Computer type: IBM PC
Nutcracker.Info.2259:
Reading System Information...
Computer type: IBM PC
после этого вирусы проверяют тип компьютера и печатают одну из
следующих строк: "Original", "XT", "AT", "Convertible", "PS/2","Junior"
или "Unknown". Далее выводится текст:
Checking HDD controller...
SCSI controller type: Unknown (Error14)
и производится заражение системы. Вирус создает в каталогах, отмеченных
через переменную "PATH", файл INFO.COM (или INFOSYS.COM), содержащий
вирусный код. Затем он (вирус) производит поиск *.BAT-файлов и
записывает в их начало команды:
@if not exist info.com goto noinfo
@info>nul
:noinfo
или:
@if not exist infosys.com goto noinfo
@infosys>nul
:noinfo
При запуске такого BAT-файла производится запуск файла INFO.COM
(или INFOSYS.COM) и, следовательно, управление получает вирусный код.
Этот вирусный код размещает свою резидентную копию в памяти и
"перехватывает" INT 1Ch и INT 21h. При попытке доступа к измененным
вирусами BAT-файлам вирусы включают свои стелс-процедуры. При запуске
программ CHKDSK, WEB или DRWEB вирусы отключают свои стелс-режимы.
Nutcracker.Snowfall.945, 1015 (1,2)
Неопасные резидентные вирусы. Иногда вызывают на экране эффект
падающего снега. Если в этот момент запустить инфицированную программу,
то вирусы выводят текст "Given program was generated in BrPI (c) 1994
The Snowfall.".
NYB
В 1 час ночи и в 9 утра "вешает" систему при чтении диска.
Obid.555
Неопасный нерезидентный вирус. Выводит тексты "V mene obid,poguljay" и
"Prijdesh zavtra ja vidpochivaju".
Ocsana.692
Неопасный резидентный вирус. 13 августа выводит текст "Happy birthday,
Ocsana!"
OhLaLa.1895
Неопасный нерезидентный вирус. Удаляет файлы *.MS, *VIR.DAT. До 13
числа месяца проигрывает мелодию и выводит на экран текст:
Ohhhh La La!
Mommmmy, they're teasing me again
Shut up you little sonsuvbitches
OkYes.1257
Очень опасный нерезидентный вирус. Может уничтожить информацию всех
дорожках первой головки жесткого диска. Очень низка вероятность вывода
на экран символов "!" вместе со звуковым сигналом. Свое название
получил за вызов INT 11h со словом "Ok? " в регистрах AX, BX и
ожиданием ответного слова в тех же регистрах "Yes." (?).
OldYankee.1961
После заражения EX-файла исполняет мелодию "Yankee Doodle".Имеет строку
"motherfucker".
OldYankee.Bandit
Опасный нерезидентный вирус. В понедельник пытается отформатировать
нулевую дорожку дискеты в третьем флоппи-дисководе. Содержит текст
"!!PCBANDIT!!".
Olenka.6144
Неопасный резидентный вирус. Устанавливает свою резидентную копию в
верхних адресах памяти, "отрезая" при этом от памяти DOS 12K (адрес
0:413h). При попытке какой-либо программы остаться в памяти резидентно,
вирус освобождает ранее занятую область памяти и копирует свой код
в память, расположенную непосредственно за кодом программы, пытающейся
остаться резидентно. Для выполнения данной операции вирус увеличивает
величину запрашиваемого участка памяти на размер собственного кода. 26
апреля вирус выводит на экран текст "Demo !". Свое название получил за
засылку в некоторые регистры фразы "Оленька!".
Olga.4448
Опасный резидентный вирус. В октябре уничтожает содержимое первых
секторов текущего физического диска и в это время выводит текст:
You must undertake nothing ,if you need the datas stored on your default disk.
Не советую что либо предпринимать если вы дорожите данными записанными на теку-
щем диске.
I M A R C E N C Y
T H E V I R U S O L G A W O R K I N G .
( W R I T E N B Y S C O R P I O N )
В Н И М А Н И Е
Р А Б О T А Е Т В И Р У С О Л Ь Г А .
( С О С Т А В И Т Е Л Ь - S C O R P I O N )
Раз на вокзале я девушку встретил Не знаю, что в ней мне приглянулось,
Она очень сильно понравилась мне, Но эти глаза меня завлекли.
А позже в вагоне ее я приметил, Во мне словно что-то проснулось ...
Сидела та дальше, на другой стороне. О, как быстро часы те прошли !
Потом оказалось, что едим мы вместе, В общении я был для нее как наставник,
О, как чудно то было узнать ! За старшего могла меня она звать.
И вот - очутившись на месте, И выглядел я точно забавник,
Я старался ее во всем поддержать. Который мог все и вся попирать.
Как сильно все время старался Но тут его величество случай
Ее хоть не много, но выше поднять. Ее вдруг к вершинам вознес.
Как сильно тогда я сам принижался, И я ей сказал, что над горною кручей,
И все для того ,что бы равными стать. Любовь в своем сердце я нес.
О! Как сильно тогда я боялся, И тогда, униженья так сильно боясь,
Что стараясь принизить себя, Я солгал, я солгал, но всего один раз.
Я не только с ней поровнялся, И соврал лишь к признанью стремясь,
Но и ниже вдруг стану мгновенье спустя. Но не был услышан негромкий мой глас.
О, боже насколько она изменилась, Я знал, что придет час прощанья,
Как сильно себя она подняла! Ведь насквозь ее видеть я мог.
И за нос меня поводить вдруг решилась, И вот услыхал от нее - до свиданья,
Про это не скажешь то слово - "Любя". И другом остаться к тому же зарок.
Мне больно! И она это знала. Не смейся ты, дураком меня называя.
Она знала, что я ее полюбил. О нет! Не буду один я страдать!
И хоть отказ этот тихий мне дала, И в помощь искуство свое призывая,
Я душу свою уже отравил. Хочу хоть частицу тебе передать.
Я вкладываю всю черную часть души своей,
В то мастерство простое,
Которое представит участи моей,
Народу множество большое.
И что бы участь эта слаще была,
Я нарекаю демона именем ее.
И знак который та носила,
Означит действие сие.
И так, его назвал я Ольга, Спасибо друг, что отхлебнул из чаши.
И здесь он уничтожил все. То не проблема, не скисай!
От бывшего остался стих сей только. Мы совместили боли наши ...
О, не старайся, не поймать тебе ее. Но мне кажись пора. Прощай!
Omega.440
Опасный нерезидентный вирус. В пятницу 13 числа уничтожает содержимое
первых секторов первого жесткого диска.
OneHalf.3544 (1-7), 3570, 3577, 3666
Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют
алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо
того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт)
инфицированный файл, производят шифрование основного тела вируса,
расположенного в конце файла. При первом запуске инфицированного файла,
заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела
"прячут" в последних секторах 0 цилиндра жесткого диска. При
перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K,
считывают в "отрезанную" верхнюю область памяти свое продолжение - 7
секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT
1Ch установку DOS'овского INT 21h, и перехватывают его. При каждой
перезагрузке системы с жесткого диска последовательно, начиная с
последних цилиндров, шифруют все сектора двух цилиндров на каждой
головке диска. Когда вирусы находятся в памяти, они контролируют чтение
секторов данных цилиндров и расшифровывают их. Если же вирусы будут
удалены из MBR и памяти, то восстановление зашифрованных секторов
окажется невозможным. При зашифровывании половины диска вирусы выводят
на экран фразу:
Dis is one half.
Press any key to continue ...
OneHalf.3544 (3) выводит текст:
Dis is TWO HALF.
Fucks any key to Goping...
OneHalf.3544 (4):
HET - фu3uke u ucTopuu B pacnucaHuu uy7 !
OneHalf.3544 (5):
Disk is Tpu half.
(Bepx, Hu3 u Pe6po)
OneHalf.3544 (6):
Dis is 3 HALF !.
Fucks any key to LoHing...
OneHalf.3544 (7):
A cup of Beer ?.
See you later...
После этого ожидают нажатия на любую клавишу. После чего продолжают
свою дальнейшую инсталляцию в память. При попытке трассировки
резидентной части вируса, предпринимают некоторые простые, но
действенные меры "завешивания" системы. Содержат текстовые строки "Did
you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет
текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU,
GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5)
не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright(c)
by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep
Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст
"WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf's author!".
OneHalf.3544 (7): "Doyou want to Drink ?".
Oops.600
Опасный резидентный вирус. Заражает файлы только начиная с июня.
После установки своей TSR-копии или при старте программ, оканчивающихся
на ST, NF, -V, вирус выводит сообщение "Bad command or file name". В
воскресенье переименовывает C:\COMMAND.COM в C:\COMMAND.BAD и выводит
текст:
ЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫ
ЫЫ Oops! Sorry for BAD virus! ЫЫ
ЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫ
Ornate
Очень опасный загрузочный вирус. Может уничтожить информацию на жестком
диске.
OS2.Arelocs
Неопасный нерезидентный вирус, заражающий *.EXE и *.DLL - файлы в
формате NewExe (NE), принадлежащие OS/2. Данный вирус находит в
заголовке NE точку входа на кодовый сегмент, "сдвигает" все остальные
сегменты в конец файла, увеличивает размер стартового кодового сегмента
на размер вируса, записывает себя в освободившееся место и корректирует
заголовок NE. Это первый известный вирус для OS/2, "корректно и
правильно" заражающий NewExe (NE) файлы. Вирус содержит текст "(C) 1995
American Eagle Publications Inc., All rights reserved.".
OS2.First
Опасный нерезидентный, перезаписывающий (overwritting) программный код,
вирус. Заражает *.EXE - файлы в формате NewExe (LX) (файлы для OS/2).
Вирус выводит на экран сообщения:
My name is
--> infected
OS2.Jiskefet
Неопасный нерезидентный вирус. Заражает *.EXE- файлы для OS/2. Вирус
читает 2048 байт заголовка файла-жертвы, записывает их в конец файла, а
в начало файла записывает 2048 байт своего вирусного кода. Вирус имеет
тексты "Jiskefet", "MK".
Otti.937
Опасный резидентный шифрованный вирус. 14 и 18 числа месяца уничтожает
MBR первого жесткого диска. Имеет строку "OTTI FOREVER".
Ox.475
Неопасный резидентный полиморфный вирус. Использует один из 4 вариантов
расшифровщиков своего кода.
Oxana.747, 819
Неопасный резидентные вирусы. Не заражают программы, содержащие строки
Oxana.747: "Web" или "ADi", Oxana.819: "viru" или "виру". Содержат
тексты "Оксана v.4.8" или "Оксана v.4.D".
Oxana.1419, 1555, 1653, 1654, 1702
Неопасные резидентные вирусы. Иногда выводят текст:
