Technical infos: Technical infos: Technical infos:
No way to detect No way to detect No way to detect
Heuristic analys Fucked heuristic Fucked heuristic
often impossible Greets go to all Greets go to all
Greetings go to virus developing virus developing
author of Volkov groups in Brno ! groups in Brno !
Your data are OK Czech republic94
aNytime,ANywHere
Czech rep. 1994!
Eddie.651
Содержит строку "Eddie lives".
Eddie.1530
Опасный резидентный вирус. Иногда "вешает" систему и изменяет тип диска
в CMOS-памяти.
Eddie.1800 (1-3)
Очень опасные резидентные вирусы. Производят запись в случайные сектора
текущего диска 512 байт своего кода. Перехватывают INT 21h, 27h. Не
дают изменить адрес вектора INT 21h. INT 27h используется для контроля
за INT 21h. Первоначальный вариант вируса содержал текстовые строки:
Eddie lives...somewhere in time!
Diana P.
This program was written in the city of Sofia (C) 1988-89 Dark Avenger
Eddie.2000 (1-3), Eddie.2100
Очень опасны также, как и Eddie.1800. Содержат строки:
Eddie.2000:
Zopy me - I want to travel или Only the Good die young...
Диана П.
(c) 1989 by Vesselin Bontchev
Eddie.2100:
Eddie lives
(c) 1990 by Vesselin Bontchev
При старте программ, содержащих в своем теле строку "by Vesselin
Bontchev", вирусы "зацикливают" и "вешают" систему.
Eddie.Alexander.1843, 1951, 2104
Неопасные резидентные вирусы. Иногда выводят текст:
ЙНННННННННННННННННННННННННННННННННННННН»
є Apa depistata in microprocesor ! є
є Functionarea poate fi compromisa ! є
є Se recomanda oprirea calculatorului є
є citeva ore pentru uscare ! є
є є
є Alexander - Constanta, Romania є
ИННННННННННННННННННННННННННННННННННННННј
Eddy.1422
Опасный резидентный вирус. Может уничтожить содержимое CMOS-памяти и
вывести на экран слово "Eddy".
Ekaterinburg
19 августа выводит на экран бело-сине-красный российский флаг. Содержит
свое зашифрованное название - Ekaterinburg.
Elaine.1127
Опасный резидентный вирус. "Перехватывает" INT 13h, 21h. С вероятностью
1/256 инвертирует первый байт в буфере при записи на диск (f.03h, f.0bh
Int 13h). Содержит текст "Elaine 1.0 28 May 1994".
Elcn.374, 424, 550
Неопасные нерезидентные вирусы (Elcn.550 - опасен). Elcn.374 в 8:20
выводит текст "Лозинский - ЛОСЬ !!!". Elcn.424 выводит текст "Ты за
Ельцина [y/n] ?" и в зависимости от ответа выводит одно из сообщений
"Значит ты ублюдок !", "Я тоже.". Elcn.424 содержит текст "Bryansk
ELCN", Elcn.550 - "Bryansk DRxy". Elcn.550 может уничтожить начальные
сектора дисков. Может вывести текст:
NO ROM BASIC
SYSTEM HALTED.
Elene.1000
Неопасный резидентный вирус. 20 февраля выводит на экран текст:
Сегодня Леночкин день рождения
Москва - Санкт-Пeтербург, Июль-Август 1994г.
Em.1303
Опасный нерезидентный вирус. Заражает EXE-файлы на диске C:. При старте
инфицированного EXE-файла, вирус записывает в файл C:\AUTOEXEC.BAT
после переменной среды "PATH=..." слово "em", создает файл C:\EM.COM и
записывает в него свой вирусный код. При старте данного файла EM.COM
вирус производит поиск и заражение EXE-файлов в каталогах диска C:.
28 числа вирус заменяет первый символ имен файлов диска C: на пробел.
Emm.4870, 4910, 5952
Полиморфные вирусы. 7 числа месяца могут вывести на экран сообщения:
Emm.4870: Welcome to the Explosion's Mutation Machine ! Dis is level 3.
Emm.4910: Frog man Cracker cLub = FCL'name : [ MAINDE ]
We Must Love SVS !!!
Emm.5952:
Dedicated to LEELOO and Mr. Dallas from the movie "THE 5th ELEMENT"
I (L.BB) LOVE MILA JOVOVICH (LEELOO)
Имеют очень мощный полиморфный механизм, в силу чего содержат довольно
много ошибок, из-за которых зашифрованные файлы не расшифровываются.
Содержат строки "EMM 1.0", "COM EXE SCAN VSHIELD CLEAN FINDVIRU GUARD
VIVERIFY TB -V VIRSTOP NOD HIEW PASCA NETENVI F-PROT CHKDSK". Не
заражает файлы, указанные в предыдущей строке. Если вирус находит один
из резидентных драйверов "TBMEMXXX, TBCHKXXX, TBDSKXXX, TBFILXXX", то
он предпринимает попытки помешать их нормальной работе. Emm.5952
содержит также следующий текст:
[LBBME] L.BBs polymorphic engine
Dear Milla Jovovich,�
I decided to write this one just for you.�
Anyway, I know will never meet you but I want�
to let you know: the 5th element was the best�
movie you made. And you played "Leeloo" very�
good (just perfect). He virus-killers:�
If this message doesnяt get to her, I will�
release the most powerful virus all over the�
world. The beta canяt even be scaned by this�
scanners: SCAN,TBAV,SDSCAN,NORTON,SOLOMON�
F-PROT,VIRSTOP,VIRSTOP2,MSAV,SDRES,SDSCAN,�
TBSCAN,TBMEM,VSAFE,CPAV,FSP,SCANPM,VDEFEND,�
The virus is XXXX Kb compiled code without my�
polymorphic engine [LBBPE].�
The destructive code is still the most powerfull�
one Iяve ever seen on other virii. OK SEE YA!�
THIS VIRUS WILL BE RELEASED VERY SOON. THE BETA�
IS ALEREADY ON SOME COMPUTERS. AND THIS VIRUS WILL�
BE PERFEKT. Ohh, (for Thundebyte) I forgot to say�
that I have the soucer-code of all your a-virus tools�
Nice isnяt it?
MILLA I LOVE YOU! BYE! STOP SENDING CHANCELBOTS TO THE NEWSGROUPS!!!!!!!
Emm.LionKing
Очень опасный резидентный полиморфный стелс-вирус. Иногда может вывести
сообщение:
Ja som virus Lion King
Formatujem ti disk lebo devastujes prirodu
После чего уничтожает некоторые сектора жесткого диска. Содержит тексты
"Vypadni z tejto casti RAM!", "cpav msav enav scan viverify avg nodex
pkzip arj uc lharc arc lha chkdsk", "by LST- 2005". Не заражает файлы,
указанные в предпоследней строке или выключает свой стелс-режим при
работе некоторых этих программ. Если вирус находит один из
резидентных драйверов "TBMEMXXX, TBCHKXXX, TBDSKXXX, TBFILXXX", то он
предпринимает попытки помешать их нормальной работе.
Emmie.2604, Emmie.2620, Emmie.2702, Emmie.2823, Emmie.3097
Очень опасные вирусы. Emmie.2823, 3097 - самошифрующиеся вирусы.
Трассируют INT 13h, 21h, 26h. Изменяют цифры, выводимые на экран или
принтер. Повторяют символы, введенные с клавиатуры. Если год нечетный -
уничтожают информацию на первых 17 секторах "винчестера" (Emmie.2823,
3097 - 8 марта если год нечетный). При заражении изменяют три байта
второй ассемблерной инструкции программы-жертвы на команду перехода
(CALL NEAR PTR) на основной вирусный код, который располагается в конце
зараженного файла. Для определения адреса второй команды вирусы
используют трассировку начальных байт программы. Содержат тексты: "My
name is Emmie, I am Eddie's sister." и "It'll tire you too much.".
Emperor.FitW.7918 (1,2)
Очень опасный полиморфный файлово-загрузочный стелс-вирус. Данный вирус
состоит, как бы, из двух частей. При запуске инфицированного файла,
первым делом вирус заражает MBR жесткого диска (при наличии контроллера
IDE, вирус программирует его порты при записи) и устанавливает свою
резидентную копию в память (возможно в область UMB) и "перехватывает"
INT 21h. При вызове некоторых функций INt 21h (4Ch, 4B00h, 3Dh, 3Eh)
вирус производит полиморфное заражение COM и EXE-файлов. 1, 3, 5, 7 и 9
числа месяца вирусы блокируют клавиатуру (INT 9) и уничтожают
содержимое всех жестких дисков. При нажатии на клавиши во время данной
акции, вирус выводит текст:
The "FartStorm" coded by Demon Emperor >Big hello to Cmoskiller&Xorboot<
Are you wild? Hey don't... wait... let us talk... No? Be off lame fuckhead!
Инфицированный MBR и "вирусное продолжение",расположенное в 8 последних
секторах жесткого диска не содержат процедур заражения файлов и могут
заражать только загрузочные сектора дисков. При загрузке системы с
инфицированного диска, вирус располагает свою копию в верхних адресах
памяти, "ждет" загрузки DOS и "перехватывает" INT 13h (операции с
диском). При обращении к дискам вирус заражает их. В MBR жесткого диска
записывается полиморфнозашифрованный вирусный загрузчик. В загрузочные
сектора дискет вирус записывает также полиморфный загрузчик, но только
данный код не зашифрован, а "наполнен" "мусорными" инструкциями, т.е.,
"полезные" команды перемежаются "бесполезными" командами. 8 секторов
своего кода и оригинальный загрузочный сектор флоппи-диска вирус
записывает на дополнительную, отформатированную им, дорожку. Данные
вирусы "переживают" перезагрузку системы с "чистой" системной дискеты,
манипулируя с данными CMOS-памяти, также, как и вирус Mammoth.6000.
Данные вирусы, видимо, принадлежат "перу" автора вируса Mammoth.6000.
Вирусы содержат текст "Fart in the wind".
Emperor.Hare.7610, 7750, 7786
Опасные файлово-загрузочные полиморфные вирусы. При заражении MBR
уничтожают таблицу разделов диска (partition table),поэтому код данного
вируса нельзя удалять командой "FDISK /MBR". При нахождении строки
"WIN=" в области окружения (environment) вирус уничтожает файл
\SYSTEM\IOSUBSYS\HSFLOP.PDR в каталоге WINDOWS. Вирусы оригинальным
способом генерируют свой полиморфный код. При заражении MBR вирусы
записывают в последний сектор диска случайные данные и никогда потом
эти данные не изменяют. Данный сектор служит в дальнейшем для вируса,
как поставщик случайных значений для генератора случайных чисел. При
заражении объектов на вход генератора полиморфного кода поступают одни
и те же значения - в результате всегда генерируется один и тот же код.
Т.е., на одном компьютере все инфицированные файлы будут иметь
одинаковые вирусные расшифровщики и ключи, с помощью которых зашифрован
вирусный код. 22 августа и 22 сентября вирусы выводят на экран тексты:
Emperor.Hare.7610:
"HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare...
Emperor.Hare.7750:
"HDEuthanasia-v2" by Demon Emperor: Hare Krsna, hare, hare...
Emperor.Hare.7786:
"HDEuthanasia-v3" by Demon Emperor: Hare Krsna, hare, hare...
и уничтожают содержимое жесткого диска.
EncePhalyt
Очень опасный Boot-вирус. Не сохраняет оригинальные MBR и Boot-сектора
дискет при заражении. В конце кода содержит свое зашифрованное (NOT
BYTE PTR) имя.
EndOf.783, 788
Неопасные резидентные вирусы. Содержат строку "end of".
Enola.1183
Неопасный резидентный вирус. Устанавливает свою резидентную копию в
верхние адреса памяти, "перехватывает" INT 21h, 27h, 2Fh, "ждет" вызова
