Образование - Касперский Лаб.

Весь текст 1152.7 Kb

Описания вирусов

← Предыдущая страница	Следующая страница →
1 ... 25 26 27 28 29 30 31  32 33 34 35 36 37 38 ... 99

        (c) 1992 YAM/RABID International
        The slave thinks he is released from bondage
        only to find a stronger set of chains

Bastard.1979
        Очень опасный резидентный вирус. Заражает EXE-файлы и файл COMMAND.COM.
        В файл COMMAND.COM вирус записывает 200 байт кода,  который не является
        вирусным  кодом.  Может  уничтожить  100  секторов  диска  A: или C:, и
        вывести сообщение:

        BASTARD!! Virus 
        CopyRight (c) 1993-94 by Doctor Revenge-Italy-
        Please wait,formatting your precious Hard Disk...

        Удаляет  файлы MS*.* и CP*.*.  Не  заражает  файлы,  содержащие в своем
        имени  2  соседние буквы  из строки "SCCLF-TBVSVIIMMSCV".  Имеет строку
        "This virus was written by Doctor Revenge November 23 - December 29
        1993 -Italy-".

BAT.282
        Неопасный  нерезидентный  Batch-вирус.  Создает  в  корневых каталогах
        дисков  B:  и  C: файл VIRUS.BAT, содержащий вирусный код. Вставляет в
        файл AUTOEXEC.BAT вызов файла VIRUS.BAT.

BAT.Batalia.491
        Содержит текст ":[BATalia-5] (c) by Reminder".

BAT.Batalia.2011
        Неопасный полиморфный вирус, заражающий *.BAT-файлы в текущем каталоге.
        При заражении файлов вирус использует архиватор  ARJ,  доступный  через
        переменную среды PATH. Инфицированный BAT-файл  состоит из двух частей.
        Первая часть состоит из  пяти  команд  DOS,  а  вторая  часть  является
        заархивированным с помощью  ARJ BAT-файла, имеющего случайное имя. Этот
        заархивированный BAT-файл  также  содержит команды DOS и еще один ARJ -
        архив. Команды DOS являются основным телом вируса, они производят поиск
        файла-жертвы, заражение файлов и создание полиморфного кода.Первые пять
        команд вируса вибираются случайным образом  и  имеют  различную  длину.
        Вторая часть - ARJ-архив  зашифрован  со  случайным  паролем и не может
        быть детектирован по определенной маске.  При  запуске  инфицированного
        BAT-файла, первые пять  команд  запускают  архиватор ARJ для распаковки
        второго BAT-файла и  передают  ему  управление.  Этот  BAT-файл создает
        временный подкаталог S_G_W_W, разархивирует в  этот подкаталог файлы из
        второго  архива,  выполняет  поиск  и  заражение  BAT-файлов, выполняет
        BAT-файл-носитель,  удаляет  временный подкаталог и файлы и заканчивает
        свою работу. Вирус содержит тексты-комментарии:

        : Death Virii Crew  &  Stealth Group World Wide
        :            P R E S E N T S
        :       First Mutation Engine for BAT !
        :              Without ASM !
        :      [BATalia6] & FMEB (c) by Reminder

:               //         ЬЬ                  Ь
:  ЪДДДДДДДД  /// ДДДДДД¬ ЯЯЯ     Magazine     Ы    for VirMakers
:  ¦Й»ЙЛ»ЙН // // ЛЙЛ»»Й¦ ЯЫЫ ЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ Ы ЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ Я ЯЯЯЯЮЯЯЯ
:  ¦И» є М /////  є є М№¦  ЮЫ ЫЯЬ ЫЯЯ ЬЯЯ ЬЯЯ ЬЫЬ ЬЯЯ ЫЯЫ    Э Ы ЬЯЫ Ы ЬЯЯ ЫЬЬ
:  ¦Иј К И  ///// ИјК јИ¦   Ы Ы Ы ЫЯ  ЫЯ  Ы    Ы  ЫЯ  Ы Ы    Ы Ы Ы Ы Ы Ы   Ы
:  АДДДДДД // // ДДДДДДДЩ   Ы Ю Ю Ю   ЮЬЬ ЮЬЬ  Ю  ЮЬЬ ЮЬЯ     ЯЫ ЯЬЫ Ю ЮЬЬ ЮЬЬЬ
:  GROUP  // // WORLDWIDE   Ю ЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬ ЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬ
:
: Box 10, Kiev   252148
: Box 15, Moscow 125080
: Box 11, Lutsk  263020
:
:               R E A D    I N F E C T E D    V O I C E
:
:						(c) by Reminder (May 22, 1996)

BAT.Batman
        Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный  BAT-
        файл  создает  файл  B.COM, в который записывает свой код, и отдает ему
        управление.  Файл B.COM, исполняющий содержимое BAT-файла, как машинные
        инструкции  устанавливает  в память свою резидентную копию, не проверяя
        ее  наличия в памяти, и "перехватывает" INT 21h. После этого файл B.COM
        удаляется.  При  записи  в  файл  (f.40h  Int 21h)  вирус  проверяет не
        находится  ли  первой  в буфере записи строка @echo. Если находится, то
        вирус  считает,  что  производится запись BAT-файла и записывает в него
        свой код. Внешне вирус BAT.Batman выглядит следующим образом:

        @ECHO OFF
        REM [............]
        copy %0 b.com>nul
        b.com
        del b.com
        rem [............]

        В  квадратных  скобках  [......] схематично показано расположение байт,
        которые являются ассемблерными инструкциями или данными вируса.

BAT.BatVir
        Неопасный  нерезидентный  вирус,  заражающий  BAT-файлы. Инфицированный
        BAT-файл создает файл BATVIR.94, в который записывает собственный дамп.
        Далее  с  помощью программы DEBUG данный дамп преобразуется в COM-файл.
        Данному  COM-файлу  программой DEBUG отдается управление. Этот COM-файл
        производит  поиск  и  заражение  *.BAT-файлов в текущем каталоге, после
        чего  производится  выход  из  DEBUG  и удаление файла BATVIR.94. Вирус
        содержит текст "rem [BATVIR] '94 (c) Stormbringer [P/S]".

BAT.Highjaq
        Очень  опасный  нерезидентный  вирус-червь.  Записывает  свой   код   в
        WINSTART.BAT, ARJ-архивы и создаваемый вирусом  системный  драйвер. При
        старте инфицированного WINSTART.BAT-файла вирус создает файл  C:\Q.COM,
        записывает в него свой код и запускает его следующей строкой BAT-файла:
        dir \*.arj/s/b|c:\q.com/i.   Команда   DIR   производит   поиск    всех
        *.ARJ-файлов и передает их имена вирусному файлу C:\Q.COM.Данные архивы
        заражаются   путем  приписывания  к  ним  еще  одного  поля  в  формате
        ARJ-архива,  содержащего   неупакованный  (store)  инфицированный  файл
        /WINSTART.BAT (данный  файл, расположенный в корневом директории диска,
        где находится система MS-Windows будет  автоматически  запускаться  при
        старте MS-Windows).После чего вирус (C:\Q.COM) проверяет установлена ли
        его резидентная копия в памяти.Если нет, то вирус (С:\Q.COM) возвращает
        соответствующий  код  возврата  (errorlevel) и заканчивает свою работу.
        По  данному  коду  возврата  (если память не инфицирована) вирус в BAT-
        файле переименовывает файл C:\Q.COM в C:\ABCDEFGH.IJK (вирус генерирует
        случайное  имя)  и  дописывает  в  конец   файла  C:\CONFIG.SYS  строку
        "INSTALLHIGH=C:\ABCDEFGH.IJK". Данный вирусный системный  драйвер будет
        устанавливать  резидентную  копию  вируса  в  память  при загрузке DOS.
        Резидентная копия "перехватывает" INT 8, 21h и не занимается заражением
        файлов, а предназначена  для  идентификации наличия вируса в системе, а
        также  вирусный  обработчик  INT 21h блокирует функцию GetFileAttribute
        для файлов, имена которых начинаются на "/W". Вирусный обработчик INT 8
        через некоторое время перезагружает систему, если компьютер работает не
        под  управлением  MS-Windows.  Вирус  контролирует  COM-порты  и иногда
        посылает в порт модема строки (? - номер порта):

        HIGHJAQ on COM?:38400,N,8,1

        Система перезагружается если вирус определит, что бит Carrier Detect в
        течение  3-ех  минут трижды устанавливался в единицу в соответствующем
        COM-порте.  После  перезагрузки  системы  вирус "перехватывает" INT 8,
        блокирует  клавиатуру  и  запускает  файл  C:\COMMAND.COM  с командной
        строкой  "C:\ COM? /E:1024/P/F".  Т.е.,  вирус  определяет  3 звонка в
        течение 3-ех  минут (1 звонок в минуту) от некоторого хакера и считает
        это  "сигналом  к  взлому системы". После этого система перегружается,
        запускается  COMMAND.COM  и  в порт модема посылается команда ATL0M0A.
        Хакер,  позвонивший модемом в это время  на  данный  компьютер, увидит
        после  соединения  системное приглашение "C:>" и сможет сделать с этим
        компьютером все, что хочет.

BAT.Naive
        Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный  BAT-
        файл проверяет наличие переменной среды  RANGE_CHECK,  если  она  равна
        "yes", то вирус отдает управление содержимому оригинального  BAT-файла.
        Если данная переменная не установлена в "yes",  то  следующими строками
        вирус создает файл naive.com, в который записывает код проверки наличия
        в  памяти  своей  TSR-копии,  после  чего  запускает  данный  файл    -
        "@naive.com".  При  отсутствии  TSR-копии    NAIVE.COM    устанавливает
        соответствующий код возврата, который анализируется BAT-вирусом.  Далее
        файл NAIVE.COM создается заново и в него записывается  код,  получающий
        информацию  из  стандартного  входа  (CON),  который  в  свою   очередь
        поступает из  созданного  файла  NAIVE.DAT,  в  который  вирус  записал
        закодированный  текст  своего  кода  (один  байт  преобразован  в   два
        символа). Файл  NAIVE.COM  преобразует  символы  ASCII  по   некоторому
        алгоритму перекодирования (два символа - в один байт) в программный код
        и записывает этот код в файл NAIVE.EXE:

        @echo>naive.com №ЁРБ№ЁУrXґ?........
        @echo>naive.dat DDMJDDNCLEP........
        @echo>>naive.dat IMAGPAACIJ........
        ...................................
        @naive.comnaive.exe

        Затем файлы NAIVE.COM и NAIVE.DAT удаляются:

        @del>nul naive.com
        @del>nul naive.dat

        Запускается файл NAIVE.EXE, устанавливающий в память свою TSR-копию.

        @naive.exe>nul

        Файл  NAIVE.EXE  удаляется  и    устанавливается    переменная    среды
        RANGE_CHECK=yes, и управление отдается оригинальному BAT-файлу.

        @del>nul naive.exe
        @set range_check=yes

        Далее при смене каталога  (f.3Bh  INT  21h)  резидентная  часть  вируса
        производит поиск *.BAT-файлов, проверяет их на зараженность, и если они
        еще не заражены, создает файл  NAIVE.TMP, производит кодирование своего
        программного кода в последовательность символов ASCII и записывает 4894
        байт в файл NAIVE.TMP. После этого вирус дописывает  в  файл  NAIVE.TMP
        содержимое оригинального BAT-файла и переименовывает  NAIVE.TMP  в  имя
        BAT-файла. При каждом 7 заражении  BAT-файла  вирус выводит  сообщение,
        которое попадает в NUL:

          ЪДДДДДД¬  Девушки! Поздравляю вас с
          ¦ \  / ¦  наличием половых органов !!!
          ¦ O  O ¦  ----------------------------
          ¦  ..  ¦  Я хочу познакомиться с  сим-
          ¦  ДД  ¦  патичной программисткой, ко-
          АДВДДВДЩ    торая воспримет меня таким,
        ЪДДДЩ  АДДДД¬ какой я есть...
        ¦¦         ¦¦ --------------------------
        ¦¦ .     . ¦¦ P.S. Исключительно для из-
        ¦ГДВ     ВДґ¦ вращённых половых сношений!
        ¦¦ ¦     ¦ ¦¦ --------------------------
        АЩ ¦  +  ¦ АЩ N *   Системщики !!!!  * N
           ¦ ІІІ ¦    A *   Как вам идея па- * A
           ¦ГOІOґ¦    I * кетного репликанта?* I
           ¦¦ U ¦¦    V *   А есть ещё много * V
           ГЩ   Аґ    E * прикольных идей!!! * E
           ¦     ¦      Я - невинное дитя !!!
         ДДЩ     АДД

BAT.Pot, BAT.Xop367, 850, BAT.Zep, BAT.Zop (1,2).
        Неопасные   нерезидентные   вирусы.  Заражают  *.BAT-файлы  в текущих и
        родительских  директориях.  BAT.Zop  содержит текст ":: --- [ZoP_B]
        Batch Infector ---".  BAT.Pot выводит тексты  "You're Stoned!", "Let me
        outta here!".

BAT.Skul
        Опасный нерезидентный вирус.  Заражает *.BAT-файлы. 20 числа уничтожает
        8224 секторов диска C: и выводит текст "SKuL Killing Hardfile...".

BAT.Winstart.296, 297
        Неопасные  резидентные вирусы, создающие файлы WINSTART.BAT. При старте
        такого  файла  вирусы копируют  содержимое   стартовавшего   BAT-файла,
        содержащего вирусный код в файл C:\Q.COM и запускают его:

← Предыдущая страница	Следующая страница →
1 ... 25 26 27 28 29 30 31  32 33 34 35 36 37 38 ... 99

Ваша оценка:	Подпишусь под каждым словом (+3) Понравилось (+2) Нормально (+1) Посредственно (-1) Ерунда какая-то (-2) Чушь собачья (-3)
Комментарий:
Подпись:	(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
Сайт:

Комментарии (16)