после заражения окажется в области вирусного кода. PM.Wanderer при
заражении файлов не корректирует значения стартовых SS:SP. Как уже
отмечалось выше, вирус сохраняет способность к воспроизводству,только в
том случае, если в системе установлен драйвер EMS (EMM386). При
установленном драйвере EMM386 с ключом NOEMS, вирус перезагружает
компьютер. Компьютер также может перезагрузиться, если в системе
используется драйвер QEMM386. Самое интересное в том,что если в системе
находился резидентный вирус, а потом произошла загрузка Windows 3.1x
или Windows'95, то вирус не сможет размножаться в данных операционных
средах, но при выходе в DOS, вирус опять получает управление и может
"трудиться не покладая рук". Если же вирус будет запущен в Windows DOS-
окне, то из-за отсутствия интерфейса VCPI вирус не сможет переключиться
в защищенный режим. Под OS/2 вирус - нежизнеспособен, также из-за
отсутствия VCPI. В заключение стоит отметить, что это первый известный
вирус (причем, российский), использующий защищенный (виртуальный) режим
работы процессора и не конфликтующий с операционными системами "от
Microsoft", работающими также в защищенном режиме.
PME - вирусы
PME (Phantasie Mutation Engine) - полиморфные генераторы вирусных
шифровщиков и расшифровщиков. Создан китайским вирусописателем по
кличке Burglar. Существуют две версии данного генератора. Они содержат
тексты:
PME v1.00 (C) Jan 1995 By Burglar
PME v1.01 (C) Feb 1995 By Burglar
PME.Burglar
Опасный резидентный полиморфный вирус. Иногда вешает систему и выводит
текст:
Hello! This is [Super Virus-2] ... written by Burglar in Taipei, Taiwan
Pojer.1941, 4028
Неопасные резидентные шифрованные (Pojer.4028 - полиморфный) вирусы. 17
ноября и 6 февраля выводят на экран тексты:
Pojer.1941:
** B R A I N 2 v1.40 **
WARNING ! Your PC has been WANKed !
>> 17.11.1989 <<
Viruses against political extremes , for freedom and parliamentary democrac
>> STOP LENINISM , STOP KLAUSISM , STOP BLOODY DOGMATIC IDEOLOGY !! <<
Remarks:
- for John McAfee: John,your SCAN = good program.
- for CN and his company:
Boys,the best ANTI-VIRUSES are Zeryk,Saryk and Vorisek !
- for F : Girls are better than computers and programming !
This program is copyright by SB SOFTWARE All rights reserved.
O.K. Your PC is now ready !
Pojer.4028:
** BRAIN2 v2.00beta - upgrade from POJER **
BETA tester, thank you,
.. have a nice day in cyberspace ...
This crazy program is (c) 12/93 by SB
Polimer.512
Неопасный нерезидентный вирус. При старте вирус выводит сообщение
"A legjobb kazetta a POLIMER kazetta ! Vegye ezt !". Содержит строку
"ERROR".
Polska.4004
Неопасный вирус. В 1994 году 7 и 23 числа каждого месяца до июля
выводит в графическом режиме поднимающийся на флагштоке развивающийся
бело-красный польский флаг, на котором написано "TERAZ POLSKA" и в
левом вернем углу текст:
TERAZ POLSKA v2.0
produced by NoName
All rights reserved
(c) 93.12.22 POLAND
Poro.1257
Опасный резидентный вирус. С 15 по 25 сентября выводит на экран текст:
С Днем рождения, Аллочка !
Наилучшие пожелания твоему Hard Disk'у !
При записи на диск (f.03 Int 13h) вирус пытается найти словосочетания
"Bori", "BORI", "Бори" и "БОРИ" и заменить их соответственно на "Poro",
"PORO", "Поро" и "ПОРО". Содержит зашифрованный текст "Turbo Bugger (C)
1994 Dedicated to Alla R. Borisyuk ( МЕХ-МАТЬ 307 )".
Poruchik.2774
Написан для процессора 386. Устанавливается резидентно в верхние адреса
памяти. При смене директория (f.3Bh INT 21h) вирус производит поиск
файлов *.exe и заражает их. Содержит текст: "Поручик Лозинский,
раздайте Aidstestы".
Possessed.2175, 2367, 2438, 2443, 2446 (1,2)
Опасные резидентные вирусы. Иногда удаляют файлы. Рисуют на экране в
графическом видеорежиме улыбающееся лицо. Выводят текст "POSSESSED!
Bwa! ha! ha! ha! ha!". Также содержат строку "Author: JonJon Gumba of
AdU".
Predator.1063,1072 (2),1137,1148,1154,1195
Опасные резидентные самошифрующиеся, кроме Predator.1063, вирусы.
Перехватывают INT 21h и INT 13h. При чтении секторов через INT 13h
вирусы могут испортить значение одного случайно выбранного бита в
буфере считанных секторов. Содержат текстовые строки:
Predator.1072 (1): Predator virus (c) Mar. 93 Priest
Predator.1072 (2):
Predator Strain B (c) 1993 Priest - Phalcon/Skism
Predator.1063,1137,1148,1154,1195:
Predator virus (c) Mar. 93
In memory of all those who were killed...
Wookies ain't the only ones that drop! Priest
Predator.2448
Резидентный файлово-загрузочный полиморфный вирус. При старте
инфицированного файла трассирует INT 13h и INT 21h, становится
резидентно в верхних адресах памяти. Может "внедриться" в оригинальный
обработчик INT 21h, произведя изменение его 5ти первых байт. Заражает
MBR и Boot-сектора дискет, причем загрузочный сектор диска шифрует и
"прячет": для жесткого диска в секторе 2, для дискет - в первом секторе
последней дорожки. Содержит текстовую строку: Predator virus #2 (c)
1993 Priest - Phalcon/Skism
Pretentious.680
Неопасный нерезидентный вирус. Иногда выводит на экран текст:
Windows 95 may be dangerous.
OS/2 is the best operating system!
I`ll prove it soon...
Также содержит строку "* Gdynia 1996 * v1.0 *".
Priest.1416
Нерезидентный очень опасный вирус. Заражает COM и EXE-файлы в текущей
директории. Если номер месяца совпадает со значением дня, то вирус
считывает 9 первых секторов жесткого диска в память, уничтожает их на
диске, а затем выводит текст:
Я великий вирус ЖРЕЦ !!! Только что я стер ваши BOOT,MBR и FAT.
Не расстраивайтесь ,эта жертва будет принесена только если
вы не отгадаете загадку (отвечайте латинскими буквами) :
Какой в КМУГЕ самый лучший факультет :
Если ответить, что fareo, то вирус восстановит первые сектора диска.
Также в 16 часов вирус может вывести сообщение:
"Hello i'm virus Crazy Priest !!!
Мне очень жаль,но в жертву был принесен файл " - дальше идет имя файла.
В данный файл вирус будет записывать случайную информацию, до тех пор,
пока не будет нажата клавиша "Space" - "Пробел". 15 августа выводит
текст: "HAPPY BIRTHDAY CRAZY !!!".
Printerceptor
Опасный резидентный стелс-вирус-спутник. Перехватывает INT 21h.
Блокирует вывод на принтер. Содержит строку "Printerceptor".
Privet.1152
Неопасный резидентный вирус. При старте может вывести текст "привет
всем". также содержит тексты "*.exe skh", "плохо дело".
Problem.734, 845, 854, 856, 857, 863
Неопасные резидентные вирусы. Problem.854, 856, 863 содержат текст
"THIS IS YOUR PROBLEM !", Problem.857 - "by Mojo Risin for 1605",
Problem.845 - "dATA kILLER !".
Procuror
Очень опасный Boot-вирус. Имеет различные загрузчики для жестких и
гибких дисков. При загрузке с гибкого диска может отформатировать
начальную дорожку первого жесткого диска. Оригинальный MBR шифрует и
прячет в 7 секторе первой дорожки. Для гибких дисков оригинальный
Boot-сектор и 2 сектора своего продолжения записывает в последние 3
сектора последней дорожки. При загрузке с флоппи-диска прехватывает INT
1Eh и INT 13h. При загрузке с "винчестера" перехватывает INT 08h
(таймер), INT 13h, INT 17h (вывод на принтер). При выводе на принтер
цифр 0-4, вместо них выводит значения увеличенные на 1, вместо цифры 5
выводит 0. Примерно через 30 минут работы после загрузки в буфер
клавиатуры помещает слово "PROCUROR". Может изменить значение часов
реального времени в CMOS-памяти.
Prohibit.1500
Неопасный резидентный шифрованный стелс-вирус. При открытии файла вирус
удаляет свой код из файла, при его закрытии снова заражает его. Иногда
выводит текст "Will see you next time . Stone 93". Также содержит текст
"Prohibit MARYJUANA".
Promiscuo.2725
Опасный резидентный полиморфный вирус. Уничтожает файлы ANTI-VIR.DAT,
CHKLIST .MS,�CHKLIST.MS,THIMAGEN.ARC,ACUARIO.SEX,TH.RPT.Содержит тексты
"pRoMiScUo ViRuS DeDiCaDo A ToDaS MiS MuJeReS!!","(c)1996 por pRoMisCuO
sExUaL!!".
PrtSc.1024 (1,2)
Неопасный резидентный вирус. Свое название получил за "перехват" INT 05
(Print Screen).
Punisher.1632
Неопасный резидентный шифрованный вирус. Имеет строку "The Punisher-I".
Puppet.487
Неопасный резидентный шифрованный вирус. Содержит текстовую строку
"[PS/G¤] eMpIrE-X [G¤ The Puppet Masters 3 Virus]".
Q.8Ball (1,2)
Неопасные резидентные вирусы.Заражают загрузочные сектора дискет и файл
C:\CONFIG.SYS. При загрузке системы с инфицированного флоппи-диска
вирусы копируют себя в область видеопамяти B800:7C00, "перехватывают"
INT 1Ah (BIOS time and date), "ждут" вызова данного прерывания, после
чего "перехватывают" INT 21h и "освобождают" INT 1Ah. После вызова
любой функции INT 21h (кроме запуска программ - AH=4Bh) вирусы создают
файл со случайным именем (f.5Ah Int 21h) на диске C:, записывает в него
свой код и внедряют в конец файла c:\config.sys строку вызова данного
файла, типа INSTALL=C:\ABCD.FGH (Q.8ball (1)) или DEVICE=C:\IJKL.MNO
(Q.8ball (2)). После этого или после функции EXEC (f.4Bh Int21h)
вирусы восстанавливают оригинальный адрес обработчика INT 21h. При
запуске файла, указанного в файле CONFIG.SYS, вирусы копируют себя в
область памяти HMA и "перехватывают" INT 40h для заражения загрузочных
секторов дискет. Q.8ball (1) содержит текст "8_Ball -=Q=-".
Q.IOwe
Неопасный вирус. Заражает файл IO.SYS, если он содержит в начале
последовательность 261 повторяющихся нулевых байт. Вирус записывает
свой код в область нулей и устанавливает на себя первую инструкцию
файла IO.SYS (короткий JUMP - EB 05). При старте такого инфицированного
файла, вирус копирует свое тело в область видеопамяти BE00:0000,
"перехватывает" INT 1Ah (BIOS time and date), "ждет" вызова данного
прерывания, после чего "перехватывает" INT 21h и "освобождает" INT 1Ah.
После вызова любой функции INT 21h (кроме запуска программ - AH=4Bh)
вирус пытается заразить файл C:\IO.SYS указанным выше способом. После
заражения данного файла или после функции EXEC (f.4Bh Int21h) вирус
восстанавливает оригинальный адрес обработчика INT 21h. Содержит тексты
"I OWE" и "-=Q=-".
Q.Shimmer (1,2)
Неопасные вирусы. Заражают файл C:\WINDOWS\WINSTART.BAT и загрузочные
сектора дискет. При загрузке системы с инфицированного флоппи-диска
