3APA3A, семейство

Резидентные файлово-загрузочные зашифрованные вирусы. Поражают начальные сектора дискет и файл IO.SYS на диске С. Занимают 1024 байта и состоят из двух частей (секторов). Первая часть содержит инсталлятор вируса и подпрограмму заражения флоппи-дисков, вторая часть содержит код, внедряемый в boot-сектора дискет. Этот код представляет собой процедуру заражения файла IO.SYS (или его эквивалента типа IBMBIO.COM) на винчестере. В boot-секторах вирус зашифрован.

При загрузке с зараженного флоппи-диска вирус расшифровывает себя и передает управление подпрограмме заражения файла IO.SYS. Эта подпрограмма считывает первый boot-сектор винчестера (диск C), проверяет размер диска (не заражает диск, если он меньше 26M, т.е. используется 12-битная FAT), подсчитывает адрес корневого каталога, считывает его, проверяет атрибут первой записи корневого каталога и не заражает диск, если первая запись в корневом каталоге имеет атрибут VOLUME.

Если этот атрибут - не VOLUME, то вирус копирует в последние сектора диска файл, соответствующий первому входу (стандартно это IO.SYS) и сдвигает вниз на одну позицию все записи в корневом каталоге с 3-го по 77-й (последняя запись будет потеряна, так как она затирается предпоследней).

Затем вирус копирует системные данные из первой записи корневого каталога в третью и устанавливает в третьей записи адрес первого кластера файла на только что созданную копию IO.SYS. В результате в системе появляются два файла IO.SYS: на первый указывает первая запись в корневом каталоге, на второй - третья запись. Затем вирус записывает вместо первого IO.SYS свой код и ставит у этой записи атрибут VOLUME.

Корневой каталог до заражения:


size cluster attributes



IO SYS 40470 2 Arc R/O Sys Hid MSDOS SYS 38138 22 Arc R/O Sys Hid COMMAND COM 52928 41 Arc DOS 0 67 DIR AUTOEXECBAT 100 68 Arc CONFIG SYS 150 69 Arc



Зараженный корневой каталог:



size cluster attributes +----- VOLUME attr V IO SYS 40470 2 Arc R/O Sys Hid Vol <- вирус MSDOS SYS 38138 22 Arc R/O Sys Hid IO SYS 40470 16108 Arc <- первоначальный IO.SYS COMMAND COM 52928 41 Arc <- сдвинутые вниз входы DOS 0 67 DIR в корневой каталог AUTOEXECBAT 100 68 Arc CONFIG SYS 150 69 Arc



Все описанные выше манипуляции производятся вирусом через INT 13h, причем довольно тщательно: он проверяет диск на наличие свободных кластеров, аккуратно сохраняет все копии FAT и т.д.

Атрибут VOLUME у зараженного IO.SYS играет двоякую роль - идентификатора зараженного диска и "стелс" -функция вируса. Файл с атрибутом VOLUME не виден стандартными функциями DOS, такими, как FindFirst/Next, Open, Read, Close. Для того чтобы обнаружить этот файл и прочитать его содержимое требуются специальные утилиты чтения дисковых секторов (например, AVPUTIL или DiskEditor).

В результате описанной выше процедуры диск C: оказывается зараженным, однако ни MBR, ни boot-сектор не изменились. Изменен единственный объект - файл IO.SYS. При загрузке системы с пораженного винчестера все будет идти, как и на чистой системе (загрузка и выполнение MBR и boot-сектора) до момента запуска IO.SYS.

Стандартный загрузчик DOS сравнивает имена первых двух входов в корневой каталог со строками IO.SYS и MSDOS.SYS (или эквивалентными строками). Загрузчик ищет строки, но не проверяет атрибуты обнаруженных входов в каталоге. В результате загрузчик найдет в первом входе строку IO.SYS, загрузит соответствующий файл (вирус) в память и передаст ему управление.



При загрузке с зараженного диска процедура инсталляции, получив управление, перехватывает INT 13h и оставляет вирус в памяти стандартным способом, уменьшая размер системной памяти (слово по адресу 0000:0413). При вызове INT 13h вирус обрабатывает обращения к флоппи-дискам и заражает их. Он сохранает свое продолжение и первоначальный boot-сектор в последних секторах корневого каталога дискеты и записывает свой инсталлятор вместо boot-сектора, предварительно зашифровав его при помощи полиморфик -алгоритма.



В августе при загрузке с зараженного диска вирус расшифровывает и выдает сообщение:

B BOOT CEKTOPE - 3APA3A




С формальной точки зрения этот вирус не является стелс-вирусом, однако процедура его обнаружения и лечения на винчестере довольно трудна. Зараженный IO.SYS не виден стандартными функциями DOS и может быть обнаружен только вызовами через INT 13h/25h. Зараженный файл невозможно также ни удалить, ни переименовать. Единственный способ обнаружить вирус из DOS - это команда LABEL, при ее вызове DOS отвечает:

Volume in drive C is IO SYS


На попытку изменения метки диска DOS реагирует сообщением:

Cannot make directory entry


Невозможно также вылечить диск утилитой SYS, поскольку она заменит только вторую копию IO.SYS, не затронув вируса. Более того, диск станет незагружаемым, поскольку вирус считывает зараженный IO.SYS по абсолютным адресам, сохраненным при заражении диска, а при команде SYS этот файл будет (скорее всего) помещен на новое место.



3APA3A.b

Вариант вируса "3APA3A", перехватывает INT 16h вместо INT 13h и заражает флоппи-диски при вводе символов с клавиатуры. Проявляется треском в динамике компьютера.





3nop

Очень опасный резидентный файлово-загрузочный стелс -вирус. При загрузке с зараженного флоппи-диска вирус записывается в MBR винчестера, затем перехватывает INT 13h (как и при загрузке с пораженного винчестера) и проверяет функции записи на диск и чтения с него. При чтении с флоппи-диска вирус поражает его boot-сектор. При записи на флоппи-диски вирус проверяет начало буфера данных. Если первый байт буфера содержит команду JMP (E9h), то вирус записывает себя вместо первых 200h байт буфера. Таким образом вирус вставляет себя в начало или середину файла. При запуске такого файла на выполнение вирус поражает MBR и возвращается в DOS. Такие файлы не восстанавливаются и должны быть уничтожены.





8ball

Неопасный резидентный файлово-загрузочный вирус. При запуске зараженного файла копирует себя в HMA, перехватывает INT 40h, а затем записывается в boot-сектора дискет при обращениях к ним. При загрузке с пораженной дискеты вирус перехватывает INT 1Ah, ждет загрузки DOS, перехватывает INT 21h и при первом вызове INT 21h заражает диск C:. При этом вирус создает на диске C: файл со случайным именем, записывает в него свою копию и добавляет в файл C:\CONFIG.SYS строку:

INSTALL=C:\<filename>


Таким образом при загрузке с пораженного диска C: вирус получает управление из файла CONFIG.SYS. После заражения файла CONFIG.SYS он восстанавливает INT 21h, этим удаляя себя из памяти.

Вирус использует антиотладочные приемы, что-то делает с портами клавиатуры, содержит строки:


PK INSTALL=C:\ c:\config.sys 8_Ball -=Q=-







Alar, семейство

Очень опасные резидентные файлово-загрузочные полиморфик-стелс-вирусы. Заражают MBR винчестера, записываются в конец COM- и EXE-файлов при их запуске и закрытии. При открытии зараженных файлов лечат их. MBR заражают при первом запуске зараженного файла. При заражении MBR портят информацию на дисках, если они размечены менее чем 18 секторов на трек.

Остаются резидентно как при загрузке с MBR, так и при запуске зараженных файлов. Перехватывают INT 21h для заражения и стелс; INT 13h для стелс и перехвата INT 21h при загрузке с зараженного MBR; INT 17h - меняют какие-то символы при их печати; INT 1Ch - периодически "трясут" экран и проверяют CRC кода своего перехватчика INT 21h. При заражении MBR временно перехватывают INT 10h, 16h (видео и клавиатура), видимо, пытаются "одурачить" встроенную в BIOS защиту от записи.

Вирусы перехватывают ввод с командной строки и при вводе текста "stop creeping" блокируют свои процедуры заражения и стелс, при вводе "do it right now" стирают CMOS, при вводе "tell me your version" выводят на экран текст:

"Alar.4270":



Alar Abaddon virus. Version 1.2 (peaceful) Created by G..... A..... (C) 05/29/97



"Alar.4625":



Alar Abaddon virus. Version 2.0 (peaceful) Created by G..... A..... (C) 07/06/97



Проверяют CRC кода своего обработчика INT 21h и, если CRC не совпадает (код вируса модифицирован, например, при лечении), выводят текст и завешивает компьютер:

Не занимайтесь самолечением, друг мой !


При запуске под старыми версиями DOS выводят текст:

Invalid parameter missing






Alfa.3072

Опасный(?) резидентный файлово-загрузочный вирус. При запуске зараженного файла или загрузке с пораженной дискеты вирус записывается в MBR винчестера. Затем перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. Дискеты заражает при любом обращении к ним. В зависимости от своего "поколения" каким-то образом портит(?) CMOS.





Alla, семейство

Опасные резидентные файлово-загрузочные вирусы. Перехватывают INT 13h, 21h и записываются в MBR винчестера, boot-сектора дискет и в конец COM-файлов при обращениях к ним. В результате ошибки портят информацию на дисетах 1.4M. Содержат строки:


Alla 1.0 Wild W0rker /RSA







Anthrax

Резидентный файлово-загрузочный вирус. Записывается в конец COM- и EXE-файлов и в MBR винчестера. Поражает MBR при старте зараженного файла, продолжение вируса и MBR-сектор сохраняются начиная с адреса 0/0/2 (трек/головка/сектор). Память заражается при загрузке с инфицированного диска, вирус перехватывает INT 21h и затем поражает только файлы. Содержит строки:


ANTHRAX (c) Damage, Inc







Arianna, семейство

Резидентные самошифрующиеся файлово-загрузочные стелс -вирусы. При запуске зараженного файла записываются в MBR винчестера. При зазрузке с зараженного MBR перехватывают INT 1Ch, ждут загрузки DOS, затем перехватывают INT 13h (для реализации стелс-алгоритма при обращении к зараженному MBR) и INT 21h (для заражения файлов). Вирусы записываются в конец EXE-файлов при их запуске или закрытии. При открытии зараженного файла вирусы лечат его. Периодически проявляются видеоэффектами и затирают первоначальный MBR-сектор.

"Arianna.3076" является файловым вирусом - заражает COM и EXE файлы и не заражает MBR винчестера.

Вирусы содержат строки:

"Arianna.2864":



"ARIANNA VIRUS"HAS DONE A RECOVERABLE DAMAGE GOOD LUCK FRIEND !! +--------------------------------------------+ | ARIANNA is changing your computer activity | | If you wish no damage do not turn it off | | ThanX for diffusion ! | +--------------------------------------------+ Coded in Bari thanX 2 DOS UNDOCUMENTED



"Arianna.3076":



Improved ARIANNA , waiting for ADVANCED 386 Bari @1995 by AV(ANTI)-VIRUS SYSTEM



"Arianna.3375":



Coded in BARI ThanX to DOS UNDOCUMENTED See you for a new virus release. Bye !



"Arianna.3375":



Coded in BARI ThanX to DOS UNDOCUMENTED Check the code to discover the virus name It is very easy ! Bye !!





Демонстрации вирусных эффектов:

ARIANNA.COM



Arya.4616

Очень опасный зашифрованный файлово-загрузочный вирус. Заражает MBR винчестера, COM- и EXE-файлы. При запуске зараженного файла вирус записывается в MBR, затем перехватывает INT 13h, 21h и остается резидентно в памяти. При загрузке с зараженного диска вирус перехватывает INT 13h, 1Ch, ждет загрузки DOS и перехватывает INT 21h. При обращениях к зараженной MBR вирус вызывает свою стелс-процедуру.

Вирус записывается в середину COM- и EXE-файлов при обращениях к ним. При смене каталогов и удалении файлов вирус ищет COM- и EXE-файлы и также заражает их. После заражения вирус удаляет файлы CHKLIST.MS, если таковой присутствует. Вирус не заражает файлы:


CHKDSK.*, COMMAND.COM, EMM386.*, POWER.* INTERLNK.*, MCA.*, MSCDEX.*, SHARE.*, CERT.*, TOOLKIT.*, GUARDMEM.*, GUARD.*, SCAN.*, CLEAN.*, FINDVIRU.*, FV*.*, TB*.*, CLEANPAR.*, CLEANBOO.*, VSAFE.*, MSAV.*, NAV.*, VALIDATE.*, VSHIELD.*, VIVERIFY.*, IMENSCAN.*, TAROMAR.*



В зависимости от системной даты выводит текст:


Arya V1.0 This is the most Powerfull and Technical Iranian program ... Azad University of Lahijan . Sig: - 17FSAK - ( 1996 )



Начиная с июня по 13-м числам записывает тот же текст в начало файлов .DBF, .ZIP, .LZH, .GIF, .DAT, PCX и .GN. Подсчитывает CRC-сумму своего кода и стирает CMOS, если эта сумма неверна. Содержит ошибки и в некоторых случаях завешивает компьютер.





AT-Corp, семейство

Безобидные резидентные вирусы. "AT-Corp.321" - файлово-загрузочный вирус, "AT-Corp.363" заражает только файлы. Перехватывают INT 13h и записывается в заголовок EXE-файлов при наличии там свободного места при чтении/записи соответствующих секторов. Длина файла при заражении не увеличивается.

"AT-Corp.321" заражает также MBR винчестера. Остается резидентно в памяти только при загрузке с зараженого MBR.

Содержат строки:


"AT-Corp.321": (c)AT Corp. 1995 "AT-Corp.363": (c) AT Corp. 1994







Australian.1024

Неопасные резидентные файлово-загрузочные вирусы. Перехватывают INT 13h, 21h и записываются в конец файлов, в MBR винчестера и boot сектора дискет при чтении этих секторов. При обращении к зараженным секторам являются стелс -вирусами. "Australian.1024.a" поражает COM-файлы при их запуске или открытии, "Australian.1024.b" - запускаемые COM- и EXE-файлы. В зависимости от числа пораженных объектов "Australian.1024.a" выводит текст:


GOTTERDAMERUNG: Silicon Valley: The Next Golgotha Hey PuKE keep up or fall behind



Также содержит строку:

Dрrk ЯНсюr [AIH]


"Australian.1024.b" содержит строку-идентификатор "AP".





Autumnal.3072

Очень опасный резидентный файлово-загрузочный вирус. Заражает MBR винчестера и записывается в конец .COM- и .EXE-файлов, кроме CO*.* и IB*.*. При запуске зараженного файла вирус заражает MBR, перехватывает INT 8, 13h, 21h и остается резидентно в памяти (DOS-вызов Keep INT 27h). При загрузке с зараженного диска вирус уменьшает размер DOS-памяти (слово по адресу 0000:0413), перехватывает INT 8, 13h, ждет загрузки DOS, перехватывает INT 21h и восстанавливает размер DOS-памяти.

При обращении к файлам DOS-функциями Exec, Open, Rename, FindFirst/Next FCB и ASCII вирус заражает их. При обращениях в зараженной MBR вирус исполняет стелс-подпрограмму. При загрузке зараженного файла под отладчиком вирус лечит файл. Если при этом возникает ошибка, то он выводит сообщение:

Error in File


Вирус использует антиотладочные приемы. 13-го июля вирус уничтожает файлы вместо их заражения.

Вирус также содержит строки:


Ver 4.00 (C)Copyright Autumnal Water Corp. 1991







Blah, семейство

Опасные резидентные файлово-загрузочные "стелс" -вирусы. Перехватывают INT 13h, 21h и записываются в начало .BAT-файлов и MBR винчестера. Содержат строку текста:

Blah virus (DA/PS)


При заражении MBR вирус записывается в первые четыре сектора винчестера, четвертый сектор содержит первоначальную MBR. При заражении BAT-файлов вирус записывается в их начало, сдвигая первоначальный текст на 3385 байт вниз. При этом кодирует себя каким-то алгоритмом, преобразующим HEX-код вируса в ASCII-строки, и записывает результат кодировки и служебные строки в начало BAT-файлов (текст между '[' и ']' является комментарием):


@echo [ HEX код ] >|.com @echo [ HEX код ] >>|.com @echo [ ASCII текст ] >>|.com @echo [ ASCII текст ] >>|.com [ повтор ... ] @echo [ ASCII текст ] >>|.com @if %0. == . | @| @del |.com @if %0. == . autoexec @%0



HEX-код содержит декодировщик ASCII->BIN, строки ASCII-текста содержат основное тело вируса, преобразованное в ASCII (подобно UUencode/XXencode).

При запуске такого BAT-файла его команды создают файл є.COM , в который записывается код декодера ASCII->BIN и закодированное тело вируса. Затем этот COM-файл запускается, его код декодирует тело вируса из ASCII в HEX, и управление передается на декодированный участок (основное тело вируса), который заражает оперативную память (перехватываются INT 13h, 21h) и возвращает управление BAT-файлу. BAT-файл затем уничтожает файл є.COM и запускает себя повторно. При повторном запуске BAT-файл проходит через "стелс"-фильтр (код вируса не получает управления) и выполняется в своем первоначальном виде.

Вирус обращает особое внимание на файл AUTOEXEC.BAT, так как это единственный BAT-файл имя которого недоступно по команде "%0": при первом запуске AUTOEXEC.BAT (при загрузке системы) команда "%0" не содержит имени запущенного файла.

При выполнении основного тела (декодированного из ASCII) вирус проверяет в памяти наличие уже загруженной TSR-копии вызовом "Ты здесь?" (INT 21h, AH=62h, DX=F904h), а затем передает управление на процедуру инсталляции (эта же процедура выполняется при загрузке с зараженной MBR). При инсталляции вирус уменьшает размер оперативной памяти (слово по адресу 0000:0413), копирует себя в "отрезанный" блок памяти, перехватывает INT 13h, 21h и передает управление процедуре заражения MBR.



Обработчик INT 21h вируса перехватывает пять функций:

AH=11h/12h (FindFirst/Next FCB / DIR command) - вирус "уменьшает" длины файлов.

AX=3D00h (Open file) - при обращении к BAT-файлам заражает их: кодирует сабя в ASCII и записывает в начало файла.

AH=3Fh (Read) - вызывает "стелс"-процедуру.

AH=62h (Get PSP) - вызов "Ты здесь?". При этом вызове вирус выключает все процедуры заражения и "стелс" (INT 13h/21h). Зачем это сделано - непонятно, так как "стелс"-процедуры не позволяют коду вируса быть исполненным дважды.



Обработчик INT 13h вируса перехватывает функции чтения/записи (AH=2/3) и вызывает процедуры заражения винчестера и "стелс".



"Blah.3385" содержит ошибку: маркер загрузочного сектора (слово 55AAh) расположен в теле вируса со смещением 01FFh вместо 01FEh (ошибка всего на один байт). По этой причине загрузка с зараженного MBR приводит к выдаче сообщения об ошибке, а диски винчестера оказываются недоступными. В результате вирус работает только до первой перезагрузки.





Bootache

Резидентный файлово-загрузочный полиморфик -вирус. При загрузке из пораженного файла перехватывает INT 21h и записывается в конец COM-, EXE- и SYS-файлов при их запуске или открытии. При загрузке из пораженного сектора перехватывает INT 13h и записывает себя в Boot-сектора флоппи-дисков. При загрузке из файла вирус не поражает секторов, при загрузке из сектора не поражает файлов. Это выглядит как два разных вируса в одном массиве кодов и данных. Содержит строки:


COMSPEC=\COMMAND.COM COMEXEOVLSYS *YAM* Your PC has a bootache! - Get some medicine! Ontario-3 by Death Angel







BootCOM, семейство

Резидентные файлово-загрузочные вирусы. Поражают COM-файлы и системные сектора дисков (boot, MBR).



BootCOM.357

Безобидный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного MBR перехватывает INT 13h, затем ждет загрузки первого EXE-файла и перехватывает INT 21h. Затем записывается в конец COM-файлов при их запуске. Содержит строку: "[Max]".



BootCOM.Peanut

Безобидный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с зараженного диска перехватывает INT 21h и записывается в конец COM-файлов при их запуске, поражает boot-сектора дискет.



BootCOM.PureText

Безобидный вирус. При запуске зараженного файла перехватывает INT 13h, 21h B записывается в конец COM-файлов при их запуске или смене атрибутов файла. При записи на флоппи-диски поражает их boot сектора. При загрузке с пораженного флоппи-диска перехватывает INT 13h, затем ждет загрузки DOS и перехватывает INT 21h. "Master copy" вируса содержит строки:


PURE TEXT







Senda.4162

Опасный зашифрованный файлово-загрузочный резидентный вирус. Перехватывает INT 13h, 21h. Записывается в конец .COM-файлов, в MBR винчестера и boot-сектора дискет. По причине ошибки портит COMMAND.COM от Windows95, по этой причине вирус неработоспособен в этой ОС. Содержит строку:

- Senda, dedicated to my love PL -






Kuarahy.4608

Опасный резидентный зашифрованный файлово-загрузочный вирус. Перехватывает INT 13h, 21h. Заражает MBR винчестера, загрузочный сектор 1.4M дискет, записывается в конец COM-, EXE- и SYS-файлов, создает компаньон -файлы формата COM для BAT-файлов, дописывает свои дропперы к ARJ-архивам. Также пытается заражать OBJ-файлы (объектные модули), но портит их по причине ошибки. Содержит прочие ошибки и часто завешивает систему.

Не заражает COMMAND.COM и антивирусы: SCAN, NAV, F-PROT, GUARD, FINDVIRU, TOOLKIT, AVP. Уничтожает файлы данных: ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, AVP.CRC.

По 31-м числам выводит текст:

[KUARAHY by Int13h] - Written in the Republic of Paraguay - Please register!


Также содержит строки:

[KUARAHY] Koa ha'e Int13h/iKx rembiapokuВ hina! :)


HOMO иSAPIENS? HAHAHA!



DOS Infection Device Learn some guaranб words!:Kuarahy=Sun Aда=Devil Kuда=Woman execomsysobjbatovlarj



E-mail me: Int13h@antisocial.com


PARAGUAY WORLD CUP '98


Rohaihг Paraguay!




Демонстрации вирусных эффектов:

KUARAHY.COM



Ramones

Очень опасный резидентный файлово-загрузочный вирус. Перехватывает INT 13h и записывается в загрузочные сектора дискет и MBR винчестера, при этом шифрует первоначальный загрузочный сектор и MBR.

Заражает также EXE-файлы: при обращениях к ним записывается в их заголовок. При запуске такие файлы заражают MBR винчестера, выводят сообщение и возвращают управление DOS:

Incorrect DOS Version.


Вирус также содержит текст:

[RamonesMania] by Evil One.






Idie.3520

Неопасный резидентный зашифрованный файлово-загрузочный вирус. Заражает MBR винчестера и записывается в конец COM- и EXE-файлов. MBR заражается при запуске инфицированного файла. Затем вирус перехватывает INT 13h, 1Ch, 21h и при запуске, закрытии файлов и при смене текущего каталога ищет файлы в текущем каталоге и в PATH и заражает их. Проверяет имена файлов и не заражает антивирусы: TOOLKIT, FINDVIRU, FV86, FV386, CLEANPAR, CLEANBOO, GUARD, GUARDMEM, VIVERIFY, SCAN, CLEAN, MSAV, VSAFE, IMENSCAN.

В зависимости от своих счетчиков выводит сообщения:


I Never Forget K.Z.M.F Group !!! I Die For Beautiful Girls !!!







GK.7697

Опасный резидентный стелс -полиморфик -вирус. Заражает MBR винчестера, загрузочные сектора 1.4Mb дискет и записывается в конец COM- и EXE-файлов. Использует полиморфичный код не только в файлах, но и в загрузочных секторах дисков. При обращениях к зараженным файлам и секторам временно лечит их (стелс). При запуске CHKDSK и архиваторов ARJ, LHA, PKZIP временно выключает свои стелс-процедуры.

Перехватывает INT 13h, 21h, 29h. При инсталляции в системную память и при заражении файлов использует несколько достаточно сложных приемов: трассирует цепочки векторов прерываний, правит ядро DOS, использует недокументированные таблицы DOS. В этих процедурах содержит ошибки и в некоторых случаях завешивает компьютер.

Заражает MBR винчестера только при запуске зараженного файла в DOS-окне под MS Windows. Перехватывает INT 13h и заражает дискеты только после загрузки с зараженного винчестера. При заражении первоначальный MBR сохраняет во втором секторе диска, а загрузочный сектор дискет - на дополнительно отформатированном 80-м треке дискеты. При заражении MBR портит таблицу разбиения диска, по этой причине логические диски винчестера недоступны при загрузке с чистой дискеты или после удаления кода вируса при помощи FDISK/MBR.

Вирус содержит строку:

Unknown (c) 1997 G.K. Poland






Samara.1536

Неопасный резидентный файлово-загрузочный полиморфик -вирус. При старте из инфицированного файла заражает MBR винчестера, перехватывает INT 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске. Запрещает запуск антивирусов : AVPLITE, AIDSTEST, AVP, DRWEB, SCAN.

При загрузке с инфицированного MBR вирус перехватывает INT 13h, ждет загрузки DOS и затем перехватывает INT 21h. При загрузке с boot-сектора дискеты вирус плюс к вышесказанному заражает MBR.

При заражении MBR и boot-секторов не сохраняет их оригиналы. Для сохранения работоспособности системы вирус при загрузке с зараженного диска самостоятельно считывает и запускает на выполнение первый логический сектор диска C:, который содержит загрузочный код операционной системы.





Tiso, семейство

Неопасные резидентные самошифрующиеся (в файлах) вирусы. При запуске записывают себя в MBR винчестера. При загрузке с зараженного сектора перехватывают INT 8, ждут загрузки DOS и затем перехватывают INT 21h. Записывается в конец файлов при их запуске. "Tiso.846,940" поражают только COM-файлы, "Tiso.1279" записывается в COM- и EXE-файлы. "Tiso.940,1279" - стелс -вирусы при обращении к зараженной MBR, для реализации этой функции вирусы перехватывают INT 13h.

Периодически расшифровывают и выводят текст:

Nech zije Jozef Tiso, prvy slovensky prezident !




Демонстрации вирусных эффектов:

TISO.COM



TPK.2083

Неопасный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 21h и при вызове функции GetDosVersion (AH=30h) ищет COM-файлы и записывается в их кконец.

Перехватывает INT 13h для того, чтобы заражать boot-сектора дисков зарузочными вирусами (эти boot-вирусы затем не заражают файлы). Основное тело вируса содержит два варианта boot-вирусов ("TPK.Anti-Form" и "TPK.Anti-Stoned"), однако дискеты заражаются только вторым вариантом.

Загрузочные вирусы заражают только диски уже зараженные вирусами "Form.a" (первый вариант) или "Stoned.a" (второй вариант). При загрузке эти вирусы перехватывают INT 13h и затем записывают себя вместо "Form.a" и "Stoned.a", если таковые диски будут обнаружены.

Если при загрузке системы одновременно нажаты клавиши левый и правый Alt одновременно с Ctrl, то вирусы выводят тексты:

"TPK.Anti-Form":



No FORM By The PC Knight [TPK] UK :-) --- FORM-Virus Deleted from disk ---



"TPK.Anti-Stoned":



No Stoned By The PC Knight [TPK] UK :-) --- Stoned Virus Deleted from disk ---







TPVO.3464

Неопасный резидентный файлово-загрузочный стелс-вирус. Перехватывает INT 13h, 21h, 2Fh и записывается в MBR винчестера, boot-сектора дискет, в конец COM- и EXE-файлов при обращениях к ним.

При заражении диска вирус записывает свой код в последние сектора винчестера или форматирует дополнительный трек на дискете. При форматировании дискеты допускает ошибку и не работает со многими контроллерами.

Проверяет имена файлов и выключает часть своих стелс-функций при запуске:

PKZIP ARJ RAR LHA TELIX BACKUP MSBACKUP CPBACKUP CHKDSK


При запуске некоторых антивирусов (включая AVP) добавляет к командной строке опцию "не тестировать память". В результате командная строка:

AVP C:


переводится вирусом в:

AVP C: /M


и AVP не тестирует системную память. Список присутствующих в теле вируса антивирусов и соответствующих опций:


vtsc vthu pvsc pvcl tbscan f-pr scan avp /i co nm /nomem /m



Через два месяца после заражения винчестера вирус перехватывает INT 10h, 1Ch и "переворачивает" экран (см."Flip ). Вирус содержит строки:


HI! This is [TPVO] virus was written by Dark Slayer in Keelung, Taiwan. keep in mind... The TPVO is "Taiwan Power Virus Organization"







Traka.1471

Безобидный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. Заражает также MBR винчестера и boot-сектора дискет. Содержит строку:

[TRAkA-TRAkA]/ARGENTiNA






Ugly, семейство

Очень опасные резидентные полиморфик -стелс -вирусы. При запуске зараженного файла или при загрузке с зараженной дискеты записываются в MBR винчестера. Остаются в памяти только при загрузке с пораженного винчестера: перехватывают INT 8, 13h, 17h, 1Ch, 20h, 21h, 25h, 26h, 27h и записываются в конец COM- и EXE-файлов при обращении к ним и при окончании их работы. Периодически самостоятельно ищут файлы при помощи команд FindFirst/Next и заражают их. Не заражают файлы:

COMMAND.COM, GDI.EXE, DOSX.EXE, WIN386.EXE, KRNL286.EXE, KRNL386.EXE, USER.EXE, WSWAP.EXE, CHKDSK.EXE

При обращении к дискетам записываются в их boot-сектор. В зависимости от своих внутренних счетчиков и под отладчиком стирают CMOS и сектора винчестера.

Используют оригинальный алгоритм: остаются в памяти зараженной системы при "горячей" или "холодной" перезагрузке с чистой DOS-дискеты. Для этого вирус запоминает значения CMOS, соответствующие параметрам установленных в системе дискет, и стирает эти значения (т.е. выключает флоппи-диски). При обращении к дискам вирус временно восстанавливает CMOS, а затем опять стирает параметры дискет. При загрузке система не находит флоппи-дисков и грузится с винчестера, при этом вирус получает управление, заражает память и затем передает управление boot-сектору с флоппи-диска. В результате вирус остается резидентным в памяти при загрузке с чистой DOS-дискеты.





Uranus.2048

Безобидный резидентный файлово-загрузочный вирус. Заражает COM-, EXE-, NewEXE-файлы и boot-сектора дисков. При запуске зараженного файла записывается в boot-сектор диска C: и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в конец файлов при их запуске и вызове DOS-функций FindFirst/Next ASCII. При обращениях к дискетам 1.4Mb заражает их.

Проверяет имена файлов - сравнивает два последних символа имени файла с парами символов из строки:

ANOT86AVVPUSILEDOPNDLPGRPLRKYRRE


и не заражает их. Такими файлами являются несколько антивирусов и утилит: SCAN, F-PROT, KRNL386, NAV, AVP, FINDVIRUS, MSMAIL и т.д.

Также содержит строку:

Sailor_Uranus






USTC.7680

Очень опасный резидентный файлово-загрузочный вирус. Заражает MBR винчестера и записывается в конец файлов. В файлах использует полиморфик-расшифровщик, в MBR и системной памяти - зашифрован.

При заражении MBR записывает ее в 16-й сектор первого трека, свой код записывает в MBR и последующие сектора (до 16-го). При заражении файлов записывает в них несколько блоков-пустышек. Делает это методом, похожим на "OneHalf" , но использует при этом более сложный полиморфик-механизм. В этих пустышках также используются антиотладочные приемы.

При запуске зараженного файла вирус расшифровывает себя, заражает MBR, перехватывает INT 13h, 21h и остается резидентно в памяти. При загрузке с зараженной MBR вирус перехватывает INT 8, 13h, ждет некоторое время (пропускает загрузку DOS) и перехватывает INT 21h.

При помощи перехвата INT 13h вирус реализует стелс-процедуру, скрывающую зараженный MBR-сектор. Перехватом INT 21h вирус определяет файлы, которые копируются или модифицируются, и заражает их (в результате обходит антивирусные CRC-ревизоры). По причине ошибки (не проверяет расширения имен файлов - COM/EXE) вирус заражает не только в программы, но и файлы данных.

В зависимости от своего счетчика загрузок с зараженной MBR останавливает загрузку и ждет введа строки "CAPSL". Содержит текст:

3.0 1996.10 USTC






V.1253

Резидентный очень опасный файлово-загрузочный вирус. Перехватывает INT 8, 13h, 21h и поражает запускаемые .COM-файлы, boot-сектора дискет и MBR винчестера. Стирает некоторые сектора винчестера.





V.1526

Безобидный резидентный файлово-загрузочный вирус. Никак не проявляется. Поражает MBR винчестера и записывается в конец .COM- и .EXE-файлов. При запуске зараженного файла перехватывает INT 21h, заражает MBR и остается резидентно в памяти. При загрузке с зараженной MBR перехватывает INT 1Ch, ждет загрузки DOS и затем перехватывает INT 21h.

При запуске файлов заражает их. При вызове DOS-функции GetDiskSpace ищет выполняемые файлы в текущем каталоге и также заражает их.





V.1536

Очень опасный резидентный вирус. При запуске зараженного файла или при загрузке с зараженной дискеты записывается в MBR винчестера. При загрузке с зараженного диска перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в конец EXE-файлов при их открытии и boot-сектора дискет при обращении к ним. По 8-м числам ежемесячно стирает сектора винчестера.





Vecna

Очень опасный резидентный файлово-загрузочный стелс -вирус. Заражает boot-сектора дискет, MBR винчестера и записывается поверх EXE-файлов (портит их). При запуске зараженного EXE-файла записывается в MBR винчестера, расшифровывает и выводит текст:

Out of memory.


и возвращает управление DOS. При загрузке с диска перехватывает INT 13h, остается резидентно в памяти и заражает дискеты и EXE-файлы на дискетах.

Под отладчиком и на Pentium-компьютерах выводит текст:

Vecna Live ...


Имеет довольно серьезную ошибку - может вернуть управление оригинальному обработчику INT 13h с испорченным содержимым регистра AX, что может привести к потере данных на диске и даже к его форматированию.



Vecna.Outsider

Опасный резидентный зашифрованный файлово-загрузочный вирус. Перехватывает INT 13h, 28h. Заражает .EXE-файлы и boot-сектора дискет. Файлы заражает по методу вируса "DirII" .

Через три месяца после заражения компьютера или под отладчиком портит CMOS (устанавливает пароль?) и выводит текст:


[OUTSIDER] Esta В minha vinganЗa contra esta sociedade injusta E eu ainda n|o estou satisfeito Espere e ver|o...



Также содержит строку:

Written by Vecna/SGWW in Brazil 1997




Vecna.Tron

Безобидный резидентный загрузочный вирус. Перехватывает INT 1, 8, 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит текст:

[ORGASMATRON] by Vecna/SGWW in Brazil 1997


Для перехвата INT 13h использует отладочный режим и регистры DR0, DR6, DR7 процессора i386. При помощи этих регистров вирус устанавливает точку останова на системный обработчик INT 13h в BIOS. Когда управление передается на этот обработчик, процессор генерирует прерывание INT 1 и управление передается на код вируса. Вирус проверяет регистры, при необходимости вызывает процедуры заражения и стелс, выключает отладку и возвращает управление обработчику INT 13h в BIOS. Для того, чтобы восстановить точку останова и перехват INT 1 вирус использует вызовы INT 8 (таймер).





VLAD (файлово-загрузочные)



VLAD.Fame.842

Безобидный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при их запуске. При запуске зараженного файла записывается в MBR винчестера. При обращении к дискетам записывается в их boot. Содержит строку:

FAME by Quantum / VLAD




VLAD.Hemlock.3183

Неопасный резидентный файлово-загрузочный полиморфик -стелс -вирус. Перехватывает INT 9, 13h, 21h и записывается в конец COM-, EXE- и SYS-файлов при обращении к ним. При запуске зараженного файла записывается в MBR винчестера. При обращении к дискетам записывается в их загрузочный сектор.

При нажатии на Alt-Ctrl-Del эмулирует перезагрузку, оставаясь при этом в памяти. При запуске некоторых программ выключает стелс-алгоритм. Содержит строки:


TBSCAN WIN CHKDSK PKZIP ARJ NDD SCANDISK LHA co nm /d:f Hemlock by [qark/VLAD] OSDATA





VLAD.MegaStealth

Неопасный резидентный файлово-загрузочный стелс-вирус. Перехватывает INT 13, 21h, 76h и записывается в конец COM-файлов, в MBR винчестера и boot-сектора дискет при обращении к ним. Выводит символ 'п' при каждом вызове INT 21h. Прерывания 13h, 76h используются в стелс-алгоритме. Содержит строки:

[MegaStealth] by qark/VLAD






Yang.2528

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в активный boot-сектор винчестера. Затем (также как и при загрузке с пораженного диска) перехватывает INT 8, 21h и записывается в конец COM- и EXE-файлов (кроме COMMAND.COM) при их запуске. В некоторых случаях шифрует MBR винчестера, замедляет работу компьютера, выводит строки:


Cancer -- Version 1.0 by Mr. Yang Sep/1990... Hard disk has been demaged !!! You can cure hard disk if you has a good Doctor ! I wish you luck ! Ha! Ha! Ha!



I am tired. Please give me a rest.






Yosha (файлово-загрузочные)



Yosha.440

Безобидный резидентный файлово-загрузочный вирус. При запуске зараженного файла вирус записывается в MBR винчестера и возвращает контроль программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS, затем перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Перехватчик INT 13h также содержит стелс -процедуру, вызываемую при обращениях к зараженной MBR. Вирус содержит строку:

ELDOB1X by Yosha/DC




Yosha.512

Очень опасный стелс -вирус. Заражает EXE-файлы и MBR винчестера. При запуска зараженного EXE-файла записывает себя в MBR и перезагружает компьютер. При загрузке с зараженного диска уменьшает размер свободной памяти (слово по адресу 0000:0413), перехватывает INT 13h и затем записывается в заголовки EXE-файлов при обращениях к ним.

При заражении файла записывается в 512 байт его заголовка, а первоначальный заголовок сохраняет в случайно выбранном секторе на диске. Вирус сохраняет в EXE-заголовке адрес этого сектора и при обращениях к зараженным EXE-файлам считывает с диска и подставляет в буфер чтения/записи первоначальный EXE-заговок. Таким образом вирус реализует 100%-й стелс-алгоритм, но портит при этом данные в случайно выбранных на диске секторах.



Yosha.Novacane

Безобидный стелс -вирус. Заражает EXE-файлы и MBR винчестера. При запуска зараженного EXE-файла записывает себя в MBR и перезагружает компьютер. При загрузке с зараженного диска уменьшает размер свободной памяти (слово по адресу 0000:0413), перехватывает INT 13h и затем записывается в заголовки EXE-файлов при обращениях к ним. Содержит строку:

NovaCane by Yosha/DC






ZhengZhou, семейство

Очень опасные резидентные файлово-загрузочные вирусы. "ZhengZhou.3576,3584.b" зашифрованы. При запуске зараженного файла вирусы записываются в MBR винчестера, затем перехватывает INT 13h, 21h и записывается в конец запускаемых COM- и EXE-файлов. Некоторые из вирусов заражают файлы также при вызовах DOS-функций FindFirst/Next FCB (команда DIR).

"ZhengZhou.3584.b" не заражает файлы SCAN.EXE и CLEAN.EXE, уничтожает файл WMSET.COM.

В зависимости от своего "поколения" вирусы стирают сектора винчестера. Под отладчиком "ZhengZhou.3584.a" пытается (безуспешно) форматировать винчестер, при этом выводит текст:


Do not turn OFF the computer when WOLF is working ! Insert DOS diskette in drive A: Strike any key when ready ...



Вирусы также содержат строки:

"ZhengZhou.3584.a":



Zheng Zhou, China. 1993 Thank for your helping, Good-bye !



"ZhengZhou.3584.b":


wolf






Prowler.1727

Неопасный резидентный зашифрованный файлово-загрузочный вирус. При запуске зараженных файлов записывается в MBR винчестера. Для заражения файлов перехватывает INT 21h и при запуске COM- и EXE-файлов записывается в их конец. Не заражает COMMAND.COM.

При загрузке с зараженного диска 13-го числа любого месяца проявляется видео-эффектом и выводит текст:


I am +he Midnigh+ Pr0wler, s0n 0f +he m00n And I am the child 0f +he ?? genera+i0n....



где ?? является номером поколения вируса.



Демонстрации вирусных эффектов:

PROWLER.COM



Shimmer, семейство

Опасные резидентные файлово-загрузочные вирусы. Записываются в boot-сектора дискет и создают BAT- и EXE-"червей". Свою TSR копию размещают либо в HMA, либо в видеопамяти.

Метод заражения BAT-файлов практически полностью совпадает с вирусом "Winstart" . Вирусы "Shimmer" создают файл WINSTART.BAT в каталоге C:\WINDOWS и записывают свой код в этот файл. При запуске BAT-файла вирусы создают INSTALL.EXE файл, содержащий инсталлятор вируса, и запускают этот файл. При запуске вирус перехватывает INT 2Fh, 40h и записывается в boot-сектора дискет при обращении к ним.

При загрузке с пораженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, перехватывают INT 21h и при первом вызове INT 21h создают файл-червь C:\WINDOWS\WINSTART.BAT. Затем вирусы удаляют себя из памяти.

Вирусы содержат ошибки и могут завешивать систему. "Shimmer.b" выводит в COM-порт строку "ATM0L0S0=1O1". Вирусы содержат строки:

"Shimmer.a"



:yt @echo.PKX>install.exe @copy/b install.exe+%0.bat>nul @install.exe c:\windows\winstart.bat New Shimmer



"Shimmer.b"



:y~ATM0L0S0=1O1 @ECHO PKX>INSTALL.EXE @COPY/B INSTALL.EXE+%0.BAT>NUL @INSTALL.EXE C:\WINDOWS\WINSTART.BAT







Shrapnel.6067

Опасный резидентный файлово-загрузочный стелс -вирус. Заражает MBR винчестера, boot-сектора дискет и записывается в конец COM-, EXE- и NewEXE-файлов при их запуске.

При запуске зараженного файла проверяет наличие Windows. Если вирус запущен под Windows, то он ищет EXE-файлы в текущем каталоге и заражает их. Затем он записывается в MBR винчестера. Под Windows вирус для записи на винчестер использует прямые вызовы портов диска. Затем вирус возвращает управление программе-носителю.

При загрузке с диска вирус перехватывает INT 13h, 1Ch, ждет загрузки DOS, перехватывает INT 21h и затем заражает запускаемые файлы. Если запущен архиватор PKZIP или ARJ, вирус выключает свой стелс-механизм. Не заражает некоторые программы (антивирусы, утилиты и т.п.) - TBAV, COMMAND, WIN, SCAN, AVP, F-PROT, NAV и др. в соответствии со строкой (по два символа на имя):

TBCOWISCVIAVVAF-NAVSIVFIFVIMQBMSDODESW


В зависимости от своих счетчиков создает на диске подкаталог SHRAPNEL. Уничтожает файл:

C:\WINDOWS\SYSTEM\IOSUBSYS\HSFLOP.PDR


Помимо перечисленных выше содержит строки:


SHRAPNEL v1.0 by PH Made in the USA *.EXE







Smile

Неопасный резидентный COM-EXE-MBR вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с винчестера перехватывает INT 1Ch, ждет загрузки DOS, затем перехватывает INT 21h и записывается в начало COM- и EXE-файлов. Периодически перехватывает INT 8 и пытается проиграть какую-то мелодию.



Демонстрации вирусных эффектов:

SMILE.CO


SMILE.COM



Snafu

Неопасный резидентный файлово-загрузочный стелс-вирус, заражает EXE-файлы, boot-сектора 1.2Mb дискет и MBR винчестера. Перехватывает INT 13h, 21h, 2Fh. При заражении EXE файлов создает компаньон-файлы с расширением имени "COM". При запуске таких COM файлов на незараженной машине записывается в MBR, при этом пищит спикером компьютера, что является характерным проявлением данного вируса. Вирус копирует свой TSR-код в верхние участки памяти (HIMEM), поэтому обнаружить его присутсвие на машине достаточно сложно.





Sphinx.2751

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера, при загрузке с пораженного диска перехватывает INT 1Ch, затем INT 13h, 21h и при окончании работы программ ищет COM- и EXE-файлы и записывается в их конец. В зависимости от системной даты выводит сообщения:


Bonjour, je suis le SPHINX de la lВgende. Tu veux jouer avec moi ? Mauvaise rВponse... Bonne rВponse... Tant pis, tu jouras quand mИme... Qui marche Е quatres pattes le matin , Е deux pattes le midi et sur trois pattes le soir ? Donne la rВponse en cinq lettres :



ждет ввода строки "homme" и портит сектора дисков.





Starship

Резидентный неопасный стелс -полиморфик -вирус. Поражает COM- и EXE-файлы только на дисках A: и B: при создании файла, MBR винчестера - при запуске зараженного файла. В результате вирус обеспечивает свое присутствие в оперативной памяти компьютера и переносимость на другие компьютеры при минимальном числе пораженных объектов, что несколько затрудняет его обнаружение. Эта идеология имеет и еще одно "достоинство" - при заражении заново создаваемого файла нет необходимости отслеживать критическую ошибку DOS (int 24h).

Вирус записывается в конец файлов, используя при этом полиморфик-алгоритм. При заражении диска располагается в самых последних секторах диска и устанавливает в таблице разбиения диска (Disk Partition Table) новый адрес активного загрузочного сектора: вместо "настоящего" активного boot-сектора таблица указывает на код вируса. Код и расположение MBR и активного boot-сектора остаются без изменений, за исключением трех байт в Disk Partition Table, которые указывают на активный boot-сектор. При обращении к исправленной MBR и последним секторам диска использует "стелс"-механизм.

Вирус инфицирует память при загрузке с зараженного диска. Часть своей TSR-копии помещает в таблице векторов (0000:02С0), области данных BIOS (0000:04B0), а основной участок кода - в видеопамяти (BB00:0050). Затем перехватывает INT 13h, 20h, 21h, 27h.

После загрузки операционной системы вирус следит за запуском и завершением программ. Если программа при завершении выгружается из памяти (Exit - INT 20h, INT 21h и AH=0 или 4Ch), то вирус перемещает свой код из видеопамяти в область, занятую выгружаемой программой. Если программа остается резидентной (Keep - INT 27h, INT 21 и AH=31h), то "прикрепляет" свой код к этой программе. Если часть вируса, размещенная в видеопамяти, испорчена, то вирус заново считывает испорченный код с диска (самовосстановление вируса).

В зависимости от своих счетчиков при обращении к дискам вирус проявляется "писком морзянки" и выводит "звезды" на экран. Содержит строку:

>STARSHIP_1<




Демонстрации вирусных эффектов:

STARSHIP.COM



SVC.4644,4661,4677

Резидентные безобидные стелс -вирусы. При старте зараженного файла поражают MBR винчестера, а при обращении к файлам поражают COM-, EXE-, OVL- и SYS-файлы кроме файлов COMMAND.COM и IBM*.*. Лечат файлы при их запуске под отладчиком. Перехватывает INT 8, 13h, 21h. Записывают в CMOS-память начиная с адреса 34h строку типа "SVC 6.0". Содержат тексты:


"SVC.4644,4677": /* (c) 1990-91 by SVC, Vers. 6.0 */ "SVC.4661": /* (c) 1990-91 by Moscow SVC, Vers. 6.0 */







TeaForTwo.1024

Безобидный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 21h и записывается в конец COM-файлов при их запуске или открытии. При обращении к дискетам записывается в их boot-сектор. Содержит строку:

T42 Tea for two !






Telefonica, семейство

Очень опасные вирусы. Записывается в конец .COM- и .EXE-файлов при их выполнении или открытии, MBR винчестера при старте зараженного файла и Boot-сектора дискет при обращении к ним. В файлах зашифрованы. При инсталляции трассируют INT 13h, 21h, 40h и перехватывают INT 21h, причем в своем теле вирус имеет более десятка обработчиков прерывания 21h. Содержат тексты типа:


(C) 1990 Grupo HOLOKAUSTO (Barcelona, Spain) Kampaдa Anti-TELEFONICA: Mejor servicio, Menores tarifas...




Virus Anti - C.T.N.E. (c)1990 Grupo Holokausto. Kampanya Anti-Telefonica. Menos tarifas y mas servicio. Programmed in Barcelona (Spain). 23-8-90. - 666 -



Часть вируса, записываемая в MBR в дальнейшем поражает только сектора дисков и внедряться в файлы не в состоянии. При 190h-й загрузке с зараженного диска вирус стирает информацию на нем и выводит текст:

Campaдa Anti-TELEFONICA (Barcelona)






Tequila, семейство

Резидентные неопасные стелс -полиморфик -вирусы. Записываются в конец EXE-файлов при их запуске и в MBR винчестера при запуске зараженного файла. Первоначальный MBR-сектор и свое продолжение сохраняют в последних секторах логического диска C:, уменьшая в Disk Partition Table размер диска.

Оперативную память инфицируют только при загрузке с зараженной MBR. Перехватывают INT 13h, 1Ch, 21h. В зависимости от своих внутренних счетчиков выводят на экран разноцветную картинку (Mandelbrot fractal set) и фразу:

Execute: mov ax, FE03 / int 21. Key to go on!


Если выполнить рекомендуемое действие, то на экране появится текст:


Welcome to T.TEQUILA's latest production. Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland. Loving thoughts to L.I.N.D.A BEER and TEQUILA forever !





Tequila.5volt

Файловый (не файлово-загрузочный) вариант вируса "Tequila". Перехватывает только INT 21h и не заражает MBR. Пытается инсталлировать свою TSR-копию в UMB. Проверяет имена файлов и не поражает WIN*.*, CHKDSK*.*, BACK*.*. Содержит строку:

This is a beta version of the '-5 Volt' virus. A final and error free one will never follow because I've got enough of viruses. Now a message to the programmers of Turbo Anti Virus: You do a dangerous play with INT 21h in your TSAFE utility. It took me quite a long time to make the virus compatible with TSAFE. Please use clean programming technics in your next version. Today it's a Saturday and a big party with a lot of TEQUILA takes place! Wow!! Greetings to the U.S. Army in Iraq.



Демонстрации вирусных эффектов:

TEQUILA.COM



Terminator.3490

Очень опасный файлово-загрузочный самошифрующийся вирус. Перехватывает INT 21h и записывается в конец COM- (кроме COMMAND.COM) и EXE-файлов при обращении к ним. Периодически затирает сектора дисков строкой "TERMINATED".

Пытается заразить также и boot-сектора дисков, но содержит ошибку и заражения не происходит. Содержит в себе строки:


THE TERMINATOR TERMINATED COMMAND.COM




Non-system disk or disk error Replace and strike any key when ready Disk boot failure




The TERMINATOR -- Boot virus version. Released 15 May 5-15-91, 7.15 pm



.COM .EXE



The TERMINATOR -- Full virus version. Released 15 May 5-15-91, 7.15 pm







Theta, семейство

Безобидные резидентные файлово-загрузочные вирусы. При запуске зараженного файла записываются в MBR винчестера. При загрузке с пораженного диска перехватывают INT 13h, ждут запуска первого EXE-файла, перехватывают INT 21h и затем записываются в конец запускаемых COM-файлов. Никак не проявляются.





Paz.2560

Неопасный резидентный зашифрованный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. Затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Не заражает файлы COMMAND.COM и SCAN.EXE. Уничтожает антивирусные файлы данных CHKLIST.*. В зависимости от текущей даты перехватывает также INT 15h и блокирует функцию Keyboard Intercept (AH=4Fh). Содержит строку:

PAZ, por favor.






Pieck.2016

Неопасный резидентный файловщ-загрузочный вирус. При запуске зараженного файла проверяет версию DOS и работает только под DOS 5.x и 6.x. Вирус записывается в MBR винчестера, перехватывает INT 12h, 13h, 1Ch, 21h и записывается в конец EXE-файлов при их запуске или открытии.

3-го марта выводит сообщение: "Podaj haslo ?", ждет ввода с клавиатуры и, если введено слово "pieck", выводит текст "Pozdrowienia dla wychowankow Pieck'a.", в противном случае выводит: "Blad !".





Plagiarist

Неопасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в boot-cектор диска (A: или C:), с которого была загружена DOS. Затем вирус возвращает кправление программе-носителю.

При загрузке с зараженного диска вирус перехватывает INT 8, ждет некоторое время, затем перехватывает INT 28h, ждет первого вызова INT 28h, перехватывает INT 21h и затем записывается в конец .COM-файлов (кроме COMMAND.COM) при их запуске.

После 175 загрузок с одного и того же зараженного диска перехватывает также INT 17h и при печати заменяет строку "Andy Warhol" на "Ron English".





Playgame, семейство

Неопасные резидентные вирусы, при запуске зараженного файла поражают MBR винчестера. При загрузке с пораженной MBR перехватывают INT 13h, 21h и записываются в конец EXE-файлов при доступе к ним. Содержат строку "CO4DSCCLVSNEHTTBVIF-FIGIIMRAFEMTBR" и не поражают файлы, если первые два символа имени файла содержатся в этой строке (CO*.*, 4D*.*, SC*.*, ...). Вирусы также содержат строку:

[ MK / TridenT ]


В декабре стартуют игру, во время которой выводят сообщения:


HAPPY VIRUS Time to play a game (Use shift keys) You reached level Play again?





Демонстрации вирусных эффектов:

PLAYGAME.COM



Predator (файлово-загрузочные)

Безобидные резидентные полиморфик COM-EXE-MBR-Boot-вирусы. При запуске зараженного файла трассируют и перехватывают INT 13h, 21h и записываются в MBR винчестера. Затем записываются в конец COM- и EXE-файлов при обращениях к ним. Поражают Boot-сектора дискет. При загрузке с пораженного флоппи-диска перехватывают INT 13h и ждут загрузки DOS, затем перехватывают INT 21h и приступают к заражению. Содержат строки:


THE PREDATOR TORPNACSAELCFASVVAPC.VANOCED



Последняя строка содержит части имен файлов (задом наперед), которые не поражаются вирусом: *PROT, SCAN, CLEA*, VSAF, CPAV, NAV, DECO.

Также содержат строки:


"Predator.2248": Predator virus #2 (c) 1993 Priest - Phalcon/Skism "Predator.2424": Predator virus #2 (c) 1993 Here comes the Predator!









PresidentB.1504

Очень опасный резидентный зашифрованный файлово-загрузочный вирус. При запуске заражаенного файла расшифровывает себя, перехватывает INT 13h, 21h и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 12h, 13h, ждет загрузки DOS и перехватывает INT 21h. Затем записывается в конец COM- и EXE-файлов при их запуске или загрузке оверлеев. При обращении к 1.4Mb дискетам заражает их загрузочный сектор. 26-го апреля стирает MBR и выводит текст:

** President B ][ **






Printerceptor

Очень опасный резидентный файлово-загрузочный компаньон -вирус. Перехватывает INT 21h и при запуске .EXE-файлов создает компаньон .COM-файлы. При переходе на новый диск записывает в boot-сектор диска A: троянскую программу и сохраняет себя в последних секторах диска. При загрузке с такого диска вирус сканирует сектора диска на EXE-файлы и записывает себя вместо них. Через два месяца после заражения запрещает обращение к принтеру (устанавливает INT 17h на команду IRET). Содержит строку:

Printerceptor






QPHS.2931

Неопасный резидентный файлово-загрузочный вирус. При запуске зараженного файла вирус записывается в MBR винчестера, перехватывает INT 9, 13h, 21h и остается резидентно в памяти. При заражении MBR шифрует Disk Patrition Table, при обращениях к MBR реализует стелс-механизм и возвращает MBR в исходном виде.

При загрузке с зараженного диска вирус перехватывает INT 8,9,12h,13h, ждет загрузки DOS, а затем перехватывает INT 21h. Вирус использует INT 12h для того, чтобы замаскировать себя в памяти при загрузке DOS.

При вызовах INT 21h вирус перехватывает запуск, открытие и поиск COM- и EXE-файлов. Вирус записывается в конец COM- и EXE-файлов при обращениях к ним на дисках A: и B: и лечит зараженные файлы на остальных дисках.

Вирус обращает особое внимание на запуск программ LOGIN.EXE: сохраняет командную строку и символы, вводимые с клавиатуры при запуске LOGIN.EXE и таким образом получает доступ к именам и паролям пользователей сети.

Вирус перехватывает ввод с клавиатуры. Если введена строка "QPHS", то вирус выводит на экран строки, перехваченные при запуске LOGIN.EXE. Если введена строка "PERFECT", то вирус удаляет себя из MBR.





Raiden.1433

Неопасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного диска перехватывает INT 13h, 1Ch, 4Fh, ждет загрузки DOS, затем перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. При обращениях к зараженной MBR (INT 13h) вызывает свою стелс -процедуру.

В некоторых случаях (в зависимости от командной строки) лечит файл-носитель. При вызове INT 4Fh AX=666h выводит текст:


+---------------------------------------+ | MBR VIRUS V.01 NECROSOFT CORPORATION | | WRITEN BY RAIDEN COPYRIGHT (C) 1996 | +---------------------------------------+







Rainbow, семейство

Безобидные резидентные стелс файлово-загрузочные вирусы. Перехватывают INT 12h, 13h, 21h, 2Fh и записываются в конец COM- и EXE-файлов при обращениях к ним. Записываются в MBR винчестера и boot-сектора дискет. Содержат строки:


HiAnMiT - roy g biv *4U2NV* 04/12/94







Rajaat.518

Опасный резидентный файлово-загрузочный вирус. При запуске зараженного айла записывается в MBR винчестера, при этом переадресует активный boot-сектор (см. вирус Starship ). При загрузке с зараженного диска перехватывает INT 21h и записывается в конец .COM-файлов при записи в них (INT 21h, AH=40h). Некорректно заражает COMMAND.COM, это может привести к зависанию системы при загрузке DOS. Содержит строку:

[Andropinis] by Rajaat






Rasek, семейство

Очень опасные самошифрующиеся файлово-загрузочные вирусы. При запуске зараженного файла записывают себя в MBR винчестера, затем перехватывают INT 13h, 12h. Прерывание INT 13h используется для реализации стелс механизма при чтении пораженной MBR. Вирусы также записывают в Boot-сектора флоппи-дисков программу, которая при загрузке с такого флоппи стирает FAT винчестера.

Прерывание INT 21h используется вирусом для заражения COM- и EXE-файлов при их запуске, вирус записывается в конец файлов. В теле вируса содержится строка "AND.COM", вирус ищет эту строку в имени файла и не поражает такие файлы (COMMAND.COM). В теле вирусов также содержится и другие строки:


"Rasek.1310": RASEK v1.1,from LA CORUеA(SPAIN).Jan93 "Rasek.1489": RaseK v2.1,from LA CORUеA(SPAIN).Mar93 "Rasek.1489.b": пRASEKо v3.0,from La Coruдa(SPAIN).Ap93 "Rasek.1490": RaseK v2.0,from LA CORUеA(SPAIN).Mar93 "Rasek.1492": пRаseKо v3.1,from La Coruдa(SPAIN).Ap93







Renegade, семейство



Renegade.1176

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в середину EXE-файлов при их запуске, открытии и закрытии. По 17-м числам выводит сообщение:

(C) Renegade 1994. Hello Hacker`s !!!


Renegade.4509

Очень опасный резидентный зашифрованный файлово-загрузочный вирус. Перехватывает INT 8, 13h, 21h и записывается в середину COM- и EXE-файлов при их запуске или открытии. Не заражает файлы:

WEB AIDS ADINF HIEW CHKDSK SCAN VSAFE MSAV CLEAN -V


Вирус записывается также в MBR винчестера.

Проявляется различными способами: портит файлы, вызывает какие-то видео-эффекты, выводит тексты:

Say THANKS to lovely Dr.Web for damage this file...

Please wait ...Hey , LAMER ! Are you all right ?.. Not so good ?..Oh, don't be afraid my little baby ,angry wolf if far away !...... bUt I aM sTiLL HeRe ! AnD i Am HuNGRrry ! Aaarrrgghhh !... YoU iS _fOxPro or pAsCAL_pROGraMmeR , iSn't It ?... Oogghh , YeEsss ! I WaNt to EaT YoU NoWww ! NoW YoU WiLL bEcOme ViCTiM of HACKER's REVENGE !



Вирус также содержит текст:

(C) Renegade 1995.






Rex.1637

Опасный резидентный вирус. Перехватывает INT 16h, 21h и при открытии файлов ищет COM- и EXE-файлы текущего каталога и записывается в их конец. Иногда повторяет символы, вводимые с клавиатуры. Содержит ошибки и может "повесить" компьютер, содержит строки:


REX *.com *.exe







Riot файлово-загрузочные

Безобидные резидентные файлово-загрузочные вирусы. При запуске зараженного файла записываются в MBR винчестера, при загрузке с пораженного диска перехватывают INT 13h, затем перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Содержат строку:

(c) Metal Militia/Immortal Riot






Mity.1982

Неопасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывает свой код в последние сектора диска C: и модифицирует Partition Table так, что адрес активного boot-сектора указывает на код вируса (см. вирус "Starship" ). Затем вирус возвращает управление программе-носителю.

При занрузке с пораженного диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем заражает запускаемый COM- и EXE-файлы. Вирус записывается в начало COM- и середину EXE-файлов.

В зависимости от своих счетчиков выводит картинку:


#### #### ######## ########## ### ### ###### ###### ######## ########## ##### ##### ############### #### #### ######### #### ### #### #### #### #### #### #### #### #### ##### #### #### #### #### #####





Демонстрации вирусных эффектов:

MITY.COM



MJ.1513

Резидентный очень опасный вирус, записывается в MBR винчестера при старте зараженного файла и в .COM-файлы при их запуске. Старый MBR-сектор сохраняется по адресу 0/0/2 (головка/трек/сектор), записывается в конец .COM-файлов.

При старте .COM-файла вирус устанавливает в памяти свою TSR-копию, выдает сообщение "Bad command or file name" и возвращается в DOS. На 100-й загрузке с пораженного винчестера стирает его первые 16 секторов. При каждом 256-м считывании с диска (INT 13h) подставляет в считанный блок по адресу C8h слово "mj". Перехватывает INT 13h, 1Ch, 21h.





Mul.452

Безобидный резидентный файлово-загрузочный вирус. При запуске зараженного файла вирус записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 1Ch, ждет загрузки DOS, перехватывает INT 21h и затем записывается в конец запускаемых COM- и EXE-файлов. Вирус никак не проявляет себя.





MzBoot.464

Безобидный резидентный файлово-загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и Boot-сектора дискет. При обращении к сектору, содержащему заголовок EXE-файла ('MZ' в начале сектора) записывает себя в область нулевых байт (если такая существует) и корректирует поля заголовка EXE. Таким образом вирус заражает EXE-файлы. Содержит в себе тексты: "MzBoot" and "(c) Андрюшка".





Narcosis.1431

Очень опасный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 21h и записывается в конец COM- и EXE-файлов при обращенрии к ним, записывается в MBR винчестера и boot-сектора дискет. 9-го июня стирает сектора винчестера. Содержит строки:


[Narcosis] (c) 1994 Evil Avatar







Natas, семейство

Очень опасные файлово-загрузочные резидентные полиморфик -вирусы, перехватывают INT 13h, 21h и записываются в MBR винчестера, boot-сектора дискет и конец COM- и EXE-файлов при обращении к ним. Не поражают файлы, если они открываются утилитами PKZIP/PKUNZIP, LHA и ARJ. В зависимости от своих внутренних счетчиков форматируют сектора дисков. Содержат строку "BACK MODEM" и следующие строки:


"Natas.4744,4746": Natas "Natas.4766": Keep my flesh free from sin "Natas.4774": Time has come to pay (c)1994 NEVER-1 "Natas.4786": Time has come to pay (c)1994 NEVER-1 SANDRINE B. "Natas.4988":




Yes I know my enemies They're the teatchers who taught me to fight me Compromise, conformity, assimilation, submission Ignorance, hypocrisy, brutality, the elite All of whitch are American dreams (c) 1994 by Never-1(Belgium Most Hated) Sandrine B.



Natas.4926

Не заражает секторов дисков. Содержит тексты:


SEXY ATHEN ##@ FoeTuS 5.xx BeTa @##







Neurobasher, семейство

Неопасные резидентные стелс полиморфик файлово-загрузочные вирусы. При запуске зараженного файла или при загрузке с пораженного диска перехватывают INT 13h, 21h и записываются в конец EXE-файлов при их запуске или открытии, поражают флоппи-диски при чтении/записи с/на них. Записываются в MBR винчестера при первом запуске зараженного файла.

Через три месяца после заражения системы вирусы выводят текст:

"Neurobasher.a": <HAVOC> by Neurobasher'93/Germany - GRIPPED BY FEAR - UNTIL DEATH US DO PART !

"Neurobasher.b": <HAVOC> by Neurobasher'93/Germany ДGRIPPEDДBYДFEARДUNTILДDEATHДUSДDOДPARTД





NexivDer.3888

Очень опасный резидентный файлово-загрузочный полиморфик-вирус. Заражает COM-файлы, boot-сектор диска C: и boot-сектора дискет. Код вируса зашифрован полиморфик-циклом как в файлах, так и в boot-секторах.

При запуске зараженного файла вирус записывается в boot-сектор диска C: и возвращается в DOS. Boot-сектор диска C: также заражается при загрузке с зараженной дискеты. При загрузке с зараженного винчестера или флоппи-диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в boot-сектора дискет при обращении к ним и в конец COM-файлов при их запуске.

Вирус использует довольно сложный механизм при заражении COM-файлов: считывает 20h байт из начала файла (заодно проверяет, что формат файла не является EXE), перехватывает INT 3, INT 13h (еще одна процедура перехвата INT 13h) и отдает управление первоначальному обработчику INT 21h. Затем ждет момента загрузки файла (сравнивает считываемые по INT 13h сектора с 20h байтами заголовка файла) и записывает вместо первого байта запускаемого кода команду CCh (вызов INT 3).

Таким образом, при запуске файла первой командой идет вызов INT 3, вирус перехватывает его, восстанавливает этот первый байт, перехватывает INT 1 (трассировка) и затем трассирует файл. При трассировке вирус пропускает 256 или более выполняемых команд, затем ждет команду JMP или CALL и записывает вместо нее команду перехода на тело вируса. Затем шифрует себя и записывает в конец файла.

В результате вирус записывает команду перехода на себя в середину файла, а заголовок файла не изменяется.

При заражении файлов вирус проверяет различные условия, чтобы не испортить файл, однако в некоторых случаях файл все равно оказывается испорченным. В результате ошибки при заражении boot-сектора диска C: вирус стирает на нем системную информацию, если число секторов на треке меньше 21.

Более никак не проявляется, содержит строку:

Nexiv_Der takes on your files






NTMY.1722

Неопасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера, затем перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. При запуске с зараженного диска перехватывает INT 1Ch, ждет загрузки DOS и затем перехватывает INT 21h для заражения файлов.

В зависимости от своего внутреннего счетчика вирус перехватывает также INT 8, 14h, 17h и заменяет символы 'a' и 'A' на пробел при печати и при выводе в COM-порты. Периодически вирус стирает символы 'a' и 'A' на экране.

Вирус содержит строки:


^^^^^^^^^^^^^^^^ NICE TO MEET YOU -=VIRUS=- V 3.0 (C) March 1991 ^^^^^^^^^^^^^^^^





Демонстрации вирусных эффектов:

NTMY.COM



Nutcracker, семейство

Это семейство содержит вирусы различных типов, написанные одним и тем же автором. Семейство разделяется на под-семейства: "Nutcracker.AB", "Nutcracker.Boot", "Nutcracker.Punisher" и "Nutcracker.SnowFall".

Nutcracker.AB#

Семейство достаточно сложных резидентных файловых и файлово-загрузочных вирусов. Используют различные методы заражения файлов, секторов и оперативной памяти. Все вирусы (кроме "Nutcracker.AB1") очень опасны, используют различные способы порчи данных.

Заражение файлов в середину

Некоторые из вирусов семейства ("Nutcracker.AB1,Antarex,AB2") используют достаточно редкий способ заражения файлов: они считывают блок данных из середины файла, шифруют его и записывают в конец файла. Некоторые вирусы упаковывают этот блок данных перед тем, как зашифровать его. Затем вирус шифрует себя используя полиморфик-алгоритм, записывает себя в середину файла, а процедуру расшифровки - в конец файла. Процедура расшифровки может содержать до 23 циклов, которые последовательно расшифровывают друг друга. "Nutcracker.AB1" использует только один цикл.


Файл перед Зараженный заражением файл +----------+ +----------+ | | |jmp |---+ | | | | | |----------| |----------| | | |----+ |virus | | зашифрованное тело вируса |----------| | |----------| | | | | | | | | | | | | | | | | | | | +----------+ | |----------| | +-->|host code | | блок данных из середины файла |----------|<-+| |last loop | || циклы расшифровки |----------| || |.......... --+| |----------|<-+| |2nd loop | || |----------|<--+ |1st loop | | +----------+--+





Троянские SYS-файлы и заражение SYS-файлов

"Nutcracker.AB1.Antarex.2620" и "Nutcracker.AB2" при заражении SYS-файлов записывают в их конец троянскую программу, которая не распространяет вируса, но уничтожает CMOS и перезагружает компьютер:


"Antarex.2620": по 12-м числам ежемесячно "AB2.2890": если вируса нет в памяти и в зависимости от системного таймера





Остальные "Nutcracker.AB2" заражают SYS-файлы обычным путем: записывают в конец файла целиком свой код (незаширофванный) и модифицируют SYS-заголовок. Зараженные SYS-файлы при их загрузке в память запускают код вируса.

Старшие версии "Nutcracker.AB2" шифруют свой код в SYS-файлах тем же образом, что и при заражении COM- и EXE-файлов.



Порча EXE-файлов и подкаталогов

"Nutcracker.AB1.Antarex.2620" и "Nutcracker.AB2" портят EXE-файлы длиной более 64K. Вирусы перехватывают INT 13h и если сектор содержит заголовок EXE-файла ('MZ' в начале сектора) и размер EXE-файла больше 64K (вирус проверяет соответствующие поля в заголовке), то вирус шифрует этот сектор, заменяет 'MZ' на 'AB' и сохраняет сектор на диск.

В результате первый сектор больших EXE-файлов оказывается испорченным, и такие файлы, скорее всего, завесят систему при запуске на 'чистом' компьютере. Однако при наличии вируса в памяти эти файлы вполне работоспособны - вирус расшифровывает испорченные сектора 'на лету', и файлы запускаются без проблем.

Старшие версии "Nutcracker.AB2" шифруют вместо EXE-файлов сектора дисков, содержащие списки файлов в подкаталогах.

При лечении системной памяти AVP правит код вируса таким образом, что вирус начинает расшифровывать зашифрованные данные. То есть для восстановления зашифрованных данных необходимо вылечить вирус в памяти при помощи AVP и просканировать все файлы во всех подкаталогах без перезагрузки компьютера.



Строки текста

Вирусы содержат строки:


"Nutcracker.AB1": Dedicated to N.L.A. - my little baby. (c) by Kind Nutcracker(AB1) "Nutcracker.AB1.Antarex.a": ANTAREX C:*.* Run me, pleace! (c) by Nutcracker(AB1) "Nutcracker.AB1.Antarex.b": ANTAREX C:*.* (c) by Kind Nutcracker(AB1) "Nutcracker.AB2.2890": Nutcracker(AB2) "Nutcracker.AB2.3472": Universal Pathologic Device by Nutcracker(AB2) "Nutcracker.AB2.4540": Universal Pathologic Device by Nutcracker(AB2) the Sun is gone but I have a light... "Nutcracker.AB2.5375,5440":




This Universal Pathologic Device dedicated to Любовь Н. I hate the envy, the meanness, the riches, the trea, the bluntness, the ignorance, the lie, the servility, the mistrust and the hatred. Nutcracker(AB2)




"Nutcracker.AB2", старшие версии: Nutcracker(AB2): Welcome to the Hell "Nutcracker.AB2.6996": Nutcracker(AB2): lives forewer! "Nutcracker.AB3": Nutcracker(AB3) "Nutcracker.AB4": Sombre Nutcracker(AB4) "Nutcracker.AB5": Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes! Only the Hope dies last!.. "Nutcracker.AB6.a": Dreary Nutcracker(AB6) Lives C:*.* Любовь Н. "Nutcracker.AB6.b": Dreary Nutcracker(AB6) Lives Again C:*.* Любовь Н. "Nutcracker.AB6.c": Dreary Nutcracker(AB6) C:*.* Любовь Н. "Nutcracker.AB6.d": Dreary Nutcracker(AB6) lives forewer ! C:*.* Любовь Н. "Nutcracker.AB7": I'm Nutcracker(AB7)!





Nutcracker.AB0

Очень опасные резидентные загрузочные вирусы. Перехватывают INT 8, 15h, 40h и записываются в MBR винчестера и boot-сектора дискет. Вирусы поражают MBR при загрузке с зараженной дискеты, при этом вирусы переопределяют адрес активного boot-сектора диска и записывают по этому адресу свой код. Дискеты заражаются при обращениях к ним. При заражении вирус записывает первоначальный сектор и свое продолжение в дополнительные сектора винчестера (LandZone?) или форматирует дополнительный сектор на дискете. При заражении MBR вирус использует прямые вызовы портов винчестера.

При загрузке с зараженного диска вирус перехватывает INT 8, 15h, 40h, ждет загрузки DOS, временно перехватывает INT 21h, ждет выполнения любой программы и затем копирует свой код в UMB (если такая память присутствует) или добавляет к последнему блоку обычной DOS-памяти. Для того чтобы перехватить INT 15h вирус правит код ядра DOS: записывает туда вызов INT 7Eh и перехватывает INT 7Eh (т.е. INT 15h). Перехватив INT 15h, вирус контролирует внутренние вызовы BIOS при обращениях к клавиатуре (ждет нажатия Alt-Ctrl-Del) и к дискам (вызывает стелс-программу).

Проявляется несколькими способами. При нажатии на Alt-Ctrl-Del вирус в зависимости от своих флагов и системного таймера стирает сектора винчестера. В зависимости от системного таймера запускает по экрану изображение прыгающего шарика (см. "Ping-Pong" ). Если при загрузке с зараженного диска произошла ошибка, вирус расшифровывает и выводит текст, напоминающий стандартное сообщение DOS:


Non-system disk or disk error. Replace and press strike any key when ready.



7 апреля расшифровывает и выводит текст:

0S0U0P0E0R0U0N0K0N0O0W0N0 was done by Lord Nutcracker(AB0).




Nutcracker.AB1

Файловый полиморфик-вирус. Трассирует и перехватывает INT 21h, затем заражает COM- и EXE-файлы при их запуске, открытии, переименовании и смене их атрибутов. При заражении вирус проверяет имя файла и заражает только файлы с расширениями COM и EXE. При заражении EXE-файлов переводит их в COM-формат.

При заражении системной памяти вирус проверяет видеокарту, и если она поддерживает режим перерисовки (video refresh), то перехватывает INT 8 (таймер) и проявляется видео-эффектом: разрешает/запрещает перерисовку экрана.



Nutcracker.AB1.Antarex

Файловые полиморфик-вирусы. Трассируют INT 21h, 2Fh, перехватывают INT 8, 21h, затем заражают COM- и EXE-файлы при обращениях к ним. Если при заражении системной памяти произошла ошибка, то вирусы стирают CMOS и перезагружают компьютер. Перед тем, как отдать управление программе-носителю вирус, ищет файлы в текущем каталлоге диска C: и заражает их.

При заражении файла вирусы проверяют его имя и заражают только файлы с расширениями COM или EXE, "Antarex.2620" также заражает .BIN- и .SYS-файлы. Файлы формата EXE переводятся в формат COM.

В зависимости от текущего значения системного таймера вирусы проигрывают мелодию "я на солнышке сижу".

"Antarex.2620" портит EXE-файлы и заражает SYS-файлы троянской программой (см. выше).



Nutcracker.AB2

Известно около 30 вирусов "Nutcracker.AB2", они имеют длины: 2890, 2990, 3021, 3472, 4540, 5375, 5413, 5440, 5589, 6082, 6100, 6425, 6500, 6727, 6996, 7008, 7033, 7034 байт. Являются очень опасными файлово-загрузочными вирусами. Поражают COM-, EXE- и SYS-файлы, MBR винчестера и boot-сектора дискет.

При запуске зараженного файла или загрузке с зараженной дискеты вирус записывается в MBR винчестера. Затем вирус отдает управление программе-носителю (в случае зараженного файла) или остается резидентным в памяти (при загрузке с зараженной дискеты или MBR).

При заражении системной памяти вирус копирует свое тело по адресу 7C00:0000, перехватывает INT 1Ch и возвращает управление первоначальному сектору (boot или MBR). Обработчик INT 1Ch перехватывает момент инсталляции DOS, перехватывает INT 13h, 21h (плюс к INT 1Ch) и при выполнении первой же программы "приписывает" свой TSR-код к последнему блоку памяти, уже занятому какой-либо программой или драйвером. В результате вирус не выделяет себе отдельный блок памяти, а паразитирует на каком-либо уже существующем блоке. Если есть свободный блок UMB, то старшие версии вируса записывают свои резидентные копии в этот блок.

Обработчик INT 21h перехватывает обращения к файлам и заражает COM-, EXE- и SYS-файлы, записывая копии вируса в середину или конец файла, или помещает троянскую программу в конец SYS-файлов (см. выше) в зависимости от версии вируса.

Перехват INT 13h используется для заражения дискет, стелс-процедуры, порчи EXE-файлов и подкаталогов (см. выше) в зависимости от версии вируса.

INT 1Ch используется для проигрывания мелодии.

Младшие версии вируса применяют антиотладочные приемы и завешивают систему под отладчиком и на Pentium PC. Старшие версии вируса начиная с "Nutcracker.AB2.5375" также перехватывают INT 28h и в зависимости от своих счетчиков ищут файлы в текущем каталоге и заражают их.

"Nutcracker.AB2.5413,5440,5589,6082,6100" заражают не только MBR винчестера, но и активный boot-сектор (как правило этим сектором является boot-сектор диска C:).

Начиная с "Nutcracker.AB2.5375" не шифруют заголовки EXE-файлов. Версии "Nutcracker.AB2.6082" и старше являются полиморфик-вирусами также и в boot/MBR-секторах.

"Nutcracker.AB2.6082,6100,6500" пакуют блок заражаемого файла (см. выше) перед тем, как зашифровать его и сохранить в конце файла. В результате длина файла после заражения может оказаться меньше, чем сумма длин вируса и файла до заражения.

Начиная с "Nutcracker.AB2.6425" шифруют подкаталоги, шифруют себя в SYS-файлах тем же способом, что и в COM- и EXE-файлах, трассируют INT 13h, проверяют имена файлов и не заражают антивирусы и некоторые утилиты. Список имен файлов выглядит следующим образом:

SCAN CLEAN VSAFE NAV AVP AIDS GUARD NOD F-PROT DESINF VIRSTOP VSHIELD FINDVIRU VIVERIFY TB RKSD COMMAND SETVER CHKLIST ADINF SMARTCHK ANTI-VIR CHKDSK PKZIP PKLITE WEB DRWEB



Nutcracker.AB3,AB4,AB5

Файловые стелс-вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при их запуске, открытии и переименовании. При создании файлов вирусы запоминают соответствующий handle и заражают файлы при их закрытии. Для маскировки своего тела используют стелс-процедуры при чтении из зараженных файлов и при вызове функций FindFirst/Next и LseekEnd.

"Nutcracker.AB4" лечит файлы под отладчиком. "Nutcracker.AB5" при инсталляции трассирует INT 21h. Также использует антиотладочные методы, в результате чего не работает под отладчиком и на Pentium PC.

При открытии *.?AS-файлов (.PAS, .BAS) с вероятностью 1/9 уничтожают их. Уничтожают также некоторые другие файлы (базы ADINF?). "Nutcracker.AB5" уничтожает *.MS-файлы.

"Nutcracker.AB3" 12 января и 23 июля стирает сектора диска C:. При заражении файлов запоминает текущую дату и через 23 дня перехватывает INT 10h и замедляет работу компьютера (пустой цикл при каждом вызове INT 10h).

"Nutcracker.AB4" записывает в MBR винчестера троянскую программу, которая 12 января и 23 июля форматирует сектора диска C:. Вирус также заводит счетчик в boot-секторах дисков и увеличивает его при запуске программ. Когда счетчик достигает значения 40h вирус перезапускает его и помечает один из кластеров диска как сбойный.

"Nutcracker.AB5" также записывает в MBR троянскую программу, которая увеличивает свой внутренний счетчик при каждой перезагрузке. При достижении значения 511 троянец форматирует винчестер, стирает CMOS и выводит сообщение:

Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!




Nutcracker.AB6

Файлово-загрузочные стелс-вирусы. При запуске зараженного файла записываются в MBR винчестера, перехватывают INT 13h, 17h, 21h, ищут и заражают COM- и EXE-файлы на диске C:, после чего остаются резидентно в памяти. Затем записываются в конец COM- и EXE-файлов при обращениях к ним.

При загрузке с зараженной MBR вирус перехватывает INT 17h, 1Ch, ждет загрузки DOS и перехватывает INT 13h, 21h. Вирус не уменьшает размер DOS-памяти (слово по адресу 0000:0413), а самостоятельно корректирует цепочку MCB.

Вирусы используют INT 13h для маскировки зараженной MBR. Перехватывая INT 17h, периодически меняют символы при их печати. Особое внимание вирусы уделяют утилите CHKDSK и при ее запуске отключают некоторые ветви стелс-процедуры.

Уничтожают файлы *.FW* и *.?AS, также пытаются (безуспешно) уничтожить *.MS-файлы.

12 января при загрузке с зараженной MBR форматируют винчестер, стирают CMOS и выводят сообщения:


"Nutcracker.AB6.a": Dreary Nutcracker(AB6) Lives "Nutcracker.AB6.b": Dreary Nutcracker(AB6) Lives Again "Nutcracker.AB6.c": Dreary Nutcracker(AB6) "Nutcracker.AB6.d": Dreary Nutcracker(AB6) lives forewer !





Nutcracker.AB7

Файлово-загрузочный стелс-вирус. Заражает EXE-файлы, MBR-винчестера и boot-сектора дискет. При запуске зараженного файла записывается в MBR винчестера и возвращает управление программе-носителю.

Вирус остается резидентно в памяти только при загрузке с зараженной дискеты или MBR, при загрузке с дискеты вирус также поражает MBR винчестера. При заражении памяти вирус копирует себя по адресу 7C00:0000, перехватывает INT 1Ch, ждет загрузки DOS и перехватывает INT 21h. При запуске первой программы вирус выделяет себе блок обычной или UMB-памяти, копирует себя в этот блок и перехватывает INT 9, 13h, 15h, 21h, 2Fh, 40h.

INT 9 (клавиатура) : вирус перехватывает Alt-Ctrl-Del и заражает MBR винчестера непосредственно перед перезагрузкой. В результате вирус может заразить MBR после лечения - в тот момент, когда пользователь нажимает Alt-Ctrl-Del. Таким образом, для полного удаления вируса из системной памяти недостаточно "вылечить" обработчики INT 13h и INT 21h, небходимо также деактивировать и INT 9.

INT 13h : содержит стелс-процедуру для маскировки зараженных секторов.

INT 15h : обрабатывает несколько системных PCMCIA-вызовов.

INT 21h : перехватывает DOS-функции Execute, Create, Close и FindFirst/Next ASCII. При запуске файлов вирус заражает MBR, при создании файла вирус запоминает его handle и заражает файл при закрытии. Функции FindFirst/Next используются вирусом для маскировки длин зараженных файлов. Заражаются только EXE-файлы длиной до 64K, при заражении вирус переводит их в COM-формат.

INT 2Fh : вирус перехватывает функцию GetDiskInterrupt (AH=13h) и лечит при этом MBR винчестера. Этот прием, видимо, направлен против антивирусных утилит, проверяющих диски на наличие изменений. Вирус удаляет себя из MBR, если такая утилита пытается получить прямой доступ к диску, а затем опять заражает MBR при запуске любой программы (INT 21h) или при перезагрузке (INT 9).

INT 40h : используется для заражения дискет и реализации стелс-механизма.

При загрузке с зараженного диска вирус проверяет системную дату и 12 января выводит сообщение:

I'm Nutcracker(AB7)!




Nutcracker.Boot

Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и диска C:. При чтении или записи шифрует сектора, содержащие список файлов в подкаталоге, при этом использует рас/зашифровку "на лету". Содержит байт-опознаватель ABh.



Nutcracker.Punisher

Очень опасные резидентные загрузочные стелс-вирусы. Записываются в MBR винчестера и boot-сектора дискет. Являются "усеченными" вариантами вируса "Nuctracker.AB7": перехватывают тот же набор прерываний и используют те же приемы заражения дисков (кроме заражения файлов).

12 января стирают информацию на дисках и выводят тексты:


"Punisher.a": The Punisher in award for your self-confidence! "Punisher.b": The Punisher II in award for your self-confidence again!



Содержат также текст:

(c) 1994 by Dismal Nutcracker




Nutcracker.SnowFall

Неопасные резидентные вирусы. Перехватывают INT 8, 21h и записываются в конец COM- и EXE-файлов при обращениях к ним. В зависимости от своих счетчиков вызывают эффект "падающего снега", если в этот момент запустить какую-либо программу, вирусы расшифровывают и выводят текст:

Given program was generated in BrPI (c) 1994 The Snowfall.




Демонстрации вирусных эффектов:

NUTCRACK.COM



Oeur.3072

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При инсталляции в системную память перехватывает INT 13h, 21h, F5h (при загрузке с пораженого диска перехватывает также INT 1Ch). При вызове функции DOS ChDir вызывает INT F5h, которое указывает на подпрограмму заражения файлов. Эта подпрограмма ищет EXE-файлы и записывает вирус в их конец. INT 13h используется для реализации стелс -алгоритма.

В октябре вирус записывает в сектора дисков свой код, начинающийся со строки "oeur934". Содержит строки текста, которые выводятся (задом наперед) по пятницам:


$?! ynnuf uoy erA $.akrakurD ... eis im izduN $.draobyeK ... em ssiK $!!! EVITCAOIDAR si KSID DRAH ruoY $!!! em KCUF ton oD $:A evird otni AZZIP tresnI ! yrgnuh ma J $setteksid owt era :A evird nI ! gninraW $$ejeiwezdr rosecorp jowT $emsat agaicw :C ajcats agawU $tceted rosecorp 4XD687 oN ! gninraW $yob diputs uoY $.K ZSUIRAM ... .J ECZSEINGA ejukydyd asuriw ogeT $AGA evol J $noisrev SOD tnerrocnI $selif erom oN $$selif desolc ynam ooT $noitcerder etacilpuD $hctamsim egap edoC $deinad sseccA $sroloc eerhct si AGV ruoY $ydaer ton SME $SURIV rof yromeM etacolla tonnaC $sretemarap KCATS dilavnI $fys ot AGIMA $moniks creimS $$LUCSOK zrpeiP $hcanalg w eizdjyzrp suzeJ $NATAS EVA $azorgz oT $aselaW z zcerP $!! corw AGA $RAWONAM evol J $daed si - PAR - OKSID - ONHET $yladep ot ylap esyL $ycicam jem do zcerp eceR $! iwoloi $?! ynnuf uoy erA $.akrakurD ... eis im izduN $.draobyeK ... em ssiK







Olga.483

Очень опасный резидентный файлово-загрузочный вирус. Записывается в MBR винчестера и заголовки EXE-файлов, если там есть свободное место. Длина EXE-файлов при этом не увеличивается. При старте зараженного файла вирус записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 13h и затем заражает заголовки EXE-файлов. 27-го декабря стирает сектора винчестера. Содержит строку:

SGB:Olga++






OneHalf, семейство

Очень опасные резидентные файлово-загрузочные полиморфик -вирусы. При запуске заражают MBR винчестера, при загрузке с пораженного диска перехватывают INT 13h, 1Ch, 21h и записываются в COM- и EXE-файлы при обращении к ним. Не заражают файлы: SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK.

Код расшифровщика этих вирусов разбросан по всему файлу со случайными смещениями (см. "Bomber" ).

При заражении винчестера вирус считывает его MBR и сканирует таблицу разбиения диска (Disk Partition Table). В ней он ищет последний DOS'овский диск - логический диск (FAT-12/FAT-16/BIGDOS) или Extended partition, и когда находит, подсчитывает номер первого и последнего цилиндра найденного диска (или Extended partition). При этом вирус довольно грамотно обрабатывает диски, имеющие более 1024 цилиндров и не вписываются в стандарты INT 13h. Вирус запоминает адреса этих цилиндров и заражает винчестер.

Затем при загрузке с зараженного винчестера вирус шифрует два последних цилиндра диска, при следующей загрузке - еще два и т.д., пока не дойдет до первого цилиндра. При этом вирус использут адреса первого и последнего цилиндров диска, которые запомнил при заражении винчестера. Когда количество зашифрованных цилиндров перевалит за половину диска, вирус сообщает (в зависимости от текущей даты и своего "поколения"):


Dis is one half. Press any key to continue...



Таким образом, чем чаще перезагружается зараженный компьютер, тем больше данных оказываются зашифрованными.

После загрузки в память вирус расшифровывает/зашифровывает эти сектора "на лету", поэтому пользователь не замечает того, что его данные испорчены. Однако если вылечить MBR, то все данные оказываются потерянными.



"OneHalf.3518" не шифрует себя в файлах. Выводит текст:


A20 Error !!! Press any key to continue ...





"OneHalf.3544.b" не заражает файлы: AIDS*.*, ADINF*.*, DRWEB*.*, ASD*.*, MSAV*.*. Выводит сообщение:


Dis is TWO HALF. Fucks any key to Goping...





"OneHalf.3544.c" не шифрует секторов, выводит текст:


Disk is Tpu half. (Bepx, Hu3 u Pe6po)





Вирусы также содержат строки:


"OneHalf.3544.a": Did you leave the room ? "OneHalf.3544.b": User is loh ! "OneHalf.3577": DidYouLeaveTheRoom?





OneHalf.Madjid

Не шифрует свой код, однако шифрует сектора винчестера так же, как и "настоящий" OneHalf. Выводит текст:


OHHHHH... MADJID Here is very dark. HELP ME... HELP ME... HELP... I am here .They kill the love .I am solitary . Press RETURN for continue









Orphan.174

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженого файла записывается в MBR винчестера. При этом копирует свой код в свободное место в MBR и правит код стандартного загрузчика таким образом, чтобы получить управление при загрузке системы. Такой способ заражения MBR корректен только в случае стандартного загрузчика - если в MBR содержится какой-либо нестандартный код, то он будет испорчен.

При загрузке с зараженного диска вирус копирует себя в таблицу векторов прерываний, перехватывает INT 13h и затем записывается вместо заголовка EXE-файлов при их копировании на флоппи-диски (файлы оказываются необратимо испорченными).





Patras, семейство

Опасные резидентные файлово-загрузочные вирусы. При запуске зараженного файла записываются в MBR винчестера ("Patras.2346") или в boot-сектор диска C: (остальные вирусы) и возвращают управление программе-носителю. При загрузке с зараженного диска перехватывают INT 8, ждут загрузки DOS, выделяют себе блок DOS-памяти, копируют туда свой код и перехватывают INT 21h. Затем вирусы записываются в конец запускаемых .EXE-файлов. После заражения уничтожают файл CHKLIST.MS.

После 60-ти заражений перехватывают INT 10h и проявляются различными эффектами: пищат динамиком компьютера, запускают по экрану "сердечки" (03 ASCII), выводят сообщения:


A lovely heart fell from the sky !!! KARNAVALI OF PATRAS !!! *** PATRAS H/Y ***







Kaczor.4444

Неопасный резидентный файлово-загрузочный полиморфик -стелс -вирус. Трассирует и перехватывает INT 13h, 21h и записывается в MBR винчестера и конец EXE-файлов на флоппи-дисках при обращении к этим файлам. При обращении к зараженным файлам на винчестере лечит их. При загрузке с зараженного MBR временно перехватывает INT 12h, 1Ch, ждет загрузки DOS, перехватывает INT 13h, 21h, "откусывает" кусок памяти и восстанавливает INT 12h, 1Ch.

Шифрует себя также и в системной памяти. Обработчики INT 13h, 21h расшифровывают необходимые подпрограммы перед их вызовом.

При загрузке с зараженной MBR проверяет буфер клавиатуры. Если там содержится строка "kaczor", вирус лечит MBR и выводит текст:

Zrobione.


Если в буфере клавиатуры находится строка "test", вирус выводит:


Wersja.......... Kodowanie....... Licznik HD......



и добавляет соответствующие цифры в конец строк.

3-го марта перехватывает INT 08h и "трясет" экран.



Демонстрации вирусных эффектов:

KACZOR.COM



Keypress.Ufo

Неопасный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 1Ch, 21h. Записывается в конец COM- и EXE-файлов при обращении к ним. При поражении каждого файла пытается также поразить COMMAND.COM. Заражает boot-сектора дискет. Иногда проявляется видеоэффектом: расшифровывает и выводит на экран текст:


The U F O Club UFO-4 By Faisal-Andre-Akhmad Klp Gading Jakarta Utara





Демонстрации вирусных эффектов:

KEYP_UFO.COM



Kiev.2048

Резидентный файлово-загрузочный вирус. Перехватывает INT 8, 21h и поражает boot-сектор диска C: и каждый 3-й запускаемый .EXE-файл. При старте вирус создает в корневом каталоге диска C: файл '.SYS длиной 2048 байт, куда записывает тело вируса, оформленное как файл-драйвер и boot-сектор диска C:. Затем этот файл объявляется уничтоженным: в корневом каталоге диска C: соответствующая запись помечается как удаленная, однако цепочка файла в FAT не освобождается (т.е. файл формально уничтожается, но сектора файла становятся недоступными для использования и составляют т.н. потерянный кластер). В boot-сектор диска C: записывается часть кода вируса, которая при загрузке "оживляет" файл '.SYS и добавляет в начало файла C:\CONFIG.SYS строку "device='.sys". При инсталляции драйвера '.SYS он восстанавливает CONFIG.SYS в первоначальном виде и "уничтожает" '.SYS по описанному выше методу.

Резидентным в памяти вирус остается только при загрузке с зараженного boot-сектора. Содержит строки "NUL", "KIEV", "c:\'.sys","CONFIG SYS","device='.sys". Сравнительно неплохо исполняет Гимн СССР. Не работает с дисками объема более 32M.



Демонстрации вирусных эффектов:

KIEV2048.COM



Kiuca, семейство

Безобидные резидентные файлово-загрузочные вирусы. Записываются в boot-сектор диска C: и в конец COM- и EXE-файлов. При запуске инфицированного файла заражают boot-сектор диска C:, при этом сохраняют свой основной код и первоначальный boot-сектор на трек/сторону 0/0.

При загрузке с пораженного диска перехватывают INT 1Ch, ждут загрузки DOS, перехватывают INT 21h, ждут запуска первой программы (COMMAND.COM), выделяют себе блок DOS-памяти и копируют себя в этот блок. В результате не уменьшает размер DOS-памяти, как это делают обычные загрузочные вирусы, а располагает свой код между ядром DOS и копией COMMAND.COM. Затем вирус заражает создаваемые файлы: перехватывает DOS-функцию создания файла, ждет его закрытия и заражает файл. Таким образом, вирус заражает только файлы, которые копируются куда-либо, либо распаковываются из архивов, либо восстанавливаются из backup'а.

Алгоритм работы вируса направлен против CRC-сканеров, которые детектируют вирусы по CRC-суммам. Во-первых, вирус заражает только новые файлы, о которых нет информации в базах данных CRC-сканеров. Во-вторых, "прячет" зараженный boot-сектор: при запуске любой программы вирус лечит его, а при окончании работы программ снова заражает.

Вирусы семейства содержат строки:

(c) Light General.Kiev.KIUCA.1996.NOT for free use. (Робкая попытка опустить Адинф...Адольф...Йосиф...ГУЛАГ...AАaaа)





Kyokushinkai

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного записывается в MBR винчестера, перехватывает INT 12h, 13h, 1Ch, 21h и при запуске программ ищет EXE-файлы и записывается в их конец. Зараженный MBR-сектор не виден при активном в памяти вирусе (стелс . В зависимости от текущего времени стирает системные сектора строкой:

ХХХХХХХ KШФkБshЛдkДЛ ЩЩЩЩЩЩЩ.- 39-mynrazCmeroizвJdanogewogninertuzoboogeintelвktаimapaN-OLYKaгysezrpuzoboogeгacaldainezcyзenzcedreS

Kysia.1536

Вариант вируса "Kyokushinkai". Записывается в первый Boot-сектор винчестера и EXE-файлы. В зависимости от текущего времени выводит строку:


(c) 1993 Kysia Software Co. Your fucking PC is infected ! I'm formating your hard disk now. I'm lucky. FUCK'AM ALL Bezplatna reklama kapeli ZOD ze Szczecina.







Liberty

Резидентный опасный файлово-загрузочный вирус. Перехватывает прерывания 8, 10h, 13h, 14h, 17h, 1Ch, 21h и заражает поражает COM- и EXE-файлы при их выполнении. Записывается в конец EXE-файлов. При поражении COM-файла записывается в его конец, а в начало записывает 78h байт кода (расшифровка тела вируса и переход на него), старое начало файла шифрует и сохраняет внутри своего тела. Если при заражении расположенного на дискете файла не хватило свободного места, то вирус инфицирует boot-сектор дискеты. Старый boot-сектор и тело вируса записывает на 40-й трек дискеты (используется нестандартное форматирование), при этом может уничтожить информацию на дискетах размера 1М.

Память заражается либо при старте инфицированного COM-файла, либо при загрузке с инфицированного флоппи-диска.

Через некоторое время после загрузки с флоппи-диска вирус расшифровывает и выдает на экран, принтер и последовательные порты строку "MAGIC MAGIC MAGIC MAGIC ......". При 10-й загрузке с флоппи-диска лечит его. Содержит строки:


Liberty - MYSTIC - COPYRIGHT (C) 1989-2000, by SsAsMsUsEsL







Lithium.4113

Неопасный резидентный файлово-загрузочный полиморфик -стелс -вирус. Записывается в конец COM- и EXE-файлов, в MBR винчестера и boot-сектора дискет. При запуске зараженного файла записывается в MBR и возвращает управление программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS и затем перехватывает INT 21h. Вирус затем записывается в boot-сектора дискет и в файлы при обращениях к ним. При запуске PKZIP и BACKUP выключает свой стелс. Не заражает некоторые антивирусы и утилиты:


CHKD F- VIR SCAN CLEAN VSHI ITAV SKUD AVIR MSAV CPAV VSAF VWAT NAV THS TB VI- FLU ATP DOO WOLF QUA



В зависимости от текущей даты проявляется каким-то видеоэффектом. Содержит строки:


Lithium Nuotando nel miele Accecati dalla luce Oppressi dalla liberta' Nauseati dai falsi e facili sorrisi Lottiamo per trovare qualcosa in cui credere. Le note della rabbia e dell'instabilita' sono il detonatore della voglia di proseguire... ...'CAUSE WE'RE ALIVE! You'llKnowWhatNITROMeans! byATPY GENOCIDEYouthEnergy







LivingDeath

Очень опасный резидентный файлово-загрузочный вирус. Частично зашифрован. При запуске зараженного файла трассирует INT 13h и записывается в MBR винчестера. Затем, также как и при загрузке с пораженного MBR, перехватывает INT 8, 13h, 21h и остается резидено в памяти и записывается в конец EXE-файлов при обращениях к ним.

В зависимости от текущей даты шифрует сектора дисков и выводит тексты:


I am the Living Death. I am coding your hard disk now. Your FAT is destroyed and his copy is only in memory. If you set power off, all your data will be lost !! Press any key ...







LungHua.2589

Неопасный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 21h и записывается в MBR винчестера, boot-сектора дискет и в конец EXE-файлов при обращениях к ним. В зависимости от текущего значения таймера выводит текст:

hello! This is <Lung-Hua 1.0> virus.



Don't worry, It's just a virus, It never damages your computer, It's written by a Lung-Hua's student. This is a test, I just want to know how far as virus can reach and how fast as virus can sprend. Specilly thanks to Dark Slayer (we are close friends), He teaches me so many virus skills, This is my first virus, It's a quite simple virus. At last, I want to say "Hay! Teachers, Don't down a lof of students, If you down them, They will very sad and cry, so... Don't make their heart break."




PS.1. I recommand the assembly language's teachers, I hope you can teach students "How to write viruses". 2. please send your comment to network (CC2 server, set file name to comment.xxx, If you are supervisor, please set it to read only and keep it many days, I'll receive it on the server) 3. keep my name "Blue Rose" in your mind, watch out my next virus, I'll be back, Enjoy my first virus now, Have fun! :)



Blue Rose of TPVO (a sweet little girl) - 1995.06.18






Majkl, семейство

Безобидные резидентные зашифрованные файлово-загрузочные вирусы. При запуске зараженного файла вирус записывается в MBR винчестера, затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При загрузке с зараженного MBR вирус перехватывает INT 8,13h, ждет загрузки DOS, затем перехватывает INT 21h и заражает запускаемые файлы.

Вирусы семейства используют антиотладочные приемы, основанные на особенностях процессоров i368+. "Majkl.1438" содержит строку:

Majkl






Malaga, семейство

Резидентные неопасные файлово-загрузочные вирусы. Перехватывают INT 8, 13h, 21h и записываются в конец COM- и EXE-файлов, кроме COMMAND.COM. Вирусы заражают также boot-сектора дискет и логических дисков, первоначальный boot-сектор и тело вируса записывается в последние сектора диска. Вирусы расшифровывают и выводят тексты:


HB=ETA=ASESINOS PENA DE MUERTE AL TERRORISMOKI VIVA ESPA



Также содержат строку: "*.EXE *.COM COMMAND.COM".





Markus.5415

Очень опасный резидентный файлово-загрузочный стелс -полиморфик -вирус. При запуске зараженного файла расшифровывает себя, используя программный стек, отрезает блок системной памяти (включая UMB), копирует туда свой код, перехватывает INT 8, 13h, 1Ch, 21h и заражает MBR винчестера. Затем отдает управление программе-носителю.

При заражении MBR вирус сохраняет первоначальную MBR и свой код начиная со второго сектора нулевого трека и записывает в MBR 29h байт своего загрузчика. Также стирает в зараженной MBR таблицу разбиения диска (Disk Partition Table), в результате чего команда FDISK/MBR делает диск недоступным.

При загрузке с зараженной MBR вирус уменьшает на 6 размер системной памяти (слово по адресу 0000:0413), копирует туда свой код, перехватывает INT 8, 13h, 1Ch и отдает управление первоначальной MBR. При запуске или закрытии любого файла восстанавливает размер системной памяти и таким образом "откусывает" блок памяти для своего кода. Затем вирус постоянно проверяет наличие DOS (при вызовах INT 1Ch) и перехватывает INT 21h.

Обработчик INT 13h содержит стелс-подпрограмму, которая делает "невидимой" зараженную MBR и код вируса в нулевом треке диска.

Обработчик INT 21h содержит стелс-подпрограмму и подпрограмму заражения файлов. Вирус обрабатывает 15 функций DOS и при обращениях к зараженным файлам вызывает стелс-процедуру. При запуске или закрытии EXE-файлов записывается в их конец. Вирус не заражает несколько антивирусных программ и выключает стелс-процедуру при работе некоторых утилит проверки диска. Список соответствующих имен выглядит так:

CHKDSK, SCANDISK, DISKFIX, TNTSCAN, CPAV, MSAV, SCAN, IBMAVD, IBMAVDQ, IBMAVSP, IBMAVSH, VWATCH, VSAFE

При каждом десятом вызове INT 8 вирус проверяет свой код по CRC-сумме. Если CRC не совпадает с оригиналом, то вирус устанавливает INT 21h на другой адрес и при первом же вызове INT 21h выводит сообщение:

## (Copyleft) DD.MM.YY by MarkusMueller/GERMANY ## (V1.03)


<<<<< Eeehhjj, Du genetischer Abfall !!! >>>>>



Na, haben wir denn gerade einen Fehler gemacht ? Vorab mФchte ich mich kurz vorstellen: Mein Name ist Ebola, ich wohne auf Deiner FESTplatte, arbeite zur Zeit auf Deinem Rechner, ernДhre mich von Deinem Datensalat, habe Angst meine Arbeit und meine Wohnung zu verlieren und ich weiс bescheid.




Dummerweise will mich mein Vermieter loswerden, er hat wohl gerade irgend ein `SchДdlingsbekДmpfungsmittel` eingesetzt. Ich werde nun wohl besser verschwinden.



Ach, Бbrigens: Viel Spaс bei der Renovierung meiner Wohnung !



the crazy program from MM Und TschБс, (bis demnДchst...)



Затем вирус стирает CMOS, ждет некоторе время, медленно гасит экран (использует возможности VGA) и перезагружает компьютер. Точно так же ведет себя и под отладчиком.

Вирус проявляется и другими способами. При вызовах INT 13h и INT 1Ch "трясет" изображение на экране. Через месяц после заражения системы периодически эмулирует ошибку обращения к винчестеру. 20-го мая выводит текст:


+---------------------+ TYPE Happy Birthday Markus | | +---------------------+



ждет ввода строки "Happy Birthday Markus", а затем добавляет:

Thank you very much for the congratulations.


11 ноября выводит текст:


Runtime error 032 at 0040:0074 (A)brechnen, (W)iederholen, (I)gnorieren?



и при нажатии на "a" стирает CMOS. Вирус также содержит строку:

** Ebola is present **






Marzia (файлово-загрузочные), семейство

Резидентные файло-загрузочные стелс -вирусы. При запуске пораженного файла заражают MBR винчестера, затем перехватывает INT 13h, 21h. При загрузке с пораженного сектора перехватывает INT 13h, ждут загрузку DOS и перехватывают INT 21h.

Используя INT 21h вирусы определяют файлы для заражения При обращении к пораженной MBR (INT 13h) вирусы подстявляют первоначальный сектор.



Marzia.WW, DV, Baracuda, Pasiphae, Petunia

Опасные вирусы. При инсталляции трассируют INT 13h и перехватывают INT 1Ch. Записывают себя в конец COM- и EXE-файлов при их запуске или закрытии. При открытии зараженных файлов вирусы лечат их. В зависимости от текущей даты стирают сектора винчестера или вызывают INT 24h. При вызове INT 21h, AX=3031h "Marzia.2048" расшифровывает и выводит текст:


Virus Development Software (c)92 PETUNIA virus Written by Willi Wonka Fago industries (c)1991



Также содержат строки:


"Marzia.DV.2048": DVv1.00a "Marzia.WW.2048.a": MARZIA WWMARZIA "Marzia.WW.2048.b": (c)93Virus Development Software WW34V "Marzia.WW.2048.c": WW20V "Marzia.WW.2048.e": PISello tenere fuori dalla portata dei bambini. WW20V "Marzia.WW.2048.f": SZ VIRUS

WW35V

"Marzia.Baracuda": BARACUDA Vds WW30V "Marzia.Pasiphae": PASIPHAE(c)93Knosso by Willi Wonka PpHhIiSsIiCcAaRrTt WW?-? "Marzia.Petunia": DVv1.00a Virus Development Software (c)92 PETUNIA virus Written by Willi Wonka Fago industries (c)1991





Marzia.Demian

Безобидный вирус. Записывается в конец EXE-файлов при их запуске или открытии. Содержит строки:

(c)92 ASTRATTOSPAZIO realtЕ del mondo extraterrestre: Globalmente si distingue tutto ciХ che К uguale,localmente tutto ciХ che К diverso.IT Release Rev 4 24IX89 P.098 :) bye bye SPECIAL THANKS TO MAXCC, ALEX & DEMO.

DVDEMIAN



Marzia.Pisello

Неопасный вирус. Записывается в конец COM- и EXE-файлов. В зависимости от текущей даты вызывает INT 24h, на что DOS реагирует соответствующим сообщением. Содержит строки:


PISello tenere fuori dalla portata dei bambini. PaxTibiQuiLegis.FaxFree!! WW20V3







MBRExe

Резидентный безобидный вирус, записывается в EXE-файлы и MBR винчестера. MBR винчестера инфицируется при старте зараженного файла. Первоначальный MBR-сектор сохраняется на винчестере по адресу 0/0/9 (головка/трек/ сектор). При загрузке с зараженного диска перехватывает INT 21h и записывается в конец EXE-файлов. Никак не проявляется.





Mirkis.4292

Безобидный резидентный файлово-загрузочный вирус. Заражает MBR винчестера, записывается в конец COM- и EXE-файлов, в файлах зашифрован. Не заражает MBR под DOS 7+ (Windows). Никак не проявляется. Содержит текст:

TYSON greeting Mir.Kis & Ro.Ch 4.97 POLAND


При загрузке с зараженного диска вирус перехватывает INT 13h, ждет старта DOS и затем перехватывает INT 21h. При запуске зараженного файла вирус перехватывает INT 13h, 21h и заражает файлы при из запуске или закрытии. При окончании работы программ также ищет и заражает файлы в текущем каталоге. При открытии зараженных файлов лечит их (стелс). Не заражает файлы: *SC??, *PR??, *MA??, *MS??, *TB??, *AV?? (SCAN, F-PROT, COMMAND, TBAV, и т.д.). При запуске CHKDSK или MEM правит системные области памяти таким образом, чтобы скрыть присутствие своей TSR-копии. При запуске антивирусов MKS_DEMO, MKS_VIR и F-PROT добавляет к командной строке опцию "не тестировать память". При запуске Windows добавляет к командной строке опцию, запрещающую 32-битный доступ к дискам. При запуске PKZIP, ARJ или RAR вирус временно выключает свои стелс-процедуры.

Вирус вызывает процедуру заражения MBR при окончании работы любой программы. При чтении/записи MBR использует прямые вызовы портов контроллера диска. При помощи перехвата INT 13h реализует стелс на чтение/запись зараженной MBR.





Goblin, семейство

Неопасные резидентные зашифроавнные файлово-загрузочные вирусы. При запуске зараженного файла записываются в MBR винчестера. При загрузке с пораженного диска перехватывают INT 13h, 1Ch, 21h и записываются в конец EXE-файлов при их запуске или открытии. В зависимости от текущей даты "переворачивают" экран. При помощи INT 13h реализует стелс механизм при обращении к пораженной MBR. "Goblin.1759" - стелс-вирус при обращении к файлам. Содержат строки:


"Goblin.1199": GOBLIN "Goblin.1759": DELWIN







GoldBug

Неопасный резидентный файлово-загрузочный стелс -вирус. Копирует себя в HMA, перехватывает INT 13h, 21h и поражает MBR винчестера, boot-сектора 1.2Mb дискет и EXE-файлы. При заражении файлов использует компаньон и полиморфик алгоритмы. Содержит строки:


CHKLIST???? 1O7=0SLMTA



Вторая строка выводится на модем (задом наперед): "ATMLS0=7O1".





GraveLion.2250

Неопасный резидентный файлово-загрузочный полиморфик -вирус. При запуске зараженного файла вирус заражает MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 8, 9, ждет загрузки DOS, перехватывает INT 13h, 21h и затем записывается в клнец COM- и EXE-файлов при их запуске, открытии или переименовании.

При заражени MBR вирус не модифицирует код загрузчика в MBR. Он записывает себя на диск начиная с адреса 0/0/2 и модифицирует Partition Table - устанавливает адрес активного загрузочного сектора на код вируса (см. также вирус "Starship" ).

Помимо этого использует стелс -алгоритм для того, чтобы "спрятать" зараженный MBR-сектор - подставляет незараженный MBR-сектор при чтении через INT 13h и временно "лечит" диск при запуске файлов B*.EXE, F*.EXE, T*.EXE.

Если при загрузке системы происходит ошибка, вирус сообщает:

Access to Hard Drive denied...


Также содержит строку:

[Бычий Цепень] v1.0 Copyright (c) 1995 Grave Lion






Hare, семейство

Очень опасные резидентные файлово-загрузочные стелс -полиморфик -вирусы. Записываются в конец COM- и EXE-файлов, в MBR винчестера и boot-сектора дискет. В файлах зашифрованы трижды. Применяют полиморфизм как в файлах, так и в зараженных секторах.

Заражение

При запуске зараженного файла вирус расшифровывает себя, заражает MBR, трассирует и перехватывает INT 21h и возвращает управление программе-носителю. Под Win95 он перехватывает также INT 13h. Затем вирус записывается в файлы при их запуске, закрытии или при выходе в DOS (AH=0,31h,4Ch). При открытии зараженных EXE-файлов лечит их. Не заражает файлы:


TB*.* F-*.* IV*.* CH*.* COMMAND*.*



Не заражает также файлы, если в их имени есть буква 'V'.

При загрузке с зараженной дискеты вирус записывается в MBR и возвращает управление первоначальному boot-коду, при этом вирус не оставляет в памяти своей резидентной копии.

При заражении MBR вирус трассирует INT 13h или напрямую работает с портами контроллера, затем записывает свое продолжение (15 секторов) в трек, находящийся за пределами объявленного размера диска (LandZone?). Затем затирает Disk Partition Table (в результате этого команда FDISK/MBR может привести к полной потере данных на диске).

При загрузке с зараженного MBR-сектора вирус восстанавливает Partition Table для того, чтобы нормально загрузилась DOS (в этот момент стелс на уровне INT 13h еще не работает), затем уменьшает размер памяти (слово по адресу 0000:0413), копирует свой код в "отрезанный" участок памяти, перехватывает INT 1Ch и передает управление первоначальному MBR-сектору.

Перехватив INT 1Ch, вирус ждет загрузки DOS, затем восстанавливает размер системной памяти и перехватывает INT 13h, 21h, 28h. При первом вызове INT 28h он снова портит Disk Partition Table (зачем все это проделывается - непонятно, возможно, чтобы "одурачить" антивирусное hardware и software, если оно, конечно же, установлено).

При вызовах INT 13h вирус перехватывает обращение к флоппи-дискам и заражает их, для своего основного кода вирус форматирует дополнительный трек. При обращениях к уже зараженным дискам выполняет стелс-программу.



Проявления и особенности

При запуске зараженного файла вирус ищет строку "WIN=" в области Environment и уничтожает файл \SYSTEM\IOSUBSYS\HSFLOP.PDR в каталоге Windows.

При заражении памяти проверяет системную дату. 22 августа и 22 сентября стирает винчестер и в зависимости от версии выводит текст:


"Hare.7610": "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare... "Hare.7750": "HDEuthanasia-v2" by Demon Emperor: Hare Krsna, hare, hare... "Hare.7786": "HDEuthanasia-v3" by Demon Emperor: Hare Krsna, hare, hare...





При заражении MBR перехватывает INT 16h и проделывает довольно странные манипуляции с клавиатурой: заменяет или самостоятельно записывает в буфер клавиатуры знаки 'Y' и 'N'. Похоже на то, что вирус пытается самостоятельно ответить на запрос BIOS о записи в MBR диска (если такая функция поддерживается BIOS'ом).



Довольно странным образом генерирует свой полиморфик-код. При заражении винчестера вирус заполняет самый последний сектор диска случайными данными и никогда больше их не изменяет (см. замечание ниже). Затем при загрузке с зараженной MBR или запуске зараженного файла считывает эти данные из последнего сектора, при повторном заражении компьютера (после лечения) обнаруживает эти данные в последнем секторе и не изменяет их.

Эти данные используются вирусом как генератор случайных чисел при запуске своего полиморфик-генератора: при заражении разных файлов или секторов на вход полиморфик-генератора поступают одни и те же псевдослучайные данные, а в результате полиморфик-генератор выдает на выход один и тот же код, и все файлы, зараженные на одном и том же компьютере, содержат один и тот же полиморфик-цикл расшифровки и зашифрованы одними и теми же ключами (то же справедливо и для секторов). Вирус увеличивает длину файла на случайное число (длина вируса плюс длина случайного расшифровщика). Естественно, что на одном и том же компьютере длина файлов увеличивается на одно и то же значение. В результате все файлы/сектора, зараженные на конкретном компьютере, можно определить обычным методом поиска по маске вируса.

Зачем все это проделывается - непонятно. Видимо, для того, чтобы ввести в заблуждение разработчиков антивирусных программ и спрятать файл или диск, который послужил причиной заражения компьютера.

Замечание: старшие версии вируса при загрузке с зараженного диска с вероятностью 1/16 меняют случайные данные в последнем секторе диска и как результат генерируют другие полиморфик-циклы при заражении файлов и дискет.





HMA_Boot, семейство

Безобидные резидентные файлово-загрузочые вирусы. При запуске зараженного файла копируют себя в HMA-память и перехватывают INT 21h (для этого трассируют и правят ядро DOS). Если программа, запускаемыя на диске A:, вызывает DOS-функцию GetCountryInfo (AH=38h), вирусы записываются в boot-сектор диска A:.

При загрузке с зараженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, затем создают в корне диска C: файл со случайно выбранным именем, записывают в него свой код и добавляют к файлу C:\CONFIG.SYS команду запуска этого файла ("INSTALL=\").

Вирусы содержат строки:


"HMA_Boot.a": C:\Config.Sys Install=\ "HMA_Boot.b": C:\CONFIG.SYS INSTALL=\ HMABOOT









HongKong.1997

Неопасный резидентный зашифрованный вирус. Записывается в начало COM-файлов (кроме COMMAND.COM), середину EXE-файлов и MBR винчестера. При запуске зараженного файла записывается в MBR, затем (также, как и при загрузке с зараженного винчестера) перехватывает INT 13h, 21h и заражает запускаемые файлы. При помощи перехвата INT 13h реализует стелс при чтении/записи зараженной MBR.

При запуске зараженных файлов вирус проверяет командную строку. В зависимости от каких-то символов в этой строке (вирус использует двух-байтную китайскую кодировку) вирус либо лечит MBR, либо выводит текст:

HONG KONG 1997


Это же сообщение выводится 1-го июля.

Вирус использует несколько приемов противодействия отладке и лечению: при заражении MBR зиписывает в Disk Partition Table такой код, что MS-DOS (включая DOS 7.0) записает при загрузке с системной дискеты (при этом вирус вполне нормально грузится с винчестера). В результате оказывается невозможным загрузить систему с дискеты, проверить диск и вылечить вирус при помощи расположенного на дискете антивируса.

Второй прием заключается в том, что 90% кода вируса (ассемблерных команд) перемешано с одно-байтовым случайным мусором. Для того чтобы пропускать этот мусор при работе, вирус перехватывает INT 1 (трассировка) и при выполнении каждой команды своего кода вызывает процедуру, пропускающую байты мусора.





Ignorance

Безобидный резидентный файлово-загрузочный самошифрующийся вирус. При загрузке с пораженного диска перехватывает INT 13h и ждет загрузки DOS, затем перехватывает INT 21h. При запуске зараженного файла записывается в MBR винчестера, затем перехватывает INT 21h и остается резидентным. При помощи INT 13h реализует стелс механизм при чтении зараженного MBR, также использует это прерывание для поражения boot-секторов флоппи-дисков. При помощи INT 21h записывается в конец COM-, EXE- и SYS-файлов при обращении к ним. Содержит строки:


Ignorance is Strength Freedom is Slavery War is Peace COMEXEBINOVLSYSSCCLVSF- [1984] bY [TДLФN<>NЦKф] '93! THiS iZ iNFeCTi0N #00000032! Greetz RS/NuKE!



где строка "#00000032" - номер "поколения" вируса, в различных пораженных файлах/секторах эта строка может быть отличной от приведенной выше. "COMEXESYSBINOVL" - строка расширений имени файла, поражаемых вирусом. "SCCLVSF-" - по два символа от имен антивирусных программ (SCAN.EXE, CLEAN.EXE, и т.д.). При запуске этих программ вирус отключает часть своих функций.





Implant, семейство

Очень опасные резидентные файлово-загрузочные стелс -полиморфик -вирусы. Заражают .COM-, .EXE- и .SYS-файлы, MBR винчестера и boot-сектора дискет. При запуске зараженного файла вирус записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 12h, 13h, 1Ch, ждет загрузки DOS и перехватывает INT 21h.

Вирусы заражают файлы при их закрытии, переименовании и обращении к их атрибутам. При запуске файлов они запоминают их имена и заражают при окончании их работы. При открытии и чтении из зараженных файлов вызывают стелс-процедуру. При записи в зараженные файлы лечат их. Если активны архиваторы ARJ, PKZIP, PKLITE, LHA или BACKUP, вирусы выключают свой стелс. При запуске антивирусов TBAV и SCAN изменяют командную строку таким образом, что эти антивирусы не сканируют системную память. При запуске Windows добавляют к командной строке опцию, запрещающую 32-битный доступ к дискам.

Некоторые из "Implant"-ов не заражают антивирусы TBAV, SCAN, F-PROT,... Определяют они их по первыв двум символам имени: 'TB', 'SC', 'F-', 'GU'. Также не заражаются файлы с именами, содержащими цифры и символы 'V', 'MO', 'IO', 'DO', 'IB'.

Перехват INT 13h используется вирусами для реализации стелс-процедуры при обращении к зараженным дискам и для заражения дискет при чтении их boot-сектора. Для размещения на дискете своего кода вирусы форматируют на ней дополнительный трек.

4 июня вирусы стирают сектора винчестера, пищат динамиком компьютера и выводят текст:


<<< SuckSexee Automated Intruder >>> Viral Implant Bio-Coded by Griyo/29A





В 1997 вирус "Implant.6128" был разослан в несколько Internet конференций. Зараженным был файл NENA.EXE, выводящий порно-картинку.





Invader и Plastique, семейство

Резидентные очень опасные вирусы. Перехватывают INT 8, 9, 13h, 21h и поражают .COM- и .EXE-файлы (кроме COMMAND.COM) по алгоритму вируса "Jerusalem" и boot-сектора флоппи-дисков и винчестера. У дискеты форматируют дополнительный трек, при поражении винчестера записываются сразу после MBR. В зависимости от своих счетчиков могут совершать холостой цикл при каждом прерывании по таймеру (INT 8), стирать информацию на дисках, исполнять мелодию, расшифровывать и выводить тексты:


"Invader.a,b.c,d": by Invader, Feng Chia U., Warning: Don't run ACAD.EXE! "Invader.e,f.g,h.i": by ABT Group at Feng Chia Univ., Taiwan. Mar/27/90 "Plastique": PLASTIQUE 5.21 (plastic bomb) Copyright (C) 1988-1990 by ABT Group (in association with Hammer LAB.)

WARNING: DON'T RUN ACAD.EXE!

Также содержат текст "ACAD.EXECOMMAND.COM.COM.EXE".



Демонстрации вирусных эффектов:

INVADER.COM



Invisible

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов. При запуске зараженного файла записывается в MBR винчестера. В MBR код вируса также зашифрован. В зависимости от текущей даты записывает вместо файлов программу, которая при запуске выводит текст и проигрывает мелодию "I'm Invisible Man":


I'm the invisible man, I'm the invisible man, Incredible how you can See right through me.




I'm the invisible man, I'm the invisible man, It's criminal how I can See right through you.



(Когда я разбирался с этим вирусом, по Радио-101 как раз передавали песню "Invisible man"...)

Вирус содержит в себе также и строку:

"Invisible":

The Invisible Man - Written in SALERNO (ITALY), October 1992. Dedicated to Ester: I don't know either how or when, but I will hold you in my arms again.

"Invisible.b"

The Invisible Man II - Written in SALERNO (ITALY), December 1992. Dedicated to E.F.: I don't know either how or when, but I will hold you in my arms again.



Демонстрации вирусных эффектов:

INVISIBL.COM



Jackal

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла трассирует и перехватывает INT 13h, 15h, 21h, 40h. Затем поражает MBR винчестера, при этом изменяет только адрес активного Boot-сектора и записывает себя по этому адресу. При загрузке с такого диска вместо первоначального Boot-сектора будет прочитано тело вируса. Затем вирус остается резидентно в памяти и записывается в конец COM- и EXE-файлов при доступе к ним.

Периодически форматирует сектора винчестера. Перехватывает также INT 9 (клавиатура) и при нажатии на Alt-Ctrl-Del пытается пережить перезагрузку: восстанавливает вектора прерываний, очищает экран и т.д.

Содержит строку: "Ja№ckєal".





Jerusalem файлово-загрузочные



Jerusalem.Havoc

Безобидный резидентный вирус. Перехватывает INT 13h, 21h. Записывается в конец EXE-файлов при вызовах FindFirst/Next FCB, в MBR винчестера при запуске зараженного файла и в boot-сектора дискет при обращениях к ним.

Является гибридом вирусов "Jerusalem" и "Havoc" .



Jerusalem.MBR

Резидентный очень опасный вирус. Поражает COM- и EXE-файлы (кроме COMMAND.COM) по алгоритму вируса "Jerusalem" и MBR-сектор винчестера - записывается сразу после MBR.

При запуске зараженного файла вирус записывается в MBR. При загрузке с пораженного диска вирус уменьшает размер памяти DOS, перехватывает INT 13h и ждет изменения вектора INT 21h. После этого вирус восстанавливает размер памяти DOS и перехватывает INT 21h, которое затем используется только при поражении файлов.

В зависимости от своих счетчиков стирает сектора дисков. Также содержит текст "COMMAND.COM".





JumpBoot

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера и возвращает управление DOS. При загрузке с пораженного диска копирует себя в таблицу векторов прерываний и перехватывает INT 13h. При обращениях к зараженной MBR вирус подставляет ее первоначальное содержимое, т.е. является стелс-вирусом.

При записи секторов на дискеты вирус проверяет первый байт записываемого сектора. Если этот байт является командой JMP (E9h или EBh), вирус записывает себя вместо этого сектора. При этом содержимое сектора уничтожается. В результате COM-файлы, начинающиеся с команды JMP, при копировании на дискеты будут уничтожены вирусом. При заражении сектора вирус не проверяет, является этот сектор началом файла или нет, и может записать себя в середину файла.

После поражения одного файла вирус блокирует подпрограмму заражения и заражает следующий файл только после перезагрузки.





Junkie, семейство

Резидентные самошифрующиеся файлово-загрузочные вирусы. Перехватывают INT 13h, 1Ch, 21h и записываются в конец .COM-файлов при их запуске или открытии, boot-сектора дискет при чтении с них и MBR винчестера при запуске зараженного файла.

"Junkie.1027" безобиден. "Junkie.1308" очень опасен - в зависимости от системной даты форматирует сектора дисков и выводит текст:

Disk Death


Вирусы содержат строки:


"Junkie.1027": DrW-3 Dr White - Sweden 1994 Junkie Virus - Written in Malmo...M01D "Junkie.1308": Bad Junky I want a job







DeadBoot.446

Очень опасный резидентный зашифрованный файлово-загрузочный вирус. Для определения своей TSR-копии использует вызов INT 13h, AX=DEADh. Заражает MBR винчестера, записывается вместо boot-секторов дискет и в заголовок EXE-файлов при их копировании на дискеты. Первоначальное содержимое EXE-файлов и boot-секторов дискет не сохраняется. Шифрует сектора винчестера, содержащие информацию о файлах в каталогах.





Demiurg.3061

Опасный резидентный зашифрованный файлово-загрузочный стелс -вирус. Записывается в конец COM- и EXE-файлов и в MBR винчестера. При запуске зараженного файла трассирует INT 13h, 21h, 2Ah, перехватывает INT 13h, 2Ah, заражает MBR и остается резидентно в памяти. При загрузке с зараженного диска перехватывает INT 13h, 1Ch, ждет загрузки DOS и перехватывает INT 2Ah.

Для того чтобы перехватить INT 13h, вирус корректирует ядро DOS в HMA: записывает туда вызов INT CEh (CDh CEh) и перехватывает INT CEh. Ядро корректируется по фиксированным адресам, которые верны для DOS 6.x и могут быть неправильными для других версий DOS. Вирус также содержит и другие ошибки, в результате система может зависнуть при загрузке с зараженного MBR.

INT 13h перехватывается вирусом только для того, чтобы скрыть зараженные сектора (MBR). Перехватив INT 2Ah, вирус получает вызовы из ядра DOS, обрабатывает обращения к файлам и заражает файлы только на дискетах при их (файлов) создании и закрытии (т.е. при копировании) или при обращениях к ним вызовами FindFirst/Next ASCII. При открытии зараженных файлов вирус лечит их.

При открытии файла A-Dinf-°.°°° вирус проверяет какие-то адреса в системе (подсчитывает CRC?) и в некоторых случаях стирает свою копию с секторов диска. MBR при этом не восстанавливается, и система зависает при перезагрузке.

Вирус содержит строки:

Мир вам.Меня зовут Demiurg.Я хранитель врат,врат Ада.Все кто хочет увидеть Хозяина встречается со мной,а ктовстречается со мной попадает к Хозяину...мертвым.Тупые охотники за головами,с притензией на интеллектгадатели,всезнающие визири-многие пытались увидетьменя,но порой их глаза были ослеплены,а ум нашептывал соблазнительное OK

LORD





DoomMbr.406

Неопасный файлово-загрузочный вирус. Содержит строку: "DOOM". Заражает MBR винчестера, boot-сектора дискет, COM- и EXE-файлы. При запуске зараженного файла вирус записывается в MBR и возвращает управление программе-носителю. При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS и перехватывает INT 21h. Затем при обращениях к флоппи-дискам вирус записывает свой код вместо их boot-сектора; записывается в конец COM- и EXE-файлов при изменении их даты/времени (например, при копировании).





DrDemon, семейство



DrDemon.1816,1888

Очень опасные резидентные зашифрованные файловые вирусы. Трассируют INT 21h, перехватывают INT 8, 21h и затем записываются в конец COM- и EXE-файлов при обращениях к ним. "DrDemon.1816" содержит ошибку и может испортить файлы при их заражении. При запуске AIDS*.* выводят:

MUTABOR


Эту же строку вирусы выводят через примерно 30 минут после заражения системной памяти. По 13-м числам после заражения 10-го файла вирусы выводят тексты:


It is very long story - struggle against viruses... (c) 1994,95 by Dr. Demon , version 4.0 Make sure all your disks are not bootable now !



и записывают эти же тексты в сектора диска.



DrDemon.4634

Безобидный резидентный файлово-загрузочный полиморфик-вирус. При запуске зараженного файла записывается в MBR винчестера, перехватывает INT 21h и остается резидентно в памяти. При загрузке с зараженного MBR уменьшает на 10K размер DOS-памяти (слово по адресу 0000:0413), перехватывает INT 1Ch, ждет загрузки DOS, затем перехватывает INT 21h и освобождает INT 1Ch. При первом вызове любой из DOS-функций Execute или Allocate/Release/Free Memory вирус восстанавливает размер памяти DOS и обозначает свой код как отдельный блок памяти в MCB-списке.

Вирус перехватывает обращения к COM- и EXE-файлам и записывается в конец. Не заражает файлы, имена которых начинаются с любого из вариантов:

AIDS WEB VB ADINF SCAN CLEAN DRW


Также содержит строку:

MB Pro (c) 1994,95 by Dr.Demon




DrDemon.4292

Вариант вируса "DrDemon.4634". При заражении MBR переопределяет адрес активного boot-сектора (см. "Starship" ). Перехватывает INT 1Ch, постоянно проверяет адрес INT 21h и блокирует переопределение его адреса. Содержит строку:

MB Pro (c) 1994-96 by Dr.Demon








DS.3783

Безобидный резидентный стелс -вирус. Заражает файлы форматов COM, EXE и NewEXE, boot-сектора дискет и MBR винчестера. При заражении файлов записывается в их конец, затем модифицирует их заголовки: записывает команду JMP_Virus в начало COM-файлов, меняет точку входа в заголовке DOS EXE-файлов, в случае NewEXE-файла создает в его заголовке новую таблицу сегмента, описывает в ней новый сегмент кода и изменяет некоторые другие поля заголовка.

При заражении дискет форматирует дополнительный 80-й трек и записывает туда свой код. При заражении MBR записывает свой код в скрытые сектора первого трека диска. Затем записывает в MBR/boot-сектор 1Сh байт своего загрузчика.

Вирус перехватывает INT 13h, 21h, 2Ah, 2Fh. Для этого при загрузке системы с зараженного диска загрузчик считывает код вируса в системную память и перехватывает INT 13h. Обработчик INT 13h ждет загрузки DOS и перехватывает INT 2Ah. При вызове INT 2Ah вирус сканирует ядро DOS и записывает по определенным адресам команды CALL FAR, указывающие на обработчики INT 21h, 2Fh в теле вируса. Затем при запуске первого файла вирус выделяет себе блок UMB или обычной DOS-памяти и копирует туда свой код.

При запуске зараженного DOS-файла вирус выделяет себе блок обычной памяти и перехватывает те же вектора прерываний. При запуске NewEXE-файла он выделяет себе память DPMI-вызовами. Затем вирус заражает выполняемые файлы DOS, Windows и boot-сектора дискет при обращениях к ним.

При обращениях к файлам вирус проверяет имя активной программы и в случае утилит PKZIP, ARJ, RAR, LHA, TELIX, BACKUP, MSBACKUP, CHKDSK выключает часть своих стелс-процедур.

Свою резидентную копию вирус определяет вызовом INT 21h, AX=187Fh и BX=4453h (строка "DS", по которой он получил название). Резидентная часть вируса возвращает BX=87A1h.





Ekoterror

Резидентный опасный стелс-вирус, при запуске зараженного файла записывается в MBR винчестера и передает управление программе-носителю, при загрузке из пораженного MBR перехватывает INT 8, 13h, затем используя INT 8 перехватывает INT 21h и записывается в начало .COM-файлов при их создании.

Периодически расшифровывает и выводит текст:


EkoTerror (C) 1991 ATK-toimisto P.Linkola Oy Kovalevysi on poistettu kДytФstД luonnonsuojelun nimessД. VihreДssД yhteiskunnassa ei saa olla ydinsДhkФllД toimivia kovalevyjД.



а затем завешивает компьютер. В некоторых случаях некорректно поражает MBR, в результате DOS погибает при загрузке.





ExeBug, семейство

Это семейство включает в себя как загрузочные, так и файлово-загрузочные стелс -вирусы. Они перехватывают INT 13h и записываются в MBR винчестера и boot-сектора дискет. Файлово-загрузочные представители семейства записывают в заголовок EXE-файлов свой код таким образом, что при запуске файла вирус заражает винчестер компьютера. Прочие вирусы записывают в EXE-файлы троянские программы, которые стирают сектора винчестера.

"ExeBug.a" использует довольно интересный прием для инсталлирования себя в память даже при загрузке с чистой системной дискеты (этот прием работает только на некоторых BIOS, см. также "Ugly" ). Вирус стирает CMOS-память в тех ячейках, которые отвечают за флоппи-диски, и тем самым отключает эти диски. При загрузке (холодной или горячей) такого компьютера BIOS не обнаруживает флоппи-дисков и передает управление MBR винчестера (которая уже заражена). Вирус получает управление, включает флоппи-диски и загружает с них систему. Таким образом, код вируса оказывается в памяти даже при загрузке с чистого системного диска.

"ExeBug.d" занимает два сектора и перехватывает INT 1Ch, однако полный анализ вируса пока невозможен, так как у меня нет его второго сектора.

"ExeBug.Hooker" записывает в EXE-файлы троянскую прорамму, которая содержит строку:

HOOKER






Fanthomas.1443

Безобидный резидентный файлово-загрузочный вирус. Перехватывает INT 13h, 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске. При запуске зараженного EXE-файла записывается в MBR винчестера. Содержит строку:

-=0FANTHOMAS vir. 1.00(c) Szczecinek0Dla Izy W. z Bestwiny0=-






Fantom.954

Безобидный резидентный файлово-загрузочный вирус. Записывается в MBR винчестера и в конец запускаемых EXE-файлов. В файлах зашифрован. При обращении к зараженной MBR вызывает стелс -процедуру.

При запуске зараженного файла записывается в MBR и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 8, ждет некоторое время (пропускает загрузку DOS), затем перехватывает INT 13h, 21h и таким образом активизирует свои процедуры заражения и стелс.

Содержит строку:

FANTOM vir. 2.0 -(c)Szczecinek- Dla Malgorzaty P.






Fatty.3008

Очень опасный резидентный файлово-загрузочный вирус. Заражает .COM- и .EXE-файлы (записывается в их конец), MBR винчестера и boot-сектора диска C: и дискет. При заражении .EXE-файлов в некоторых случаях портит их.

При запуске зараженного файла заражает MBR и boot-сектор диска C:, перехватывает INT 8, 9, 13h, 17h, 21h и остается резидентно в памяти компьютера. При загрузке с пораженного диске перехватывает те же вектора за исключением INT 9, 21h, ждет загрузки DOS и перехватывает INT 9, 21h.

INT 21h: вирус перехватывает создание/закрытие .COM- и .EXE-файлов и заражает их (в результате "обходит" CRC-ревизоры). Перехват INT 13h используется для стелс-процедур и заражения дискет. INT 17h используется для детектирования своей TSR-копии. INT 8 используется при инсталляции в память и для вызова эффектов - вирус записывает в буффер клавиатуры какие-то данные. INT 9: в зависимости от своего случайного счетчика вирус либо стирает один символ из буффера клавиатуры, либо записывает в него один случайный символ. В зависимости от системной даты вирус также портит какие-то данные на диске (FAT?).

Вирус содержит строки:


#FATTY by SULPH (c)97 0Manufactured in Vsetin (CZ) 0THANX to Grisoft & Borland 0BIG KISS to my GIRL 0Have FUN, see YA!!# .COM.EXE







Fist.927

Резидентный зашифрованрый файлово-загрузочный вирус. Перехватывает INT 13h, 1Ch, 21h и записывается в конец COM- и EXE-файлов и в MBR винчестера. MBR инфицируется при старте зараженного файла, продолжение вируса и MBR-сектор сохраняются начиная с адреса 0/0/2 (трек/головка/сектор). Память заражается при загрузке с инфицированного диска. Затем вирус поражает только файлы. Является развитием файловых вирусов семейства "Fist" .





Flip, семейство

Резидентные файлово-загрузочные вирусы. Перехватывают INT 10h, 1Ch, 21h, 9Fh и заражают COM- и EXE-файлы и MBR винчестера.

При запуске зараженного файла вирусы поражают MBR винчестера. При этом уменьшают размер логического диска и в освободившееся пространство записывают первоначальный MBR-сектор и свое продолжение. Записывается в конец запускаемых COM- и EXE-файлов. В файлах являются полиморфик -вирусами: зашифрованы, а расшифровщик не имеет постоянного участка (сигнатуры) длиннее, чем 2 байта.

Второго числа в 16.00 "переворачивают" экран: меняют (верх-низ, право-лево) расположение символов на экране и переворачивают их изображение ('U' -> 'П', '/' -> '\').

"Flip.2343" заменяет в файлах набор команд


MOV DX,Data_1 MOV Data_2,DX MOV DX,Data_3 MOV Data_4,DX



на вызов INT 9Fh. Такое сочетание команд встречается в файле COMMAND.COM в подпрограмме, отвечающей за вывод на экран результатов работы функций DOS FindFirst и FindNext. Вирус содержит обработчик INT 9Fh и "уменьшает" длины файлов.

Содержат текст "OMICRON by PsychoBlast".

"Flip.Madrid" форматирует сектора дисков и выводит:

RAISTLIN I from Spain


Также содержит строку:

MADRID a favor del consumo de costo!




Демонстрации вирусных эффектов:

FLIP.COM



Fowl.3072

Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла или при загрузке с зараженной дискеты вирус записывается в активный boot-сектор винчестера. Вирус заражает оперативную память только при загрузке с пораженного диска (винчестера или дискеты). При этом вирус перехватывает INT 9, ждет загрузки DOS, затем перехватывает INT 28h и, когда процедура инсталляции DOS закончена, выделяет себе блок conventional-памяти, копирует туда свой код и перехватывает INT 13h, 21h. Затем вирус записывается в конец EXE-файлов при их запуске и в boot-сектора дискет при обращении к ним. В зависимости от текущей даты стирает сектора дисков.





Ginger, семейство

Безобидные резидентные стелс -вирусы. При запуске зараженного файла инфицируют MBR. При этом корректируют адрес активного boot-сектора - устанавливает его в 0/0/2 (цилиндр/сторона/сектор) - и записывают по этому адресу свое тело. Таким образом в зараженной MBR изменяются только три байта, указывающие на активный boot-сектор. При загрузке с пораженной MBR вирусы перехватывают INT 13h, 21h и записываются в конец COM- и EXE-файлов. Содержат в себе строки, некоторые из них используются при заражении файлов:

"Ginger.2774,2782":



You can't catch the Gingerbread Man!! Bad Seed - Made in OZ COMSPEC= \COMMAND.COM CHKDSK MEM 10/23/92



"Ginger.Orsam.2624":



Orsam - Made in OZ You can't catch the Gingerbread Man!! COMMAND







Glue.4000

Очень опасный резидентный файлово-загрузочный вирус. Записывается в конец .COM- и .EXE-файлов и в MBR винчестера и boot-сектора дискет. В файлах зашифрован. При обращении к зараженным секторам вызывает стелс-процедуру.

При запуске зараженного файла перехватывает INT 21h и остается резидентно в памяти. Затем заражает запускаемые и открываемые файлы. Перед тем, как заразить файл, заражает текущий диск (MBR или boot-сектор). При заражении MBR/boot записывает первоначальный сектор и свой код в свободные сектора диска, которые потом помечает как сбойные. Возможно повторное заражение файлов и секторов. В некоторых случаях портит boot-сектора дискет. Содержит прочие ошибки, которые могут привести к зависанию системы.

При DOS-вызовах FindFirst/Next вызывает стелс-процедуру, показывающую уменьшенную длину зараженных файлов. При запуске BACKUP.COM или CHKDSK.COM выключает эту стелс-процедуру.

При загрузке с зараженного диска вирус перехватывает INT 13h, ждет загрузки DOS, затем перехватывает INT 21h и INT 9 (клавиатура). В обработчике INT 9 находится счетчик, подсчитывающий число нажатий на клавиши. При 10000-ном нажатии вирус блокирует запись на диск (INT 13h) и не выставляет флагов ошибки. Это может привести к потере информации на диске.

Варианты вируса содержат строки:

"Glue.4000.a":



COMEXEBACKUP.COMCHKDSK.COM The Digital Glue (C) 1990,1991 by Eastern Digital 1900 Timi$oara THE END




"Glue.4000.b": COMEXEBACKUP.COMCHKDSK.COM Lipici (C) 1991 by Eastern Digital 1900 Timi$oara







BootExe, семейство

Резидентные безобидные файлово-загрузочные вирусы. Перехватывают INT 13h и записываются в EXE-файлы и Boot-сектор дисков. Boot-сектор винчестера инфицируется при старте зараженного файла, Boot-секторы флоппи-дисков - при чтении с диска. Первоначальный Boot-сектор сохраняется на винчестере по адресу 0/0/11 или 0/0/12 (головка/трек/ сектор), на флоппи-диске - по адресу 1/0/3. EXE-файлы поражаются по довольно оригинальному алгоритму: вирусы анализируют считываемую (INT 13h) с диска информацию. Если в считанном с диска секторе лежит заголовок EXE-файла (первые два байта равны "MZ", выполняются некоторые другие условия), то вирус записывается в свободное место в этом заголовке и сохраняет модифицированный сектор на диск. Т.е. а) при заражении файла его длина не увеличивается; б) не требуется обрабатывать атрибуты, время файла и критические ошибки (INT 24h). Вирусы никак не проявляется.

"BootExe.Stalker" поражает MBR винчестера и EXE-файлы. После заражения MBR вирус завешивает систему, после загрузки с зараженного диска перехватывает INT 13h и записывается в EXE-файлы. Содержит зашифрованную строку

*Stalker*






CCBB, семейство

Резидентные неопасные файлово-загрузочные вирусы. Записывается в конец файлов и в MBR винчестера. MBR винчестера инфицируется при старте зараженного файла. Перехватывают INT 13h, 21h. "CCBB.1410" поражает только COM-файлы, "CCBB.2221" записывается в COM- и SYS-файлы. "CCBB.2221" - стелс -вирус при обращении к зараженной MBR. Он проявляется видео-эффектом: в зависимости от текущего времени "переворачивает" экран. Оба вируса используют слово CCBBh как идентификатор зараженного файла/сектора.





Changsha

Резидентный опасный вирус, поражает MBR винчестера и записывается в конец .COM- и .EXE-файлов. Винчестер поражается при запуске пораженного файла. Затем вирус перехватывает INT 8, 13h, 21h и записывается в файлы (кроме файлов CO*.* и IB*.*). 4-го мая стирает файлы вместо их заражения, затем расшифровывает и выводит текст:

XqR:



Wherever, I love you Forever and ever ! The beautiful memory for ours in that summer time has been recorded in the Com- puter history. Bon voyage, My dear XqR !



Yours 05121991 in our Home.


Также содержит строки:


Welcome! Auto-Copy Deluxe R3.00 (C)Copyright 1991. Mr. YaQi. Changsha China No one can Beyond me!



New Century of Computer Now!




Демонстрации вирусных эффектов:

CHANGSHA.COM



Civil.6656

Резидентен, записывается в конец EXE-файлов и MBR винчестера. MBR инфицируется при старте зараженного файла, продолжение вируса и MBR-сектор сохраняются начиная с адреса 0/0/2 (трек/головка/сектор).

Память заражается при загрузке с инфицированного диска. Затем вирус поражает только файлы. Перехватывает INT 8, 9, 11h, 17h, 21h, форматирует диски, выводит тексты на экран (в том числе матерные), печатает их на принтере, исполняет мелодии. Вот некоторые тексты, содержащиеся в теле вируса. По ним видно, что за компьютером можно дожить до глубокого маразма.

CIVIL DEFENSE VIRUS VER 1.1



Formating disc c: complete. Format another ? (y/n)



Эх, как жаль, ведь мне так хотелось э т о сделать ...



Hard disk 1 formated. All your data lost. How are you feel now ?




ХА - ХА - ХА !!! СЛАВА К П С С ! НАРОД И ПАРТИЯ ЕДИНЫ ! ПРИВЕТ ОТ Г К Ч П!




Хреновая версия DOS Заменена. Press any key



ВАС ПРИВЕТСТВУЕТ ВИРУС CDV Ver 1.1 (c) 1992 Н-ск НЭТИ АСУ






Clist.1025

Очень опасный зашифрованный резидентный файлово-загрузочный вирус. Перехватывает INT 21h, 40h и записывается в конец COM-файлов при их запуске и в boot-сектора дискет при обращениях к ним. При загрузке с зараженной дискеты или при запуске зараженного файла записывается в boot-сектор диска C: В зависимости от своего счетчика стирает сектора дисков.





Codewar

Неопасный резидентный зашифрованный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного диска перехватывает INT 13h, 1Ch, затем ждет загрузки DOS и перехватывает INT 21h, 2Fh. Затем вирус записывается в конец COM- и EXE-файлов при их запуске или открытии, и в boot-сектора дискет при обращениях к ним.

При загрузке с зараженного диска вирус может вывести красную точку в верхний правый угол экрана. Вирус содержит строки:


PSYCHo-TECH GMBH 1995 >>> BRAVEd DANGER 4 BRAVE PEOPLe <<< [[ C000D0E0W0A0R ]] <31> Germany 1995 Virtually called to life & survival by MiNDMANiAC! RGOEPMSQO ==>= AllE GUtEN DiNGE SiND DREi ==>=







Config_Boot, семейство

Безобидные резидентные файлово-загрузочые вирусы. Родственны вирусам "HMA_Boot" . При запуске зараженного файла перехватывают INT 21h и остаются резидентно в DOS-памяти. При переходе на диск A: записываются в его boot-сектор.

При загрузке с зараженного диска вирусы перехватывают INT 1Ah, ждут загрузки DOS, затем создают в корне диска C: файл со случайно выбранным именем, записывают в него свой код и добавляют к файлу C:\CONFIG.SYS команду запуска этого файла ("INSTALL=\").

Содержат строки:


"Config_Boot.a": C:\CONFIG.SYS INSTALLHIGH=C:\ "Config_Boot.b": C:\CONFIG.SYS INSTALL=\







Coup, семейство

Очень опасные резидентные файлово-загрузочные вирусы. При запуске зараженного файла записываются в MBR винчестера и возвращают управление программе-носителю. При загрузке с зараженной MBR вирусы выделяют блок памяти, копируют туда свой код, перехватывают INT 13h, 1Ch и возвращают управление первоначальной MBR.

Обработчик INT 13h в вирусе содержит стелс-процедуру, исполняемую при обращениях к зараженным секторам. Обработчик INT 1Ch ждет загрузки DOS и перехватывает INT 21h. Затем вирус записывается в конец запускаемых .COM- и .EXE-файлов (кроме COMMAND.COM). При запуске антивирусов SCAN, MSAV, PART*, CLEAN, VSAFE, TOOLKIT, GUARD и FINDVIRU вирус портит их - записывает в их начало программу, которая при запуске сообщает:

"Coup.1957,2052.a":



Coup De Main : In Childhood taught me to Love Now that I Love Frenzied,Said me Forget !!!



"Coup.2052.b":



If you are boy,go and play ball !! Otherwise,Our "Blind Date" every day in "4-Bagh" at 6-9(pm).







CrazyEddie

Резидентный очень опасный файлово-загрузочный вирус. Ищет в каталогах COM- и EXE-файлы и записывается в их конец. MBR винчестера поражается при запуске зараженных файлов, старое содержимое MBR не сохраняется. Инфицирует память только при загрузке с зараженного диска. Портит файлы и каталоги, шифруя их содержимое довольно сложным алгоритмом. Перехватывает INT 1, 8, 13h. Содержит текст:

Crazy Eddie






Crepate, семейство

Очень опасные резидентные файлово-загрузочные самошифрующиеся вирусы. При запуске зараженного файла записываются в первый сектор текущего диска (boot-сектор на дискетах или MBR винчестера). При загрузке с зараженного диска перехватывают INT 1Ch, ждут загрузки DOS, перехватывают INT 21h и записываются в конец файлов при обращениях к ним. "Crepate.1944" заражает только COM-файлы, "Crepate.2910" заражает COM- и EXE-файлы. В зависимости от текущего времени вирусы стирают сектора дисков. Содержат строки:

"Crepate.1944":



Crepa R.T. (c) by MI BRACCOBALDO 1992/93 (CREPA) Italian Virus Laboratory (PISA) Released 3.0 - REDRUM. Crepa - R.T.



"Crepate.2910":



COMcomEXEexeOV?ov? Crepate (c)1992/93-Italy-(Pisa) Crepa(c) bye R.T.







CriCri, семейство

Очень опасные резидентные файлово-загрузочные полиморфик -стелс -вирусы. Перехватывают INT 13h, 21h. Записываются в boot-сектора дискет и в конец COM- и EXE-файлов при их запуске или закрытии. Не заражают файлы, если в их имени есть цифра или символ 'V', также не заражают файлы TB*.*, SC*.*, F-*.* и GU*.*. Содержат ошибку и в некоторых случаях портят файлы при их заражении. 4-го июня выводят текст и завешивают компьютер:


"CriCri.4300": Cri-Cri ViRuS by Griyo/29A ...Tried, tested, not approved. "CriCri.4616": Cri-Cri ViRuS by Griyo96 ...Tried, tested, not approved.



"Родственником" вирусов "CriCri" является вирус "Implant" .





Crusade.3072

Неопасный резидентный файлово-загрузочный стелс-вирус. При запуске зараженного файла вирус трассирует INT 13h, заражает MBR винчестера, затем перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Вирус не заражает файл, если его имя содержит строки:

MM ID SC RG WE VI AD


При загрузке с зараженного диска вирус также перехватывает INT 13h (стелс) и INT 1Ch (эффект). Эффект вызывается через 5 часов после загрузки с зараженного диска - вирус расшифровывает и выводит текст:


+--------------------+ | LIVE `N` LET LIVE! | +--------------------+



Вирус также содержит зашифрованную строку:

Take care of soft war or Last Crusade.






Crusher

Неопасный резидентный MBR-EXE-стелс-вирус. При запуске зараженного файла он записывается в MBR винчестера, затем перехватывает INT 21h и записывается в начало EXE-файлов при их копировании. При загрузке с пораженного диска перехватывает INT 1Ch, ждет загрузки DOS, затем восстанавливает INT 1Ch, перехватывает INT 21h и приступает к заражению файлов.

Если при работе вируса ему не хватает памяти, он сообщает: "Insufficient memory" и возвращается в DOS. При запуске CHKDSK вирус выводит текст:


Crusher You are damned Bit Addict / Trident

ДДДДДДДДДДДДДДДДДДДДДД







Daemaen, семейство

Резидентные зашифрованные вирусы. Записывают себя в конец COM-, EXE- и SYS-файлов, файлы SC*.*, CL*.*. VS*.*, F-*.* не заражаются. При запуске зараженного файла записываются в MBR винчестера, первоначальный сектор и само тело вируса сохраняется в секторах диска начиная с 9-го сектора. Вирусы перехватывают INT 13h и записываются в boot-сектора дискет, старый сектор и тело вируса сохраняется в последних секторах дискеты. Вирусы перехватывают INT 21h и записываются в файлы при доступе к ним. Выглядят как безобидные, однако во время одного из тестов FAT компьютера была уничтожена. Содержат строки:

"Daemaen.1894":



COMEXEBINOVLSYSSCCLVSF- Cowboys From Hell/Vulgar Display of Power [Pantera] The best Power Metal band in the world. tHiS k0oL ViRUZ WaReZ bY [TДLФN<=>NЦKф] '93!



"Daemaen.2041,2042,2048":



[DДeMЖИn] by TДLФN-{{NЦKф} Hugs to Sara Gordon Hey John! If this is bad, wait for [VCL20]! For Dudley [VCL20с]/TДLФNшЛ COMEXEBINOVLSYS







DAN (файлово-загрузочные)



DAN.WMA.451

Опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера и возвращает управление DOS. При загрузке с пораженного диска остается резидентно в памяти (при загрузке с дискеты заражает MBR). Перехватывает INT 13h, ждет загрузки DOS, затем перехватывает INT 21h и затем записывается в конец COM-файлов при их запуске и boot-сектора дискет при обращениях к ним. Не сохраняет первоначальный код boot-секторов дискет. Содержит ошибки и может завесить компьютер при заражении дискеты. Содержит строку:

wma






DAS_Boot

Безобидный файлово-загрузочный резидентный вирус. При запуске зараженного файла записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с пораженного диска перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в конец COM- и EXE-файлов при их запуске. Никак не проявляется.