При открытии инфицированных файлов, если нажаты обе клавиши Shift, то
вирус удаляет свой код из данных файлов. Содержит тексты "Anti_Trace",
"Good Luck in Creating Antivirus. (C) 1993, AT Corp.".
Antiwin.465
Опасный нерезидентный вирус. Производит поиск *.COM-файлов в текущем
каталоге и заражает их. Вирус разрушает файлы с именем WIN* (WIN.COM),
записывая в их начало процедуру вывода на экран сообщения и завершения
работы "This program requires Microsoft Windows". Содержит текст
"->AntiWindows<-".
Antiwin.633
Опасный резидентный вирус. Удаляет стартующую программу, если ее первые
байты равны (EBh 51h). Видимо, это касается файла WIN.COM. Содержит
тексты "Anti-Win 1.0", "(C) Zarathustra & Morgan".
Antiwin.1342
Опасный нерезидентный вирус. Разрушает файлы с именами ??N*,записывая в
их начало процедуры вывода на экран сообщения "This program requires
Microsoft Windows" и завершения работы. На некоторых компьютерах
вирус может вывести сообщение "This computer is virus protected" и
завершить работу. 2 декабря вирус выводит текст:
Hi ! I'm AntiWindows v.2.0 !
Сегодня мой ДЕНЬ РОЖДЕНИЯ !
Хотите меня поздравить ? (y/n)
Если ввести "Y", то вирус выводит текст:
Ааааааагромное спасибо !
Отдыхайте, сегодня работать не будем !
и завершает работу инфицированной программы. Если же ввести "N", то
вирус выводит "А зря ! Я обиделся :( Мстить буду :-E~", открывает файл
C:\autoexec.bat, записывает в его начало:
GOTO LMD
REM
и в конец файла C:\autoexec.bat записывает следующие строки:
:LMD
@ECHO OFF
CLS
ECHO.
ECHO.
ECHO.
ECHO.
ECHO Я обидился ! Надо было все-таки поздравить меня с днем рождения !
ECHO.
ECHO Y | C:\DOS\FORMAT C: >nul
ECHO Bye ! See you next time !
C:\DOS\BIRTHDAY.COM
PAUSE >NUL
CLS
Создает файл C:\DOS\birthday.com, в который записывает процедуру
уничтожения всех секторов на первом цилиндре первого жесткого диска.
Содержит тексты "->AntiWindows<- (C)1997 by Alexey C.", "Я мстю ! ".
Antiwin.2320
Опасный резидентный шифрованный вирус. При вводе с клавиатуры довольно
часто повторяет ввод клавиши "t". При загрузке MS-Windows может вывести
текст "Use registered copies of MS Windows Greetings from MrStrange,
Kiev T.G.Shevchenko University". Содержит строку ">Antiwin<, (c) by
MrStrange.". Не заражает файлы,начинающиеся на DRWE,AIDS,MSCA,ANTI,AVP,
WEB,SCAN,MSAV,VSAF,GUAR,ADIN,KRNL,DOSX,WSWA,DSWA,WIN3.
AP
Неопасный вирус. Содержит текст "DF[AIH]".
Apparition.254,700
Неопасные резидентные вирусы. Устанавливают свою TSR-копию в область
видеопамяти по адресу BA00:0000 и перехватывают INT 21h. Apparition.700
также перехватывает INT 10h и не позволяет изменить текущий видеорежим
монитора (f.00h INT 10h) для того, чтобы не быть уничтоженным в
видеопамяти. Apparition.700 содержит текст "THE APPARITION".
Apparition.1248
Неопасный резидентный вирус. Содержит тексты:
The Apparition virus, written by ********************************.
It`s a second version of *****************************.
THE APPARITION
Apparition.5959
Опасный резидентный шифрованный вирус. Может уничтожить содержимое
CMOS-памяти, перегрузить или "завесить" систему. "Перехватывает" INT 9,
10h, 13h, 1Ch, 21h, 2Fh. При старте инфицированного файла выводит текст
"Warning : This file is infected by Apparition !". Также иногда может
вывести текст "386 or later processor missing. Please replace
processor, then press any key...". Также содержит строки:
Here I am, can you see me
Passing through, on my way
To a place I'd been to only in my dreams
...before
Wherever I roam...
THE APPARITION
THE APPARITION II
Multi Layer Coder [MLC]
Released
ArcHub
Неопасный загрузочный вирус. Содержит строку "ARC HUB 8A".
Areopag.480
Неопасный резидентный вирус. Содержит строку "* Equus Trojanus v1.1 (C)
AREOPAG No.15 *".
AreThree.2048 (1-3)
Неопасные резидентные шифрованные файлово-загрузочные вирусы. Могут
вывести красную точку в верхнем правом углу экрана. Содержат текст:
PSYCHo-TECH GMBH 1995
>>> BRAVEd DANGER 4 BRAVE PEOPLe <<<
[[ C·0·D·E·W·A·R ]]
<31> Germany 1995
Virtually called to life & survival by MiNDMANiAC!
RGOEPMSQO ==>= AllE GUtEN DiNGE SiND DREi ==>=
ArjDrop.402
Неопасный нерезидентный вирус-червь. Ищет ARJ-архивы и заражает их,
дописывая к ним свою вирусную копию, которая имеет имя RUNME.COM
Вирус содержит текст "ARJDrop by Qark/VLAD".
ArjDrop.2821
Hеопасный нерезидентный вирус-червь. Производит поиск ARJ и RAR-архивов
и заражает их, дописывая к данным архивам собственную копию в форматах
этих архивных файлов. В ARJ-архивы вирус записывает файл RUNME.COM,
содержащий вирусный код, а в RAR-архивы - файл RUN_ME_.COM. В августе
вирус создает файл PRESENT.COM и записывает в него код, который при
старте выводит текст:
Citat klasika:
K anielovi chrbtom.
Tak zacal som cestou hirechu ist.
K anielovi chrbtom, len 12 krokov, a 12 ozvien na ne, a dosiel som tam,
kam som nemal prist
Dedicated to my friends Suzy&PEDRO
[an ANGEL-Sign of immortality]
by Blesk 8^)
Present by Blesk wish You HAPPY B-DAY
Suzy
Вирус также содержит строки "RAR'n'ARJ Dropper by Qark/VLAD.",
"RAR support included by Blesk".
ArjVirus
Неопасный нерезидентный вирус. Производит поиск файлов с расширением
ARJ в текущем и во вложенных директориях. Обычно расширение ARJ имеют
архивные файлы, созданные с помощью популярного архиватора ARJ. При
нахождении таких файлов, вирус создает файл со случайным именем,
состоящим из 4 букв от 'A' до 'V' и с расширением COM. В данный COM-
файл вирус записывает 5000 байт своего кода + случайное количество
байт. После чего, вирус считая, что архиватор ARJ.EXE находится в
каталоге, доступном через переменную PATH, вызывает его с помощью
командного процессора c:\command.com /c arj a , где
ArjFile - это найденный вирусом файл с расширением ARJ; ComFile -
COM-файл, содержащий вирусный код; опция же "a" говорит архиватору о
том, что необходимо включить зараженный файл ComFile в архивный файл
ArjFile. После указанных манипуляций вирус уничтожает созданный
COM-файл. Следует отметить, что во время заражения архива вирус
устанавливает INT 10h (вывод на экран) на собственный обработчик,
состоящий из одной команды - IRET, для того, чтобы при возникновении
ошибки или по другим причинам не происходило вывода текста на экран.
Т.о., "расчет вируса" сводится к тому, что пользователь, распаковавший
ARJ-архив и увидевший неизвестный COM-файл, обязательно запустит его
ради интереса... Так сказать - "психологический вирус".
Armagedon.1079
Неопасный резидентный вирус. С 5.00 до 6.00 вирус активно работает с
последовательными портами, видимо, пытаясь дозвониться до какого-то
номера с помощью модема. Содержит строку "Armagedon the GREEK".
Artemiev.2165
Неопасный резидентный шифрованный вирус. Иногда производит "дрожание"
экрана. Содержит тексты "Игорь", "Artemiev I.A.".
Asch.794, 1121
Резидентные, Asch.1121 - опасный, вирусы. 15 числа месяца Asch.1121
уничтожает *.PAS-файлы, записывая в них текст:
AlphaVirus [07]Паскаль - ГОВHО, а СКАП - ТЮРЬМА
У вас лица как гоpоховый суп
У вас жизни как пpомасленная бумага
У вас мечты как выстиpанные пододеяльники
У вас миp как пpотивогаз...
Егоp Летов,ГpОб
При старте программы DR*.* (DRWEB.EXE) Asch.1121 уничтожает файл
DR*.INI и обезвреживает свою резидентную копию в памяти. При старте
программы AD*.* (ADINF.EXE) Asch.1121 устанавливает INT 1Ch (таймер) на
дисковое прерывание INT 13h и выводит текст:
Посмотpим много ли ты сможешь восстановить
своим сpаным Adinfoм.
Press any key ...
Asch.794 может "осыпать" символы на экране и вывести текст "Remember
about XT in world of PC". Также содержит текст "AlphaVirus [06]
Copyright (C)1995 AlphaSoft(Russia,St.Petersburg,ASCh,12/20/95".
Ash.712, 737
Неопасные нерезидентные вирусы. Заражают COM-файлы, записываясь в их
конец. Переименовывают файл C:COMMAND.COM в C:\COMMANDx.COM, где 'x' -
это символ с кодом 255 (0FFh) и создают новый файл C:\COMMAND.COM,
состоящий из 8 команд NOP, который сразу же и заражают. Вирусы могут
выводить сообщение "Bad command or file name". Также могут оставить в
памяти резидентную программу на INT 08, которая посылает в порты 2E8h,
2F8h, 3E8h, 3F8h (COM1, COM2, LPT1, LPT2) символ 0DBh 'Ы'.
AsmVirus.238
Неопасный вирус, заражающий ASM-файлы. Вирус производит поиск *.ASM-
файла, присваивает ему имя с расширением BAK и создает файл с
оригинальным именем исходного ASM-файла. Записывает в данный файл
заголовок стандартного ASM-файла:
.MODEL TINY
.CODE
ORG 256
a:
После чего записывает директивы "DB" и байт за байтом переводит свой
код в символьный вид. В конец файла вирус записывает стандартное
"окончание" файлов, написанных на ассемблере:
ENDS
END a
В результате, при трансляции такого файла будет получен объектный и
бинарный вирусный код.
Asprin.2515
Неопасный нерезидентный вирус. Заражает COM и EXE-файлы, причем EXE-
файлы превращает в COM, изменив первые 3 байта на команду перехода. При
старте вирус удаляет свой код из стартовавшей программы, запускает ее
на выполнение, после чего производит поиск и заражение файлов на диске.
По окончании работы вирус оставляет в памяти резидентный код на INT 08,
производящий холостые циклы и замедляя скорость работы компьютера.
Содержит текстовые строки "VIRUS "ASPRIN" ГЛАЗОВ 1995(C)ПРИВЕТ ВСЕМ
ХАКЕРАМ г.ГЛАЗОВА! ПРИ ЗАПУСКЕ EXE ФАЙЛА,VIRUS СНАЧАЛА ЛЕЧИТ ЕГО!
ИСПОЛЬЗУЙТЕ ЭТО СВОЙСТВО ДЛЯ ЛЕЧЕНИЯ! ЖЕЛАЮ УСПЕХОВ В ИЗУЧЕНИИ
КОМПЬЮТЕРНОЙ МИКРОБИОЛОГИИ!", "/QHELP", "MsDos".
Assassin.952, 959
Опасные резидентные, замещающие программный код вирусы. Содержат текст
"This is [Assassin] written by Dark Slayer in Keelung. Taiwan ".
Atas.384
Иногда после заражения файлов выводит на экран текстовую строку "Ok.".
Содержит текст "ATAS V0.1 Cr.24.01.92".
Aussie.147
Опасный вирус. Содержит текст "..."AussieBoy" virus from DownUnder...",
и "...Coeo ergo sum...".
Australian.Grue
Неопасный резидентный вирус. Содержит текст:
It is pitch black. You are likely to be eaten by a Grue.
