Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Реклама    

liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Касперский Лаб. Весь текст 1152.7 Kb

Описания вирусов

Предыдущая страница Следующая страница
1 ... 35 36 37 38 39 40 41  42 43 44 45 46 47 48 ... 99
        Technical infos:       Technical infos:       Technical infos:
        No way to detect       No way to detect       No way to detect
        Heuristic analys       Fucked heuristic       Fucked heuristic
        often impossible       Greets go to all       Greets go to all
        Greetings  go to       virus developing       virus developing
        author of Volkov       groups in Brno !       groups in Brno !
        Your data are OK       Czech republic94
        aNytime,ANywHere
        Czech rep. 1994!

Eddie.651
        Содержит строку "Eddie lives".

Eddie.1530
        Опасный резидентный вирус. Иногда "вешает" систему и изменяет тип диска
        в CMOS-памяти.

Eddie.1800 (1-3)
        Очень опасные резидентные вирусы. Производят запись в случайные сектора
        текущего диска 512 байт своего кода. Перехватывают  INT  21h,  27h.  Не
        дают изменить адрес вектора INT 21h. INT 27h используется для  контроля
        за INT 21h. Первоначальный вариант вируса содержал текстовые строки:

        Eddie lives...somewhere in time!
        Diana P.
        This program was written in the city of Sofia (C) 1988-89 Dark Avenger

Eddie.2000 (1-3), Eddie.2100
        Очень опасны также, как и Eddie.1800. Содержат строки:

        Eddie.2000:

        Zopy me - I want to travel   или   Only the Good die young...
        Диана П.
        (c) 1989 by Vesselin Bontchev

        Eddie.2100:

        Eddie lives
        (c) 1990 by Vesselin Bontchev

        При старте программ,  содержащих  в  своем  теле  строку  "by  Vesselin
        Bontchev", вирусы "зацикливают" и "вешают" систему.

Eddie.Alexander.1843, 1951, 2104
        Неопасные резидентные вирусы. Иногда выводят текст:

        ЙНННННННННННННННННННННННННННННННННННННН»
        є    Apa depistata in microprocesor !  є
        є   Functionarea poate fi compromisa ! є
        є  Se recomanda oprirea calculatorului є
        є       citeva ore pentru uscare !     є
        є                                      є
        є     Alexander - Constanta, Romania   є
        ИННННННННННННННННННННННННННННННННННННННј

Eddy.1422
        Опасный  резидентный  вирус.  Может уничтожить содержимое CMOS-памяти и
        вывести на экран слово "Eddy".

Ekaterinburg
        19 августа выводит на экран бело-сине-красный российский флаг. Содержит
        свое зашифрованное название - Ekaterinburg.

Elaine.1127
        Опасный резидентный вирус. "Перехватывает" INT 13h, 21h. С вероятностью
        1/256 инвертирует первый байт в буфере при записи на диск (f.03h, f.0bh
        Int 13h). Содержит текст "Elaine 1.0  28 May 1994".

Elcn.374, 424, 550
        Неопасные нерезидентные вирусы (Elcn.550 -  опасен).  Elcn.374  в  8:20
        выводит текст "Лозинский - ЛОСЬ !!!".  Elcn.424 выводит  текст  "Ты  за
        Ельцина [y/n] ?" и в зависимости от ответа выводит  одно  из  сообщений
        "Значит ты ублюдок !",  "Я тоже.".  Elcn.424  содержит  текст  "Bryansk
        ELCN",  Elcn.550 - "Bryansk DRxy".  Elcn.550 может уничтожить начальные
        сектора дисков. Может вывести текст:

        NO ROM BASIC
        SYSTEM HALTED.

Elene.1000
        Неопасный резидентный вирус. 20 февраля выводит на экран текст:

               Сегодня Леночкин день рождения
        Москва - Санкт-Пeтербург, Июль-Август 1994г.

Em.1303
        Опасный нерезидентный вирус. Заражает EXE-файлы на диске C:. При старте
        инфицированного  EXE-файла,  вирус  записывает  в  файл C:\AUTOEXEC.BAT
        после  переменной среды "PATH=..." слово "em", создает файл C:\EM.COM и
        записывает  в  него  свой вирусный код. При старте данного файла EM.COM
        вирус  производит  поиск  и  заражение EXE-файлов в каталогах диска C:.
        28 числа вирус заменяет первый символ имен файлов диска C: на пробел.

Emm.4870, 4910, 5952
        Полиморфные вирусы. 7 числа месяца могут вывести на экран сообщения:

        Emm.4870: Welcome to the Explosion's Mutation Machine ! Dis is level 3.

        Emm.4910: Frog man Cracker cLub = FCL'name : [ MAINDE ]
                  We Must Love SVS !!!

        Emm.5952:
        Dedicated to LEELOO and Mr. Dallas from the movie "THE 5th ELEMENT"
        I (L.BB) LOVE MILA JOVOVICH (LEELOO)

        Имеют очень мощный полиморфный механизм, в силу чего содержат  довольно
        много ошибок, из-за которых зашифрованные  файлы  не  расшифровываются.
        Содержат строки "EMM 1.0", "COM EXE SCAN VSHIELD CLEAN  FINDVIRU  GUARD
        VIVERIFY TB -V VIRSTOP  NOD  HIEW  PASCA  NETENVI  F-PROT  CHKDSK".  Не
        заражает файлы, указанные в предыдущей строке. Если вирус находит  один
        из резидентных драйверов "TBMEMXXX, TBCHKXXX, TBDSKXXX,  TBFILXXX",  то
        он  предпринимает  попытки  помешать  их  нормальной  работе.  Emm.5952
        содержит также следующий текст:

        [LBBME] L.BBs polymorphic engine

        Dear Milla Jovovich,
        I decided to write this one just for you.
        Anyway, I know will never meet you but I want
        to let you know: the 5th element was the best
        movie you made. And you played "Leeloo" very
        good (just perfect). He virus-killers:
        If this message doesnяt get to her, I will
        release the most powerful virus all over the
        world. The beta canяt even be scaned by this
        scanners: SCAN,TBAV,SDSCAN,NORTON,SOLOMON
        F-PROT,VIRSTOP,VIRSTOP2,MSAV,SDRES,SDSCAN,
        TBSCAN,TBMEM,VSAFE,CPAV,FSP,SCANPM,VDEFEND,
        The virus is XXXX Kb compiled code without my
        polymorphic engine [LBBPE].
        The destructive code is still the most powerfull
        one Iяve ever seen on other virii. OK SEE YA!
        THIS VIRUS WILL BE RELEASED VERY SOON. THE BETA
        IS ALEREADY ON SOME COMPUTERS. AND THIS VIRUS WILL
        BE PERFEKT. Ohh, (for Thundebyte) I forgot to say
        that I have the soucer-code of all your a-virus tools
        Nice isnяt it?
        MILLA I LOVE YOU! BYE! STOP SENDING CHANCELBOTS TO THE NEWSGROUPS!!!!!!!

Emm.LionKing
        Очень опасный резидентный полиморфный стелс-вирус. Иногда может вывести
        сообщение:

                 Ja som virus Lion King
        Formatujem ti disk lebo devastujes prirodu

        После чего уничтожает некоторые сектора жесткого диска. Содержит тексты
        "Vypadni z tejto casti RAM!",   "cpav msav enav scan viverify avg nodex
        pkzip arj uc lharc arc lha chkdsk",  "by LST- 2005". Не заражает файлы,
        указанные  в  предпоследней  строке  или выключает свой стелс-режим при
        работе   некоторых   этих   программ.  Если   вирус  находит  один   из
        резидентных драйверов "TBMEMXXX, TBCHKXXX, TBDSKXXX, TBFILXXX",  то  он
        предпринимает попытки помешать их нормальной работе.

Emmie.2604, Emmie.2620, Emmie.2702, Emmie.2823, Emmie.3097
        Очень  опасные  вирусы.  Emmie.2823,  3097  -  самошифрующиеся  вирусы.
        Трассируют INT 13h, 21h, 26h. Изменяют цифры, выводимые  на  экран  или
        принтер. Повторяют символы, введенные с клавиатуры. Если год нечетный -
        уничтожают информацию на первых 17 секторах  "винчестера"  (Emmie.2823,
        3097 - 8 марта если год нечетный). При  заражении  изменяют  три  байта
        второй ассемблерной инструкции  программы-жертвы  на  команду  перехода
        (CALL NEAR PTR) на основной вирусный код, который располагается в конце
        зараженного  файла.  Для  определения  адреса  второй  команды   вирусы
        используют трассировку начальных байт программы. Содержат  тексты:  "My
        name is Emmie, I am Eddie's sister." и "It'll tire you too much.".

Emperor.FitW.7918 (1,2)
        Очень опасный полиморфный файлово-загрузочный стелс-вирус. Данный вирус
        состоит,  как  бы,  из  двух частей. При запуске инфицированного файла,
        первым делом вирус заражает MBR жесткого диска (при наличии контроллера
        IDE,  вирус  программирует  его  порты при записи) и устанавливает свою
        резидентную  копию  в память (возможно в область UMB) и "перехватывает"
        INT 21h. При  вызове  некоторых  функций INt 21h (4Ch, 4B00h, 3Dh, 3Eh)
        вирус производит полиморфное заражение COM и EXE-файлов. 1, 3, 5, 7 и 9
        числа  месяца  вирусы  блокируют  клавиатуру  (INT  9)   и   уничтожают
        содержимое всех жестких  дисков. При нажатии на клавиши во время данной
        акции, вирус выводит текст:

    The "FartStorm" coded by Demon Emperor >Big hello to Cmoskiller&Xorboot<
    Are you wild? Hey don't... wait... let us talk... No? Be off lame fuckhead!

        Инфицированный MBR и "вирусное продолжение",расположенное в 8 последних
        секторах  жесткого  диска не содержат процедур заражения файлов и могут
        заражать  только  загрузочные  сектора  дисков.  При загрузке системы с
        инфицированного  диска,  вирус располагает свою копию в верхних адресах
        памяти,  "ждет"  загрузки  DOS  и  "перехватывает"  INT 13h (операции с
        диском). При обращении к дискам вирус заражает их. В MBR жесткого диска
        записывается полиморфнозашифрованный  вирусный загрузчик. В загрузочные
        сектора дискет вирус  записывает также полиморфный загрузчик, но только
        данный код не  зашифрован, а "наполнен" "мусорными" инструкциями, т.е.,
        "полезные"  команды  перемежаются  "бесполезными" командами. 8 секторов
        своего  кода  и  оригинальный  загрузочный  сектор  флоппи-диска  вирус
        записывает на дополнительную,  отформатированную  им,  дорожку.  Данные
        вирусы "переживают" перезагрузку  системы с "чистой" системной дискеты,
        манипулируя  с  данными  CMOS-памяти,  также, как и вирус Mammoth.6000.
        Данные вирусы,  видимо,  принадлежат "перу" автора вируса Mammoth.6000.
        Вирусы содержат текст "Fart in the wind".

Emperor.Hare.7610, 7750, 7786
        Опасные  файлово-загрузочные  полиморфные  вирусы.  При  заражении  MBR
        уничтожают таблицу разделов диска (partition table),поэтому код данного
        вируса нельзя  удалять  командой  "FDISK /MBR". При  нахождении  строки
        "WIN="  в  области  окружения  (environment)  вирус   уничтожает   файл
        \SYSTEM\IOSUBSYS\HSFLOP.PDR в  каталоге  WINDOWS.  Вирусы  оригинальным
        способом  генерируют  свой  полиморфный  код.  При заражении MBR вирусы
        записывают в последний сектор  диска  случайные  данные и никогда потом
        эти  данные  не изменяют. Данный сектор служит в дальнейшем для вируса,
        как  поставщик  случайных  значений для генератора случайных чисел. При
        заражении  объектов на вход генератора полиморфного кода поступают одни
        и  те же значения - в результате всегда генерируется один и тот же код.
        Т.е.,  на  одном  компьютере  все  инфицированные  файлы  будут   иметь
        одинаковые вирусные расшифровщики и ключи, с помощью которых зашифрован
        вирусный код. 22 августа и 22 сентября вирусы выводят на экран тексты:

        Emperor.Hare.7610:

        "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare...

        Emperor.Hare.7750:

        "HDEuthanasia-v2" by Demon Emperor: Hare Krsna, hare, hare...

        Emperor.Hare.7786:

        "HDEuthanasia-v3" by Demon Emperor: Hare Krsna, hare, hare...

        и уничтожают содержимое жесткого диска.

EncePhalyt
        Очень опасный Boot-вирус. Не сохраняет оригинальные MBR и  Boot-сектора
        дискет при заражении. В конце кода  содержит  свое  зашифрованное  (NOT
        BYTE PTR) имя.

EndOf.783, 788
        Неопасные резидентные вирусы. Содержат строку "end of".

Enola.1183
        Неопасный  резидентный  вирус.  Устанавливает  свою резидентную копию в
        верхние адреса памяти, "перехватывает" INT 21h, 27h, 2Fh, "ждет" вызова
Предыдущая страница Следующая страница
1 ... 35 36 37 38 39 40 41  42 43 44 45 46 47 48 ... 99
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (16)

Реклама