Компьютерная вирусология ч. 1
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* DatacrimeII ¦ CE-1514 ¦Dcr¦3¦<¦D ¦Afk Bt Cу Li Mc ¦Голландия, сентябрь 1989. ¦
(ДейтакраймII),¦ ¦!!!¦ ¦ ¦M ¦2E8A0732C2D0CA2E ¦Более позний штамм С-1168 ¦
$ DataCrime C ¦ ¦ ¦ ¦ ¦T ¦ (* сообщения перекодированы и в дампе ¦С 1 января по 12 октября вирус только раз- ¦
(Датакрайм С), ¦ ¦ ¦ ¦ ¦ ¦ не видны *) ¦жается, заражая файлы размером до 60К только¦
DataCrime II-A,¦ ¦ ¦ ¦ ¦C ¦2E8A072EC6052232C2D0CA2E8807432E ¦на дисках A,B,C. При выполнении зараженного ¦
Columbus Day ¦ ¦ ¦ ¦ ¦H ¦7F751114011416071C1810751C1C7503 ¦файла вирус просматривает каталоги на дисках¦
(День Колумба),¦ ¦ ¦ ¦ ¦+ ¦1C070006757F5F58 ¦A, B, C и заражает первый подходящий файл. ¦
October 13 ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦С 12 октября по 31 декабря при исполнении ¦
(13 октября) ¦ ¦ ¦ ¦ ¦ ¦ ¦зараженного файла вирус выдает на экран ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦сообщение ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ЪДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ 1 MARCH 1989, DATACRIME VIRUS ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ АДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦затем форматирует первую дорожку винчестера ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* 1536, ¦RCE-1536 ¦ ¦1¦ ¦D ¦Av Cn Li Ml Se ¦10.88 ¦
$ Zero Bug, ¦ ¦ ¦ ¦ ¦M ¦EB 2B 90 5A 45 CD 60 2E ¦Заражает файлы при запуске на выполнение ¦
Pallete, ¦ ¦ ¦ ¦ ¦C ¦35B060CD21BB000126817F035A4574C0 ¦Через некоторое время на экране появляется ¦
Agiplan ¦ ¦ ¦ ¦ ¦ ¦ ¦"жучок", который начинает поедать все имеющ-¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦щиеся на экране символы "0"(нуль). ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# XA1, ¦ C-1539 ¦ ¦1¦ ¦D ¦Az Bv Cy Li Mc ¦ФРГ: апрель 1990. ¦
¦$ Christmas Tree¦ ¦ ¦ ¦ ¦M ¦FA 8B EC 58 32 C0 89 46 02 81 ¦1 апреля разрушает FAT. C 24 декабря по ¦
¦ virus ¦ ¦ ¦ ¦ ¦C ¦FA8BEC5832C08946028146002800B9CE ¦1 января выдает на экран рисунок новогодней ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦елки ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦# 1554, ¦RCE-1554 ¦ ¦1¦ ¦D ¦Ack Bv Cy Itp-tp Li Mc Se Zht ¦США: февраль 1990. ¦
¦* 1559, ¦ ¦ ¦ ¦ ¦DP¦1000 < LenC 1024 < LenE ¦Длина заражаемого файла увеличивается на ¦
¦ Ten bytes ¦ ¦ ¦ ¦ ¦DR¦t ¦1554-1559 байт. Вирус активируется в период ¦
(10 байт), ¦ ¦ ¦ ¦ ¦M ¦26 89 1E 92 00 FB C3 50 53 51 52 06 ¦с сентября по декабрь любого года. В этот ¦
9800:0000 virus,¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦период в любом записываемом файле будут от- ¦
V-alert ¦ ¦ ¦ ¦ ¦ ¦ ¦сутствовать первые 10 байт, а в конец файла ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦будут дописаны 10 байтов "мусора". Портит ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦как программы, так и данные. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*$ Alabama ¦RE-1560 ¦!!!¦1¦ ¦D ¦Ac Cn Li ¦Израиль(Иерусалим):октябрь 1989,Ysrael Radai¦
¦ (Алабама) ¦ ¦ ¦ ¦ ¦M ¦8F 06 18 05 26 8F 06 1A ¦Записывает свое тело в память по адресу на ¦
¦ ¦ ¦ ¦ ¦C ¦E800005E81EE2901B968058EC5BB ¦30K меньше, чем размер памяти, сообщаемый MS¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦DOS (перед транзитной частью COMMAND.COM) ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Перехватывает прерывание от клавиатуры(09h),¦
¦ ¦ ¦ ¦ ¦ ¦ ¦отcлеживая CTRL-ALT-DEL и оставаясь в памяти¦
¦ ¦ ¦ ¦ ¦ ¦ ¦при мягкой презагрузке (!!!). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Через час после инсталляции выдает сообщение¦
¦ ¦ ¦ ¦ ¦ ¦ ¦SOFTWARE COPIES PROHIBITED BY INTERNATIONAL ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦LAW Box 1055 Tuscambia ALABAMA USA. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦При запуске файла на выполнение заражает ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦первый подходящий файл в текущем каталоге, а¦
¦ ¦ ¦ ¦ ¦ ¦ ¦если такового не окажется, то заражается ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦исполняемый файл. По пятницам вместо зараже-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ния вирус "тасует имена" заражаемого и ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦исполняемого файлов т.е. после этого вместо ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦вызванной программы начинает выполняться ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦другая, с которой произошел обмен имен ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# MIX1/Icelandic¦RE-1618 ¦Ice¦2¦ ¦D ¦ Cn Itp ¦Исландия: март 1989, Израиль: август 1989 ¦
(Смесь1/Ислан- ¦ -1615 ? ¦ ¦ ¦ ¦DP¦ 8K < LenE ¦При резидентном вирусе NumLock всегда вклю- ¦
ский) ¦ -1635 ? ¦ ¦ ¦ ¦M ¦43 81 3F 45 58 75 F1 B8 00 43 ¦чен, а байт 0:33С содержит 77h. ¦
$ MIXER 1 ¦ ¦ ¦ ¦ ¦C ¦0E1FB95206FCF3A406B8880050CB2EC6 ¦Заменяет символы в информации, передаваемой ¦
¦ ¦ ¦ ¦ ¦T ¦MIX1 /* последние 4 байта */ ¦через последовательный или паралельный порт ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦("A" вместо "T", "[" вместо "]" и т.д.) В ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦конце инфицированной программы имеется ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦строка MIX1. Вирус уменьшает количество па- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦мяти, сообщаемой DOS на 2K. После инфициро- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦вания 6 файлов последующая перезагрузка ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦приводит к зависанию системы из-за ошибки в ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦коде вируса и мячик начинает двигаться по ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦экрану ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# JoJo ¦ RC-1701j ¦ ¦ ¦ ¦D ¦Aa Itc Se Rw ¦Израиль: май 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦4D 2B D0 4A 45 03 E8 45 8E C5 ¦Хотя данный вирус имеет длину 1701 ¦
¦ ¦ ¦ ¦ ¦ ¦T1¦Welcome to the JOJO Virus. ¦он не связан с группой Cascade. При выполне-¦
¦ ¦ ¦ ¦ ¦ ¦T2¦Fuck the system (c) - 1990 ¦нии зараженного данным вирусом файла вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦инсталлируется в оперативной памяти, при- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦соединяясь к резидентной части COMMAND.COM. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦При этом для MS DOS 3.3 ееразмер возрастает ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦с 3536 до 5504 байт. Один блок размером 48 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦байт резервируется обычным образом. Общее ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦уменьшение оперативной памяти составляет ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦2048 байт. Вирус не инфицирует другие файлы,¦
¦ ¦ ¦ ¦ ¦ ¦ ¦если прерывание 13 уже перехвачено. Вместо ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦этого он очищает экран и подвешивает систе- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦му. Вирус "выживает" при теплой перезагруз- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ке и успевает перехватить 13 прерывание. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ Как только вирусу удается перехватить 13¦
¦ ¦ ¦ ¦ ¦ ¦ ¦прерывание он начинает заражать каждый вы- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦полняемый файл. ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
