Компьютерная вирусология ч. 1
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Anthrax ¦RCEP-1040 ¦ ¦1¦ ¦D ¦Co Ml ¦Нидерланды, июнь 1990. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦75 ED 06 1E 07 1F 32 F6 B9 02 00 33 ¦При запуске зараженной программы на компью- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦тере с винчестером заражется MBR и становит-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ся резидентным. Затем вирус не сразу начина-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ет заражать программы, а ждет наступления ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦некоторого события, возможно, определнного ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦количества вводов с клавиатуры. После этого ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦заражаются по одной программе, каждый раз ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦когда та или иная программа запускается на ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выполнение. Жертва ищется по дереву катало- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦гов диска С. Приращение варьируется от 1040 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦до 1232 байт. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Armageron ¦ RC-1079 ¦ ¦1¦ ¦D ¦Se ¦Греция (Афины): июнь 1990, George Spiliotis ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦B8 00 43 CD 21 2E 89 0E 48 01 ¦При запуске зараженной программы вирус ¦
Armagedon ¦ ¦ ¦ ¦ ¦ ¦ ¦инсталлируется и заражает исполняемые файлы ¦
The First, ¦ ¦ ¦ ¦ ¦ ¦ ¦Периодически посылает на порты COM1-COM4 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦текстовую строку "Armagedon the GREEK". ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦С 5:00 до 7:00 делает попытки использовать ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦COM-порт для телефонного вызова по определ. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦номеру. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# 1168/DataCrime¦ С-1168 ¦Dcr¦3¦~¦D ¦Ac Mc ¦Голландия, апрель 1989. ¦
$ DataCrime A ¦ ¦!!!¦ ¦ ¦M1¦EB 00 B4 0E CD 21 B4 ¦Размножается с апреля по октябрь (с января ¦
(Дейтакрайм), ¦ ¦ ¦ ¦ ¦M2¦36 01 01 83 EE 03 8B C6 3D 00 ¦по 1 апреля вирус "впадает в спячку"). ¦
Columbus Day ¦ ¦ ¦ ¦ ¦I ¦8B36010183EE038BC63D00007503E9FE00 ¦Фаза проявления наступает 13 октября и ¦
(День Колумба) ¦ ¦ ¦ ¦ ¦ +¦1114011416071C181075031C0700065F580710 ¦продолжается по 31 декабря В этот период ¦
October 13 ¦ ¦ ¦ ¦ ¦ +¦1910140610116F756475181407161D75646C6D ¦при запуске зараженной программы вирус ¦
(13 октября) ¦ ¦ ¦ ¦ ¦ +¦6C5F58 ¦выдает сообщение ¦
¦ ¦ ¦ ¦ ¦C ¦B402CD2143FEC975F1BBAD01B500BA80 ¦ "DATACRIME VIRUS" ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ "RELEASED: 1 MARCH 1989". ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦затем уничтожает первые 8 треков дисков А:, ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦B:, C и D: см. также штаммы С-1280 и CE-1514¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# July 13TH ¦ E-1201 ¦ ¦2¦ ¦D ¦Ip ¦Испания (Мадрид): июль 1990, ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1201 < LenE ¦Guillermo Gonzalez Garcia. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦12 00 B9 B1 04 2E 30 04 46 E2 ¦Файловый вирус демонстрирующий 13 июля любо-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦го года эффект движущегося шарика, заимство-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ванный из бутового вируса Bx1-1C(Ping-pong) ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# 1210, ¦RE-1210 ¦ ! ¦1¦ ¦D ¦Aci Se ¦Испания(Барселона), декабрь 1989. ¦
¦ Prudents Virus¦ ¦ ¦ ¦ ¦DR¦t ¦Вирус активируется между 1 и 4 Мая любого ¦
¦ ¦ ¦ ¦ ¦M ¦C4 74 F0 2E 80 3E 2F 04 01 75 ¦года и заменяет операцию записи на диск на ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦операцию верификации. Таким образом в ука- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦занном периоде запись на диск блокируется. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# 1226 ¦RC-1226a ¦!!!¦1¦<¦D ¦Ab Cn Km Mac Se Zvh ¦Болгария, июль 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1226 < LenC ¦Тело вируса зашифровано и зараженные прог- ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦8B 36 6E 33 37 6F 54 02 36 6E 33 36 6E 22 ¦раммы нельзя выявить простым контекстным ¦
¦ ¦ ¦ ¦ ¦ ¦ +¦39 6E F8 36 6E 31 36 6E 22 ¦поиском. Вирус содержит ошибки из-за кото- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦рых вместо выполнения программы выдает на ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦экран случайную последовательность символов ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Имеется ряд версии в которых ошибки исправ- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦лены (см.RC-1226D). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# 1226D ¦RC-1226d ¦!!!¦1¦<¦D ¦Ab Cn Km Mac Seo Zvh ¦Болгария, июль 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1226 < LenC ¦Штамм с исправленными ошибками, заражающий ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦8B 36 6E 33 37 6F 54 02 36 6E 33 36 6E 22 ¦программы не только при выполнениии, но и ¦
¦ ¦ ¦ ¦ ¦ +¦39 6E F8 36 6E 31 36 6E 22 ¦при открытии файлов с расширением СОМ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# VirDem ¦R-1236 ¦Ven¦1¦~¦D ¦Bt Itp Sm ¦Западная Германия: 1986,1987 ¦
¦ (Демовирус) ¦ ¦ ¦ ¦ ¦ ¦ ¦Использовался Ральфом Бургером (Ralf Burger)¦
¦ ¦ ¦ ¦ ¦ ¦T1¦VirDem Ver.: 1.06 (Generation #) aktive. ¦в качестве демопрограммы для ознакомления ¦
¦ ¦ ¦ ¦ ¦ ¦T2¦Copyright by R.Burger 1986,1987 ¦пользователей с функционированием компьютер-¦
¦ ¦ ¦ ¦ ¦ ¦T3¦Phone.: D - xxxxx/xxxx ¦ных вирусов. Заражает только файлы на диске ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦A. Зараженные файлы, имевшие до заважения ¦
¦ ¦ ¦ ¦ ¦ ¦T4¦This is a demoprogram for ¦длину меньше 1500 байт будут иметь после за-¦
¦ ¦ ¦ ¦ ¦T5¦computerviruses. Please put in a ¦ражения длину 2516, а больше 1500 увеличи- ¦
¦ ¦ ¦ ¦ ¦ +¦number now. ¦ваются в длине примерно на 1236 байт. При ¦
¦ ¦ ¦ ¦ ¦T6¦If you're right, you'll be ¦выполнении вирусоносителя вирус ищет жертву ¦
¦ ¦ ¦ ¦ ¦ +¦able to continue. ¦пропуская первый файл в корневом каталоге. ¦
¦ ¦ ¦ ¦ ¦T7¦The number is between 0 and # ¦Поэтому обычно вирус не заражает COMMAND.COM¦
¦ ¦ ¦ ¦ ¦ ¦ ¦После заражения вирус предлагает пользовате-¦
¦ ¦ ¦ ¦ ¦T8¦Sorry, you're wrong ¦лю поиграть в своеобразную игру задавая ¦
¦ ¦ ¦ ¦ ¦T9¦More luck at next try .... ¦вопрос и предлагая отгадать ответ. Если от- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦вет верен то выполняется программа вирусо- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦носитель,если нет то выдаются сообщения T8, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦T9 и программа опять ждет ответа пользователя
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# 1253, ¦RCP-1253 ¦!!!¦1¦<¦D ¦Az Cу K1 Ml Se ¦Австрия, август 1990 ¦
¦ V-1, ¦ ¦ ¦ ¦ ¦DP¦1226 < LenC ¦Первый известный "файлово-бутовый" вирус. ¦
¦ AntiCad ¦ ¦ ¦ ¦ ¦T ¦V-1 ¦заражает как COM-файлы, так и таблицу раз- ¦
¦ ¦ ¦ ¦ ¦DR¦tl 2128 ¦делов. При выполнении вирусоносителя инстал-¦
