"троянский" код. Данный код при загрузке системы самостоятельно отдает
управление активному загрузочному сектору жесткого диска, но, примерно,
через месяц (10 дней для вирусов SGWW.Tchechen.3338, 3370, 3420, 3436,
3604) после записи данного кода в MBR уничтожает содержимое всего
первого жесткого диска. После чего планировался вывод на экран
нижеследующего текста (SGWW.Tchechen.1914 содержит ошибку в данном
выводе):
POLITICAL PRO$TITUTE$ OF THE WORLD, (UN)ITE !
IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA.
ENJOYIN' WAR BY TV YOU'RE GLAD -YOUR ASS IS SO FAR FROM.
WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW
AND YOU WORTH IT !!!
The Tchechen,(C)RUSSIAN BEAR,1995.
SGWW.Tchechen.3338, 3370, 3604 выводят текст:
HALF YEAR OF WAR HAS GONE. IT STILL DOES.
MASS MURDER WAS RECOGNIZED BY THE WORLD COMMUNITY.
ACCEPT MY CONGRATULATIONS ! ENJOY THE WORLD'S NEW ORDER !
THE TCHECHEN, v2.1 (C) RUSSIAN BEAR. 1995,JUNE
SGWW.Tchechen.3420 выводит текст:
`I`M WASTING TIME APPEALING TO YOU.
WASTE YOUR...TO RESTORE HD.
THE TCHECHEN v2.2 Web&BugsFix (C) RUSSIAN BEAR, 12.12.95
SGWW.Tchechen.3436 выводит текст:
`I`MаWASTINGаTIMEаAPPEALINGаTOаYOUоНКаWASTEаYOURо^оTOаRESTOREаHDоНКа
THEаTCHECHENаvІоІаWebжBugsFixаиCйаRUSSIANаBEARма±Іо±Іо№µНК
Вирусы SGWW.Tchechen.1909, 1912, 1914, 1919 содержат также текст
"Данилов и Лоз! Убьете-похороню ваше г и г ваших юзеров!!!".
SGWW.Tchechen.3338, 3370, 3604 имеют другой текст:
И.Д.! Это уже не 1914, хотя и тот Тебя вовсю имел !
Я обещал - похороны мира ПК начались! Танцуют все!
Ты-РЕБЕНОК перед нами, юзера-ДЕТИ перед Тобой! Расскажи им сказку про
надежность WEB'a! Отец- герой! Самолюбие не пустит этот текст в List !
А есть ли оно у автора такой попсы, как WEB ? Хочется верить.
До встречи!
А ну-ка поймай все штаммы!
SGWW.Tchechen.3436 содержит другой текст "И.Д.! Моральные похороны
DrWEB`а продолжаются. Ну теперь-то потанцуем ?". Честно говоря, я,
может быть, и потанцевал бы ... Но не вижу причины.
SGWW.Tchechen.3564 содержит текст:
И.Данилов ! Это новый вирус,ЕГО НАЗВАНИЕ SHAYSE.
Dr.web SHAYSE не ловит.Это универсальная программа.
Исправлены некоторые мелкие недочеты, AWARD too.
Как тебе этот вариант ? Он пока на первом месте.
Пламенный привет тебе From SEBASTOPOL ! До встречи!�
SGWW.Tchechen.3338, 3370, 3420, 3436, 3604 не заражают программы,
начинающиеся на WE,AD,AI,CO,DR, AV, TB, CH. SGWW.Tchechen.1914, 3338,
3370, 3564, 3604 неработоспособны на процессоре Pentium.
SGWW.Train
Неопасный резидентный полиморфный стелс-вирус. Содержит текст:
"Run away train never come back !". Не заражает файлы, начинающиеся на
AIDS, CHKD, WEB, SCAN, COMM, WIN.
SGWW.Zoo
Неопасный нерезидентный вирус. Заражает DOS заголовок в файлах формата
NewExe (файлы для Windows 3.1x). Вирус записывает в MZ-заголовок свой
код, корректируя параметры данного заголовка. В результате при запуске
в DOS такой программы вирус попытается заразить все NewExe файлы в
текущем каталоге. Вирус содержит зашифрованные тексты:
*.exe
This program requires Microsoft Windows.
(c) DNazi
Мы уйдем из зоопарка!
Sh.983, Sh.988
Неопасные зашифрованные вирусы. Размещают свою TSR-копию в двух
различных сегментах памяти. Первая часть длиной 539 или 541 байт для
Sh.988 размещается в сегменте 001E:0000h, вторая часть длиной 444 или
447 байт для Sh.988 - в сегменте 0054:0000h. Не заражают файлы,
начинающиеся на AI, WP, HI, DO, KR. Содержат тексты:
Sh.983 - "(С) Shel,NSTU,1994,v3.1", "*.exe *.com", "Sh";
Sh.988 - "Novosibirsk,NSTU,1994,(С) Shel,v3.1", "*.exe *.com", "Sh".
Sh.1333
Опасный резидентный "слабополиморфный" вирус. Содержит 3 варианта
расшифровщиков. Уничтожает файлы chklist.ms и c:\????f?c?.* (таблицы
ADinf и ADinfExt), создавая их заново. Содержит тексты:
(C) Shel,NSTU,1994,v4.0
Sh
*.exe c:\ c:\dos chklist.ms c:\????f?c?.*
Shiny.918, Shiny.921, Shiny.934
Неопасные резидентные вирусы, кроме Shiny.918, который очень опасен.
Трассируют INT 21h. Перехватывают INT 1, 3, 9, 21h. Внедряют один байт
CCh (INT 3) в оригинальный обработчик INT 21h. Shiny.921, Shiny.934
изменяют символы, вводимые с клавиатуры. Например, изменяют следующие
последовательности символов:
:-) на :-(
:=) на :=(
;-) на ;-(
|-) на |-(
:) на :(
Shiny.921 и Shiny.934 содержат текст:
Shiny Happy Virus by Hellraiser and Dark Angel of Phalcon/Skism
Shiny.918 может уничтожить содержимое CMOS-памяти, а также 1 числа
любого месяца уничтожает 10 секторов корневого директория текущего
диска и выводит сообщение:
The root directory of the current drive has
been destroyed by the 7% Solution 3.0 virus!
Shirley.4096
Неопасный резидентный вирус. Содержит текст:
Marty McFly lives somewhere in time (Doc Brown)kFuck for Eddie!!
There is only one place to spend nice holidays... CASAL BORSETTI
in Italy... Fuck for John McAfee
and all the other Vrs-Killers...We have a right to live !!!!!!!!
Greetings to the 1704... you were the first Virus, that infected my System!
Greetings to Jerusalem-B...You were the Second! But now its my turn.
Hope You have fun with the Shirley-Virus !!!!!!
----------------
Dies ist die Geschichte einer Dreiecksbeziehung,kФnnte mann sagen-A.C,L.C.
und,natБrlich,CHRISTINE. Aber sie sollten wissen,dass Christine zuerst kam.
Sie war Arnies erste Liebe, und obwohl ich nicht meine Hand dafБr ins Feuer
legen moechte(denn mit 22 kann der Mensch sich ja noch irren),mФchte ich
doch sagen,dass Christine seine einzige wahre Liebe gewesen ist.
Deshalb ist diese Liebesgeschichte fБr mich eine TragФdie
Shish.1002, 1142
Очень опасные резидентные вирусы. С вероятностью 1/2 сохраняют в своем
теле значение не оригинального, а измененного поля IP (+14h) заголовка
(прибавляет к IP 10h) инфицированного EXE-файла. При старте такого
EXE-файла вирусы,также с вероятностью 1/2 могут вычесть 10h из значения
IP при отдаче управления программе-дрозофиле или оставить эту величину
неизменной (правильной или неправильной). В результате, все
инфицированные файлы могут "вешать" систему при старте. Возможно
некорректное лечение таких файлов. Shish.1142 при нажатии на Ctrl-Alt-
Del выводит текст:
WARNING!
SYSTEM REPORT:
If your system does not work properly,
change the month of the current system date.
Error code #
Вирусы содержат тексты:
Shish.1002: "[SHISH. Version 1.00][How long have you been encrypting
the "Mutation Engine" in your source code?]"
Shish.1142: "[SHISH. Version 2.00]".
ShuHard.386
Неопасный резидентный вирус. При старте какой-либо программы, имеющей в
командной строке параметр "doom",вирус на время работы данной программы
с помощью регистра управления CR0 запрещает использование внутренней
кэш-памяти процессора. Содержит текст "DOOM MD! R.ShuHard 1997".
Sibylle.853, 858
Опасные резидентные вирусы. Могут установить атрибуты файла в VOLUME
LABEL (метка тома),а также могут записать в файл C:\AUTOEXEC.BAT текст:
:b
echo Looking for Sibylle...
goto b
Sierra (1-4)
Sierra (1) - неопасный, а Sierra (2-4) - опасные загрузочные стелс-
вирусы. Sierra (1) после заражения диска выводит на экран текст
"El Monвculo del Conde Sierra". Sierra (2-4) в 00:33 и 08:33 уничтожают
сектора дисков.
Silly-вирусы
Данное название дается тем вирусам, которым нет возможности дать
никакого имени. Обычно эти вирусы не содержат внутри себя никаких
текстовых строк и ничем не проявляются кроме саморазмножения.
SillyC - нерезидентные, заражающие COM-файлы.
SillyE - нерезидентные, заражающие EXE-файлы.
SillyCE - нерезидентные, заражающие COM и EXE-файлы.
SillyRC - резидентные, заражающие COM-файлы.
SillyRE - резидентные, заражающие EXE-файлы.
SillyRCE - резидентные, заражающие COM и EXE-файлы.
SillyO - вирусы, замещающие программный код на свой (overwritig viruses).
SillyOR - резидентные вирусы, замещающие программный код на свой.
SillyC.316
Очень опасный нерезидентный вирус. После 20 заражений файлов уничтожает
32 первых сектора жесткого диска.
SillyC.638
Опасный нерезидентный вирус. Иногда разрушает файл, записывая в его
начало пять байт, производящих перезагрузку системы. Устанавливает в
область таблицы векторов прерываний резидентный код, который иногда
издает звуковой сигнал или игнорирует нажатие на клавишу.
SillyE.714
Очень опасный нерезидентный вирус.Уничтожает случайные сектора текущего
логического диска.
SillyE.1264
Очень опасный вирус. Не заражает файлы до августа-месяца. После 3 числа
месяца в корневом оглавлении диска C: ставит всем элементам оглавления
признак удаления, байт 0E5h.
SillyO.276
По окончании своей "работы" выводит фразу "Bad Command or file name".
SillyRC.438
Опасный резидентный вирус.Может уничтожить информацию на всех доступных
логических дисках.
SillyRCE.822
Периодически выводит в левом верхнем углу "\". Содержит строку "NT".
SillyRCE.972
Опасный вирус. Заражает COM и EXE-файлы не различия их по именам или по
формату, стандартным образом для COM-файлов,- записывая 5 байт перехода
на вирусный код в начало файла, и основное тело вируса в конец файла.
По окончании своей работы восстанавливает 5 начальных байт на
оригинальные значения, самостоятельно запускает программу (f.4B00h INT
21h), и после возвращения управления вирусу, обратно восстанавливает
начальные байты на вирусный переход. Иногда при старте программ, размер
которых больше, чем 64K, вирус уничтожает данные программы, записывая в
них 30000 случайных байт.
SillyRE.488
Опасный резидентный вирус. Блокирует вывод на принтер. При записи в
файл (f.40h Int 21h) производит смещение буфера записи на величину
1992h.
SillyRE.525
Неопасный резидентный вирус. После установки своей резидентной копии
вирус выводит текст "Hallo world!".
SillyRE.666
Опасный шифрованный вирус. После установки в память своей TSR-копии
вирус записывает длинной записью (f.0Bh INT 13h) в 11 сектор 0 дорожки
1 головки (обычно первая копия FAT) "мусор".
SillyWilly.2256
Очень опасный полиморфный вирус. Заражает *.COM-файлы на диске C:. У
инфицированных файлов изменяет 16 байт начала файла, а также 16 байт в
случайном месте файла. Из первого участка кода вирус передает
управление во второй участок, из которого уже управление передается на
расшифровщик основного тела вируса. Вирус производит поиск *.EXE-файлов
и уничтожает их, записывая поверх программного кода 1317 байт
