Страница 79 из 99: Описания вирусов

Весь текст 1152.7 Kb

Описания вирусов

← Предыдущая страница	Следующая страница →
1 ... 72 73 74 75 76 77 78 79 80 81 82 83 84 85 ... 99

экземпляра вирусов RDA.Fighter.7802, 7868.

Вирусы иногда выводят на экран тексты:

RDA.Fighter.7408:

"Stealth Fighter 2.0 : New Aggression."

RDA.Fighter.7802:

"Stealth Fighter DEMO Part (3.1) : Enemy Unknown"

RDA.Fighter.7868:

"Stealth Fighter,DEMO Part (3.2) : Next mutation 06/09/95"

RDA.Fighter.7408 заражает еще и Master Boot Record (главный загрузочный
сектор) жесткого диска.

Резидентные части вирусов контролируют функции запуска программ (
AX=4B00h) и открытия файлов (AH=3Dh). RDA.Fighter.5969 также
контролирует функцию переименования файлов (AH=56h). При вызове данных
функций вирусы пытаются заразить файлы, длина которых не меньше, чем
4096 байт. RDA.Fighter.7408, 7802, 7868 дополнительно контролируют
функции поиска файлов (AH=11h,12h,4Eh,4Fh) и скрывают приращение своей
длины у инфицированных файлов. В конце каждого зараженного файла
RDA.Fighter.7408, 7802, 7868 хранят 2 байта размера вирусного кода,
внедренного в данный файл. RDA.Fighter.7408, 7802, 7868 "перехватывают"
также INT 08 и несколько замедляют работу компьютера. Резидентная
активная копия вируса RDA.Fighter.7408 при вызове функции AX=0EEEEh
удаляет свой код из MBR жесткого диска. RDA.Fighter.7408, 7802, 7868
при вызове данной функции также и обезвреживает себя в памяти.
Резидентные копии вирусов используют очень мощный помехозащищенный
алгоритм восстановления собственного кода, позволяющий не допустить
отладку кодов вирусов с использованием отладочных точек останова.
Мало того, вирусы "ради шутки" пытаются ввести в заблуждение, внедряя
сразу в свои обработчики INT 21h инструкцию выхода из прерывания- IRET!
Но оригинальные байты обработчика вирусы сами же и исправляют с помощью
помехозащищенного алгоритма восстановления. Начальный код вирусных
обработчиков INT 21h выглядит следующим образом (ниже представлен
обработчик INT 21h вируса RDA.Fighter.5969):

PUSH AX
INC AH
CMP AX,4C00 ;запуск программы?
JE CHECK_FILES
CMP AH, 3E ;открытие файла?
JE CHECK_FILES
CMP AH, 57 ;переименование файла?
JE CHECK_FILES
DESTROY_HANDLER:
POP AX
JMP DWORD PTR CS:[ADR_INT21] ;выход в оригинальный INT 21h
CHECK_FILES:
CALL CHECK&RESTORE ;проверка и восстановление
MOV CS:DESTROY_HANDLER, 90CF ;вместо POP AX установить IRET?!
MOV CS:DESTROY_HANDLER+2, AX ;и регистр AX (4C00 или 3E??)
CALL CHECK&RESTORE ;проверка и восстановление
CALL CHECK_FILE_NAME ;а здесь уже никакой команды IRET
;не будет!
....................

Вирусы не заражают следующие файлы *ES?.* (AIDSTEST.EXE), *WE?.*
(WEB.EXE), *AN?.* (COMMAND.COM). RDA.Fighter.7408 при старте программы
CHKDSK "выключает" свой механизм скрытия истинной длины зараженных
файлов. После завершения ее работы - снова "включает". В процессе
инфицирования вирусы устанавливают свой обработчик критических ошибок
INT 24h, дисковый обработчик INT 13h, если в системе нет дискового кэша
и устанавливают обработчики INT 01 (пошаговое выполнение команд), INT
03 (точка останова) и INT 2Ah (Microsoft network) на свои обработчики,
содержащие единственную инструкцию - IRET. При заражении файла, вирусы
случайным образом выбирают (таким же, как и при определении регистра AX
при попытках расшифровки своего кода) смещение и размер области,
которая будет зашифрована в инфицируемом файле. Данная шифровка
предназначена, видимо, для невозможности восстановления файлов
специальными антивирусными утилитами (ADinfExt, TbClean,..).

Вирусы содержат следующие тексты:

RDA.Fighter.5871 -

RandomDecodingAlgoritm 1.0
"Stealth Fighter PART I" devoted MSU!

RDA.Fighter.5969 -

RandomDecodingAlgoritm 1.1
"Stealth Fighter PART I (1.1) for ALL."

RDA.Fighter.7408 -

"RandomDecodingAlgoritm 2.0"
"PhantomPolymorphicMultiLayerEngine 1.2"

RDA.Fighter.7802 -

"RandomDecodingAlgoritmEngine 1.0"
"PhantomPolymorphicMultiLayerEngine 1.2"

RDA.Fighter.7868 -

"RandomDecodingAlgorithmEngine 1.1"
"PhantomPolymorphicMultiLayerEngine 1.2"

RedArc - вирусы
Вирусы, изготовленные тульским "умельцем" Игорем Дикшевым 2:5022/12.23,
известным более под кличкой Red Arc.

RedArc.Fraud
Неопасный нерезидентный вирус. Заражает EXE-файлы, внедряя свой код в
начало файлов (переводя их в COM-формат), а зашифрованные оригинальные
начальные байты переносит в конец файлов. При старте такого файла,
вирус производит поиск и заражение EXE-файлов. После чего, если было
произведено хоть одно заражение, вирус восстанавливает файл-жертву в
исходное состояние ("самоизлечивается") и выводит текст "Bad command or
file name".

RedArc.Helga.666
Опасный нерезидентный вирус. Разрушает файлы *.°*, *.ms. Иногда выводит
текст:

ТЫ ХОТЕЛ УВИДЕТЬ НЕБО? ГОЛУБОЕ-ГОЛУБОЕ?
ТЫ ХОТЕЛ УВИДЕТЬ НЕБО?
НЕВИДАТЬ ЕГО СО МНОЙ!

и "завешивает" систему. Содержит строку "Helga".

RedArc.Stinger
Неопасный нерезидентный шифрованный вирус. Иногда выводит на экран
строку "STINGER".

RedArc.Vesna.1000 (1,2), 1614, 1724, 1751, 1833
Опасные нерезидентные вирусы. Удаляют файлы ch*.* и *.°°°. Vesna.1000
(1) в пятницу 13го числа выводит текст:

Friday 13th ?
Friday 13th ...
Friday 13th !
Good bye !

Vesna.1000 (2) 22 июня выводит строку "*KILLER*" и разрушает EXE-файлы,
приписывая им в конец 3 байта, производящих перезагрузку системы (CD
19). Vesna.1724 в марте выводит текст:

Bad command or file name
DOS not support!
You have virus!
Press any key to reboot...

Vesna.1833 в пятницу 13го выводит следующие тексты:

Friday 13th !
You have virus !
My name is GARRY ...
I fuck your PC !

Vesna.1614,1751 при совпадении дня недели и дня месяца в нечетные часы,
совпадающие со значением минут, выводит одно из следующих сообщений:

Весна пришла!
Unpress key TURBO to continue...
Format drive c: completed
PRESS RESET TO CONTINUE
Пора пить кофе!
Здесь был Игорь Д.
I LOVE
LORA
VESNA (c) 1994,96 by Red Arc -=* Uni Tula *=-

или

Слышь, ты... чувак...
передай привет Веденеевой Лорисе!
VESNA (c) 1994,96 -=* Uni Tula *=-

И под мигание лампочек клавиатуры и дисководов система "зависает".
Vesna.1751 не заражает файлы из списка (по 2 буквы на имя файла):
aicodrwetbmsmvavscadutanatsdncvcdnwiioibvi. Различные версии вируса
содержат следующие тексты "My name is GARRY", "*TULA*", "Это зделано в
ТулE", "TULA", "Пришла весна !", "Здесь был Игорь Д.", "ОЛЕЧКА", "TYPE
HAPPY BIRTHDAY GARRY".

RedLaugh.607
Неопасный резидентный вирус. При старте любой программы, вирус
окрашивает экран в красный цвет и выводит текст:

Красный смех гуляет по стране...
01/21/96 by FDD.

ReedCat.916
Содержит строку << Камышовый Кот ХПИ 1992 >>.

Remute.779
Неопасный резидентный вирус. Содержит тексты "A long time ago,in very
remute institut ...", "LIGHT in the DARK".

Renegade.1176
Опасный резидентный вирус. Заражает EXE-файлы при их запуске или при их
открытии. Заражает довольно необычным способом: считывает 1024
последних байт файла, записывает на их место 1176 байт своего кода, а
затем - считанные 1024 байта. При этих манипуляциях вирус не
корректирует таблицу перемещаемых символов (relocation table), в
результате чего инфицированная программа может быть неработоспособной.
11 числа каждого месяца выводит текст:

Renegade.4509
Очень опасный резидентный шифрованный файлово - загрузочный вирус.
Заражает COM, EXE-файлы и MBR всех жестких дисков, присутствующих в
компьютере. После 55 загрузок с инфицированного MBR вирус устраивает
видеоэффект "плавающих" цветных линий по экрану, шифрует жесткий диск
и выводит на экран "бегущей строкой" текст:

Please wait ...
Hey , LAMER ! Are you all right ?.. Not so good ?..
Oh, don't be afraid my little baby ,angry wolf if far away !......
bUt I aM sTiLL HeRe ! AnD i Am HuNGRrry ! Aaarrrgghhh !...
YoU iS _fOxPro or pAsCAL_pROGraMmeR , iSn't It ?...
Oogghh , YeEsss ! I WaNt to EaT YoU NoWww !
NoW YoU WiLL bEcOme ViCTiM of HACKER's REVENGE !

Внедряется в середину COM и EXE-файлов, корректируя адреса перемещаемых
элементов для EXE-файлов. Не заражает файлы, содержащие в своем имени
буквосочетания WEB, AIDS, ADINF, HIEW, CHKDSK,SCAN,VSAFE,MSAV,CLEAN,-V.
Содержит тексты "Say THANKS to lovely Dr.Web for damage this file...",
"(C) Renegade 1995.".

Reset.607
Неопасный вирус. Если значение минут системного времени больше 54, то
вирус выводит на экран текст "For Main Menu press RESET".

Revelation.4096
Неопасный резидентный полиморфный вирус. В октябрьские воскресенья
выводит на экран текст:

These things saith he that hold TASM in his right hand and walketh
amongst the FAT tables, boot sectors, and partition tables.
He that hath a VDU, let him see what I typeth unto the users:
I have a few things against thee, because thou sufferest that whore
software security, and commit anti-virus protection.
Behold, I will cast thou unto limbo, and them that repent their
deeds shall be spared the low-level drive format.
Remember therefore how thou hast recieved and heard, and hold fast,
and repent. If therefore thou shalt not repent, I will come on thee
as a thief, and thou shalt not know what hour I will come upon thee.

- Revelation Alpha.

Также содержит тексты:

Reverse.948
Неопасный резидентный вирус. Содержит строку "moc.dnammocexe.niamcn".
Не заражает файл NCMAIN.EXE. Командный процессор COMMAND.COM заражает,
внедряясь в область нулей, и не увеличивает его длину. Содержит еще
одну текстовую строку "Red Spider Virus created by Garfield from
Zielona Gora in Feb 1993".

Rex.1637
Опасный резидентный файлово-загрузочный полиморфный вирус. При
заражении MBR "винчестера" не сохраняет оригинальный сектор. После 99
загрузок с инфицированного диска вирус производит некоторые манипуляции
с клавиатурой (INT 16h). Содержит текст "REX".

Rift.480
Неопасный резидентный вирус. Заражает файлы только при смене каталога

← Предыдущая страница	Следующая страница →
1 ... 72 73 74 75 76 77 78 79 80 81 82 83 84 85 ... 99

Ваша оценка:
Комментарий:
Подпись:	(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
Сайт:

Комментарии (16)

Aliens Vs Predator |#6| We walk through the tunnels

Aliens Vs Predator |#5| Unexpected meeting

Aliens Vs Predator |#4| Boss fight with the Queen

Aliens Vs Predator |#3| Escaping from the captivity of the xenomorph

Другие игры...

Описания вирусов