Компьютерная вирусология ч. 1
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦* EDV Virus ¦ M-hh ¦ ¦1¦ ¦ ¦ ¦США: январь 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦75 1C 80 FE 01 75 17 5B 07 1F 58 83¦В конце зараженного бутсектора имеется строка T1. ¦
¦ ¦ ¦ ¦ ¦F ¦CLEANUP v62+ (6-90) ¦По данным П.Хофман при выполнениии некоторых прог- ¦
¦ ¦ ¦ ¦ ¦T ¦MSDOS Vers. E.D.V. ¦рамм наблюдаются сбои и могут быть уничтожены неко- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦торые данные (впрочем эта фраза подходит к любому бу-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦овому вирусу) ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* Pentagon ¦WD-hh ¦ ¦1¦~¦D ¦ Mc ¦США, 1988 ¦
(Пентагон) ¦ ¦ ¦ ¦ ¦DR¦u 5K ¦Вирус не заражает дискеты, уже зараженный вирусом ¦
¦ ¦ ¦ ¦ ¦M ¦EB 34 90 48 41 4C 20 20 ¦Dx3-E9. Тело вируса закодировано и содержит текст ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(с) 1987 The Pentagon, Zorell Group$. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Голова вируса представляет собой слегка модифициро- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ванный бутсектор MS DOS 3.2 в котором вместо слово ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦IBM заменено на HAL и двух файлов. Первый с именем ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦F9h содержит хвост вируса, а второй - PENTAGON.TXT ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦похоже не используется и не содержит данных (следы ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦отладки ?). Вирус переживает теплую перезагрузку. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Хвост вируса закодирован. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* Ohio ¦ D-hh ¦ ¦4¦ ¦M ¦EB 29 90 49 34 12 00 01 00 00 00 00¦Индонезия, США: июнь 1988 ¦
(Огайо) ¦ ¦ ¦ ¦ ¦T1¦V I R U S ¦Заражает только 360K дискеты. Код аналогичен коду ¦
¦ ¦ ¦ ¦ ¦T2¦ b y ¦вируса Den Zuk и скорее всего Ohio является ранней ¦
¦ ¦ ¦ ¦ ¦T3¦ The Hackers ¦версией последнего. Дискета, зараженная вирусом Ohio ¦
¦ ¦ ¦ ¦ ¦T4¦ Y C 1 E R P ¦иммунизирована против заражения вирусом Brain. ¦
¦ ¦ ¦ ¦ ¦T5¦D E N Z U K 0 ¦В теле вируса имеются строки T1-T8. ¦
¦ ¦ ¦ ¦ ¦T6¦Bandung 40254 ¦ ¦
¦ ¦ ¦ ¦ ¦T7¦ Indonesia ¦ ¦
¦ ¦ ¦ ¦ ¦T8¦(C) 1988, The Hackers Team.... ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* Ghost Virus ¦ D-hh ¦ ¦1¦ ¦M ¦90 EA 59 EC 00 F0 90 90 ¦По сути это не вирус, а троянская программа, распро- ¦
(Бутовое приви- ¦ ¦ ¦ ¦ ¦ ¦ ¦сраняемая файловым вирусом C-2351 (Ghost file virus),¦
дение) ¦ ¦ ¦ ¦ ¦ ¦ ¦Последний заражает этти троянцем 360K дискеты в диско¦
$ Ghost Boot virus¦ ¦ ¦ ¦ ¦ ¦ ¦воде A. Данный троянец аналогичен вирусу Bx1-1C, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦не обладает способностью инфицировать другие дискеты.¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Оригинальный бутсектор записывается в сектор 39.9.1, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦уничтожая данные которые там хранились до этого ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*$ 2730 ¦ ¦ ¦1¦ ¦D ¦ ¦1989; ¦
¦ Nichols ¦ ¦ ¦ ¦ ¦M ¦91 77 91 7A A4 B7 57 00 56 00 00 00¦Проявления неизвестны ¦
¦ ¦ ¦ ¦ ¦F ¦CLEANUP v62+ (6-90) ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦ *# AirCop ¦D-hh ¦ ¦1¦ ¦ ¦ ¦Тайвань, США (Вашингтон): июль 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦BE C5 01 E8 3E FF EB DF E4 00 ¦Заражает только дискеты. На обычной 360Л дискете ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦сохраняет оригинальный бутсектор в секторе 719 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦(1/39/9). На большинстве систем через случайные ин- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦тервалы времени выдает на экран сообщение: ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ "Red State, Germ Offensive. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ AIRCOP." ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦На некоторых не совсем совместимых ЗС вместо сооюще- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ния выдается Stack Overflow Error ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# FORM ¦B-hh ¦ ¦ ¦ ¦D ¦ ¦Швейцария: июнь 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦E8 B2 00 5A 5E 1F 33 C0 50 B8 00 7C¦В коде вируса имеются текстовые строки Т1-Т3. Перевод¦
¦ ¦ ¦ ¦ ¦ ¦T1¦The FORM-Virus sends greetings ¦Т1: FORM-вирус приветствует всех читающих этот текст.¦
¦ ¦ ¦ ¦ ¦ ¦ +¦to everyone who's reading this text¦Т2: FORM не разрушает данных! ¦
¦ ¦ ¦ ¦ ¦ ¦T2¦FORM doesn't destroy data! ¦Т3: Без паники ! ........ .. .. ....... ¦
¦ ¦ ¦ ¦ ¦ ¦T3¦Don't panic! Fuckings go to Corinne¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Mardi Bros ¦ D-hh ¦ ¦1¦ ¦D ¦ ¦Франция: июль 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦u 7K ¦При заражении имя дискеты изменяется на "Mardi Bros".¦
¦ ¦ ¦ ¦ ¦T1¦Sudah ada vaksin ¦CHKDSK выдает для зараженных дискет следующую инфор- ¦
¦ ¦ ¦ ¦ ¦M ¦D8 8E D0 BC 00 F0 FB E8 27 ¦мацию о метке тома ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ "Volume Mardi Bros created ira 0, 1980 12:00a" ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦В зараженном бутсекторе текстовые сообщения нормаль- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ного бутсектора сохраняются. Дополнительно появляется¦
¦ ¦ ¦ ¦ ¦ ¦ ¦строка T1. По видимому других проявлений, помимо ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦размножения и изменения меток вирус не имеет. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Microbes ¦B-hh ¦ ¦4¦<¦D ¦ ¦Индия(Бомбей): июнь 1990 ¦
¦ (Микроб) ¦ ¦ ¦ ¦ ¦M ¦8E D0 BC 00 F0 FB A1 13 04 2D 04 ¦Проявления неизвестны ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Print Screen ¦ B-hh ¦PP ¦1¦ ¦D ¦ ¦Индия(Бомбей): ноябрь 1989, Neville Bulsara. ¦
¦ EB 21, ¦ ¦ ¦ ¦ ¦DR¦u 2K ¦Основан на Bx1-1C (Ping-Pong) и некоторые антивирус- ¦
¦ 8290, ¦ ¦ ¦ ¦ ¦M1¦7401BF0300B92000F3A4 /* штамм 2 */ ¦ные программы идентифицируют его ошибочно. ¦
¦ PRTSC Virus ¦ ¦ ¦ ¦ ¦M2¦CD05FEC8A26001C36F6E2D /штамм 1*/ ¦На дискетах копирует свой хвост в 11 сектор. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦На зараженных системах с винчестером наблюдается за- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦метное замедление доступа к диску. После каждых 255 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦дисковых операций выдает дамп экрана на принтер. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Имееется более ранний штамм, в котором эта ветвь ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦реализована с ошибкой и вирус только размножается ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
