зашифрованные строки:


- U.Vr, Professional version - Non riuscirai MAI a sapere tutto quello che sono in grado di fare MARZO 1993