d - заражает все файлы на текущем диске;
f - заражает файл в каталоге, где находится файл, запускаемый на выполнение;
e - заражает файлы, запускаемые на выполнение (прерывание 21-4Bh MS DOS);
h - инсталлируется в старших адресах памяти, затирая оверлейную часть COMMAND.COM,
а затем заражает его при загрузке;
i - инсталлируется в старшие адреса таблицы векторов прерываний;
l - имеет средства распространения по локальной сети;
m - (main catalog) - заражает файлы в главном каталоге;
n - (new) - заражает файлы при создании
o - заражает любые открываемые файлы с подходящими расширениями;
p - заражает файлы, путь доступа к которым указан в команде PATH;
r - заражает файлы, для которых выполняется чтение;
s - (shell) - при инсталляции ищет и заражает COMMAND.COM;
t - (tree) - просматривает дерево каталогов и заражает по одному случайно выбираемому файлу
в каждом каталоге;
<целое> - количество файлов, заражаемых "в один прием";
1x - по одному каждым из упомянутых способов;
1t - по одному в каждом каталоге;
1t - по одному в каждом каталоге;
T - дополнительные расширения заражаемых файлов, помимо указанных в классификационном коде:
a - любое
b - BIN;
o - OVL, OVR;
s - SYS;
Z - побочные проявления действий вируса:
a - (attr) - изменение атрибутов при заражении файла, например a(r) - снятие атрибута READ ONLY;
b - (boot) - при заражении программ, запускаемых в файле
AUTOEXEC.BAT, возможно зацикливание процесса загрузки;
e - появление ошибок типа деления на нуль, переполнения стека и т.п.;
f -(FAT) - искажения FAT
h - (hang) зависания системы
o - нарушение функционирования программ с оверлейной структурой.
Например, возникновение ошибок при загрузке отдельных фаз оверлейной программы;
r - нарушение работы некоторых резидентных программ вследствие
использования вирусом общих с ними системных прерываний;
t - (twins) сращивание цепочек в FAT;
v - (video) - мерцание монитора или выдача на экран каких-то случайных последовательностей символов;
x - (eXtended) повреждение расширенных EXE-файлов, т.е. таких,
у которых длина, указанная в элементе оглавления больше
длины, указанной в заголовке. При запуске таких программ в
память загружается только то количество байтов, которое
определено в заголовке файла. Оставшаяся область дискового
пространства может использоваться как буфер или как неявный
оверлей.
3. В предикате P указываются критерии выбора "жертвы" для заражения: имя файла, атрибуты, дата создания,
минимальная и максимальная длина заражаемых файлов (указываются через черточку):
Atr - атрибуты. Для атрибутов указываются обозначения битов при которых заражение файлов не происходит,
если таковые существуют):
r - READ_ONLY - не заражает файлов с этим атрибутом;
h - HIDDEN - не заражает файлов с этим атриутом;
z - (zapped) вирус снимает имеющиеся у файла атрибуты и не восстанавливает их после заражения файла;
d - дата создания заражаемых файлов не должна совпадать с текущим месяцем и датой;
LenC, LenE, LenCE - длины файлов типа COM, EXE и COM&EXE соответственно
MaxC - максимальная длина COM-файла, длина которого после инфицирования данным вирусом
не превысит 64 Кбайт (MaxC = 64K - <длина вируса>);
Name - имя файла.
Date - дата создания файла
4. В списке Н указаны номера прерываний, перехватываемые данным вирусом.
5. Резидентные вирусы часто конфликтуют с другими резидентными программами. Это может приводить к зависанию системы,
выдаче ошибок (деление на ноль, переполнение и др.), зацикливании при загрузке MS DOS и другим побочным эффектам.
6. Символом "*" помечены названия вирусов, выдаваемые полидетектором Scan при обнаружении М-сигнатур, символом "#"
- названия, используемые в VIRUS INFORMATION SUMMARY LIST, составленном Патрицией М. Хоффман (Patricia M. Hoffman) а
символом "$" - названия, выдаваемые полидетектором TNTVIRUS (фирмы CARMEL). Символом "+" обозначено продолжение
Некоторые вирусы группы TP идентифицируется детектором SCAN как одновременно присутствующие вирусы Yankey Doodlе и
Vacsina, что обычно не означает зараженности программы двумя вирусами одновременно. Для вирусов Yankee Doodle SCAN
использует M-сигнатуру "35CD218BF38CC7", которая для экономии места в таблице не приводится. Информация по ряду вирусов
неполна.
7. Вирусы упорядочены по возрастанию классификационной характеристики. Для вирусов, отсутствующих в СССР, в качестве
классификационной характеристики используется величина, приводимая П.Хоффман или в документации к полидетектору SCAN.
Символы nnnn в классификационном коде вируса означают, что сведения о размере цифровой характеристики отсутствуют.
8. В графе "Распр." указана степень распространенности вируса в СССР (оценка автора). Степень распространенности дается
по пятибальной шкале (1 - обнаружен только в одном городе и о других случаях информация не поступала, 2 - в нескольких городах,
кроме Москвы и Киева; 3 - случаи заражения отмечались и в Москве и в Киеве, 4 - во многих крупных городах, 5 - практически
повсеместно).
9. В графе "Динамика" указывается динамику распространения данного вируса на момень составления таюлицы
( "<" - нарастание эпидемии, "*" - пик эпидемии, ">" - спад эпидемии, "~" - практически повсеместно уничтожен).
10. Вертикальной чертой ("¦") слева от неформального названия помечены новые вирусы и вирусы, информация о которых была
дополнена или изменена по сравнению с редакциями 3.1-3.9.
11. Для неизвестных в СССР вирусов можно попытаться использовать полифаг CLEAR, входящий в пакет антивирусных средств,
распространяемых фирмой McAfee Associates как SHAREWARE, однако в качестве "выкусывания" этого полифага есть основания
сомневаться, поэтому рекомендуется сделать резервные копии зараженных программ перед "выкусыванием", а само выкусывание
проводить на дискете, а не на винчестере.
12. В графе "Группа" указано к какой группе приндлежит данный вирус. Если после обозначения группы или вместо нее
стоит один или несколько восклицательных знаков, то данный вирус представляет значительную опасность и более подробно
рассмотрен в основном тексте. При этом используется следующее обозначение групп:
Ven - венская
Ier - иерусалимская
TP - болгарская TP-группа
Dcr - DataCrime
DAv - группа Dark Avenger
ДДДДДДДДДДДДДДДДДВДДДДДДДДДВДДДВДВДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
¦ ¦ Г ¦Р¦Д¦ Дескриптор, сигнатуры и фаги данного вируса ¦ ¦
Неформальные ¦Классифи-¦ р ¦а¦иГДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ Страна и дата обнаружения, ¦
названия ¦кационный¦ у ¦с¦н¦B ¦ ¦ фамилия исследователя обнаружевшего ¦
¦код ¦ п ¦п¦а¦и ¦ Значение ¦ и изолировавшего вирус (если известны), ¦
¦вируса ¦ п ¦р¦м¦д ¦ ¦ вызываемые эффекты ¦
¦ ¦ а ¦о¦и¦ ¦ ¦ ¦
¦ ¦ ¦с¦к¦ ¦ ¦ ¦
¦ ¦ ¦т¦а¦ ¦ ¦ ¦
¦ ¦ ¦р¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦ Kemerovo-Reset ¦ C-257 ¦ ¦1¦ ¦D ¦Ar Ba Cy Dt Itc K1 Mn Sc ¦СССР (Кемерово), июль 1990, Сусликов Е. ¦
¦ (Кемеровская ¦ ¦ ¦ ¦ ¦P ¦ ¦Заражает все COM-файлы в текущем каталоге. ¦
¦ перезагрузка) ¦ ¦ ¦ ¦ ¦B1¦ ¦Иногда вызывает перезагрузку MS DOS. Не ¦
¦ ¦ ¦ ¦ ¦B2¦5A 52 89 D6 81 C6 C1 00 89 D8 2D 04 00 ¦закрывает файлы, открываемые файлы (по ¦
¦ ¦ ¦ ¦ ¦T ¦*.COM ¦одному на заражаемую программу), причем ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦открыть их может очень много. Портит время ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Не блокирует сообщения о защите от записи. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Зараженные программы теряют способность ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦обрабатывать параметры. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
IV-345 ¦ C-345 ¦IV ¦1¦~¦D ¦Ab Bat Cy Dn Ee Ihc K1 Li Mn Sc ¦Западная Европа: 1988; СССP: 1989 ¦
$ Pixel-1 ¦ ¦ ¦ ¦ ¦P ¦0
