Компьютерная вирусология ч. 1
¦*# V1701New ¦RC-1701n ¦P1 ¦1¦<¦D ¦Co Itc Km Macl Smeo ¦Болгария: июль 1990 ¦
¦ P1 ¦ ¦ ¦ ¦ ¦DR¦h 8192 ¦Самая совершенный штамм группы P1. ¦
¦ ¦ ¦ ¦ ¦ ¦HR¦2A ¦При заражении COMMAND.COM не меняет длину ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦программы. При попытке выполнения CHKDSK на ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦зараженной машине выполняется теплая переза-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦грузка системы, хотя вирус не выживает при ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦перезагрузке. В отличие от RC-1704p заража-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ет файлы и при открытии. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Slow ¦ RCE-1701 ¦Ier¦1¦ ¦D ¦Cn So To ¦Австралия: май 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦2K ¦Штамм иерусалимского вируса. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦81 C6 1B 00 B9 90 06 2E 80 34 ¦При заражении EXE-файлов возможны зависание ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* Cascade-B ¦RC-1704b ¦Cas¦1¦ ¦D ¦An Bav Cy Dn Es Itc Jx K1 Li Mc Se Zar ¦Штамм вируса RС-1701, размножающийся только ¦
(Каскад-В) ¦ ¦ ¦ ¦ ¦DP¦10 < LenC < 63800 ¦на клонах IBM PC ¦
¦ ¦ ¦ ¦ ¦I ¦FA8BECE800005B81EB31012EF6872A0101 ¦ ¦
¦ ¦ ¦ ¦ ¦+ ¦740F8DB74D01BC850631343124464C75F8 ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦CLEAR v66+ (СП 7-90) ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* 1704-C, ¦RC-1704f ¦Cas¦1¦ ¦D ¦Af Cy Mc ¦январь 1989. ¦
* 1704-Format ¦ ¦ ¦ ¦ ¦I ¦ F6872A0101740F8DB74D01BC8506313 ¦Штамм RC-1701 с изменным проявлением. ¦
(1704-Формат) ¦ ¦ ¦ ¦ ¦+ ¦ 43124464C77F8 ¦Активируется с октября по декабрь года кроме¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ме 1993. Форматирует диск. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Phoenix ¦RC-1704p ¦P1 ¦ ¦ ¦D ¦Co Itc Km Mac Se ¦Болгария: июль 1990 ¦
¦ (Феникс) ¦ ¦ ¦ ¦ ¦DP¦ ¦При заражении COMMAND.COM не меняет длину ¦
¦ P1 ¦ ¦ ¦ ¦ ¦HR¦2A ¦программы. При попытке выполнения CHKDSK на ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h8192 ¦зараженной машине выполняется теплая переза-¦
¦ ¦ ¦ ¦ ¦ ¦M ¦01 36 6E 03 36 6E 8B D8 6E 03 36 6E 33 36 ¦грузка системы, хотя вирус не выживает при ¦
¦ ¦ ¦ ¦ ¦ ¦ +¦6E 22 39 6E F8 36 6E 31 36 6E 22 ¦перезагрузке. Вирус содержит ряд ошибок. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# PhoenixD ¦RC-1704d ¦P1 ¦ ¦ ¦D ¦Co Itc Km Mac Seo ¦Болгария: июль 1990 ¦
¦ (Феникс) ¦ ¦ ¦ ¦ ¦DP¦ ¦Исправленная версия ¦
¦ P1 ¦ ¦ ¦ ¦ ¦HR¦2A ¦При заражении COMMAND.COM не меняет длину ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h8192 ¦программы. При попытке выполнения CHKDSK на ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦01 36 6E 03 36 6E 8B D8 6E 03 36 6E 33 36 ¦зараженной машине выполняется теплая переза-¦
¦ ¦ ¦ ¦ ¦ ¦ +¦6E 22 39 6E F8 36 6E 31 36 6E 22 ¦грузка системы, хотя вирус не выживает при ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦перезагрузке. В отличие от RC-1704p заража-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ет файлы и при открытии. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ 1720, ¦RCE-1720 ¦Ier¦ ¦ ¦D ¦Adk Cy K11 ¦Испания, 1990 ¦
Spanish II, ¦ ¦ ¦ ¦ ¦DR¦t ¦При инсталляции вирус находит и заражает ¦
PSRQ Virus ¦ ¦ ¦ ¦ ¦M1¦ 2E A1 2C 00 A3 FC 03 2E A0 ¦один исполняемый файл, а затем становится ¦
¦ ¦ ¦ ¦ ¦M2¦D8 2E A1 2C 00 A3 FC 03 2E A0 ¦резидентным и заражает любой исполняемый ¦
¦ ¦ ¦ ¦ ¦C ¦0FFFCD213D0101743B06B8F135CD218C ¦файл. При заражении в некоторых EXE-файлах ¦
¦ ¦ ¦ ¦ ¦T ¦=PSQR /* в конце файла */ ¦уничтожается последние 30 байтов В конце ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦зараженного файла имеется сигнатура "=PSQR".¦
¦ ¦ ¦ ¦ ¦ ¦ ¦В пятницу, приходящуюся на 13 число удаляет ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦запускаемые файлы, а при наличии винчестера ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦разрушает бутсектор и таблицу разделов ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Frere Jacques ¦RCE-1813f ¦Ier¦1¦ ¦ ¦Cn Ihc-tp Ra2064 Se To ¦ США(Калифорния): май 1990 ¦
¦ ( )¦ ¦ ¦ ¦ ¦ ¦ ¦Штамм иерусалимского вируса. При заражении ¦
¦ Frere Virus ¦ ¦ ¦ ¦ ¦ ¦ ¦COM-файлы увеличиваются на 1813, а EXE-файлы¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦на 1808-1819 байт ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦По пятницам проигрывает мелодию ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦Frere Jacques ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Payday ¦RCE-1813p ¦Ier¦1¦ ¦ ¦см. RCE-1813a ¦Нидерланды: ноябрь 1989,Jan Terpstra ¦
¦ (день зарплаты) ¦ ¦ ¦ ¦ ¦ ¦ ¦Штамм иерусалимского вируса, в котором дата ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦удаления файлов изменена на обратную: файлы ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦удаляются в любую пятницу, кроме приходящий-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ся на 13 число. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ dBASE virus ¦RC-1864 ¦ ¦1¦ ¦D ¦Ac Cn Li ¦США(Нью-Йорк), март 1989, Ross Greenberg. ¦
(Дибэйс) ¦ ¦ ¦ ¦ ¦M ¦80 FC 6C 74 EA 80 FC 5B 74 E5 ¦Меняет местами первые два байта каждого бло-¦
¦ ¦ ¦ ¦ ¦C ¦50B80AFBCD213DFB0A7402EB8A56E800 ¦ка при записи .DBF-файлов. При этом ведет ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦таблицу искажений в виде файла на диске. При¦
¦ ¦ ¦ ¦ ¦ ¦ ¦чтении файла на другой (незараженной) ЭВМ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦внесенные изменения проявляются. Уничтожение¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦вируса также приводит к этому эффекту ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# DatacrimeIIb ¦ CE-1917 ¦Dcr¦1¦<¦D ¦Afk Bt Cn Li ¦См. CE-1514 ¦
(ДейтакраймIIb),¦ ¦ ¦ ¦ ¦DP¦Name(7) != 'D' ¦Не заражает файлы с именами ¦
Columbus Day ¦ ¦ ¦ ¦ ¦M ¦2E 8A 07 32 C2 D0 CA 2E ¦содержащими седьмую букву "D"(лат), ¦
(День Колумба),¦ ¦ ¦ ¦ ¦T ¦ (* сообщения перекодированы и в дампе ¦например, COMMAND.COM ¦
October 13 ¦ ¦ ¦ ¦ ¦ ¦ не видны *) ¦ ¦
(13 октября) ¦ ¦ ¦ ¦ ¦H ¦7F751114011416071C1810751C1C7503 ¦ ¦
¦ ¦ ¦ ¦ ¦+ ¦1C070006757F5F58 ¦ ¦
¦ ¦ ¦ ¦ ¦C ¦2E 8A 07 32 C2 D0 CA 2E ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦* 1971, ¦RCE-1971 ¦ ¦1¦ ¦D ¦Cy Itp Se To Xm ¦ФРГ: апрель 1990,Fridrik Skulason(Исландия) ¦
¦# Eight Tunes, ¦ ¦ ¦ ¦ ¦DP¦8K < LenC ¦Через 30 минут после того, как вирус стал ¦
