расширениями, отличными от COM или EXE, запускаться не будут. Иногда
могут заполнить экран надписью: "Maaike I Love You !". Из-за ошибок
могут приводить к "зависанию" системы.
MacGyver.2803 (1,2)
Содержат зашифрованную текстовую строку "SCAN CLEAN ZTEST CKVI EXEGOD
VPIC [MACGYVER V1.0 Written by JOEY in Keelung. TAIWAN 1992]".
MacGyver.4112
Неопасный резидентный файлово-загрузочный вирус.Заражает COM,EXE-файлы,
MBR жесткого диска и загрузочные сектора дискет. При заражении дискет
форматирует дополнительную дорожку, на которую записывает свое
продолжение и оригинальный загрузочный сектор.
MacGyver.4645
Неопасный резидентный стелс-вирус. Выводит сообщение:
ХННННННННННННННННННННё
¦ * MacGyver V3.0 * ¦
¦ Hi! I am MacGyver ¦
¦ Written by ¦
¦ Dark Slayer ¦
¦ in Keelung. TAIWAN ¦
¦ Don't Worry,I just ¦
¦ a Virus. Ha..Ha... ¦
ФННННННННННННННННННННѕ
Mad.223
Неопасный нерезидентный полиморфный вирус.Является "порождением" вируса
Mad.5131. Mad.223 не является зашифрованным вирусом, но при заражении
в январе COM-файлов вирус Mad.5131 "перемежает" "рабочие" команды
вируса Mad.223 (поиск файл-жертв и их заражение) всевозможными
"мусорными" командами. В результате максимальная длина постоянных
вирусных байт не превышает 6 байт. В дальнейшем такой вирус Mad.233
производит поиск *.COM - файлов в текущем каталоге и заражает их
собственной уже неизменяемой копией. Вирус содержит текст "MiniMad 2.0
BETA! [c]Black Angel".
Mad.279 (1-3)
Опасные нерезидентные вирусы. Заражают только COM-файлы с первой
командой JUMP (0E9h ?? ??). Оригинальный адрес перехода вирусы
записывают в поле даты создания файла. Поэтому, если данный файл
подвергнется редактированию, то восстановить его работоспособность не
удастся. Вирусы содержат текст "The MiniMad version 1.0 beta*.com".
Mad.1288
Очень опасный резидентный шифрованный вирус. При неаккуратной
трассировке кода, вирус может уничтожить 16 первых секторов первого
жесткого диска. Резидентная копия вируса, при старте каждой 33-ей
программы, уничтожает случайный сектор жесткого диска. Не заражает
программы с именами *EB, *ST, *NF, *WE. Содержит текст "THE MYTH
[C]Black Angel : Next time ,Use a condom ...".
Mad.2631, 2748
Очень опасные резидентные полиморфные вирусы. 13 числа уничтожают
содержимое CMOS-памяти и первого жесткого диска. При каждом 1001
(2000 для Mad.2748) нажатии на клавиши уничтожают случайный сектор на
диске. При неактивной клавиатуре в течение 1 минуты 22 секунд (для
Mad.2748 - 1 часа) вирусы выводят на экран тексты:
Mad.2631:
ЙННННННННННННННННННННННННННННННННННННННННННННН»
є W a r n i n g ! є
ЗДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¶
є Your machine is infected by MAD I virus є
є -= Written & Copyright by Black Angel =- є
є from Moscow є
є For cure call DR.WEB (812) 296-3096 є
є Good-Bye!!! є
ИНННННННННННННННННННННННННННННННННННННННННННННј
Mad.2748:
ЙННННННННННННННННННННННННННННННННННННННННННННН»
є W a r n i n g ! є
ЗДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¶
є Your machine is infected by MAD I virus є
є -= Written & Copyright by Black Angel =- є
є from Moscow є
є For cure call DR.WEB (812) 296-3096 є
є Next time, use a condom... є
ИНННННННННННННННННННННННННННННННННННННННННННННј
Не заражают файлы, имена которых заканчиваются на EB, ST, EW (DRWEB,
AIDSTEST, HIEW). Содержат тексты "BETA", "THE MAD I virus (c)Black
Angel" или "THE MAD version 1.2 virus (c)Black Angel".
Mad.3544, 4268, 4340, 5054
Очень опасные резидентные полиморфные вирусы. При неаккуратной
трассировке вирусного кода могут уничтожить 10 первых секторов первого
жесткого диска. При запуске программы WIN.* Mad.3544 выключает драйвер
мыши (записывает в обработчик INT 33h команду IRET) и выводит текст
"WINDOWS MUST DIE!". Иногда помещают в буфер клавиатуры слово "MAD".
13 числа месяца вирусы заражают COM-файлы, имеющие первую инструкцию
программного кода JUMP (0E9h ?? ??) вирусами Mad.279 (1-3). В вирусах
имеется код, шифрующий загрузочные сектора дискет, но при активных
резидентных вирусах данные сектора расшифровываются в памяти
компьютера. Mad.4268 может вывести на экран текст:
Your version of MAD outdate.Upgrade?
Если ввести "y" или "Y", то вирус выводит текст:
Please Wait! Cured Your system...
Hо...абсолютно спокойны Вы можете быть, если ежедневно
пользyетесь пpогpаммой FORMAT.COM
уничтожает 16 первых секторов первого жесткого диска, создает новый
файл c:\autoexec.bat, в который записывает текст:
@echo Press Y for continue cured....
@echo off
c:\dos\format.com c: >null
echo on
@echo Hад вами издевался виpyс MAD...
Mad.4340 производит поиск в записываемой на диск (f.03 Int 13h)
информации строки "USER", меняет ее на "LOH!" и помещает в буфер
клавиатуры текст "MUST DIE!". Mad.5054 7 ноября уничтожает содержимое
CMOS-памяти, по 16 секторов на каждой головке первого жесткого диска и
выводит текст "Seventh November - black day of a calendar...". Mad.5054
ищет в файлах строку "Rar!" (заголовок архиватора RAR) и изменяет ее на
"Mad!". Причем, в зараженной системе это будет не заметно для
пользователя,но при переносе такого архива в "чистую" систему,архиватор
RAR не "признает" такой файл своим. Mad.5054 также иногда "сбивает"
развертку монитора.
Вирусы содержат тексты:
Mad.3544:
MAD 1.5a Copyright by Black Angel 03-08-96 : a New Beginning
Mad.4268:
MAD 1.6 Copyright by Black Angel 24-09-96 : ...continue conversation...�
Mutation Engine for Mad [MEM 1.0]
Mad.4340:
MAD 1.7 (C)opyright by Black Angel(from Moscow!) 29-09-96 :
Next version...
Mutation Engine for Mad [MEM 1.0]
Mad.5054:
Small Random Decoder for Mad [SRDM 0.0 beta]
[MAD 1.8] (C)opy(R)ight by Black Angel from DesTroY Gr0uP : It BEGAN...!
Mutation Engine for Mad [MEM 1.1]
Mad.3732, 3734
Опасные резидентные полиморфные вирусы. 14 июня форматируют первую
дорожку "винчестера". При старте программы *WEB.* вирусы из-за ошибки
"завешивают" систему. Содержат тексты "The MAD version 1.4(beta) for
TME (C)Black Angel 1996", "TME 0.0 (c)Black Angel 14/05/96".
Mad.5131
Очень опасный резидентный полиморфный вирус. При неаккуратной
трассировке вирусного кода могут уничтожить 10 первых секторов первого
жесткого диска. 31 декабря вирус выводит сообщение "I am DEAD M0R0SE" и
уничтожает содержимое CMOS-памяти.Вирус записывает свой код (4608 байт)
на диск (9 секторов), начиная с 9 сектора первой дорожки первого
цилиндра. Резидентная копия вируса занимает 231 байт, устанавливается
по адресу 0054:0000 и "перехватывает" путем врезки в оригинальный
обработчик INT 21h вызов случайного прерывания из второй половины
таблицы векторов прерываний (INT C0h-C7h), которое "контролируется"
резидентной копией. Данный код считывает в память по адресу 9A00:0000
при каждом вызове f.30h Int 21h (GetDOSVersion) основной вирусный код
с жесткого диска и отдает ему управление с целью определения имени,
стартовавшей программы и ее заражения. Вирус отказывается устанавливать
свою резидентную копию при работе в Windows. При заражении файлов вирус
читает первые 1000 байт файла в память компьютера и производит поиск
последовательности байт B4h ?? CDh 21h или B8h ?? ?? CDh 21h (загрузка
в регистр AH или AX какого-то значения и вызов прерывания 21h DOS).
Вместо байт CDh 21h вирус записывает последовательность CDh CCh - вызов
INT CCh, которое транслируется вирусом в "законное" прерывание INT 21h
DOS. При активном резидентном вирусе данные программы будут работать
нормально, но в "чистой" системе "поведение" таких программ -
непредсказуемо. В январе вирус заражает COM-файлы полиморфным вирусом
Mad.223 (см. Mad.223), который в дальнейшем распространяется
самостоятельно, независимо от вируса-родителя Mad.5131. Не заражает
файлы, имена которых заканчиваются на EB,ST,86,NF,VP,AN. Вирус содержит
тексты:
>>> The MaDesTr0yeR <<<�aka [DEAD M0R0SE]�version BETA TEST�
Distribution & Copyright by Black Angel 1996�
>Destroy Gr0up is down...!!!<
>HЕТУ И HЕБЫЛО DESTROY GR0UP!<
MiniMad 2.0 BETA! [c]Black Angel
Mad.7321
Неопасный резидентный полиморфный вирус. Содержит случайный алгоритм
расшифровки своего кода (см. RDA.Fighter), но из-за огромного числа
ошибок распространение данного вируса невозможно. Содержит тексты
"MAD 1.5 (C)Black Angel:I`m Back", "(c)Black Angel 16/05/96".
MadSatan.19033
Неопасный резидентный вирус. В период с 24 по 27 декабря выводит на
экран сообщение:
* Satan virus * MAD !! Another Masterpiece of Satan...........
Имеет также текст:
Satan virus Copyright (c) 1993 Ver 2.01 Written by * Mad Satan *
GOOD LUCK TO YOU
- Mad Satan - - Mad Satan - - Mad Satan -
MadSatan.Abba
Неопасный резидентный вирус. Ведет счетчик заражений в файлах ABBAлєnn,
где nn - является порядковым номером заражений. При достижении nn
значения 59, на монохромный дисплей в графическом видеорежиме выводится
фотоизображение лица, видимо, китайской национальности.
MadSatan.Ruei
Модификация вируса MadSatan.Abba. Счетчик заражений ведется в файле
Satan_nn. При нехватке памяти выводит сообщение "Ruei-Chiang Virus
by Mad Satan". Содержит текст:
----------------
1994 (C) Copyright Ruei-Chiang Virus Written by Mad Satan in TAIWAN.
Carzy !!! Another Masterpiece of Satan.....
Don't Worry I just a Virus.
Satan Ver 3.01 - Mad Satan
-----------------
Magdzie.1114
Опасный резидентный стелс-вирус. Заражает EXE-файлы при их закрытии.
При открытии или запуске инфицированной программы удаляет из нее свой
вирусный код. Удаляет файлы CHKLIST?.*. 27 мая выводит на экран текст:
Magdzie T. - jutro Twoje urodziny!
После чего выводит довольно симпатичный движущийся графический узор.
Maiden.1726
Полиморфный резидентный вирус. Пытается открыть файл user.bbs и завести
в нем пользователя Hacker. Содержит тексты "Iron Maiden", "[MARAUDER`s
Mutation Device v0.9]".
Major.1644
Опасный резидентный вирус. В случайные моменты времени пытается открыть
