W.559

Опасный резидентный вирус. Перехватывает INT 21h, 28h и записывается в конец EXE-файлов при их запуске. Заголовок зараженных файлов содержит букву 'W'. В зависимости от количества запусков зараженных файлов вирус стирает boot-сектор даска A: и обнуляет в CMOS информацию о параметрах флоппи-диска.





Waca.1700

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их выполнении или открытии. Не заражает COMMAND.COM и BACKUP.COM. В зависимости от системного таймера стирает файлы с расширениями DOC, HLP, PAS, ARJ. В зависимости от своего случайного счетчика стирает информацию на винчестере и выводит текст:


Satana brings you much pain! You forgot that ! If you want to die DO IT IN MIDNIGHT! [acaW]







Wadim, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и заражают открываемых файлов.



Wadim.481

Копирует себя в таблицу ыекторов прерываний. Записывается в конец EXE-файлов. Содержит строку:

Wadimka v2.1 (c)Copyright 1996 Wadim in Moscow




Wadim.531

Остается в памяти DOS-вызовом Keep. Записывается в начало COM-файлов при их открытии. Содержит строку:

Wadimka v1.1 (c)Copyright 1996 Wadim&Gurre in Moscow






Walhala.1283

Очень опасный нерезидентный вирус. При запуске ищет COM-файлы текущего каталога и записывается в их конец. 31-го числа стирает boot-сектор диска C: Содержит строку:

WALHALA






Walker.3846

Резидентный неопасный вирус. Перехватывает INT 16h, 21h и записывается в конец COM- и EXE-файлов при их выполнении. В некоторых случаях удаляет себя из зараженных файлов. Проверяет клавиатуру и в некоторых случаях выводит на экран изображение движущегося человека. Содержит в своем теле строку:

WALKER V1.00 - This absolutely harmless and selfdestructive program is written by UJHPTTLZ in the city of Istanbul, 1992



Демонстрации вирусных эффектов:

WALKER.COM



Wally, семейство

Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут файл C:\COMMAND.COM, затем .COM-файлы дерева подкаталогов и записываются в их конец. Стирают файл CHKLST.CPS. В зависимости от текущей даты и времени стирают сектора дисков и выводят текст:

Virus Wally versao programa.Tente me encontrar.






Walrus.482

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Перехватывает также несколько вызовов INT 21h, которые используются некоторыми вирусами при заражении памяти, и блокирует их.

В зависимости от системной даты и времени выводит одно из сообщений:


/* CHRiSTiAN iS A GooN */ /* JiREE HoSAN */



Также содержит строки:


/* May 19th */ /* ANTi-VLAD CoDE */ /* WALRUS */







Wanderer_M, семейство

Резидентные вирусы. Перехватывают INT 21h и записываются в начало COM- и конец EXE-файлов при обращениях к ним. Не заражают некоторые антивирусы.

Wanderer_M.1029

Безобидный вирус. Не заражает файл, если в его имени присутствуют символы 'V' или 'S', а также файлы: F-*.*, TB*.*, CL*.*, WC*.*, CO*.*, HW*.*, TK*.*. Содержит строку:

Wanderer_M


Wanderer_M.1756 - 1884

Очень опасные вирусы. Портят или уничтожают некоторые антивирусы и антивирусные базы данных, в зависимости от системного времени портят сектора дисков и (или) выводят сообщения. Определяют антивирусы по строке:


HWF-TBCLCO2SWC CHKLIST.SMARTCHKANTI-VIR



Содержат зашифрованные строки:

"Wanderer_M.1756":



HA!HA!HA! *[ The WANDERER.II VIRUS 1995/02/10 ]* (c) Copyleft 9187-9192 by SVS / KOREA Shit!! Turbo Vaccine! sibal.. Kaesaekki!



"Wanderer_M.1783":



*[ The WANDERER.II VIRUS 1995/02/21 ]* (c) Copyleft 9187-9192 by SVS / COREA Shit!! Vaccine ?! kkak .pet!!!



"Wanderer_M.1809":



*[ The WANDERER.II VIRUS 1995/02/27 ]* (c) Copyleft 9187-9192 by SVS / COREA Shit! I hate it.. too..wet!!



"Wanderer_M.1811":



*[ The WANDERER.II VIRUS 1995/03/01 ]* (c) Copyleft 9187-9192 by SVS / COREA Kaesibalnom..too..wet!!



"Wanderer_M.1845":



*[ The WANDERER.II (TypeE) VIRUS 1995/03/02 ]* (c) Copyleft 9187-9192 by SVS / COREA Ya! Sibalnoma.. Don't excute a Vaccine. !tcarttA setisoppO



"Wanderer_M.1884":



*[ The WANDERER.II (Type G/Last Version) VIRUS 1995/03/09 ]* (c) Copyleft 9187-9192 by SVS / COREA Please, Don't excute a Vaccine. NEWS FLASH!! SVS WILL NOT MAKE A VIRUS... BUT SVS IS FOREVER ... GOOD-BYE!!







Wanderer, семейство

Резидентные безобидные вирусы, перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Содержат текст:

As wolfs among sheep we have wandered






Warblade.1052

Неопасный нерезидентный зашифрованный вирус. Ищет EXE-файлы и записывается в их конец. 14-го февраля выводит текст и затем печатает экран:


I loved you, I always loved you, but it was nothing but a waste of time. May you burn in the Hell, if it really exists, my little slut, or suffer what you made my fragile and tender heart suffer. This should be the right Doom for each fucking cheater ......... if it was, it wouldn't be this one the Hell.



Ti amavo poiche' mi facevi tenerezza....adesso ti odio poiche' mi fai schifo


a proposito: Tanti Auguri, Valentina



ChEaPeXe v1.0 ...by WГrсlДDР/LT...







Warez.1341

Очень опасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец, стирает сектора дисков, выводит сообщения:

- W A R E Z D 0 0 D -


and


+-+ +--+ ---+ ---+ - - +--+ --+ +--+ - - +---+ +---+ - - ---+ +-+ | | |--+ |--+ +--| |--| |--+ | | | | | | |--| |- +--+ +--+ - - - - +--+ - - ---+ +--+ +--+ - - - - ---+




### ### ###### ####### ######## ######## ### ## ### ### ### ### ### ### #### ########## ######## ####### ###### #### ########## ### ### ### ### ### #### ### ### ### ### ### ### ######## ########




------+ - - ------+ ------+ | | | | | | | | | | | | | |-- | | | | | | | ------+ +-----+ ------+ ------+





Демонстрации вирусных эффектов:

WARE1341.COM



Waria.479

Опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит много ошибок: портит при заражении некоторые файлы, вешает систему при обращении к write-protected дискам, патается (безуспешно) вывести сообщение:

byWARIA!v1.0






Warlock, семейство

Опасные резидентные вирусы, "Warlock.1817" зашифрован. Являются вариациями на тему "Yankee" . Трассируют INT 13h, 21h ("Warlock.1817" также трассирует INT 2Ah). Перехватывают INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при обращениях к ним.

В некоторых случаях портят .DBF-файлы. Содержат строки:

"Warlock.1676":



WARLOCK .COM .EXE .OVL .DBF



"Warlock.1817"



Revenge of WARLOCK! COMMAND.COM EXE OVL DBF







Warrior.1024

Нерезидентный очень опасный вирус. Ищет EXE-файлы и записывается в их конец. На время работы файла-носителя вирус остается в памяти, перехватывает INT 21h и при записи в файл (AH=40h) вместо записываемой информации подставляет текст:

... and justice for all! (US constitution) Dream Over ... And the alone warrior is warrior.The powerfull WARRIOR!





Warsaw.850

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Иногда записывает в начало файлов ассемблерную команду JMP RESET. Содержит строку:

Warsaw - virus 1990






WSI.853

Неопасный резидентный вирус. Перехватывает INT 9,21h и записывается в конец .COM-файлов при обращениях к ним. При "горячей" перезагрузке (Alt-Ctrl-Del) вирус выводит текст:

ННННННННННННННННННННННННННННН


Welcome to WSI Opole stay cool it`s only... V I R U S !!!

ННННННННННННННННННННННННННННН







Wsurc.1630

Очень опасный нерезидентный зашифрованный вирус. Ищет COM- и EXE-файлы, затем записывается в конец EXE-файлов и начало COM-файлов. При заражении использует FCB-функции работы с файлом.

Создает на дисках файлы WSURC.DMA, пытается выполнить файл C:\WIN95\WRIVDR.CNF, в зависимости от системного времени и номера диска записывает в .BAK-, .CPP- и .C-файлы строку:

Сpочно обpатитесь к администатоу сети.






Wvp.782

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при обращении DOS к ним. Первые три байта зараженных файлов - строка "WVP" в кодировке ASCII.





WW1.2473

Очень опасный резидентный стелс -вирус. Трассирует и перехватывает INT 21h, затем записывается в конец COM- и EXE-файлов при их запуске или закрытии. По 13-м пятницам стирает MBR винчестера, выводит текст и завешивает компьютер:


WW1 LIVE HERE!







WW.217

Нерезидентный безобидный вирус. Записывается в конец .COM-файлов в текущем каталоге. В конце зараженного файла содержится строка "WW".





WW.658

Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний и перехватывает INT 21h. При копировании портит адрес прерывания VGA и завешивает компьютер, если на нем установлена карта VGA.

Вирус записывается в конец COM- и EXE-файлов при их запуске. В зависимости от текущего времени уничтожает запускаемые EXE-файлы.

Содержит строку:

WW






WWPE.Rsa.4568

Очень опасный резидентный полиморфик -вирус, использует полиморфик-генератор WWPE. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии и чтении/изменении их атрибутов. Также обращает внимание на ARJ- и ZIP-файлы - при обращениях к ним добавляет к их содержимому зараженный файл C00LBBS.COM. Этот файл также содержит видео-эффект вируса - при запуске он выводит на экран изображение пламени.

В зависимости от текущего значения системного таймера вирус блокирует запись на диск - это может привести к потере данных. Содержит ошибки и иногда завешивает систему и портит файлы при их заражении. Содержит строки:


$$temp$$ Wild W0rker /RSA WWPE v0.1







Wypi.1100

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. 1-го мая выводит текст:

I co sie tak gapisz wypierdku ?






Woytek.1656

Неопасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при обращениях к ним. Не заражает файлы, если в их заголовке присутствует строка "Marek Sell". Если при заражении файла происходит ошибка, вирус создает в текущем каталоге файл DIRINFO и записывает в него одну из строк:


Who is MR GUZEK ? MR GUZEK was here MR GUZEK is alive MR GUZEK ForEver! Immortal MR GUZEK



Вирус также содержит строки:


BioTech I, The Digital Form of Life (c) by Woytek W. Lodz, 28 Nov 1996







Weekend.866

Неопасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец. По субботам и воскресеньям выводит текст и завешивает компьютер:


ВЫХОДНЫЕ ДЛЯ ОТДЫХА







Wit.1319

Очень опасный нерезидентный зашифрованный вирус. Ищет COM- и EXE-файлы и заражает их. При заражении COM-файлов записывается в их начало, при заражении EXE-файлов создает компаньон -файлы с расширением имени "COM". Если обнаруживает EXE-файл с расширением имени "COM", записывает в него программу, которая при запуске файла выводит текст:

##@%@## NO REGRET ##@%@##


Уничтожает файлы: *.°*, CHKLIST.*, ANTI-VIR.DAT, MSAV.CHK, *.AVB, *.LOG, TBSCAN.SIG, SMARTCHK.CPS, *.MS. 15-го апреля или в зависимости от своего "поколения" выводит текст:

Корабелка - rulez forever !


Также содержит строки:


*.COM *.EXE Virus NoRemorse v1.8. Copyright (c) by Wit 1996







Witch, семейство

Очень опасные нерезидентные зашифрованные вирусы, ищут .EXE-файлы и записывается в их конец. Уничтожают файлы, содержат строку текста:

*.eXe \dOs ChKdSk.exE XcOPy.eXE MeM.ExE cHkLiS*.*


Периодически выводят одно из сообщений и завешивают компьютер:


IT'S WITCHING HOUR... YOUR COMPUTER IS BEING HAUNTED ! HAHAHA... Bad luck... You've got a virus in your system ! Think about using a virus-scanner which is more up-to-date ! Here lies a program in its coffin, executed by a user one time too often...







Witcode.966

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. В зависимости от текущего времени может записать в Boot-сектор 2 байта, в результате чего компьютер зависнет при перезагрузке. Расшифровывает и выводит одно из сообщений:


Gee, I wanna sleep now! Merry Christmas! You really shouldn't work on Sundays... You got a fine machine!



Также содержит текст:

WitCode








Wizard, семейство

Безобидные резидентные вирусы, перехватывают INT 21h и записываются либо в конец файлов при их запуске или загрузке оверлеев. "Wizard.268" поражает только COM-файлы, "Wizard.495" поражает COM- и EXE-файлы. В зависимости от значения системного таймера выводят тексты:


"Wizard.268": I'm WIZARd 3.0 "Wizard.495": I'm WIZARd 4.0







WMA.678

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Если в области Environment присутствует строка "C=1", вирус лечит зараженные файлы. Содержит строку:

ТV ЯuЫkюr сЭ WMТ






Wolfman.2064

Резидентный очень опасный вирус. Перехватывает INT 9,10h,16h,21h и поражает запускаемые .COM- и .EXE-файлы кроме COMMAND.COM. Если изменить некоторые команды вируса (нпример, при его анализе) вирус проявляется какими-то видеоэффектами (только на плате Hercules), а затем стирает несколько секторов на диске.



Демонстрации вирусных эффектов:

WOLFMAN.CO



WoodGoblin.2413

Очень опасный резидентный полиморфик -вирус. Трассирует и перехватывает INT 21h, копирует себя в UMB и затем записывается в конец EXE-файлов при обращениях к ним DOS-вызовами FindFirst/Next ASCII. При заражении файла вирус также шифрует в файле 10 блоков по случайно выбранным адресам. Вирус проверяет имена файлов и не заражает:

AI*.EXE, AD*.EXE, WE*.EXE, VD*.EXE, VS*.EXE, MS*.EXE, HI*.EXE, DR*.EXE


При записи на диск (INT 21h, AH=40h) в зависимости от системного таймера вирус стирает случайно выбранный сектор на диске. Вирус содержит строки:


AIADWEVDVSMSHIDR WG03 Copyright (C) 1995-1996 by WoodGoblin







Word, семейство

Резидентные опасные вирусы. Перехватывают INT 21h и поражают COM- и EXE-файлы при их выполнении. При заражении EXE-файлы переводятся в COM-формат (см. "VACSINA" ). При записи в файлы (INT 21h, AH=40h) переставляют местами слова, например:

"ОШИБКА ПРИ ЗАПИСИ НА ДИСК" -> "ПРИ ОШИБКА НА ЗАПИСИ ДИСК"

"Word.1387,1391,1485,1503" зашифрованы, причем "Word.1391,1485,1503" используют полиморфик -алгоритм. Содержат тексты:


"Word.1387": COPYRIGHTKievVirus "Word.1503": Kiev V1.1COPYRIGHT







WorkHard.1664

Опасный резидентный вирус. Перехватывает INT 21h - ищет в ядре DOS последовательность какого-то кода и записывает туда команду перехода на код вируса. Делает это не вполне корректно и может завесить компьтер. Перед тем, как вернуть управление программе-носителю, вирус заражает C:\COMMAND.COM. Затем вирус записывается в конец COM- и EXE-файлов при их запуске, закрытии, открытии и вызове DOS-функций FindFirst/Next FCB (команда DIR).

Перехватывает также INT 8 (таймер), постоянно проверяет видео-режим и, если в течении получаса установлен графический режим 13h, выводит текст и завешивает компьютер:


Don't play game ! Work hard for China !







Worm!.913

Безобидный резидентный зашифрованный вирус. Трассирует и перехватывает INT 21h, затем записывается в конец EXE-файлов при их запуске. Содержит строку:

Worm!






Wormsign.1710

Опасный нерезидентный зашифрованный вирус. При запуске ищет COM-файлы и записывается в их конец. Перед заражением выводит строку:

Wormsign !


Оставляет в памяти резидентный код, который перехватывает INT 13h, 1Ch, 26h и при обращении к boot-секторам обнуляет байт, содержащий количество головок у данного диска. Некоторые DOS вешают компьютер при обращении к таким дискам. Через некоторое время резидентный код выводит сообщение:

W o r m s i g n !


Вирус также содержит строку:

*** THE SANDWORM ***






WpcBats, семейство

Опасные резидентные зашифрованные вирусы. Перехватывают INT 16h, 1Ch, 21h и записываются в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечат их.

При инсталляции в систему "WpcBait.3072" в некоторых случаях форматирует текущий диск. В зависимости от системного времени и своих счетчиков оба вируса выводят тексты:


a l a - e h ! ##### # ##### ##### # # |#####|# |##### ## |#### |##### |#--+#|#####|#--+# |#####|#--+# ++ +++----+++ ++ +----+++ ++ ------ A.R.Jr W P C B A T S -------







Wra.512

Очень опасный нерезидентный вирус. Ищет COM-файлы и записывается в их конец. При заражении некоторых файлов портит их. После заражения выводит: "Ok". Содержит строки:


Don't give up! Have a nice Num! Have a nice Lock Moon-Lock-Trouble. Copyright (c) 1993 by WRA.







Write.474

Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. 12-го июля портит данные при их записи на диски.





Wrzod.1043

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Каждое 5-е поколение вируса пищит динамиком компьютера и выводит сообщение:


Hello !!! My name is Wrzod. I'm fucking your PC now !!! By Shadow Man ...







WG.728

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при вызовах DOS-функций FindFirst/Next ASCII. Не заражает файлы:

AI*.* AD*.* WE*.* VD*.* VS*.* MS*.* HI*.*


В зависимости от системного таймера портит информацию, записываемую на диск (INT 21h, AH=40h). Содержит строку:

WG02






Whale, семейство

Резидентные опасные зашифрованные стелс -вирусы. Перехватывает INT 9, 21h и записывается в конец COM-, EXE- и OVL-файлов при их запуске или закрытии. В вирусах реализован "стелс"-механизм, для этого они перехватывают и обрабатывают 16 DOS-функций работы с файлами.

Создают файл C:\FISH-#9.TBL, в который записывают MBR винчестера и текст:

FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her Cave

С 19-го февраля по 20 марта завешивают систему и выводят на экран строку:

THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG

Вирусы также содержат строки:


THE WHALE 5HS5IF 5IF5HS



Анализ вируса "Whale" является очень трудоемким занятием, так как его 9Кб(!) кодов буквально нашпигованы программными "штучками", затрудняющими трассировку, дизассемблирование и анализ вируса. Для того чтобы получить его листинг, приходится разобраться с десятком специальных способов программирования (динамическое рас/зашифрование, "пустышки", использование конвейера, несколько вложенных шифровок кода и т.д.). При заражении к файлу дописывается зашифрованное тело вируса и расшифровщик, который выбирается из 30 вариантов. Т.е. при поиске вируса в файле необходимо использовать 30 масок.





Whimsy.256

Безобидный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. Несмотря на свой достаточно небольшой размер использует антиотладочные приемы и элементы полиморфизма. Содержит строку:

*WHIMSY*.CO?






WhiteLion.942

Безобидный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске. Никак не проявляется. Содержит зашифрованные строки:


WHITE LION Silent worrior in the jungle of softwares







WhiteNoise.4853

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. Содержит строки:


This is first step on the way to Perfection Noise ,Version 1.0 (C) by White Angel /RSA







Wilbur, семейство

Нерезидентные неопасные вирусы. Ищут COM-файлы и записываются в их конец.

"Wilbur.512" выводит: "Wilbur sez Hi!". Содержит в себе строку: "Origin: Berlin, Maryland 7Apr92".

12-го октября "Wilbur.512.b" расшифровывает и сообщает:


Columbus Raped America. Now I Rape your Hard Disk. NOT!! The procedure is a bit off. Hehe



"Wilbur.512.c" выводит сообщения, которы комбинирует из нескольких строк текста:


I am not I am Akuku. an Animal. Wilbur! a Human Being! Wilbur sez Hi!



"Wilbur.512.d" содержит зашифрованные строки:


*.COM Berlin, MdТ Japanese Components Detected in Your Computer. Format Underway. Just Kidding. Wilbur Again.



7-го декабря он перехватывает INT 9, запрещает работу с клавиатурой, выводит вторую строку и циклически считывает сектора диска.





WildFire.2222

Очень опасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец .COM- и .EXE-файлов при их запуске. Проверяет имя файла и не поражает файлы COMMAND.*, CPAV.*, MSAV.*, VSAFE.*, SCAN.*, NAV.*. В зависимости от текущей даты либо замедляет работу компьютера (холостой цикл при каждом вызова INT 8), либо стириает вектора дисков и перезагружает компьютер. Содержит строку:

WildFire






WildLicker.3372

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Никак не проявляется. Содержит строки:


3... 2... 1... WILD LICKER !!! a PKWARE+NUKE+TRIDENT virus for your fucked pentium (bug inside)




thanks to [NuKE] N.R.L.G. AZRAEL thanks to PKWARE PKLITE Copr. 1992 PKWARE Inc. All Rights ReservedNot enough memory and thanks to [ MK / TridenT ] [TPE 1.4]





Является компиляцией конструктора вирусов NRLG , генератора полиморфик-кода TPE и паковщика PKLITE. Процедура инсталляции вируса в системную память позаимствована из NRLG-вирусов, тело вируса зашифровано при помощи TPE 1.4, а команда перехода на код вируса спрятана в коде, упакованном PKLITE.

Последнее является основной отличительной чертой вируса: команда JMP-Virus не присутствует в теле зараженного файла, но распаковывается и выполняется кодом PKLITE.



Заражение



При заражении файла вирус переносит 200h байт из заголовка файла в его конец, записывает в начало файла 1CFh байт кода PKLITE, шифрует себя при помощи TPE и записывает результат в конец файла:


0000 +-----------+ -------+ +------------+ |File header| | |PKLITE entry| | | | |code | | | | |------------| 0200 |-----------| -+ | |------------| | | | | | | | | | | | | FEnd +-----------+ | +-> |------------| | |Original | | |file header | | | | FEnd+0200 +-------> |------------| |TPE polymorp| |loop | |------------| |Encrypted | |virus code | | | +------------+



Запуск



При запуске зараженного файла управление получает код PKLITE. Этот код совпадает на 100% с оригинальным кодом распаковщика, который PKLITE 1.15 записывает в начало COM-файлов при их паковке. При заражении файла вирус корректирует данные блока PKLITE таким образом, что код PKLITE распаковывает 1CFh-байтный блок заголовка в 200h байт. После распаковки эти 200h байт оказываются заполненными нулями, за исключением первых трех байт - там содержится команда JMP_Virus.

Таким образом, при запуске зараженного файла код PKLITE замещает первые 200h байт зараженной программы на команду JMP_Virus и нули:


Программа в памяти до распаковки: после распаковки:




0000 +------------+ +------------+ |PKLITE entry| |JMP Near | ---+ |code | | | | |------------| | | | 0200 |------------| |------------| | | | | | | . . . . . . . . | | | | | | |------------| |------------| | |Original | |Original | | |file header | |file header | | | | | | | |------------| |------------| <--+ |TPE polymorp| |TPE polymorp| |loop | |loop | |------------| |------------| |Encrypted | |Encrypted | |virus code | |virus code | | | | | +------------+ +------------+



Затем полиморфик-цикл расшифровывает код вируса, вирус перехватывает INT 21h, оставляет свой код резидентно в памяти, восстанавливает 200h байт начала программы и возвращает ей управление.



Кстати, если распаковать зараженный файл при помощи PKLITE или популярной утилиты UNP, то результатом распаковки будет являться 200h-байтный файл, в начале которого находится команда JMP за пределы файла. Таким образом, распаковка зараженного файла портит его.





WildThing, семейство

Опасные нерезидентные зашифрованные вирусы, ищут .COM-файлы и записываются в их конец. Выводят на экран текст:

Wild Thing ][


По пятницам выводят текст и перезагружают компьютер:


It's Friday... Enjoy the weekend with your computer! [YAM '92]



Также содержат в себе строку:

By: Admiral Bailey [YAM]*.com \command.com






Wildy, семейство

Неопасные резидентные вирус. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. В качестве буфера записи использует CGA-видеобуфер, в связи с чем не работает машинах с Hercules. Портят файлы небольшой длины. Содержат строку:

WILDY


По пятницам в зависимости от текущей даты и времени выводят сообщения:


"Wildy.399" (в 12:00): НЕ ЗАБУДЬТЕ ВЫКЛЮЧИТЬ ТЕЛЕВИЗОР!!! "Wildy.402" (по 13-м числам): ОСТАВЬ МЕНЯ,СТАРУШКА,- Я В ПЕЧАЛИ!!! "Wildy.421": Toлькo LSD cдeлaeт тeбя cчacтливым...



"Wildy.421" после этого ждет ввода "lsd".





WilliWonka.1088

Неопасный(?) резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Ищет в текущем каталоге файл PROTEZ.EXE. Если такой файл найден, то вирус проделывает довольно странные действия: перехватывает INT 1Ch, постоянно проверяет видео-память по адресу B800:0818 и, если по этому адресу находится цифра от 2 до 9, то вирус записывает байт 01 по адресу 7000:0041.

Вирус содержит зашифрованную строку:

WilliWonka






Willow, семейство

Опасные резидентные вирусы. Перехватывают INT 13h, 20h, 21h и записываются в конец EXE-файлов при обращении к ним. В некоторых случаях уничтожают файлы вместо их заражения. "Willow.2013" содержит строку:

WILLOW come in






Willy.1030

Неопасный нерезидентный вирус. Ищет файл COMMAND.COM, записывается в его конец (в пустое место в конце файла), затем ищет в теле COMMAND.COM набор некоторых команд и заменяет их на команду перехода на вирус. В результате заголовок файла не содержит команды перехода на вирус, а длина зараженного файла такая же, как и перед заражением.

Вирус пытается (безуспешно) создать файл WILLY91, содержит строки:


WILLY.91 Willy the Worm was here! Experimental virus by author of Ontario COMMAND.COM







Wintermute.1052

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. 26-го июля при вызовах DOS-функций FindFirst/Next FCB и ASCII "показывает" у всех файлов длину 666 байт (это может привести к порче файлов при их копировании в архивы).

Содержит строку:

Apocalyptic by Wintermute/29ACOM






Wirusek.2723

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM-файлов. Не работает на компьютерах с процессором 8086. 18-го декабря лечит зараженные файлы. В сентябре выводит на экран текст:


To ja - nieszkodliwy wirusek reklamowy. Przekaze tylko pewna informacje i juz mnie nie ma. Wszystko jest OK. A oto ta oczekiwana informacja: Ognisko Muzyczne F R A Z A we Wroclawiu uczy gry na : - pianinie, - akordeonie, - syntezatorach, - gitarze, - skrzypcach, - uczy rowniez spiewu solowego.




Ognisko Muzyczne F R A Z A organizuje rowniez kursy CHWYTOW GITAROWYCH. Juz po czterech miesiacach poznasz tajniki gry na gitarze badz syntezatorze. I TY mozesz umiec grac na roznych instrumentach muzycznych. Kontakt : Wroclaw, tel. 25-90-97




+---------------------------------------------------------------------------+ | Nacisnij dowolny klawisz abys mogl pracowac | |---------------------------------------------------------------------------| | Jesli chcesz umiescic reklame w programie samokopiujacym, pisz do: | | Agencji Wydawniczej: skr. poczt. 1009, WROCLAW 3 | +---------------------------------------------------------------------------+





Демонстрации вирусных эффектов:

WIRUSEK.COM



Wisconsin.815

Нерезидентный очень опасный вирус. Записывается в начало .COM-файлов (кроме COMMAND.COM) текущего каталога. В зараженном файле вирус заводит счетчик, при каждой попытке заражения этого файла увеличивает его на 1, и при четвертой попытке заражения выводит на экран текст:

Death to Pascal


и удаляет все .PAS-файлы текущего каталога. Перед удалением каждого файла выводит на экран точку.





Wasp.1655

Очень опасный резидентный вирус. Поражает COM-файлы при их запуске. Перехватывает INT 1Ch, 21h, 70h. Часть вируса зашифрована. 3-го числа каждого месяца пытается отформатировать первую дорожку винчестера. В 20:00 выводит в левом верхнем углу:


+------------------------------+ | Hello - Im Your New Virus | | - WASP - | | A.J.Poshukaev Call Neighbour | +------------------------------+



Также содержит в своем теле текст:

"Wasp"ver 1.0 - Underground Laboratory "FLY" - Moscow 1993






Wasp_II.1312

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы в каталогах, отмеченных в PATH, и записывается в начало файлов. При заражении создает временный файл TMP.$$$ file.

В зависимости от системной даты и своих счетчиков проявляется различными способами: записывает с область системных сообщений файла C:\IO.SYS строку "Fucking"; оставляет в памяти резидентную программу, которая периодически "трясет" экран; записывает в boot-сектора диска A: текст:


I'm W.A.S.P. Fuckyourself !



выводит сообщения:


Insufficient memory Incorrect DOS version



Вирус также содержит строки:


W.A.S.P. PATH= c:\io.sys *.com tmp.$$$







Wave.454

Резидентный неопасный вирус. Перехватывает INT 1Ch, 21h и записывается в конец открываемых или загружаемых в память COM-файлов. Проявляется "волнами" на экране.



Демонстрации вирусных эффектов:

WAVE.COM



Wawah.787

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. При заражении дописывает в конец файла дополнительно от 256 до 270 байт. По 10-м числам ежемесячно расшифровывает и выводит текст:

- G 124 HA - Assembled by WaWaH






Weak.1253

Опасный резидентный "стелс"-вирус. Упакован утилитой PKLITE. После инсталляции в память считывает из стартовавшего файла свое упакованное тело, которое хранит в памяти и использует затем при заражении файлов.

Перехватывает INT 21h, 22h, 23h, 24h и записывается в начало .COM-файлов при их создании (т.е. при копировании файлов): перехватывает DOS-функцию Create, создает файл, записывает в него тело вируса и передает управление DOS, которая, в свою очередь, дописывает к вирусу тело копируемого файла. Как следствие, вирус обходит резидентные антивирусные мониторы и CRC-ревизоры диска. Вирусу также нет необходимости анализировать INT 24h, восстанавливать время и атрибуты файла.

При обращении к файлу вирус реализует "стелс"-алгоритм: перехватывает функцию DOS Lseek (AH=42h) и корректирует указатель чтения/записи таким образом, что файл "выглядит" незараженным. Обрабатывает функции FindFirst/Next ASCII и корректирует выдаваемые значения длин зараженных файлов. Не обрабатывает соответствующие функции FCB, что может стать причиной некорректной работы некоторых утилит.

При создании резидентной копии использует легальный метод - INT 27h. В свой PSP записывает, что блок памяти принадлежит программе COMMAND.COM, благодаря чему маскируется на карте памяти.

Содержит текст:

Et tu vulneratus es sicut et nos, nostri similis effectus es...






Weed.4080

Очень опасный нерезидентный вирус. Представляет из себя EXE-файл, упакованный LxExe. При запуске ищет и заражает .COM- и .EXE-файлы в текущем каталоге и каталогах, указанных в PATH. При заражении шифрует начало файла и записывает его в конец файла, затем записывает себя в начало файла.

Имеет ошибки и портит файлы небольшой длины. Уничтожает файлы CHKLIST.MS. Содержит строки:


WEED - v1.1 *.exe *.com path chklist.ms







Week.1614

Неопасный частично зашифрованный резидентный вирус. Перехватывает INT 16h, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Иногда меняет системную дату (прибавляет неделю?).





WeihNacht, семейство

Резидентные неопасные вирусы. Перехватывают INT 21h и записываются в конец запускаемых .EXE-файлов. 24-го декабря проигрывает мелодию, затем расшифровывают и выводят сообщение:

Ich hoffe, sie haben zu Weihnachten einen Virus-Scanner bekommen!




Демонстрации вирусных эффектов:

WEIHNACH.COM



Weird.1800

Неопасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается в их конец. При заражении временно переименовывает файлы с расширением имени TXT.

Уничтожает антивирусные файлы данных: CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT. Создает файл C:\DOS\MSD.INI и записывает в него текст:


You are now looking at the name/passwords of your network! Greetings, ThE wEiRd GeNiUs. Check your MSD.INI once in a while!



Затем оставляет в памяти резидентную программу, которая перехватывает INT 16h, 21h и при запуске LOGIN сохраняет вводимый пароль в тот же файл C:\DOS\MSD.INI. По 1-м числам ежемесячно печатает этот файл на принтер.

Вирус также содержит строки:


LOGIN PRN PATH=*.COM .TXT TBDRVX COMM CHKLIST.MS CHKLIST.CPS ANTI-VIR.DAT GETPASS! V3.X







Weirdo.555

Неопасный резидентный омпаньон -вирус. Копирует себя в EMS память, перехватывает INT 21h и оставляет код своего обработчика INT 21h в обычной памяти. При запуске .EXE-файлов создает компаньон .COM-файлы. Содержит строки:


Out of memory [Weirdo (c) 93 CC/TridenT] EMMXXXX0







Wench.2537

Нерезидентный неопасный вирус, зашифрован, Ищет .EXE-файлы дерева подкаталогов и записывается в их конец. В подкаталогах создает скрытые (hidden) файлы, в которые записывает имя и каталог зараженных файлов. 17 июня выводит на экран текст:

Yanch + Wench




Демонстрации вирусных эффектов:

WENCH.COM



Werehere.836

Нерезидентный неопасный вирус, ищет .COM-файлы и записывается в их конец. По третьим числам ежемесячно оставляет в памяти небольшую резидентную программу, которая перехватывает INT 1Ch и периодически сообщает:

We're here!


Вирус содержит в своем теле также и текст:

-- Press a key






WereWolf, семейство

Опасные вирусы. В зависимости от системного времени стирают сектора винчестера. "WereWolf.1500" портят случайный байт в данных, записываемых на диск (INT 13h, AH=3).

"Werewolf.Wave" - полиморфик-вирусы. "Wave.2845" по причине ошибки портит заражаемые COM-файлы.

Вирусы содержат строки:


"WereWolf.658,678": Home Sweap Home (C)1994-95 WereWolf "WereWolf.684.a": CLAWS"WereWolf.684.b,685": FANGS"WereWolf.1152": SCREAM"WereWolf.1168": SCREAM!"WereWolf.1192,1193,1208": BEAST"WereWolf.1367": FULL MOON (C)1995-96 WereWolf "WereWolf.1450": [WULF]"WereWolf.1500.a": WULF"WereWolf.1500.b": [WULF]"Wave.2662,2845": WAVE v0.9 WereWolf Advanced Viral Encryption [HOWL] (c)1996 WereWolf



"WereWolf.658,678,684,685" нерезидентны, зашифрованны. При запуске ищут .EXE-файлы и записываются в их конец. Ищут и уничтожаут файлы *.MS, *.CPS, ANT*.DAT.

"WereWolf.1152,1168,1208,1367,1500" являются резидентными вирусами, "WereWolf.1152,1367,1500" зашифрованы. Перехватывают INT 21h и заражают COM- и EXE-файлы при при их запуске или открытии. "WereWolf.1192,1193,1208" записываются в начало COM- и конец EXE-файлов, остальные вирусы записываются в конец файлов.

Не заражают файлы:


"WereWolf.1152": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV CHKDS F- "WereWolf.1208": CLEAN AVP TB QB SCAN COMM NAV V FINDV GUARD FV CHKDS F-PR "WereWolf.1367": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV CHKDSK F- "WereWolf.1500": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV CHKDS F- "Wave.2662,2845": CLEAN AVP TB V SCAN NAV IBM FINDV GUARD FV F- MEM CHKDSK







WestUkrain.274

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Начиная с 25-го поколения портит файлы вместо их заражения. Содержит строки:


*.COM Western Ukraine