Компьютерная вирусология ч. 1
¦ ¦ ¦ ¦ ¦ ¦ ¦Имеется два почти идентичных штамма ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦ LoveChild ¦ RC-488 ¦!!!¦ ¦ ¦D ¦Aak Bn Seo ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦P ¦ ¦СССР, август 1990 г. ¦
¦ ¦ ¦ ¦ ¦H ¦21-3C, 21-3D, 21-4B 21-5B ¦Заражает файлы с расширением при их ¦
¦ ¦ ¦ ¦ ¦B ¦B8 42 02 5B 53 33 C9 8B D1 CD 21 05 12 00 ¦загрузке в память, при открытии ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦создании, длин файлов не проверяет. ¦
¦ ¦ ¦ ¦ ¦T1¦v2 (c) Flu Systems (R) ¦Изменяет первые 4 байта файла на команды ¦
¦ ¦ ¦ ¦ ¦T2¦LoveChild in reward for software sealing ¦STI; JMP VirStart. При инсталляции ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦записывает свое тело во вторую часть таблицу¦
¦ ¦ ¦ ¦ ¦ ¦ ¦векторов прерываний, по адресу 0000:01E0. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦В зависимости от счетчика времени может ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦уничтожать файлы или создавать вместо файла ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦подкаталог с таким же именем. Вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦периодически модифицирует COM-файлы таким ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦образом, что их запуск вызовет стирание ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦секторов винчестера (стирается вся ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦информация, расположенная на всех секторах, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦соответствующих 0-3 головкам записи/чтения).¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
492, ¦ RC-492 ¦Int¦1¦<¦D ¦Ac Ba Cy Dy Es Itp K1 L492 Sce ¦CCCP(Москва, ВЦ АН СССР): июль 1990, ¦
sI ¦ ¦ ¦ ¦ ¦P ¦0 =80286 ¦Н.Н.Безруков ¦
¦ ¦ ¦ ¦ ¦H ¦1C, 21 ¦Простой, плохо отлаженный вирус. ¦
¦ ¦ ¦ ¦ ¦J ¦2E8B1E010183C303B104D3EB8CD803C3 ¦Уничтожает несколько секторов на диске, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выбирая их случайным образом и записывая ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦в них содержимое участка оперативной памяти ¦
¦ ¦ ¦ ¦ ¦F ¦-V, NEATFAG, K32 ¦Копирует себя в область векторов прерываний,¦
¦ ¦ ¦ ¦ ¦ ¦ ¦начиная с 0000:0200h ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦На PC/XT не работоспособен. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦ 13 месяц-Б, ¦ С-507 ¦Ven¦1¦ ¦D ¦An Ba Cy Dm13 Ee Itc Jn K1 Li Mn Ry Sc ¦Польша: 1988 ¦
¦ Toothless-B ¦ ¦ ¦ ¦ ¦DP¦256 < LenC ¦Штамм вируса С-534. При заражении программы ¦
¦ (Беззубый), ¦ ¦ ¦ ¦ ¦T1¦????????COM ¦изменяет ее дату с установкой месяца на 13 ¦
¦*# W13-B ¦ ¦ ¦ ¦ ¦T2¦Мicrosoft ¦(признак зараженности). Заражает файлы толь-¦
¦ ¦ ¦ ¦ ¦ ¦F ¦MKS_VIR ¦ко в текущем каталоге. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*#$ 512 ¦ RC-O-512¦DAv¦1¦<¦D ¦Cy ¦Болгария: ноябрь 1989, Весселин Бончев(?) ¦
¦ ¦ ¦!!!¦ ¦ ¦M1¦8B D8 53 B8 20 12 CD 2F 26 8A 1D B8 ¦ВНИМАНИЕ !!! Очень опасный и скрытно размно-¦
¦Number of the ¦ ¦ ¦ ¦ ¦M2¦01 8C 45 70 1F 89 57 14 8C CA 8E DA ¦жающийся вирус второго поколения. ¦
¦Beast Virus, ¦ ¦ ¦ ¦ ¦C ¦1EC54408720AB413CD2F1E52CD2F581F ¦Первый сегментированный вирус, хранящий ¦
¦(вирус апокалип- ¦ ¦ ¦ ¦ ¦T ¦666 ¦хвост в свободном секторе последнего класте-¦
¦сического числа),¦ ¦ ¦ ¦ ¦ ¦ ¦ра, распределенного зараженному файлу. ¦
¦Stealth Virus ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦При инсталляции в оперативной памяти занима-¦
¦(Стелс вирус) ¦ ¦ ¦ ¦ ¦ ¦ ¦ет часть памяти, отведенной под буфера. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
529, ¦RС-529 ¦Ier¦1¦ ¦D ¦An Bn Cn Dn Ee Ihc Jn K1 Lx Mn Se ¦CCCР (Ленинград): весна 1989, Лозинский Д.Н.¦
Peterburg, ¦ ¦/ВП¦ ¦ ¦P ¦529 < LenC < +oo ¦Возможно, штамм RСE-1813,однако не исключено¦
Пакость-1 ¦ ¦ ¦ ¦ ¦B ¦B815CA8B361B01BF00018B0E1D018B1E19 ¦что наоборот - одна из ранних версий ¦
¦ ¦ ¦ ¦ ¦F ¦AIDSTEST, AV ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
13 месяц, ¦ С-534 ¦Ven¦2¦ ¦D ¦An Ba Cy Dm13 Ee Itc Jn K1 Li Mn Sc Za ¦Польша: 1988. ¦
Микро-88 ¦ ¦ ¦ ¦ ¦P ¦529 < LenC < MaxC ¦Штамм вируса С-648. При заражении программы¦
Toothless Virus, ¦ ¦ ¦ ¦ ¦B ¦D681C60000FCB90300BF0001F3A48BFAB4 ¦изменяет ее дату с установкой месяца на 13 ¦
(Беззубый), ¦ ¦ ¦ ¦ ¦M1¦F3 A4 8B FA B4 30 CD 21 3C 00 ¦(признак зараженности) В отличие от С-648 ¦
*# W13 ¦ ¦ ¦ ¦ ¦T1¦????????COM ¦заражает файлы только в текущем и корневом ¦
¦ ¦ ¦ ¦ ¦T2¦Мicrosoftyright ¦каталогах. ¦
¦ ¦ ¦ ¦ ¦T3¦Microsoft 1988 ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦AV, -V, AIDSTEST ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦ 600, ¦ RC-600 ¦Ier¦1¦ ¦D ¦An Ba Cy Dn Ee Ihc Jn K1 Li Mc Se ¦Днепропетровск, май 1990, А.Сесса. ¦
¦ Пакость-2 ¦ ¦ ¦ ¦ ¦P ¦600 ¦D ¦Arbk Ba Cy Ds Ee Itc Jn K1 Li Sс Zb ¦Австрия, апрель 1988. СССР: август 1988 ¦
(Вена-А), ¦ ¦ ¦ ¦ ¦P ¦10 < LenC < MaxC ¦Поражает примерно каждый восьмой заражаемый ¦
DOS-62 ¦ ¦ ¦ ¦ ¦M ¦8BFE81C71F008BDE81C61F00 Штамм A ¦файл, так что при его запуске инициируется ¦
(ДОС-62), ¦ ¦ ¦ ¦ ¦M ¦8BFE83C71F908BDE83C61F90 Штамм B ¦перезагрузка MS DOS. При поражении ¦
Rebooter ¦ ¦ ¦ ¦ ¦I ¦FC8BF281C60A00BF0001B90300F3A4 ¦COMMAND.COM или программы, входящей в ¦
