заражению файлов очень похож на вирус Win95.Punch. При старте
зараженного PE EXE-файла вирус создает файл MRKLUNKY.VXD в формате
VxD-драйвера и регистрирует его в системе. При заражении файлов вирус
создает новую сегментную секцию с именем MrKlunky и записывает свой код
в конец файлов. Вирус создает файл C:\LOG.LOG, в который записывает
имена всех заражаемых файлов.
Win95.Punch
Опасный "резидентный" вирус, заражающий EXE-файлы в формате Portable
Execute (Win95/NT). При старте инфицированного EXE-файла вирус пытается
создать файл VVFS.VXD (в формате LE EXE) в каталоге C:\WIN95 или в
C:\WINDOWS. Если таких каталогов не существует, то вирус "отказывается"
от своей попытки поразить систему. При удачной попытке вирус записывает
в файл VVFS.VXD свой вирусный код длиной 9262 байта в формате VxD-
драйвера. Далее вирус открывает файл SYSTEM.INI и производит поиск
строки "ice=" ("device="). Сразу же после данной строки вирус вставляет
вызов своего файла-дроппера VVFS.VXD, причем вирус проверяет наличие
данного вызова. После чего файл SYSTEM.INI закрывается и вирус
возвращает управление программе-носителю. В результате, вирус в VxD-
драйвере активизируется в системе только после первой же перезагрузки
системы. После загрузки MS-Windows'95 вирус получает управление,
остается в памяти, как системный VxD-драйвер и "перехватывает" открытие
файлов (IFSFN_OPEN). В результате, все открываемые файлы, как в Win95,
так и в DOS-окне будут контролироваться вирусом. Если открываемый файл
находится в формате PE (Win95/NT-файл), то вирус пытается его заразить.
При заражении вирус создает новую секцию в заголовке PE, которой
присваивает имя QuantumG, записывает свое тело (10185 байт) в конец
файла и правит секцию ресурсов и описание ресурсов в заголовке PE для
возможности вызова функций KERNEL32 из вирусного кода.Вирус не заражает
файлы у которых уже присутствует секция с именем QuantumG.При заражении
вирус не контролирует расширения файлов, а только формат файлов.Поэтому
в системе могут оказаться зараженными файлы с расширениями DLL,CPL,DRV,
... Различная длина вирусного кода при заражении VxD-дроппера и EXE-
файлов связана с различным форматом LE и PE файлов, а также, формально,
при заражении EXE-файлов вирус сначала записывает процедуру создания
вирусного VxD-файла, а затем, непосредственно, и сам VxD-дроппер. Вирус
содержит огромное количество ошибок, из-за которых его нормальная
"жизнедеятельность" практически невозможна. Вирус содержит тексты:
c:\win95\system.ini
c:\windows\system.ini
c:\win95\system\vvfs.vxd
c:\windows\system\vvfs.vxd
QuantumG
Beating You to the Punch in the '97 (almost)
Win95.Zombie
Неопасный нерезидентный зашифрованный вирус, заражающий EXE-файлы в
формате PortableExecutable. При старте инфицированного файла, вирусный
декриптор расшифровывает основное тело вируса и отдает ему управление.
Основной вирусный код определяет расположение в памяти KERNEL32 Export
Table и сохраняет в своем теле адреса функций WIN32 KERNEL API,
необходимых ему для заражения файлов. Далее вирус определяет командную
строку запущенной инфицированной программы и запускает ее повторно с
помощью функции WinExec. Вторая вирусная копия и будет производить
дальнейшее заражение системы. А первая вирусная копия ( которая
и произвела повторный запуск инфицированной программы) после отработки
процедуры WinExec возвратит управление программе-вирусоносителю. Для
заражения PE EXE-файлов вирус сканирует системный каталог Windows, а
также проходит все каталоги дисков C:, D:, E: и F:. При нахождении PE
EXE-файла, вирус производит его анализ, и если данный файл
удовлетворяет некоторым условиям, то производится его заражение.
Win95.Zombie создает новую сегментую секцию .Z0MBiE в заголовке PE,
устанавливает на нее точку входа и записывает свой зашифрованный код
в конец файла, в область данной сегментной секции. После заражения
логического диска вирус создает в его корневом каталоге файл-дроппер
ZSetUp.EXE с атрибутами: архивный и системный. В этот файл вирус
Win95.Zombie записывает код вируса Zombie.1922 (см. описание вируса
Zombie.1922). Вирус содержит тексты:
Z0MBiE 1.01 (c) 1997
My 2nd virii for mustdie
Tnx to S.S.R.
Z0MBiE`1668 v1.00 (c) 1997 Z0MBiE
Tnx to S.S.R.
ShadowRAM/Virtual Process Infector
ShadowRAM Technology (c) 1996,97 Z0MBiE
code................1398
viriisize...........4584
virtsize............8936
Wisconsin.815
Опасный нерезидентный вирус. Ведет счетчик запусков инфицированного
файла. После 4 запусков вирус пытается уничтожить файлы *.PAS в текущем
директории, после чего выводит текст "Death to Pascal.".
Witching.1400 (1,2)
Опасные нерезидентные вирусы. Удаляют файлы cHkLiS*.*. Первым делом
пытаются заразить файлы ChKdSk.exE,�XcOPy.eXE,�MeM.ExE. Иногда выводят
текст:
IT'S WITCHING HOUR... YOUR COMPUTER IS BEING HAUNTED ! HAHAHA...
1 апреля выводят другой текст:
Bad luck... You've got a virus in your system !
Think about using a virus-scanner which is more up-to-date !
Here lies a program in its coffin, executed by a user one time too often...
Wizard.802
Размещает свою TSR-копию в памяти по адресу 9000:A000h без коррекции
MCB-блоков. Содержит строку "PC-FLU by WIZARD 1991".
Wizard.812, 2502
Неопасные резидентные вирусы. Wizard.2502 иногда проигрывает мелодию.
Содержат текст "WIZARD".
WM - вирусы
Вирусы, заражающий текстовые файлы-документы в формате WinWord 6.0 или
7.0. Заражение системы вирусами происходит при открытии на
редактирование зараженных DOC-файлов. При открытии файла-документа
WinWord вызывает, находящиеся в этих документах вирусные макросы,
которые написаны на языке WordBasic и в дальнейшем могут быть
определены, как глобальные макросы. Данные макросы производят
копирование вирусного тела - вирусных макросов при сохранении "старых
документов" или вновь создаваемых через команду "Save As". Также данные
вирусы могут производить поиск документов в формате WinWord и
производить в них запись вирусных макросов. При выходе из WinWord
происходит автоматическая запись вирусных глобальных макросов в DOT-
файл (как правило, это файл NORMAL.DOT). Таким образом, при следующем
старте WinWord снова автоматически загрузит вирусные глобальные макросы
из файла глобальных макросов NORMAL.DOT.
WM.Alliance
"Родительская" копия вируса содержит макрос AutoOpen. При открытии
зараженного документа обновляет SummaryInfo, записывая туда строку
"You Have Been Infected by the Alliance". Не производя никаких проверок
создает в Normal.Dot макросы AutoOpen и AutoNew и записывает в них свое
тело. Т.о., копии вируса будут содержать уже два макроса с идентичным
содержанием. 2, 11, 12 и 17 числа каждого месяца сразу после заражения
Normal.Dot может перенести из него в свое тело макрос AutoOpen и
сохранить текущий файл.
WM.Appder (1,2)
Очень опасные макро - вирусы. После 20 заражений удаляют файлы
C:\DOC\*.EXE, C:\DOC\*.COM, C:\WINDOWS\*.EXE, C:\WINDOWS\SYSTEM\*.TTF,
C:\WINDOWS\SYSTEM\*.FOT.
WM.Bandung
Очень опасный макро-стелс-вирус. Блокирует пункты меню работы с
макросами. С 20 числа каждого месяца с 11:00 на диске C: удаляет файлы
во всех каталогах (кроме WINDOWS,WINWORD и WINWORD6) до третьего уровня
вложенности. Во время этого акта вирус выводит текст в строке статуса
"Reading menu...Please wait !".После чего создает файл C:\PESAN.TXT, в
который записывает текст:
Anda rupanya sedang sial, semua file di mesin ini kecuali yang berada di
direktori WINDOWS dan WINWORD telah hilang, jangan kaget, ini bukan ulah
Anda, tapi ini hasil pekerjaan saya...Barang siapa yang berhasil menemukan
cara menangkal virus ini, saya akan memberi listing virus ini untuk Anda
!!! Dan tentu saja saya akan terus datang kesini untuk memberi Anda salam
dengan virus-virus terbaru dari saya...selamat ! Bandung,
WM.Boom
В теле вируса содержатся макросы AutoExec, DateiSpeichernUnter
("FileSaveAs") и System. Заражение NORMAL.DOT происходит при вызове
FileSaveAs. Макро AutoOpen устанавливает процедуру обработки таймера,
которая в свою очередь, в 13:13:13 выполняет макрокоманду System.
System изменяет строку основного меню, предполагая, что она написана
на немецком языке. В результате имена пунктов образуют строку:
Mr. Boombastic and Sir WIXALOT are watching you ! ! !
Т.о., "Datei" ("File") заменяется на "Mr. Boombastic", "Bearbeiten"
("Edit") на "and", а "?" - на последний "!". Замена каждого пункта меню
сопровождается небольшой задержкой и системным гудком Windows. После
этого вирус выводит фразу:
Mr. Boombastic and Sir WIXALOT : Don`t Panik, all things are
removeable !!! Thanks VIRUSEX !!!
создает новый файл, записывает в него разными шрифтами и с отступами
следующий текст:
Greetings from Mr. Boombastic and Sir WIXALOT !!!
Oskar L., wir kriegen dich !!!
Dies ist eine Initiative des Institutes zur Vermeidung und
Verbreitung von Peinlichkeiten, durch in der Цffentlichkeit
stehende Personen, unter der Schirmherrschaft von Rudi S. !
и выводит этот файл на принтер. После этого установки и вид меню
сбрасываются в состояние по умолчанию. В теле макроса System содержится
ряд закомментированных команд, которые на время вирусных эффектов
переименовывает C:\AUTOEXEC.BAT в C:\BOOMBAS.TIC, C:\CONFIG.SYS в
C:\SIR_WIXA.LOT и C:\COMMAND.COM в C:\FANTAS.TIC, а перед выводом на
принтер возвращают файлам первоначальные имена. Этот код никогда не
выполняется.
WM.Buero
Написан для немецкоязычной версии Word for Windows, содержит макросы
B№roNeu и DateiSpeichern. При заражении файлов переносит свои макросы в
файл, записывая их под другими именами, комбинируя "B№roNeu",
"DateiSpeichern" и "AutoOpen". Если текущая дата больше 15.08.1996,
переименовывает C:\IO.SYS в C:\IIO.SYS и уничтожает все файлы с
расширением *.doc.
WM.Cap
Зашифрованный стелс-вирус. Блокирует пункты меню работы с макросами и
удаляет ссылки на эти меню. Запрещает выполнение макроса AutoOpen при
открытии документов. При попытке сохранения инфицированного документа с
помощью команды FileSaveAs вирус записывает на диск абсолютно пустой
документ. Вирус содержит текст:
C.A.P: Un virus social.. y ahora digital..
"j4cKy Qw3rTy" (jqw3rty@hotmail.com).
