Образование - Касперский Лаб.

Весь текст 1152.7 Kb

Описания вирусов

← Предыдущая страница	Следующая страница →
1 ... 36 37 38 39 40 41 42  43 44 45 46 47 48 49 ... 99

        INT 27h или функции 31h INT 21h(завершить работу и остаться резидентно)
        и  перемещает свой код в область памяти, следующей сразу за программой,
        остающейся  резидентно  в  памяти. Препятствует  работе   MS-Windows  в
        расширенном  (enhanced  mode)  режиме.   Содержит   тексты   "Enola Gay
        ver.2.01  (C) 1994 by HPR Lab.", "Accidents newer happen...".

ErasePT.512
        Опасный нерезидентный вирус. Производит поиск и заражение  *.EXE файлов
        на текущем  диске,  кроме  флоппи-дисков.  Внедряет  в MBR код, который
        после  207 загрузок  с жесткого диска уничтожает информацию о  разделах
        жесткого диска  (Partition Table).  Исправление  такого  MBR  не всегда
        представляется возможным.

Ester
        Опасный загрузочный вирус.Оригинальный MBR жесткого диска не сохраняет.
        При заражении диска B: пытается произвести запись на диск A:.

Evc.161
        Опасный резидентный замещающий вирус. 5 числа выводит текстовую  строку
        "MaKe ViRii oUT T aSS". Имеется также текст "EVC 1.0".

Evgenich.161
        Неопасный нерезидентный вирус. Содержит строку "Evgenich".

Evolution.2761, 2770
        Очень опасные резидентные полиморфные стелс-вирусы. Размещают свою TSR-
        копию  в  области  UMB  или  в  верхних  адресах    основной    памяти.
        Перехватывают INT 09, 13h, 21h. При каждом 256 вызове INT  13h  с  AH=2
        (чтение секторов) или AH=3 (запись секторов) вирусы  случайным  образом
        изменяют случайный бит в буфере данных ES:BX. При открытии (f. 3Dh  INT
        21h) инфицированных файлов при  активных  резидентных  вирусах,  вирусы
        удаляют  свой  код  из   данных    файлов,    используя    своеобразный
        стелс-алгоритм. Вирусы читают зараженный файл  в  память  и  трассируют
        инструкции  полиморфного  расшифровщика.  После   расшифровки    вирусы
        устанавливают оригинальные,  ранее  зашифрованные,  служебные  значения
        заголовка EXE-файла и восстанавливают  оригинальную  длину  файла.  При
        закрытии (f. 3Eh INT 21h) данного  файла  вирусы  снова  заражают  его.
        Вирусы  используют  команды  386  процессора.  При   установке    своей
        резидентной  копии  вирусы  проверяют  -  находится  ли  процессор    в
        защищенном или реальном  режимах  работы.  Если  процессор  работает  в
        защищенном режиме, то вирусы пытаются устанавливать  свою  TSR-копию  в
        область UMB или  в  верхние  адреса  памяти,  как  обычные  резидентные
        вирусы. Если же i386 находится в реальном режиме работы (EMM386,  QEMM,
        MS-Windows, OS/2,.. не установлены), то  вирусы  устанавливают  таблицу
        векторов прерываний, находящуюся по адресу  0000:03FF  в  дескрипторную
        таблицу  прерываний  IDT,  находящуюся  в  зарезервированной   вирусами
        памяти, посредством команды i386 - LIDT. В данном случае  IDT  является
        прямой заменой таблицы векторов прерываний i8086. И процессор i386  при
        вызове  любого  прерывания  использует  адрес  прерывания    из    IDT,
        находящейся  в  телах  вирусов  Evolution.  Реальную  таблицу  векторов
        прерываний можно "забить" нулями, но система будет прекрасно  работать,
        ориентируясь на IDT. В  данном  случае  определить  наличие  вирусов  в
        памяти очень трудно, т.к., определение адресов  перехваченных  вирусами
        прерываний посредством прямого чтения их значений из  таблицы  векторов
        прерываний не предоставляется возможным. Иногда при нажатии на  клавиши
        CTRL, ALT или DEL вирусы могут вывести сообщения (первое  сообщение  на
        китайском языке):

        Evolution.2761 -

        -=ЁрсоЗъ[ю†Рф/DАХРrvѕЬЮЗЗ»уСёэ1'oУЮЦЯa№k \ичНЬёDec 1993ЬЖ6-

        Evolution.2770 -

        -=Ё Evolution 2001 Virus was done by lord Salivantis - Nov/Dec 1993 Ё=-

ExcelMacro - вирусы
        Вирусы,  заражающие текстовые файлы-таблицы в формате  Microsoft Excel.
        Заражение системы вирусами происходит при  открытии  на  редактирование
        зараженных файлов-таблиц. При открытии файла-таблицы MS Excel вызывает,
        находящиеся в этих таблицах вирусные макросы, которые написаны на языке
        Visual  Basic  и  в  дальнейшем  могут  быть определены, как глобальные
        макросы. Данные макросы производят копирование вирусного тела -вирусных
        макросов  при  сохранении  "старых  таблиц" или вновь создаваемых через
        команду  "Save As"  или  "Save".  Также данные вирусы могут производить
        поиск таблиц в формате MS-Excel и производить  в  них  запись  вирусных
        макросов.  При  выходе  из  MS-Excel  происходит  автоматическая запись
        вирусных   глобальных  макросов  в  XLS-файл   (как  правило,  это файл
        PERSONAL.XLS). Таким образом, при следующем  старте  MS-Excel  снова  а
        автоматически загрузит вирусные  глобальные макросы из файла глобальных
        макросов PERSONAL.XLS.

ExcelMacro.Legend
        Неопасный макро-стелс-вирус. Удаляет  пункт  меню  "Tools|Macro".  Если
        UserName="Pyro" и OrganizationName="VBB", то вирус прекращает работу  и
        файлы не заражает. Может вывести сообщение:

        Pyro [VBB]
        You've Been Infected By Legend!

ExcelMacro.Robocop
        Опасный  макро-вирус.  Первого  марта  вирус помещает в текущую таблицу
        текст "ROBOCOP Nightmare Joker [SLAM]".

ExcelMacro.Yohimbe
        Опасный макро-вирус. Записывает строку "Yohimbe" в заголовок заражаемой
        таблицы. В 16:45 вставляет в текущую таблицу картинку и текст: FUCK YOU
        BUDDY".

ExeBug (1-6)
        Очень  опасные  загрузочные стелс-вирусы. Иногда записывают в EXE-файлы
        троянский  код,  уничтожающий  содержимое  жесткого  диска.   Некоторые
        модификации  вируса  постоянно  включает и выключает  признак наличия в
        КМОП (CMOS)-памяти дисководов  флоппи-дисков,  корректируя  контрольную
        сумму  данной  CMOS-памяти.  При  обращении  к    флоппи-дискам  вирусы
        "включают" наличие дисководов в CMOS. После обращения - "отключают".  В
        результате,  при  загрузке  системы  с  "чистой"  системной    дискеты,
        дисководы дискет могут оказаться "неустановленными", и система  в таком
        случае  попытается загрузиться с жесткого инфицированного диска. Вирусы
        первым  получат  управление,  установят   свои   резидентные   копии  в
        память, "включат" наличие дисководов в CMOS-памяти и отдадут управление
        Boot-сектору   диска  A:.  Т.о.,  вирусы  получат  управление  даже при
        загрузке  с  "чистого"  системного гибкого диска!  ExeBug (6) блокирует
        включение некоторых графических  видеорежимов,  содержит  зашифрованный
        текст "Antigame from The Rat".

ExeHeader - вирусы
        Вирусы, внедряющие свой код в заголовок (header) EXE-файлов.  Некоторые
        из этих вирусов переводят файлы из формата EXE в COM заменой  сигнатуры
        "MZ" на JUMP. Не изменяют длины файла.

ExeHeader.396
        Периодически  уничтожает  содержимое  10 секторов,  начиная с 7 сектора
        0 цилиндра 4 головки первого жесткого диска.

ExeHeader.3E
        Записывает свой код в область стартового  кода инфицируемого EXE-файла,
        перенеся программный код  в область  заголовка EXE-файла. Заражает EXE-
        файлы при их закрытии (f.3Eh INT 21h) Содержит тексты "3E", "EXE".

ExeHeader.Andryushka (1,2)
        Работоспособны  только  на  XT.  Содержат тексты "Copyright (c) 1992 by
        Андрюшка", "Mz1" или "MzExe".

ExeHeader.ATCorp
        Содержит текст "(c) AT Corp. 1994".

ExeHeader.Clust
        Зашифрованный   резидентный   вирус.   Содержит   строки  "[Clust2]"  и
        "JT / TridenT".

ExeHeader.Dina.271, 283
        Содержат текст "Dina v4.2r" или "Dina v4.4r".

ExeHeader.Dragon
        Инсталлируется  в  память  и  внедряется  в цепочку дисковых драйверов.
        Содержит строку "DRAGON-2 Anti".

ExeHeader.Em
        Содержит строку "EM".

ExeHeader.Funked (1,2)
        Неопасные  шифрованные  резидентные  стелс-вирусы. Трассируют INT 13h и
        вклиниваются в цепочку обработчиков INT 13h. Свою TSR-копию располагают
        в области HMA.  После  установки  TSR-копии  вирусы удаляют свой код из
        стартовавшего  инфицированного файла. В дальнейшем вирусы скрывают свое
        присутствие в зараженных EXE-файлах.

ExeHeader.Gregory
        Пытается  заместить   собой   вирус   ExeHeader.394.   Содержит   текст
        "<* Григорий Б.С. C-2.3 *>".

ExeHeader.Hobbit
        Содержит строку " HOBBIT ".

ExeHeader.I03
        Опасный резидентный вирус.  Заражает  EXE-файлы,  внедряя  свой  код  в
        заголовок  EXE-файла,  в  область  неиспользуемых  элементов    таблицы
        перемещаемых символов.  Изменяет  размер  заголовка  EXE-файла  (Header
        Size,  смещение  +8),  не  сохраняя  оригинальное   значение,    и    в
        освободившееся место записывает свой вирусный  код.  В  соответствии  с
        этим корректирует таблицу  перемещаемых  символов  (Relocation  Table).
        Т.к., вирус не  сохраняет  значение  размера  заголовка  EXE-файла,  то
        полное восстановление инфицированного файла невозможно, но  вероятность
        работоспособности программы после лечения -  довольно  высока.  В  теле
        вируса имеется строка "~I~03".

ExeHeader.Kibina.390, 398
        Опасные резидентные вирусы. Внедряются в дисковый буфер и перехватывают
        INT 13h.  26  апреля  при  записи секторов  через INT 13h (AH=3) вирусы
        записывают в данные сектора часть своего кода,  начинающийся с тестовой
        строки "Olya Kibina".

ExeHeader.Louse
        Неопасный резидентный стелс-вирус. Содержит текст "LOUSE 1.0 (C) VANO".

ExeHeader.Mike.252, 256
        Содержит строку "(c) MIKE.", которая используется в вирусном коде,  как
        инструкции ассемблера. ExeHeader.Mike.256 также содержит строку "Hi".

ExeHeader.Ming
        Иногда выводит на экран текст:

        Written By Crazy Lord (Ming)
        Made In Hong Kong

ExeHeader.Nla
        Опасный вирус. Разрушает  ARJ-архивы, записывая в них, по смещению +0Eh
        2 случайных байта. Содержит строку "NLA".

ExeHeader.Pure.427, 441 (1-3)
        Написаны  очень  оригинально.  ExeHeader.Pure.427  содержит  интересные
        приемы, направленные против отладчиков.

ExeHeader.Renegade (1,2)
        Излечивает  файлы  от вируса  ExeHeader.Hobbit и записывает себя вместо
        него. Содержит строку "Renegade".

ExeHeader.SkidRow.415, 418, 427, 432
        Располагают  свою  TSR-копию  в  одном  из  системных  буферов   DOS  и
        перехватывают INT 13h. Если значение дня совпадает со значением  месяца
        выводят в верхнем правом углу текст:

        ExeHeader.SkidRow.415, 427:    This is Skid-Row Virus
                                       Written by Dark Slayer
                                       * in Keelung. Taiwan *

        ExeHeader.SkidRow.432:         This is Skid-Row Virus
                                       Written by Dark Slayer
                                       % in Keelung. Taiwan %

        ExeHeader.SkidRow.418  при  чтении  и   записи  своего кода  в  сектора
        жесткого диска использует программирование IDE-контроллера.

ExeHeader.Sot
        Содержит текстовую строку "Sot".

ExeHeader.TheRat
        Опасный  вирус,  может разрушить некоторые файлы из-за ошибки. Содержит
        строку  "The Rat, Sofia".  Размещает  свою  резидентную копию в области
        стека DOS.

ExeHeader.Vvm.204, 205 (1,2)
        Содержат строку "(C)VVM*".

ExeHeader.Vvm.207
        Содержит строку "XAM".

Exp.1617
        Опасный  резидентный  вирус.  При  открытии инфицированного файла вирус

← Предыдущая страница	Следующая страница →
1 ... 36 37 38 39 40 41 42  43 44 45 46 47 48 49 ... 99

Ваша оценка:	Подпишусь под каждым словом (+3) Понравилось (+2) Нормально (+1) Посредственно (-1) Ерунда какая-то (-2) Чушь собачья (-3)
Комментарий:
Подпись:	(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
Сайт:

Комментарии (16)