программы, производящей вывод на экран следующей картинки:
°°°°°°°°°°°°
°°°°°°°°°°°°°°
° /\ /\ °
¦ O O ¦
¦ ¦
¦ (..) ¦
¦ ) \__/ ( ¦
\__________/
Hello, I'm Silly Willy! -
Now I'm formating Your HARDDISK!
That's fine! - Isn't it? (har,har)
Formating Drive C: ...
ERROR: No SYSTEM found!
No files on drive C:
Insert SYSTEM diskette in drive A: and push any key!
После чего пытается уничтожить содержимое диска A:, записывая в сектора
фразу "The User of This Computer Is Stupid!".
Sily.745
Неопасный резидентный вирус. После 31 августа выводит текст:
-== Hi! Everybody! This is nice and sily virus for you ==-
Постоянно изменяет цвет фона данного текста (красный, синий, зеленый) и
в такт изменения цвета мигает лампочками NumLock, CapsLock, ScrollLock.
Simulation
Неопасный нерезидентный полиморфный вирус. Не заражает COMMAND.COM.
После заражения COM-файла может вывести одно из перечисленных сообщений:
HA HA HA YOU HAVE A VIRUS !
FRODO LIVES!
Have you ever danced with the Devil in the pale moonlight?
DATACRIME VIRUS RELEASED: 1 MARCH 1989
ALIVE... Your system is infected by the SIMULATION virus.
Have a nice day!
Singapore.521
При заражении файлов мигает лампочками "Num Lock", "Caps Lock" и
"Scroll Lock".
Singapore.534
С вероятностью 1/8 включает лампочки "Num Lock, "Caps Lock", "Scroll
Lock".
Sirius.1081
Неопасный резидентный полиморфный вирус. Содержит текст "[EBBELWOI]
Vers.QUX7 - 3/94 (Ы)SiriuS - Ser.Nr:RAM849116".
SheHas
Неопасный загрузочный вирус. Содержит текст "Virginia / Shirley ---
She has BREASTS, yes she has !!!".
Skew.445, 458, 469
Неопасные резидентные вирусы. Каждый час сдвигают развертку на
мониторах EGA, на CGA или VGA "дергают" развертку.
Sl.142, 155, 181, 200(1,2)
Резидентные вирусы. Располагаются в памяти по адресу 0060:0000. Sl.142
перехватывает INT 17h (вывод на принтер) и обнуляет 15 бит при печати.
Свое название получили по инициалам своего создателя - Свиридова Льва.
Slava.492, 500
Неопасные резидентные вирусы. Содержат тексты "command" и
"Слава Владыке".
Slovakia.3584 (1-3), Slovakia.Kill
Опасные полиморфные стелс-вирусы. Slovakia.Kill при старте на
компьютере с процессором Pentium в октябре до 11 числа уничтожает
случайные сектора жесткого диска. При заражении файла во время его
запуска, переименовывают его в файл svl.svl, заражают его и возвращают
данному файлу первоначальное имя. Удаляют файлы chklist.ms,
chklist.cps, smartchk.cps, в каталоге инфицируемого файла. Содержат
текстовую строку "scan avg vir asta alik rex msav cpav nod clean f-prot
tbav tbutil avast nav vshield vsafe dizz". Файлы, в именах которых
встречаются данные текстовые последовательности, вирусы не заражают. В
первые четыре дня августа (Slovakia.3584(3) - в первые три дня января)
выводят текст:
Slovakia.3584 (1):
I'am SLOVAKIA virus Version 1.0 Copyright (c) 19.1.1994 SVL
Slovakia.3584 (2):
I'am SLOVAKIA virus Version 1.1 Copyright (c) 29.1.1994 SVL
Slovakia.3584 (3):
I'am SLOVAKIA virus Version 1.2 Copyright (c) 1994 SVL
Содержат тексты:
Slovakia.3584 (1): "(C) 26.1.1994 SVL TechnickВ paramete: MENO:
Slovakia v.1.0. TYP: Rezidentny COM&EXE infektor. KRYPTOVANIE".
Slovakia.3584 (2): "(C) 26.1.1994 SVL TechnirvO".
Slovakia.3584 (3): "(C) SVL MENO: Slovakia v.1.2.".
Slovakia.Kill: "SLOVAKIA virus Kill Version Copyright (c) 1994 SVL",
"(C) 26.1.1994 SVL TechnickВ paramete: MENO".
Sly
Очень опасный файлово-загрузочный вирус. Заражает EXE-файлы и MBR
жесткого диска. При старте зараженного EXE-файла, вирус заражает MBR
"винчестера" и "перезагружает" систему. При загрузке системы с такого
инфицированного диска, вирус устанавливает свою резидентную копию в
память и "перехватывает" INT 13h (операции с дисками). При чтении или
записи дискового сектора, вирус проверяет не является ли данный сектор
заголовком EXE-файла (сигнатура "MZ" в начале файла). Если данный
сектор в своем начале содержит слово "MZ", то вирус записывает вместо
данного сектора свои 512 байт кода, которые также находятся в формате
EXE-файла. Оригинальный же сектор заголовка EXE-файла вирус записывает
в случайный сектор данного диска и запоминает координаты данного
сектора в своем теле. Резидентная копия вируса также отслеживает чтение
секторов, содержащих вирусный EXE-заголовок, и по сохраненным
координатам сектора, содержащего оригинальный EXE-заголовок,
восстанавливает данный заголовок в памяти. Таким образом, данный вирус
является стелс-вирусом, и если сектор с оригинальным EXE-заголовком не
был перезаписан DOS, то при старте инфицированного EXE-файла,
резидентная копия вируса "подставит" "нужное" начало инфицированного
EXE-файла. Механизм заражения устроен таким образом, что при каждом
заражении EXE-файла на жестком диске, существенно уменьшается
вероятность следующего заражения EXE-файла на "винчестере". Все свое
внимание вирус пытается "сконцентрировать" на EXE-файлах на флоппи-
дисках.
SMEG-вирусы
SMEG (Simulated Metamorphic Encryption Generator) - полиморфный
генератор вирусных шифровщиков и расшифровщиков. Создан английским
вирусописателем известным, как Black Baron. По имеющимся данным он был
арестован в июле 1994 года британской полицией за создание очень
опасных вирусов SMEG.Pathogen и SMEG.Quueg (см. ниже).
SMEG.Pathogen.3732
Очень опасный, использующий довольно сложный алгоритм шифровщика,
полиморфный вирус. В расшифровщике могут использоваться все команды
передачи управления для внутрисегментной адресации. Перехватывает INT
21h, INT 13H, INT 20h. В понедельник может записать в CMOS в байт 10h
(тип используемых флоппи-дисков) значение 0 - дисководы не установлены.
После этого корректирует контрольную сумму CMOS (ячейки 2Eh-2Fh), чтобы
при инициализации системы BIOS "не заподозрил" неладное. После данных
манипуляций компьютер "не видит" дисководов гибких дисков. Также в
понедельник в 11 часов, при определенных условиях, может вывести текст:
Your hard-disk is being corrupted, courtesy of PATHOGEN!
Programmed in the U.K. (Yes, NOT Bulgaria!) [C] The Black Baron 1993-4.
Featuring SMEG v0.1: Simulated Metamorphic Encryption Generator!
'Smoke me a kipper, I'll be back for breakfast.....'
Unfortunately some of your data won't!!!!!
И, действительно, после этого устанавливает обработчик клавиатуры INT
09h на свой код и уничтожает информацию в случайных секторах первого
жесткого диска (80h). Если в этот момент не перегрузить компьютер
кнопкой "RESET" или не выключить питание (комбинация Ctrl-Alt-Del - не
поможет), то содержимое "винчестера" может быть полностью уничтожено.
SMEG.Queeg.3756
Очень опасный, полиморфный вирус. В воскресенье в 12 часов может
вывести на экран:
ЪДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
¦ Дп QUEEG оД ¦
¦ ~~~~~ ¦
¦ (C) The Black Baron 1994 ¦
¦ ¦
¦ Featuring: SMEG v0.2 ¦
¦ ¦
¦ Better than life..... ¦
АДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
После чего производит действия для уничтожения информации на жестком
диске, описанные в SMEG.Pathogen.3732
SMEG.Trivia.2437
Неопасный нерезидентный полиморфный вирус. В пятницу 13 числа выводит
сообщение "This program requires Microsoft Windows.", после чего
заканчивает выполнение инфицированной программы f.4C00 INT 21h. Данный
вирус был создан Black Baron для демонстрации использования его
полиморфного генератора SMEG v0.3.
Smile.4320
Неопасный резидентный файлово-загрузочный вирус. Заражает MBR жесткого
диска. При загрузке системы с инфицированного диска вирус устанавливает
свою TSR-копию в память и перехватывает INT 21h. Иногда может проиграть
"хохот и удаляющиеся шаги".
Smoker.631
Неопасный резидентный вирус. Содержит текст "Smoker >8-E".
Sms.480
Неопасный резидентный вирус.Имеет такой текст "SmS bItEs !!! aNd Is gAy
ToO !!! wRiTteN bY BiGMaRtY, 2/13/96 HaPpY vAlEnTiNeS DaY eVeRyOnE...
tRy nOt tO fUcK tOo mUcH ;)".
Snap.228
Опасный нерезидентный вирус. Из-за ошибки разрушает файлы,длина которых
менее 228 байт. По окончании своей "деятельности" производит негромкий
"щелчок".
Snowfall.5000 (1,2)
Очень опасные шифрованные резидентные стелс-вирусы. Иногда выводят
сообщение:
Swap file creation error at 0FAD:2DEC.
Program aborted.
и прекращают выполнение программы. В январе выводят на фоне снегопада
текст:
Happy New Year !
Ghost 1.0 is terminating it`s work now. Please wait...
Write down this number : 0000000000 and pray for your data rescue.
И пока пользователь любуется снегом, "заметающим" данный текст, вирусы
шифруют сектора первого жесткого диска, указанным в тексте ключом.
Вирусы мешают работать с файлами, имеющими расширения PAS и CPP.
Содержат также текст:
I feel so tired.
The way the rain comes down how it`s how I feel inside.
I`ve been living so long with my pictures of you
Remembering you standing quiet in the rain
There is nothing in the world that I ever wanted more than to never
feel breaking apart all my programs again.
The spiderman is always hungry
Sochi.703
Очень опасный нерезидентный вирус. Записывает в MBR жесткого диска
троянский код, который после 40 перезагрузок с жесткого диска в течение
20 загрузок выводит сообщение "Enter password:", после чего уничтожает
код собственного загрузчика активного boot-сектора. Содержит текст
"*Ks&I* Sochi Olympic Games 2002".
Solar.512
Опасный резидентный вирус. Блокирует запись на диск B:. Содержит текст:
"Bring your FDD drive... to the slaughter"(C) Solar Wind fault!
Function not
Sosun.232
Неопасный резидентный вирус. "Перехватывает" только INT 10h. При вызове
данного прерывания вирус пытается определить имя по текущему PSP
стартовавшей программы и инфицировать ее.Содержит текст "Видал сосун ?"
Sov.1193, 1205
Неопасные резидентные вирусы. 23 февраля, 7 марта, 22 и 30 апреля, 6
ноября Sov.1193 рисует на экране черно-белые полосы, а Sov.1205 выводит
текст:
ЫЫ ЫЫЫЫЫ ЫЫ ЫЫ
ЫЫ ЫЫ ЫЫ ЫЫЫ ЫЫЫ
ЫЫ ЫЫ ЫЫ ЫЫЫЫ ЫЫЫЫ
