YADE.2365

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в начало запускаемых COM-файлов. Содержит ошибки и иногда портит файлы при их заражении.

При инсталляции в память выводит текст:


This file infected with [yet another data encryption kernel advance] demo virii



Содержит также строки:


[yet another data encryption kernel advance] v1.00







Yafo.328

Нерезидентный опасный вирус, ищет и стандартно поражает .COM-файлы текущего каталога. 15-го февраля завешивает компьютер. Расшифровывает и выводит на экран текст:

Maccabi Yafo Alufa !!!






Vacsina, Yankee, семейство

Семейство вирусов "VACSINA" (не "VACCINA"!) и "Yankee" насчитывает более 40 файловых резидентных неопасных вирусов. Каждый из них содержит в своем теле метку, состоящую из трех байт: F4h, 7Ah, NNh. Третий байт NNh рассматривается как номер вируса в семействе (номер версии вируса) и в дальнейшем будет фигурировать в именах вирусов ("Vacsina.NN" и "Yankee.NN"). При активизации вирусы данного семейства записывают в память по адресам 0000:00C5, 0000:00C6, 0000:00C7 байты 7Fh, 39h, NNh. Характерной особенностью вирусов данного семейства является то, что они восстанавливают файлы, зараженные предыдущими версиями вирусов семейства, и затем инфицируют их снова.

Вирусы "Vacsina.NN" содержат в своем теле слово "VACSINA".

Заражают COM- и EXE-файлы при их выполнении (вирусы версий до 26h) или загрузке в память (вирусы версий 26h и выше).

Стандартно заражают COM-файлы. Вирусы версий до 9-й включительно проверяют у заражаемого COM-файла первый байт. Если он не равен E9h (JMP), то файл не заражается. Вирусы старших версий заражают COM-файлы вне зависимости от их первого байта. Кроме того, вирусы "Vacsina" увеличивают длину заражаемого файла до параграфа. Начиная с версии 2Ah к файлу после заражения дописываются дополнительные 4 байта.

Вирусы младших версий (до 23h) инфицируют EXE-файлы специальным образом: файлы переводятся в формат COM-файлов. Для этого к файлу дописывается небольшой фрагмент вируса (132 байта), настраивающий адреса по таблице адресов при загрузке файла в память для выполнения, и изменяются первые три байта файла (JMP на фрагмент). Дописанные к файлу 132 байта не распространяют вируса. Их действие заключается только в настройке адресов программы при ее запуске. Обработанный таким образом файл будет выполняться операционной системой и заражаться многими вирусами как COM-файл. При запуске EXE-программы, содержащейся в подобном файле, управление передается на фрагмент настройки адресов, который анализирует таблицу адресов в заголовке файла и соответствующим образом корректирует загруженную программу. Затем управление передается на стартовый адрес, указанный в заголовке файла.

Вирусы перехватывают вектор прерывания 21h, а некоторые представители семейства "Yankee" - INT 1, 3, 9, 1Ch.

Вирусы вызывают звуковые эффекты: при заражении файла вирусом "VACSINA" раздается звуковой сигнал (BELL), вирусы "Yankee" в зависимости от некоторых условий (при одновременном нажатии клавиш Alt-Ctrl-Del либо в 17.00) исполняют мелодию "Yankee Doodle Dandy". При некоторых условиях вирус "Vacsina.06" расшифровывает и выдает на экран строку "Az sum vasta lelja."

Вирусы семейства содержат несколько "изюминок". Так, начиная с версии 18h, вирусы определяют первоначальное значение вектора 21h-го прерывания (адрес обработчика прерывания в DOS) и при внедрении в файлы вызывают прерывание по этому значению. Таким образом вирусы обходят резидентные антивирусные мониторы. При определении адреса обработчика прерывания используется следующий алгоритм:

- установка прерывания 01h (точка входа при отладке; это прерывание вызывается в режиме отладки после выполнения процессором каждой команды) на подпрограмму определения истинного значения вектора прерывания;

- включение режима отладки;

- вызов "безопасной" с точки зрения резидентных антивирусов функции INT 21h.

При выполнении "безопасной" функции 21h-го прерывания последовательно выполняются команды всех программ, которые изменяли вектор прерывания 21h, а затем команды операционной системы, обрабатывающие данное прерывание. При этом после каждой выполненной команды управление получает подпрограмма вируса, определяющая первоначальное значение вектора прерывания. Она анализирует адрес последней выполненной команды и, если этот адрес указывает на область памяти, принадлежащую операционной системе, выключает режим отладки, а адрес данной команды рассматривает как первоначальное значение вектора прерывания 21h.


00000 | ... | |----------------| |Операционная | +------------------>|система | | |----------------| | |COMMAND.COM | | INT 21h |----------------| +-------------------|Пользовательская|------- Программы, +------------------>|программа | | изменявшие | |----------------| | вектор прерывания | | ... | | 21h | INT 21h |----------------| | +-------------------|Пользовательская|---+ +------------------>|программа | | |----------------| | | ... | | |----------------| | |Вирус | | INT 21h | -------------| +-------------------|Команда вызова | |прерывания 21h | ^ | | -------------| | +------------>|Подпрограмма | | |определения | +----------------|вектора | |----------------| FFFFF | ... |



Начиная с версии 21h вирусы перехватывают действия, совершаемые отладчиком, и если под отладчиком находится тело вируса, блокируют процесс отладки. При этом при попытке просмотреть зараженный файл под отладчиком файл "самоизлечивается".

Начиная с версии 21h вирусы семейства кодируют себя линейным блоковым кодом и хранят в своем теле проверочные байты. Периодически вирусы проверяют себя на наличие исправлений и по возможности восстанавливают их.

Начиная с версии 2Сh дезактивируют резидентную часть вируса "PingPong" , а начиная с 2Eh принимают некоторые меры противодействия вирусам семейства "Cascade" .

Модификации "VACSINA" и "Yankee"

Семейство вирусов "VACSINA" и "Yankee" в достаточной мере "популярно": помимо нескольких десятков "оригинальных" вирусов, начинают появляться их мутации, иногда довольно точно скопированные с оригинала. Так в г. Иркутске обнаружен вирус ("Yankee.1905"), который претендует на то, чтобы называться вирусом "Yankee.53". Однако, несмотря на свой номер (53h), использует всего одну "изюминку" - трассировку INT 21h.

Вирусы "Yankee.1049,1150,1202" - файловые резидентные безобидные вирусы. Поражают COM- и EXE-файлы при их запуске на выполнение (int 21h, "Yankee.1049" - ax=4B00h, "Yankee.1202" и "Yankee.1049" - ah=4Bh). Изменяют первые 32 байта файла и дописываются в его конец. Во многом совпадают с вирусами "Yankee" . Перехватывают INT 21h.

"Yankee.3045" содержит тексты: "LOGIN.EXE SUPERVISOR. HESLO.".

"Yankee.Flip.2167": в зависимости от текущей даты перехватывает INT 8, 9, 10h и "переворачивает" экран.



Yankee.2189

Семейство "Yankee" . Зашифрован, периодически 'крутит' символы '/', '\', '-', '|'.



Yankee.Estonia.1716

Семейство "Yankee" . Резидентный опасный вирус. По понедельникам в 14 часов расшифровывает и выводит в центр экрана текст: "Independent Estonia presents", затем играет "Собачий вальс" и перезагружает компьютер.



Демонстрации вирусных эффектов:

YANKEE.COM



YanShort, семейство

Нерезидентные вирусы. При запуске ищут .EXE-файлы во всех оглавлeниях текущего диска и записывается в их конец.

Зараженные файлы содержат строку "motherfucker", по которой вирус различает зараженные и незараженные файлы. Вирус "Yanshort.1961" проявляется проигрыванием мелодии "Yankee Doodle Dandy" при запуске зараженной программы. При некоторых условиях программы, пораженные вирусом "Yanshort.1624", зависают при запуске.

"Yanshort.1835" стирает сектора дисков и выводит на экран текст:

Happy birth day Black Peter (c) 1992 yar




YanShort.Bandit

В понедельник форматирует диск A:. Содержит текст:

!!PCBANDIT!!




YanShort.Enigma

Очень опасный вирус. По воскресеньям и в понедельник форматирует дискеты. Содержит строки:


This is the voice of the Enigma virus ...... the spirits of the hell are coming back! (C) 1991 by Cracker Jack * Italy *.*.exe newenigmavir





YanShort.Vote.1961

Содержит строку "Vote Clinton", выводит текст:

Press any key to continue...




YanShort.Wizard

Содержит текст "Black Wizard", проигрывает мелодию.



Демонстрации вирусных эффектов:

YANSHORT.COM



Yard, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, "Yard.448" заражает только COM-файлы. После заражения очередного файла стирают все *.BAK-файлы в текущем каталоге. Содержат строку:

Yard-keeper






YB, семейство

Безобидные нерезидентные вирусы. "YB.2328,2330" - полиморфик -вирусы на базе TPE генератора. Ищут COM-файлы текущего каталога и записываются в их конец. Некоторые из них перед заражением пытаются определить адрес первоначального обработчика INT 21 в области кода DOS. "YB.402" выводит на экран "мусор" и завешивает PC. "YB.405" создает пустые каталоги и выводит текст.

Содержат строки:


"YB.299,300": INSERT YOUR NAME HERE *.?OM "YB.316": Silent Runner by Nostradamus [NuKE'94] "YB.402,405": \DOS Abraxas 13 00000001. OUCH! "YB.425,426,466": YB-1 & Handsome Dick Manitoba / KФhntark*.COM "YB.647,2277": YB-2 / KФhntark*.COM "YB.2328,2330": YB-1 / KФhntark*.COM "YB.Funkware.235": AV Funkware Evaluation League of [NuKE'94]*.c?m







YCHV.1080

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в начало COM- и конец EXE-файлов при их запуске. В зависимости от своих счетчиков замедляет работу компьютера или расшифровывает и выводит текст:

Your Computer Has Virus! Tel: 0517-3932764 TO 2815






YCTC, семейство

Очень опасные резидентные вирусы. Перехватывает INT 21h, 2Fh и записываются в конец COM- и EXE-файлов при их запуске или открытии. Не заражают файлы, имена которых начинаются на строки:


"YCTC.1729": COMMAND IBM ET PC TB CKVI KLVI DEVI BTOOL RTOOL TDISK SCAN CLEAN HUNT F- TR G "YCTC.1975": COMMAND LIU2 EMM386 JEAN RAR VTHUNT VTSCAN



Перехват INT 2Fh используется для стелс-продедур.

"YCTC.1729" использует антиотладочные приемы. Уничтожает файлы, если имя файла либо имя корневого каталога начинается на 'Z', затем выводит текст:


You have a Y.C.T.C.Virus... Ha! Ha! Ha! Ha! == Written by Y.C.T.C.student 1995. == === I am y.c.t.c. student written... ===



"YCTC.1975" портит файлы при заражении (т.е. является "intended"-вирусом). В зависимости от текущей даты уничтожает файлы и выводит тексты на китайском и английском:


Hello !! I am a cute virus baby. You can call me [ YCTC ] virus.. Come on,to go to study YCTC school !! Written by Jean 1995.08.01.




Happy birthday to my dear !! Written by Jean 1995.08.01.







Yeke, семейство

Опасные резидентные самошифрующиеся вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Периодически проигрывают мелодию, выводят на экран текст:

Be Careful. YEKE Controls Your Computer.


и завешивают компьютер.



Yeke.2425

Этот вирус иногда стирает CMOS и сектора дисков, а затем проигрывает мелодию и выводит текст:


TERMINATOR 2 lives...



The Judgement Day has come!


Your system has been terminated.


Он также записывает в сектора дисков программу, которая при загрузке сообщает:

This system has been terminated.




Демонстрации вирусных эффектов:

YEKE.COM



Yellow.1361

Резидентный опасный вирус. Перехватывает INT 8,9,21h и записывается в запускаемые COM- и EXE-файлы. После 2000h-ого вызова INT 9 (клавиатура) или в зависимости от таймера рисует на экране желтый квадрат и завешивает систему.



Демонстрации вирусных эффектов:

YELLOW.COM



YesNo.862

Очень опасный резидентный вирус. Перехватывает INT 10h, 16h, 21h и записывается в конец запускаемых EXE-файлов. В зависимости от текущего времени заменяет вводимые с клавиатуры символы:


r -> t n -> m y <-> n ESC <-> ENTER



В результате система возвращает неправильный символ, ято может привести к потере данных при сохранении их на диск, копировании и т.д.





YIL.1363

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM- и EXE-файлов. Не заражает антивирусы: VIRSTOP, F-PROT, SCAN, TBAV. Если файл-носитель после заражения вирусом "YIL.1363" оказывается измененным (например, зараженным другим вирусом), то "YIL.1363" пытается восстановить его в первоначальной форме. В результате вирус может испортить зараженные файлы, если они затем пакуются утилитами типа Diet, PKLite, LZExe.

В 1997 вирус также перехватывает INT 13h и при обращениях к 1.4Mb дискетам меняет их Volume Label на строку "[YНl_1997]".





Yog.794

Неопасный резидентный зашифрованный вирус. Копирует себя по адресу 9FC0:0000, перехватывает INT 21h и при запуске программ ищет .COM-файлы и записывается в их конец. В зависимости от системного времени выводит текст:


Ha! Jsem virus Yog-Sothoth a mam te rad. Kdyz budes hodnej, nezacnu ti hned formatovat hardisk. Ale treba az za chvili. Ha, ha, ha...!







Yong-Ga-Ri.1867

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Не заражает файлы с именами, начинающимися с одной из строк: V3, HWP, TV, TBAV, I, SACN (последнее имя, видимо, должно быть SCAN).

Вирус содержит код, который форматирует винчестер. Этот код получает управление при 10-м вызове DOS-функции Terminate AH=0, если AL=12h или 4Fh.

Вирус содержит строки, первая из которых зашифрована:


the virus name is yong-ga-ri ][ 1994.12.23 (C) Sk bbs\yb 1995.1.2 V3HWPTVTBAVISACN







Yosha DOS-вирусы



Yosha.745

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Уничтожает антивирусные файлы данных: CHKLIST.MS, ANTI-VIR.DAT. Создает файл C:\WIN.COM и записывает в него программу, которая выводит текст:

Windoze crashes your system.


Также содержит строки:


Kein Mehrheit fБr die Mitleid KMFDM by Yosha/DC





Yosha.975,980

Неопасные резидентные зашифрованные стелс -вирусы. Перехватывают INT 8, 21h и записываются в конец COM-файлов при их запуске или закрытии. При открытии зараженного файла или запуске файла под отладчиком вирус лечит его. При уничтожении файлов также уничтожает файл ANTI-VIR.DAT. При создании файлов ищет в текущем каталоге файл MSCD000 (Microsoft CD?) и, если такой файл обнаружен, каким-то образом манипулирует с CD-драйвером (выполняет Eject Disk?) и выводит на экран текст:

Give Yosha cold Mountain Dew!


При вызовах INT 8 (таймер) вирус постоянно устанавливает INT 21h на свой код. Вирус также содержит строку:

[Dew-Bug] (C) 1996 Yosha/DC




Yosha.LT

Опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM-файлов при чтении/записи в них. Использует довольно сложный механизм работы с системными файловыми таблицами (SFT) и может испортить файлы при заражении. Содержит строку:

Malaria by Yosha/LT




Yosha.MDK

Очень опасный резидентный зашифрованный вирус. Копирует себя в область данных DOS, перехватывает INT 21h и записывается вместо запускаемых файлов. В зависимости от системного таймера стирает случайные сектора дисков. Содержит строку:

Murder-Death-Kill by Yosha/tCS/DC




Yosha.Smegma

Безобидный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске, открытии или чтении/записи их атрибутов. Никак не проявляется, содержит строку:

[Smegma] by Yosha


Yosha.Stercor

Неопасный резидентный стелс компаньон -вирус. При запуске перехватывает INT 21h и затем заражает .EXE-файлы - при обращения к ним (запуск, открытие, переименование, уничтожение, чтение/изменение атрибутов) создает сомпаньон-файлы с расширением COM. Стелс: обрабатывает функции FindFirst/Next и "не показывает" COM-файлы с кодом вируса. В зависимости от системного таймера проявляется видео-эффектом. Содержит строку:

Stercor by Yosha[LT/RSA]




Yosha.Zadig

Безобидный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Записывает команду JMP_Virus не в начало файлов, а в их середину. При выборе адреса, по которому записывается JMP_Virus, вирус загружает файл в память и трассирует его.

Содержит строку:

Zadig by Yosha[LT]








YouAreIll.1186

Очень опасный резидентный вирус. Перехватывает INT 13h, 21h, 28h и записывается в конец EXE-файлов (кроме SCAN*.* и AIDS*.*) при их запуске. При вызовах INT 28h ищет и также заражает EXE-файлы. При открытии PAS-файлов уничтожает их. Содержит строки:


*.EXE .PAS AIDS SCAN Вы больны !







YouHaveProblem.577

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от текущей даты и времени расшифровывает и выводит текст:

You have problem...






Youth, семейство

Опасные резидентные вирусы, перехватывают INT 21h и записываются в начало COM-файлов при их старте. Изменяют 2 байта информации при ее сохранении на диск. Содержат строки:


"Youth.580": Demoralized Youth "Youth.640": McAfee, geht nach Hause! Wir sind unБberwindlich! DemoralizedYouth vous a eu "Youth.991": -* DeMoRaLiZeD YoUtH *- (c) Hannibal Lechter Ni S Solu Sot Uk Ni Sakse Stain Skorin











Yukom, семейство

Опасные нерезидентные вирусы. Возможно, что созданы при помощи какого-то конструктора вирусов. При запуске ищут .COM- или .EXE-файлы и записываются в их конец. Содержат много ошибок и часто вешают систему. "Yukom.402" заражает EXE-файлы как COM, в результате зараженные файлы практически всегда вешают систему. В зависимости от текущей даты пищат динамиком компьютера. Содержат строки:


"Yukom.389": My Name is Yukom Pete and I am a Virus "Yukom.392": My Name is Yukom Pete and I am your Virus "Yukom.402": My Name is Yukom Pete and I am your unfriendly Virus









YZ, семейство

Очень опасные резидентные вирусы, "YZ.1339" зашифрован. Перехватывают INT 21h ("YZ.1230" также перехватывает INT 1Ch) и записываются в конец запускаемых COM- и EXE-файлов. Содержат строку-идентификатор:

YZ


8-го марта стирают сектора дисков и выводят текст:

It is my birthday!!!


"YZ.1230" делает это в 15:00, "YZ.1339,1434" - при заражении очередного файла. "YZ.1339,1434" при этом также пищат системным спикером.





Yanush.934

Неопасный нерезидентный зашифрованный вирус. "Родственник" VCL -вирусов. Ищет COM-файлы и записывается в их конец. 1 апреля, 2 июня, 3 сентября выводит один из текстов:


Thanks to Yana Diagileva for their songs Thanks to Shunya for their love and hate And Thanks You Stupid User for using our virus Relax man ... relax ... [VivatNadym] v.2.0 [1998] Hello, Welcome to the Psychiatric Hotline.



Содержит также строку:

[Yanush Milovski] and [GloomyTanat]






Yusong.1471

Неопасный резидентный вирус. Перехватывает INT 8, 21h и записывается в конец запускаемых .COM- и .EXE-файлов. По 8, 18 и 28 числам каждого месяца в 17:00 выводит текст и перезагружает компьютер:


This program is only a test.It does nothing to you. You are lucky to meet me.Thank you very much. Bye bye ! (C) Copy right by Yusong,3,1997. All right reserved !



Также содержит строку:

ERROR IN EXE FILE