Компьютерная вирусология ч. 1
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ Virus-90 ¦ RC-857 ¦ ¦1¦ ¦D ¦An Cn ¦США (Вашингтон), декабрь 1989. ¦
(Вирус-90) ¦ ¦ ¦ ¦ ¦M ¦81 B8 FE FF 8E D8 2D CC ¦Деструктивные действия отсутствуют. ¦
¦ ¦ ¦ ¦ ¦C ¦81 B8 FE FF 8E D8 2D CC ¦Известен автор (Patrick Toulme). ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦Задуман как демоверсия - заражает файлы ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦только на дискетах. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*#$ Typo COM ¦ RC-867 ¦ ¦1¦ ¦D ¦Av Cy Li ¦Великобритания (Брайтон), 10.89, Joe Hirst. ¦
¦ (Опечатка) ¦ ¦ ¦ ¦ ¦M ¦99 FE 26 A1 5A 00 2E 89 ¦При выполнениии зараженной программы по чет-¦
¦ Typo/Fumble, ¦ ¦ ¦ ¦ ¦C ¦32C0B4DDCD163AC4750258C35356068B ¦ным дням заражает все СOM-файлы в текущем ¦
¦ Fumble ¦ ¦ ¦ ¦ ¦ ¦ ¦каталоге. Искажает данные пересылаемые через¦
(Искажатель), ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦параллельный порт (например принтер), ¦
867 ¦ ¦ ¦ ¦ ¦ ¦ ¦заменяя некоторые, случайно выбираемые сим- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦волы на символы, расположенные на клавиатуре¦
¦ ¦ ¦ ¦ ¦ ¦ ¦справа ("w" на "q", "s" на "a" и т.д. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# June16th ¦ C-879 ¦ ! ¦1¦ ¦D ¦Az Cy Mc ¦ЮАР: апрель 1990 ¦
¦$ Pretoria, ¦ ¦ ¦ ¦ ¦M ¦4D A9 A5 2E 70 66 2E 57 09 0F ¦При исполнении зараженной программы вирус ¦
South Africa ¦ ¦ ¦ ¦ ¦C ¦AC34A5AA4B75F9C3A11F0150A11D01A3 ¦просматривает все дерево каталогов и зара- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦жает все имеющиеся COM-файлы. При этом время¦
¦ ¦ ¦ ¦ ¦ ¦ ¦поиска и заражения достаточно велико, в осо-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦бенности на системах с жестким диском, когда¦
¦ ¦ ¦ ¦ ¦ ¦ ¦время загрузки программы становится велико. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Каждое 16-е июня уничтожает FAT и главный ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦каталог, записывая в соответствующие сектора¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦слова ZAPPED ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*$ April First ¦RC-897 ¦Ier¦1¦~¦D ¦Ab ¦Израиль, Июнь 1987 ¦
(Первоапрель- ¦ ¦ ¦ ¦ ¦I ¦89263401B419CD2104412EA265032EA2B ¦При заражении очередного файла вирус выдает ¦
ский СОМ вирус)¦ ¦ ¦ ¦ ¦+ ¦103BF6703578BF2807C013A750D8A042E ¦на экран сообщение ¦
Suriv101, ¦ ¦ ¦ ¦ ¦+ ¦A265032EA2B103 ¦ YOU HAVE A VIRUS. ¦
Suriv01, ¦ ¦ ¦ ¦ ¦C ¦BE8104B900FF81E98104B4DDCD21EB23 ¦ Первого апреля выдает сообщение ¦
SURIV 1, ¦ ¦ ¦ ¦ ¦T ¦sURIV 1.01 ¦ HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS.¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦и вызывает зависание системы, требующее хо- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦лодной перезагрузки (с помощью клавиши RESET¦
¦ ¦ ¦ ¦ ¦ ¦ ¦или выключение питания) ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# VP ¦ C-913 ¦ ¦1¦ ¦D ¦Cy Ic ¦Великобритания: май 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M1¦45 03 EB 18 08 65 56 50 ¦Весьма странный вирус, который иногда при ¦
¦ ¦ ¦ ¦ ¦ ¦M2¦21 89 1E 22 03 8C 06 24 03 B4 ¦заражении файла начинает выдавать на экран ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦его содержимое (следы отладки ?), а иногда ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦пытается запустить его на счет. В конце и ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦в начале файла имеется строка M1 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* Devil dance ¦ RC-941 ¦ ¦ ¦ ¦D ¦Az Km ¦Мексика(Мехико): декабрь 1989, Mao Fragoso ¦
(Танец дьявола)¦ ¦ ¦ ¦ ¦M1¦ 1E 06 8C C0 48 8E C0 26 ¦После того как вирус стал резидентным ¦
¦ ¦ ¦ ¦ ¦M2¦5E 1E 06 8C C0 48 8E C0 26 ¦попытка выполнить теплую перезагрузку при- ¦
¦ ¦ ¦ ¦ ¦C ¦ 1E 06 8C C0 48 8E C0 26 ¦водит к выдаче на экран сообщения ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦"DID YOU EVER DANCE WITH THE DEVIL ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ IN THE WEAK MOONLIGHT? ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ PRAY FOR YOUR DISKS!! ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ The Joker" ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦После первых 2000 нажатий на клавиши вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦начинает изменять цвет вводимого текста на ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦экране монитора, а после 5000 нажатий ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦уничтожает первую копию FAT. Попытка пере- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦загрузки начиная с этого момента помимо вы- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦дачи приведенного выше сообщения ведет к ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦уничтожению первой копии FAT. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# 1008 ¦RC-01008 ¦ ¦1¦ ¦D ¦Co Ml Zeh ¦США, июнь 1990. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦Заражает только файл COMMAND.COM. Маскирует ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦увеличение длины на зараженной машине. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Возможны зависания системы при загрузке или ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выдача ошибки "internal stack error" ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Fellowship ¦RE-1022 ¦ ¦1¦ ¦D ¦Itp Pt Se ¦Австралия: июль 1990 ¦
¦ (Товарищество), ¦ ¦ ¦ ¦ ¦M ¦D2 74 01 40 89 44 04 89 54 02 ¦Инфицированные файлы содержат в конце текс- ¦
¦ 1022 ¦ ¦ ¦ ¦ ¦T1¦This message is dedicated to ¦товые строки T1-T5 ¦
¦ ¦ ¦ ¦ ¦ ¦T2¦all fellow PC users on Earth ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T3¦Toward A Better Tomorrow ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T4¦And a better Place To Live In ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T5¦03/03/90 KV KL MAL ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# V1024, ¦RCE-1024 ¦DAv¦1¦<¦D ¦Cn Se Ml ¦Болгария: май 1990 ¦
¦ Dark Avenger III¦ ¦ ¦ ¦ ¦DR¦h 1072 ¦Ранняя версия RCE-2000, хотя ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1024 < LenCE ¦обнаружена позднее. При запуске инфицирован-¦
¦ ¦ ¦ ¦ ¦M ¦2B C8 75 ED 8B D1 B8 00 42 CD 21 ¦ной программы вирус инсталлируется в и про- ¦
¦ ¦ ¦ ¦ ¦T ¦7106286813 ¦веряет ряд прерываний, включая 1 и 3. Если ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦последние перехвачены, то вирус дает выпол- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ниться программе-носителю, а при выполнении ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦следующей программы подвешивает систему. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Вирус переносит несколько прерываний в стар-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦шие адреса и использует их в дальнейшем. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
