Страница 1 из 1

ВИРУСЫ - Virus, Описание вирусов, троянов и прочее!

СообщениеДобавлено: 13 сен 2008, 09:56
Nibiru
Вот решил описать вирусы известные мне на данный момент !
Все вирусы разбиты по алфавиту.

Re: ВИРУСЫ - Virus, Описание вирусов, троянов и прочее!

СообщениеДобавлено: 13 сен 2008, 10:14
Nibiru

A


A1B2.478

Опасный замещающий вирус. По окончании своей работы вирус имитирует ошибку позиционирования на текущем диске и выводит сообщение:
Seek error reading drive
Abort, Retry, Ignore, Fail? При нажатии на клавишу 'A' вирус отдает управление DOS. Содержит в начале кода текстовую строку "A1B2C3D4", которая используется, как инструкции ассемблера. При не нахождении в текущем каталоге на флоппи- диске файлов *.COM вирус, видимо, хотел бы отформатировать нулевую дорожку данной дискеты, но в данном месте имеется ошибка, и форматирование не произойдет.

A&A

Неопасный резидентный вирус. С февраля по ноябрь каждый час переставляет соседние символы на экране.

Abs-3

Опасный Boot-вирус. Может уничтожить 7 первых секторов флоппи-диска.

Adolf.475

Опасный резидентный вирус. С вероятностью 1/8 блокирует удаление файлов. Содержит текст "Adolf Hitler".

Aforia.656

Неопасный резидентный вирус. После заражения каждого файла "осыпает" буквы на экране монитора, установив на это время в CMOS-памяти признак отсутствия жесткого диска.

Aga.1500

Неопасный нерезидентный шифрованный вирус. В пятницу вирус записывает в файл AUTOEXEC.BAT текст: ECHO Hey,suckers! Hold on,your data's gone too far! ECHO MONGOLIA,UB. В пятницу 13-го вирус выводит текст "WARNING! Today is the 13th !". Если вирус считает, что стартовал из инфицированного файла WIN.COM, то он выводит текст: WARNING!!! Your MS-Windows 3.1 you are working with is not licensed! In the light of it,we are entitled to aver that we will activate a protective application against your unauthorised access... А при старте зараженного файла DOOM.COM вирус выводит текст: DOOM! v1.0 Всъэы еЁ Децнецй хшцй Ёюъишм жетце! Содержит также текст "AGA Media©,94". При заражении файла COMMAND.COM из версии MS-DOS 5.0 вирус не увеличивает его длины, записываясь в область нулевых байт.

Agiplan.1536

Очень опасный резидентный вирус. В зависимости от текущей даты может уничтожить информацию на всех доступных дисках. Иногда может вывести сообщение "load error".

Aija

Очень опасный Boot-вирус. 25 марта уничтожает содержимое первого секто- ра на всех цилиндрах активного раздела DOS и выводит сообщение: FINNISH_SPRAYER.1. Send your Painting +358-0-4322019 (FAX), [Aija] Со- держит строку "Tks to B.B., Z-VirX ..... [Aija]".

Alex.368

Оставляет в памяти резидентную программу, посылающую значение FEh в порт 60h. Имеет текст "The One Night Virus © Alex Hacker".

Alex.1287

Неопасный нерезидентный вирус. 20 числа оставляет в таблице векторов прерываний резидентный код, который исполняет мелодию из фильма "Карьера Димы Горина". Имеет текстовую строку "AlEx".

Alfons.1344, 1536

Очень опасные резидентные вирусы. Если значение дня недели (понедельник - 1, вторник - 2,...) + 1 совпадает со значением числа месяца, то вирус уничтожает содержимое секторов диска, заполняя их текстом "Alfons !".

Alia.1023, 1200, 1300

Неопасные резидентные шифрованные вирусы. Содержат тексты "ALIA" или "~ALIA~".В коде вирусного расшифровщика используют команды сопроцессора - FINIT, FCHS, FTST, FNOP.

Alias.6943

Опасный резидентный полиморфный вирус. Использует вход в защищенный режим процессора и немедленный выход из него. Для чего - непонятно? Данный код был полностью скопирован из книги А. и Г. Фроловых "Защищенный режим процессоров Intel 80286/80386/80486", причем без понимания сущности данного кода. Вирус пытается определить тип процессора, и если процессор - 286 или ниже,выводит текст "Sorry, 80286 CPU or higher required . . .". Далее, если компьютер уже находится в защищенном режиме, то вирус выводит текст "Cannot run in the Protected or V8086 mode." и завершает работу программы. Перехватывает INT 8, 13h, 21h, 2Fh. С помощью INT 8 вирус контролирует целостность своего резидентного кода. При старте некоторых программ (DRWEB, AIDSTEST,...) вирус выводит текст "Bad command or file name".

Ambulance.796 (1,2), 2124

Неопасные нерезидентные (Ambulance.2124 - резидентный) вирусы. Иногда (Ambulance.2124 через 20 минут после неактивной клавиатуры и если не было обращений к дискам через INT 13h) рисуют двигающийся внизу экрана и издающий звуки сирены автомобиль скорой помощи:

Amd.3081

Опасный резидентный вирус. Рассылает по сети Novell сообщение "ОЙ ДОСТАЛ, ДОСТАЛ ...". Содержит текст "Name: Babylon5 Cast Of Warriors © TechnoMag". Из-за своих многочисленных ошибок разрушает большинство из заражаемых файлов.

Amd.4772

Hеопасный резидентный шифрованный вирус. Рассылает по сети Novell сообщение "ОЙ! ДОСТАЛИ ЛАМЕРЫ !!!". В пятницу записывает в MBR жесткого диска недоделанный загрузочный вирус, который "перехватывает" INT 13h, прячет свое наличие на диске, но только "забывает" заражать загрузочные сектора дисков. Вирус содержит тексты:
NAME: MPEI
Данилов ты ЧАЙHИК,ТАКОЙ ЖЕ КАК И БИЛЛИ ГАТЕС(ТЫ ПОЙМЕШЬ).
Тозмоза, вирус, которому дал имя AMD назывался не AMD ,
а Windows 95 MUST DIE !!!
а строчку Windows 95 MUST DIE !!! он слал в виде мессаги по сети.
Принеси свои извинения и ,кстати, напиши Upgrade для юзеров.
DRWEB очень хорошо разносит заразу по винту. Эффект на 1000%
И еще, лучше бы ты через DMA бластер программил !
Жду версий под Вынд0уz 59, вот там ты поработаешь через DMA.
Балбес, ты Лозинского без работы оставил !!!
Copyleft © Down'niloff Corp.,2000. All Lefts Preserved. Григорчук.

AMGorb.4670

Опасный резидентный шифрованный вирус. Периодически "трясет" экран. Вирус "перехватывает" INT 13h и при чтении секторов диска пытается найти строку "Micro", и при нахождении ее - изменяет данную строку на "*AMG*". Может вывести одно из следующих сообщений:
Heat level critical.Shutdown sequence initiated...
Dr.WEB-полный DUMB! если кто с нами согласен прошу :
PIDOR@LOXNET.XYZ мы всегда |*)
"Надежный" эвристический анализатор...
AMGorb.ver 2.6 for ALLwe HaTe w95!
ПОШЕЛ НА ФИГ
Так-так. Грозно входит Фома в кабинет.
Все кончено. Боже,спасения нет,
А с ним еще Рома, слепой офицер.
На ком остановится жуткий прицел ?
На мне.Елки-палки,хана мне друзья,
Приходит,похоже,кончина моя.
"Давай, поднимайся,в каморку пойдем,
И там потолкуем о жизни вдвоем"
-"Какой еще жизни,Я так не хочу !"
-"Молчи, не то живо башку откручу !!"
Ну нечего делать,придется идти,
А сердце так бешено скачет в груди.
Меня затолкнули,захлопнули дверь.
" Ну что,вирусолог,попляшешь теперь."
Мне страшно ужасно,все тело дрожит,
Ведь диск с AMGorb-ом в кармане лежит.
Фома на меня грозно смотрит в упор
И мне говорит:" Сядь-ка,есть разговор",
А я говорю:"Sir,я очень спешу,
Задайте вопросы,я их запишу,
Подробно отвечу,размножу ответы,
И вам занесу я их следущим летом.
"Дурачить нас вздумал",-Фома заорал,
И с гадостным видом отвертку достал.
Раздался спасительный писк офицера:
"Фома,соглашайся,гутарит он дело
Ну разве АМ он? Какой он АМ?
Ну ты посмотри,он испуган совсем".
"Молчать,-рявкнул Леха,-УБЬЮ,ПИДАРАС!"
И долго несчастного он за уши тряс...
Но я откровенно скажу вам,друзья:
АМ-кто угодно,но только не я.
Он-гад нехороший,он вирусы пишет,
А я-лишь стишки,что написаны выше.
Истории этой печалный финал:
Под глазом моим неприметный фингал.

AmkCvc.1024

Неопасный резидентный стелс-вирус-спутник. При заражении COM и EXE- файлов присваивает исходным файлам имена с расширениями AMK (для COM- файлов) и CVC (для EXE-файлов), создает файл с исходным именем файла и записывает в него вирусный код. В пятницу выводит на экран текст:
Hi ! I am the Crazy October and I will now live on your system.
Don`t worry ! Everything is under controll.
Now I must go to replicate, bye !

Amoeba.2367

Опасный резидентный полиморфный вирус. 1 ноября и 15 марта уничтожает содержимое секторов жесткого диска. Содержит тексты:
AMOEBA virus by the Hacker Twins ©я1991 This isяnothing, wait for the release of AMOEBA II- The universalяinfector, hidden to any eye but ours! Dedicated to the University of Malta- theяworst educationalяsystem in the universe,and the destroyer of 5X2 years ofяhuman life

Amse (1,2)

Amse (1) содержит строку "AMSESLIFVASRORIMESAEP". Amse (2) - "ALFREDO". Amse (2) иногда выводит на принтер следующий текст "ANGEL X TE SALUDA © Laboratorio Luz de Luna LIMA - PERU".

Amz.789, 1100

Опасные нерезидентные вирусы. Amz.789 24 сентября, а Amz.1100 1 марта и 13 сентября пытаются уничтожить некоторые сектора всех доступных дисков. Amz.1100 также иногда уничтожает содержимое CMOS-памяти и создает файл BOPS-BOP.S. Содержат строку "AMZ".

Anarchy.2048 (1-3)

Опасные вирусы. Модификации вируса незначительно отличаются друг от друга. Заражают EXE- и COM-файлы (COM-файлы первая команда которых не JMP NEAR PTR (0E9h ? ?)), внедряя в начало файла 2048 байт своего тела в формате EXE-файла. 2048 байт файла-жертвы вирусы переносят в свободный кластер, не увеличивая при этом длины пораженного файла. Т.е., длина файла по цепочке FAT может не совпадать с реальной длиной. COM-файлы, имеющие первой командой инструкцию JMP NEAR PTR, и содержащие 2003 повторяющихся байта, вирусы поражают другим методом. Они переносят 2003 байта из адреса первого перехода в область повторяющихся байт, и в освободившееся место записывает 2003 байта собственного кода. Содержат ошибки, в результате которых могут разрушить FAT и сделать неработоспособными COM-файлы. Перемещенные на другой диск программы также могут быть неработоспособными. Внедряют команды перехода на свой обработчик прерывания в оригинальный обработчик DOS INT 21h. Содержат текстовые строки: "ГрОб", "ANARCHY" и зашифрованную строку "Янъ Факовскiй,USSR,1994" или "Янъ Факовскiй,USSR'94".

Anarchy.3153

Опасный резидентный полиморфный стелс-вирус. 8 и 30 апреля, а также 9 мая вирус уничтожает содержимое случайных секторов первого жесткого диска. Содержит тексты:
Озаглавилась весна топором,
Успокоилась река декабрем,
Утро одиноким выстрелом
JANKA DYAGILEVA
JAN FAKOVSKIJ,USSR,1997

Anarchy.5838, 6093

Опасные резидентные полиморфные стелс-вирусы. Вирусы заражают COM, EXE файлы, а также DOC-файлы для WinWord версий 6.0-7.0. При открытии DOC- файлов (через f.3dh Int 21h) вирус анализирует внутренний формат OLE2 документа, создает новую таблицу макросов и дописывает в конец данного документа зашифрованный макрос AUTOOPEN, содержащий вирусный код дроппера. При открытии такого инфицированного документа с помощью WinWord, вирусный макрос создает на диске EXE-файл в формате Win NewExe (NE), записывает в него код вируса, запускает его, и по окончании его работы - удаляет. Данный NewExe-файл производит заражение командного процессора (COMMAND.COM) и программы WIN.COM. Что интересно, если вирус был активен в памяти до загрузки Windows или Windows'95,то при открытии любого документа средствами Word for Windows, данный документ окажется инфицированным. При заражении DOC-файла вирус использует некоторые "дыры" в формате OLE2, в результате чего при активном вирусном макросе AUTOOPEN просмотреть его *наличие* в системе средствами WinWord [TOOLS/ MACRO] не предоставляется возможным. Вирус является стелс-вирусом (невидимкой) не только для среды DOS, но и для среды WinWord. Вирус содержит некоторые ошибки в процедуре заражения OLE2 DOC-файлов. В результате чего некоторые файлы небольшие DOC-файлы могут быть разрушены при заражении, а также будут разрушены все DOC-файлы для MS- Office'97. Данный вирус является первым известным многоплатформенным вирусом, который заражает файлы таких различных операционных сред, как DOS, Windows и MS Word for Windows (если считать, что WinWord является также операционной средой). 8 и 30 апреля, а также 9 мая вирус уничтожает содержимое случайных секторов первого жесткого диска. Содержат тексты:
Озаглавилась весна топором,
Успокоилась река декабрем,
Утро одиноким выстрелом
JANKA DYAGILEVAradise При запуске программы NCEDIT.EXE, с именем редактируемого файла в командной строке, вирус может "включить" свой собственный редактор для редактирования данного файла. Верхняя строка вирусного редактора имеет текст "Up with your shit, square sods!". Также может вывести непечатное английское слово и "завесить" систему. Содержит также тексты "JAN FAKOVSKIJ,USSR,1995", "UNFORGIVON".

Andromeda.758

Опасный резидентный вирус. 5 октября пытается уничтожить содержимое 13 первых секторов диска A:. При заражении использует функции FCB. Имеет текстовую строку "[ANDROMEDA V1.1] BUDAPEST HUNGARY".

Angel.661, 1571

Резидентные вирусы. Angel.1571 - шифрованный стелс-вирус. Angel.661 устанавливает свою резидентную копию в область UMB. Angel.661 при вызове функции проверки версии DOS (f.30h Int 21h) пытается исправить в памяти какую-то программу, вызвавшую данную функцию. Angel.661 имеет строку "Angel".

Animality.1974

Опасный резидентный вирус. После марта месяца 10, 20 и 30 числа вирус собирался уничтожать информацию на 33-ех секторах первого жесткого диска, записывая в первый уничтожаемый сектор текст "ANIMALITY virus , © 1998 ,Ukraine .Весело було ,як батька ховали :музика грала ,цукерки давали ...". Но из-за ошибок в коде вируса уничтожения информации не будет. Для того, чтобы "весело було" надо было испытать деструктивный код на своем компьютере. Вирус не работоспособен на процессорах Pentium.

Anthrax

Опасный файлово-загрузочный вирус. Не сохраняет оригинальный MBR жесткого диска. Содержит тексты "© Damage, Inc.", "ANTHRAX".

AntiC.1000

Опасный нерезидентный вирус. Заражает *.COM и *.EXE-файлы, причем EXE- файлы делает неработоспособными - заражает также, как и COM. Если находит в памяти "на INT 13h" монитор VSAFE, то выводит текст "И даже VSafe тебе не поможет...", после чего отдает управление программе- вирусоносителю. Удаляет файлы *.MS, *.C, *.H. Если вирусу удается удалить 4 и более таких файлов, то он выводит текст "Ты на С не пиши!!! Это фигня!!! Я вот пишу на Paskalе!!!". Также выводит строку "Слушай..." и исполняет мелодию.

AntiCMOS (1-3)

Очень опасные Boot-вирусы. Не сохраняют оригинальные MBR и Boot-сектора дискет при заражении. При загрузке системы с таких инфицированных секторов, вирусы самостоятельно читают активный Boot-сектор для жестких дисков или системный файл IO.SYS (либо ему подобный) для флоппи-дисков в память и отдают им управление. AntiCMOS (1) портит CMOS-память. Существует модификация вируса AntiCMOS (2), которая вместо порчи CMOS- памяти воспроизводит некоторый "рычащий" звук и содержащая текст "I am Li Xibin!".

AntiFortran.1110

Опасный резидентный вирус. Удаляет программы, стартующие из каталога F77. В понедельник записывает в конец файла C:\AUTOEXEC.BAT строку @ECHO Y | FORMAT D:. Во вторник замедляет работу процессора. Содержит текст "ANTI FORTRAN OF OVER-X".

AntiPascal.400, 605

Очень опасные нерезидентные вирусы. AntiPascal.400 удаляет файлы ?????????A?. AntiPascal.605 записывает в начало *.PAS и *.BAK-файлов свой код, не сохраняя их оригинальные байты.

AntiTrace.2122

Неопасный резидентный вирус. При открытии инфицированных файлов, если нажаты обе клавиши Shift, то вирус удаляет свой код из данных файлов. Содержит тексты "Anti_Trace", "Good Luck in Creating Antivirus. © 1993, AT Corp.".

Antiwin.465

Опасный нерезидентный вирус. Производит поиск *.COM-файлов в текущем каталоге и заражает их. Вирус разрушает файлы с именем WIN* (WIN.COM), записывая в их начало процедуру вывода на экран сообщения и завершения работы "This program requires Microsoft Windows". Содержит текст "->AntiWindows<-".

Antiwin.633

Опасный резидентный вирус. Удаляет стартующую программу, если ее первые байты равны (EBh 51h). Видимо, это касается файла WIN.COM. Содержит тексты "Anti-Win 1.0", "© Zarathustra & Morgan".

Antiwin.2305, 2320

Опасные резидентные шифрованные вирусы. При вводе с клавиатуры довольно часто повторяют ввод клавиши "t". При загрузке MS-Windows могут вывести текст "Use registered copies of MS Windows Greetings from MrStrange, Kiev T.G.Shevchenko University". Содержат строку ">Antiwin<, © by MrStrange.". Не заражают файлы,начинающиеся на DRWE,AIDS,MSCA,ANTI,AVP, WEB,SCAN,MSAV,VSAF,GUAR,ADIN,KRNL,DOSX,WSWA,DSWA,WIN3.

Apparition.254,700

Неопасные резидентные вирусы. Устанавливают свою TSR-копию в область видеопамяти по адресу BA00:0000 и перехватывают INT 21h. Apparition.700 также перехватывает INT 10h и не позволяет изменить текущий видеорежим монитора (f.00h INT 10h) для того, чтобы не быть уничтоженным в видеопамяти. Apparition.700 содержит текст "THE APPARITION".

Apparition.5959

Опасный резидентный шифрованный вирус. Может уничтожить содержимое CMOS-памяти, перегрузить или "завесить" систему. "Перехватывает" INT 9, 10h, 13h, 1Ch, 21h, 2Fh. При старте инфицированного файла выводит текст "Warning : This file is infected by Apparition !". Также иногда может вывести текст "386 or later processor missing. Please replace processor, then press any key...".

AreThree.2048 (1-3)

Неопасные резидентные шифрованные файлово-загрузочные вирусы. Могут вывести красную точку в верхнем правом углу экрана. Содержат текст:
PSYCHo-TECH GMBH 1995
>>> BRAVEd DANGER 4 BRAVE PEOPLe <<<
[[ Cъ0ъDъEъWъAъR ]]
<31> Germany 1995
Virtually called to life & survival by MiNDMANiAC!
RGOEPMSQO ==>= AllE GUtEN DiNGE SiND DREi ==>=

ArjDrop.402

Неопасный нерезидентный вирус-червь. Ищет ARJ-архивы и заражает их, дописывая к ним свою вирусную копию, которая имеет имя RUNME.COM Вирус содержит текст "ARJDrop by Qark/VLAD".

ArjDrop.2821

Hеопасный нерезидентный вирус-червь. Производит поиск ARJ и RAR-архивов и заражает их, дописывая к данным архивам собственную копию в форматах этих архивных файлов. В ARJ-архивы вирус записывает файл RUNME.COM, содержащий вирусный код, а в RAR-архивы - файл RUN_ME_.COM. В августе вирус создает файл PRESENT.COM и записывает в него код. Вирус также содержит строки "RAR'n'ARJ Dropper by Qark/VLAD.", "RAR support included by Blesk".

ArjVirus

Неопасный нерезидентный вирус. Производит поиск файлов с расширением ARJ в текущем и во вложенных директориях. Обычно расширение ARJ имеют архивные файлы, созданные с помощью популярного архиватора ARJ. При нахождении таких файлов, вирус создает файл со случайным именем, состоящим из 4 букв от 'A' до 'V' и с расширением COM. В данный COM- файл вирус записывает 5000 байт своего кода + случайное количество байт. После чего, вирус считая, что архиватор ARJ.EXE находится в каталоге, доступном через переменную PATH, вызывает его с помощью командного процессора c:\command.com /c arj a , где ArjFile - это найденный вирусом файл с расширением ARJ; ComFile - COM-файл, содержащий вирусный код; опция же "a" говорит архиватору о том, что необходимо включить зараженный файл ComFile в архивный файл ArjFile. После указанных манипуляций вирус уничтожает созданный COM-файл. Следует отметить, что во время заражения архива вирус устанавливает INT 10h (вывод на экран) на собственный обработчик, состоящий из одной команды - IRET, для того, чтобы при возникновении ошибки или по другим причинам не происходило вывода текста на экран. Т.о., "расчет вируса" сводится к тому, что пользователь, распаковавший ARJ-архив и увидевший неизвестный COM-файл, обязательно запустит его ради интереса... Так сказать - "психологический вирус".

Armagedon.1079

Неопасный резидентный вирус. С 5.00 до 6.00 вирус активно работает с последовательными портами, видимо, пытаясь дозвониться до какого-то номера с помощью модема. Содержит строку "Armagedon the GREEK".

Artemiev.2165

Неопасный резидентный шифрованный вирус. Иногда производит "дрожание" экрана. Содержит тексты "Игорь", "Artemiev I.A.".

Ash.712, 737

Неопасные нерезидентные вирусы. Заражают COM-файлы, записываясь в их конец. Переименовывают файл C:COMMAND.COM в C:\COMMANDx.COM, где 'x' - это символ с кодом 255 (0FFh) и создают новый файл C:\COMMAND.COM, состоящий из 8 команд NOP, который сразу же и заражают. Вирусы могут выводить сообщение "Bad command or file name". Также могут оставить в памяти резидентную программу на INT 08, которая посылает в порты 2E8h, 2F8h, 3E8h, 3F8h (COM1, COM2, LPT1, LPT2) символ 0DBh 'Ы'.

Asprin.2515

Неопасный нерезидентный вирус. Заражает COM и EXE-файлы, причем EXE- файлы превращает в COM, изменив первые 3 байта на команду перехода. При старте вирус удаляет свой код из стартовавшей программы, запускает ее на выполнение, после чего производит поиск и заражение файлов на диске. По окончании работы вирус оставляет в памяти резидентный код на INT 08, производящий холостые циклы и замедляя скорость работы компьютера. Содержит текстовые строки "VIRUS "ASPRIN" ГЛАЗОВ 1995©ПРИВЕТ ВСЕМ ХАКЕРАМ г.ГЛАЗОВА! ПРИ ЗАПУСКЕ EXE ФАЙЛА,VIRUS СНАЧАЛА ЛЕЧИТ ЕГО! ИСПОЛЬЗУЙТЕ ЭТО СВОЙСТВО ДЛЯ ЛЕЧЕНИЯ! ЖЕЛАЮ УСПЕХОВ В ИЗУЧЕНИИ КОМПЬЮТЕРНОЙ МИКРОБИОЛОГИИ!", "/QHELP", "MsDos".

Avatar.Dichotomy

Опасный резидентный вирус. Состоит из двух частей 296 байт и 567 байт. Перехватывает INT 21h. Корректно заражает только COM-файлы. При запуске EXE-файлов портит их. Вирус делит запускаемые программы на "четную" и "нечетную" половину. При старте "нечетного" файла вирус дописывает к нему 567 байт своего кода. При старте же "четного" файла вирус заражает его, дописывая в его конец 296 байт и изменяя 3 первых байта на команду перехода на вирусный код. В дальнейшем при старте инфицированного "четного" файла, вирус ищет свою вторую половину в "нечетном" файле, имя которого вирусом сохраняется. Если "нечетная" файл найден, то вирус считывает свою вторую половину и остается в памяти резидентно. Если же не найдена - вирус отдает управление программе-вирусоносителю. Т.о., данный вирус является "работоспособным" если в системе находятся обе части вируса. Содержит строки: "[Dichotomy] © 1994 Evil Avatar", "[Dichotomy]".

Avatar.Narcosis

Опасный файлово-загрузочный вирус. 9 июня уничтожает содержимое первого жесткого диска.

Avatar.Positron

Неопасный резидентный вирус. "Перехватывает" INT 21h, контролирует запуск COM-файла, после чего ждет первого вызова INT 21h и внедряет вместо этого вызова в стартовавший файл JUMP NEAR (E9 ?? ??) на свой код, который вирус записывает в конец файла. Awake.797 содержит текст "Ирина Ивановна Крупянко - Дура, Коза и ......... Школа N434".

AWME - вирусы

AWME (Anti WEB Mutation Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Явный плагиат из вируса Natas. Создан, якобы, для обмана эвристического анализатора антивирусной программы Dr. Web казанским человеком под именем Амир aka AD. Содержит строку "\> Anti WEB Mutation Engine [AWME] by AD. v1.0

AWME.AD.1267

Неопасный нерезидентный вирус. Не заражает файлы, содержащие первые 2 буквы из текстовой строки "AIWESCCOVSADAN-V". Содержит текстовую строку "This is a simple [AWME] demo virus by AD.".

Azusa (1,2)

Опасные загрузочные вирусы. Оригинальный MBR жесткого диска не сохраняют, а boot-сектор дискет сохраняют в 8 секторе 40 дорожки, что может приводить к потере информации в данном секторе на дискетах отличных от формата 360 Kb. Иногда блокируют работу с COM и LPT- портами.

Re: ВИРУСЫ - Virus, Описание вирусов, троянов и прочее!

СообщениеДобавлено: 13 сен 2008, 10:29
Nibiru

B


Baby.83, 100

Неопасные резидентные вирусы-спутники. Изменяют последнюю букву расширений запускаемых файлов.

BackFormat.2000 (1,2), 2345, 2381

Опасные вирусы. Заражают EXE, COM-файлы на дисках A: и B: при закрытии (f.3Eh INT 21h) вновь создаваемых файлов (f.3Ch, 5Bh INT 21h). BackFormat.2000 (2) также заражает при закрытии открытых файлов. Вирусы заражают c:\command.com, не изменяя его длины. Перехватывают INT 13h, INT 21h. При форматировании гибких дисков, последовательно присваивают секторам значения в обратном порядке, начиная со старших адресов. Например, для диска 360K вместо значений 1,2,...,9, порядок чередования секторов будет - 9,8,...1.

BackFormat.2320

Очень опасный резидентный шифрованный вирус. При записи в файл (f.40h Int 21h) очень часто сдвигает записываемую информацию на 1 байт. В пятницу производит данную операции в 4 раза чаще.

BackUSSR

7 октября выводит текст "I'm backing to the USSR !".

BadBoy.1000 (1-7)

Неопасные резидентные вирусы. Состоят из 9 блоков, 8 из которых вирусы меняют местами при инфицировании файлов.

Badless.494

Опасный нерезидентный вирус. Заражает *.COM-файлы. Файлы формата EXE, имеющие расширение COM вирус уничтожает, записывая в них 37 байт кода, который при старте данных программ выводит текст "Only in God we trust...". Имеет также текст "Badless 1992".

BadSectors.3422, 3428, 3627

Опасные резидентные вирусы. Перехватывают INT 8, 16h, 21h, 25h, 26h. Иногда устанавливают "плохие" кластеры диска посредством манипуляций с таблицами размещения файлов FAT. Не заражают программу SCAN. Содержат текстовые строки "COMEXE", "SCAN" и
BadSectors.3422: BadSectors 1.1
BadSectors.3428: BadSectors 1.2
BadSectors.3627: BadSectors 1.3

Balashiha.271

Блокирует вывод на принтер. Содержит строку "Balashiha-2".

BAME-вирусы

BAME (Black Angel Mutatuon Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Создан вирусописателем известным, как Black Angel.

BAME.Demo

Неопасный резидентный полиморфный вирус. Каждую минуту "сбивает" буфер клавиатуры. Содержит тексты "This is [BAME beta version] DemoVirus © Black Angel`96", "BlackAngelMutationEngine v1.beta ©Black Angel".

BAME.Saboteur

Опасный резидентный полиморфный вирус. Разрушает каждый 15 открываемый файл с расширением BA?, AR?, PA?, записывая в них строку "SABOTEUR-2". После заражения 6 программ (а также в некоторых других случаях) вирус уничтожает содержимое CMOS-памяти, MBR первого жесткого диска.

Bandersnatch

Неопасный резидентный полиморфный стелс-вирус. Содержит тексты "Злопастный Брандашмыг", "DOS-UP", "What's fuck?"

Baran.3294, 4968

Резидентные полиморфные вирусы. Baran.4968 - стелс-вирус. Baran.4968 заражает командный процессор, указанный в переменной COMSPEC. Если вирус работает под управлением MS Windows, то вирус также заражает программу, которая запускается при выходе из Windows. Baran.3294 может вывести текст "Gwadera to baran !". Baran.4968 портит данные, записываемые на диск. Baran.4968 содержит текст "Unknown destroyer v1".

Barrotes.1303

Неопасный резидентный шифрованный вирус. Сразу стремится заразить файл COMMAND.COM. 23 сентября изменяет символы, вводимые с клавиатуры. Содержит тексты "Sta Tecla (MAD1)", "ST".

Barrotes.1310

Опасный резидентный вирус. Первым делом стремится заразить файл c:\command.com. 5 января уничтожает MBR первого жесткого диска и выводит на экран текст "Virus BARROTES por OSoft".

Basilisk.1639

Неопасный полиморфный вирус. При старте программ SCAN*.* вирус выводит сообщение "Packed file is corrupt" и возвращает управление в DOS. Содержит строку "Basilisk v1.0" и текст:
© 1992 YAM/RABID International
The slave thinks he is released from bondage
only to find a stronger set of chains

Bastard.1979

Очень опасный резидентный вирус. Заражает EXE-файлы и файл COMMAND.COM. В файл COMMAND.COM вирус записывает 200 байт кода, который не является вирусным кодом. Может уничтожить 100 секторов диска A: или C: Удаляет файлы MS*.* и CP*.*. Не заражает файлы, содержащие в своем имени 2 соседние буквы из строки "SCCLF-TBVSVIIMMSCV". Имеет строку "This virus was written by Doctor Revenge November 23 - December 29 1993 -Italy-".

BAT.282

Неопасный нерезидентный Batch-вирус. Создает в корневых каталогах дисков B: и C: файл VIRUS.BAT, содержащий вирусный код. Вставляет в файл AUTOEXEC.BAT вызов файла VIRUS.BAT.

BAT.Batalia.2011

Неопасный полиморфный вирус, заражающий *.BAT-файлы в текущем каталоге. При заражении файлов вирус использует архиватор ARJ, доступный через переменную среды PATH. Инфицированный BAT-файл состоит из двух частей. Первая часть состоит из пяти команд DOS, а вторая часть является заархивированным с помощью ARJ BAT-файла, имеющего случайное имя. Этот заархивированный BAT-файл также содержит команды DOS и еще один ARJ - архив. Команды DOS являются основным телом вируса, они производят поиск файла-жертвы, заражение файлов и создание полиморфного кода.Первые пять команд вируса вибираются случайным образом и имеют различную длину. Вторая часть - ARJ-архив зашифрован со случайным паролем и не может быть детектирован по определенной маске. При запуске инфицированного BAT-файла, первые пять команд запускают архиватор ARJ для распаковки второго BAT-файла и передают ему управление. Этот BAT-файл создает временный подкаталог S_G_W_W, разархивирует в этот подкаталог файлы из второго архива, выполняет поиск и заражение BAT-файлов, выполняет BAT-файл-носитель, удаляет временный подкаталог и файлы и заканчивает свою работу.

BAT.Batman

Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный BAT- файл создает файл B.COM, в который записывает свой код, и отдает ему управление. Файл B.COM, исполняющий содержимое BAT-файла, как машинные инструкции устанавливает в память свою резидентную копию, не проверяя ее наличия в памяти, и "перехватывает" INT 21h. После этого файл B.COM удаляется. При записи в файл (f.40h Int 21h) вирус проверяет не находится ли первой в буфере записи строка @echo. Если находится, то вирус считает, что производится запись BAT-файла и записывает в него свой код. Внешне вирус BAT.Batman выглядит следующим образом:
@ECHO OFF
REM [............]
copy %0 b.com>nul
b.com
del b.com
rem [............]
В квадратных скобках [......] схематично показано расположение байт, которые являются ассемблерными инструкциями или данными вируса.

BAT.BatVir

Неопасный нерезидентный вирус, заражающий BAT-файлы. Инфицированный BAT-файл создает файл BATVIR.94, в который записывает собственный дамп. Далее с помощью программы DEBUG данный дамп преобразуется в COM-файл. Данному COM-файлу программой DEBUG отдается управление. Этот COM-файл производит поиск и заражение *.BAT-файлов в текущем каталоге, после чего производится выход из DEBUG и удаление файла BATVIR.94. Вирус содержит текст "rem [BATVIR] '94 © Stormbringer [P/S]".

BAT.Highjaq

Очень опасный нерезидентный вирус-червь. Записывает свой код в WINSTART.BAT, ARJ-архивы и создаваемый вирусом системный драйвер. При старте инфицированного WINSTART.BAT-файла вирус создает файл C:\Q.COM, записывает в него свой код и запускает его следующей строкой BAT-файла: dir \*.arj/s/b|c:\q.com/i. Команда DIR производит поиск всех *.ARJ-файлов и передает их имена вирусному файлу C:\Q.COM.Данные архивы заражаются путем приписывания к ним еще одного поля в формате ARJ-архива, содержащего неупакованный (store) инфицированный файл /WINSTART.BAT (данный файл, расположенный в корневом директории диска, где находится система MS-Windows будет автоматически запускаться при старте MS-Windows).После чего вирус (C:\Q.COM) проверяет установлена ли его резидентная копия в памяти.Если нет, то вирус (С:\Q.COM) возвращает соответствующий код возврата (errorlevel) и заканчивает свою работу. По данному коду возврата (если память не инфицирована) вирус в BAT- файле переименовывает файл C:\Q.COM в C:\ABCDEFGH.IJK (вирус генерирует случайное имя) и дописывает в конец файла C:\CONFIG.SYS строку "INSTALLHIGH=C:\ABCDEFGH.IJK". Данный вирусный системный драйвер будет устанавливать резидентную копию вируса в память при загрузке DOS. Резидентная копия "перехватывает" INT 8, 21h и не занимается заражением файлов, а предназначена для идентификации наличия вируса в системе, а также вирусный обработчик INT 21h блокирует функцию GetFileAttribute для файлов, имена которых начинаются на "/W". Вирусный обработчик INT 8 через некоторое время перезагружает систему, если компьютер работает не под управлением MS-Windows. Вирус контролирует COM-порты и иногда посылает в порт модема строки (? - номер порта):
HIGHJAQ on COM?:38400,N,8,1 Система перезагружается если вирус определит, что бит Carrier Detect в течение 3-ех минут трижды устанавливался в единицу в соответствующем COM-порте. После перезагрузки системы вирус "перехватывает" INT 8, блокирует клавиатуру и запускает файл C:\COMMAND.COM с командной строкой "C:\ COM? /E:1024/P/F". Т.е., вирус определяет 3 звонка в течение 3-ех минут (1 звонок в минуту) от некоторого хакера и считает это "сигналом к взлому системы". После этого система перегружается, запускается COMMAND.COM и в порт модема посылается команда ATL0M0A. Хакер, позвонивший модемом в это время на данный компьютер, увидит после соединения системное приглашение "C:>" и сможет сделать с этим компьютером все, что хочет.

BAT.Naive

Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный BAT- файл проверяет наличие переменной среды RANGE_CHECK, если она равна "yes", то вирус отдает управление содержимому оригинального BAT-файла. Если данная переменная не установлена в "yes", то следующими строками вирус создает файл naive.com, в который записывает код проверки наличия в памяти своей TSR-копии, после чего запускает данный файл - "@naive.com". При отсутствии TSR-копии NAIVE.COM устанавливает соответствующий код возврата, который анализируется BAT-вирусом. Далее файл NAIVE.COM создается заново и в него записывается код, получающий информацию из стандартного входа (CON), который в свою очередь поступает из созданного файла NAIVE.DAT, в который вирус записал закодированный текст своего кода (один байт преобразован в два символа). Файл NAIVE.COM преобразует символы ASCII по некоторому алгоритму перекодирования (два символа - в один байт) в программный код и записывает этот код в файл NAIVE.EXE:
@echo>naive.com №ЁРБьЁУrXґ?........
@echo>naive.dat DDMJDDNCLEP........
@echo>>naive.dat IMAGPAACIJ........
...................................
@naive.comnaive.exe
Затем файлы NAIVE.COM и NAIVE.DAT удаляются:
@del>nul naive.com
@del>nul naive.dat
Запускается файл NAIVE.EXE, устанавливающий в память свою TSR-копию.
@naive.exe>nul
Файл NAIVE.EXE удаляется и устанавливается переменная среды RANGE_CHECK=yes, и управление отдается оригинальному BAT-файлу.
@del>nul naive.exe
@set range_check=yes
Далее при смене каталога (f.3Bh INT 21h) резидентная часть вируса производит поиск *.BAT-файлов, проверяет их на зараженность, и если они еще не заражены, создает файл NAIVE.TMP, производит кодирование своего программного кода в последовательность символов ASCII и записывает 4894 байт в файл NAIVE.TMP. После этого вирус дописывает в файл NAIVE.TMP содержимое оригинального BAT-файла и переименовывает NAIVE.TMP в имя BAT-файла.

BAT.Pot, BAT.Xop367, 850, BAT.Zep, BAT.Zop (1,2).

Неопасные нерезидентные вирусы. Заражают *.BAT-файлы в текущих и родительских директориях. BAT.Zop содержит текст "::[8m --- [ZoP_B] Batch Infector ---". BAT.Pot выводит тексты "You're Stoned!", "Let me outta here!".

BAT.Winstart.296, 297

Неопасные резидентные вирусы, создающие файлы WINSTART.BAT. При старте такого файла вирусы копируют содержимое стартовавшего BAT-файла, содержащего вирусный код в файл C:\Q.COM и запускают его:
@ECHO OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
Далее управление в файле C:\Q.COM попадает на эти же команды, которые уже выполнялись в инфицированном BAT-файле, но только в данном случае команды в COM-файле уже представлены, как ассемблерные инструкции, которые отдают управление командам, следующими за строкой C:\Q. Вирусы устанавливают свою копию резидентно в память (в область HMA) и "перехватывают" INT 2Fh, после этого переименовывают файл C:\Q.COM в C:\WINSTART.BAT. Резидентные копии вирусов контролирует запуски командного процессора и создают файл WINSTART.BAT в текущем директории.

Bauman.2203

Очень опасный нерезидентный вирус. В пятницу во второй половине дня уничтожает информацию на первом жестком диске. Оставляет в памяти резидентную копию, которая "гуляет" по разным адресам памяти и удаляет программы с именами DRWEB и AVP при их запуске. Содержит текст "© T&T Bauman".

Beast.Zver

Очень опасный резидентный вирус. Использует алгоритм заражения, заимствованный из вирусов семейства Beast - в начало файла записывается вирусный код, а оригинальное начало хранится в последнем неиспользуемом кластере файла на диске. Длина файла не меняется при этом не изменяется. Но длина файла по цепочке FAT может не совпадать с реальной длиной. Вирус содержит текст "~ZVER~".

Beda.337, 338, 352, 883, 1301, 1530

Свое название получили за функцию проверки своего наличия в памяти - f.BEDAh INT 21h. Beda.883, 1301 устраивают видеоэффект - три цветные линии, плавающие по экрану. Beda.352 имеет строку "ACHE". Beda.1301, 1530 при открытии (f.3Dh INT 21h) инфицированного файла создают новый файл \$a._$, в который записывают содержимое оригинального файла и возвращают открывающей программе описатель (handle) данного созданного файла. При закрытии файла (f.3Eh INT 21h) вирусы удаляют файл \$a._$. Beda.1530 удаляет файлы, начинающиеся на -V, WEB, AIDS, A-DIN. Также, Beda.1530 иногда изменяет в буфере клавиатуры нажатие клавиш F5, N, n соответственно на F8, Y, y.

Beer.645

Неопасный резидентный вирус. Иногда выводит текст "Ceйчac бы пивкa".

Beer.2473, 2620, 2794, 2850, 2984, 3164(1,2), 3192(1-3), 3399, 3490(1,2)

Опасные резидентные шифрованные вирусы. Beer.2473, 3164, 3192, 3307, 3399 уничтожают файлы DISKDATA.DTL, VIRUSES.INF, DIRINFO, -V.MSG или A-DINF-°.°°°. Иногда проигрывают мелодию и выводят сообщения:
Beer.2473 - Виpус,Виpус ха-ха-ха. ПРЯМО СВЕРXУ xa-xa-xa-xa !!!
Beer.2620, 2794, 2850, 2984, 3164, 3192, 3490 - Ceйчac бы пивкa
Beer.3399 - Lozinsky! I know you to be old beer drinker. How about a mug of beer or two? It would be amazing to meet you at our beer party. You are welcome at Solntsevo railway station About 17.00 p.m. every friday and wednesday.
Beer.3490 (1,2) содержат тексты "EGA - text mode demonstration Copyright © by Wadim 1990.", "I love you ,Ann !ANNA", "Wadim S.".

BG.1348

Опасный резидентный зашифрованный вирус. Иногда выводит текст:
Seems so simple now
Now that the sky is clear
Maybe the road was tough
But at last we're here
I've nothing to hide from you
Nothing to explain
Just this vision of broken wing
And the raven cries in pain...
Enter the name of song:
При неправильном ответе вирус "зацикливает" систему.Также может вывести на экран картинку.

BG.2135

Hеопасный резидентный шифрованный вирус. При одновременном нажатии на клавиши F12, NumLock, CapsLock и ScrollLock, вирус выводит текст:
И, может быть, тогда откроется дверь,
И звезды замедлят свой ход.
И мы встанем на пристани вместе,
Взявшись за руки, глядя на парусный флот.

BG.3084

Опасный резидентный полиморфный вирус. Выводит на экран текст Рок-н-ролл мертв, а я еще нет...
При открытии файлов с расширениями TXT,PAS,CPP,DIZ,NFO вирус записывает
в них тексты:
Я буду учиться не оставлять следов,
Учиться мерить то, что рядом со мной:
Землю - наощупь, хлеб и вино - на вкус,
Губы губами, небо - своей звездой;
Я больше не верю в то, что есть что-то еще;
А глаза с той стороны прицела ясны.
Все назад! Я делаю первый шаг,
Я начинаю движение в сторону весны...
То ли вынули чеку,
То ль порвалась связь времен.
Подружились господа,
Да с Господней сранью.
На святой горе Монмартр
Есть магический Семен,
Он меняет нам тузы
На шестерки с дрянью.
Раньше сверху ехал Бог,
Снизу прыгал мелкий бес,
А теперь мы все равны,
Все мы анонимы.
Через дырку в небесах
Въехал белый Мерседес,
Всем раздал по три рубля
И проехал мимо...
нтные шифрованные вирусы. 17 ноября выводят текст:
G+A=


--------------------------------------------------------------------------------


--------------------------------------------------------------------------------


Press any key to go on

BigMouse.998

Очень опасный шифрованный резидентный вирус. В апреле уничтожает содержимое логического диска D:. Содержит строки "SCANCLEAVIRSF-PRCPAV" и "-=GC73=-".

Birthday.512

Опасный нерезидентный вирус. 31 числа в 11 часов удаляет стартовавшую инфицированную программу. Содержит текст "Happy Birthday!!".

Bishkek.319

Опасный нерезидентный вирус. 31 числа уничтожает содержимое 10 первых секторов жесткого диска. 22 числа выводит текст "Scorpions by Sch(5) in Bishkek".

BitAddict.979, 1190, 1459, 1601

BitAddict.979, 1190 - неопасные, BitAddict.1459, 1601 - очень опасные резидентные вирусы. Размещают свою резидентную копию в нескольких системных буферах. При первом запуске стремятся заразить командный процессор, указанный через переменную COMSPEC. BitAddict.1459, 1601 уничтожают содержимое секторов диска D: после 256 "переходов" вирусов с одного компьютера на другой.

Bitch

Неопасный Boot-вирус. Пытается заместить собой вирусы Stoned и Michelangelo, если обнаружит их на дисках. При ошибке записи своего кода на диск выводит на экран текст: "ю.Z.яэF< SVINOLOBOVA SYKA >S0_MBR © 04.1994 by @SOURCE (ЛИАП). По всем вопросам обращаться по тел. 264-35-27 ( после 22ч. Люда ).".

BlackJec.231,232,235,236,247,252,267,272,276,281,287,292,301,307,358,363,369, 374,378,427,440,441

Неопасные (BlackJec.301, 307 - опасные) нерезидентные вирусы. BlackJec.301, 307 в сентябре пытаются отформатировать первую дорожку текущего флоппи-диска и выводят текст "Sad virus - 24/8/91".

BlackMonday.1055

Очень опасный резидентный вирус. В понедельник форматирует нулевую дорожку жесткого диска. Содержит текст "Black Monday 2/3/90 KV KL MAL".

BlackSun.2372

Неопасный резидентный зашифрованный вирус. Иногда "трясет" экран посредством изменения строчных букв на заглавные и наоборот на экране. Содержит тексты "CHKLISTDISKINFOSCOPEЕ", "BlackSun v1.0 "Shaker"".

BlackWorm

Очень опасный загрузочный вирус. Начиная с 1995 года уничтожает содержимое первого жесткого диска. Содержит текст "BLACK WORM".

Blah.3379, 3385

Неопасные файлово-загрузочные стелс-вирусы. Заражают MBR жесткого диска и BAT-файлы. При старте инфицированного BAT-файла, вирусы создают файл є.com, в который записывают некоторый текст. После чего вирусы отдают управление данному є.com файлу. Первые байты текста файла є.com воспринимаются процессором, как ассемблерный код, производящий по определенному закону,конвертацию текстовых строк в вирусные инструкции. Далее є.com файл устанавливает свою резидентную копию в память, "перехватывает" INT 13h, 21h и заражает MBR "винчестера". После чего файл є.com удаляется. Резидентные копии вирусов заражают BAT-файлы и осуществляют стелс-механизм сокрытия вирусного кода в инфицированных BAT-файлов и MBR. Вирусы содержат текст "Blah virus (DA/PS)"

Blind.549

Опасный нерезидентный вирус. Из-за ошибок может разрушить инфицируемые файлы. Содержит текст "=Blind Guardian 1995=".

Blink.501

После каждого 4 заражения файла вирус "мигает" экраном.

Bobby.613

Неопасный нерезидентный вирус. По пятницам выводит текст: Пpивет, я - безобидный виpyс Bobby Friday. Я не пpичиню вpеда вашемy компьютеpy Я только бyдy говоpить по пятницам, что моемy автоpy очень нpавится девyшка по имени СВЕТА.

Bomzh.3809

Опасный резидентный шифрованный вирус. "Перехватывает" INT 17h (вывод на принтер) и INT 21h. При печати на принтер вставляет после запятой междометие ", бля". Содержит тексты:
Приветствую всех хакеров, читающих этот текст.
Этот вирус - типичный "студенческий".
Приношу всем пострадавшим от его некорректных
действий свои искренние извинения.
Он был написан в период летней практики только от скуки.
Благодарю за помощь, которую мне оказали:
Игоря Данилова(за его VIRLIST),
Евгения Касперского(за "Компьютерные вирусы в MS-DOS".
Евгений, не пишите больше таких книг - "чайникам" они бесполезны,
профи - насрать, а вот вирусописатели...),
Карпова Вадима - за литературу,
Иванова Олега - за комп.
Все замечания в свой адрес приму
через FIDONET 2:5033/1.32 с пометкой "Бомжу".
Желаю всем жить счастливо!
Пока!
Ваш Бомж.
Бомж-вирус.

Bones

Очень опасный загрузочный стелс-вирус. 7 числа уничтожает содержимое дискеты, к которой происходит обращение, и первого жесткого диска.

BootCom.Light

Неопасный файлово-загрузочный вирус. При первом старте зараженного COM- файла, вирус инфицирует MBR жесткого диска. При загрузке системы с такого диска вирус "перехватывает" INT 1Ch, ждет второго изменения INT 21h, после чего "перехватывает" INT 21h. Содержит текст "© Light General.For free use!Kiev.1995".

BootCom.Peanut.445

Опасный вирус. Заражает MBR жесткого диска и Boot-сектора гибких дисков, а также COM-файлы при их запуске. При старте инфицированного COM-файла или при загрузке с зараженного флоппи-диска вирус поражает MBR "винчестера". При загрузке с инфицированного жесткого диска вирус размещает свою TSR-копию в верхних адресах памяти и перехватывает INT 13h. После загрузки первой EXE-программы вирус перехватывает INT 21h. При заражении дискет вирус не сохраняет оригинальный Boot-сектор. При чтении через INT 21h зараженного MBR вирус подставляет оригинальный MBR (стелс-вирус).

BootExe.174

Очень опасный файлово-загрузочный вирус. Внедряет свой код в середину загрузчика MBR, устанавливая на этот код свою программную ссылку. При загрузке системы с инфицированного диска устанавливает свою резидентную копию в таблицу векторов прерываний, "перехватывает" INT 13h, проверяет запись на флоппи-диски COM или EXE-файлов (определяя их по первым байтам заголовка файла: 0E9h - для COM и 'MZ' - для EXE-файлов) и записывает свой код в начало данных файлов, не сохраняя оригинальный программный код.

BootExe.443, 444, 451 (1,2), 452

Опасные вирусы. Заражают Boot-сектора "винчестера" и гибких дисков, а также EXE-файлы, внедряя свой код в заголовок EXE-файлов, превращая файл из формата EXE в формат COM-файла. Вирусы перехватывает INT 13h и "следят" за чтением секторов. Если прочитанный сектор содержит сигнатуру "MZ", то вирусы считают, что был считан заголовок EXE-файла. И если данный заголовок равен 512 байтам, и EXE-файл имеет достаточно свободного места в таблице перемещаемых элементов (relocation table), то вирусы записывают в свободное место заголовка EXE-файла свое тело и изменяют сигнатуру "MZ" на короткий JUMP (EBh ??) на свой код. После чего производят запись данного сектора, содержащий вирус, на диск. Вирусы также заражают Boot-сектор жесткого диска, считая, что он располагается на головке-1, дорожке-0, секторе-1. При заражении дискет, отличных от 360 Kb, вирусы не сохраняют оригинальный Boot-сектор.

BootExe.Dogcher

Опасный резидентный вирус, заражающий MBR первого жесткого диска и EXE-файлы. При заражении EXE-файлов вирус записывает оригинальный сектор, содержащий заголовок EXE-файла (512 байт) в сектор, предшествующий исходному, не проверяя его содержимое.

BootExe.Olga

Опасный вирус. Заражает MBR жесткого диска и EXE-файлы. 27 декабря уничтожает содержимое жесткого диска. Содержит текст "SGB:Olga++".

BootExe.Platov

Устанавливает свою резидентную копию по адресу 9000:FC00h. Принадлежит "перу" Андрея Платова.

BootExe.Stalker.310, 320

Опасные резидентные вирусы, заражающие MBR "винчестера" и EXE-файлы. При запуске инфицированного EXE-файла, вирусы заражают MBR, не сохраняя оригинальный загрузочный сектор MBR, и "вешают" систему. При загрузке системы с инфицированного MBR, вирусы устанавливают в память свои резидентные копии и "перехватывают" INT 13h. BootExe.Stalker.320 содержит строку "*Stalker*" с инвертированными битами.

Bowl.737

Неопасный нерезидентный шифрованный вирус. Неработоспособен на Pentium PC.

Brasil

Очень опасный загрузочный вирус. Может вывести текст "Brasil virus!" и уничтожить содержимое секторов жесткого диска.

Bravo

Опасный загрузочный вирус. Может уничтожить содержимое MBR, записав вместо него случайные данные, в начале которых будет присутствовать строка "Bravo".

Brownie.688

Неопасный вирус. 13 числа выводит текст "brownie for Koliada A.I." и воспроизводит некие звуки на динамике.

BrPI.511, 555

Неопасные резидентные вирусы. BrPI.555 производит скроллинг экрана на несколько строк вверх для каждого 3-го стартующего инфицированного файла. Содержат строки:
BrPI.511 - "© by BrPI Version 2.0 '92"
BrPI.555 - "by BrPI '92".

Btg.792

Неопасный резидентный вирус. При запуске некоторых программ может вывести текст "Error in EXE file". Содержит строку "Btg#".

Bug.920

Опасный нерезидентный вирус. Производит поиск *.EXE файлов и создает для этих файлов COM-файлы длиной 73 байта, не содержащие вирусный код, а только производящих запуск данных EXE-файлов. Также производит поиск и заражение стандартным образом COM-файлов. Удаляет файлы c:\chklist.*. Производит изменение случайного символа знакогенератора. Содержит текст "BUG-2.0oН".

Burger.382, 560

Очень опасные, замещающие программный код, вирусы. Burger.382 иногда пытается переименовать файл с расширением EXE в файл с расширением COM. Уничтожают информацию в 2ух случайных секторах диска C:.

Burglar.1150

Неопасный резидентный вирус. При значении секунд системного времени- 14 вирус выводит текст "Burglar/H". Не заражает файлы из списка (по 2 символа на имя) "CLHWTBF-WCTK". Содержит текст "AT THE GRAVE OF GRANDMA...".

Burma.442 (1,2), 666

Производят видеоэффект: все символы на экране кружась, исчезают в центре экрана. Burma.442 (1,2) выводят текст "[Tempest - р]", они содержат строку "Rangoon, Burma". Burma.666 выводит тексты "SwizzleStyxx!" и "Reading system configuration, please wait.", содержит также текст "DarkAvenger".

BW.Roet.1899

Опасный резидентный вирус. 20 декабря уничтожает содержимое логического диска C: и выводит текст: ROETVIRUS_E5IBINFECTION PC DeStruCTion aFTeR 255 bEEpsTry aGAin NexT YEar ROETJE - THE IMMENSE

ByeBye

2, 6, 10, 14, 18, 26 и 30 мая выводит на экран текст "Bye bye C&C".