Образование - Касперский Лаб.

Весь текст 1152.7 Kb

Описания вирусов

← Предыдущая страница	Следующая страница →
1 ... 74 75 76 77 78 79 80  81 82 83 84 85 86 87 ... 99

        KRN,SCA,CLE,PT.,  а  также  при  обнаружении  на  экране слова Web. При
        запуске  любой  программы с командной строкой "/C Vir",  вирус изменяет
        ее  на  "/C Ver"  и  выводит  текст   "The File Corrector v2.0. Made in
        Saratov. Serial #????".

Sarov.1000, 1140, 1200(1,2)
        Резидентные шифрованные (Sarov.1200 - полиморфный) вирусы. Заражают COM
        -файлы  при их поиске (f.11h, 12h, 4Eh, 4Fh Int 21h). Перехватывают INT
        1, 8, 9, 21h.  Контролируют  трассировку своего  кода, изменяют  статус
        флоппи-дисков, пропускают символы, введенные с клавиатуры. Имеют тексты

        Sarov.1000 - "BIL`92`S",
        Sarov.1140 - "BIL_92_Sarov",
        Sarov.1200 - "[BIL_92_Sarov]".

SatanBug (1-3)
        Безобидные резидентные полиморфные вирусы. Используют довольно  сложный
        алгоритм  шифрования  своего  кода.  Резидентная  часть  вируса   также
        является полиморфной. При получении управления (INT 21h f.3Dh и  f.4Bh)
        вирус сначала расшифровывает свое тело в памяти, а затем уже отдает ему
        управление.  Содержит  строки:  "Satan Bug virus - Little Loc",
        "COMSPEC=COMMAND.COM".

SatanBug.1568
        Полиморфный вирус. Перехватывает INT 21h, причем  смещение  обработчика
        прерывания  может,  в  зависимости  от  времени  старта,  находиться  в
        различных непостоянных адресах.

SatanBug.FruitFly
        Опасный нерезидентный полиморфный вирус. Использует алгоритм  шифровки,
        "заимствованный"  из  вируса  SatanBug.  Уничтожает  файлы   VS.VS    и
        CHKLIST.CPS.  Содержит  строки:  "Fruit Fly virus - Little Loc",
        "Hacker4Life", "Hackers In ThE Mist".

Satria (1-4)
        Неопасные  загрузочные  вирусы.  4  июля  или при заражении MBR выводят
        на экран картинку:

        ЬЬЬЬ····ЬЬЬЬЬЬЬЬ
        ЬЬЬЬ····ЬЬЬЬЬЬЬЬ
        ЬЬЬЬ···ЬЬЬЬЬЬЬЬ
        ЬЬЬЬ··ЬЬЬЬЬЬЬЬ
        ЬЬЬЬ··ЬЬЬЬЬЬЬЬЬЬЬ
        ЬЬЬЬ·ЬЬЬЬЬЬЬЬЬЬЬ

        Могут содержать тексты "My Honey B'day" или "Satria".

Sayha.DieHard (1-5)
        Опасные резидентные шифрованные вирусы. Перехватывают INT 10h,13h, 21h.
        Трассируют  данные  прерывания  для  выяснения  адресов    оригинальных
        обработчиков  и  для  попытки  "внедрения"  в   цепочки    обработчиков
        прерываний. При открытии ASM-файлов записывают в них следующий текст:

        .model small
        .code
        org 256
        s:      push    cs
                pop     ds
                call    t
        db      'Се$'
        t:      pop     dx
                mov     ah,9
                int     33
                mov     ah,76
                int     33
        end s

        В файлы с расширением PAS записывают:

        begin
        write('Се');
        end.

        При установке графического  режима  (#13h  320x200  256  цветов) вирусы
        рисуют в центре экрана буквы "SW". При возникновении ошибок (переход за
        границу 64K при работе с DMA и данные скорректированы с  использованием
        ECC), при попытке записи  на  диск,  вирусы пытаются  исправить  данные
        ошибки! Содержат текст "SW Error", "SW DIE HARD 2".

Sayha.Watpu
        Неопасный резидентный вирус. Основная часть кода вируса зашифрована,  и
        вирус  производит  шифрацию  своих  участков  во  время  работы.    При
        инсталляции в память вирус трассирует INT 13h, INT 21h. Причем он может
        не просто перехватить INT 21h, а "вклиниться"  в  цепочку  обработчиков
        INT 21h, подменяя адрес перехода в прямых или  косвенных  межсегментных
        инструкциях передачи управления (jmp far ptr ?:?, call far ptr ?:?, jmp
        dword ptr [?], call dword  ptr  [?]).  В  связи  с  этим  вирус  трудно
        обнаружить в памяти, если не проследить всю  цепочку  обработчиков  INT
        21h. 3 и 18 числа любого месяца, а  также  15  сентября  может  вывести
        сообщение "SW Error". Вирус также перехватывает INT  16h  (клавиатура).
        Иногда, при нажатии на клавишу "F1", может вывести:

                              ЬЯЯЯЬ     Ы   Ы
                              ЯЬЬЬ ayha Ы   Ы
                              Ь   Ы     Ы Ы Ыatpu
                               ЯЯЯ       Я Я

Sb.645
        Неопасный нерезидентный вирус. Содержит текстовые строки:

        *** (V) Sergey Babitch - 2:463/83@FidoNet - phone (044) 4420831 ***
        SB

Sch.461
        Неопасный нерезидентный вирус. Содержит строку "SchSch57".

Schizo.398
        Неопасный резидентный вирус. Содержит строку "Schizophrenia".

Scoundrel.3323
        Неопасный резидентный полиморфный вирус. Заражает файлы при  их  старте
        (f.4B00h INT 21h) и при их закрытии (3Eh). При  открытии  файлов  (3Dh,
        6Ch), информации об атрибутах (43h), переименовании (56h), поиске (11h,
        12h, 4Eh, 4Fh) и загрузке в память без выполнения (4B03h) удаляет  свой
        код из файлов, к которым  происходят  данные  обращения.  Предпринимает
        всяческие попытки, затрудняющие анализ вирусного кода.  Иногда  выводит
        на экран текст:

     SoftPecker v.1 (C) 1992 by ScoundrelSoft - 'Your pleasure is our business'

Scroll.600 (1,2)
        Неопасные вирусы. Scroll.600 (1) -  нерезидентный,  а  Scroll.600 (2) -
        резидентный вирусы. Scroll.600 (1) иногда  выводит   на  экран   строку
        "
 Scroll v1.0 
" и начинает "вращать" экран до нажатия пользователем
        на любую клавишу. Scroll.600 (2) "перехватывает" INT 9 и при нажатии на
        Ctrl-Alt-Del "проворачивает" снизу вверх экран, не перегружая систему.

Sds.1906
        Очень  опасный  зашифрованный вирус.  10 января,  16 апреля, 4 июня и 1
        сентября уничтожает содержимое CMOS-памяти.Иногда уничтожает содержимое
        секторов дисков. Содержит тексты "COMMAND.IBM", "<2147>".

Search.4148
        Неопасный  нерезидентный  вирус.  Производит  поиск и заражение *.COM и
        *.EXE-файлов,  доступных   через   переменную  среды  PATH=.  EXE-файлы
        превращает  в файлы  COM-формата,  путем  записи в EXE-файл стандартной
        программы-конвертора,  после чего заражает такой файл, как обычный COM-
        файл.  Создает  файл AIDSTEST.EXE, который при старте  имитирует работу
        данного антивируса и выводит следующие сообщения:

ЙНННННННННННННННННННННННННННННННННН»  Для НАДЕЖНОГО ЕЖЕДНЕВНОГО антивирусного
є  А О  " Д и а л о г H а у к а "  є контроля рекомендую не хлопать ушами.
є        Антивирус AIDSTEST        є - ревизор ADinf и полифаг Doctor Web
є     Версия 1095 от 30.01.95      є - аппаратно-программный комплекс Sheriff
є      (c) Copyright 1990-95       є
є  Лoзинский  Дмитрий  Hиколаевич  є     Информация - в файле aidsvir.txt
є Москва, тел./факс (095) 938-2970 є - газете "Человек и Компьютер", инд.50165
є         тел.  135-6253, 137-0150 є - еженедельнике  "КомпьюТерра", инд.32197
є  BBS  938-2856  (14400/V.32bis)  є
є     E-mail loz@dials.msk.su      є СПРАВКИ об услугах, условиях - aidstest /d
є       FidoNet   2:5020/69        є
ИННННННННННННННННННННННННННННННННННј Антивирусная СКОРАЯ ПОМОЩЬ - тел.939-5212

Проверка диска  C:

Проверено файлов:
Заражено файлов:       0
 - начальных секторов: 0
Следов вирусов DIR:    0

Обработать еще один диск ? (Y/N):
  Не обольщайтесь результатами проверки устаревшей версией Aidstest.
    В связи с постоянным появлением новых вирусов и их модификаций
        обновление программы производится несколько раз в месяц.
            Если Вы хотите всегда иметь последнюю версию,
а также внести свой вклад в становление цивилизованного рынка программ
      в нашей стране, станьте ЗАРЕГИСТРИРОВАННЫМ пользователем.
Для получения информации об услугах и условиях запустите - AIDSTEST/d

Это заглушка программы AIDSTEST, записанная сюда вирусом SEARCH-4148.

        Также  создает  файл  INF_301.LOG  в  который записывает протокол своих
        действий:

        * Демонстрационный вирус класса SEARCH (4148) *
        Поиск по PATH, заражает *.COM начинающиеся с E9 и *.EXE
        (переделывает в COM по типу format.com).
        За 9 байт от EOF сохраняется оригинальный вход (3 байта нач с E9),
        далее оригинальная длина (DW), служебный делитель (DW) и сигнатура (DW).
        Время увеличивает на 2 с, если есть куда, иначе уменьшает.

        << SEAR4148.COM ver 3.01 32-04-1995 >> за очередной сеанс обработал:

        100.EXE
        100.COM
        ------------

Seat.1614, 1868, 2389, 2419
        Неопасные резидентные вирусы. Seat.2389,  2419  -  полиморфные.  Иногда
        рисуют на экране в текстовом режиме изображение голого зада  с  видео и
        звуковыми эффектами.

Sebo.2048
        Неопасный  резидентный  вирус.  Производит  чтение загрузочных секторов
        дисков в дисководе A:. При нахождении слова 880h по смещению +8 (???) -
        пищит динамиком.

Secretary
        Неопасный загрузочный вирус. 30 числа выводит на экран текст:

        Hard disk is very bad.
        Zuganov is very good.
        Do you want format drive C: (Y/N) ?

        Имеет также строку "Zuganov".

SeeYou
        Очень опасный загрузочный стелс-вирус.При старте какой-то EXE-программы
        длиной 100K вирус удаляет свой код  из  загрузочного  сектора  жесткого
        диска. Если  удвоенное  значение  числа равно значению месяца, то вирус
        уничтожает  по  4  дорожки  на  2 цилиндрах каждого логического раздела
        первого  жесткого  диска  и  выводит сообщение "See you later ...".  20
        октября вирус выводит другое сообщение: "Happy birthday Populizer!".

Select.1112
        Неопасный  резидентный вирус. В воскресенье при нажатии на Ctrl-Alt-Del
        проигрывает  мелодию  и  выводит текст "·ДНЁSELECTRONICS·SOFTWAREЁНД·".
        Также содержит строку "(C) Selectronics Software".

Sentinel.4636, 5173
        Неопасные резидентные  вирусы. Написаны на языке Turbo Pascal. Содержат
        зашифрованный  текст "You won't hear me, but you'll feel me... (c) 1990
        by Sentinel. Thanks Borland.".

SerNo.1471
        Очень опасный полиморфный вирус. Уничтожает  содержимое  2000  секторов
        диска C:.  Изменяет  значение  случайного  байта  в  случайном  секторе
        жесткого  диска.  Если  инфицированная  программа  будет  запущена    с
        параметром '??', то вирус выведет  на  экран  строку  "V1.01  ser.No  :
        00001", где в  качестве  параметра  (в  приведенном  примере  -  00001)
        используется счетчик заражений.

SGWW - вирусы.
        Вирусы созданные группой лиц, называющих себя SGWW (Stealth Group World
        Wide). Данный конгломерат начинал свою деятельность в Киеве на Украине.

SGWW.Ace
        Опасный  резидентный  шифрованный вирус. Заражает COM-файлы и объектные
        файлы (OBJ) EXE-модулей. При  старте  программы, имя которой начинается
        на букву "W", вирус может вывести на экран текст:

        This program wastes a lot of memory,
        SYSTEM HALTED...

        После  чего  программа  уничтожается  (обнуляется  ее  длина) и система
        "перезагружается"  вирусом.  Вирус  содержит текст "(C) Ace of Spades ,
        Kiev-1995... Don't be a snub - enjoy yourself!".

SGWW.Amber.1408
        Неопасный нерезидентный полиморфный вирус. Содержит строки "[Trivial]",
        "[AMBER1.07@beta]".    Предназначен   для   демонстрации   полиморфного
        генератора  Amber,созданного украинским вирусописателем Костей Волковым
        (Reminder).

SGWW.Amber.2724
        Неопасный резидентный полиморфный вирус.Содержит тексты "[·This is only
        ForeWord·]", "[AMBER1.07@beta]".

SGWW.Beast.1216
        Неопасный  резидентный  шифрованный  вирус.  Содержит текст "(c) Beast.

← Предыдущая страница	Следующая страница →
1 ... 74 75 76 77 78 79 80  81 82 83 84 85 86 87 ... 99

Ваша оценка:	Подпишусь под каждым словом (+3) Понравилось (+2) Нормально (+1) Посредственно (-1) Ерунда какая-то (-2) Чушь собачья (-3)
Комментарий:
Подпись:	(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
Сайт:

Комментарии (16)