INT 27h или функции 31h INT 21h(завершить работу и остаться резидентно)
и перемещает свой код в область памяти, следующей сразу за программой,
остающейся резидентно в памяти. Препятствует работе MS-Windows в
расширенном (enhanced mode) режиме. Содержит тексты "Enola Gay
ver.2.01 (C) 1994 by HPR Lab.", "Accidents newer happen...".
ErasePT.512
Опасный нерезидентный вирус. Производит поиск и заражение *.EXE файлов
на текущем диске, кроме флоппи-дисков. Внедряет в MBR код, который
после 207 загрузок с жесткого диска уничтожает информацию о разделах
жесткого диска (Partition Table). Исправление такого MBR не всегда
представляется возможным.
Ester
Опасный загрузочный вирус.Оригинальный MBR жесткого диска не сохраняет.
При заражении диска B: пытается произвести запись на диск A:.
Evc.161
Опасный резидентный замещающий вирус. 5 числа выводит текстовую строку
"MaKe ViRii oUT T aSS". Имеется также текст "EVC 1.0".
Evgenich.161
Неопасный нерезидентный вирус. Содержит строку "Evgenich".
Evolution.2761, 2770
Очень опасные резидентные полиморфные стелс-вирусы. Размещают свою TSR-
копию в области UMB или в верхних адресах основной памяти.
Перехватывают INT 09, 13h, 21h. При каждом 256 вызове INT 13h с AH=2
(чтение секторов) или AH=3 (запись секторов) вирусы случайным образом
изменяют случайный бит в буфере данных ES:BX. При открытии (f. 3Dh INT
21h) инфицированных файлов при активных резидентных вирусах, вирусы
удаляют свой код из данных файлов, используя своеобразный
стелс-алгоритм. Вирусы читают зараженный файл в память и трассируют
инструкции полиморфного расшифровщика. После расшифровки вирусы
устанавливают оригинальные, ранее зашифрованные, служебные значения
заголовка EXE-файла и восстанавливают оригинальную длину файла. При
закрытии (f. 3Eh INT 21h) данного файла вирусы снова заражают его.
Вирусы используют команды 386 процессора. При установке своей
резидентной копии вирусы проверяют - находится ли процессор в
защищенном или реальном режимах работы. Если процессор работает в
защищенном режиме, то вирусы пытаются устанавливать свою TSR-копию в
область UMB или в верхние адреса памяти, как обычные резидентные
вирусы. Если же i386 находится в реальном режиме работы (EMM386, QEMM,
MS-Windows, OS/2,.. не установлены), то вирусы устанавливают таблицу
векторов прерываний, находящуюся по адресу 0000:03FF в дескрипторную
таблицу прерываний IDT, находящуюся в зарезервированной вирусами
памяти, посредством команды i386 - LIDT. В данном случае IDT является
прямой заменой таблицы векторов прерываний i8086. И процессор i386 при
вызове любого прерывания использует адрес прерывания из IDT,
находящейся в телах вирусов Evolution. Реальную таблицу векторов
прерываний можно "забить" нулями, но система будет прекрасно работать,
ориентируясь на IDT. В данном случае определить наличие вирусов в
памяти очень трудно, т.к., определение адресов перехваченных вирусами
прерываний посредством прямого чтения их значений из таблицы векторов
прерываний не предоставляется возможным. Иногда при нажатии на клавиши
CTRL, ALT или DEL вирусы могут вывести сообщения (первое сообщение на
китайском языке):
Evolution.2761 -
-=ЁрсоЗъ[ю†Рф/DАХРrvѕЬЮЗЗ»уСёэ1'oУЮЦЯa№k \ичНЬёDec 1993ЬЖ6-
Evolution.2770 -
-=Ё Evolution 2001 Virus was done by lord Salivantis - Nov/Dec 1993 Ё=-
ExcelMacro - вирусы
Вирусы, заражающие текстовые файлы-таблицы в формате Microsoft Excel.
Заражение системы вирусами происходит при открытии на редактирование
зараженных файлов-таблиц. При открытии файла-таблицы MS Excel вызывает,
находящиеся в этих таблицах вирусные макросы, которые написаны на языке
Visual Basic и в дальнейшем могут быть определены, как глобальные
макросы. Данные макросы производят копирование вирусного тела -вирусных
макросов при сохранении "старых таблиц" или вновь создаваемых через
команду "Save As" или "Save". Также данные вирусы могут производить
поиск таблиц в формате MS-Excel и производить в них запись вирусных
макросов. При выходе из MS-Excel происходит автоматическая запись
вирусных глобальных макросов в XLS-файл (как правило, это файл
PERSONAL.XLS). Таким образом, при следующем старте MS-Excel снова а
автоматически загрузит вирусные глобальные макросы из файла глобальных
макросов PERSONAL.XLS.
ExcelMacro.Legend
Неопасный макро-стелс-вирус. Удаляет пункт меню "Tools|Macro". Если
UserName="Pyro" и OrganizationName="VBB", то вирус прекращает работу и
файлы не заражает. Может вывести сообщение:
Pyro [VBB]
You've Been Infected By Legend!
ExcelMacro.Robocop
Опасный макро-вирус. Первого марта вирус помещает в текущую таблицу
текст "ROBOCOP Nightmare Joker [SLAM]".
ExcelMacro.Yohimbe
Опасный макро-вирус. Записывает строку "Yohimbe" в заголовок заражаемой
таблицы. В 16:45 вставляет в текущую таблицу картинку и текст: FUCK YOU
BUDDY".
ExeBug (1-6)
Очень опасные загрузочные стелс-вирусы. Иногда записывают в EXE-файлы
троянский код, уничтожающий содержимое жесткого диска. Некоторые
модификации вируса постоянно включает и выключает признак наличия в
КМОП (CMOS)-памяти дисководов флоппи-дисков, корректируя контрольную
сумму данной CMOS-памяти. При обращении к флоппи-дискам вирусы
"включают" наличие дисководов в CMOS. После обращения - "отключают". В
результате, при загрузке системы с "чистой" системной дискеты,
дисководы дискет могут оказаться "неустановленными", и система в таком
случае попытается загрузиться с жесткого инфицированного диска. Вирусы
первым получат управление, установят свои резидентные копии в
память, "включат" наличие дисководов в CMOS-памяти и отдадут управление
Boot-сектору диска A:. Т.о., вирусы получат управление даже при
загрузке с "чистого" системного гибкого диска! ExeBug (6) блокирует
включение некоторых графических видеорежимов, содержит зашифрованный
текст "Antigame from The Rat".
ExeHeader - вирусы
Вирусы, внедряющие свой код в заголовок (header) EXE-файлов. Некоторые
из этих вирусов переводят файлы из формата EXE в COM заменой сигнатуры
"MZ" на JUMP. Не изменяют длины файла.
ExeHeader.396
Периодически уничтожает содержимое 10 секторов, начиная с 7 сектора
0 цилиндра 4 головки первого жесткого диска.
ExeHeader.3E
Записывает свой код в область стартового кода инфицируемого EXE-файла,
перенеся программный код в область заголовка EXE-файла. Заражает EXE-
файлы при их закрытии (f.3Eh INT 21h) Содержит тексты "3E", "EXE".
ExeHeader.Andryushka (1,2)
Работоспособны только на XT. Содержат тексты "Copyright (c) 1992 by
Андрюшка", "Mz1" или "MzExe".
ExeHeader.ATCorp
Содержит текст "(c) AT Corp. 1994".
ExeHeader.Clust
Зашифрованный резидентный вирус. Содержит строки "[Clust2]" и
"JT / TridenT".
ExeHeader.Dina.271, 283
Содержат текст "Dina v4.2r" или "Dina v4.4r".
ExeHeader.Dragon
Инсталлируется в память и внедряется в цепочку дисковых драйверов.
Содержит строку "DRAGON-2 Anti".
ExeHeader.Em
Содержит строку "EM".
ExeHeader.Funked (1,2)
Неопасные шифрованные резидентные стелс-вирусы. Трассируют INT 13h и
вклиниваются в цепочку обработчиков INT 13h. Свою TSR-копию располагают
в области HMA. После установки TSR-копии вирусы удаляют свой код из
стартовавшего инфицированного файла. В дальнейшем вирусы скрывают свое
присутствие в зараженных EXE-файлах.
ExeHeader.Gregory
Пытается заместить собой вирус ExeHeader.394. Содержит текст
"<* Григорий Б.С. C-2.3 *>".
ExeHeader.Hobbit
Содержит строку " HOBBIT ".
ExeHeader.I03
Опасный резидентный вирус. Заражает EXE-файлы, внедряя свой код в
заголовок EXE-файла, в область неиспользуемых элементов таблицы
перемещаемых символов. Изменяет размер заголовка EXE-файла (Header
Size, смещение +8), не сохраняя оригинальное значение, и в
освободившееся место записывает свой вирусный код. В соответствии с
этим корректирует таблицу перемещаемых символов (Relocation Table).
Т.к., вирус не сохраняет значение размера заголовка EXE-файла, то
полное восстановление инфицированного файла невозможно, но вероятность
работоспособности программы после лечения - довольно высока. В теле
вируса имеется строка "~I~03".
ExeHeader.Kibina.390, 398
Опасные резидентные вирусы. Внедряются в дисковый буфер и перехватывают
INT 13h. 26 апреля при записи секторов через INT 13h (AH=3) вирусы
записывают в данные сектора часть своего кода, начинающийся с тестовой
строки "Olya Kibina".
ExeHeader.Louse
Неопасный резидентный стелс-вирус. Содержит текст "LOUSE 1.0 (C) VANO".
ExeHeader.Mike.252, 256
Содержит строку "(c) MIKE.", которая используется в вирусном коде, как
инструкции ассемблера. ExeHeader.Mike.256 также содержит строку "Hi".
ExeHeader.Ming
Иногда выводит на экран текст:
Written By Crazy Lord (Ming)
Made In Hong Kong
ExeHeader.Nla
Опасный вирус. Разрушает ARJ-архивы, записывая в них, по смещению +0Eh
2 случайных байта. Содержит строку "NLA".
ExeHeader.Pure.427, 441 (1-3)
Написаны очень оригинально. ExeHeader.Pure.427 содержит интересные
приемы, направленные против отладчиков.
ExeHeader.Renegade (1,2)
Излечивает файлы от вируса ExeHeader.Hobbit и записывает себя вместо
него. Содержит строку "Renegade".
ExeHeader.SkidRow.415, 418, 427, 432
Располагают свою TSR-копию в одном из системных буферов DOS и
перехватывают INT 13h. Если значение дня совпадает со значением месяца
выводят в верхнем правом углу текст:
ExeHeader.SkidRow.415, 427: This is Skid-Row Virus
Written by Dark Slayer
* in Keelung. Taiwan *
ExeHeader.SkidRow.432: This is Skid-Row Virus
Written by Dark Slayer
% in Keelung. Taiwan %
ExeHeader.SkidRow.418 при чтении и записи своего кода в сектора
жесткого диска использует программирование IDE-контроллера.
ExeHeader.Sot
Содержит текстовую строку "Sot".
ExeHeader.TheRat
Опасный вирус, может разрушить некоторые файлы из-за ошибки. Содержит
строку "The Rat, Sofia". Размещает свою резидентную копию в области
стека DOS.
ExeHeader.Vvm.204, 205 (1,2)
Содержат строку "(C)VVM*".
ExeHeader.Vvm.207
Содержит строку "XAM".
Exp.1617
Опасный резидентный вирус. При открытии инфицированного файла вирус