Энциклопедия компьютерных вирусов

         

Esto te pasa por programas


Очень опасный резидентный зашифрованный boot-вирус. Перехватывает INT 13h, 16h и записывается в MBR винчестера и boot-сектора флоппи-дисков. 7-го апреля записывает в сектора дисков строку:
Esto te pasa por programas que a nosotros nos cuesta tanto trabajo hacer. Que te quede de Experiencia, MВxico,1994
В зависимости от своих счетчиков меняет знаки, вводимые с клавиатуры. Содержит также строку:
This Virus is from MEXICO, I have 15 years old

ABCD


Безобидный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков. Винчестер поражается при загрузке с зараженного флоппи-диска. Вирус содержит слово-идентификатор ABCDh.



и MBR винчестера по алгоритму


Очень опасный boot-вирус. Перехватывает INT 13h и поражает boot-сектора дискет и MBR винчестера по алгоритму вируса "Stoned"

. Периодически уничтожает содержимое первых 7-ми секторов дискет.


Aija


Очень опасный загрузочный стелс

-вирус. При загрузке с пораженного флоппи записывается в MBR винчестера и возвращает управление загрузчику DOS. При загрузке с пораженного MBR перехватывает INT 13h и записывается в boot-сектора дискет при обращении к ним. Вирус сохраняет свою вторую часть и первоначальный сектор в двух последних секторах диска (первого логического диска на винчестере). 25-го марта стирает сектора дисков и сообщает:

FINNISH_SPRAYER.1. Send your Painting +358-0-4322019 (FAX), [Aija]

Также содержит строки:

Ai Tks to B.B., Z-VirX ..... [Aija]



Aircop


Очень опасный вирус. Перехватывает INT 12h, 13h, 1Bh и поражает boot-сектора дискет, сохраняя старый boot-сектор по адресу 39/1/9 (трек/головка/сектор). Данные, расположенные по этому адресу, будут уничтожены. Пытается пережить перезагрузку. При попытке загрузки с диска, не содержащего системных файлов DOS, выводит на экран "Non-system". Периодически сообщает:

RED STATE, Germ offensing --Aircop



Amjads


Очень опасный резидентный загрузочный полиморфик

-стелс

-вирус. Заражает MBR винчестера и загрузочные сектора дискет. При загрузке системы с зараженного диска вирус перехватывает INT 1Ch, ждет некоторое время и затем перехватывает INT 13h. При загрузке с дискет вирус также заражает MBR винчестера. Заражение дискет происходит при обращениях к ним. 6 марта вирус стирает сектора винчестера и выводит текст:

You PC is now Stoned! This virus was written in the city of Taipei. Amjads 1997.



Andrew (boot)


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При заражении системной памяти в зависимости от системного таймера форматирует диск. Содержит ошибки и в некоторых случаях завешивает систему. Содержит строки:

ANDREW Fuck'em Off



Ani


Опасный резидентный стелс-вирус. Перехватывает INT 13h и записывается в MBR-сектор жестого диска и загрузочные сектора дискет при обращениях к ним. Вирус сохраняет оригинальный загрузочный сектор для флоппи дисков за пределами "разрешенного" дискового пространства - на 80-ой дорожке. Обработчик INT 13h расшифровывает и выводит текстовое сообщение раз в час, если в этот момент происходит считывание или запись секторов:

CHUPACABRAS

Вирус также содержит текстовую строку 'ANI'.



Anticmos


Очень опасный вирус. При загрузке с пораженного флоппи-диска записывается в MBR винчестера, затем перехватывает INT 13h и записывается в boot-сектора дискет. Оригинальное содержимое секторов не сохраняет. Периодически стирает содержимое CMOS.

"Anticmos.Lixi" содержит строку:

I am Li Xibin!

Процедура заражения, применяемая в вирусе, не вполне корректна: при заражении диске она затирает часть системных данных загрузочного сектора (метка тома, серийный номер диска, идентификатор файловой системы и некоторые другие поля, использующиеся только в загрузочных секторах жестких дисков). Вирус затирает эти данные кодом своей процедуры инсталляции в память.

При лечении этого вируса многие антивирусные программы не вполне корректно "вычищают" вирус из загрузочных секторов - они оставляют "как есть" код вируса, который был записан в область системных данных сектора. Эти "следы вируса" могут детектироваться другими антивирусным ипрограммами, например, AVP детектирует их как "вариант вируса Anticmos". Применяемая в AVP процедура лечения вируса вычищает его код полностью, и вылеченные при помощи AVP диски более не детектируются антивирусным программами как зараженные.



AntiExe, семейство


Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и заражают boot-сектора дискет и MBR винчестера. При обращениях к секторам диска проверяют их на наличие заголовка EXE и портят некоторые EXE-файлы при их запуске или при чтении/записи этих EXE-файлов.



AntiWin


Неопасный загрузочный вирус. Перехватывает INT 9 (клавиатура), INT 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. Винчестер поражается при загрузке с зараженного флоппи-диска, дискеты заражаются при обращениях к ним. При нажатии на клавишу "Windows" (клавиатура Microsoft) вирус завешивает компьютер. В вирусе содержится строка:

AntiWin95



AP, семейство


Безобидные загрузочные стелс

-вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет и MBR винчестера (см. вирус "Stoned"

). Сожержат ID-слово "AP". "AP.NightCity" содержит ошибку: вместо того, чтобы увеличивать значение своего внутреннего счетчика, вирус портит обин байт своего кода. В зависимости от значения этого счетчика вирус выводит текст:

Night City. Visit the Forgotten Realms. AD&D ICE-T [KF]



April


Неопасный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков и диска C: на винчестере. Винчестер поражается при загрузке с зараженного флоппи-диска, дискеты - при обращениях к ним. В апреле вирус перехватывает также INT 17h и при печати заменяет символы "." на "!" и "<цифра>" на "<цифра - 1>".



Armee, семейство


Очень опасные резидентные загрузочные вирусы. Поражают boot-сектора флоппи-дисков и активный boot-сектор винчестера ("Armee.a") или MBR винчестера ("Armee.b"). При загрузке с инфицированного флоппи заражают винчестер, при этом старый сектор сохраняется в последнем секторе диска. Затем вирусы перехватывают INT 13h и при обращении к флоппи-дискам записываются в их загрузочные сектора по методу вируса "Brain"

. 7-го февраля ("Armee.a") или 11-го февраля ("Armee.b") вирусы выводят тексты и затем стирают сектора дисков:

"Armee.a": Schafft die Schweizer Armee ab ! "Armee.b": AuslДnder raus aus der Schweiz !



ASBV


Очень опасный резидентный загрузочный стелс-вирус. Перехватывает INT 9, 13h и записывается в MBR винчестера и boot-сектора дискет. В зависимости от своего счетчика стирает сектора дискет. Перехватывает "теплую" перезагрузку и пытается ее "пережить". Содержит строки:

I'm ASBV No System!



Asterisk


Опасный резидентный boot-вирус. Копирует себя по адресу 7000:7C00 (что часто вешает систему), перехватывает INT 13h, 17h и записывается в MBR винчестера и boot-сектора дискет. "Играет" с принтером, выводит на экран символ '*'.



Azusa, семейство


Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и поражают загрузочные сектора дискет и MBR винчестера. Первоначальный загрузочный сектор сохраняют в последнем секторе дискеты, исходный MBR не сохраняют: при загрузке с пораженного диска самостоятельно ищут активный загрузочный сектор и считывают его в память. Проявляются различными способами в зависимости от версии: завешивают COM- и LPT-порты, форматируют винчестер.



Baboon


Опасный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. Винчестер поражается при загрузке с зараженного флоппи-диска. 11 сентября стирает сектора на винчестере.



Bagoes


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h, 17h и записывается в boot-сектора дискет и MBR винчестера. При печати заменяет символы "R" и "r" на "L" и "l", Содержит строки:

B.A.G.O.E.S STMIK BUDI LUHUR INDONESIA



BanBan


Неопасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Довольно часто расшифровывает и выводит текст:

[сТе сТе сRв$ 9222500088]

Если отключить драйвер кириллицы, то это сообщение читается как:

[BAN BAN BROS 9222500088]



Beryllium


Безобидный резидентный загрузочный стелс

-вирус. Поражает MBR винчестера и boot-сектора флоппи-дисков. Перехватывает INT 13h. Содержит строку:

BERYLLIUM!



Bhorse


Резидентный безобидный вирус, перехватывает INT 13h и поражает boot-сектора дискет и MBR винчестера. Старые сектора сохраняет по адресам: Boot - 39/9/1, MBR - 0/7/0 (трек/сектор/сторона).



Blacksun


Очень опасный резидентный зашифрованный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет при обращении к дискам. В качестве ключа расшифровки использует код ошибки определения параметров диска и о этой причине зависает на компьютерах с AMI BIOS (возвращаемый код ошибки не совпадает с ожидаемым). Если номер месяца совпадает с числом, текущее время - 0 секунд, то вирус стирает CMOS-память компьютера. Содержит строку:

BlackSun



Bleah, семейство


Безобидные резидентные boot-вирусы, "Bleah.c" зашифрован. Заражают boot-сектора дискет и MBR винчестера. При загрузке с зараженного диска уменьшают размер системной памяти (слово по адресу 0000:0413), копируют туда свой код, перехватывают INT 8 (таймер), ждут загрузки DOS, затем восстанавливают размер системной памяти и перехватывают INT 13h. В результате вирусы оказываются в блоке памяти, отрезанном от DOS, но количество DOS-памяти не изменяется.



Booty


Неопасный резидентный загрузочный вирус вирус. Перехватывает INT 13h и записывается в MBR сектор жесткого диска и загрузочные сектора дискет при обращении к ним. Свою резидентная часть вирус хранит в таблице векторов прерываний. Не сохраняет оригинальные boot-сектора при заражении дискет. Содержит строку текста:

BOOTY



Bounty


Безобидный boot-вирс. При загрузке с пораженного диска перехватывает INT 1Ch, затем ждет загрузки DOS и перехватывает INT 21h. Затем ждет запуска первой программы, копирует себя в конец первого блока памяти, перехватывает INT 13h и записывается в boot-сектора дискет и винчестера. Содержит строки:

Bounty Bob Strickes Back! By United Virus Writers,(C) 1990.All rights Reserved.Version 2.00.



BR (boot)


Опасный резидентный загрузочный вирус. Перехватывает INT 8, 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит ошибки и может завесить систему. После заражения очередного диска "дергает" экран. Содержит строки:

Svetlana Bloody Revenge



Brain, семейство


Состоит из двух практически совпадающих безобидных вирусов: "Brain-Ashar" и "Brain-Singapore". Они заражают загрузочные сектора дискет при обращении к ним (INT 13h, AH=02h). Продолжение вируса и первоначальный загрузочный сектор размещаются в секторах, которые принадлежат свободным кластерам диска. При поиске этих кластеров вирусам приходится анализировать таблицу размещения файлов (FAT). В FAT эти кластеры помечаются как сбойные (так называемые "псевдосбойные" кластеры). У зараженного диска устанавливается новая метка "(C) Brain". Вирусы используют "стелс"-механизм: при попытке просмотра загрузочного сектора зараженного диска они "подставляют" истинный сектор.



Brasil


Очень опасный резидентный вирус. Перехватывает INT 13. Поражает boot-сектора дискет и MBR винчестера по алгоритму вируса Stoned

. Периодически расшифровывает и сообщает "Brasil virus!", а затем стирает сектора винчестера.



Bravo


Очень опасен. При загрузке с пораженного диска копирует себя в таблицу векторов прерываний и перехватывает INT 13h. Затем поражает boot-сектора флоппи-дисков обращении к ним. MBR винчестера заражается при загрузке с пораженного флоппи-диска. В зависимости от значения системного таймера вирус записывает в MBR-сектор строку "Bravo".



Breaker


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При этом не сохраняет первоначальное содержимое сектора, а при загрузке с пораженного диска грузит систему самостоятельно. При нажатии на Ctrl-Break вирус стирает сектора дисков.



Brr


Очень опасный резидентный загрузочный стелс

-вирус. Записывается в boot-сектора дискет и MBR винчестера. Корректно заражает только дискеты 360K и портит системную информацию на остальных типах дискет. При загрузке копирует себя в таблицу векторов прерываний и перехватывает INT 9, 13h. С вероятностью 1/16 выводит текст:

Brr...!

При нажатии на Alt-Ctrl-Del вирус заражает дискету, если она вставлена в дисковод.



Bucharest


Неопасный резидентный загрузочный вирус. Перехватывает INT 12h, 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от системной даты и времени расшифровывает и выводит текст:

ENJOY THIS BUG! RP VirusLab Bucharest



Безопасный резидентный загрузочный вирус. Копирует


Безопасный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h и записывается в boot-сектор первого диска винчестера и boot-сектора дискет. Содержит идентификатор 070Ah.


Bupt, семейство


Резидентные boot-вирусы. Перехватывают INT 13h и записываются в MBR винчестера и boot-сектора дискет. "Bupt9146" безобиден, содержит строку:

Welcome to BUPT 9146,Beijing!

"Bupt.b" при заражении MBR изменяет адрес активного boot-сектора. По 1-м числам расшифровывает и выводит текст:

(C) Bupt 91. Computer LTS 1993.2.



Bye


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. В зависимости от текущего времени расшифровывает и выводит текст:

Bye by C&C



Cannabis (загрузочный)


Резидентный неопасный вирус, поражает boot-сектора дискет. Перехватывает INT 13h. Содержит слово "Cannabis". Выводит на экран тексты:

Hey man, I don't wanna work. I'm too stoned right now...

Non-System disk or disk error Replace and press a key when ready



Carcel


Неопасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h. При обращении к загрузочным секторам и MBR винчестера заражает их. 25 мая перехватывает INT 1Ch, в текстовом виде рисует на экране полоски и в верхнюю строку экрана выводит текст: "CARCEL !" (см. также эффект DOS-вируса "Barrotes"

).

Демонстрации вирусных эффектов:

carcel.com



Catman


Резидентный очень опасный вирус, перехватывает INT 9, 13h и заражает boot-сектора флоппи-дисков по методу вируса "Brain"

. Резидентную копию записывает по случайным адресам ничего при этом не проверяя и не изменяя системные блоки памяти. Проверяет клавиатуру и 'пищит' при нажатии на Alt-Ctrl-Enter. Периодически стирает FAT и DIR дисков.



Cekov


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дисков. Содержит строки:

4.d.93 (C) Aldo SS Virus Cekov TUni Gabrovo



Chance


Неопасный резидентный стелс

boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и диска C:. 8-го декабря расшифровывает и выводит текст:

оAll we are saying is give peace a chanceп (J. Lennon)

Также содержит зашифрованную строку:

The John Lennon virus wishes love and peace to everyone who's got the chance to read this! All my loving to INO!!



Chimp


Неопасный резидентный зашифрованный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в MBR жесткого диска и загрузочные сектора дискет при обращениях к ним. В памяти вирус располагается в области таблицы векторов прерываний. Никак не проявляется.



ChineseFish


Неопасный резидентный загрузочный стелс

-вирус. При загрузке с зараженного флоппи-диска он поражает MBR винчестера. Копирует себя в памяти по адресу 8F20:0000 без изменения размера памяти DOS, это может привести к зависанию компьютера. Затем вирус перехватывает INT 13h (так же, как и при загрузке с зараженной MBR) и поражает boot-сектора дискет. Удаляет с зараженных дисков некоторые версии вируса "Stoned"

. В зависимости от текущей даты выводит сообщение:

Hello! I am FISH, please don't kill me. Congratulate 80th year of the Republic Of China Building,Fish will help to kill stone Written by Fish in NTIT. TAIWAIN 80.10.18



Cicada


Очень опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора флоппи дисков. 10-го июля стирает сектора винчестера и сообщает:

################################################################################ ##@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@## ##@@+----------------------------------------------------------------------+@@## ##@@| +--------------+|@@## ##@@| #####@ ##@ ##@ |Golden Cicada ||@@## ##@@| ##@ ##@ ####@ ##@ #####@ ####@ ##@ ##@ | Virus! ||@@## ##@@| ##@ ##@ ##@ ##@ ##@ ##@ ##@ ##@ ####@##@ | Version Pro. ||@@## ##@@| ##@ ###@ ##@ ##@ ##@ ##@ ##@ #### ##@ ##@ |June 10, 1994.||@@## ##@@| #####@ ####@ ##@ ######@ ####@ ##@ ##@ +--------------+|@@## ##@@| |@@## ##@@| #####@ ##@ ##@ |@@## ##@@| ##@ ##@ ##@ ####@ ####@ #####@ ####@ ##@ |@@## ##@@| ##@ ##@ ##@ ##@ ##@ ##@ ##@ ##@ ##@ |@@## ##@@| ##@ ##@ ##@ ##@ ##@ ##@ ##@ ##@ ##@ ##@ |@@## ##@@| #####@ ##@ ####@ ######@ ######@ ######@ ##@ |@@## ##@@| |@@## ##@@|----------------------------------------------------------------------|@@## ##@@| Something wonderful was happened! Your PC is now Stoned! And your |@@## ##@@| PC was out of order that all the doctor's efforts were in vain! Ha! |@@## ##@@| Ha! Ha! Ha! Serve you right!! I dont' want to damage your hard disk! |@@## ##@@| But...write some trash into your hard disk now!! Well! Beware of this|@@## ##@@| virus, don't copy software without any payments! Okay! Goodbye!!.... |@@## ##@@+----------------------------------------------------------------------+@@## ##@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@## ################################################################################

Golden Cicada Virus Version Pro. (C) Copyright CVEX Corp.,1994. All rights reserved. Made in Taiwan!



Clock


Опасный загрузочный вирус. Перехватывает INT 8, 13h и поражает boot-сектора дискет при обращении к ним и MBR винчестера при загрузке с зараженной дискеты. В зависимости от своего внутреннего счетчика перезагружает компьютер или меняет настройку винчестера (на тех контроллерах, где это возможно).



CMOS


Опасный резидентный загрузочный стелс

вирус. Портит CMOS. Копирует себя по адресу 9F80:0000, перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Оригинальный MBR сохраняет по адресу 0/0/2, оригинальный boot-сектор флоппи-диска - в последнем секторе корневого каталога.



CmosDeath


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от системного таймера стирает CMOS. Содержит строку:

CMOS Death



CrazyBoot


Опасный резидентный стелс

-вирус. Перехватывает INT 13h и поражает MBR винчестера и boot-сектора флоппи-дисков. При заражении флоппи-дисков сохраняет свое тело по некорректному адресу и может испортить файлы данных. В зависимости от своих внутренних счетчиков выводит текст:

Don't PLAY with the PC ! Otherwise you will get in 'DEEP,DEEP' trouble !... Crazy Boot Ver. 1.0



Cruel, семейство


Опасные резидентные boot-вирусы. Перехватывают INT 13h и записываются в boot-сектора винчестера и дискет, иногда при этом портят код системного загрузчика. "Cruel.d" файлово-загрузочный вирус. Он перехватывает также INT 21h и записывается в конец .COM-файлов при обращениях к ним. В зависимости от системной даты вирусы стирают CMOS. Содержат строки:

"Cruel.a": CRUE(L) "Cruel.b": CRUELv2 "Cruel.c": CRUE(L)v3 "Cruel.d": T-PHAG



DaBoys


Неопасный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h и записывается вместо boot-секторов дисков при доступе к ним. Содержит строку:

DA'BOYS



Damanaegi


Резидентный неопасный вирус, перехватывает INT 13h и поражает boot-сектора флоппи-дисков. Периодически выводит текст "DAMANAEGI" и перезагружает компьютер.



DAN (загрузочные)


Резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет. При загрузке с пораженной дискеты записывается в MBR винчестера ("DAN.ARG,Ejemplo") или в первый boot-сектор винчестера ("DAN.Camaleon"). "DAN.Camaleon,Ejemplo" безобидны. "DAN.ARG" очень опасен. 14-го марта или в зависимости от своего счетчика выводит большими буквами "ARG" и стирает сектора винчестера. Содержат строки:

"DAN.Camaleon": CAMALEON VIRUS Ver 1.0 5/1/1994 Por Bugs Bunny CASTELAR BsAs. "DAN.Ejemplo": Bugs Bunny [DAN] para Minotauro Magazine.(C)1994 Virus Ejemplo.

Демонстрации вирусных эффектов:

dan_boot.com



DarkElf (boot)


Очень опасный резидентный стелс

boot-вирус. Перехватывает INT 3, 8, 13h и записывается в boot-сектора флоппи дисков при обращении к ним. Записывает свой второй сектор и первоначальный boot-сектор в сектора FAT, при этом корректно заражает только 360K дискеты. Если при инсталляции вирус не может прочитать первоначальный boot-сектор, он форматирует диск, затем выводит на экран и принтер строку:

The Dark Elf strikes again!

Также содержит строки:

V.I.R.U.S. Rules! DARKELFv0.1



Darnok


Очень опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h, 4Ah (User Alarm Handler) и записывается в boot-сектора дискет и MBR винчестера. При заражении дисков (в том числе винчестера) записывает первоначальный boot/MBR сектор по адресу 39/0/8 (трек/сторона/сектор), при этом стирает его содержимое. При вызове INT 4Ah выводит текст и завешивает компьютер:

DARNOK virus activated. Scorpio's anagram



Defo


Безобидный резидентный загрузочный "стелс"-вирус. Перехватывает INT 5, 8, 13h и записывается в MBR винчестера и загрузочные сектора дискет. При заражении MBR записывает свой код в неиспользуемые сектора первого трека винчестера. При заражении дискет форматирует дополнительный трек, содержащий единственный сектор длиной 4096 байт, и записывает туда свой код. При заражении памяти определяет свою копию вызовом INT 13h, AX=DEF0h. Если при считывании своего продолжения с диска возникла ошибка, то вирус выводит одно из сообщений:

Invalid Partition Table Error Loading Operating System Missing Operating System Runtime error 504D:5658

После нажатия на PrintScreen (INT 5) вирус выключает свои процедуры стелс и заражения и через 15 минут (INT 8) снова включает их.



DenZuk, семейство


Очень опасные вирусы, длина - 9 секторов. Перехватывают INT 9, 13h и заражают boot-сектор дискет при обращении к ним (INT 13h,ah=2,3,4,5). При сохранении на диск второй части вируса никаких проверок не производится, поэтому вирус может уничтожить часть информации на диске (расположенной на 40-м треке). При "теплой" перезагрузке крупными буквами выводят на экран свое имя: "Den Zuk". Изменяют метку заражаемого диска на "Y0C010E0R0P". Не имеют деструктивной функции, но очень опасны, так как могут уничтожить информацию на 40-м треке заражаемого диска. Содержат тексты:

Welcome to the C l u b --The HackerS-- Hackin' All The Time The HackerS

Демонстрации вирусных эффектов:

denzuk.com



Devil, семейство


Неопасные резидентные boot-вирусы. "Devil.a" поражает MBR винчестера при загрузке в память и boot-сектора флоппи-дисков при чтении или записи секторов. При каждой 6-й перезагрузке или при возникновении ошибок выводит на экран фразу "(c) Devil Production Ver 1.0 28/08/1972". "Devil.b" поражает активный boot-сектор винчестера и boot-сектора флоппи-дисков. Содержит текст:

(c) Devil v2.0



DiskFiller


Очень опасный "стелс"-вирус. Перехватывает INT 13h, 1Ch, 21h и поражает boot-сектор флоппи-дисков и MBR винчестера при обращениях к дискам. При заражении boot-сектора дискеты форматирует на ней дополнительный трек (40-й у 360К и 80-й у 1.2М) и записывает туда свой код. Затем вирус встраивает свою головную часть в boot-сектор дискеты таким образом, что коды первоначального boot-сектора практически не изменяются. При заражении винчестера располагает свое тело сразу за MBR. В самой MBR вирус изменяет лишь адрес активного boot-сектора и устанавливает его на сектор, содержащий начало вируса. При запуске COMMAND.COM перемещает себя в область памяти с меньшими адресами. В зависимости от системного времени расшифровывает и выводит на экран фразу

Haha,vбrus van a gВpben!! Ez egy eddig mВg nem kФzismert vбrus. De hamarosan az lesz. A neve egyszerБen tФltФgetФ Ezt a nevВt onnan kapta, hogy feltФltФgeti a FAT-tаblаt kФlФnbФzФ alakzatokkal. Ez mаr meg is tФrtВnt !!!

а затем "рисует" в секторах FAT картинку

****** ****** * ** * * * * ** * * * * ** * * **** ** **** * * * * * **** ****

Вирус также содержит текст "command.com".



DiskKiller


Очень опасный вирус, длина - 5 секторов. Состоит из двух частей: первая часть вируса, оформленная как загрузочный сектор, располагается в загрузочном секторе диска и содержит начало вируса; вторая часть располагается в пяти последовательных секторах и содержит продолжение вируса (4 сектора) и оригинальный загрузочный сектор диска (5-й сектор). Перехватывает INT 8, 9, 13h и заражает загрузочные сектора дисков при обращении к ним (INT 13h, AH=2). На флоппи-диске вирус располагается по типу "Brain"

. Винчестер заражается только в том случае, если число скрытых секторов (т.е. расположенных между загрузочным сектором и первым сектором FAT) больше или равно 5. Вторая часть вируса при этом записывается в последние 5 скрытых секторов. Вирус может уничтожить всю информацию на диске. При чтении с диска (INT 13h, AH=2) вирус опрашивает свой внутренний счетчик времени, и, если значение счетчика удовлетворяет некоторым условиям, совершаются следующие действия: - на экране появляется сообщение:

Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/1989 Warning !! Don't turn off the power or remove the diskette while Disk Killer is Processing! PROCESSING

- уничтожается информация на всех треках диска: все байты информации на нечетных треках двоично суммируются (XOR) с байтом 55h, все байты на четных секторах - с байтом AAh; - на экране появляется сообщение:

Now you can turn off the power I wish you luck !

- компьютер зависает (совершает холостой цикл).



Disque


Неопасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Устанавливает дату - 2097 год. Содержит текст:

Disque non-syst



Dodgy


Очень опасный резидентный загрузочный стелс-вирус. Занимает два сектора (1024 байт). Поражает boot-сектора дискет и MBR винчестера. При заражении MBR записывает первоначальный MBR-сектор и свой второй сектор на нулевой трек/нулевую сторону винчестера, начиная с сектора 14 (обычно эти сектора не заняты программами и данными). На дискетах вирус сохраняет boot-сектор и свой код в последних секторах корневого каталога. При загрузке с зараженного диска вирус уменьшает размер свободной памяти (слово по адресу 0:0413h), копирует туда свой код, перехватывает INT 8, 13h, 40h и вызывает системный загрузчик (т.е. инициирует повторную загрузку с диска). Поскольку вирус реализует стелс-алгоритм, системный загрузчик при повторном запуске считывает с диска и выполняет не код вируса, а первоначальные boot/MBR-сектора. При инсталляции вирус также считывает в память MBR винчестера - уже установленная в память резидентная копия вируса перехватывает этот вызов и заражает MBR. При заражени вирус использует несколько приемов, направленных против антивирусной защиты, встроенной в BIOS - вирус снимает флаг проверки в CMOS и записывает в буфер клавиатуры символ 'Y'. Перехват INT 13h, 40h используется вирусом для заражения дисков, к которым идет обращение. При этом вирус также вызывает стелс-процедуру, если диски уже заражены. При помощи перехвата INT 8 вирус постоянно сканирует область памяти, куда DOS загружает свой код, и ищет там строку "PEC=" (остаток от строки "COMSPEC=", обычно присутствующей в области Environment DOS-программ). Если эта строка найдена, вирус перехватывает DOS-прерывания INT 21h, 2Fh и увеличивает (т.е. восстанавливает в прежнее значение) размер системной памяти (0:0413h). В результате TSR-копия вируса оказывается за пределами DOS. Затем вирус "отключает" свой перехватчик INT 8. INT 21h: вирус проверяет имена программ и при запуске файла RAV* вызывает свою подпрограмму уничтожения данных на диске (см. ниже). Эта подпрограмма не вызывается, если компьютер работает под Windows. В этом случае вирус вызывает ее при окончании работы Windows (вирус перехватывает этот момент при помощи INT 2Fh). INT 2Fh: вирус перехватывает запуск и окончание работы Windows. При запуске Windows вирус стирает в рабочем каталоге Windows файл SYSTEM\IOSUBSYS\HSFLOP.PDR. При окончании работы Windows вирус вызывает процедуру уничтожения данных на диске, если в процессе работы Windows был запуск программы RAV*. Через три месяца после заражения (или при запуске RAV*) вирус проявляет себя следующим образом: переводит компьютер в графический видео-режим, выводит текст "RAVage is wiping data! RP&muRphy", отключает клавиатуру и стирает сектора на винчестере.



в некоторых случаях портит FAT


Очень опасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и записывается в boot-сеткора дискет и MBR винчестера. Стелс-процедура вируса содержит ошибки, в результате которых вирус в некоторых случаях портит FAT дискет. При заражении 12-го диска вирус меняет палитру экрана. Под отладчиком вирус вешает систему. Содержит строки:

Dragon 1 (C) Snake's. Death


Dream (загрузочный)


Опасный резидентный "стелс"

boot-вирус. При загрузке с зараженной дискеты вирус поражает MBR винчестера, затем копирует часть своего кода (65h байт) в таблицу векторов прерываний, перехватывает INT 13h и затем заражает boot-сектора дискет. Так как в памяти резидентно остается только 65h байт вируса, то при заражении дискет вирус должен считать свой код откуда-нибудь. Он это делает с зараженного MBR-сектора. Вирус содержит ошибки, и система может повиснуть при обращении к зараженной дискете. Вирус содержит строку:

dream



DullBoy


Опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и первый boot-сектор винчестера. Записывает свои данный по адресу вектора прерывания карты VGA и вешает VGA-компьютеры. Содержит строку:

All computing and no play makes Cheolsoo a dull boy!



Duran


Резидентный очень опасный boot и MBR-вирус. При загрузке с пораженного флоппи-диска поражает MBR винчестера, затем перехватывает INT 13h и записывается в boot-сектора дискет при обращении к ним. Сохраняет старый MBR-сектор во втором физическом секторе винчестера, старый boot-сектор в самом последнем секторе дискеты. В некоторых случаях стирает MBR винчестера. Содержит строки:

(c)AVB91 Duran-Duran lives...



Edv


Резидентный очень опасный вирус, поражает MBR винчестера и boot-сектора флоппи-дисков. Копирует свою TSR часть в UMB или видео-память и перехватывает INT 13h и 16h. При заражении дискет и винчестера сохраняет первоначальный сектор по адресу 1/39/8 (сторона/трек/сектор). При обращении к этому сектору эмулирует ошибку чтения/записи. Пятое поколение вируса стирает сектора дисков и сообщает:

That rings a bell,no ? from Cursy

В вирусе также присутствует строка:

MSDOS Vers. E.D.V. EV



Edwin


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и диска C:. После заражения 63-го диска завешивает систему. Содержит слово-идентификатор:

JB



EE


Неопасный резидентный загрузочный вирус. При загрузке с флоппи-диска записывается в MBR винчестера, затем перехватывает INT 1Ch, ждет загрузки DOS, перехватывает INT 21h и записывается в boot-сектора дискет при вызове DOS-функций Select Disk и Keyboard Input (INT 21h, ah=0Eh,0Ah). В зависимости от значения системного таймера заполняет экран символом 'ю' (ASCII EEh).

Демонстрации вирусных эффектов:

ee.com



Ekaterinburg


Неопасный резидентный загрузочный вирус. При загрузке с пораженного диска копирует себя в таблицу векторов прерываний и перехватывает INT 13h. Затем поражает boot-сектора флоппи-дисков обращении к ним. MBR винчестера заражается при загрузке с пораженного флоппи-диска. В зависимости от значения системного таймера вирус стирает экран и ждет ввода с клавиатуры. Содержит зашифрованную строку:

Ekaterinburg



Empire


Неопасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и поражает boot-сектора флоппи-дисков. При загрузке с зараженного флоппи записывается в MBR винчестера. Сектора заражаются по алгоритму "Stoned"

. Содержит текст "PCAT", периодически расшифровывает и сообщает: I'm becoming a little confused as to where the "evil empire" is these days. If we paid attention, if we cared, we would realize just how unethical this impending war with Iraq is, and how impure the American motives are for wanting to force it. It is ironic that when Iran held American hostages, for a few lives the Americans were willing to drag negotiation on for months; yet when oil is held hostage, they are willing to sacrifice hundreds of thousands of lives, and refuse to negotiate .......



EncePhalyt


Безобидный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 13h и затем записывается в boot-сектора флоппи дисков. В MBR винчестера записывается при загрузке с пораженной дискеты. Содержит зашифрованную строку:

EncePhalyt



Energy


Опасный резидентный загрузочный стелс

-вирус. Заражает MBR винчестера и загрузочные сектора дискет. Перехватывает INT 8, 13h, 2Fh. При заражении MBR записывает в буфер клавиатуры символ 'Y' и обходит таким образом антивирусную защиту BIOS. Содержит ошибки в процедуре заражения дискет. В результате заражает корректно только дискеты объема 1.4Mb и портит информацию на прочих. Через один месяц после заражения диска выводит текст:

INT 13h points to => xxxx:xxxx Virus detected! (c) 1997 п-п нEnergy! Boot anti-virus! For details & upgrades call : Tel: (401) 778.08.48

где "xxxx:xxxx" - адрес обработчика INT 13h.



Ester


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При заражении не сохраняет первоначального содержимого MBR и boot-секторов. При загрузке с зараженного диска вирус самостоятельно ищет активный раздел на винчестере и грузит с него систему. Содержит зашифрованный текст:

E s t e r



Experimental


Нерезидентный флоппи-boot-секторный вирус. При загрузке с зараженного флоппи-диска выдает сообщение:

WARNING: This is an experimental boot sector virus. Ignore the instructions below, remove the diskette from drive A, and shut off your computer. Restart your computer from a "safe" diskette. If you insert a system diskette and press a key, that diskette will become infected!!

Non-system disk. Insert system disk and press any key.

и затем делает все то, что говорится в этом сообщении. При заражении записывается вместо boot-секторов заражаемых дискет.



Facade, семейство


Резидентные загрузочные вирусы. Перехватывают INT 13h и заражают MBR винчестера и boot-сектора дискет. "Facade.a" очень опасен - 27-го февраля выводит текст:

Facade

затем стирает сектора винчестера и завешивает компьютер. Также содержит строку:

[Written by Methyl]

"Facade.b,c" при загрузке системы в зависимости от того, нажата ли клавиша Ctrl, выводят бесконечное сообщение:

Cody 's Lauren 's Cody 's Lauren 's Cody 's Lauren 's

"Facade.c" также содержит текст:

Death to the [Black Tide] Love to Lauren from Cody



Falcon


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора диска C: и дискет. 5-го августа завешивает систему. Содержит строку:

fALCON!



FatAvenger


Безобидный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора флоппи дисков. Содержит строки:

THIS PROGRAM WAS WRITTEN IN INDIA.(c)1993 FAT AVENGER PS. this program is not meant to be destructive



Feint


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Никак себя не проявляет.



FindMe


Опасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. 23-го мая и 26-го декабря стирает CMOS. Содержит строку:

FIND_ME



Fish (Boot)


Безобидные резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в MBR винчестера и boot-сектора дискет. Содержат строки (вторая строка у "Fish.a" зашифрована):

"Fish.a":

FISH 1 (c) SD Oto moj pierwszy wirus, ktory nazywa sie FISH 1 (c) S.D. 1996.05.17

"Fish.b":

Paskuda 1,Copyright in 1996 by . Greetings for Troja !!! She is pretty cool !!!



Fisu


Неопасный(?) резидентный стелс

загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Что-то делает с CMOS-памятью, содержит строку:

"FiSU" BsAs @@ VS93



Flame


Опасный резидентный вирус. Перехватывает INT 13h и поражает boot-сектор гибких дисков и MBR винчестера. Старый boot-сектор гибкого диска сохраняет по адресу 1901/01, в результате чего может испортить часть информации на диске. Старый MBR винчестера не сохраняет. Иногда выводит на экран нечто, напоминающее языки пламени.

Демонстрации вирусных эффектов:

flame.com



Form


Очень опасный резидентный загрузочный вирус. Перехватывает INT 9, 13h и поражает boot-сектор флоппи-дисков при обращении к ним и boot-сектор винчестера при загрузке с флоппи-диска. На винчестере располагается в последних секторах диска, на дискете - методом "Brain"

. Проявляется 16-го числа ежемесячно - при нажатии на клавиши вирус совершает холостой цикл. При работе с винчестером может произойти потеря данных. Содержит текст:

The FORM-Virus sends greetings to everyone who's reading this text. FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.



Frankenstein


Очень опасный резидентный загрузочный стелс

-вирус. Перехватывает INT 8, 12h, 13h и записывается в MBR винчестера и boot-сектора дискет. При заражении дисков вирус шифруют первоначальный boot-сектор и MBR перед их сохранением. В зависимости от своих внутренних счетчиков вирус может стереть сектора дисков. Содержит строки: ЯrЕдkКдstКЛд's MЕgЛc v1.00a (C) Copyright 1992, Megatrends 2000 Corp. ThК JФhЕд ЯЕmЛly ---- HISTORY --- I born at 11 October 1992 - 7 pm o'clock. My mission is make all Diskette DESTROY if my 3 Counter same. My name is ЯrЕnkКnstКЛn's MЕgЛc v1.00a my Copyright is (C) Copyright 1992, Megatrends 2000 Corp. ThК JФhЕд ЯЕmЛly is my best family. WARNING : I will DESTROY you disk if touch me!!! if you want my listing, please write you name in MikroData this change only three times. I protect you HardDisk from Illegal hand and I count my children, Good bye.



Энциклопедия компьютерных вирусов


Неопасный резидентный зашифрованный boot-вирус. При загрузке с пораженного диска перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дисков при обращении к ним. 22-го мая в 12:00 выводит сообщение:

Galicia contra telefonica!

Содержит также слово-идентификатор:

V1



Энциклопедия компьютерных вирусов


Крайне безграмотный очень опасный вирус. Перехватывает INT 13h и поражает MBR винчестера и boot-сектора флоппи-дисков, не сохраняя их старое содержимое. При возникновении дисковых ошибок выводит на экран мусор. Содержит в своем теле текст

by Gena 1992 . Drink "TAMARISI" !!! is a best of hilins !!! Help me AIDSTEST.EXE !!! Oh my got !!! Ik Ik Ik Ik , man ! locked vector !!! SIGNATURA PROLETARIATA. PARANOjA. AZOV !!!



Энциклопедия компьютерных вирусов


Опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h. Поражает boot-сектора дискет и MBR винчестера. После 32-й загрузки компьютера выдает сообщение "AVV was here!" и завешивает машину.



Энциклопедия компьютерных вирусов


Опасный резидентный загрузочный вирус. Записывается в MBR винчестера и загрузочный сектор дискет. MBR винчестера сохраняет по адресу 0/0/8, boot-сектор сохраняет в последнем секторе корневого каталога дискет. При старте записывается в таблицу векторов прерываний по адресу 0020:0000 и перехватывает INT 13h. Затем заражает дискеты при обращениях к ним. MBR винчестера заражается при первой загрузке с зараженной дискеты. При загрузке с зараженной дискеты, если MBR винчестера уже заражен, то вирус лечит диск: переносит оригинальный код MBR из сектора 0/0/8, а на место этого сектора записывает нули. В последний раздел таблицы разбиения диска при этом записывает строку:

GHOST

Вирус использует достаточно рискованный анти-отладочный прием и в результате не работает на Pentium-компьютерах.



Энциклопедия компьютерных вирусов


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR жесткого диска. Дискеты заражает при обращениях к ним, а в MBR записывается при зашрузке системы с зараженной дискеты. В сентябре стирает CMOS память копьютера.



Энциклопедия компьютерных вирусов


Очень опасный резидентный вирус. Перехватывает INT 13. Поражает boot-сектора дискет и MBR винчестера. Содержит ошибки и завешивает систему. Содержит текст:

[Gr0x Virus] (c) 1997, Dark Chakal [SLAM]



Энциклопедия компьютерных вирусов


Опасный резидентный зашифрованный стелс

загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектор дискет и активный boot-сектор винчестера. Перехватывает также INT 10h и выводит в центр экрана сообщение:

Wolfgang GБllich

затем проверяет текущее время и с 11:00 до 12:00 перезагружает компьютер. Также содержит строку:

In memory of Wolfgang GБllichMilan Italy 94



Энциклопедия компьютерных вирусов


Очень опасный резидентный загрузочный вирус. Зашифрован, использует стелс-алгоритмы. Перехватывает INT 13h и записывается в загрузочные сектора дискет и MBR жесткого диска при обращении к ним. В памяти компьютера располагается в таблице векторов прерываний. С первого по седьмое января выводит в центре экрана мигающее сообщение и уничтожает данные первого жесткого диска. Сообщение вируса:

Gwar virus by T-2000



Hacked Ping-Pong


Почти полностью повторяет "Ping-Pong". Отличие - вместо запуска скачущего шарика происходит установка INT 13h на подпрограмму уничтожения первых восьми секторов флоппи-диска.



Haharin


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от своего счетчика стирает сектора дисков и выводит текст:

Haharin is not dead !



Hal


Неопасный резидентный вирус. Перехватывает INT 13. Поражает boot-сектора дискет и MBR винчестера. Выводит сообщение:

HAL 3001



HappyBox


Очень опасный резидентный boot-вирус. Записывается в boot-сектора дискет и MBR винчестера. Перехватывает INT 8, 9, 13h, 21h и проявляется различными звуковыми и видео-эффектами, выводит сообщение "Happy Box", стирает сектора дисков и портит открываемые файлы.



HardCore


Очень опасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При загрузке с зараженного диска в зависимости от системного таймера вирус форматирует винчестер. Вирус содержит строки:

[HardCore_II] by SangueSujo Made in Brazil - SC - BC Death to Dance and Techno, long live HardCore Kill a playboy today... Make happy... [|Td|]



Havoc (Stealth_Boot), семейство


Загрузочные стелс

-вирусы. При загрузке с пораженного флоппи записываются в MBR винчестера. Затем перехватывают INT 13h и поражают флоппи-диски при чтении с них. Заражение дискет происходит по алгоритму "Brain"

. В зависимости от системного таймера "Havoc.a,b,Innocent" стирают сектора дисков. "Havoc.Amse" безобиден, никак не проявляется. "Havoc.Alfredo" расшифровывает текст и выводит его на принтер:

LIMA - PERU (c) Laboratorio Luz de Luna ANGEL X TE SALUDA

Содержат строки:

"Havoc.a": The HAVOC Virus "Havoc.b": The Havoc ][ Virus "Havoc.Alfredo": ALFREDO "Havoc.Amse": AMSESLIFVASRORIMESAEP "Havoc.Innocent": innocent



HDD_Error


Неопасный резидентный загрузочный вирус. При загрузке с пораженной дискеты вирус записывается в MBR винчестера. Затем (также как и при загрузке с пораженного винчестера) копирует себя в таблицу векторов прерываний, перехватывает INT 40h и затем записывается в boot-сектора дискет. Вирус "откусывает" блок системной памяти (уменьшает слово по адресу 0000:0413) и использует этот блок как буфер чтения/записи при заражении дисков. Вирус не сохраняет первоначальное содержимое заражаемых секторов. Для того, чтобы вернуть управление системе при загрузке с зараженного диска вирус самостоятельно подсчитывает адрес активного boot-сектора винчестера, считывает его в память и передает на него управление. При загрузке с зараженного диска вирус может расшифровать и выдать сообщения:

FATAL ERROR: CPU FAILED. HDD ERROR.



HDKiller


Очень опасный резидентный boot-вирус. Перехватывает INT 13h, 1Ch и записывается в MBR винчестера и boot-сектора дискет. Через год после заражения компьютера записывает в сектора диска строку:

HDKiller By Rasek.н0UT Meilаn!



Hex


Безобидный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строки:

CocaColato jest to! Wirus HEX dedykowany E.D. i M.Sellowi



Hippie


Безобидный резидентный загрузочный вирус. При загрузке с зараженного диска записывает себя в MBR, используя прямые вызовы портов винчестера, "отрезает" блок системной памяти (слово RamSize по адресу 0000:0413), копирует туда свой код, перехватывает INT 1Ch, 2Fh и ждет загрузки DOS. После этого перехватывает INT 13h и заражает диски при обращениях к ним. При загрузке DOS вирус восстанавливает RamSize и, таким образом, оказывается не в "отрезанном" блоке, а в последнем блоке DOS. Вирус содержит строки:

DrW-4 RPL Dr White - Sweden 1996 Hippie Virus - Written in Malmo...B01F



Hob


Безобидный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и заражает загрузочные сектора дискет в дисководе A: и MBR винчестера. Винчестер заражается только в том случае, если отключена встроенная в BIOS защита от вирусов (для этого вирус проверяет соответствующее значение в CMOS-памяти). Вирус содержит строку:

h0b13BzZ



Hoppity


Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Никак не проявляется, но при заражении системы копирует себя в сиистемную память по фиксированному адресу 9FC0:0000 и может этим завесить компьютер.



Incubus, семейство


Безобидные резидентные загрузочные вирусы, при загрузке с зараженного флоппи-диска записываются в MBR винчестера. Затем вирусы перехватывают INT 13h (или INT 40h в зависимости от версии) и записываются в boot-сектора дискет. Содержат тексты:

"Incubus.a": Incubus PRiEST - Phalcon/Skism". "Incubus.b": Incubus virus - Little Loc



India


Неопасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора флоппи-дисков. Выводит сообщение:

Made in India



Insomnio


Неопасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и записывается в MBR сектор жесткого диска и boot сектор диска A: при обращении к нему. После старта вирус записывается в MBR сектор. Состоит из двух секторов. 3 мая вирус выводит зашифрованное сообщение и ждет нажатия на клавишу. Сообщение вируса:

El conocimiento eleva, y desde lo alto se ve mejor. [Insomnio] La Mugre. Presione una tecla...



Int10, семейство


Неопасные загрузочные вирусы. Перехватывают INT 10h, 13h и 1Ch. Int 10h используется для перехвата INT 13h (которое в свою очередь необходимо вирусу для заражения очередных дисков), INT 1Ch используется для вызова какого-то видеоэффекта. Вирус записывается в MBR винчестера и boot-сектора флоппи-дисков. При заражении первоначальный сектор шифруется.



Int12 (boot)


Безобидный резидентный загрузочный вирус. Заражает boot-сектора дискет и диска C:. При заражении сектора ищет в нем строку "non-system disk" (большими/маленькими символами) и записывает в последующий текст свой инсталлятор (40 байт). Затем вирус записывает свой основной код в последний сектор диска. При загрузке с зараженного диска инсталлятор вируса считывает его основной код и передает ему управление. Основной код перехватывает INT 12h, ждет загрузки DOS, затем перехватывает INT 13h и заражает диски при обращениях к ним. Вирус содержит зашифрованные строки:

LOVE non-system disk



Безобидный резидентный загрузочный вирус. Копирует


Безобидный резидентный загрузочный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 40h и затем записывается в boot-сектора дискет. При загрузке с пораженной дискеты записывается в MBR винчестера. Никак не проявляется.


IR&MJ


Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Использует полу-легальные приемы программирования, в результате чего често вешает систему. 30-го декабря расшифровывает и выводит:

December 30th (C) By IR&MJ Compu Serve 1993



IsraeliBoot


Резидентный неопасный вирус, перехватывает INT 8, 13h и поражает boot-сектора флоппи-дисков. Проявляется падением букв на экране.



JackRipper


Опасный резидентный boot-вирус. При загрузке с пораженного флоппи-диска записывается в MBR винчестера и перехватывает INT 13h. Затем поражает флоппи-диски при доступе к ним. Периодически меняет местами байты в записываемой на диск информации. Содержит строки:

FUCK 'EM UP ! (C)1992 Jack Ripper



JindraBoot


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает загрузочные сектора дискет и диска C:. При 101-м заражении стирает CMOS и сектора дисков. Содержит строку:

JINDRA_0



Jobi


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектор диска C: и boot-сектора дискет. Сохраняет первоначальный boot-сектор в конце диска. 27-го июля завешивает компьютер. Содержит строку:

Ugly Jo's birthday



Joshi, семейство


Очень опасные стелс

-вирусы, длина 4086 байт (9 секторов). Перехватывают INT 8, 9, 13h, 21h и заражают boot-сектора флоппи-дисков и MBR винчестера при обращениях к ним (INT 13h, ah=2,3,4,0Ah,0Bh). Состоят из двух частей: первая часть содержит тело вируса и хранится в boot-секторе (или MBR) диска, вторая содержит первоначальный сектор зараженного диска и остальные 8 секторов вируса и хранится на флоппи-диске на 40-м или 80-м треке в зависимости от формата диска (используется нестандартное форматирование); на винчестере - начиная со 2-го сектора 0-го трека. При сохранении своей копии на винчестер вирусы могут уничтожить FAT. Вирусы перехватывает INT 21h. Для этого они после активизации (загрузки системы) постоянно опрашивают значение вектора прерывания 21h и, как только оно изменяется, считывают его. Перехватывают INT 9h (клавиатура). Обрабатывают нажатие клавиш Alt-Ctrl-Del (перезагрузка) и эмулируют ее: гасят экран и т.д. При этом вирус остается резидентным даже при загрузке с незараженного защищенного от записи диска. Проявляются 5-го января, при этом выводят сообщение:

Type `Happy Birthday, Joshi'!

и ждут ввода с клавиатуры фразы:

Happy Birthday, Joshi!



Kein


Безобидный резидентный загрузочный стелс-вирус. Перехватывает INT 13h, при ображении к загрузочным секторам заражает их. Никак себя не проявляет. Содержит строки:

Kein System oder Laufwerksfehlr Wechseln und Tast



Keydrop


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и поражает boot-сектора дискет по методу "Brain"

при обращении к ним. MBR винчестера поражается при загрузке с зараженной дискеты. Проявляется эффектом "падающих букв" (коды этого алгоритма полностью скопированы из вируса "Cascade"

). Содержит текст:

(c) Copyright 1990 Keydrop inc.

Демонстрации вирусных эффектов:

keydrop.com



Kilroy, семейство


Опасные нерезидентные загрузочные вирусы: записываются вместо начальных секторов флоппи-дисков и винчестера при загрузке с пораженного сектора. В отличие от подавляющего большинства остальных загрузочных вирусов не оставляют своей резидентной копии в системной памяти: заражение происходит исключительно в момент загрузки с зараженного диска. Затем вирусы передают управление оригинальному загрузочному коду и управления на себя более не получают вплоть до очередной перезагрузки. Вирусы содержат/выводят тексты:

"Kilroy": KILROY Kilroy was here! "Kilroy.Turd": DAVIES YOU BLACK-COATED TURD!



Kiryanov


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектор жесткого диска и boot-сектора дискет при обращении к ним. 25-го числа любого месяца вирус выводит сообщение:

TSCU RGF Kiryanov Niklaus'99 (c)In_sAnE

Содержит также строку текста:

THNX:Grands,Parents,Bros,Max,Oleg,BLA,HNB.. Nikir@chat.ru



KL


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит слово-идентификатор "KL".



Koh


Резидентный загрузочный вирус. Перехватывает INT 9 (клавиатура) и INT 13h. При загрузке с зараженного флоппи заражает винчестер, предварительно спросив разрешение у пользователя:

KOH-Encrypt your HARD DISK now (please backup first)?

и записывается в MBR винчестера, если ответ 'Y', в противном случае передает управление программе нормальной загрузки. При заражении винчестера шифрует его сектора, для чего спрашивает у пользователя пароли шифровки:

Now, enter 2 passwords, 1 for HD, 1 for FD. FD PW can be changed anytime with Ctrl/Alt-K, C/A-O stops FD infect, C/A-H uninstalls on HD. Enter HD PW at power up. WRITE THIS DOWN!

CASUAL encryption=fast but breakable--keeps out snoops. STRONG encryption=good but slow--keeps out all. Use disk cache. Do you want STRONG encryption?

При загрузке с зараженного винчестера вирус спрашивает пароли и продолжает загрузку только в том случае, если пароли введены правильно. Заражает/шифрует также и флоппи-диски. Зашифрованные вирусом диски можно расшифровать и даже удалить вирус с диска, используя его же (вируса) функции. Вирус перехватывает прерывание клавиатуры и расшифровывает/дезинфицирует диски при нажатии Alt-Ctrl-A,O,H. Вирус также содержит/выводит и другие строки:

Initial load failed... aborting. Load successful. A: now infected with KOH.

Sure you want to uninstall?

Should change be permanent?

Enter FLOPPY PW now.

Now enter HD PW.

Enter Password: Verify Password:

Verify failed!

KOHv1.00



Korea


Резидентный безобидный вирус, перехватывает INT 13h и поражает методом "Stoned"

boot-сектора флоппи-дисков. Содержит текст:

virse program messge Njh to Lbc



Leandro


Неопасный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дисков (флоппи и винчестера). 21-го октября выводит текст:

Leandro and Kelly ! GV-MG-Brazil You have this virus since

Затем добавляет к нему дату заражения данного компьютера.



Lilith


Неопасный резидентный полиморфик

и стелс

загрузочный вирус. Ищет в BIOS'е команду INT 18h (CDh 18h), устанавливает на нее адрес INT 13h и перехватывает INT 18h (т.е. INT 13h). Затем записывается в boot-сектора дискет и MBR винчестера. В зависимости от системного таймера перехватывает также INT 5 (PrintScreen) и при вызове INT 5 выводит текст:

L 0 I 0 L 0 I 0 T 0 H Tu del creato prima Donna del Sesso Maestra infernale accogli le Nostre dannate Carni nel Tuo satanico Ventre

Также содержит строку:

Milan Italy 95

Демонстрации вирусных эффектов:

lilith.com



LP


Безобидный резидентный стелс-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и первый boot-сектор винчестера. При инсталляции в системную память вирус уменьшает размер DOS-памяти (слово по адресу 0000:0413). При загрузке DOS вирус в некоторых случаях может восстановить этот размер. Таким образом, блок памяти, занятый вирусом, располагается либо за пределами DOS-памяти, либо как отдельный блок DOS-памяти. Вирус содержит строку-идентификатор: "LP".



LuciferBoot


Неопасный нерезидентный загрузочный вирус. При загрузке с зараженного флоппи записывается в загрузочный сектор диска C:, при загрузке с зараженного винчестера записывается в начальный сектор диска B:, при этом не сохраняет первоначальный сектор и пытается загрузить DOS самостоятельно. Если на диске нет системных файлов, вирус спрашивает: "Sys?". Вирус не перехватывает векторов прерываний и не остается резидентно в памяти. Содержит строки:

Lucifer Lucifer Messiah -- ANARKICK SYSTEMS v6.1 (c)1990 Sys?



LZR


Очень опасный загрузочный вирус. При загрузке с пораженной дискеты записывается в MBR винчестра. При загрузке с зараженного диска перехватывает INT 13h и поражает boot-сектора дискет. В некоторых случаях стирает сектора дисков. Содержит строку "LZR".



Mail


Неопасный резидентный boot-вирус. Перехватывает INT 8, 9, 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. В зависимости от своих внутренних счетчиков вирус "глотает" символы, вводимые с клавиатуры, стирает(?) CMOS, выводит картинку:

+------------------- Help for users E-Mail ----------------------+ | Send/Receive Mail Manual page 137 | |----------------------------------------------------------------| | This command starts Commander Mail and sends any messages in | | the OUT directory via MCI Mail. It also copies any new | | messages from MCI Mail to the IN directory. | | | | Use the commander maiL command if you just want to browse | | through messages in your IN directory, or if you want to | | create new messages. | | | | Use the Send files item in the Files menu if you want to send | | files to someone via MCI Mail. | | | | Note: This function is provided by the MCI.EXE and | | MCIDRIVR.EXE programs, which must be in the same | | directory as the Norton Commander (NC.EXE). | +----------------------------------------------------------------+



Maniak


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. 31-го декабря расшифровывает и выводит текст:

DEJ SI ASPON DNESKA POHOV, MANIAKU ! 31thDEC



Mega


Безобидный резидентный стелс

загрузочный вирус. Перехватывает INT 13h и записывается в MBR и первый boot-сектор винчестера, а также в boot-сектора дискет. Вирус никак не проявляется.



MemEater


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет. При заражении дискеты запоминает в своем коде номера текущего дня и месяца. При загрузке с такой дискеты уменьшает размер системной памяти на 1K (слово по адресу 0000:0413), если загрузка происходит в тот же день, в который произошло заражение дискеты. В противном случае уменьшает объем системной памяти на 2K и обновляет в своем коде номер текущего дня и месяца, затем уменьшает память на 3K, 4K и т.д. В результате изо дня в день вирус "отъедает" все больше и больше системной памяти при загрузке с зараженной дискеты.



Michael, семейство


Очень опасные резидентные загрузочные вирусы. Занимают 600h байт и располагаются на флоппи-диске двумя блоками: первый блок - в загрузочном секторе, второй - в последних секторах корневого каталога диска. При загрузке с зараженного диска вирус считывает свою вторую часть, перехватывает INT 8, 13h, а затем записывается в загрузочные сектора дискет при обращениях к ним. Вирус заражает MBR винчестера при загрузке с зараженной дискеты: исправляет адрес активного загрузочного сектора на 0/0/3 (трек/сторона/сектор), а затем записывает свое тело по этому адресу. При заражении ищет на дисках вирус "Stoned" и лечит его. Если во время инсталляции вируса в память при считывании второй части вируса происходит ошибка, то вирусы расшифровывают и выводят тексты:

"Michael.a": System halted "Michael.b": BIOS fatal error. System halted...

Затем они завешивают компьютер. При инсталляции вирусы проверяют системную дату и 29 июля расшифровывают и выводят текст:

July 29 today...

и перехватывают INT 9. При нажатии на Alt-Ctrl-Del стирают MBR и выводят тексты:

"Michael.a": Happy birthday, MICHAEL ! "Michael.b": Happy birthday, B..... M...... !

"Michael.a" портит EXE-файлы, написанные на Borland C и затем запакованые LzExe. Помимо перечисленных выше вирусы содержат зашифрованные строки:

"Michael.a": Oh, sectors... I like to move it! My name is July29! "Michael.b": v3.1



Mik


Очень опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Блокирует каждый 256-й вызов INT 13h WriteSector, что моюет привести к потере данных. Содержит строки:

Mik Virus is Your Computer,T.M.E.Varna'96 Black Love!



MiniMax


Очень опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При чтении секторов вирус ищет в них строки "MIN" и "MAX" (символы могут быть как большими, так и маленькими), а затем заменяет "MAX" на "MIN", а "MIN" на "MAX". Затем вирус записывает исправленный сектор на диск. Вирус содержит зашифрованный текст:

MiniMax



Misis, семейство


Неопасные boot-вирусы. Поражают MBR винчестера при загрузке в память и boot-сектора флоппи-дисков при чтении или записи секторов. Перехватывают INT 13h. Иногда выводят фразы:

"Misis.a":

МИСиС Май'92. Жаринов Soft 236-25-35. "Жаринов" пришел!.. Я СУБД NIKA! Отойдите от машины! Работу программистам! Слава Лозинскому! Тебя МИНЗДРАВ предупреждал?! Молитесь...

"Misis.b":

YOU ARE SILLY ORGANIC CREATION I'M AMUSING GO OUTSIDE! ...GOOD BY... I LOVE F117! HIGHT LOZINSKY! I'M BACK!!!! FREDDY BACK ALREADY!

"Misis.a":

МЭСИ Маpт'93. Жаринов - УРОД ! Автоp виpуса - ГАД.Ты подохнешь ! Пpидуpки из МИСиС!! Гнать таких надо !!!! Долой Лозинского! Испоганили винт моей PC!!!!! Пpивет!



Mission


Опасный резидентный стелс-вирус. Перехватывает INT 13h и записывается в MBR сектор жесткого диска и загрузочные сектора дискет при обращениях к ним. В памяти располагается в таблице векторов прерываний. Оригинальные сектора заражаемых дисков не сохраняет. Содержит строки текста:

=[ T-100 (c) 1998 by me of a certain group ]= [T-100] stainless steel prototype Manufactured by Cyberdyne Systems, Los Angeles - 2016. MISSION OBJECTIVE: Termination of senator Johnson.



Moloch


Неопасный резидентный полиморфик boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Каким-то образом меняет некоторые байты CMOS. Содержит строки:

OH-MY-GOD! Moloch (tm) is here! Moloch is a trademark of SquiBoyz



Mongolian


Очень опасный загрузочный стелс

-вирус. При загрузке с пораженного диска записывается в MBR винчестера, перехватывает INT 13h и поражает boot-сектора дискет. 30 мая стирает сектора дисков, расшифровывает и выводит текст:

Mongolain Virus VERSION 1.00 Mongolian Brain Co.Ltd 1992 Today is birthday of my babby !!!



Monkey, семейство


Резидентные безобидные вирусы, перехватывают INT 13h и поражают boot-сектора флоппи-дисков и MBR винчестера по методу вирусов семейства "Stoned"

. При сохранении на диск первоначального сектора шифруют его содержимое. Содержат в себе зашифрованную строку:

Monkey



MPHTI, семейство


Очень опасные вирусы. Перехватывают INT 13h и заражают boot-секторы винчестера и дискет. Старый boot-сектор сохраняет в предпоследнем ("MPHTI-a") или последнем ("MPHTI-b") секторе корневого каталога заражаемого диска. В зависимости от своего счетчика могут уничтожать информацию на первых 8-ми треках на всех доступных дисках. Содержат текст "1991,МФТИ".



MrHu


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. В зависимости от своих счетчиков стирает сектора дисков и выводит сообщение:

(C) Copyright Mr. Hu 1992-93 V1.00



Multiani


Опасный резидентный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и первый boot-сектор винчестера. При заражении сектора правит код стандартного загрузчика - в его начало записывает команду JMP на свой собственный загрузчик, а код этого загрузчика (37h байт) записывает в область системных сообщений в boot-секторе по адресу 01A4h. Затем вирус записывает свой основной код в последний сектор корневого каталога диска. При загрузке с такого диска выполнение стандартного загрузчика прерывается кодом вируса, который считывает в память свой основной код, перехватывает INT 13h, а затем возвращает управление стандартному загрузчику. Такой способ заражения портит boot-сектора, код которых отличен от стандартного загрузчика MS-DOS. При загрузке с таких дисков система виснет. В декабре вирус выводит текст:

La multi ani !

Содержит строки, вторая строка зашифрована:

SoSo3 ! ina itlum aL



Murky


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается MBR винчестера и boot-сектора дискет. Содержит строку:

Murky

Проявляется тем же эффектом, что и вирусы "Volga"

- меняет формат записи секторов из стандартного в Long. В результате после удаления вируса из оперативной памяти необходимо восстановить формат секторов при помощи специальной утилиты.



MusicBug


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает boot-сектора винчестера и флоппи-дисков методом "Brain"

. При обращении к дискам проигрывает несколько мелодий. Содержит текст:

MusicBug Made in Taiwan

Демонстрации вирусных эффектов:

musbug.com



Nail


Неопасный резидентный стелс

boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При загрузке заставляет DOS выделить неиспользуемый блок памяти, куда и копирует свое тело. Таким образом размер свободной памяти (слово по адресу 0000:0413) не изменяется. В 1996 году расшифровывает и выводит текст:

Heal the world ...



Nice


Неопасный резидентный зашифрованный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Первоначальное содержимое секторов шифрует и записывает в 4-й сектор винчестера (MBR) или в последний сектор корневого каталога дискет. В некоторых случаях выводит текст:

Virus "NICE"



NKTU_LUH


Опасный резидентный boot-вирус. Копирует себя по адресу 8F00:0000 (что часто вешает систему), перехватывает INT 13h, 1Ch и записывается в MBR винчестера и boot-сектора дискет. В некоторях случаях стирает сектора дисков и выводит сообщение:

NCTU LYH



NOP


Безобидный резидентный стелс

boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора 360K флоппи-дисков. Первая инструкция вируса (NOP, 90h) используется как ID-байт зараженных дисков.



Nova


Безобидный резидентный boot-вирус. Перехватывает INT 13h, 1Ch и записывается в MBR винчестера и boot-сектора 1.2Mb дискет. Не изменяет размер системной памяти (слово по адресу 0000:0413), при загрузке уменьшает его, ждет загрузки DOS (использует INT 1Ch), а затем восстанавливает размер памяти.



NYB (B1, Stoned.i) this text was written by Mikko Hypponen, DataFellows ltd


Вирус NYB широко распространен во всем мире. Является он довольно простым вирусом, заражающим дискеты и Master Boot Record винчестера. Заражение винчестера происходит только при загрузке системы с зараженного флоппи-диска - вирус записывает свой код в MBR, затем он остается резидентным в DOS-памяти при каждой загрузке с зараженного диска. Для своей резидентной копии вирус выделяет 1K системной памяти. После инсталляции в память вирус заражает практически все незащищенные от записи дискеты, к которым идет обращение. Вирус использует стелс-приемы, в результате чего код вируса в зараженной MBR оказывается невидим, если в памяти компьютера присутствует копия вируса. При каждом обращении к диску с вероятностью 1/512 вирус позиционирует головку флоппи-диска последовательно на все сектора/треки от 0/0 до 62/255 (на стандартных дискетах такой адрес отсутствует). Некоторые (старые) дисководы не содержат проверки на такие "запредельные" адреса, в результате чего головка дисковода может достаточно интенсивно биться об ограничитель, что может привести к физической поломке дисковода. В коде вируса присутсвует еще одна процедура, разрушающая информацию на диске, если информация записыватся на винчестер в 0:0 (сразу после полуночи). Вирус по причине ошибок также может портить информацию на некотороых дискетах. Первоначальная версия вируса не содержит тестовых строк. "NYB.d" содержит текст:

SVK by RAVEN



Ordure


Очень опасный резидентный загрузочный полиморфик

-вирус. При загрузке с зараженной дискеты вирус перехватывает INT 1Сh (таймер), ждет инсталляции DOS, затем перехватывает INT 13h и заражает MBR винчестера и загрузочные сектора дискет при обращениях к ним. В зависимости от своих случайных счетчиков уничтожает данные на винчестере.



Ornate


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и boot-сектор активного раздела винчестера. В зависимости от своего счетчика стирает сектора винчестера.



Безобидный резидентный загрузочный вирус. Перехватывает


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. При записи на винчестер использует прямые обращения к портам контроллера. Содержит строку-идентификатор:

Palma5.


Parity, семейство


Опасные резидентные вирусы, перехватывают INT 9, 13h и записываются в boot-сектора флоппи-дисков и MBR винчестера при чтении из них. Вирусы используют INT 9 (клавиатура) для обработки нажатия на Alt-Ctrl-Del и вызывают при этом INT 19h (reboot). Периодически вирусы расшифровывают и выводят текст: "PARITY CHECK", а затем завешивают компьютер.



Payback


Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет и MBR винчестера. 27-го января стирают CMOS, форматируют диски и выводят тексты:

"Payback.a,b":

That was for ARCV, mother fucker! Payback! (c) 1993

"Payback.c:

PAUL FERGUSON IS A MOTHER FUCKER! EAT SHIT FERGUSON



Pebble


Опасный резидентный загрузочный вирус. Перехватывает INT 9, 13h и записывается в MBR винчестера и boot-сектор дискет при чтении с диска. Оригинальный boot сохраняет в последнем секторе корневого каталога, оригинальный MBR - в 7-ом секторе винчестера. При заражении дискет портит их таблицу параметров. При нажатии на клавишу (INT 9) изменяет атрибут цвета для левого верхнего символа. Более никак не проявляется.



Pentagon


Опасный резидентный загрузочный вирус. Частично зашифрован. Перехватывает INT 9, 13h и поражает boot-сектор флоппи-дисков при обращении к ним. При заражении диска объявляет в FAT сбойные сектора и записывает туда свое продолжение и первоначальный boot-сектор (см. вирус "Brain"

). Если при этом дискета уже была поражена вирусом "Brain", то "Pentagon" лечит boot-сектор этого диска, изменяет его метку и затем заражает своей копией. На заражаемом диске создается файл PENTAGON.TXT. Вирус "выживает" при теплой перезагрузке. Содержит тексты:

(c) 1987 The Pentagon, Zorell Group first sector in segment



Pers


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR-сектор жесткого диска и загрузочные сетора дискет. MBR заражает при загрузке с зараженной дискеты, на дискеты записывается при обращениях к ним. Никак не проявляется. Содержит строку текста:

PersВfone 1.1



Peru


Опасный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и винчестера. Винчестер поражается при загрузке с зараженного флоппи-диска, дискеты заражаются при обращениях к ним. По причине ошибки при заражении дискет записывает оригинальный загрузочный сектор в один из секторов FAT, что может испортить данные на дискете. После 5 заражений выдает сообщение:

No Existe Otra Mujer Como JOHANA

Также содержит строку:

Peru



PeterII


Обыкновенный резидентный загрузорчный стелс

-вирус. Поражает boot-сектора дискет и MBR винчестера. При загрузке копирует себя по адресу 9F00:0000 и перехватывает INT 13h. При загрузке с флоппи-диска поражает MBR винчестера. Флоппи-диски поражаются при доступе к ним, при этом заражаются только 1.2 Mb 5"1/4 дискеты. Вирус записывает себя в 80-й сектор, который форматируется при заражении. 27-го февраля вирус выдает сообщение:

Good morning,EVERYbody,I am PETER II Do not turn off the power, or you will lost all of the data in Hardisk!!!

WAIT for 1 MINUTES,please...

и шифрует сектора жесткого диска. Затем вирус задает три вопроса:

Ok.If you give the right answer to the following questions,I will save your HD:

A. Who has sung the song called "I`ll be there" ? 1.Mariah Carey 2.The Escape Club 3.The Jackson five 4.All (1-4):

B. What is Phil Collins ? 1.A singer 2.A drummer 3.A producer 4.Above all (1-4):

C. Who has the MOST TOP 10 singles in 1980`s ? 1.Michael Jackson 2.Phil Collins (featuring Genesis) 3.Madonna 4.Whitney Houston (1-4):

Если дать три правильных ответа, то вирус расшифровывает сектора винчестера и сообщает:

CONGRATULATIONS !!! YOU successfully pass the quiz! AND NOW RECOVERING YOUR HARDISK ......

В противном случае информация на диске остается зашифрованной, а вирус сообщает:

Sorry!Go to Hell.Clousy man!



PF


Безобидный резидентный boot-вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Использует слово "PF" как идентификатор зараженности.



PG


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора флоппи-дисков и первый boot-сектор винчестера. Первоначальный boot-сектор сохраняет в последнем секторе диска. Содержит строку: "PG".



Pilgrim


Неопасный резидентный вирус. Перехватывает INT 13h и заражает только boot-сектор диска A:. Если в процессе работы удается заразить 13 дискет, выводит на экран сообщение:

+-------- PILGRIM-1 --------+ | Ваш диск отформатирован ! | | * * * | | Хлопайте ушами дальше. | +---------------------------+



Ping-Pong


Не опасен. Перехватывает INT 8, 13h. Имеет байт, содержащий номер версии вируса. Если обнаруживает диск, зараженный своей предыдущей версией, то "обновляет" ее. Вызывает видеоэффект скачущего шарика (знак 07h ASCII), который перемещается по экрану, отражаясь от знаков и границ экрана.



Ping-Pong modified by Yankee


Является результатом модификации вируса "Ping-Pong" вирусом "Yankee"

. Изменения произведены таким образом, что при каждой очередной загрузке вируса его версия (байт, содержащий ее значение) увеличивается на 1. При достижении версией нулевого значения (255+1), вирус дезактивируется.

Демонстрации вирусных эффектов:

ping_pon.com



Ping-Pong, семейство


Вирусы семейства заражают boot-сектора дисков при обращении к ним (INT 13h). На диске располагаются способом "Brain"

. Содержат команду MOV CS,AX (межсегментный JMP), которая выполняется только процессором 8086 (IBM PC и IBM PC/XT). Поэтому вирус не распространяется на компьютерах на базе процессоров 80x86.



Pirate


Неопасный резидентный boot-вирус. Перехватывает INT 13h и заражает MBR винчестера и boot-сектора дискет. В зависимости от своего счетчика расшифровывает и выводит текст:

PIRATE!, you have a virus.



PMBS


Опасный резидентный загрузочный вирус. При загрузке с пораженного диска копирует себя в расширенную память, переводит компьютер в защищенный режим (если, конечно, это возможно) и запускает виртуальную машину (V86). Загрузка DOS и выполнение приложений будет происходить уже на этой виртуальной машине. Вирус перехватывает все 256 прерываний (от 00h до FFh) и проверяет критические ситуации. При критической ситуации чтения с флоппи-диска вирус заражает его (винчестер поражается при загрузке с зараженного флоппи-диска). При остальных критических ситуациях вирус выводит одно из двух сообщений:

Unimplemented Interrupt: Offending instructions:

General Protection Fault: Offending instructions: Offending CS:IP:

В вирусе также содержится строчка "PMBSVIRS". Этот вирус является "стелс"

-вирусом при доступе к винчестеру. Он проверяет ввод/вывод в порты (используя особенности защищенного режима процессора i386) и корректирует соответствующие данные. Содержит несколько ошибок, включая принципиальные. Основная программистская ошибкой - некорректное поражение флоппи-дисков. Вирус записывает на него только ту свою часть, которая работает в реальном режиме. Часть, отвечающая за обработку прерываний в защищенном режиме, не записывается на диск. При загрузке с такой дискеты компьютер зависает. Принципиальной ошибкой является то, что пораженную 386-ю машину можно использовать только как PC-86, поскольку вирус переходит в режим супервизора и не позволяет другим программам стать таким супервизором. Не позволяет он также получить доступ к расширенной памяти. В результате такие популярные программы, как EMS386, QEMM386, Windows не будут работать на пораженном компьютере. Более того, зависание компьютера вызывает стандартная DOS'овская программа MEM, поскольку она проверяет расширенную память.



Pow


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Никак не проявляется. Содержит строку:

-Pow-



Pretty


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и boot-сектор диска C:. В зависимости от своих внутренних счетчиков стирает случайно выбранные сектора дисков. Содержит текст:

A pretty girl came into the world on 1-9-1968 I love her



PrintScreen


Очень опасный вирус, длина 512 байт (1 сектор). Перехватывает INT 13h. Заражает boot-сектор дискет и винчестера при чтении с них (INT 13h, AH=2). Первоначальный boot-сектор сохраняет на флоппи-диске по адресу 0/1/3 (трек/сторона/сектор), на винчестере - по адресу 1/3/13. При этом может уничтожить один из секторов FAT или данных (в зависимости от объема диска). При заражении винчестера предполагает, что его boot-сектор расположен по адресу 0/1/1 (это говорит о низкой квалификации автора вируса). Судя по листингу вируса при инфицировании диска с вероятностью 1/256 (в зависимости от значения своего внутреннего счетчика) вирус должен вызывать INT 5 (печать экрана), но допущена ошибка, в результате которой новое значение счетчика не сохраняется.



PrintScreen.b


Неопасен, перехватывает INT 10h, 40h и записывается в boot-сектора флоппи-дисков. При выводе символов на экран конвертирует их в lowercase.



Procuror


Очень опасный резидентный стелс

-вирус. Перехватывает INT 8, 13h, 17h и записывается в MBR винчестера и boot-сектора дискет. Стирает CMOS, форматирует сеттора дисков, меняет символы, вводимые с клавиатуры, и цифры, выводимые на принтер. Содержит строку:

PROCUROR



Pur'Cyst


Опасный резидентный загрузочный "стелс"

-вирус. Перехватывает INT 13h и записывается в MBR винчестера и загрузочные сектора дискет и диска C:. Содержит строку:

PUR'CYST

Использует алгоритм вируса ExeBug

для того, чтобы заразить память компьютера даже при холодной перезагрузке с заведомо незараженного системного диска. Этот алгоритм усовершенствован следующим образом: "Pur'Cyst" не обнуляет ячейки CMOS, а всего лишь устанавливает disk A: на 360K (если его объем 1,2Mb) или на 720K (если 1.4Mb). Компьютер, имеющий диск A: объема 1,2Mb или 1.4Mb в данном случае все равно загружается с винчестера, даже если в BIOS Setup указано грузить систему сначала с диска A, а затем с винчестера, и в дисководе A: находится системная дискета. Таким образом вирус прячется от невнимательного пользователя. Данный алгоритм несовместим с некоторыми BIOS, в результате чего пораженный компьютер может зависнуть.



PurpleCum


Опасный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h, 2Fh и записывается в MBR винчестера и boot-сектора дискет. Использует INT 2Fh для того, чтобы восстанавливать значение системной памяти (слово по адресу 0000:0413). Использует метод вируса "ExeBug"

для того, чтобы заразить память компьютера даже при загрузке с чистой системной дискеты. Вирус содержит ошибки и может завесить систему. Содержит строку:

PURPLE:CUM



Putrid


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает начальные сектора дискет и MBR винчестера. Содержит строку:

>PUTRID<

В зависимости от своего счетчика вирус также перехватывает INT 21h и при запуске файлов ищет в них образ стандартного загрузочного сектора - строку "MSDOS" и идентификатор boot-сектора 55AAh. Если такие данные найдены, вирус записывает в них свой код. В результате вирус превращает утилиты форматирования дисков в "дропперы" своего кода: при форматировании дисков такие утилиты вместо обычного загрузчика будут записывать в загрузочные сектора дисков код вируса.



Quandary


Безобидный резидентный стелс загрузочный вирус. Частично зашифрован. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора 1.44Mb дискет. При заражении дисков проверяет их boot-сектора на наличие какого-то кода (драйвер диска? другой boot-вирус?) и заражает эти диски без изменения их загрузочных секторов.



Quarter


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. В зависимости от системного таймера стирает сектора дисков.



Quox


Безобидный резидентный загрузочный стелс

-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Никак не проявляется. Первая (авторская) копия вируса содержит текст:

_QUOX_



Rabbit, семейство


Безобидные резидентные загрузочные вирусы. Перехватывают INT 13h и записываются в boot-сектора дискет и MBR винчестера. Содержат строки:

"Rabbid.a": [Rabbit!] "Rabbid.b": Rabbit



Reggie


Неопасный резидентный зашрузочный вирус. Перехватывает INT 9, 12h, 13h и записывается в MBR винчестера и boot-сектора дискет. При нажатии на Alt-Ctrl-Del вирус может проявиться видео-эффектом - вирус выводит текст:

REGGIE AIDS

5000 PHILIPPINES

Демонстрации вирусных эффектов:

reggie.com



Rose


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. В 6-й сектор диска записывает строку "@@ ROSE && (". Это может привести к потере информации в FAT и порче файлов на диске.



Rotceh


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. При заражении дискет записывает первоначальный boot-сектор в один из сектров FAT и, таким образом, портит FAT дискет. В ноябре должен стирать сектора дисков, расшифровывать и выводить сообщение, однако неправильно проверяет текущую дату и соответствующая процедура никогда не выполняется. Сообщение выглядит так:

Claudia H.E.: Quisiera poder no sentir, lo que ahora quisiera poder olvidar. Te ama rotcВh



RP, семейство


Неопасные резидентные загрузочные вирусы. Перехватывают INT 12h, 13h и записываются в MBR винчестера и boot-сектора дискет. В зависимости от текущей даты расшифровывают и выводят сообщения, "RP.a,Lazar" - 17-го декабря, "RP.b" - в мае:

"RP.a": RP wants to say hello! "RP.b": Only bugs exist! RP 1995 Bucharest "RP.Lazar": REMEMBER PROMOTION 95 (GH. LAZПR)! RP



RPS, семейство


Очень опасные резидентные стелс

boot-вирусы. Копируют себя в таблицу векторов прерываний и перехватывают INT 13h. Записываются в MBR винчестера и boot-сектора флоппи-дисков, при этом не сохраняют первоначальное содержимое секторов. При загрузке с такого диска вирусы самостоятельно ищут в MBR винчестера активный загрузочный сектор, считывают его в память и передают на него управление. При 50-й загрузке с пораженного диска, или при записи в MBR на зараженном компьютере, или если активный boot-сектор не найден при загрузке системы, вирусы стирает сектора винчестера. Вирусы содержат строки:

"RPS.a": RPS "RPS.b": RPS2 "RPS.c": RPS3



RSY


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и активный boot-сектор винчестера. В зависимости от своих счетчиков стирает и форматирует диски. Содержит строку:

/RS.Y/



Sailor.Boot


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Содержит строки:

Sailor.Jupiter



Sampo


Неопасный резидентный boot-вирус. Перехватывает INT 9, 13h и записывается в boot-сектора флоппи-дисков и MBR винчестера. Перехватывает нажатие на Alt-Ctrl-Del, эмулирует перезагрузку и остается резидентно в памяти. В некоторых случаях заражает дискеты вирусом "Telefonica.3700". 30-го ноября перехватывает также INT 8 и выводит вообщение:

+--------------------------+ | S A M P O | | "Project X" | | Copyright (c)1991 by the | | SAMPO X-Team. All rights | | reserved. | | University Of The East | | Manila | +--------------------------+



Sea


Безобидный резидентный стелс

boot-вирус. Копирует себя в таблицу векторов прерываний и перехватывает INT 13h. Записывается в MBR винчестера и boot-сектора флоппи-дисков. Содержит строку: SEA.Moscow.5-29-1992.I think, it is a smallest stealth virus.It occupies memory 002D3-00339.It workes with 1.2M diskette as good as with 360K.It is harmless and do nothing(if you don't use BASIC).You can remove it with overwriting (even in ill computer).Good bye!



Sebek


Очень опасный резидентный загрузочный вирус. При загрузке с пораженного диска "отрезает" себе кусок памяти (уменьшают слово по адресу 0000:0413). Перехватывает INT 13h и заражает boot-сектора дискет и MBR винчестера. Содержит много ошибок, поэтому работоспособен только при конкретных настройках в AUTOEXEC.BAT и CONFIG.SYS. В начале вируса содержится строка "SEBEK".



Secretar


Неопасный резидентный загрузочный вирус. Перехватывает INT 13h. Заражает MBR винчестера и boot-сектора дискет. 30 числа в 15 часов выдает сообщение:

Hard disk is very bad. Zuganov is very good. Do you want format drive C: (Y/N) ?



SeeYou, семейство


Очень опасные резидентные загрузочные "стелс"

-вирусы, частично зашифрованы. Заражают загрузочные сектора дискет и диска C:. При загрузке с пораженного диска "отрезают" себе блок памяти (уменьшают слово по адресу 0000:0413), перехватывают INT 13h, ждут загрузки DOS, перехватывают INT 21h и при запуске первого файла (COMMAND.COM) выделяют блок DOS-памяти, копируют себя в него и восстанавливают размер DOS-памяти (слово 0000:0413). В результате вирус прячет себя между ядром DOS и резидентной копией COMMAND.COM. В зависимости от системной даты стирают сектора дисков и выводит одно из сообщений:

See you later ... Happy birthday, Populizer !



Sepultura (boot)


Безобидный резидентный стелс

boot-вирус. Перехватывает INT 13h и заражает boot-сектора дискет и MBR винчестера. Никак не проявляется. Содержит строку, которая после отключения русификатора читается как "[2fu]Sepultura":

[2ЯБ]SРpЧLчБrТ



SheHas


Безобидный резидентный загрузочный вирус. Перехватывает INT 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит строку:

Virginia / Shirley --- She has BREASTS, yes she has !!!



Shin


Неопасный резидентный зашифрованный boot-вирус. Перехватывает INT 8, 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит подпрограмму заражения файлов, но она не получает управления ни при каких условиях. INT 8 используется вирусом для блокировки трассировки. Вирус выводит сообщение:

[DarkElf]v2.0 Shin



Sierra


Неопасный резидентный boot-вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Расшифровывает и выводит текст:

El Monвculo del Conde Sierra

Также содержит строку:

NENO*15/47



Sniper


Опасный резидентный загрузочный вирус. Перехватывает INT 13h и заражает MBR винчестера и boot-сектора дискет. В сентябре при загрузке с зараженного диска портит CMOS и выводит текст:

MR.SNIPER -



Snow


Неопасный резидентный стелс

boot-вирус. Перехватывает INT 10h, 1Ch, 13h и записывается в MBR винчестера и boot-сектора флоппи-дисков. При заражении шифрует первоначальные boot и MBR сектора. Иногда проявляется видео-эффектом: на экране начинает падать снет. Содержит зашифрованную строку:

Snow

Демонстрации вирусных эффектов:

snow.com



SP


Неопасный резидентный стелс-вирус. Перехватывает INT 13h и записывается в MBR жесткого диска и загрузочные сектора дискет при обращениях к ним. Признаком заражения служит строка "SP". Никак не проявляется.


Очень опасный резидентный загрузочный вирус. Перехватывает INT 13h, 16h и записывается в boot-сектора дискет и MBR винчестера. Содержит ошибку и может испортить данные на дискетах при их заражении. В зависимости от своего счетчика, который увеличивается при каждом вводе с клавиатуры, вирус блокирует запись на диск. Это может привести к потере данных на диске. Вирус содержит строку: "SP3".


Stb


Опасный резидентный вирус. Перехватывает INT 13h и записывается в boot-сектора дискет и MBR винчестера. Не совсем корректно заражает некоторые типы винчестеров.



Stone.MidNigh


Семейство "Stoned"

. В полночь выводит сообщение:

IT'S MID NIGH



Stoned


При загрузке с зараженного флоппи-диска с вероятностью 1/8 на экране появляется сообщение "Your PC is now Stoned!". Помимо указанной, содержат строку "LEGALISE MARIJUANA!". Вирус "Stoned.c" при заражении MBR винчестера уничтожает таблицу разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска. "Stoned.d" 1 октября уничтожает информацию на винчестере.



Stoned.Alive


При F0h-том обращении к диску (INT 13h) выводит текст "A AM ALIVE" в верхнюю часть экрана. Использует стелс-алгоритм при обращении к MBR винчестера.



Stoned.AntiExe


Блокирует запуск некоторых EXE-файлов, использует стелс-алгоритм.



Stoned.Antigame


Устанавливает INT 1, 3 на команду IRET. Запрещает переход в некоторые видеорежмы.



Stoned.Bloody.a,b


Периодически расшифровывают и выводят на экран текст: "Bloody! Jun. 4, 1989".



Stoned.Canadian


При обращении к зараженной MBR винчестера подставляет старый MBR-сектор.



Stoned.Cancer


В зависимости от текущего времени выводит: "This computer is dying of cancer!".



я копия вируса сообщает


77- я копия вируса сообщает "Copy 77 in job ...".


Stoned.Dinamo


Сохраняет старый boot-сектор дискет в последний сектор корневого каталога вне зависимости от объема диска. Если при инсталляции вируса происходит ошибка, то он расшифровывает и выводит текст:

Dinamo(Kiev)-champion !!!



Stoned.DiskWasher


Периодически форматирует диски и выдает текст:

From DiskWasher with love



Stoned.Donald


Периодически выводит строку:

Donald Duck is a lie!!!



Stoned.Elythnia


При загрузке с вероятностью 1/8 выводит на экран:

Aaronexus of Elythnia!



Stoned.Face


Записывает в FAT дискет данные, расположенные по оффсету FACEh.



Stoned.GKCHP


Стелс-вирус. Содержит текст: "ГКЧП". При 90-й загрузке с винчестера стирает часть его содержимого.



Stoned.Gozar


11 ноября расшифровывает и выводит текст:

Gozar lives !



Stoned.Hysteria


19 октября стирает сектора дисков и выводит сообщение:

Turbo Hysteria



Stoned.IntFF


Иногда меняет вводимые с клавиатуры буквы. При записи на диск ищет в записываемом буфере команду INT 21h и меняет ее на INT FFh.



Stoned.Intruder


Перехватывает INT 1Ch и через некоторое время перезагружает компьютер.



Stoned.Lavot


Периодически расшифровывает и выводит на экран текст: "LAVOT NO ENSEеA".



с винчестера стирает часть информации


Стелс-вирус. Содержит тексты: "Lch15", "For pirates". При 90-й загрузке с винчестера стирает часть информации в CMOS (ту часть, в которой хранятся пароли некоторых BIOS'ов), затем стирает сектора диска C:.


Stoned.Light


Расшифровывает и выводит текст:

(c)Light General THE LAST TEMPTATION



Stoned.Loa


Семейство "Stoned"

. В зависимости от системного времени исполняет юго-восточно-азиатскую мелодию.



Stoned.LovChild


В зависимости от своего внутреннего счетчика может уничтожить всю информацию на винчестере. Содержит текст "LoveChild b3 in reward for software stealing.". Использует стелс-механизм.



Stoned.Love


Содержат текст ("Love.b" выводит его при загрузке с вероятностью 1/8):

Your PC is now STNED in LVE with AT

"Love.a" содержит также строку:

From U of A with LVE



Stoned.Lucky


Иногда расшифровывает и выводит текст: "I wish you a lucky"



Stoned.March6 (Michelangelo)


Обрабатывает дискеты объема 1M. 6 марта уничтожает диск, с которого загрузился. Прочие варианты этого вируса заражают также и 360K дискеты, проявляются различными эффектами. "March6.Tocoto" выводят тексты:

"March6.Tocoto.a": MBF virus *MENEM TOCOTO* B.B. "March6.Tocoto.b": MENEM TOCOTO virus 2"00



Если обнаруживает на диске вирус


Если обнаруживает на диске вирус "Stoned.March6", то удаляет его. 21 мая выводит на экран сообщение: "ANTI March6 Karpachev Dmitr.".


Stoned.Micola


"Mikola.b" при загрузке распечатывает экран.