Windows 95 или Command Interpreter for Windows NT? Или программу,
которая остается в памяти резидентно? Правильно - вместе с такой
программой, до тех пор пока данная программа не будет завершена, будет
"трудиться" и Win32.Cabanas.
Win32.Cabanas содержит зашифрованный текст "(c) Win32.Cabanas v1.0 by
jqwerty/29A".
Win95.Apparition
Опасный полиморфный вирус, заражающий *.EXE файлы в фоpмате Portable
Executable (PE). Hаписан на языке Borland C++, содеpжит в своем теле
компpессиpованные файлы с исходными текстами, имеет значительный
pазмеp - около 80 Kb и занимает около 200 Kb памяти. Пpи заpажении
дописывает свой код и исходные тексты в начало файла, стаpое содеpжимое
поpтит, замещая опpеделенные байты кода пpогpаммы байтами 0FFh, 0FFh, ?
(? - байт со случайным значением в диапазоне от 0 до 255). При запуске
инфициpованной пpогpаммы виpус пpовеpяет в секции [WinApp32] файла
Win.Ini наличие пеpеменных "Logging", "ShowDotsOn" и "NoInfect",
упpавляющих pежимами его pаботы, устанавливает собственный обpаботчик
кpитических ошибок, опpеделяет тип опеpационной системы, пеpеносит свой
код из инфициpованного файла в память, котоpая будет использоваться для
заpажения файлов, и загpужает инфициpованную пpогpамму. Для этого он
создает вpеменный файл, пеpеносит в него код и данные, находящиеся за
телом виpуса, и запускает этот вpеменный файл на исполнение в pежиме
отладки. Виpусный обpаботчик особых ситуаций отладки получает
упpавление пpи исполнении инстpукций, замененных виpусом, и
восстанавливает измененные байты кода. После загpузки пpогpаммы виpус
пpовеpяет наличие своей копии и, если она активна, завеpшает pаботу.
Иначе он создает стандаpтное "скрытое" окно, устанавливает обpаботчики
системных событий и начинает обычный для Windows-пpиложений цикл их
обpаботки. Пpи получении упpавления по событию от системного таймеpа
виpус сканиpует каталоги, начиная с коpневого каталога пеpвого
доступного логического диска. Пpи каждом обpабатываемом сигнале таймеpа
виpус ищет следующий файл или каталог и таким обpазом оpганизует поиск
файлов-жеpтв. Если pасшиpение файла ".EXE" и имя не "BCC32", виpус
пpедпpинимает попытку опpеделить тип файла и, если файл имеет фоpмат
Portable Executable и пеpеменная "NoInfect" в файле Win.Ini не имеет
значения "Yes", заpажает его. Для этого он создает вpеменный файл,
записывает в него свое тело, компpессиpованные исходные тексты и
дописывает заpажаемый файл. Пpи записи файла-жеpтвы виpус ищет
последовательности из 3 опpеделенных байт и заменяет пеpвые два байта
на 0FFh, последний - на байт со случайным значением в диапазоне от 0 до
255. Поскольку пpи этом виpус не пpоизводит никаких дополнительных
пpовеpок, некотоpые пpогpаммы могут быть безнадежно испоpчены. Если же
имя найденного файла - BCC32.EXE, виpус пpовеpяет наличие на диске
дpугих файлов компилятоpа Borland C++ и, если они пpисутствуют,
пpиступает к генеpации очеpедной полимоpфной копии. Сначала он
pаспаковывает файлы со своими исходными текстами и сохpаняет их во
вpеменном каталоге. Затем он начинает создавать их копии, пpичем после
записи каждой стpоки может пpоисходить генеpация исходного текста
"мусоpного" кода - вызовов некотоpых функций API, аpифметических
опеpаций, пpоцедуp-"пустышек", объявлений неиспользуемых пеpеменных и
т.д. После записи копий виpус создает файл pесуpсов и некотоpые дpугие
файлы, необходимые для компиляции полученных исходных текстов, котоpую
виpус и осуществляет пpи помощи найденных пpогpамм Borland C++. Если
компиляция закончилась успешно, виpус аpхивиpует исходные тексты
утилитой EXTRACT.EXE, пеpезаписывает в них некотоpые значения
пеpеменных, зависящие от pазмеpов полученного исполняемого модуля и
упакованных текстов, и пеpекомпилиpует пpоект. После этого все
вpеменные файлы удаляются, а содеpжимое полученного исполняемого модуля
и аpхивиpованных исходных текстов замещает буфеpа в памяти,
пpедназначенные для заpажения файлов.
Win95.Boza (1-4)
Неопасный нерезидентный вирус, заражающий NewExe файлы в формате PE
(MS-Windows'95) в текущем каталоге диска. При заражении файлов вирус
использует прямые вызовы в модуль KERNEL32 по определенным адресам.
У инфицированного файла вирус инкрементирует количество секций в
PE - заголовке (NumberOfSections) и создает новую секцию с именем
".vlad". 31 числа вирус выводит на экран сообщение:
Bizatch by Quantum / VLAD
The taste of fame just got tastier!
VLAD Australia does it again with the world's first Win95 Virus
From the old school to the new..
Metabolis
Qark
Darkman
Automag
Antigen
RhinceWind
Quantum
Absolute Overlord
CoKe
Также вирус содержит текст "Please note: the name of this virus is
[Bizatch] written by Quantum of VLAD".Win95.Boza содержит массу ошибок,
в результате которых "нормальная жизнедеятельность" вируса,практически,
невозможна.
Win95.Companion
Неопасный нерезидентный вирус-спутник. Производит поиск *.EXE-файлов
в формате PE (Win95/NT) в текущем каталоге и заражение их. Вирус
присваивает PE-EXE-файлу расширение COM и записывает свой код в файл с
расширением EXE, вместо программного кода.
Win95.Harry.1536 (1,2), 2560
Опасные "резидентные" вирусы. Заражают PE EXE-файлы. При старте
инфицированного файла вирусы внедряются в ядро Windows 95, в область
данных драйвера VMM (если там есть свободное место) и "перехватывают"
файловые функции системы (IFS API). При открытии PE EXE-файлов вирусы
заражают их, записываясь в конец этих файлов в область последней секции
и модифицируя PE заголовок (характеристики последней сегментной
секции). Win95.Harry.2560 проявляется интересным видео-эффектом -
изменяет курсор мыши на изображение медицинского шприца. Для этих целей
вирус создает файл C:\suringe.cur и регистрирует его в системе.
Win95.Harry.1536 содержит текст "Anxiety.Poppy.95 by Vicodin",
Win95.Harry.2560 имеет строки "Fuck Harry by Quantum / VLAD", "\Control
Panel\Cursors", "Arrow".
Win95.Jacky
Неопасный нерезидентный вирус, заражающий файлы в формате PE. При
старте вирус пытается определить адреса системных файловых функций,
находящихся в ядре Windows'95. Далее с помощью этих функций вирус
производит поиск и заражение файлов. При заражении файла вирус
изменяет характеристики последней сегментной секции файла, записывает
в данную секцию свой код и устанавливает на него точку входа. Вирус
содержит зашифрованные строки:
To My d34d fRi3nD c4b4n4s..
A Win/NT/95 ViRuS v1.00.
By: j4cKy Qw3rTy / 29A.
jqw3rty@cryogen.com
Win95.Mad
Неопасный нерезидентный шифрованный вирус. Алгоритм работы данного
вируса очень похожи на алгоритмы вируса Win95.Jacky. Производит поиск
*.EXE файлов в формате Win PortableExe (PE) в текущем и родительских
каталогах и заражает их. При заражении файла вирус изменяет
характеристики последней сегментной секции файла, ее стартовый адрес и
размер, и записывает свой код в конец файла. В зависимости от текущего
времени вирус может вывести окно сообщений с текстом:
Multiplatform Advanced Destroyer�
Hello user your computer is infected by MAD virus
Welcome to my first virus for Windoze95...
Distribution & Copyright by Black Angel 1997�
Содержит текст "[MAD for Win95] version 1.0 BETA! (c)Black Angel`97".
Win95.Memorial
Неопасный резидентный полиморфный вирус,заражающий DOS COM и EXE-файлы,
а также *.EXE и *.SCR-файлы в формате PortableExe (PE). Является первым
известным полиморфным вирусом для операционной системы Windows'95. В
DOS файлах и в VxD - драйвере вирус не зашифрован. При запуске
инфицированного DOS файла, вирус проверяет наличие среды Windows и
собственной резидентной копии в памяти компьютера. Если Windows
загружена или вирусная копия уже присутствует в системе, то вирус не
предпринимает никаких действий и отдает управление программе-носителю.
Если же данные условия не выполняются, то вирус создает файл
C:\CLINT.VXD (инфицированные EXE-файлы содержат ошибку в создании VxD-
драйвера), записывает в него собственный распакованный вирусный код
(в зараженных файлах код виртуального драйвера хранится в упакованном
виде) и оставляет в области второй половины таблицы векторов прерываний
резидентный код, который "контролирует" INT 2Fh. Данная резидентная
копия не заражает файлы, а предназначена для возвращения ответа "я
здесь" и для загрузки виртуального вирусного драйвера C:\CLINT.VXD при
старте Windows. При инициализации Windows вирусный резидентный код
получает управление и достаточно хитроумным способом, используя
интерфейс Windows, "подсказывает" среде Windows, что необходимо
загрузить резидентно в память драйвер C:\CLINT.VXD. Таким образом,
вирус без манипуляций с файлом SYSTEM.INI загружает свой виртуальный
драйвер. Данный драйвер контролирует файловые операции и при обращении
к DOS COM и EXE-файлам, а также к *.EXE и *.SCR файлам в формате PE -
заражает их. При заражении PE файлов, вирус создает дополнительную
сегментную секцию с названием CLINTON (обычно данное название
зашифровано) и записывает свой зашифрованный полиморфный код в конец
файла. При старте инфицированного PE файла под Windows'95, вирус
определяет адреса необходимых ему процедур в модулях KERNEL32 и USER32
и, при отсутствии вирусного резидентного кода в системе, создает
вирусный виртуальный драйвер в корневом каталоге и загружает его в
систему также очень интересным способом с помощью интерфейса
Windows'95. Так, установка резидентной копии очень похожа по алгоритму,
но различается по реализации для различных операционных сред. Хотя и в
том, и в другом случае необходимо наличие Windows'95. 10 апреля вирус
выводит окно сообщений с текстом:
Clinton Haines Memorial Virus by Quantum/VLAD and Qark/VLAD�
Clinton Haines, also known as Harry McBungus, Terminator Z and Talon
died of a drug overdose on his 21st birthday, April the 10th, 1997.
During his time as a virus writer he wrote the No Frills family, X-Fungus,
Daemon and 1984 viruses. He was a good friend to VLAD and so we write
this virus in his honour. We hope it's good enough to do him justice.
VLAD Remembers. Rest in Peace
Win95.MrKlunky
Неопасный "резидентный" вирус. По способам внедрения в систему и
