Компьютерная вирусология ч. 1
Disk Crunching¦ ¦ ¦ ¦ ¦ ¦ ¦ражает программы. Если прерывание 13 указы- ¦
Virus ¦ ¦ ¦ ¦ ¦ ¦ ¦вает на BIOS, то вирус прехватывает его и ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦заражает каждую десятую исполняемую програм-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦му. При наличии винчестера 20M или больше ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦каждый раз при заражении программу отмечает ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦один свободный кластер в FAT как сбойный ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*$ Saturday 14th,¦RCE-685 ¦ ¦1¦ ¦D ¦Az Cn Itp-tp To ¦ЮАР: март 1990. ¦
¦ Durban ¦ -681 ? ¦ ¦ ¦ ¦M1¦1F B8 24 35 CD 21 8C 06 6F ¦Каждую субботу, которая приходится на 14 ¦
¦ ¦ ¦ ¦ ¦M2¦0E 1F B8 24 35 CD 21 8C 06 6F ¦число уничтожает первые 100 секторов диска ¦
¦ ¦ ¦ ¦ ¦C ¦A4E2FDB4DECD2180FCDF7447C6067102 ¦на дисках A,B,C ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Flash ¦RCE-688 ¦ ¦1¦ ¦D ¦Cn Itc-tx Se1 ¦Западная Германия: июль 1990. ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦500 < LenCE ¦При инсталляции вирус записывает тело в ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦976 ¦старшие адреса и обьем свободной памяти ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦B0 00 FA D5 0A 88 07 EB 05 EA C0 ¦уменьшается на 976 байт. Анализ прерываний ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦показывает, что адреса прерываний 00, 23, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦24, 30, ED, F5 и FB указывают на свободную ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦память. Общее количество памяти, сообщаемое ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦MS DOS а также количество памяти, использу- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦емое операционной системой и резидентными ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦программами не меняется ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Sorry ¦ RC-731 ¦ ¦ ¦ ¦D ¦Cy Itc Se1 ¦июнь 1990. ¦
¦ G-Virus V1.3 ¦ ¦ ¦ ¦ ¦HR¦21 ¦Штамм RC-765. Проявления неизвестны ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦u1024 ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦EB 96 83 2E 12 00 40 83 2E 03 ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T1¦G-VIRUS V1.3 ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T2¦Bitte gebe den G-Virus Code ein ¦ ¦
¦ ¦ ¦ ¦ ¦T3¦Tut mir Leid ! ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Taiwan ¦ C-743 ¦ ¦1¦ ¦D ¦Cy Ihc K1 Ph Src3 ¦Тайвань, 1990. ¦
¦ (Тайвань), ¦ ¦ ¦ ¦ ¦M ¦8A 0E 95 00 81 E1 FE 00 BA 9E ¦При выполнении зараженной программы ищет ¦
¦ $ Taiwan 2 ¦ ¦ ¦ ¦ ¦C ¦58004101268C0E5A0007E4210C02E621 ¦на диске С незараженный файл и заражет его ¦
¦ (Тайвань 2), ¦ ¦ ¦ ¦ ¦ ¦ ¦Записывает себя в начало файла, перенося ¦
¦ Sunny virus ¦ ¦ ¦ ¦ ¦ ¦ ¦соответствующую часть оригинальной программы¦
(Солнечный) ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦в конец файла ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*#$ Perfume, ¦RC-765 ¦ ¦2¦ ¦D ¦Cn Se1 ¦Западная Германия, Польша: декабрь 1989 ¦
¦ 765, ¦ -768 ? ¦ ¦ ¦ ¦M1¦A4 81 EC 00 04 06 BF BA 00 57 CB ¦Сведения о вирусе противоречивы. ¦
¦ 4711 ¦ ¦ ¦ ¦ ¦M2¦04 06 BF BA 00 57 CB 0E 1F 8E 06 ¦По данным Хоффман он нерезидентен, заражает ¦
¦ ¦ ¦ ¦ ¦C ¦832E030040B82135CD212E891E61002E ¦COMMAND.COM, дает постоянное приращение ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦зараженных файлов, иногда задает вопрос, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦правильным ответом на который является 4711 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(по видимому название или код какой-то не- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦мецкой парфюмерии). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦По другим данным вирус резидентен, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦записывает себя в старшие адреса памяти, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(1024 байта). Находясь в памяти заражает ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦каждую выполняемую программу ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Ambulance Car ¦ C-796 ¦ ¦1¦ ¦D ¦Bmv Cn ¦Западная Германия, июнь 1990 ¦
¦ (Скорая помощь),¦ ¦ ¦ ¦ ¦M ¦52 8B 9C 17 04 B9 19 03 8D 94 ¦При исполнении зараженной программы ищет ¦
¦ RedX ¦ ¦ ¦ ¦ ¦C ¦023DCD21898417048B9C1704B903008D ¦жертву на диске C: и затем заражает один ¦
¦ (Красный крест) ¦ ¦ ¦ ¦ ¦ ¦ ¦COM-файл в любом каталоге, При этом заража- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦емый файл не должен быть первым COM-файлом ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦в данном каталоге. Фаза проявления наступает¦
¦ ¦ ¦ ¦ ¦ ¦ ¦при выполнении зараженной программы в опре- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦деленный (случайный ?) момент времени. При ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦этом в нижней части эерана появляется изоб- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦женной с помощью псевдографики изображение ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦скорой помощу с красным крестом, которая ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦проезжает по экрану слева направо со звуком ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦сирены. ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# V800, ¦ RC-800 ¦DAv¦1¦<¦D ¦Cn Itc Km Mc Se ¦Болгария: май 1990. ¦
¦ Live after Death¦ ¦ ¦ ¦ ¦HR¦2A ¦Вирус содержит в зашифрованном виде строку ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h 16K ¦"Live after Death" ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1024 < LenC ¦ ¦
¦ ¦ ¦ ¦ ¦M ¦51 AD 33 D0 E2 FB 59 31 15 47 ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# V800M ¦ RC-800m ¦DAv¦1¦<¦D ¦Cn Itc Km Mc Seо ¦Болгария: май 1990. ¦
¦ Live after Death¦ ¦ ¦ ¦ ¦HR¦2A ¦Штамм RC-800 не содержащий строки ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h 8192 ¦"Live after Death". Заражает файлы и при ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1024 < LenC ¦открытии. Уменьшает обьем свободной памяти ¦
¦ ¦ ¦ ¦ ¦M ¦51 AD 33 D0 E2 FB 59 31 15 47 ¦не на 16K, а на 8192. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Icelandic-III ¦RE-853 ¦ ¦1¦ ¦D ¦Itp Mm ¦Исландия: декабрь 1989. ¦
¦ December 24th ¦ ¦ ¦ ¦ ¦M ¦24 2E 8F 06 3B 03 90 2E 8F 06 ¦Штамм RE-656. Не заражает программы, инфици-¦
¦ ¦ ¦ ¦ ¦ ¦C ¦24 2E 8F 06 3B 03 90 2E 8F 06 ¦рованные вирусами RC-656 и RC-632. Если ин- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦фицированная программа запускается 24 декаб-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ря, то через некоторое время на экран выда- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ется сообщение "Gledileg jol" (Счастливого ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Рождества на исландском языке). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
