Описание вирусов

[Dizzi]

В данной теме только описание вирусов и
их воздействие на систему!

Все коментарии будут удалятся как флейм!

[Dizzi]

Net-Worm.Win32.Mytob.h

Сетевой вирус-червь, заражающий компьютеры под управлением
операционной системы MS Windows.
Червь представляет собой PE EXE-файл. Написан на языке Visual C++.
Может быть упакован различными упаковщиками,
поэтому размер зараженных файлов может незначительно варьироваться.

• Размер в упакованном виде — примерно 50 КБ
• размер в распакованном виде может быть от 150 КБ до 260 КБ.

Вирус распространяется, используя уязвимость MS04-011.

Также вирус распространяется через интернет в виде вложений в
зараженные электронные письма.
Рассылается по всем найденным
на зараженном компьютере адресам электронной почты.

Червь основан на исходных кодах Email-Worm.Win32.Mydoom.

Червь содержит в себе функцию бэкдора, принимающего команды
по каналам IRC.

Подробности!

Добавлено через 01 минут(ы)

---------------------------------------------------------------------------------------------------------------

Trojan-Dropper.Win32.Pincher.a

Программа устанавливает в систему другую троянскую программу,
которая хранится внутри программного файла в зашифрованном виде.
В данном случае это Trojan-Dropper.Win32.Small.yt, троянская программа
размером 20480 байт.

Используемое (простейшее) шифрование вида «b = ~(b ^ 10)»
характерно для некоторых представителей семейств
Trojan-PSW.Win32.LdPinch и Trojan-PSW.Win32.PdPinch.

Основной файл программы упакован MEW, его размер — 20443 байт.
Других вредоносных действий не производит.

Компания F-Secure обнаружила новую вредоносную программу, инфицирующую портативные устройства под управлением операционной системы Symbian.

Троян, получивший название Doomboot.A, замаскирован под файл Doom_2_wad_cracked_by_DFT_S60_v1.0.sis, якобы содержащий взломанную версию игры Doom 2 для смартфонов. Вредоносная программа не способна распространяться самостоятельно и может попасть на коммуникатор только в том случае, если пользователь вручную загрузит ее из интернета.

После запуска Doomboot.A записывает в память смартфона поврежденные системные файлы и устанавливает другой вирус - Commwarrior. Червь Commwarrior, в свою очередь, пытается разослать собственные копии в теле сообщений MMS, а также через беспроводную связь Bluetooth, что приводит к быстрому разряду аккумуляторов.

Doomboot.A не создает новые иконки и скрывает собственное название в списке работающих процессов, из-за чего пользователь может сразу и не заметить присутствие вредоносной программы. Специалисты F-Secure подчеркивают, что перезагрузка инфицированного смартфона может привести к полной утере персональной информации, в том числе содержимого адресной книги и мультимедийных файлов.

Для очистки коммуникатор от трояна Doomboot.A необходимо вручную удалить файл Doom_2_wad_cracked_by_DFT_S60_v1.0.sis и затем загрузить антивирусное программное обеспечение для удаления червя Commwarrior. Причем сделать это нужно как можно быстрее, поскольку после разрядки аккумулятора портативное устройство может больше не запуститься. В результате владелец должен будет произвести форматирование, лишившись при этом всех персональных данных.

[Dizzi]

Worm.Win32.Eyeveg.g

«Лаборатория Касперского» сообщает об обнаружении новой версии
опасного почтового червя Worm.Win32.Eyeveg. Новая модификация,
получившая название Eyeveg.g, сегодня утром была разослана в российском
сегменте интернета.

Вирус-червь,
распространяющийся через интернет в виде вложений в
зараженные электронные письма, а также по открытым
сетевым ресурсам. Рассылается по всем найденным на
зараженном компьютере адресам электронной почты.
Вредоносная программа написана на Visual C++.
Состоит из двух файлов — исполняемого EXE и
динамической библиотеки DLL, которая хранится в
EXE-файле в виде ресурса.

По своим функциям Eyeveg.g полностью идентичен варианту Eyeveg.f.
Отличается от него лишь размером исполняемого файла и версией программы упаковщика.

Исполняемый файл Eyeveg.g имеет размер 78336 байт.

Подробности!

[Dizzi]

not-virus:BadJoke.Win32.Delf.i

Безвредная программа-шутка. Написана на Delphi, ничем
не упакована. Размер файла — около 700 КБ.

При запуске начинает показывать сообщение «Flyer's beeper 1.0»

[IMG]http://img152.**************/img152/6922/virus203415034ii.gif[/IMG]

поверх всех окон и одновременно подает звуковой сигнал
через спикер.

Других действий программа не производит. :нет

[Dizzi]

not-a-virus:AdWare.EZula.z

Программа взаимодействует с браузером Internet Explorer.
Добавляет рекламные ссылки в посещаемые пользователем WWW-страницы.

Создает ключи в системном реестре:

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]"Web Offer"="%WINDIR%\ILOOKUP\EZSTUB.EXE"

Состав файлов:

1. ezstub.dll (длина 73728 байт), компонент для взаимодействия с
   головным сайтом www.ezula.com, скачивает и устанавливает обновления.
2. ezstub.exe (длина 65536 байт), модуль отвечающий за установку и деинсталляцию.
3. mmod.exe (длина 192512 байт), основной компонент.

[Dizzi]

not-virus:Hoax.Win32.Avgold.d

Потенциально нежелательная программа —
«шутка» рекламного характера.

Написана на Visual C++, ничем не упакована.
Размер файла — 36864 байт.

Инсталляция
При запуске копирует себя в системную директорию
под именем hookdump.exe.

Добавляет ссылку на этот файл в реестр для автозагрузки:

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"Intel system tool"="C:\WINNT\System32\hookdump.exe"

Создает в директории Windows файл screen.html (размер 1516) с
обманным текстом, сообщающим, что данный компьютер
заражен вирусами и предлагающим для их лечения зайти на сайт
http://www.antivirus*****.com.

Действия
Создает в трее иконку в виде белого крестика на красном
фоне, при правом клике на которую выводится текст:

[IMG]http://img101.**************/img101/6633/virus203499166nn.gif[/IMG]



Добавлено через 07 минут(ы)


Trojan-Downloader.Win32.Delf.ia

Троянская программа, загружающая из интернета файлы
без ведома пользователя.
Представляет собой Windows
PE EXE-файл. Написана на языке Delphi и имеет размер
около 21 КБ. Упакована UPX. Размер распакованного файла
— около 62 КБ.

После запуска троянец копирует себя в корневой каталог
Windows с именем XPsys.exe:

Код:

%Windir%\XPsys.exe

Затем регистрирует этот файл в ключе автозапуска
системного реестра:

Код:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]"XPsys"="%Windir%\XPsys.exe"

Подробности!!!

[Dizzi]

Net-Worm.Win32.Mytob.be

Сетевой вирус-червь,
заражающий компьютеры под управлением Windows.

Распространяется, используя уязвимость MS04-011 в
сервисе MS Windows LSASS.
Также вирус распространяется через интернет по
электронной почте, в виде вложений в письма.
Рассылается по найденным на зараженном компьютере
адресам электронной почты.

По своим функциям аналогичен варианту Net-Worm.Win32.Mytob.h.
Отличается от него следующими незначительными изменениями:

• Данный вариант имеет размер около 50 КБ, упакован Pacman + PEncypt.
• Размер распакованного файла — около 100 КБ
• В каталог %System% червь копируется под именем beta.exe
• Червь регистрирует данный файл в ключах автозапуска системного реестра:

Код:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM"="beta.exe"

• Содержит текст:

Код:

[x] starting HellBot::v3 beta2

[Dizzi]

Virus.Win32.Aspade.1811

Программа оформлена как стандартный «ярлык» MS Windows
(LNK-файл).
При запуске данного файла небольшая программа,
написанная на BAT-скрипте и заданная в поле «Объект»,
пытается заменить собой все ярлыки в текущем каталоге.
Размер данного вредоносного файла — 1811 байт.

• Содержит коментарий:

Код:

The first ever .lnk infector, written by phr0st

RemoteAdmin.Win32.RAdmin.21
Отнесена в разряд потенциально опасных программ

Программа Remote Administrator, предназначенная для
удаленного управления компьютерами;
версия 2.1.
Автор — Dmitry Znosko,
страница проекта — www.famatech.com.

В определенных конфигурациях возможно ее скрытное
использование злоумышленником.
Функционал полностью аналогичен
RemoteAdmin.Win32.RAdmin.20.




Trojan-Dropper.Win32.Small.yt

Вредоносная программа — инсталлятор.
Написана на ассемблере под Windows. Не упакована.
Размер файла — 20480 байт.

При запуске создает в системной директории файл с именем
SVCH0ST.EXE, который представляет собой
Trojan-PSW.Win32.LdPinch.ob, и запускает его.

Других вредных действий не предпринимает.



P2P-Worm.Win32.Darby.m

Вирус-червь,
распространяющийся через интернет по сетям файлообмена.
Также вирус распространяется по IRC-каналам, открытым
сетевым ресурсам и в виде вложений в зараженные
электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл),
имеет размер около 141 КБ, упакован при помощи UPX. Размер распакованного файла — около 426 KБ

Инсталляция

После запуска червь выдает окно, содержащее
следующую ошибку:

[img]http://img305.**************/img305/2499/virus203518554kk.png[/img]


Причем употребляется имя файла-червя (может быть другим),
чтобы создать ошибочное впечатление у пользователя,
что данный файл не может быть запущен на исполнение.

Другие названия червя!

Код:

 
P2P-Worm.Win32.Darby.m («Лаборатория Касперского») 
также известен как: 
Worm.P2P.Darby.m («Лаборатория Касперского»), 
W32/Darby.worm.m (McAfee), 
W32.HLLW.Darby (Symantec), 
Win32.IRC.Generic.16 (Doctor Web), 
W32/Darby-G (Sophos), Win32/HLLW.Darby.N (RAV), 
WORM_DARBY.G (Trend Micro), Worm/Darby.M (H+BEDV), 
W32/Darby.K (FRISK), Win32:Darby-F (ALWIL), 
Worm/Darby.R (Grisoft), Win32.P2P.Barby.A (SOFTWIN), 
Worm.P2P.Darby.Gen (ClamAV), W32/Darby.F.worm (Panda), 
Win32/Darby.M (Eset)

Подробности:
http://www.viruslist.com/ru/viruses/...?virusid=61136

[Dizzi]

AdWare.DigitalNames.g

Потенциально нежелательная программа.
Написана на Visual C++.
Инсталлятор — файл размером 284160 байт, упакован PECompact.
Инсталляция

При запуске инсталлятор извлекает из себя и
сохраняет в системной директории, не уведомляя
об этом пользователя, следующие файлы:

• dgtnmres.dll, 101888 байт
• dgtstart.exe, 35840 байт
• dgtuninstall.exe, 19968 байт
• digitalnames.dll, 27648 байт
• \drivers\dgtsys.sys, 8384 байт

При этом в раздел автозагрузки реестра добавляется ссылка
на файл dgtstart.exe:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"dgtstart"="dgtstart.exe"

Действия

AdWare.DigitalNames — программа рекламного характера,
которая собирает статистику о посещаемых интернет-сайтах
и отсылает ее на сервер. Собранная информация используется
для отображения рекламных «всплывающих окон».Также
осуществляет следующие действия:


Также осуществляет следующие действия:

• скачивание обновлений с сайта upgrade.digitalnames.net;
• перенаправление ошибочных http-запросов на указанный в теле программы сервер.

[Dizzi]

Trojan.DOS.Qhost.b

Программа является DOS COM-файлом с размером около 12 КБ.
При старте троянец модифицирует файл
%System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.
В файл hosts добавлены следующие строки:

209.134.41.39 officebanking.bradesco.com.br
Таким образом, все запросы к данному серверу officebanking.bradesco.com.br будут перенаправлены на 209.134.41.39.

__________________________________________________ _____

Trojan-Downloader.Win32.Small.apc


Программа написана на Visual C++, упакована UPC.
Размер файла — 10963 байт.
Не инсталлируется в систему самостоятельно.

При запуске загружает из интернета и устанавливает
предусмотренные автором программы троянцы либо AdWare.
Загрузка производится посредством создания нового процесса
Internet Explorer и внедрения в его код в качестве DLL-библиотеки.

__________________________________________________ ______________

Backdoor.Win32.Hupigon.a


Программа написана на Delphi, упакована Aspack.
Размер файла — 294076 байт.
Инсталляция

Копирует себя в системную директорию под именем
winreg.exe и notepod.exe.
Добавляет ссылку на этот файл в автозагрузку реестра:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "LoadWindowsFile" = "<системная директория>\winreg.exe"

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "LoadWindowsFile" = "<системная директория>\winreg.exe"

Также изменяет параметры запуска исполняемых и текстовых файлов таким образом, что запуск любого exe-приложения и открытие любого txt-файла влечет за собой запуск данного троянца:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\ open
\command] (Default) = "Notepod.exe "%1""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\
open\command] (Default) = "<системная директория>
\winreg.exe "%1" %*"Действия

Открывает порт 8310 (UDP) и несколько случайных (TCP) и
ожидает на них подключения «хозяина».
Функционал имеющихся в распоряжении
подключившегося злоумышленника команд достаточно широк —
операции с
файлами, форматирование диска, сбор нажатий клавиш и
паролей и т.п.
Содержит строки на китайском языке.

__________________________________________________ _______

Backdoor.Win32.Agobot.aby

Троянская программа, предоставляющая злоумышленнику
удаленный доступ к зараженной машине.
Управляется через IRC.
Представляет собой Windows PE-EXE файл.
Написана на языке Visual C++ и имеет размер около 224 КБ.
Упакована ASProtect.
Инсталляция

При инсталляции бэкдор копирует себя в системный каталог
Windows с именем mouseutils.exe:
%System%\mouseutils.exeЗатем регистрирует этот файл в ключах автозапуска
системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run][HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services][HKCU\Software\Microsoft\OLE] "Windows Mouse Utilities"="mouseutils.exe"При каждой следующей загрузке Windows автоматически запустит зараженный файл.

Также бэкдор изменяет следующие записи системного реестра:

[HKLM\Software\Microsoft\Ole] "EnableDCOM"="N"[HKLM\System\CurrentControlSet\Control\Lsa] "restrictanonymous"="dword:00000001"Действия

Программа соединяется с различными серверами IRC и
получает команды удаленного управления от «хозяина».
Спектр доступных команд очень разнообразен и позволяет
осуществлять полный контроль над системой, а также
осуществлять атаки на другие компьютеры, скачивать
файлы и т.д.
Помимо этого бэкдор обладает следующей функциональностью:

• <LI class=large>мониторинг сети в поисках «интересных»
• пакетов (например, содержащих пароли к FTP-серверам и т.д.) <LI class=large>сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (RPC DCOM, LSASS, WebDAV и др.),
• <LI class=large>машин со «слабыми» системными паролями или открытыми сетевыми ресурсами;
• <LI class=large>копирование и запуск себя на уязвимых машинах;
• <LI class=large>загрузка и запуск на зараженном компьютере различных файлов;
• <LI class=large>удаление файлов;
• <LI class=large>остановка процесов различных антивирусных программ и отладчиков;
• <LI class=large>проведение DoS-атак;
• <LI class=large>отсылка злоумышелннику подробной информации о системе, в том числе паролей для некоторых компьютерных игр, перехваченный клавиатурный ввод пользователя, почтовых адресов и другой секретной информации;
• <LI class=large>выполнять на зараженном компьютере различные команды;
• запускать на зараженной машине прокси серверы; и другое.

__________________________________________________ _____________

[Dizzi]

Backdoor.Win32.Landis.b


Троянская программа, предоставляющая злоумышленнику удалённый
доступ к заражённой машине. Управляется через IRC.

Представляет собой Windows PE-EXE файл.
Имеет размер около 113 КБ.

Инсталляция

При инсталляции бэкдор создает папку со случайным именем в
системном каталоге Windows и копирует себя в эту папку
с именем csrss.exe.

Например:

Код:

%System%\drtusi\csrss.exe

Также в данной папке бекдор создает следующие файлы:

Код:

%System%\drtusi\csrss.dat%System%\drtusi\csrss.ini

После чего оригинальный запускаемый файл удаляется.

Бекдор создает ссылку на себя в каталоге автозагрузки:

Код:

%UserProfile%\Start Menu\Programs\Startup\csrss.lnk

Затем регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run][HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"csrss"=" "

Добавляет следующие записи в системный реестр:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"Load"="%System%\<случайное имя папки>\csrss.exe"
"Run"="%System%\<случайное имя папки>\csrss.exe"

В случае Windows 95/98/ME бекдор изменяет файл win.ini,
добавляя в него следующие строки:

Код:

load = %System%\<случайное имя папки>\csrss.exerun = %System%\<случайное имя папки>\csrss.exe

Также бэкдор добавляет следующие записи в системный реестр:

Код:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"="2" "SuperHidden"="0"

Код:

"ShowSuperHidden"="0"[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1" "NoAdminPage"="1"

Действия

Программа соединяется с различными серверами IRC и
получает команды удалённого управления от «хозяина».
Спектр доступных команд очень разнообразен и позволяет
осуществлять полный контроль над системой, а также
осуществлять атаки на другие компьютеры, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

• распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей;
• загрузка и запуск на зараженном компьютере различных файлов;
• удаление файлов;
• остановка различных активных процесов;
• перезагрузка компьютера;
• проведение DoS-атак;
• отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации;
• выполнение на зараженном компьютере различных команд;
• закрузка своих обновлений;
• прочеее.

Прочее

Бэкдор изменяет файл %System%\drivers\etc\hosts,
дописывая в него нижеприведенный текст и, тем самым,
блокируя обращения к данным сайтам:

Подробности здесь.....


__________________________________________________ ________________________

Trojan-Spy.Win32.Agent.fa


Программа-шпион,
предназначенная для кражи конфиденциальной информации.

Сохраняет в создаваемый лог-файл логины и пароли вводимые
пользователем и отправляет эту информацию злоумышленнику.
Является приложением Windows (PE EXE-файл),
имеет размер около 45 КБ, ничем не упакована.

При инсталляции троянец копирует себя в системный каталог
Windows с именем msserv.exe:

Код:

%System%\msserv.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

Код:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "msserv"="%System%\msserv.exe"

При каждой следующей загрузке Windows автоматически
запустит файл-троянец.

Также троянец создает файл с именем servms.dll в системном
каталоге Windows:
%System%\servms.dll

Троянец отслеживает открытые окна Internet Explorer
и сохраняет информацию с открываемых сайтов,
а также клавиатурный ввод пользователя в созданный
файл servms.dll.

После чего отправляет данный файл на электронный адрес злоумышленника:

u****[email protected]

__________________________________________________ ________________________


Client-IRC.Win32.mIRC.614

Программа mIRC, версия 6.14 — это IRC-клиент. :дразню
IRC (Internet Relay Chat) — сеть, специально
предназначенная для общения в реальном времени.
Официальная страница проекта: www.mirc.com.

Программа добавлена в расширенный набор антивирусных
баз по причине того, что, благодаря своему функционалу,
может быть использована в злоумышленных целях.
Функции mIRC часто используются вирусописателями для
создания бекдоров. Поэтому пользователю необходимо быть
осторожным с данной программой.

Функционал программы аналогичен
not-a-virus:Client-IRC.Win32.mIRC.616.

[SergeySPB]

Trojan-Downloader.Win32.Delf.aeo


Это троянская программа поражает компьютеры с Windows. Прописывает себя в системном Реестре ОС.
Содержит функциональность для доступа в Интернет.

Троян копирует себя в

Код:

<System>\browsela.dll

и прописывается в Реестре-

Файл browsela.dll регистрируется как COM object-

Код:

HKCR\CLSID\{31EE3286-D785-4E3F-95FC-51D00FDABC01}

А для того,чтобы запускать в стартапе код, экпортируемой browsela.dll,

добавляет следующие записи в Реестр:

Код:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\browsela
DLLName
<System>\browsela.dll

Код:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\browsela
startup
WACLEventStartup

Код:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ SharedTaskScheduler
{31EE3286-D785-4E3F-95FC-51D00FDABC01}
Master Browseui

[nairi]

Armagedon.1079

Резидентные опасные вирусы. Перехватывают INT 8, 21h и записываются в начало запускаемых .COM-файлов (кроме COMMAND.COM). С 5.00 до 6.00 утра пытаются позвонить через модем по какому-то телефону (телефон справочной стужбы Time and Temperature Service в Греции?)

Добавлено через 1 минуту 14 секунд
Bomber

Безобидный резидентный полиморфик-вирус. Перехватывает INT 21h и заражает COM-файлы, кроме COMMAND.COM, при их запуске. Характерной чертой этого вируса является то, что он использует довольно необычный полиморфик-алгоритм. При заражении вирус считывает 4096 байт из середины файла и переносит их в его конец. Себя он записывает в образовавшуюся 'дыру' и приступает к генерации полиморфик-кода. Вирус содержит несколько подпрограмм генерации случайного (но вполне работоспособного!) кода, который записывается в случайные места заражаемого файла. В этом коде может присутствовать около 90% всех инструкций процессора i8086. Управление из одного участка в другой передается командами CALL, JMP, RET, RET xxxx. Первый участок записывается в начало файла, а последний передает управление на основное тело вируса. В итоге зараженный файл выглядит как бы покрытий 'пятнами' кода вируса, а процедура обнаружения основного тела вируса становится чрезвычайно сложной.

Добавлено через 2 минуты 33 секунды
Dir-ll.Dragon.a

Резидентные очень опасные стелс-вирусы, поражают .COM- и .EXE-файлы при чтении и записи секторов каталогов, содержащих информацию об этих-файлах. Свое тело хранят в последнем кластере инфицированного логического диска, этот кластер помечается как последний в цепочке кластеров. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске приходится только одна копия вируса. При инициализации проникают в ядро DOS, изменяют адрес системного драйвера дисков и затем перехватывают все обращения DOS к этому драйверу. В вирусе реализован мощный "стелс"-механизм на уровне системного драйвера, в результате чего вирус в зараженных файлах не виден при чтении файла ни через INT 21h, ни через INT 25h. При этом вирус обращается напрямую к ресурсам DOS и "пробивает" практически любые антивирусные блокировщики. Стремительно распространяются: при попытке запуска несуществующего файла DOS будет искать его во всех каталогах, отмеченных в PATH. При этом вирус перехватывает обращения DOS к каталогам и заражает файлы во всех каталогах, указанных в PATH. При первом старте вирусы семейства поражают все файлы текущего каталога диска C:

[nairi]

Small.144.a


Резидентные вирусы. При запуске копируют себя в таблицу векторов прерываний, перехватывают INT 21h и затем поражают COM-файлы при их загрузке в память. В зависимости от версии записываются либо в конец, либо в начало файлов. Большинство из вирусов семейства используют команды POPA и PUSHA процессоров 80x86. Могут некорректно заражать некоторые файлы. Принадлежат различным авторам. Видимо, появление семейства "Small" можно рассматривать как конкурс на самый короткий резидентный вирус для MS-DOS. Осталось только решить вопрос о размере призового фонда. "Small.122.b" содержит ошибку: он заражает EXE-файлы как COM, эти файлы будут зависать при запуске.


Sylvia.Hong


Нерезидентные безобидные вирусы. Ищут в текущем каталоге текущего диска и диска C: не более 5 .COM-файлов (кроме COMMAND.COM, IBMIO.COM, IBMDOS.COM) и записываются в их начало Если исправить содержимое текста, содержащегося в вирусе (см. ниже), расшифровывают и выводят на экран:
FUCK YOU LAMER !! system halted...
после чего система действительно зависает.


TaiPan.438


Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. "Taipan.Chroot" заражает файлы при их запуске, открытии или при чтении/установке атрибутов файла. Уничтожает антивирус F-PROT. Не заражает файл с именем CHROOT.
"TaiPan.Hoose" 8-го августа перехватывает INT 1Ch и проялвяется Каким-то видео-эффектом.

Trivial

Нерезидентные очень опасные вирусы, как правило имеют очень маленькие длины. Крайне примитивны. Записывают себя в начало всех .COM-файлов текущего каталога не сохраняя старого содержимого этих файлов. Пораженные файлы, естественно, не восстанавливаются. Некоторые вирусы семейства (например, "Dre.192") записывает себя в .ЕХЕ-файлы, некоторые - записываются вместо всех файлов в каталоге. "Trivial.18" заражает файл, указанный в командной строке. "Trivial.99,161" стирают сектора дисков. "Trivial.Exec" выводат на экран "EXEC failure" и также стирают сектора. "Trivial.123" зашифрован, выводит текст: "T-1000". "Trivial.127" меняет позицию курсора, содержит текст: "*.COM *ZZ* v 1.0".


Trojan.Win32.Erase2002.a


Форматирует жесткий диск за несколько секунд и после перезагрузки компьютер не работает.

Twister.1015

Безобидные резидентные stealth-вирусы (кроме "Twister.451", он не стелс). Перехватывают INT 21h и записываются в начало COM-файлов при их запуске. Вирусы "Twister.1015,1767" заражают COMMAND.COM после заражения любого другого файла.


VBS.MailTest


Этот сетевой червь распространяется создавая свои копии на локальных и сетевых дисках а также сканируя сети на предмет досупных IP адресов. Будучи запущеным (пользователем либо автоматически - из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог "Fonts"). Затем он прописывает скопированный файл в системном реестре таким образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога отличного от "Fonts" и "Startup", он завершает работу имитируя системную ошибку сообщением