OneHalf  Virii

Рядом с Псковом есть ледовый дворец.

Drozo-4k


Заражает COM и EXE, резидентный. Заражает файлы в текущем каталоге в момент вызова DOS-функции "свободное место на диске" (36h). Если в течение часа не было нажатий на клавиши, стирает MBR диска C: и портит информацию в памяти параметров системы (CMOS). Отличается пакостью - старается отформатировать одну дорожку.

Ghost-1963

Заражает COM и EXE. Не изменяет длину заражаемого файла, используя алгоритм, впервые появившийся в V-512. Весьма аккуратно обеспечена "невидимость" вируса, однако его наличие сразу проявляется при использовании CHKDSK в виде большого количества сообщений "Allocation error, size adjusted.". Как и в случае V-512, лечение скопированных файлов невозможно. Столь же безнадежной становится ситуация и после использования CHKDSK с параметром /F или NDD. Впрочем, если AIDSTEST не предлагает стереть файл, вероятность его полноценного восстановления достаточно велика. Никакие специальные пакости не предусмотрены. Scan опознает как "1963 Virus [1963]".

HYMN-1865

Заражает и COM и EXE, причем не только при загрузке программы, но и при открытии файла, переименовании, изменении атрибутов и даже при создании нового программного файла. При совпадении номера дня и месяца (1 января, и т.д.) портит BOOT Sector диска "C", после чего, довольно фальшиво, исполняет Гимн Советского Союза с выводом на экран саморекламы. Особенно неприятно, что на PC XT в момент загрузки системы стоит дата 01.01.80, и, если COMMAND.COM заражен,
диск "C" сразу портится. Исправить BOOT Sector диска "C" можно при помощи программы NU.EXE. Для этого ее следует запустить с дискеты которые стоят со смещением 1F3, в байты со смещением 0C и записать сектор на диск. Обезвредить эти вирусы в памяти абсолютно чисто удается только для версии MS DOS 3.30, поскольку автор вируса использует некоторые особенности, присущие только этой версии, не давая, естественно, себе труда проверить, в какой версии пакостит.
Особенности версий: 1865 - записывается в программу без модификации; 1962 - кодирует себя до записи в заражаемую программу;
2144 - кроме кодирования содержит некоторые хитрости, которые должны затруднить его изучение. Еще раз советую чистить машину от вирусов, загружаясь с дискеты с чистой операционной системой.

Yankee Doodle

В эту группу входит довольно большое количество вирусов, явно сочиненных одним автором. Их общим признаком является наличие за 4 от конца байтов с шестнадцатиричным значением F47A. Следующий байт (в файле он предпоследний) содержит номер версии вируса.

Ранние версии AIDSTEST обозначали представителей этого семейства буквами D, F, G, H, отмечая развитие способов заражения и внешних проявлений. Теперь они все обозначаются буквой (M) с добавлением шестнадцатиричного номера. Общей для всех версий является способность заражать как COM, так и EXE-программы.

В антивирусных публикациях уже отмечалось, что последние представители этой компании (начиная с 29) модифицируют "Мячик".

Ниже описано все, что удалось выяснить о развитии версий из анализа известных с некоторой долей интерполяции.

До версии 6 при заражении портится дата создания файла.

До 9 включительно при заражении COM требуется, чтобы первой командой
была JMP (код E9).

До 10 заражение EXE-программ происходит в два приема - при первом программа формально приводится к формату COM и к ней добавляется фрагмент длиной 132 байта, который обеспечивает преобразование EXE-программы в памяти для ее правильной работы, а при втором - получившийся агрегат заражается как обычный COM. Если AIDSTEST встречает такой агрегат, он помечает его как (ML).

Следующие версии, включая 22, также преобразуют EXE в COM, однако делают это в один прием. Пока не известно, где проходит граница между версиями 10 и 17.

Начиная с версии 23, EXE программы сохраняют свой формат, причем во всех заражаемых модулях со смещением 0x12 от начала стоит расстояние до начала вируса, деленное на 16. Одновременно в начале вируса дублируется пароль F47A и номер версии. Версии 2D и 2E при заражении EXE в конец файла эту информацию не пишут.

С версии 17 размножение не обнаруживается резидентными антивирусными программами, следящими за записью в программные файлы, поскольку вирус передает управление непосредственно в MS DOS, обходя
сторожей.

С версии 21 вирусы принимают очень хитрые меры защиты от вирусологов. Вирус оказывается "невидимым" при попытке пройти через его резидентную часть отладчиком в пошаговом режиме или поставить внутри останов (Break point). Кроме того, при попытке изучить явно зараженную программу при помощи DEBUG, она вдруг оказывается здоровой, конечно, если вирус уже находится в памяти.

В пользу автора этих вирусов следует сказать, что никакие подлые шутки в них не предусмотрены. Более того, принимаются все меры, чтобы зараженные программы всегда работали правильно. Даже попытка умышленно заразить программу для коллекции не всегда кончается успехом. До версии 10 не удалось обнаружить вообще никаких шуток, а остальные исполняют
мелодию, которую знатоки идентифицируют как "Янки Дудль" (Yankee Doodle). Версии 17-19 исполняют ее перед перезагрузкой по CTRL+ALT+DEL, a следующие - в 17 часов (точнее в 16:59:53).

Остается выразить сожаление, что явно талантливый программист потратил столько сил и изобретательности на такую неблагодарную работу, которая даже для саморекламы не очень годится.

Обнаруженная в конце 1990 года версия 53 является плагиатом с последних версий, причем без наиболее тонких возможностей.

Mao-1465

Заражает COM и EXE, резидентный. В дни рождения и смерти Мао Цзе-дуна (26 декабря, 9 сентября) исполняет две различные мелодии.

Natas

Очень опасные файлово-загрузочные полиморфные вирусы. Заражают MBR "винчестера", Boot-сектора флоппи-дисков, COM и EXE-файлы. Не заражают файлы, обрабатываемые программами PKZIP, PKUNZIP, ARJ и LHA. В зависимости от своих счетчиков могут отформатировать жесткий диск. Содержат текстовые строки: "Natas" и "BACK MODEM". Natas.4746 содержит ошибку в процедуре заражения MBR и Boot-секторов дискет. В результате этого система перестанет загружаться с таких дисков и восстановление оригинальных MBR и Boot-секторов окажется невозможным. Natas.4774 имеет текст "Time has come to pay (c)1994 NEVER-1". Natas.4988 содержит следующий текст:

Yes I know my enemies
They're the teatchers who taught me to fight me
Compromise, conformity, assimilation, submission
Ignorance, hypocrisy, brutality, the elite
All of whitch are American dreams
(c) 1994 by Never-1(Belgium Most Hated)

SVC

Вирь автора, живущего по имеющейся информации в Нижнем Новгороде. Заражает COM и EXE. Корректируют время создания файла, ставя в нем 60 секунд. Если зараженную программу загружает DEBUG, вирус ее исправляет. При вызове функций просмотра каталога, вирус корректирует в информации о зараженных программах время и длину, скрывая свое наличие в них. SVC-3103 - версия - 5.0, в которую добавлены новые старания скрыть свое наличие в машине, впрочем, основанные на известных методах. Можно одобрить стремление автора не испортить диск при работе программы CHKDSK и не заражать COMMAND.COM и системные модули.

703

Вирус длиной 703 байта. Размножается на COM-файлах от 400 байт до 32 Кбайт. При поражении переписывает MBR.