жесткого диска и EXE-файлы при их открытии или запуске. Иногда выводит
на экран картинку, напоминающую силуэт самолета и текст:
Execute: mov ax, FE03 / int 21. Key to go on!
При выполнении данных инструкций вирус выводит на экран следующий
текст:
Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.
Loving thoughts to L.I.N.D.A
BEER and TEQUILA forever !
Tequila.5volt
Неопасный резидентный полиморфный вирус. Не заражает файлы WIN*.*,
CHKDSK*.*, BACK*.*. Содержит текст:
This is a beta version of the '-5 Volt' virus. A final and error free
one will never follow because I've got enough of viruses. Now a message
to the programmers of Turbo Anti Virus: You do a dangerous play with
INT 21h in your TSAFE utility. It took me quite a long time to make the
virus compatible with TSAFE. Please use clean programming technics in
your next version. Today it's a Saturday and a big party with a lot of
TEQUILA takes place! Wow!! Greetings to the U.S. Army in Iraq.
Terra.1027, 1042
Неопасные резидентные вирусы-спутники. Создают вирусный COM-файл-
спутник для файлов с расширением EXE. Не заражают файлы, начинающиеся
на COMMAND,IBM,ET,PC,TB, CKVI,KLVI,DEVI,BTOOL,RTOOL,TDISK, SCAN, CLEAN,
HUNT,F-,TR,G,Z. 18 числа выводят на экран разноцветные сообщения:
ЙНННННННННННННННННННННННННННННННёЬ
є п Terra'X о ¦Ы
є-------------------------------¦Ы
є Written By Zhuge Jin at TPVO. ¦Ы
УДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩЫ
ЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ
Terrorist.1740
Очень опасный нерезидентный шифрованный вирус. 15 октября выводит текст
"HAPPY BIRTHDAY OKSANA". Хранит некоторые свои счетчики в конце файла
C:\COMMAND.COM. Может прочитать 16 первых секторов диска C: в память,
уничтожить содержимое этих 16 секторов на диске и вывести текст:
WARNING
ВНИМАНИЕ
Я Вирус ТЕРРОРИСТ ! Ваш компьютер захвачен в заложники !
Если вы выключите машину или прервете программу,то информацию
о таблице размещения файлов (FAT) вам уже никто не востановит !!!
Если вы хотите чтоб у вас было все в порядке вы должны
выполнить мои условия :
Подождите до 3 часов ночи !!!
Если подождете обещаю все починить !
ПРИЯТНЫХ СНОВИДЕНИЙ !!! (Crazy)
После чего выводит в левом верхнем углу экрана текущее время и ждет
наступления 3 часов ночи. После чего записывает обратно на диск
сохраненные в памяти 16 секторов диска C:. Иногда может вывести также
сообщение "I~m here !".Содержит тексты "ПОЛУЧАЙТЕ СУКИ","CRAZYCRAZY !".
Tet.365, 393, 409, 474, 733
Неопасные (Tet.733 -опасен) нерезидентные вирусы. Содержат строку "383"
из-за которой и получили свое название - Three Eight Three. Tet.733
может разрушать файлы, записывая в них код, который выводит текст "This
program requires Microsoft Windows." и "перегружает" систему. Иногда
может вывести текст "Почтим ЗАВИСАНИЕМ память китайского хакера,
убитого подлыми коммунистами." и "вешает" систему. Tet.733 также
содержит текст "383 v1.5 (C)LovinGOD, fUcKRAINE.".
Thc.1058
Опасный резидентный вирус. При открытии файлов, содержащих первый байт
E9h или B8h, вирус записывает в них 5 байт, вызывающих перезагрузку
системы. Также уничтожает 5 первых байт в файлах, первый байт которых -
EAh. Содержит текст "Aidstest Fucker. Copyright (c) by Troitsk Hackers
Club".
Thunder.1543
Опасный резидентный шифрованный вирус. Внедряет свой расшифровщик (21
байт) в середину файла,а основной зашифрованный вирусный код записывает
в конец файла. "Перехватывает" INT 13h, 21h,а после 20 декабря и INT 8.
При чтении или записи некоторых секторов(в которых встречается какая-то
последовательность байт (?)) вирус возвращает ошибку чтения или записи.
После 20 декабря вирус может вывести на экран текст:
ЫЫЫЫЫЫЫ Ы Ы Ы Ы Ы Ы ЫЫЫЫЫ ЫЫЫЫЫЫЫ ЫЫЫЫЫЫ
Ы Ы Ы Ы Ы ЫЫ Ы Ы Ы Ы Ы Ы
Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы
Ы ЫЫЫЫЫЫЫ Ы Ы Ы Ы Ы Ы Ы ЫЫЫЫЫ ЫЫЫЫЫ
Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы
Ы Ы Ы Ы Ы Ы ЫЫ Ы Ы Ы Ы Ы
Ы Ы Ы ЫЫЫЫЫЫ Ы Ы ЫЫЫЫЫ ЫЫЫЫЫЫЫ Ы Ы
Tib.708, 713
Резидентные вирусы. Пытаются что-то "сотворить" с сетью Novell NetWare.
Tie.619, 710, 713
Неопасные резидентные вирусы. Содержат зашифрованный текст "TIE
Fighter".
Timid.526 (1,2)
Неопасные нерезидентные вирусы. Иногда стирают содержимое экрана.
Содержат текстовую строку "GR".
Tiso.1279
Неопасный файлово-загрузочный шифрованный вирус. Иногда, при загрузке,
системы выводит "Nech zije Jozef Tiso, prvy slovensky prezident !".
Tmc.4829, 5440
Неопасные резидентные полиморфные вирусы.Используют довольно интересный
полиморфный механизм. При старте инфицированной программы, вирус
получает управление и производит создание в памяти своей новой копии.
Вирус хранит в своем теле таблицы по которым по определенным законам
строит свой код. При построении этого кода вирус может внедрить в любое
место кода (вместо очередной инструкции) команду перехода (E9 ?? ??) в
свободное (не занятое еще "рабочими" инструкциями) место и продолжить
построение своего кода с этого места.Вирус строит таблицы "уже занятых"
областей и "настраиваемых" адресов для корректного создания своего
потомка. Также он способен варьировать безусловными переходами
(например, замена JE на JNE) в некоторых ситуациях. Затем вирус
расшифровывает свой код, который также не является постоянным и
устанавливает в память "на INT 21h" свою резидентную копию. Причем
обработчик INT 21h также является непостоянным и имеет различные
смещения. Далее эта резидентная копия заражает файлы только этим кодом.
Для текущего сеанса работы (до следующей установки в память) все копии
вируса при заражении файлов будут одинаковы. Вирусы содержат тексты:
Tmc.4829:
ю TMC 1.0 by Ender from Slovakia ю
Welcome to the Tiny Mutation Compiler!
Dis is level 42.
Greetings to virus makers: Dark Avenger, Vyvojar, Hell Angel
Personal greetings: K. K., Dark Punisher
Tmc.5440:
ю TMC 1.0 by Ender ю
Welcome to the Tiny Mutation Compiler!
Dis is level 6*9.
Greetings to virus makers: Dark Avenger, Vyvojar, SVL, Hell Angel
Personal greetings: K. K., Dark Punisher
Todor.1993
Опасный полиморфный вирус. После 15 августа шифрует первый сектор
первой копии FAT. Не заражает файлы, имеющие по смещению +20h строку
(C)Todor и файлы, упакованные утилитой LZEXE v.0.90. Содержит ошибку, в
результате которой каждый 6 файл будет неработоспособен.
Tony.338
Опасный резидентный вирус. Размещает свою резидентную часть в области
таблицы прерываний по адресу 44:100h. Инфицирует COM-файлы, внедряя
свой код в область нулей, если в файле таковая имеется. При установке в
память пытается сразу же заразить командный процессор. В вирусе имеется
ошибка, в результате которой инфицированные файлы могут быть
неработоспособными и лечению неподдающимися. Содержит строку "Tony".
Tormentor.358, 360
Неопасные нерезидентные вирусы. Содержат текст:
(c) 1992 Tormentor / Demoralized Youth
Rather first in hell, than second in heaven.
Tornado
Неопасный зашифрованный загрузочный вирус. Содержит строку "TORNADO".
TPE-вирусы
TPE (TridenT Polymorphic Engine) - полиморфный генератор вирусных
шифровщиков и расшифровщиков.
TPE.Bosnia
Резидентный полиморфный вирус. Содержит строку
"COSCCLVSNEMSTBVIFIF-IMCPNA-VRAFEMTBR". Не заражает файлы с именами из
этой строки (по 2 символа на имя). По пятницам, в зависимости от
системного таймера, может нарисовать картинку:
HELP BOSNIA, BEFORE IT'S TOO LATE!
ЫЬ
ЯЫЬ
ЯЫЬ ю ю
ЯЫЬ
ЯЫЬ
ЯЫЬ
ю ЯЫЬ ю
ЯЫЬ
ЯЫЬ
ю ЯЫЬ
ЯЫЬ
ЯЫЬ
Я ю ЯЫЬ
Я Я
ЯЯ ЯЯ
TPE.CivilWar.1979, TPE.CivilWar.1994, TPE.CivilWar.1997, TPE.CivilWar.2049
Полиморфные вирусы. TPE.CivilWar.1979, TPE.CivilWar.1994 и
TPE.CivilWar.1997 - нерезидентные. Содержат строки:
TPE.CivilWar.1979:
Civil War IV, (c) 1993 *.com
For all i'v seen has changed my mind
But still the wars go on as the years go by
With no love of God or human rights
'Cause all these dreams are swept aside
By bloody hands of the hypnotized
Who carry the cross of homicide
And history bears the scars of our Civil Wars.
[ DH / TridenT ] [ MK / TridenT ]
TPE.CivilWar.1994 и TPE.CivilWar.1997:
Civil War IV v1.1, (c) Jan '93 *.com
For all i've seen has changed my mind
But still the wars go on as the years go by
With no love of God or human rights
'Cause all these dreams are swept aside
By bloody hands of the hypnotized
Who carry the cross of homicide
And history bears the scars of our Civil Wars
[ DH / TridenT ] [ MK / TridenT ]
TPE.CivilWar.2049 - резидентный вирус. Содержит строку:
Civil War V v1.0, (c) Jan '92
[ DH / TridenT ][ MK / TridenT ]
TPE.Dgme.1758, 2648, 2518
Неопасные нерезидентные полиморфные вирусы. Содержат строку:
DGME (C) 1993 American Eagle Publications, Inc., All Rights Reserved.
TPE.Gambit.2259
Неопасный полиморфный резидентный вирус-спутник. Содержит строку
"Gambit 1.0 by Viper [NuKE][ MK / TridenT ]".
TPE.Girafe
Неопасный резидентный полиморфный вирус. Не заражает файлы с именами
CO*.*, SC*.*, CL*.*, VS*.*. Содержит строки текста:
"COSCCLVSNEHTTBVIFIGIRAFEMTBRIM", "[ MK / Trident ]", "Amsterdam =
COFFEESHOP!". По пятницам при запуске инфицированной программы с
вероятностью 1/256 выводит сообщение "LEGALIZE CANNABIS" и изображение
зеленого листа. См. MtE.Coffeeshop
TPE.Kela.4546
Полиморфный стелс-вирус. В пятницу 13 числа выводит красивую
переливающуюся всеми цветами картинку с надписями "KELA". Содержит
тексты:
This is KELA-17 version virus.
KELA-17 very nice virus . Ha Ha HaHa
KELA - 17.Выражаю свою благодарность автору TPE, KELA.
Copyright (c) 1994 by KELA. All Rights Reserved. KELA вечен. Смерть
