Компьютерная вирусология ч. 1
¦ ¦ ¦ ¦ ¦T ¦ LEGALISE MARIJUANA! ¦Вирус не проверяет, записаны ли в секторе 0/1/3 дан- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ные или нет.Для дискеток с большим количеством мелких¦
¦ ¦ ¦ ¦ ¦ ¦ ¦файлов или подкаталогов возможна потеря информации. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Имеется штамм, записывающий хвост по другому адресу ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
Italian Bouncing¦Bx1-1C-a¦PP ¦5¦>¦D ¦ L512+471 N2 Sx1 Mn ¦Италия (Турин): 03.88; СССР: весна 1989 ¦
(Итальянский ¦ ¦ ¦ ¦ ¦DR¦u 2K ¦Двигающийся по экрану светлый ромбик, отражающийся от¦
попрыгунчик), ¦ ¦ ¦ ¦ ¦J ¦ EB1C90 ¦границ экрана и символов псевдографики. На цветном ¦
*$ Ping-Pong ¦ ¦ ¦ ¦ ¦M ¦ 595B58071FEA (штамм А) ¦мониторе возможно изменение цвета отдельных символов ¦
(пинг-понг), ¦ ¦ ¦ ¦ ¦M ¦ A1F581A3F57D8B36F981 (штамм В) ¦или полей. Самый распространенный в СССР бутовый ви-¦
Bouncing Dot ¦ ¦ ¦ ¦ ¦I ¦ 8ED8A113042D0200A31304B106D3 ¦рус. Имеется штамм с 2-мя двигающимися символами. ¦
движущаяся точка), ¦ ¦ ¦ ¦+ ¦ E02DC0078EC0BE007C8BFEB90001 ¦После появления ромбик продолжает двигаться до пере- ¦
Bouncing Ball ¦ ¦ ¦ ¦ ¦ ¦ ¦загрузки компьютера.Инфицирование дискеток происходит¦
прыгающий мячик),¦ ¦ ¦ ¦ ¦ ¦ ¦очень быстро. При просмотре карты инфицированного ¦
Vera Cruz, ¦ ¦ ¦ ¦ ¦ ¦ ¦диска виден один сектор, отмеченный как сбойный ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Оригинальная версия работоспособна только на PC/XT. ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
Modified ¦Bx1-1C-b¦PP ¦1¦ ¦D ¦ L512+510 N2 Sx1 Mn ¦Штамм, модифициpованный виpусом ¦
Ping Pong ¦ ¦ ¦ ¦ ¦DR¦u 2K ¦Yankee Doodle. Размножение ¦
Модифицированный¦ ¦ ¦ ¦ ¦J ¦ ¦ограничено 255 заражениями. ¦
пинг-понг) ¦ ¦ ¦ ¦ ¦B ¦ 891E2C7D8A16F87DE94103 ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
Hacked Ping Pong¦Bx1-1C-с¦PP ¦1¦ ¦D ¦ L512+293 N2 Sx1 Mn ¦Данный штамм размножается, но из-за внесенных ¦
(Искромсаный ¦ ¦ ¦ ¦ ¦DR¦u 2K ¦изменений визуальный эффект (двигающийся ромбик) ¦
пинг-понг) ¦ ¦ ¦ ¦ ¦B ¦ 8ED88ED0BC007C ¦отсутствует. ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# Brain ¦ Dx3-E9a¦ ¦1¦ ¦D ¦ L512+1214 N1 Sx3 Mr ¦Пакистан (Лахор):1986; ¦
(Брейн) ¦ ¦ ¦ ¦ ¦DR¦u 7K ¦США: октябрь 1987, Anne E. Webster ¦
Brain-86 ¦ ¦ ¦ ¦ ¦J ¦ FAE94A ¦ ¦
¦ ¦ ¦ ¦ ¦I ¦ 8CC88ED88ED0BC00F0FBA006 ¦Переименовывает зараженные дискеты, проставляя метку ¦
¦ ¦ ¦ ¦ ¦+ ¦ 7CA2097C8B0E077C890E0A7CE85700 ¦" (c) Brain" ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$Ashar ¦ Bx3-E9 ¦ ¦1¦ ¦D ¦ L512+1214 N1 Sx3 Mr ¦США: 1989 ¦
(Ашар) ¦ ¦ ¦ ¦ ¦DR¦u 7K ¦СССР(Москва): конец 1989, Лозинский Д.Р. ¦
Shoe_Virus, ¦ ¦ ¦ ¦ ¦J ¦ FAE94A ¦ ¦
¦ ¦ ¦ ¦ ¦I ¦ 8CC88ED88ED0BC00F0FBA006 ¦Переименовывает зараженные дискеты, проставляя метку ¦
UIUC Virus ¦ ¦ ¦ ¦ ¦+ ¦ 7CA2097C8B0E077C890E0A7CE85700 ¦ . Заражает винчестер. При просмотре ¦
¦ ¦ ¦ ¦ ¦M ¦ 8D88ED0BC00F0FBA006 ¦зараженного бутсектора подставляет оригинальный ¦
¦ ¦ ¦ ¦ ¦T ¦ Welcome to the Dungeon ¦бутсектор из хвоста вируса. Поэтому увидеть ¦
¦ ¦ ¦ ¦ ¦T ¦ (c) 1986 Basit & Amjad (pvt) Ltd. ¦содержимое зараженного бутсектора можно только ¦
¦ ¦ ¦ ¦ ¦T ¦ BRAIN COMPUTER SERVICES ¦после загрузки с защищенной дискеты с MS DOS ¦
¦ ¦ ¦ ¦ ¦T ¦ LAHORE-PAKISTAN ¦ ¦
¦ ¦ ¦ ¦ ¦T ¦ VIRUS_SHOE RECORD, v9.0. ¦ ¦
¦ ¦ ¦ ¦ ¦T ¦ Dedicated to the dynamic memories¦ ¦
¦ ¦ ¦ ¦ ¦T ¦ of millions of virus who are ¦ ¦
¦ ¦ ¦ ¦ ¦T ¦ no longer with us ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ Brain ¦ Dx3-E9s¦ ¦1¦ ¦D ¦ L512+1214 N1 Sx3 Mr ¦Сингапур ?: 1988 ¦
(Брейн) ¦ ¦ ¦ ¦ ¦DR¦u 7K ¦СССР(Днепропетровск):весна 1990 (А.Сесса). ¦
Brain-88, ¦ ¦ ¦ ¦ ¦I ¦ 8CC88ED88ED0BC00F0FB ¦Штамм вируса BRAIN ¦
Singapore Brain, ¦ ¦ ¦ ¦+ ¦ A0067CA2097C8B0E077C890E0A7CE85900¦разработанный, по видимому ¦
(Сингапурский ¦ ¦ ¦ ¦ ¦M ¦ A0067CA2097C8B0E077C ¦в Сингапуре в 1988 году. ¦
вирус), ¦ ¦ ¦ ¦ ¦M ¦ 208CC88ED88ED0 ¦ ¦
Pakistani Brain,¦ ¦ ¦ ¦ ¦T ¦(C) 1988 Basit & Amjad (pvt) Ltd. ¦ ¦
(Душманские мозги)¦ ¦ ¦ ¦ ¦T ¦Lahore,Pakistan. ¦ ¦
Basit ¦ ¦ ¦ ¦ ¦T ¦Ver (Singapore) ¦ ¦
(Базит) ¦ ¦ ¦ ¦ ¦T ¦Beware of this "virus". ¦ ¦
¦ ¦ ¦ ¦ ¦T ¦It will transfer to million of Disk¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ Disk Killer ¦ Bx3-EB ¦!!!¦5¦<¦D ¦ L505+1698 N1 Sx3/t0 Mn ¦Тайвань; США(Калифорния): апрель 1989; ¦
(Дисккиллер), ¦ ¦ ¦ ¦ ¦DR¦u 8K ¦СССР: конец 1989 ¦
OGRE (Людоед) ¦ ¦ ¦ ¦ ¦J ¦ FAEB4F ¦Уничтожает логический диск С винчестера, полностью ¦
¦ ¦ ¦ ¦ ¦M ¦ C310E2F2C606F301FF90EB55 ¦перезаписывая его содержимое. На винчестере ¦
¦ ¦ ¦ ¦ ¦T ¦Disk Killer -- Version 1.00 ¦располагается в секторах, расположенных после MBR. ¦
¦ ¦ ¦ ¦ ¦T ¦by COMPUTER OGRE 04/01/1989 ¦Вирус может записать свой хвост в сектора, принадле- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦жащие файлу, тем самым уничтожая его содержимое ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦ *$ Den Zuk ¦ D-29 ¦ ¦2¦<¦D ¦ ¦Венесуэла или Индонезия: 1989; ¦
¦ (Ден-зук), ¦ ¦ ¦ ¦ ¦DR¦u 8K ¦СССР(Москва): июнь 1990 (Алексеев С.) ¦
¦ Search ¦ ¦ ¦ ¦ ¦J ¦ EB2990 ¦Заражает только дискеты. Тело вируса размещается на ¦
¦ (Поиск), ¦ ¦ ¦ ¦ ¦M ¦8E C0 BE C6 7C BF 00 7E ¦41 дорожке (адрес 40/0/33) дискеты и при обычном ¦
¦ Venezuelan ¦ ¦ ¦ ¦ ¦I ¦FA8CC88ED88ED0BC00F0FBB8787C50C3 ¦копировании дискеты теряется. При попытке "мягкой" ¦
(Венесуэльский) ¦ ¦ ¦ ¦ ¦ ¦ ¦перезагрузки клавишами Ctrl-Alt-Del на экран выдается¦
¦ ¦ ¦ ¦ ¦ ¦ ¦надпись "DEN ZUK". Подобно программам защиты от копи-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦рования вирус размечает 41 дорожку нестандартно ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦нумеруя сектора 33-42 вместо обычных 1-9 ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# Joshi, ¦WM-1F ¦ ¦ ¦ ¦D ¦ L512+ N1 S 40.1.1-40.1.5 Mr ¦Индия: июнь 1990. СССР (Москва, Киев) июль 1990 ¦
(Джоши), ¦ ¦ ¦ ¦ ¦DR¦wu 6K ¦(Лозинский Д.Н.,Литвинов Б.) ¦
Happy Birthday ¦ ¦ ¦ ¦ ¦DH¦8, 9, 13, 21 ¦Наиболее скрытный и тщательно маскирующийся из попав-¦
(С днем рожденья)¦ ¦ ¦ ¦ ¦M ¦F3 A4 8C C0 05 20 00 8E C0 BB ¦ших в CCCР. Заражает как 360К, так и 1.2М дискеты, ¦
¦ ¦ ¦ ¦ ¦T ¦Type "Happy Birthday Joshi" !$ ¦Зараженный MBR при резидентном вирусе не виден.Хранит¦
¦ ¦ ¦ ¦ ¦ ¦ ¦хвост на дополнительной дорожке (41 для 360К дискет, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦81 для 1.2М дискет). Характерной особенностью являет-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ся возникновение проблем с дискетами 1.2M на заражен-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ных компьютерах (пропадание формата 1.2 из меню PC ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦TOOLS, сбои отформатированных дискет при записи и др)¦
¦ ¦ ¦ ¦ ¦ ¦ ¦5 января вирус активируется и выдает на экран сообще-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ние "type Happy Birthday Joshi". Если пользователь ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ответит "Happy Birthday Joshi" то работоспособность ¦
