файл \BBSV6\BBSAUDIT.DAT или \BBSV6\BBSUSR.DAT. Вирус ищет в данных
файлах строки Puppet, Image, Gnat, Minion, Cindy, F'nor. Если какая-
либо строка найдена, то вирус корректирует соответствующую строку BBS-
файла. Содержит текст "The Major BBS Virus created by Major tomTugger".
Malatinec.2367, 2396
Неопасные резидентные шифрованные вирусы. Не заражают файлы, имена
которых начинаются на COMMAND,ADINF,AVG,AVP,CLEAN,DRWEB,F-,FINDVIRU,FV,
GUARD,IBMAVSP,IV,NAV,NOD. Удаляет файлы ANTI-VIR.DAT, AVG.GRS, AVP.CRC,
CHKLIST.CPS, CHKLIST.MS, CHKLIST.TAV, FINGERP.VVF, FSIZES.QCV, IVB.NTZ,
NAV_._NO,SMARTCHK.CPS,_CHK.CHK. Содержат текст:
Virus Malatinec v.0.ыН|Щreated by Aladiah
Greet: all my friends in Slovakia; G722,E10,H723,H118 & all H4??
(sch.yr.95/96) & of coz i send a big fuck 2 big boxer V.M.
Note: this is last evolutionary (с) version. Don't Worry!
Watch out for M.1.0 (available soon:)
Msg4Trnka: correct IDstr 4 Malat03=FCBF%2B9...
Malmsey.Habitat
Опасный нерезидентный вирус. При заражении файла по своей ошибке может
разрушить его. 30 сентября рисует картинку, как и Lokjaw.Zwei.808 и
выводит текст:
Malmsey Habitat v. 2.0 Lucifer Messiah -- ANARKICK SYSTEMS 07-18-92
Happy Birthday Pob!!
Mammoth.6000
Очень опасный файлово-загрузочный полиморфный стелс-вирус. При первом
старте инфицированной программы вирус заражает MBR жесткого диска.
Причем при наличии контроллера IDE жесткого диска, при записи вирусного
кода в MBR, вирус программирует непосредственно порты контроллера IDE.
Вирус определяет запуск инфицированной программы из под Microsoft
Windows и пытается в данном случае протрассировать INT 13h. В
зависимости от своих внутренних счетчиков или при неаккуратной
трассировке кода вируса, вирус может уничтожить информацию на жестких
дисках компьютера. Резидентная копия вируса устанавливается в память
при загрузке с жесткого диска компьютера. При 10 перезагрузке системы
вирус пытается уничтожить информацию на "винчестерах". Вирус
перехватывает INT 08, 13h, 17h, 20h, 21h, 25h, 26h. При заражении
Boot-секторов флоппи-дисков вирус форматирует дополнительную последнюю
дорожку дискеты, на которую записывает 12 секторов собственного кода и
оригинальный Boot-сектор. Вирус постоянно включает и выключает признак
наличия в КМОП (CMOS)-памяти дисководов флоппи-дисков, корректируя
контрольную сумму данной CMOS-памяти. При обращении к флоппи-дискам
вирус "включает" наличие дисководов в CMOS. После обращения -
"отключает". В результате, при загрузке системы с "чистой" системной
дискеты, дисководы дискет могут оказаться "неустановленными", и система
в таком случае попытается загрузиться с жесткого инфицированного диска.
Вирус первым получит управление, установит свою резидентную копию в
память, "включит" наличие дисководов в CMOS-памяти и отдаст управление
Boot-сектору диска A:. Т.о., вирус получит управление даже при загрузке
с "чистого" системного гибкого диска! Вирус содержит строку
"COMMAND.COMGDI.EXEDOSX.EXEWIN386.EXEKRNL286.EXEKRNL386.EXEUSER.EXE
WSWAP.EXECHKDSK.EXE".Программы, указанные в данной строке вирус не
заражает.
MangeTout.1091, 1099
Резидентные очень опасные вирусы. Используют оригинальный алгоритм
шифровки своего кода. Расшифровывают свои подпрограммы в сегменте с
адресом 0054:0000 и отдают им управление. Перехватывают INT 08, INT 09,
INT 21h. При вызове f.36h INT 21h (информация о свободном месте на
диске), вирусы подставляют в стек адрес возврата из прерывания на свой
код. Анализируют возвращенные INT 21h значения - хватит ли места для
заражения файлов на данном устройстве. После чего производят поиск
файлов *.EXE и *.COM с помощью функций FindFirst, FindNext INT 21h.
Если в течение часа не было ввода с клавиатуры, то MangeTout.1099
пытается отформатировать несколько секторов жесткого диска, а
MangeTout.1091 уничтожает пароль в CMOS-памяти и стирает содержимое
MBR. После этого вирусы "вешают" систему. Содержат инструкции i286.
Manitoba
Опасный загрузочный вирус. Не сохраняет оригинальные boot-сектора
флоппи-дисков.
Manu.4096
Неопасный резидентный вирус. Предусмотрен вывод сообщения "Parity error
0000:F243", но вряд ли он когда-нибудь наступит. Содержит текст "Manu
virus Version 1.0".
Manuel.2209
Неопасный резидентный шифрованный вирус. Устанавливает свою резидентную
копию в область HMA, изменяя адрес в межсегментном косвенном переходе
оригинального обработчика INT 21h на адрес вирусного обработчика.
Иногда щелкает динамиком. Содержит текст "Manuel strikes again".
Manzon.1414
Неопасный резидентный полиморфный вирус. Содержит текстовую строку
"MANZON (c) Sgg1F5".
Mao.1465 (1,2)
Неопасные резидентные вирусы. 9 сентября, в день рождения и 26 декабря,
в день смерти Мао Цзэдуна исполняет две различные китайские мелодии.
Marauder.860
Опасный вирус. 2 февраля производит поиск файлов *.* в текущем каталоге
и уничтожает их, производя в них запись текста
Н [Marauder] 1992 Hellraiser - Phalcon/Skism.
Marian.700
Неопасный резидентный вирус. Содержит текст:
BULPACK BBS - PLOVDIV
Copyright (c) Marian Delkinov
PEDY PATENT.
Mariner.5000
Опасный резидентный шифрованный вирус. В июле выводит на экран картинку
солнца, моря и плавающего по нему кораблика, а также надпись "BCE HA
MOPE !!!". В момент когда кораблик плавает по экрану, вирус пытается
уничтожить информацию на жестком диске, правда, это не всегда ему
удается. Картинка с корабликом была отлажена лучше. Также вирус может
по воскресеньям записать в файлы с расширениями COM, EXE, PAS, CPP
фрагмент следующего текста:
I`m the Ghost V1.2.
Check. Your move, Mr.AntiVirus !
My author`s coordinates are:Sun system, Earth, Europe, Russi...
2B continued... The more we know,the less we show.
There is nothing in the world that I ever wanted more than to never
feel breaking apart all my programs again.
Markiz.1972
Вот что о своем "произведении" написал в "документации",
распространяющейся вместе с исходными текстами сам автор вируса:
Вирус перехватывает int 21h/ax=4b00h. В момент наступления такого
события вирус определяет тип файла и исследует его на граничные
значения. Если все проходит, вирус включает внутренний "отладчик" и
ловит любой вызов int 21h. Далее определяет адрес его возникновения и
предполагает, что его сгенерила запущенная программа. Затем вирус
пытается вычислить этот адрес на диске (не составляет труда для COM,
но довольно емкая процедура для варианта EXE) и проверяет,действительно
ли эта инструкция существует в файле (тут как раз вирус и обходит
упакованные файлы). В случае успеха, вирус сохраняет старое содержимое
XX байт в этом месте и пишет туда расшифровщик с переходом на тело
вируса ( XX - длина расшифровщика/перехода и составляет 22 для COM-
файлов, 33 для EXE). При этом производится сравнение, этих кодов на
диске и в памяти (дабы избежать порчу раскодировщика, например в случае
релокаций). Далее вирус переписывает в конец перешифрованную копию,
выключает свой "отладчик" и передает управление выполняемой программе.
При инфицировании EXE-файлов, вирус может корректировать SP_Entry в
заголовке EXE, помимо обязательной корректировки Pages_Count и
Part_Page. Это объясняется тем, что стек может располагаться где-то за
образом файла. При корректировке к значению SP_Entry прибавляется длина
вируса плюс 3000h байт.
Вирус содержит текст "MARKIZ-4/№1995 °±ІЫщ¦31/ґ(¦< (/ґ†щЫІ±°".
Markiz.2660
Неопасный резидентный шифрованный вирус. В феврале и октябре выводит на
экран "скачущую" картинку:
Welcome to 1.6 version of highperfomance FortranLover virii, №1995 Ю31/ґ(Ю< (/ґ†
ЯЫЮЯЫЫЫ ЯЫЮЯЫЫЫ ЯЫЮЯЫЫЫ ЫЫЮЫЫЫЫ ЯЫЮЯЫЫЫ ЯЫЮЯЫЫЫ ЯЫЮЯЫ Ы
ЫЮЬ ЫЫЮ ЫЫЫ ЫЮЬЫЫЯ ЯЯЮЫ ЯЯ ЫЮЬЫЫЯ ЫЮЬЫЫЫ ЫЮ ЫЫЫ
ЫЮ ЫЫЮ ЫЫЫ ЫЮ ЫЫЫ ЮЫ ЫЮ ЫЫЫ ЫЮ ЫЫЫ ЫЮ ЫЫ
ЯЯЯЯ ЯЯЯЯЯЯЯ ЯЯЯ ЯЯЯ ЯЯЯЯ ЯЯЯ ЯЯЯ ЯЯЯ ЯЯЯ ЯЯЯ ЯЯ
Ъ¬Ъ¬Ъ ¬Ъ†¬ЪВ¬
†¦¦†† †А†¬ ¦
Б БАДЩА†Щ Б
ЪЛЛННЛ¬ЪНСЛСН¬ЪЙНННЛ¬
¦єє є¦ ¦є¦ ГОНН
АККННКЩАНПКПНЩАКНННКЩ
Не заражает файлы, содержащие следующие строки ADIN,AID,ANT,DRW,FIND,
MSA, NAV, VSA, WEB. Иногда переименовывает стартующую программу
FO?MA???.EXE в FO?MA???.ExE, где x - это байт 0E5. Содержит текст
"[ДDEDiCA†EDД‡0ДMARKiZД]".
Martyr.641
Если в течение часа не было загрузки программ, выводит текст "Meня ты
cлишкom долго МУЧАЛ ... Пpoщaй, мой друг ! Я УMИPAЮ ..." и перегружает
систему.
Marzia-вирусы
Очень опасные файлово-загрузочные стелс-вирусы. Заражают MBR жесткого
диска, COM и EXE-файлы. При открытии инфицированных файлов удаляют свой
код из них. Содержат строку "MARZIA".
Marzia.2048
В зависимости от системного таймера форматируют случайный цилиндр на
первой головке первого жесткого диска. Не заражают программы,
заканчивающиеся на AN, OT, SK, PY.
Marzia.Baracuda
После 24 числа при старте некоторых антивирусных программ вызывает INT
24h AX=2. Содержит тексты "BARACUDA Vds" и "WW30V3".
Marzia.Demian
Содержит текст "DVDEMIAN".
Marzia.DV (2)
При старте некоторых программ могут уничтожить содержимое жесткого
диска. Содержат строку "DVv1.00a3".
Marzia.FaXFree
В апреле после 25 числа при старте некоторых антивирусных программ
вызывает INT 24h AX=2. Содержит тексты "PISello tenere fuori dalla
portata dei bambini. PaxTibiQuiLegis.FaxFree!!", "WW20V".
Marzia.Pasiphae
В марте после 25 числа при старте некоторых антивирусных программ
вызывает INT 24h AX=0. Содержит тексты "PASIPHAE(c)93Knosso by Willi
Wonka PpHhIiSsIiCcAaRrTt", "WW?-?".
Marzia.Pisello
В апреле после 25 числа при старте некоторых антивирусных программ
вызывает INT 24h AX=2. Содержит тексты "PISello tenere fuori dalla
portata dei bambini.", "WW20V3".
Marzia.SZ
При старте некоторых программ может уничтожить содержимое жесткого
диска, после чего выведет текст "SZ VIRUS". Содержит строку "WW35V3".
Marzia.VDS (1,2)
24 мая при старте некоторых антивирусных программ вызывает INT 24h
AX=2. Содержит тексты "(c)93Virus Development Software", "WW34V3".
Marzia.WW (1)
В марте после 25 числа пытается отформатировать все цилиндры головки-1
первого жесткого диска. Содержит строку "WWMARZIA". Не заражает файлы
с именем, заканчивающимся на OT (F-PROT). При вызове f.3031h INT 21h