"пустышку", состоящую из пустой стpоки с комментаpием. Виpус
демонстpиpует описанный Message Box, пpи этом в файл WINWORD6.INI или
аналогичный записывается стpока "keyrus = TEXT", где TEXT - стpока,
содеpжащая вpемя последнего сохpанения документа. Вид этой стpоки может
меняться в зависимости от системных настpоек. Макpос ToolsMacro
подменяет собой стандаpтную пpоцедуpу меню Tools|Macro (если не один
документ не откpыт - File|Macro). Пpи вызове этого макpоса виpус
пытается "выжить" как в главном шаблоне, так и в откpытом документе,
если документ заpажен. Для этого он пеpеименовывает макpосы,
устанавливает у шаблона и документа паpольную защиту от pедактиpования,
используя паpоль "orhey", после чего откpывает стандаpтное окно Tools
\Macro. Защита макpосов пpиводит к тому, что их нельзя не только
пpосмотpеть или pедактиpовать, но и удалить или пеpеименовать макpосы,
пользуясь сpедствами Word for Windows становится невозможно -
доступными остаются только кнопки "Run" и "Close". После закpытия окна
Tools\Macro виpус возвpащает макpосам стаpые имена и снимает с
документов паpоли.
WM.Pcw
Судя по всему, этот вирус - подарок ко дню рождения. Написан для
немецкоязычной версии Word for Windows. Содержит макросы AutoOpen
(проверка условий активации и инсталляция) и DateiSpeichernUnter
(FileSaveAs, заражение), заражает NORMAL.DOT. Если текущая дата больше,
чем 14 и месяц больше июня, AutoOpen выводит MessageBox с текстом:
Herzlichen Gl№ckwunsch
Susanne B. aus E.
zu deinem Geburtstag
Ich liebe dich
Happy Birthday
WM.Satanic
Вирус написан для немецкоязычной версии Word for Windows, однако
большинство его функций работоспособны в любой версии редактора. Он
содержит макросы AutoOpen, AutoClose, AutoExit, AutoNew и AutoExec.
Заражение системы происходит при вызове AutoExec и AutoOpen. Признаком
зараженности файла служит наличие в нем макроса AutoExit. Заражение
файлов происходит при исполнении AutoClose, AutoExec, AutoExit и
AutoNew. Если AutoClose просто проверяет наличие в файле AutoExit и
заражает, если макрос не найден, то 3 остальных кроме этого содержат
различные эффекты. AutoExit 1 октября запускает командный процессор,
передавая ему строку "echo y|Format c: /u". AutoNew выводит 9 сентября
MessageBox с заголовком "Nightmare Joker :-)" и текстом "Youяre
infected with Satanic". AutoExec удаляет из меню "Extras" пункты
"Makro...", "Anpassen..." и "Optionen...". Самым любопытным является
макро AutoOpen. Если система не заражена, вирус проверяет наличие файла
C:\DOS\DEBUG.EXE и, если он найден, создает файл C:\Fun.scr. В него
записывается информация, которая затем передается программе DEBUG.EXE.
В результате будет создан файл C:\NC.COM, зараженный DOS-вирусом
Claudia.8777. После этого создается файл C:\Fun.bat и в него
записываются следующие команды:
@echo off
debug < Fun.scr > nul
@echo off
nc.com
@echo off
del Fun.scr
После запуска C:\Fun.bat MACRO-часть вируса инфицирует NORMAL.DOT или
файл, его заменяющий. В зараженной системе в файле WIN.INI в секции
[Control] присутствует строка "Installed=YES".
WM.ShareFun
Опасный зашифрованный макро-стелс-вирус.Вирус содержит макрос AutoOpen,
который при открытии инфицированного документа с вероятностью 1/4
вызывает макрос ShareTheFun. Данный макрос сохраняет текущий
инфицированный документ под именем C:\DOC1.DOC, сканирует Microsoft
Mail (если данная система установлена, ежели нет - то вирус
"перезагружает" MS-Windows), выбирает из нее 3 случайных адреса и
посылает по этим адресам зараженный документ C:\DOC1.DOC. Данные письма
содержат заголовок "You have GOT to read this!". Вирус блокирует пункты
меню работы с макросами (стелс-процедура).
WM.Tedious
Содержит макросы AutoNew, vAutoNew, FileSaveAs, vFileSaveAs, почти на
100% совпадающие по содержанию. Заражение файлов происходит при вызове
любого из них без каких бы то ни было проверок. Макросы vAutoNew и
vFileSaveAs никогда не запускаются автоматически и не получают
управления из тела вируса. Никак не проявляется.
WM.Zero
Работоспособен только в немецкой версии WinWord. В июне выводит окно
сообщений с текстом: "Lisa, ich liebe dich!".
Wormsign.1547, 1710
Опасные нерезидентные зашифрованные вирусы. Перед заражением файлов
выводят на экран строку "Wormsign !". При заражении перехватывают INT
9, 21h. Оставляют в памяти небольшую резидентную программу в области
второй половины векторов прерываний (0020:0000), которая обрабатывает
вызовы INT 13h, 1Ch, 26h. Примерно через 15 минут выводит в центре
экрана текст:
W o r m s i g n !
После чего записывает в адреса векторов INT 1, 3 слово "SANDWORM". При
записи в MBR и Boot-сектора дисков вирусы обнуляют значение количества
дорожек данного диска по смещению +1Ah в Boot-секторе. Содержат строку
"*** THE SANDWORM ***".
Worry.556
3 ноября выводит текст "Don't worry - be happy!" и "вешает" систему.
Worry.562
1 января в 14.30 выводит текст "Happy New Year !".
WpcBats.3072
Неопасный резидентный шифрованный вирус. При нажатии на клавишу "F1"
вирус выводит на экран текст:
ЬЬЬЬЬ Ь ЬЬЬЬЬ ЬЬЬЬЬ Ь Ь
¦ЫЬЬЬЫ¦Ы ¦ЫЬЬЬЫ ЬЬ ¦ЫЬЬЬ ¦ЫЬЬЬЫ
¦ЫДД¬Ы¦ЫЬЬЬЬ¦ЫДД¬Ы ¦ЫЬЬЬЬ¦ЫДД¬Ы
АЩ АЩАДДДДЩАЩ АЩ АДДДДЩАЩ АЩ
ДДДДДД A.R.Jr W P C B A T S ДДДДДДД
Также может вывести надпись "ALA-EH" в графическом режиме монитора.
Wra.512
Неопасный нерезидентный вирус. Выводит "Ok" после каждого удачного
заражения. Включает-выключает лампочку "NumLock" клавиатуры. Содержит
текст:
Don't give up! Have a nice Num! Have a nice Lock
Moon-Lock-Trouble. Copyright (c) 1993 by WRA.
Wreck.92, 462
Очень опасные резидентные вирусы. Перехватывают INT 13h и заражают EXE-
файлы при чтении их заголовка (f.02 Int 13h), записывая (f.03 Int 13h)
в заголовок данного EXE-файла, не сохраняя оригинальные байты, свой
код. Wreck.462 - полиморфный вирус, при старте выводит текст "So here
it is !...". Wreck.92 содержит текст "Wreck%".
Wrong
Очень опасный Boot-вирус. Сохраняет оригинальный Boot-сектор дискет по
адресу головка-1, дорожка-38, сектор-1, а MBR жесткого диска в одном из
последних секторов диска. При обращении к данным секторам на чтение или
запись выдает ошибку операции, не разрешая доступ к данному сектору.
WWPE.Rsa
Очень опасный резидентный полиморфный вирус. Создан с помощью
полиморфного генератора WWPE. При обращении к ZIP или ARJ - архивам
вирус добавляет в данные архивы файл c00lBbS.CoM, который содержит
вирусный код. При запуске такого файла на экране монитора появляется
изображение пламени. Иногда вирус блокирует запись на диск. Содержит
тексты "Wild W0rker /RSA", "WWPE v0.1".
Wxyc (1,2)
Загрузочные вирусы. Иногда при загрузке системы выводят текст "WXYC
rules this roost!". Содержат текст "JAM WXYC". Существует модификация
вируса, которая выводит текст "Virus by Vs&W Hackers" и содержит строку
"Mad Max!".
X-Mrei.866, 1405
Неопасные резидентные шифрованные (X-Mrei.1405 - полиморфный) вирусы.
Не заражают файлы, содержащие в своем имени буквосочетания AIWEANIN.
Выводят на экран строку "X-Mrei 7".
XAM.278
Заражает EXE-файлы весьма оригинальным способом. Вирус внедряет свой
код в область таблицы перемещаемых символов (relocation table), изменив
три байта сигнатуры EXE-файла 'MZ' на JMP NEAR. Но самое интересное
то, что вирус использует для заражения INT 16h. Перехватывая данное
прерывание вирус контролирует дисковые буферы DOS, просматривает всю
цепочку дисковых буферов и если обнаруживает в каком-нибудь из них
признаки заголовка EXE-файла, то внедряет свой код в заголовок EXE,
находящийся в этом буфере и устанавливает признак "загрязненности"
буфера. Т.е., если данный буфер используется для записи, DOS запишет
заголовок EXE-файла вместе с вирусом на диск.
XAM.797
Неопасный резидентный вирус. Содержит строки "Wait viruses XAM",
"Hi, Dimitriy Nikolaevich!".
XorAA
Очень опасный Boot-вирус. После 256 загрузок с жесткого диска шифрует
17 секторов 4ех цилиндров на каждой головке "винчестера".
Xtac.1564
Опасный резидентный вирус. После 24 числа каждого месяца удаляет файлы,
расширение которых отличается от расширений, указанных в следующей
текстовой строке "COMEXESYSBATOBJOVROVLINICFGTPUHLPTPLBGICHR". Содержит
текст "good news! you have justbeen smitten by XTAC - lyndon siao,
usc-tc"
Xuxa.1096, 1656
Неопасные резидентные шифрованные вирусы. Удаляют файлы CHKLIST.MS,
ANTI-VIR.DAT, CHKLIST.CPS. В августе Xuxa.1096 выводит текст:
Si no viste el Show de Xuxa por T.V, ni en vivo... '
ahora podes verlo en tu PC!. - XOU DA XUXA 1.2 '
By Leviathan.$'
Xuxa.1656 6 марта с 9.00 до 11.00 выводит на экран текст:
Xuxa Park 1.0 ю By Hades
"Y luchemos para que todos los niдos delmundo tengan derecho a soдar,
a soдar por igual"
Содержат текстовую строку "TBSCASOLTOOCPF-CHKIBM".
Xyz.1561
Неопасный резидентный, пытающийся быть невидимым, вирус. В пятницу
может вывести слово из 3 букв, коее очень умные люди привыкли писать на
заборах.
YADEKA.Demo
Опасный резидентный вирус. Из-за ошибки разрушает около половины всех
заражаемых файлов. Выводит текст "This file infected with [yet another
data encryption kernel advance] demo virii". Также содержит текст "[yet
another data encryption kernel advance]�v1.00".
Yale (1-3)
Опасные загрузочные вирусы. "Перехватывают" INT 9 и при нажатии на
Ctrl-Alt-Del заражают загрузочный сектор диска A:,сохраняя оригинальный
сектор по адресу 0-39-9, отформатировав предварительно 39 цилиндр.
Yankee.2561
Неопасный резидентный вирус - плагиат вирусов семейства Doodle. По 20
числам "трясет" экран. Содержит зашифрованный текст "(C) by M.E.S. from
MSU. Moscow 1993. Version 1.00 ( Demo ).Wait new viruses soon. See Ya!"
Yard.448, 590
Опасные резидентные вирусы. Уничтожают *.BAK-файлы. Содержат строку
"Yard-keeper".
Yeke.1204, 1706, 2425
Неопасные (Yeke.2425 - очень опасный) резидентные зашифрованные вирусы.
Yeke.2425 может уничтожить содержимое CMOS-памяти и секторов дисков.
Проигрывают мелодию и выводят тексты:
Yeke.1204, 1706:
Be Careful. YEKE Controls Your Computer.
Yeke.2425:
TERMINATOR 2
