Лихайският вирус – вирусът възниква в Лихайският университет в Бетлехем, щата Пенсилвания. Вирусът e дълъг 346 байта. Той се разполага в област към края на файла COMMAND.COM. Вирусът се разполага именно в тази област и не увеличава дължината на файла. Той променя първата инструкция на файла, така че тя да извършва безусловен преход в собствения му код. Вирусът прехваща прекъсването INT 21h и по-точно функциите 4Bh (EXEc) и 4Eh (Find First). Така той получава управлението винаги при изпълнение на най-често използваните команди, като DIR, TYPE, както и при всяко стартиране на програмата. Оригиналният вектор INT 21h се премества на INT 44h.
Във вируса са допуснати редица съществени грешки и пропуски. Първо, променя се датата на заразявания файл. Второ, вирусът няма блок за обработка на критичните грешки. И трето, вирусът не може да се справи дори с такава елементарна защита, като установяването на атрибута за защита срешу запис (Read Only) на файла COMMAND.COM. Освен изброените недостатъци, които са по-скоро пропуски, вирусът съдържа и сериозна програмна грешка.
Eddie – въэниква в началото на 1990 г. Авторът на този вирус започва да разпространява изходния текст на вируса си. Освен това е пуснал в разпространение и една програма, наречена DOCTOR, която лекува вируса. Програмата е дълга точно 20 000 байта и в нея се съдържат някои трикове, които, не са документирани никъде. В нея се съдържат и двата вируса – Eddie и V2000. Когато се стартира с опция /H, програмата извежда два екрана текст, в който се описва историята на създаването на вируса Eddie. Този вирус е създаден от т.нар. Мрачен отмъстител.
V651 – създателят му се е подвел от популярността на Eddie, защото, поне външно, вирусът прилича на него. Става дума само за външни прилики. Eddie е V651 е дълъг само 651 байта. Той спада към класа на т.нар. резидентни вируси. Това означава, че при първото стартиране на заразената с него програма вирусът остава резидентен в паметта на компютъра и след това заразява всеки стартиран файл. Вирусът заразява както COM, така и EXE файлове. Заразяването на файловете се извършва при стартирането им (а не при всяка файлова операция, както е при вируса Eddie). За да бъде заразен, файлът трябва да има размери между 651 и 64 372 байта.
В самият вирус се намира низът: “Eddie lives, който не се използва за нищо. Променената информация от нападнатите файлове се пази в последните 11 байта от кода на вируса. V651 използва в качеството на маркер за заразените от него файлове полето за секунди във времето за последна промяна на файла.
Този вирус притежава една особеност, която му помага да остане по-дълго време незабелязан. Вирусът прехваща функциите на PC DOS за търсене на файловете File First и File Next (метод FCB). Именно тези функции използва командата DIR, за да извлече имената на намиращите се в директорията файлове. Вирусът V651 е безвреден. Нещо повече - той не се проявява по никакъв начин. Никакви повреди по файловата система, никакви видеоефекти, никакво свирене на популярни мелодии.
V1704 - По своето действие той е напълно аналогичен на вируса V1701, който е отдавна познат у нас. Разбира се, той има поне една разлика - това, че е с три байта по-дълъг. За съжаление това е достатъчно, за да не могат да го откриват програмите, предназначени за борба с по-ранната версия.
Този вирус е добре известен по света. За него съществуват огромно количество лекуващи програми.
V512 - Той се е появил на един от компютрите в Института по математика през ноември 1989 г. В самият вирус няма никакъв подпис, който да помогне при определяне на произхода му. В самият край на вируса се намира низът “666”. Става дума за низ, а не за число. Това е т.нар. “Число на звяра. Вирусът е дълъг само половин Кбайт.
Известни са различни методи за работа с дисковете, които остават незабелязани от следящите програми. Методът, използван от вируса V512 е прост и същевременно не е описан в нито един от източниците. Той се състои в извикването на INT 2Fh, като в регистъра AH стои числото 13h. За да се разбере какво прави тази функция на операционната система, се налага да се реасемблира една нейна част. След изпълнението и в регистри DS:DX се получава оригиналния адрес на програмата за работа с дисковете. Описаната функция е реализирана само в PC DOS, версия 3.30 и по-голяма, което вирусът внимателно проверява. При по-ниски версии на операционната система резидентните защити все още ще работят.
Вирусът е резидентен. Той заразява само COM - файлове. По-точно заразява файлове, чието разширение започва с “CO”.
Вирусът за $ 96 000 000 по мрежата Arpanet/Internet - Това е една вирусна атака, разпространила се за броени часове по цялата ARPANET и заразила редица от най-големите американски университети и някои от най-известните научноизследователски центрове и лаборатории, изпълняващи важни военни проекти.
Вирусът се състои от две части - стартов модул и главна програма. След като се установи в заразената машина главната програма започва да събира информация за другите машини от мрежата. За тази цел се използват както поддържаните в системата в системни функции и помощни програми, и някои общодостъпни конфигурационни файлове. След това програмата се опитва да инсталира стартовия модул на всяка от тези машини. Стартовият модул се съхранява и прехвърля на новите машини във формата на изходен текст код, която се компилира и изпълнява на заразената машина.
Stonned - този вирус заема точно един сектор, въпреки че дължината на самия вирус е по-малка. При заразяването на дисковете вирусът първо копира оригиналното съдържание на първия дисков сектор (сектор 1 на нулевата страна на нулевия цилиндър). На дискетите това е секторът за начално зареждане, а на твърдия диск - главният сектор за начално зареждане. Този сектор се прехвърля върху сектор 7 на нулевата страна на нулевия цилиндър на твърдия диск, а на дискетите - върху сектор 3 от страна 1 на нулевата пътека. След това започва интензивно да се препозиционира главата на флопидисковото устройство. Странното е, че има и други заразени програми, но само WORD се държи по този начин. С използване на PCTools се вижда, че това съобщение естествено се разполага сред другите съобщения на програмата. При прехвърляне в края на програмата, се вижда, че там се е разположила една от трите версии на вируса TP. Самата програма WORD е с вградена защита от неавторизирано изменение, която се задейства, когато установи направени изменения в нея.
Този вирус може да бъде почистван дори и да е активен в паметта на компютъра. Това следва от начина му на заразяване.
Datacrime - Разпространил се е широко Западна Европа и САЩ през октомври 1989 г. Известни са три версии на този вирус с дължини съответно 1280, 1168 и 1514 байта. Първите две версии заразяват само COM файлове, докато третата заразява както COM, така и EXE файлове. И трите версии не заразяват COMMAND.COM, промяната в дължината на който най-бързо се забелязва. За да избегне включването на низа “COMMAND.COM” в своя код, вирусът го разпознава само по седмата буква. Във вируса е вградена логическа бомба, която се задейства на 12 октомври. Преди това вирусът само се разпространява.
Панамски вирус - Този вирус възниква в началото на 1990 г. От пощенския клон в Югозападен Лондон са изпратени по определени адреси в редица европейски страни, в Тайланд, Зимбабве и може би на други места дискети с етикет “AIDS InforMationVersion 2.00”. Заедно с дискетата във всеки плик имало и лист, на който е било посочено, че потребителят на дискетата трябва да приведе 378 долара по сметката на Панамската корпорация PC CYBORC Corporation. В противен случай неговият компютър ще престане да функционира нормално.
Съдържащата се в дискетата програма задава при изпълнението си няколко въпроса на потребителя, след което оценява риска да бъде заразен от СПИН.
Този случай е реазследван от лондонската полиция. Според някои сведения само във Великобритания са били разпространени около няколко хиляди дискети. Общата сума, която би трябвало да бъде получена от посочената компания, се оценява на 9 милиона долара. Самата компания е основана през април 1989 г. с начален капитал 10 000 долара. Все още не е ясно дали е действителна или фиктивна и как е замесена в този случай.
Относно разрушаващото действие на програмата има непълни и в известна степен противоречиви сведения. Говорело се за инсталирането на някакъв Троянски кон с неясно предназначение.
Този случай е показателен за тенденцията за комерсиализация на вирусите, използването им за получаване на някакави облаги. Тук по-скоро става дума за вредителска програма, може би наистина разрушаваща съхраняваната в компютъра информация.
Индонезийски вирус - той заразява секторите за начално зареждане, подобно на Stoned, но форматира твърдия диск по специален начин (директно управлявайки контролера), така че след това дискът става неизползваем дори след форматиране със стандартните средства на операционната система. Възстановяването на диска е възможно само чрез някои специализирани програми за физическо форматиране.
V1702 - този вирус се появява в САЩ в края на 1989 г. Той има дължина 3066 байта, резидентен е и заразява COM и EXE файлове при тяхното изпълнение. Създава видеоефект, аналогичен на този на V1701 (буквите от екрана падат и се събират в последния ред). Разликата е в това, че ако в процеса на падане на буквите бъде натиснат накой клавиш, компютърът блокира. След като всички букви паднат, е достатъчно да бъдат натиснати два произволни клавиша и изображението се възстановява. Това се повтаря на всеки час.
Вирусът V2000 - ако се съди по стила на програмиране авторът на този вирус е отново Мрачния отмъстител. Той го нарича версия 1.4 на Eddie. Известни са поне две модификации на този вирус. И двете са дело на същия автор.
Вирусът заразява както EXE, така и COM файлове, като увеличава дължината им с 2000 байта. EXE файловете първо се допълват, така че дължината им да бъде кратна на 16 байта и чак след това към тях се добавя дългият 2000 байта вирус. EXE файловете се разпознават по първите им два байта, като се прави проверка както за MZ, така и за ZM.
Вирусът остава резидентен в паметта чрез манипулация на контролните блокове на паметта, като заделя 4КБайта памет. Инсталацията в паметта се извършва по различен начин от вируса Eddie - не съдържа толкова грешки и предизвиква по-малко проблеми. Този вирус, както и Eddie няма да работи на версия на PC DOS, по-ниска от 3.0. Файловете се заразяват както при стартиране, така и при копиране и/или разглеждане. Командният интерпретатор се заразява първи - механизмът е същият както при Eddie.
Вирусът има собствена програма за обработка на критичните грешки, така че да не се появяват съобщенията на PC DOS, например при опит за заразяване на механично защитена срещу запис дискета.
V-277 - този вирус е от поредицата V-847/V-345/V-299 (по света наричат тези вируси Amstrad или Pixel). До този момент той е бил най- късият вирус в света за компютри от типа IBM PC (най-късият вирус в света въобще е бил дълъг само 11 байта, два от които интервали. Писан е на езика на командния интерпретатор shell за операционната система UNIX). Дължината на V-277 е само 277 байта. По света това е прието да се нарича инфективна дължина на вируса.
Вирусът представлява почти пълно копие на V-299 (заедно с всичките му недостатъци), но дългото съобщение в него е премахнато и е заменено от малка програма, която се изпълнява с вероятност 50% и която предизвиква PARITY ERROR. Този вирус е изключително рядко срещан.
Българският Boot секторен вирус - вирусът е хибрид между Италианския, Новозеландския и Пакистанския вирус. Той заразява само дискети - прави се изрична проверка за твърдите дискове и те не се заразяват. От Пакистанския вирус е взета идеята при активен в паметта вирус.
Вирусът няма пряко разрушително или някакво видимо действие. Той все пак може да бъде източник на неприятности. На отместване 70h в тялото на вируса се намира брояч, който намалява с единица при всяко заразяване. Броячът не се увеличава никога. Когато стойността му достигне 0 вирусът променя съдържанието на първата с последната пътечка от дискетата. Ако вирусът е активен в паметта, при опит за достъп до информацията на някоя от тези две пътечки вирусът извършва обратната размяна, така че потребителят не забелязва нищо. Обаче при опит за прочитане на такава дискета на незаразен компютър или пък при отстраняване на вируса, без “да се оправят ” разменените пътечки, следват само неприятност.
V800 - това е резидентен вирус, който напада само COM файлове и има инфективна дължина от 800 байта. Във вируса са използвани редица начини за преодоляване на резидентните защитни програми, характерни за V512. Вирусът има една същественан разлика от V512 – не се опитва да остане незабележим. Увеличаването на дължината на заразените файлове е очевидно дори при изпълнение на командата DIR. При инсталирането си в паметта той заема 8КБайта памет. От това количество памет вирусът използва само 1616 –800 за собствения си код, 800 като буфер и още 16 за някои променливи. Останалата част не се използва за нищо. Веднъж разположил се в паметта вирусът заразява всеки COM файл, който се стартира или с който се извършва някаква файлова операция.
Това е първият в света резидентен файлов вирус, който не прихваща INT 21h. Вместо това той прихваща една функция на PC DOS, свързана с поддържането на локални мрежи, която се извиква преди всяка операция над файлове. Вирусът увеличава дължината на заразяваните файлове с 800 байта. Този вирус използва един неизвестен в света метод за заразяване на COM файлове. Избраният файл се разделя на случайно място (невключващо първите три байта; случайното число се генерира на основата на стойността на системния таймер). След това самият вирус се разполага на това място, а изместената част от файла се премества в края на този файл.
Този вирус не нанася никакави разрушения. Това е само начален опит за създаването на нов, много по-разрушителен вирус.
V1226 - Този вирус е получен от V800. По същество това е вирусът V800. Вирусът V1226, използва същия алгоритъм на шифроване, също напада само COM файлове (без файла COMMAND.COM), заема 8КБайта памет, дори съобщението “Live after death” е на мястото си. Вирусът преодолява без никакви затруднения резидентните защити – също както и V800.
Инфективните интервали са 8 и са почти същите. Само горната граница на последния е леко понижена: от 58368 до 64255 (от OE 400h до OFAFFh).
Дължина на вируса не е цяло число, нито в шестнайсетичната бройна система, нито в десетичната. Съществените изменения, предизвикали увеличаването на размера на вируса с повече от 400 байта са две. Първо, добавена е разрушителна част. Второто изменение се състои в това, че вирусът непрестанно мутира. Всяко негово копие, заразило следващ файл, е различно от предишното. Самото тяло на вируса е шифровано и затова всеки път е различно. Новото при V1226 е, че всеки път се променя шифриращата част.
PHOENIX - редица от недостатъците на предишните вируси са премахнати и са добавени редица нови свойства.
Дължината му е точно 1704 байта, с което наподобява версията на “Падащите букви”. За основа е взет отново вирусът V800, но са направени редица промени и усъвършенствания. Механизмът на шифриране и мутации е съвършено същият с тази разлика, че той вече е реализиран като подпрограма и по принцип би могъл да се добави към който и да е вирус.
И този вирус е способен да преодолява резидентните защити. Името си вирусът дължи на факта, че след като се разшифрова в него може да бъде намерен низа “PHOENIX”. Този вирус се намира на място, различно от това при вирусите V800 и V1226. Той е разположен по-скоро близо до началото на вируса. Вирусът заразява COM файловете, които лежат в избраните от него инфективни интервали както при стартирането, така и при копирането им. Има и едно допълнение. Ако заразяваният файл не се намира нито в текущата директория, нито в главната, нито в някоя от поддиректориите на текущата, вирусът претърсва директорията, в която се намира заразявания файл за наличието на EXE файл. Към така избрания файл се добавя една малка програма, която по своята същност не е вирус, след което EXE файлът се “маркира”, като полето на секундите във времето на последна му промяна се установява равно на 60. Споменатата малка програма проверява дали вирусът се намира в паметта на компютъра и ако това е така предава управлението на оригиналната програма. Ако вирусът не бъде открит, малката програма изведнъж се заема с разрушаването на информацията от инсталираните на компютъра твърди.
DIR II - известен е още като Creeping Death, MG II, Varna II, FAT Killer и с други имена. Името Creeping Death се среща в BBS Virus exchange в София. Когато е активен той заразява дори само при изпълнение на командата DIR. Това е причината за бързото му разпространение. Въпреки името си вирусът не е разрушителен. Все пак има два случая, в които може да повреди данни.
DIR II е резидентен, напълно стелт вирус, който заразява файлове, но съществува в единствен екземпляр във всяка заразена файлова система. Тялото си вирусът записва в последните, неотбелязани като лоши един или два клъстъра на заразения носител. Два клъстъра са необходими само ако размерът на клъстъра е един сектор. Това зависи от формата на диска или дискетата и е сравнително рядко.
В случай на начално зареждане на системата вирусът увеличава с около 1,5 КБайта блока памет, намиращ се пред този, собственост на командния интерпретатор. В случай на по-късно инсталиране се създава нов блок памет с размер около 1,5 КБайта, маркиран като данни на DOS.
DIR II не прихваща нито едно прекъсване и не прави проверка дали се извършва успешно заразяване, но в края на кода си има брояч на “поколенията”. Той не работи на DOS версия 5.0. Не заразява COM и EXE файлове, по-малки от 2048 байта и по-големи от 4 МБайта.
Murphi - има две мутации на този вирус, който имат по-различни свойства от оригинала. Те са съответно с инфективни дължини 1284 и 1480 байта. Първата почти не се различава от оригинала, а втората е доста близка до мутацията с инфективна дължина 1521 байта.
Действието на последните две се състои в променения ефект при активирането на вируса. И при двете звуковият ефект е заменен със зрителен – при настъпването на определеното време на екрана се показва подскачащо топче, което видимо не се различава от проявата на вируса Ping Pong.
Sentinel - това е цяло семейство вируси, от което са известни поне четири представителя с инфективна дължина съответно 4636, 4571, 5173 и 5402 байта. Тези вируси са изцяло написани на език от високо ниво, а именно на Turbo Pascal.
Всички представители на това семейство са резидентни вируси, заразяващи както COM, така и EXE файлове. Между отделните версии се наблюдава определено развитие. Докато първият от тях (4636), прави приблизително същото, което и вирусът Murphi (заразява при изпълнение, копиране, преименуване на файла, а също и при функцията Extended-OpenCreate –6C00h), то последната (5402) може дори да бъде класифицирана (с известно пресилване) като мутиращ стелт вирус.
При активен в паметта вирус неговото тяло е невъзможно да бъде открито в заразените файлове, ако се използват само функции за работа с файлове по метода с файлов манипулатор. Освен това, когато заразява COM файлове, този вирус мутира.
Вирусът има собствена програма за обработка на критичните грешки и успешно преодолява резидентните защити, прехванали INT 21h и INT 13h. Той не е шифрован, нито пък се самомодифицира.
В края му се намира един низ, който е различно кодиран при отделните заразени файлове. Този низ никога не се извежда на екрана. Вирусът няма никакви други прояви, освен да се размножава.
Naughty Hacker (Немирният хакер) - това е едно семейство вируси, съдържащо разнообразни представители.
Всички вируси от това семейство са резидентни. Те нападат както COM, така и EXE файлове, при това, както при изпълнението, така и при копирането им. Имат собствени програми за обработка на критичните грешки, не позволяват на командата DIR да забележи, че заразените файлове са с увеличена дължина, маркират заразените файлове с установяване на стойността 62 в полето за секундите на времето за последна промяна на файла и повече или по-малко успешно с резидентните защити.
Известните версии на този вирус имат инфективна дължина съответно 1154, 1154, 1316, 1576, 1594, 1610 и 1776. В почти всяка една от тях по един или друг начин се съдържа подписът Naughty Hacker.
1963 – този вирус наподобява вируса V 512. 1963 вече успешно заразява както COM, така и EXE файлове. Подобно на V512 той се записва успешно върху началото на COM файловете. В EXE файловете вирусът се записва върху частта от файла, непосредствено след заглавната. Ако в заглавната част се съдържат адреси за пренастройка, попадащи върху вируса, последният ще бъде повреден при зареждането на файла. Затова при заразяване на такива файлове вирусът нулира полето от заглавната част, което показва броя на адресите за пренастройка. След това входната точка на файла се променя така, така че да сочи във вируса.
Оригиналната част от файла, върху която се е записал, вирусът премества зад края на файла – също както и V512. Нейната дължина е 1963 байта, плюс една дума, съдържаща оригиналната стойност на брояча на адресите за пренастройка (relocation items) плюс две думи, съдържащи входната точка на файла, ако това е било EXE файл.
Този вирус не използва свободното задфайлово пространство. Той прихваща всички функции на операционната система за работа с паметта – Alloc (48h), Free (49h), Shrink (4Ah). Ако някоя от тях бъде изпълнена, вирусът временно заделя като използван блока памет, в който се намира, след което веднага го освобождава отново.
Вирусът няма никакви умишлено разрушителни функции и никакво проявление, различно от разпространение. Но той може да предизвиква неумишлено повреждане на заразените файлове, ако се изпълни програмата CHKDSK с опция /F при отсъстващ от паметта вирус или ако се дефрагментира диска чрез някоя от програмите COMPRESS (от пакета PCTools) или SD (от пакета Norton Utilities).
“Плъхът” (The RAT) - вирусът дължи името си, както на намиращият се в самия му край низ “The rat”, така и на поведението си. Вирусът е резидентен, но не може да се открие чрез някоя от програмите MAPMEM, PCTools или дори чрез преглеждане на буферите на операционната система. Той се разполага в DOS – запълнена с нули област, която не се използва за нищо. Вирусът я намира като прочита векторът на прекъсване INT 2Bh. Той използва сегментната част на вектора, за да определи сегмента от паметта в който е разположена DOS.
Вирусът напада само EXE файлове, при това само такива, които отговарят на много специални изисквания. За да бъде атакуван, файлът трябва да има заглавна част (EXE-header), равна точно на 512 байта, и да няма нито един адрес за пренастройка при зареждане (relocation items). Такива файлове са изключителна рядкост, тъй като те лесно могат да бъдат превърнати в COM файлове. Това обуславя и факта, че вирусът трудно се разпространява.
Ако такъв файл все пак бъде намерен, вирусът се разполага в неизползваното пространство на заглавната му част, без да увеличава дължината и.
“Kamikatze” - този вирус е дълъг 4032 байта, не е резидентен и напада само EXE файлове, които са по-големи от самия него.
Вирусът заразява избраните файлове като се записва върху началото им. В резултат от това файловете престават да работят. При стартиране на заразен файл вирусът се самоунищожава, като записва в самото му начало (т.е. върху себе си) низа “kamikatze” и допълва до края на 4032-те байта произволни байтове които случайно се намират в паметта. Потребителят ще разбере, че файлът е заразен още при следващия си опит да го стартира, но вече ще е твърде късно.
Записът “kamikatze” в заразените файлове е в шифровано състояние и не се вижда “с просто око”.
След като се самоунищожи, вирусът се опитва да зарази по още един файл в текущите справочници на всеки един от наличните дискове, след което и във всеки справочник, описан в променливата PATH от обкръжението.
Destructor - резидентен е, заразява COM и EXE файлове, както при изпълнение, така и при копиране. Всъщност и при други функции – преименуване, смяна на атрибута, запитване за времето на последната им промяна и даже при изтриване. За да бъдат заразени, COM файловете трябва да имат размери между 50 000 и 64 000 байта, а за EXE файловете няма ограничение. Заразените файлове увеличават размерите си с 1150 байта, като EXE файловете допълнително се подравняват, така че дължината им да стане кратна на 16 байта. Последното се прави от почти всички вируси, които заразяват EXE файлове (а някои го прилагат даже и към COM файловете), въпреки че е напълно излишно. Вирусът Destructor не прави опити да скрие факта, че заразените файлове са увеличили размера си.
Parity - това е един сравнително прост, нерезидентен вирус, който вероятно е създаден в Техническия университет, София. Инфективната му дължина е 441 байта и той заразява едновременно всички COM файлове в текущия справочник. Не се прави проверка за дължината на заразяваните файлове, поради което файлове, по-малки от 3 и по-големи от 64 838 байта, ще престават да работят след заразяване. Заразените файлове се разпознават от вируса по това, че завършват на 0B0h, 0Feh.
Вирусът има собствена програма за обработка на критичните грешки, но не е в състояние да заразява файлове, чийто атрибут Read Only е установен.
ETC - този вирус не е резидентен, има инфективна дължина точно 700 байта и заразява само COM файловете, които са по-малки от 64 000 байта в текущия и в главния справочник. Заразените файлове се разпознават от вируса по това, че започват с байтовете 90h, 0E90h.
Tony - това е прост нерезидентен вирус. Инфективната му дължина е точно 200 байта и той напада само COM файлове, като отмества файла с 200 байта назад и се записва в началото му. При това, на първо число всеки месец се заразяват само файловете от текущия справочник, но всички файлове, отговарящи на съответната многозначна файлова спецификация.
Вирусът не заразява файлове, по-малки от 200 байта, или такива с установен атрибут Read Only. Може да зарази дори двата системни файла на операционната система, при което компютърът ще престане да извършва начално зареждане.
Вирусът има собствена програма за обработка на критичните грешки, и колкото и странно да изглежда това за един малък и сравнително прост вирус, е в състояние да преминава някои резидентни защити.
Micro-128 - това е най-късият известен до 1992 година в света резидентен вирус за операционна система MS DOS/PC DOS. Той отново е български. По структура и начин на действие той донякъде прилича на Tiny-133, но не съдържа толкова много трикове като него и очевидно е дело на друг автор. А е толкова къс, защото не проверява дали нападнатият файл е вече заразен. Поради това той може да заразява файловете многократно.
COMPILER - заразяването с този вирус се извършва по време на компилация, което му дава определено предимство. Обикновено при компилация потребителят практически не знае размера на получения EXE файл. Това позволява на вируса да зарази файла, без да събуди ни най-малки подозрения.
Crooked - резидентен е и има инфективна дължина 979 байта. Заразява EXE и COM файлове в границите между 979 и 60 000 байта, но не заразява COMMAND.COM. В двата вида изпълними файлове вирусът се намира на различни места. При COM файловете той е в началото, като се преместват първите 979 байта в края на файла, а при EXE файловете е разположен в края. Проверява дали файлът е EXE по първите два байта и ако те са 4D5Ah или 5A4Dh, заразява го по втория начин. Това е причината в заразените файлове, които имат разширение COM, но са EXE, вирусът да се намира в края им (пример за това е CHDSK.COM в DOS 5.0).
Junior - той е резидентен с инфективна дължина 234 байта. Заразява COM файлове, включително и COMMAN.COM. Проверява дали файлът започва с 4D5Ah, т.е. дали е EXE, и ако това е така не го заразява.В паметта се инсталира на адрес 0050h:0040h в областта с данни. Кодът на вируса може да се види в края на заразените файлове, а също и низът “Jr”, от където идва името на вируса.
FIFO - вероятният произход на този вирус е български. Предсравлява резидентен COM инфектор. Дължината му е 300 байта. Заразените файлове нарастват с 300 байта, като вирусът копира себе си в началото на файла, а оригиналните 300 байта измества в края на файла. Настанява се на адрес 0:2D0, което попада в interrupt table на компютъра (int 0B4+). Всички програми, които използват прекъсвания, по-големи от 0B4, ще престанат да работят. Вирусът прихваща INT 21h и INT 24h (DOS Critical Error Handler). Заразява чрез прекъсването INT 21h, като не променя атрибутите и времето. Освен заразяването няма други известни проявления.
Vacsina V6 - вероятният му произход е български. Има два варианта – A и B. Той е резидентен COM и EXE инфектор. Дължината му е 1514 байта. Заразените файлове нарастват с 1514 байта. Заразява само EXE файловете, като ги кoнвертира до COM. Програми, по-големи от 63 500 байта, не се заразяват. Ако не разпознае версията на DOS, вирусът извежда съобщението:
“Dec 3 92 is my 20th birthday (V6).”
Разпознава DOS: 3.20, 3.30, 4.00 и 5.00. Тялото на вируса е кодирано. При всяко ново кодиране се инфектира по различен начин, като поставя една от двете възможи разкодиращи процедури в началото. Ако на адрес 0:218h стои думата 1108h, следва че вирусът е активен в паметта.
Terminator - вероятният му произход е български. Има два варианта – A и B. Вариант А е дълъг 839 байта, а вариант B – 887 байта. Съдържат в себе си низа:
“Sofia 1993 by TERMINATOR”
Вирусът остава резидентен и прихваща INT 21h. Заразява при следните функции на DOS: EXEC, Open File, Delete File, Rename File и ChMod. Съдържа код, който трасира INT 13h. При извикването на споменатите функции се проверява дали секундите от системното време са по-големи от 5 и ако това е така, се форматира случайна пътечка (между 9 и 108d, и то невинаги, защото понякога възниква грешка).
Hi (B) - произходът на този вирус е неизвестен. Той е резидентен COM и EXE инфектор. Остава резидентен подобно на някои boot секторни вируси, като се настанява в най-горните адреси на LOW паметта. Може да се види с DOS командата MEM. Липсва един Кбайт памет. Вирусът заразява при DOS функция EXEC, т.е. при стартиране на програми. EXE файловете се конвертират до COM и се заразяват след това.
Jack Ripper - вероятен призход – България. Резидентен boot секторен вирус. Резервира 2КБайта от най-горните адреси. Вирусът използва Stealth технология, за да се крие по диска, т.е., ако при стартиран вирус се направи опит да се прочете boot сектора, той прихваща заявката и прочита истинския boot сектор. С определена вероятност (1023/18,2) разменя съдържанието на две думи от паметта.
No Trouble - вероятният му произход е български. Той е boot секторен вирус. Дължината му е 512 байта. Във вируса се съдържат следните низове:
“ANTI March6 Karpachev Dmitr.”
и
“No Trouble”.
Melissa - появява се на 27 март 1999 година. Следващата му преработка е на 31 март 1999 година. Добирайки се до информацията в адресната книга този вирус само за няколко часа се разпространява из целия свят, заразявайки десеткихиляди персонални компютри. Заразява машини с Microsoft Word 97 и Word 2000. Системите за електронна поща могат да имат технически проблеми или отказ за обслужване в резултат на разпространението на този вирус.
Вирусът освен Melissa носи и името W97M_Melissa VSM.
MacOS Този вирус се разпространява във форма на e-mail съобщения, свързани с инфектиран Word документ. Транспортираното съобщение се съпровожда най-често със следното съобщение:
“Subject: Important Message From <name>”
където <name> е пълното име на потребителя изпращащ съобщението.
Тялото на съобщението е мулти MIME съобщение, съдържащо две секции. Първата съдържа следния текст:
“Here is that document you ask for…don’t show anyone else ; -”.
Следващата секция е била първоначално предназначена да бъде документ “list.doc”. Този документ съдържа указатели към порногравски web сайтове. Като разширения на този вирус можем да се видят документи с други имена. В действителност при определени условия вирусът може да генерира връзки с документи създадени от жертвата.
Този вирус не може да изпрати mail на операционна система, но вирусът може да бъде съхранен от MacOS.
I-Worm. ExploreZip - появява се през месец юни 1999 година. Този т.нар. Internet “червей” атакува с изключителна скорост на разпространение корпоративните мрежи и компютрите на крайните клиенти по целия свят. Веднъж инфектиран, компютърът използва MAPI, за да изпрати електронна поща, съдържаща вируса, до всеки електронен адрес, от който въпросният компютър е получавал поща.
Поразяващата сила на I-Worm.ExploreZip е значителна.Той претърсва локалните и мрежовите дискове (от C: до Z:) на заразения компютър и нулира дължината на файловете с разширение .h, .c, .cpp, .asm, .doc, .xls, .ppt.
“I love you” – Появява се првз месец май, 2000 година. Разпространява по-бързо и по-масово от всеки друг електронен вирус преди него, достигайки до 55 милиона компютъра (инфектирайки 2.5 до 3 милиона от тях) и причинявайи 8.7 милиона долара щети.
Creative - е-mail вирус идващ под прикритието на филм, поразил няколко американски компании на 15 декември 2000 година, предизвиквайки поне една антивирусна компания да обнови своето ниво на сигурност от “средно” на “високо”.
Вирусът не носи деструктивен товар, но автоматично се самоизпраща чрез e-mail към нови потребители, адресите на които взема от вътрешната адресна книга. Той е бил идентифициран първо на 14 декември 2000 година според информация от Emergency Response Team (AVERT) на McAfee.
Creative взема на прицел Outlook и Outlook Express e-mail клиентите и се разпространява, като се самоизпраща към адресите, които намира в адресната книга на компютъра. Освен това се добавя в Start-up менюто на Windows.
Инфектираните съобщения идват с прикрепен към тях файл “creative.EXE”, който се задейства, само ако потребителят отвори файла. Той не унищожава файловете в компютъра, а само премества всички файлове с разширение “.zip” и “.ipg” в коренната директория. Добавя към разширението на файловите и текст.
Този вирус се стреми към потребители, които не са наясно с отварянето на изпълними файлове, прикрепени към e-mail съобщения.
_________________ PC:CPU:Athlon64 X2 4600+F3@3.0Ghz|MB:GA-MA770-DS3|Cooler:Thermalright Ultra-120A|Memory:2x1GB@860mhz|HDD:250GB Hitachi|VGA:Sapphire HD3850 512mb|PSU:Fortron 450W
Да черпим от живота мечти, да даваме на мeчтите живот.(Мария Склодовска-Кюри) Do not go where the path may lead; go instead where there is no path and leave a trail.
|