┌──┌─┐┌──
──┘├─┘──┘ Presents
┐ ┌┐┐┌─┤ VMag, Issue 3, 1 January 1999
└─┘┘ ┘└─┘ ─────────────────────────────
Антивирусная программа - полифаг Desinfector
версия 3.61 от 10.12.1996 года
г.Брест, БрПИ (c) 1993-1996 by
Башаримов Андрей Владимирович
FIDO: 2:454/2.175
1. Использование.
Данная программа относится к свободному программному обеспече-
нию и может распространятся только в некоммерческих целях. Никакие
переработки программы без согласия на то ее автора недопустимы. При
использовании информации, предоставляемой данной программой, ссылка
на автора обязательна.
Все данные об обнаруживаемости вирусов программой AIDSTEST при-
ведены на момент включения вируса в программу.
2. Описание.
Программа "Desinfector" предназначена для выявления и удаления
известных автору файловых и загрузочных вирусов перечисленных ни-
же. Программа функционирует в версии DOS 3.xx и выше.
Формат : DESINF [/опции] Drive1 [Drive2...]
где
опции:
A - проверять все файлы подряд (не только COM,EXE,SYS,BIN,OV*).
C - параметр, указывающий на необходимость лечения обнаруженных
вирусов.
O - проверка на наличие вирусов-мутантов. Данную опцию нужно ис-
пользовать с некоторой осторожностью, т.к. работа в данном ре-
жиме может привести к подвисанию машины при проверке некоторых
файлов.
D - спрашивать разрешение на удаление испорченных файлов. По умол-
чанию безнадежно испорченные файлы будут удаляться автомати-
чески).
M - выдавать все сообщения в основной кодировке ASCII.
P - отключить защиту винчестера на время лечения (напр. ADM). Ис-
пользуйте этот режим, если у Вас установлена защита винчестера
от записи, которая блокирует возможность лечения файлов на
винчестерах.
B - не выдавать запрос на повторную проверку дискет (для исполь-
зования, например, в пакетных файлах).
H - выдать перечень услуг и условия распространения.
Drive1, Drive2... - имена проверяемых дисков, файла или группы файлов
по маске.
Примечание: не рекомендуется использовать опцию "P" в нестандартной
версии DOS. Если на Вашей машине установлена DOS ниже 3.30, то данная
опция работать не будет.
!!! ВНИМАНИЕ !!!
Если на Вашей машине Вы обнаружили вирус нового типа, убедите-
льная просьба передать зараженные модули или сохраненное тело вируса
по адресу: FIDO : 2:454/5.9
(для получения более полной информации запустите DESINF с ключом /H).
3. Стратегия работы.
При загрузке программы Desinfector в память и передаче ей управ-
ления происходит проверка памяти компьютера на наличие в ней активных
вирусов, обнаруживаемых настоящей программой. В случае обнаружения та-
кого вируса он деактивируется программой Desinfector. Затем проводит-
ся проверка программы на зараженность файловым вирусом. Если обнаружи-
вается какое-либо несоответствие кода программы, находящегося в памяти
и на диске, то работа программы прекращается с выдачей соответствующе-
го сообщения. Затем происходит проверка дисков, файлов или группы фай-
лов по маске, заданных в качестве параметров командной строки.
3.1. Примечания.
1. В случае обнаружения вируса в памяти компьютера он деактивируется
полностью, т.е. прекращаются все его внешние проявления.
2. В случае, если есть сомнение в правильности восстановления MBR или
Boot - содержимого выводится соответствующий запрос; это означает,
что либо вирусом не был сохранен оригинал загрузчика, либо он оказал-
ся ипорченным (например, при заражении сразу несколькими вирусами),
либо на загрузчик имел нестандартный формат. Рекомендую сначала ис-
следовать диск при помощи, например, DiskEdit, и только после этого
принять решение о возможности лечения. Лечение в этом случае будет
состоять в замене программной части загрузчика на стандартную. Если
же у Вас такое случилось с системной дискетой, то рекомендую исполь-
зовать команду SYS для восстановления Boot - сектора.
3. В Desinfector теперь включен контроль текущей системной даты при
его запуске, и если с момента выпуска данной версии прошло 2 месяца,
то, начиная с этого момента будет выдаваться небольшое профилакти-
ческое напоминание об этом пользователю.
4. Обнаруживаемые программой Desinfector вирусы.
4.1 Файловые вирусы.
=====================
[April1st]/483
---------------
Файловый резидентный вирус. Заражает файлы типа .COM,.EXE и оверлеи.
При заражении использует видеобуфер, не переустанавливает область
стека; в заражаемых .EXE - программах, не контролирует длину .COM -
файлов (больше ли она 65535-483 байт), что может привести к порче
файлов. Использует адрес int 20h, чтобы определить адрес int 21h, ус-
танавливаемый Dos при загрузке, поэтому вирус функционирует, если int
20h имеет адрес, установленный Dos при загрузке.
По 1-м апреля вирус выдает на экран сообщение:
"Христос - воскрес ! ! !"
В классификации AIDSTEST обозначен как (April).
[BrPi]/555
-----------
Крайне неумело переделанный April. Добавлено сохранение и изменение
атрибута и даты/времени последней модификации файла. При запуске за-
раженной программы вирус листает видеостраницу на 1/4 вверх. Содержит
строку: "by BrPi '92".
AIDSTEST его не обнаруживает.
[BrPi]/511
------------
Продукция того же автора. Ошибки остались в неприкосновенности. Нахо-
дясь в памяти, не позволяет запускать программы, имя которых оканчи-
вается на букву "T". Вероятно автор стремился таким образом блокиро-
вать запуск AIDSTEST.EXE, но забыл, что существуют и другие програм-
мы - например FORMAT.COM и т.д. Содержит строку:
"(c) by BrPI Version 2.0 '92".
AIDSTEST его не обнаруживает.
[Friday]/763
-------------
Резидент в области старших адресов памяти. Заражает EXE и COM при за-
пуске. По-видимому, написан тем же, кто написал [BrPi]/555. Грамот-
ностью не отличается. Ну сколько же можно переделывать ставший уже
классическим [April1st]/483!? Корректирует возвращаемую DOS длину при
поиске в директории. После 15-го октября в каждую пятницу при первой
загрузке выводит на экран:"Нормальные ЛЮДИ по ПЯТНИЦАМ не РАБОТАЮТ !"
В классификации AIDSTEST обозначен как (Moslem).
[AIW]/572
-----------
Файловый резидентный вирус. Заражает файлы типа .COM при их запуске.
Файлы, имя которых заканчивается буквами "ND", имеющие атрибут "sys-
tem", с длиной меньшей 500 и большей 64000 байт не заражаются. Ничем
плохим, кроме размножения не занимается. Содержит строку "AIW2°JB".
AIDSTEST его не обнаруживает.
[Baby_L(AB)]/674
-----------------
Файловый резидетный вирус.
Заражает файлы типа .COM, .EXE и оверлеи при их запуске и просмотре.
Зараженные файлы определяется по наличию строки 'AB' для .COM - в 4-м
и 5-м байтах, а для .EXE - в байтах контрольной суммы. Не изменяется
время и дата создания фийла, а также его атрибут. Файла с атрибутом
"system", с длиной менее 500 и более 64000 байт не заражаются. По 12-
м числам каждого месяца вирус выдает сообщение :
"...my baby Lyubashenka love the sweet...", сопровождаемое гудком и
уничтожает информацию на дисках A-G.
( Desinf не убирает байты 'AB' для EXE - файлов, тем самым повторное
заражение такого файла данным вирусом исключается ).
AIDSTEST его не обнаруживает.
[Kind Nutacracker(AB1)]/1924
-----------------------------
В моей коллекции первый представитель семейства вирусов - мутантов.
Заражает COM и EXE файлы при чтении, запуске, переименовании или из-
менении атрибута. Сбрасывает и восстанавливает атрибут только-чтение,
время/дату последней коррекции, обрабатывает возникающие критические
ошибки ввода/вывода. Заражение производит однократно. Обходит боль-
шинство защит винчестера от записи и резидентные антивирусные филь-
тры. EXE заражает преобразованием в COM. Записывается в случайное
место программы, сохраняя стираемую при этом часть в конце в зашиф-
рованном виде. К концу программы дописывает случайные куски и вос-
становить исходный размер файла невозможно. К концу программы до-
писывается подпрограмма расшифровки, варьирующаяся случайным образом
в каждой копии. К сожалению, эта подпрограмма содержит ошибку, что
иногда может приводить к провисанию или некорректной работе програм-
мы. При первой инсталляции в память вирус только на PS/2 или при на-
личии SVGA/VGA монитора с вероятностью 1/48 начинает примерно 18 раз
в секунду подавлять/разрешать видео-рефреш. Содержит т екстовые стро-
ки: "Dedicated to N.L.A. - my little baby." в начале и "(c) by Kind
Nutcracker(AB1)" в конце.
AIDSTEST его не обнаруживает.
[Nutcracker(AB3)]/2293
-----------------------
Файловый резидентный Stealth - вирус.
Заражает файлы типа .COM,.EXE и оверлеи при их запуске, просмотре,
копировании, переименовании. У зараженных файлов не изменяется дата/
время последней модиикации и атрибут. Причем, в большинстве случаев,
зараженные оверлейные файлы потеряют работоспособность. Не заражают-
ся файлы с атрибутом "system", .COM - файлы с длиной меньшей 512
и большей 63182 и .EXE - с длиной большей 196604 байта. Обходит боль-
шинство защит, устанавливаемых на винчестере (напр. ADM). Средствами
DOS обнаружить данный вирус практически невозможно, так как длины
зараженных файлов в меню Norton Commander и при команде "DIR" вы-
глядят неизмененными, если вирус находится в памяти. Файлы имеют
"нормальный" вид и при их чтении через функции DOS. Особенности:чеpез
22 дня после заpажения виpус начинает замедлять обмен данными с дис-
плеем пpимеpно в 3 - 4 pаза. Удаяет при попытке обращения к ним фай-
лы в расширении которых присутствует ASCII-символ с кодом 176 (напр.
таблицы ревизора диска ADinf), а также, примерно с вероятностью 1/6,
файлы, расширение имени которых оканчивается на 'AS' (BAS,PAS). Кроме
этого вирус уничтожает информацию на дисках A-G по 12-м января. Со-
держит строку: "Nutcracker(AB3)".
AIDSTEST его не обнаруживает.
[Sombre Nutcracker(AB4)]/3100
------------------------------
Дальнейшее развитие вируса [Nutcracker(AB3)]/2293. По-прежнему удаля-
ются файлы с расширением ?AS и таблицы ревизора дисков ADinf. Каждый
64-ый запуск зараженной программы (счетчик записывается в Boot-сек-
тор) вирус помечает случайный кластер как сбойный. Кроме того вирус
записывает в MBR винчестера конструкцию, которая по 12-м января фор-
матирует винчестер (только на XT при наличии энергонезависимого тай-
мера реального времени) или 1-ые цилиндры двух жестких дисков.
Содержит строку: "Sombre Nutcracker(AB4)".
AIDSTEST его не обнаруживает.
[Gloomy Nutcracker(AB5)]/2900
------------------------------
Следующая разновидность. Заражает COM и EXE при запуске, закрытии и
переименовании. Использует ряд тонких возможностей DOS, но имеет не-
которые ошибки, иногда приводящие к провисанию системы. Для определе-
ния наличия защиты от записи читает и перезаписывает BOOT-сектор
диска, содержащего заражаемый файл. Удаляет кроме всего прочего (см.
описание [Nutcracker(AB3)]/2293 еще и файлы с расширением 'MS'. В MBR
записывает конструкцию [Gloomy Nutcracker(AB5)]/MBR - описание см.
ниже. Содержит ряд антитрассировочных приемов. В теле вируса видна
текстовая строка: "Only the Hope dies last!".
AIDSTEST его не обнаруживает.
[Gloomy Nutcracker(AB5)]/3139
------------------------------
Слегка подправленная версия предыдущего вируса. Добавлено заражение
всех COM и EXE файлов текущей директории диска C: при первой инстал-
ляции в память. Если в памяти присутствует вирус [Andrew], то он ис-
правляется данным вирусом таким образом, что деструктивные свойства
вируса [Andrew] проявятся через 256, а не 512 перезагрузок. При этом
будет отформатирован 1-ый цилиндр винчестера.
AIDSTEST его не обнаруживает.
[Gloomy Nutcracker(AB5)]/2725
------------------------------
Представитель того же семейства. Промежуточный экземпляр между (AB4)
и (AB5). Каждый 16-ый запуск программы портит содержимое случайно
выбранного сектора на диске, с которого загружалась программа. Пакос-
тит с ?AS, MS - файлами и таблицами ADinf (см. описание AB5). Содер-
жит строку: "Only the Hope dies last!".
AIDSTEST его не берет.
[Dreary Nutcracker(AB6)]/3500(4)
---------------------------------
[Dreary Nutcracker(AB6)]/MBR
-----------------------------
Следующий представитель семейства "Nutcracker". Заражает COM и EXE
файлы при закрытии, переименовании, запуске, а также MBR винчестера.
Является Stealth-вирусом: при наличии вируса в памяти зараженные фай-
лы и MBR имеют нормальный вид, сектора, содержащие тело вируса (для
инсталляции из MBR) при чтении будут содержать нули, т.к. все вызыва-
емые для этого функции DOS и BIOS вирусом обрабатываются таким обра-
зом, чтобы полностью скрыть свое наличие в машине. При загрузке из
MBR вирус контролирует текущую дату, и когда она становится равной 12
января, вирус форматирует все винчестерские диски и портит CMOS пара-
метры. Кроме того вирус создает проблемы при распечатке текстов на
принтере: каждый 1...767 символ, выводимый на принтер, заменяется ви-
русом на единицу больший (т.е. A на B и т.д.). Вирус по-прежнему бо-
рется с таблицами ADinf и ?AS-файлами, а также MS и FW?-файлами.Часть
вируса кодируется переменной в каждой копии маской. Зараженным файлам
устанавливается 60 сек во времени последней модификации. Содержит
строку: Dreary Nutcracker(AB6) Lives, которую выводит после порчи ин-
формации на винчестере. Всего на сегодняшний день известно три разно-
видности этого вируса. Вторая версия выдает на экран текст: "Dreary
Nutcracker(AB6) Lives Again. ". Третья является существенно перерабо-
танной версией. Форматируются только первые цилиндры всех винчестерс-
ких дисков, пропускаются некоторые символы, выводимые на печать, ре-
ализован алгоритм "скрытого" присутствия в памяти. На экран выводится
строка: "Dreary Nutcracker(AB6) lives forever!".
AIDSTESTу они не знакомы.
[Nutcracker(AB7)]/2000
-----------------------
Заражает Boot сектора дискет, MBR винчестера и EXE-файлы при их копи-
ровании. EXE-файлы поражаются только объемом до 64K приводом их к COM
формату. Весьма похож на загрузочный вирус [Punisher]/MBR. Старается
быть невидимым для ADinf. Корректирует длину зараженных файлов, при-
водя к фактической. Старается при возможности инсталлироваться в об-
ласть UMB. По 12-м числам каждого нечетного месяца при загрузке сис-
темы выдает на экран: I'm Nutcracker(AB7)! и ждет нажатия на клавишу.
Инсталлируется в память только из Boot или MBR.
AIDSTEST его не обнаруживает.
[AntiBAS]/351
--------------
Файловый нерезидентный вирус.
Заражает файлы типа .COM в текущем каталоге, записываясь в начало и
переставляя старое начало в конец файла. Заражение определяется по
наличию 60 сек. во времени последней модификации файла. Вирус ищет
файлы с расширением BAS в текущем каталоге и вписывает в их первые 74
байта конструкцию, приводящую при их последующем запуске в интерпре-
таторе BASIC к удалению всех файлов в текущих каталогах дисков A-F,
причем в текущем каталоге создаются директории с именами A-F.
AIDSTEST его не обнаруживает.
[Andy]/492
-----------
Файловый нерезидентный вирус.
Первым делом находит и пытается заразить файл COMMAND.COM, а затем
заражает все COM - файлы в текущем каталоге. Файлы с атрибутом "sys-
tem", имеющие длину менее 493 и отличающиеся от 64К байт менее, чем
на 492 байта, EXE - формата не заражаются. Причем с вероятностью 1/10
вирус вставляет в начало заражаемой программы команду перезагрузки,
таким образом безнадежно портя файл. По 23-м числам каждого месяца
вирус уничтожает информацию на дисках A-F.
AIDSTEST его не обнаруживает.
[Viktoria]/480
---------------
Файловый резидентный вирус.
Заражает файлы типа .COM при их запуске, просмотре, переименовании, и
изменении атрибута. Тип файла определяется по его имени, поэтому .EXE
файлы с расширением COM при заражении портятся, кроме того, портятся
COM - файлы, отличающиеся от 64K менее, чем на 480 байт. У зараженых
файлов не изменяется дата/время последней модификации. В работе с
жестким диском вирус использует вектор 13H, установленный при заг-
рузке DOS, что позволяет ему обходить защиту винчестера от записи.
Вирус удяляет с вероятностью 1/60 при попытке запуска, чтения, переи-
менования или копирования не COM - файлы, создавая новый с тем же
именем и впечатывая в него строку :
"Queen Viktoria lives...everytime in my heart!",
что делает этот вирус чрезвычайно опасным.
AIDSTEST его не обнаруживает.
[Viktoria]/550
---------------
Следующая версия. Стираются файлы с расширением отличным от EXE,COM,
BAT. Впечатывается строка:
"Queen ViKtoria is dead...but I have a new LIFE&LOVE!"
AIDSTEST его не знает.
[EXE]/3XX
----------
Резидентные Stealth - вирусы. Пока известно два варианта с длинами
385 и 396. Длину файла не увеличивают. Заражают EXE - файлы, записы-
ваясь в заголовок, причем заражаемый файл должен иметь в заголовке
достаточное количество байт. Файлы, большие 64K байт не заражаются.
Скрывают свое присутствие на уровне INT 13H. Реализован алгоритм об-
хода защит винчестера от записи. По 12-м января каждого года вирусы
форматируют винчестер, помечая все его сектора как плохие.
AIDSTEST их не обнаруживает.
[BootEXE]/451,452
------------------
Заражают Boot винчестера и дискет. Старое содержимое размещают для
винчестера - в 0/0/12(11),для дискет - в последнем Root. Кроме того,
вирусы заражают некоторые EXE - файлы, записываясь в заголовок. Длина
при этом не увеличивается.
В классификации AIDSTEST обозначен как (BootEXE).
[Day13th]/200
--------------
Заражает COM-файлы в текущем каталоге, записываясь в начало и перес-
тавляя старое начало в конец файла. По 13-м числам и воскресеньям
удаляет все файлы в текущем каталоге. Признаком зараженности явля-
ется фиксированная дата последней модификации файла, устанавливаемая
в 15/02/91.
AIDSTEST его не обнаруживает.
[Sunday]/202
-------------
Весьма близок к [Day13th], что позволяет предполагать либо одного ав-
тора, либо плагиат. Проявления те же.
AIDSTEST его не обнаруживает.
[Day24th]/140
--------------
То же, что и предыдущий, только не устанавливается фиксированная дата
и файлы стираются по 24-м числам каждого месяца.
AIDSTEST его не обнаруживает.
[MoscowEvevings]/586
---------------------
Та же группа: на этот раз по 13-м числам исполняется мелодия "Подмос-
ковные вечера".
AIDSTEST его не обнаруживает.
[Dark Avenger]/1800
--------------------
Классический вирус. Написан в Болгарии в 1989 году. Заражает COM и
EXE при копировании, переименовании, чтении и запуске. Записывает
счетчик своих инсталляций в Boot сектор диска и каждую 16-тую инстал-
ляцию портит содержимое случайно выбранного сектора диска. Причем в
начале испорченного сектора будет находится строка:
"Eddie lives...somewhere in time!".
AIDSTEST обнаруживает его как (Edd-1800).
[June24th]/570
------------------
Резидентный вирус. Заражает COM и EXE размером до 64000 байт при соз-
дании и копировании. При заражении изменяет формат EXE на COM. Перед
заражением дописывает к концу файла от 0 до 120 байт. Заражение про-
исходит многократно. Если создается файл не COM или EXE, то вирус
примерно с вероятностью 1/10 закрывает его, что приводит к ошибке
создания файла. По 24-м июня каждого года или при невозможности ос-
таться резидентно в памяти вирус портит CMOS-параметры. При лечении
этого вируса невозможно восстановить исходный размер файла.
AIDSTEST его не обнаруживает.
[Snowfall]/1015(2),945
-----------------------
Файловые резидентные вирусы. Заражают файлы типа COM при запуске,чте-
нии, переименовании и изменении атрибута. Перед заражением читают и
пишут Boot - сектор диска для определения наличия защиты от записи.
Впрочем, винчестерскую защиту, как и большинство резидентных антиви-
русов-сторожей,вирусы обходят.(Не)изменяют дату/время создания файла.
Через некоторое время и при более чем 32 запусках зараженных программ
вирусы генерируют "снег" на экране. Снег состоит из падения символов
'*' с верха экрана, движущимся по случайнам траекториям. В стадии
проявления все зараженные программы выдают на экран строку:
"Given program was generated in BrPI (c) 1994 The Snowfall".
AIDSTEST их не обнаруживает.
[Rdo_Phs]/2000
---------------
Резидент в старшей части памяти, причем остается резидентно, если те-
кущий MCB-блок - последний. Частично шифруется, причем делает все
возможное для затруднения распознавания шифровочной маски в отладчи-
ке: начиная от подсчета контрольной суммы собственного участка кода,
до использования пошагового режима при восстановлении маски. Алгоритм
заражения практически полностью содран с "Dark Avenger". Заражаются
только EXE - модуля при чтении, запуске, переименовании и изменении
атрибута. Работает только в DOS не выше 4.xx, т.к. использует при оп-
ределении исходного DOS - обработчика функций некоторые особенности,
присущие только указанным версиям. Заражает и файлы с атрибутом "sys-
tem", что приводит к очевидным последствиям. Округляет длину файла до
кратной шестнадцати. Не заражает файлы, в полном имени которых при-
сутствует комбинация букв 'AI'. Зараженные файлы помечает в опреде-
ленных разрядах значения секунд их последней модификации.
Через некоторое время выводит на экран целую "поэму", посвященную 4 -
ой кафедре радиофизики БГУ и ждет нажатия на любую клавишу.
AIDSTEST его не обнаруживает.
[Coder1992]/1922
-----------------
Заражает EXE и COM при запуске, чтении и т.д. Работает в версиях DOS,
начиная с 3.00. Обходит большинство резидентных антивирусных сторожей
и защит винчестера от записи. В процедуре обработки возникающих кри-
тических ошибок записи есть неточность. Не заражает файлы COMMAND.COM
и AIDSTEST.EXE, что позволяет подозревать его отечественное происхож-
дение. Тело вируса кодируется 6-ю вариантами шифровки. Перед зараже-
нием EXE делает его длину кратной шестнадцати. Не проверяет атрибут
заражаемого файла и поэтому может заразить файлы с атрибутом "sys-
tem". Автор вируса питает странную слабость к числу 1992h, чем и
обусловлено название вируса.
AIDSTEST его не обнаруживает.
[Vienna]/648
-------------
Заражает только COM, просматривая текущий каталог и каталоги, доступ-
ные через PATH. Это широко известный тривиальный вирус и включен в
DESINFECTOR только ради полноты коллекции. С вероятностью 1/8 вирус
портит заражаемую программу таким образом, что при ее запуске будет
произведена перезагрузка системы.
В классификации AIDSTEST обозначен как (Vienna).
[Vienna]/534
-------------
Переделка предыдущего вируса. Зараженным файлам выставляется 13-ый
месяц в дате последней модификации. Содержит строку:
"Microsoftyright 1988".
В классификации AIDSTEST - (Vienna)-534.
[SVC-5]/3103
-------------
Stealth - вирус. Заражает COM и EXE при чтении, запуске и т.д. Нахо-
дясь в памяти, корректирует вадаваемую DOS информацию о файлах таким
образом, что они выглядят неизмененными. При работе CHKDSK вирус от-
дает ему нескорректированные (реальные) длины зараженных файлов.
Содежит строку: "(c) 1990 by SVC,Vers 5.0". Шифрует сохраняемое на-
чало файла.
В классификации AIDSTEST обозначен как (SVC)-3103.
[SVC-5.1]/3103
---------------
Скорее всего не авторская переделка предыдущего вируса. В читаемых
секторах ищет определенную последовательность байт и при ее обнаруже-
нии портит в буфере один байт и пишет сектора на диск. При этом испо-
льзуется абсолютный адрес, верный только для MS DOS 3.30. Содержит в
конце текст: "(c) 1991 by SVC,Vers 5.1" с инвертированными битами.
В классификации AIDSTEST обозначен как (SVCX)-3103.
[SVC-4]/1689,1740
------------------
Предыдущие версии того же вируса. Заражают COM и EXE только при за-
пуске. Зараженным файлам устанавливают 60 сек во времени создания.
Скрывают изменение длины у зараженных файлов. В конце содержат текст:
"(c) 1990 by SCV,Vers. 4.0".
AIDSTEST опознает их.
[SVC-3]/1064
-------------
Наиболее древняя версия. Написан в 1990 году. Никак не проявляется. В
конце имеется строка: "(c) 1990 by SVC, Vers. 3.1"
AIDSTEST его знает.
[Yankee Doodle]/2885
---------------------
Заражает COM и EXE только при запуске, однако может поразить далеко
не каждый EXE - файл. Содержит средства борьбы против трассировки
резидентной части и копий на дисках. В 17.00 исполняет мелодию под
названием "Yankee Doodle".
В классификации AIDSTEST обозначен как (M2C).
[Cascade]/1701
---------------
Заражает COM только при запуске. Шифруется. Содержит алгоритм разме-
щения в середине оперативной памяти. Начиная с некоторого момента на
XT осыпает буквы на экране. На AT алгоритм осыпания активизировался
в третьей декаде 1988 года.
В классификации AIDSTEST обозначен как (Cascade).
[Svetlana v1.0]/1100
---------------------
Заражает COM и EXE при запуске. Является плагиатом с [SVC-5] причем
без Stealth - возможностей. Зараженные файлы помечает 60 сек. Заража-
ет довольно аккуратно. Никакой вред, кроме размножения не предусмот-
рен. Содержит в конце текстовую строку: "Svetlana v1.0".
AIDSTEST его не обнаруживает.
[Svetlana v1.1]/2060
---------------------
Следующая версия. Добавлен видеоэффект: начиная с некоторого момента
после инсталляции в память вирус начинает по нажатию клавиш "стрелка"
сдвигать экран в соответствии с нажатой клавишей, т.е. вверх, вниз,
вправо, влево. Нажатие клавиши ESC отключает этот эффект. Содержит в
конце текстовую строку: "Svetlana v1.1".
AIDSTEST его не обнаруживает.
[Svetlana v1.2]/3410
---------------------
В этой версии появились элементы невидимости: при трассировке резиде-
нтной части вируса он перезагружает систему, а при попытке выполнить
программу в отладчике вирус излечивает ее. Добавлен также алгоритм
осыпания букв, переписанный из вируса [Cascade]. Содержит в конце
текстовую строку: "Svetlana v1.2".
AIDSTEST его не обнаруживает.
[Svetlana v1.3]/4734
---------------------
Эта разновидность обладает Stealth - возможностями, переписанными,
впрочем, с вируса [SVC-5]. Однако в этой версии имеются ошибки, при-
водящие к провисанию системы. Содержит в конце текстовую строку:
"Svetlana v1.3".
AIDSTEST его не обнаруживает.
[XAM]/797(821)
---------------
Заражает COM и EXE при запуске, открытии и т.д., резидентный. Призна-
ком зараженности служит 10 сек. во времени модификации файла. Содер-
жит довольно хитрый прием обхода резидентных антивирусных фильтров.
Если читается менее, чем 33 байта начала заголовка EXE модуля, то ви-
рус подставляет вместо реальной информации в буфер с прочитанными
данными старую (скорее всего это сделано для предотвращения обнаруже-
ния собственной зараженности программами-антивирусами в формате EXE).
Никакие специальные пакости не предусмотрены. В теле вируса видны
строки: "Wait viruses XAM" и "Hi, Dimitriy Nikolaevich!".
В спецификации AIDSTEST обозначен как (XAM).
[ZAK]/1839
-----------
Заражает COM и EXE при запуске. Заражение выполняет корректно. Преду-
смотрен вывод на экран приветствия на польском языке некому "инженеру
Заку", однако из-за ошибки (проверки на соблюдение двух взаимоисклю-
чающих условий) этого никогда не происходит. Вирус контролирует изме-
нение/чтение Int 21h посредством DOS и корректирует значение вектора
в собственном буфере (некое подобие всплывающего обработчика).
AIDSTESTу он неизвестен.
[Case]/927
-----------
Заражает COM-файлы только при запуске. Является плагиатом с вируса
[Cascade]. Алгоритм размещения в памяти взят из вируса [Yankee Dood-
le]. По четным дням недели четных месяцев в 11 часов 11 минут 11 се-
кунд все строчные буквы латинского алфавита, изображенные на экране,
преобразует в прописные.
В классификации AIDSTEST обозначен как (Case).
[Zarin]/489,498
----------------
Группа простейших нерезидентных вирусов. Заражают только COM в теку-
щем каталоге. Пытаются портить по 11-м и 23-м числам каждого месяца
Boot диска C: и A:. Вместо выполнения зараженной программы вирус
[Zarin]/498 остается резидентно в памяти по указанным числам и при
попытке вызова Int 25h завершает текущий процесс.
AIDSTEST, естественно, безмолствует.
[Eddie]/2000
-------------
Заражает COM и EXE при запуске, создании, открытии, переименовании и
изменении атрибута. Резидент в области памяти со старшими адресами.
Зараженнвм файлам проставляет 62 сек. во времени и затем использует
этот признак для коррекции длины файла при выдаче содержимого катало-
га. Обходит большинство защит винчестера от записи на уровне Int 13h.
Обработчик Int 21h сделан всплывающим, т.е. собственный обработчик
Int 27h контролирует изменение вышеназванного вектора и не дает дру-
гим программам встать перед собой в цепочке обработчиков прерывания.
При запуске файла, содержащего строку "Vesselin Bontchev" при вызове
первого Int 21h вирус подвешивает систему. Вирусом контролируется ко-
личество собственных запусков (счетчик хранится в BOOT-секторе) и
каждый 16-ый запуск вирус уничтожает содержимое случайно выбранного
сектора данных диска, с которого происходила загрузка программы, при-
чем чтение/запись секторов происходит на уровне дискового драйвера.
Содержит текстовые строки: "Only the Good die young...", "Диана П." и
"(c) 1989 by Vesselin Bontchev". Имеется переделанный, по-видимому не
авторский, вариант отличающийся от оригинала несколькими командами.
Он различается DESINFом под тем же именем.
В классификации AIDSTEST обозначены как (Edd-2000).
[Hymn]/2144
------------
Заражает COM и EXE при запуске и чтении. Алгоритм заражения и инстал-
ляции практически полностью содран с "Dark Avenger". Содержит ряд
хитростей, затрудняющих его изучение. Корректирует DOS-обработчик
функций, но при этом ориентируется только на DOS 3.x-4.x и поэтому,
скорее всего, в других версиях неработоспособен. Шифруется. Контроли-
рует системную дату и при совпадении номера дня и месяца пытается
стереть BOOT-сектор диска C, после чего исполняет б.гимн б.СССР.
В классификации AIDSTEST обозначен как (HYMN).
[Attention]/394
----------------
Заражает только COM и только при запуске. В начало заражаемого файла
вписывает строку "ATTENTON !". При возникновении при заражении неу-
странимой ошибки ввода/вывода трижды включает/выключает дисковод A:.
В классификации AIDSTEST - (Atn).
[Jmp]/165
----------
Заражает только COM в текущем каталоге. Зараженные программы теряют
способность обрабатывать параметры. Признаком заражения служит пос-
ледний байт файла, имеющий значение 0E9h (код команды JMP).
AIDSTEST его не берет.
[ALEX]/599
-----------
Заражает COM поиском в текущем каталоге и по PATH, если в текущем ка-
талоге все файлы заражены. Признаком заражения vявляется 60 сек во
времени последней коррекции файла. Заражение проиходит путем переза-
писи заражаемого файла. Близко от конца содержит сроку: "ALEX".
В классификации AIDSTEST - (Search)-599.
[Frodo]/369
------------
Заражает только COM поиском в текущем каталоге. При заражении выдает
соответствующие для каждого файла сообщения :
- infected.
- already infected.
- bad size to infect.
После сеанса выдает: "Frodo lives !!!"
AIDSTEST его не опознает.
[Wishes]/981
-------------
Заражает COM и EXE при открытии на чтение и запуске. Из-за ошибки за-
ражает многократно. Портит дату/время заражаемого файла. В пятницу 13
обнуляет параметр размера текущего диска в BOOT-секторе, а в другие
дни - периодически его уменьшает. При обнулении выдает на экран стро-
ку: "With Best Wishes!".
AIDSTEST отзывается на него как - (Wishes-981).
[Retn]/155
-----------
Заражает только COM поиском в текущем каталоге. Записывается в конец.
Признаком заражения служит 4-ый байт зараженного файла равный 0C3h -
команде RETN.
AIDSTEST его не обнаруживает.
[NoEXEC]/224
-------------
Заражает COM при запуске. Резидентный. При первой инсталляции в па-
мять зараженная программа не выполняется. Если при заражении програм-
мы произошла ошибка, то ее выполнение блокируется.
AIDSTESTу он неизвестен.
[MSmall]/409
-------------
Заражает только COM при запуске. Резидентный. Свое наличие в файле
определяет по его первому байту ( код 4Dh - dec bp), таким образом
EXE-модуля определяет правильно и не заражает их. Сохраняет атрибут и
дату / время файла, не обрабатывает критические ошибки при записи
(Int 24h). По пятницам между 11.00 и 11.20 дергает по горизонтали
развертку на экране (EGA/VGA).
AIDSTEST на него реагирует как (Rock-409).
[KosKon]/313
-------------
Заражает только COM. Резидентный. В ничем плохом, кроме размножения,
не замечен. В конце содержит текст: "(c)KosKon.MREI.v3.93".
AIDSTEST на него не реагирует.
[Exit]/376
-----------
Заражает только COM при завершении. Для этого перехватывает Int 20h и
Int 21h. Резидент в области второй половины векторов прерываний. Пор-
тит файлы, у которых имя не соответствует содержимому, т.е. EXE с
расширением COM.
AIDSTEST опознает его как (Exit-376).
[AntiTrace]/1946,1864,2122
---------------------------
Заражают только COM при запуске, чтении. Резидентные. Пытаются быть
невидимыми за счет постоянного лечения/заражения - т.е, например, при
открытии файла на чтение при активном резидентном вирусе он будет вы-
лечен вирусами, а при закрытии снова заражен (то же и при запуске).
Вроде бы пытаются бороться с трассировкой, но особых трудностей я при
этом не испытывал. Не заражают файлы, если в этот момент нажаты одно-
временно две клавиши Shift. При неудачной попытке трассировки Int 21h
выдают на экран (только цветной):
AntiTrace
Loading AntiVirus Was Created
by Invalid Programmer
[Continue]
(либо что-то в этом духе) и будут ждать нажатия на клавишу.
AIDSTEST знает только (AntiTrace-2122).
[NG-2.1]/706
-------------
Заражает только COM. Резидентный. Пишется в начало, сохраняя ориги-
нальное в конце файла. Заражение происходит поиском в текущем ката-
логе во время простоя DOS, причем только после записи данных на
диск. При первой инсталляции в память не выполняет зараженную про-
грамму, а выдает:Bad command or file name. Содержит текстовую строку:
"New Generation v.2.1 (NG-2.1 Ukr)."
AIDSTESTом распознается как (NG-706).
[NG-2.3]/1036
--------------
Следующая версия. Поражаются только COM. При первой инсталляции в па-
мять отслеживает завершение зараженной программы и остается после
этого резидентно в памяти. Содержит некоторые хитрости с изменением
точки входа в собственный код. Содержит строку: "NG-2.3 Ukr".
AIDSTEST распознает его как (NG-1036).
[PrintScr]/1024
----------------
Заражает только COM. Резидентный. Использует INT 5 (PrintScreen) для
своих внутренних целей, из-за чего печать экрана при активном вирусе
вызовет, скорее всего, подвисание машины. Пишется в начало, сохраняя
старое начало в конце файла.
AIDSTEST ругает его как (PRTSCR-1024).
[FBug]/699
-----------
Только COM. Резидентный. Не заражает COMMAND.COM. Дописывает перед
собой 5 байт плюс 15 байт на выравнивание, поэтому истинную длину
файла восстановить невозможно. Если бы не был испорчен код, то должен
был бы периодически симулировать сбои на НГМД.
AIDSTEST его знает под именем (V-699).
[DM]/400
---------
Заражает только COM. Резидентный. Иногда может портить некоторые до-
рожки первого твердого диска. Содержит в конце текст: "(C)1990 DM".
В классификации AIDSTEST - (DM-400).
[AT]/144
---------
Работоспособен только на AT. Резидентный. Заражает только COM при за-
пуске.
В классификации AIDSTEST обозначен как (AT-144).
[Tiny]/114,118,132,141
-----------------------
Заражают только COM, резидентные. Имеют весьма малый размер.
AIDSTEST распознает их как (AT-132), (Tiny-114, 118). Версия 141 ему
неизвестна.
[Ninja]/1376
-------------
Заражает COM и EXE. Резидентный. При заражении приписывает до и после
себя случайные куски длиной до 255 байт, в связи с чем исходную длину
восстановить невозможно. С вероятностью 1/256 вместо заражения портит
файл таким образом, что при запуске он выдает на экран:
"Mutant Ninja Version 2.0 Copyright (C) 1990,91 Virus&Worm Software."
и завершается. Восстановлению такие файлы не подлежат. Если в MBR по
смещению 1B1h стоит слово 1975h, то вирус не активизируется. По 13-м
числам 1992 года портит 1-ый цилиндр первого жесткого диска. Не зара-
жает COMMAND.COM и AIDSTEST.EXE.
В классификации AIDSTEST обозначен как (Ninja-1376).
[Try]/1074
-----------
Заражает только COM, резидентный. Записывается в начало, сохраняя
старое начало в конце файла. Вклинивается в DOS обработчик Int 21h
методом сплайсинга. Содержит близко от начала строку "Try to DIE".
В классификации AIDSTEST обозначен как (Try-1074).
[CrazyImp v1.5]/1402
---------------------
Заражает только COM, резидентный. Переустанавливает сохраненный адрес
Int 21h на Int 3 в процессе обработки Int 21h. При запуске, чтении,
поиске файлов лечит зараженные, а после обработки - заражает вновь.
Зараженным файлам проставляется 62 сек. во времени последней коррек-
ции. Создает в памяти свою неактивную копию, которую при каждом тике
таймера пересылает в активную, препятствуя таким образом установке
точки останова в активной резидентной части. Перепрограммирует звуко-
вой канал. Содержит строку "Crazy imp v1.5". При лечении от этого ви-
руса рекомендую загружать машину с чистой системной дискеты.
В классификации AIDSTEST обозначен как (IMP-1402).
[AntiARJ]/348,333
------------------
Заражают только EXE, резидентные. Встраиваются в заголовок EXE файла
при наличии там достаточного места, преобразуя файл в COM формат.
Длина файла не увеличивается. Заражение файлов производят на уровне
Int 13h при чтении/записи сектора, содержащего начало EXE модуля. При
обнаружении чтения/записи сектора, содержащего начало ARJ-модуля пе-
резаписывают данный сектор длинной записью, что приводит к невозмож-
ности его прочтения через функцию "чтение" BIOS. Таким образом ARJ-
файл портится. При чтении сектора, содержащего вирусный код, при ак-
тивных вирусах вирусы возвращают в буфере нормальную информацию
(Stealth свойство). После лечения данных вирусов DESINF предлагает
восстановить испорченные сектора винчестера (см. вирус "Murky"). Если
вирусы были достаточно долго на Вашем винчестере рекомендую ответить
на запрос "Y", т.к. многие сектора уже, возможно, были испорчены ви-
русами.
AIDSTEST молчит.
[Norilsk]/502
--------------
Заражает только COM поиском в текущем каталоге и по PATH. Плагиат с
кдассического вируса [Vienna]. Читает системное время, но нигде его
не использует. По 14-м января каждого года пытается отформатировать
первый жесткий диск с третьего цилиндра. Содержит близко от начала
текст "/mw soft/93.3.15/norilsk/".
AIDSTEST его знает под именем (Vienna-502).
[INFO]/2259
------------
Размножается в виде файла с именем INFO.COM. При его запуске выводит
на экран:
Reading System Information...
Computer type: IBM PC
После чего правильно определяет тип копьютера. Затем на экран выдает-
ся:
Checking HDD controller...
SCSI controller type:
После выдачи данного сообщения вирус проходит по всем каталогам, ука-
занным в PATH и создает в каждом из них копию INFO.COM с атрибутом
read-only/hidden до тех пор, пока не обнаружит первый незараженный
BAT файл. При обнаружении последнего, вирус включает в его начало:
@if not exist info.com goto noinfo
@info>nul
:noinfo
По окончании на экран выдается:
Unknown (Error 14)
После этого вирус остается резидентно в памяти (при возможности в об-
ласти UMB). Находясь в памяти, вирус не позволяет увидеть файлы
INFO.COM и корректирует читаемое содержимое искаженных BAT-файлов та-
ким образом, что они выглядят неизмененными. При чтении каталогов ви-
рус создает в каждом из них свою копию и при наличии в каталоге BAT-
файлов включает в последние свой вызов. При запуске файлов CHKDSK,
WEB, DRWEB вирус выключает свой Stealth-режим. При запуске файла NET?
(где ? - любой символ) вирус восстанавливает исходный адрес INT 21h,
а по завершении работы указанной программы - снова его перехватывает.
В системах DR-DOS и Novell DOS вирус устанавливает на файлы INFO.COM
случайный пароль на запись/удаление, поэтому рекомендую чистить диски
в данных системах загрузившись с чистой дискеты с системой MS(PC)DOS.
Активная часть вирусного кода кодируется с переменной в каждой копии
маской. Вирус перехватывает прерывание пользовательского таймера и
препятствует трассировке вирусного резидентного кода, причем в данной
процедуре имеются некоторые ошибки. По пятницам 13-м вирус запрещает
видео-рефреш монитора. DESINF удаляет файлы, содержащие данный вирус,
а вызов из BAT-файлов можно убрать в любом текстовом редакторе.
AIDSTEST его не распознает.
[INFOSYS]/2191
---------------
Дальнейшее развитие вируса [Info]/2259. Отсутствует работа с Int 1Ch.
Файл INFO.COM заменен на INFOSYS.COM. Длина файла переменная в каждой
копии. За счет исопользования некоторых тонкостей MS DOS вирус нера-
ботоспособен в DR и Novell DOS. Выводит дополнительную строку:
InfoSystem version1.01
AIDSTEST его не знает.
[INFOSYS]/2142
---------------
Новая вариация. Ошибка, присутствовашая в предыдущей версии, похоже
исправлена. При запуске выдает на экран:
-*- INFOSYSTEM -*-
version 1.04
(C) 1995 by Ziff Co.
После чего ищет *.BAT файлы по пути и заражает их. Остается в памяти
и производит размножение собственных копий во всех читаемых каталогах
всех дисков, включая команды собственного запуска в BAT файлы.
AIDSTEST его естественно не знает.
[Tai-Pan]/438
--------------
Заражает только EXE при запуске, резидентный. Файлы поражает только
объемом до 64833х байт. Содержит строку:
"[Whisper presenterar Tai-Pan]".
AIDSTEST его знает под именем (Tai-Pan)/438.
[NLA]/383
----------
Заражает только EXE, встраиваясь в заголовок при наличии там свобод-
ного места. При наличии в памяти - невидим. При чтении/записи сектора
с ARJ-заголовком портит в нем слово по смещению +14 и записывает его
на диск. Для разархивации таких архивов следует указывать ключ "-jr".
AIDSTESTу он не знаком.
[LoveBuzz]/591
---------------
Заражает COM и EXE при запуске, резидентный. EXE приводит к формату
COM. При каждом шестнадцатом запуске зараженного файла портит содер-
жимое случайно выбранного сектора на текущем диске. Содержит близко
от начала текст "LoveBuzz".
AIDSTEST его не знает.
[Ambulance]/796
----------------
Нерезидентный вирус. Заражает файлы в текущем каталоге и по PATH. С
некоторой вероятностью при запуске файла наблюдается видеоэффект: в
нижней части экрана проезжает машина скорой помощи.
AIDSTEST его распознает.
[MRTI]/557,576,644
-------------------
Группа вирусов одного автора. Резиденты в области второй половины ве-
кторов прерываний, причем этот прием корректно срабатывает далеко не
на всех машинах. При печати на принтере вирусы через некоторое время
распечатывают строку: ">>> Привет от АНДРЕЯ МРТИ~93 <<<". Иногда
вызывают Int 18h (ROM-BASIC). Не заражают файлы, первый байт которых
90h(NOP),0E8h(CALL NEAR),5Ah. [MRTI]/644 после 512 запусков и удале-
ний файлов перед вызовом ROM-BASIC еще и удаляет файл A*.* в текущем
каталоге.
AIDSTEST распознает только один из них.
[MetallicA]/400,500
--------------------
Заражают только COM, а [MetallicA]/500 еще и EXE файлы. Содержат в
конце текст: "MetallicA". [MetallicA]/500 не заражает файлы, имя ко-
торых оканчивается на "ST"(AIDSTEST).
AIDSTEST их знает.
[Licee]/944,1888
-----------------
Заражают COM и EXE, резидентные. Не заражают файлы, имя которых на-
чинается на "AI"(AIDSTEST) и "SC"(SCAN). [Licee]/944, кроме того, не
дает выполняться ADINF. Он же после 24-го числа в понедельник может
зашифровать MBR (XOR 34h). [Licee]/1888 при пятиминутном ненажатии на
клавиши выдает на экран текст с рекламой МИРЭА.
AIDSTEST их находит.
4.2 Загрузочные вирусы.
========================
[Veronika]/MBR
---------------
Заражает Master Boot Records винчестера и Boot - сектора дискет. Ста-
рое содержимое размещает в собственном буфере. На дискетах размещает-
ся в двух последних Root - секторах, на винчестере - 0/0/15 и 0/0/16.
После 16-ти заражений дискет в одном сеансе выводит на экран (только
в текстовом режиме) слово VERONIKA большими буквами и вешает систему.
AIDSTEST его не обнаруживает.
[Andrew]/MBR
-------------
Заражает Master Boot Records винчестера и Boot флоппи дисков. Старое
содержимое размещает: для винчестера - 0/0/13, для дискет - в пос-
леднем Root. При чтении зараженного MBR или Boot - сектора вирус под-
совывает вместо себя его старое содержимое. После 512 загрузок систе-
мы с зараженного винчестера вирус форматирует его (только XT, PC Por-
table) и прекращает загрузку (на все других типах).
AIDSTEST его не обнаруживает.
[Andrew"]/MBR
--------------
Не совсем корректная версия [Andrew] (не происходит заражения дискет
емкостью 160 и 180К байт ).
AIDSTEST его не обнаруживает.
[Andrew_II]/Boot
-----------------
Заражает Boot сектор винчестера и флоппи дисков. Старое содержимое
размещает на винчестере - в 0/0/14, на дискетах - в последнем Root -
секторе. Пока находится в памяти - невидим. Не заражает жесткий диск,
если его первый раздел начинается с 0/0/2. Через 224 загрузки системы
с зараженного винчестера вирус форматирует первый цилиндр 1-го жест-
кого диска, а на XT и PC Portable - весь винчестер, и заполняет экран
cтрокой : "...Andrew lives".
AIDSTEST его не обнаруживает.
[Andrew_II"]/Boot
------------------
То же, что и [Andrew II], только форматируется еще и первый цилиндр
2-го жесткого диска.
AIDSTEST его не обнаруживает.
[Italian bouncing]/Boot
------------------------
Заражает Boot винчестера и дискет. Свое продолжение и cтарый Boot
прячет в псевдосбойном кластере. Через некоторое время при работе ви-
руса по экрану случайным образом начинает двигаться точка.
В классификации AIDSTEST обозначен как (Ball).
[Sombre Nutcracker(AB4)]/MBR
-----------------------------
Нерезидентная конструкция, записываемая файловым Stealth - вирусом
[Sombre Nutcracker] в MBR винчестера. По 12-м января и 23-м июля каж-
дого года форматирует весь винчестер (XT 286) или первые цилиндры 2-х
жестких дисков (остальные типы). Старое содержимое MBR вирус шифрует
и прячет в 0/0/15.
AIDSTEST его не обнаруживает.
[AntiEXE]/MBR
--------------
Заражает MBR винчестера и Boot дискет. Старое содержимое прячет: для
дискет - последний Root, для винчестера - 0/0/13. Маскирует свое при-
сутствие в зараженной машине. Блокирует выполнение некоей программы,
имеющей длину 200256 байт.
В классификации AIDSTEST обозначен как (Anti_EXE).
[Keydrop]/MBR
--------------
Заражает MBR винчестера и Boot дискет. Свое продолжение и старое со-
держимое загрузчика сохраняет в цепочке псевдосбойных кластеров. Не
заражает дискеты емкостью 1.2 и 1.44 Мб. Занимает 5Кбайт в старшей
части памяти. Через месяц после заражения после 13.30-ти осыпает бук-
вы на экране. Алгоритм осыпания переписан из вируса [Cascade]. Содер-
жит строку: "(c) Copyright 1990 Keydrop inc."
В классификации AIDSTEST обозначен как (Piter).
[Stoned]/MBR
-------------
Заражает MBR винчестера и Boot дискет. Старое содержимое прячет: для
дискет - в 0/1/3, для винчестера - 0/0/7. При загрузке с дискеты с
вероятностью 1/8 выводит на экран:
"Your PC is now Stoned!"
Содержит строку: "LEGALISE MARIJUANA!"
В классификации AIDSTEST обозначен как (Stoned).
[Gloomy Nutcracker(AB5)]/MBR(3)
--------------------------------
Нерезидентные конструкции, записываемые файловыми Stealth - вирусами
[Gloomy Nutcracker] в MBR винчестера. При каждой перезагрузке переза-
писывают свое тело и ведут в нем счетчик перезагрузок. Когда это зна-
чение достигает 512,вирусы форматируют все винчестерские диски и уни-
чтожает CMOS-конфигурацию, выдавая на экран строку:
"Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!"
Старое содержимое MBR вирусы шифруют и и прячут в 0/0/8.
AIDSTEST их не обнаруживает.
[Punisher]/MBR
---------------
Заражает MBR винчестера и BOOT - сектора дискет. Собственное тело и
оригинальный загрузчик размещает в последних секторах физического
диска на винчестере и на инженерной дорожке дискеты, причем в послед-
нем случае нумерация секторов на инженерной дорожке может быть от
32 до 240 - для 15-секторных дорожек или 246 и 247 для 9-ти и 8-ми
секторных соответственно. Дискеты, имеющие другое число секторов на
дорожку не заражаются. Вирусом перехватывается прерывания с номерами:
8,9,10h,13h,15h,21h,2Fh,40h. При запуске программы ADinf вирус изле-
чивает винчестер, а после окончания ее работы - снова заражает. Для
обнаружения момента ее запуска вирус использует некоторые внутренние
особенности работы программы ADinf. Это, а также некоторые хитрости
инсталляции вируса в память и обработки дискет позволяют ему оста-
ваться невидимым даже для программы ADinf, если, конечно, вирус нахо-
дится в памяти. Если при наличии вируса в памяти машины и зараженнос-
ти винчестера какая-либо программа пытается напрямую обратится к дис-
ку минуя вирус (напр. через BIOS), то вирус блокирует доступ к вин-
честеру (кроме машин XT - класса). Находясь в памяти, вирус перенап-
равляет операции чтения/записи зараженного загрузочного сектора на
сектор, содержащий исходный загрузчик. При наличии энергонезависимого
таймера реального времени вирус по 12-м января каждого года формати-
рует все винчестерские диски и портит CMOS-параметры, при этом на эк-
ран выдается:
"The Punisher in award for your self-confidence!"
В конце тела вируса имеется строка: "(c) 1994 by Dismal Nutcracker."
AIDSTESTу он не знаком.
[Murky]/MBR
------------
Заражает BOOT сектора дискет и MBR винчестера. Оригинальный загрузчик
сохраняет в последнем секторе корневого каталога на дискете и 0/0/11
на винчестере. Если первый раздел винчестера начинается на 0-м цилин-
дре и 0-ой головке, то при загрузке с дискеты винчестер вирусом не
заражается и загрузка с дискеты блокируется. Инсталлируется в верхнюю
часть памяти, занимая 2Кбайта. При обращении к винчестеру подменяет
операцию "запись" на "длинная запись", что приводит к порче CRC запи-
сываемого сектора. При чтении запорченного таким образом сектора ви-
рус читает его "длинным чтением", что позволяет успешно выполнить
чтение, поскольку при этой операции CRC сектора не проверяется. При
отсутсвии вируса в памяти машины все испорченные таким образом секто-
ра перестают читаться, что делает доступ к винчестеру практически не-
возможным. Находясь в памяти, вирус кроме того подставляет вместо за-
раженных загрузочных секторов, при их считывании, старое содержимое.
В тексте вируса имеется текстовая строка "Murky".
AIDSTESTу он не знаком.
ВНИМАНИЕ! DESINFECTOR версии 3.25 и выше умеет восстанавливать за-
порченные вирусом сектора винчестера, однако эта процедура требует
достаточно большого терпения от пользователя (может продолжаться
более часа на винчестерах большой емкости).
[SVK]/MBR
----------
Заражает Boot дискет и MBR винчестера. Содержимое оригинального заг-
рузчика сохраняет на дискетах - в последнем Root, на винчестере - в
0/0/17. Перенаправляет операции чтения/записи при доступе к заражен-
ному загрузочному сектору на сектор с оригинальным загрузчиком. Меж-
ду 0 и 1 часом ночи и 8 и 9-ю утра может при выполнении операции
записи данных на диск зациклить компьютер на операции чтения попере-
менно то первого, то последнего секторов диска.
В классификации AIDSTEST обозначен как (SVK).
[Michaelangelo]/MBR
--------------------
Заражает Boot дискет и MBR винчестера. Оригинал сохраняет: на диске-
тах обычно в последнем Root, на винчестере в 0/0/7. При загрузке сис-
темы с зараженного диска 6 марта вирусом уничтожается содержимое дис-
ка, с которого происходила загрузка.
В классификации AIDSTEST - (March6).
[Bloody]/MBR
-------------
Заражает Boot дискет и MBR винчестера. Оригинал сохраняет: на диске-
тах в 0/1/3, что соответствует последнему Root на дискетах емкостью
360К, на винчестере - в 0/0/6. Через каждые 5 перезагрузок после 128
-ми загрузок с винчестера с момента заражения выводит на экран стро-
ку: "Bloody! Jun. 4,1989".
AIDSTEST распознает его как (Bloody).
[Antigame]/MBR
---------------
Заражает MBR винчестера и Boot-сектора дискет. Старое содержимое сох-
раняет на дискетах - в последнем Root, на винчестере - в 0/0/3. При
инсталляции в память расшифровывает и записывает в память по адресу
0:350 строку "Antigame from The Rat". Содержит инструкцию процессора
80x86. При обработке Int 13h переустанавливает Int 1, Int 3 на IRET.
Обладает Stealth-функцией: при чтении зараженного загрузчика подстав-
ляет содержимое истинного. Проверяет значение текущего видеорежима и
если его значение равно 4 или больше 7 с вероятностью 1/4 переводит
дисплей в 3-ий видеорежим. Заметно родство с [AntiEXE].
AIDSTEST его не обнаруживает.
[AntiTel]/MBR
--------------
Заражает MBR винчестера и Boot дискет. Не заражает дискеты нестандар-
тных форматов (720K), старый Boot на дискетах сохраняет в последнем
Root, а свое продолжение - в предпоследнем. На винчестере размещается
в секторах 6, 7 соответственно. После 400-т загрузок с зараженного
диска он стирается, а на экран выдается:
"Compana Anti-TELEFONICA (Barcelona)".
AIDSTEST его классифицирует как (Anti_TEL).
[Abs-2]/MBR
------------
Заражает MBR винчестера и BOOT гибких дисков. Старое содержимое заг-
рузчика на дискетах размещает по абсолютному адресу 39/1/8, что для
дискет не 360K-формата может приводить к неприятностям. На винчестере
старый MBR не сохраняет, поэтому его приходится замещать на стандарт-
ный. После пяти загрузок с винчестера обнуляет адреса LPT1, COM1, что
делает их недоступными.
AIDSTEST его знает - (Abs-2).
[Monkey1992]/MBR
-----------------
Заражает MBR винчестера и Boot сектора гибких дисков. Старое содержи-
мое размещает на винчестере - в 0/0/3, а на дискетах в конце ROOT в
закодированном (XOR 2Eh) виде. На винчестере, размеченном программой
ADM, могут возникнуть большие проблемы с доступом к ее разделам. Ви-
рус блокирует запись в MBR, переустанавливая операцию "запись" на
операцию "сброс". Таким образом, разбиение жесткого диска при актив-
ном вирусе приведет к непредсказуемым последствиям. При чтении зара-
женного загрузчика вирус подставляет в буфер его исходное содержимое.
Дискеты заражаются при обращении к ним только в определенные проме-
жутки времени. В конце содержит закодированный текст:"Monkey", а да-
лее признак заражения - слово 1992h.
AIDSTEST его знает под именем (Monkey_2).
[AntiCMOS]/MBR
---------------
Заражает MBR винчестера и BOOT дискет. Старое содержимое данных сек-
торов не сохраняет, самостоятельно выполняя их функцию, поэтому при
лечении будет записано стандартное содержимое. При совпадении некото-
рых условий портит в CMOS параметры дисков.
AIDSTEST его обнаруживает как (Pskov).
[Spirit]/MBR
-------------
Заражает MBR винчестера Boot гибких дисков. Старое содержимое разме-
щает на винчестере - в 0/0/8, на дискете - на дополнительном цилинд-
ре, который сам форматирует. Является Stealth-вирусом: при чтении/
записи загрузчика операцию перенаправляет на сектор, содержащий ис-
тинный загрузчик. Содержит близко от конца текст: "SPIRIT (c) MW".
AIDSTEST его не опознает.
[Superunknown]/MBR(2)
----------------------
Известны две версии, незначительно отличающиеся друг от друга. Пора-
жают BOOT-сектора дискет и MBR винчестера, причем MBR поражается нес-
тандартно: в Partition Table ищется начало активного раздела винчес-
тера(BOOT-сектор), затем он(BOOT) копируется на инженерную дорожку
винчестера, а за ним располагаются 5 секторов вирусного тела. После
этого в копию BOOT-сектора внедряется вирусный код, выполняющий чте-
ние основного тела вируса и передающий на него управление. Вирусами
перехватываются Int 8, 15h, 40h. Обработчик 15h-го прерывания сделан
всплывающим. Оригинальное использование Int 15h позволяет вирусам ус-
пешно скрывать свое присутствие на винчестере для ВСЕХ программ, чи-
тающих MBR через BIOS (даже для ADinf). На дискетах вирусы располага-
ется на инженерной дорожке, которую сами нестандартно форматируют.
При обращении к BOOT-сектору дискеты вирусы проверяют значение тай-
мера и с определенной вероятностью запускают движущийся по экрану
шарик, со стуком отражающийся от краев экрана и букв. Если в течении
5 минут после начала движения шарика по экрану попытаться перезагру-
зить систему по Ctrl-Alt-Del, то вирусами будут затерты 100 первых
секторов обоих винчестеров, после чего система зависнет. Вирусы так-
же стирают сектора при попытке записи вручную вирусного кода из памя-
ти на диск. По 7-м апреля каждого года при загрузке вирусы выводят на
экран:
"■S■U■P■E■R■U■N■K■N■O■W■N■ was done by Lord Nutcracker(AB0)".
и ждут нажатия любой клавиши, после чего загрузка продолжается.
AIDSTEST их не обнаруживает.
[JackRipper]/MBR
-----------------
Заражает BOOT-сектора дискет и MBR винчестера. Собственное продолже-
ние и исходный загрузчик размещает: на винчестере - в 0/0/8, а на
дискете - в двух последних секторах корневого каталога. Кодирует на
диске часть своего кода и кода исходного загрузчика. Содержат закоди-
рованные тексты: "FUCK 'EM UP ! " и "(C)1992 Jack Ripper". С вероят-
ностью 1/1024 при записи сектора на диск меняет местами два соседних
слова. Скрывает свое присутствие на диске.
AIDSTESTу он знаком под именем (Ripper).
[BUPT]/MBR
-----------
Заражает BOOT дискет и MBR винчестера. Записывается в последний сек-
тор корня на дискете и в 0/0/4 на винчестере. Записывает в загрузчик
подпрограмму, которая считывает основное тело с диска и передает ему
управление. Содержит текст:
"Welcome to BUPT 9146,Beijing!"
AIDSTEST его знает - (BUPT).
