home *** CD-ROM | disk | FTP | other *** search

---

/ Night Owl 6 / Night Owl's Shareware - PDSI-006 - Night Owl Corp (1990).iso / 030a / ibmvirus.zip / VIRSIG.LST

< prev

next >

Wrap

File List  |  1991-08-08  |  68KB  |  1,964 lines

---

1. *
2. * This file contains signatures of viruses.
3. * Copyright (c) IBM Corporation 1990, 1991
4. *
5. * Lines beginning with a * are comment lines. These lines are ignored by the
6. * virus scanning program, except when the entire file is read for self-test.
7. *
8. * CRCVMARKEEEE6B66
9. * The virus scanning program uses information on the previous line
10. * to detect modifications to this file.
11. *
12. F6872A0101740F8DB74D01BC
13. %s a virus similar to the 1701 or the 1704 virus.
14. (COM files only)
15. *
16. FA8BECE800005B81EB31012EF6872A0101740F8DB74D01BC820631343124464C75F8
17. %s the 1701 virus.
18. (COM files only)
19. *
20. FA8BECE800005B81EB31012EF6872A0101740F8DB74D01BC850631343124464C75F8
21. %s the 1704 or the 1704-B virus.
22. (COM files only)
23. *
24. FA8BCDE800005B81EB31012EF6872A0101740F8DB74D01BC850631343124464C75F8
25. %s the 1704-Y virus.
26. (COM files only)
27. *
28. 2EA31700BB17000E1FB4DECD21B42ACD2181FA0104742281F9BC077506E8C504
29. %s the April 1st EXE virus.
30. (EXE files only)
31. *
32. 89263401B419CD2104412EA265032EA2B103BF6703578BF2807C013A750D8A042EA265032EA2B103
33. %s the April 1st COM virus.
34. (COM files only)
35. *
36. 8ED0BC000750B8C50050CBFC062E8C0631002E8C0639002E8C063D002E8C0641008CC0
37. %s the 1813 virus.
38. (COM and EXE files)
39. *
40. 8ED0BC000750B8C50050CB06FC2E8C0631002E8C0639002E8C063D002E8C0641008CC0
41. %s the 1813-Swiss virus.
42. (COM and EXE files)
43. *
44. F9C30774303C05750D80FA0D74082EFE060E00EB2090B80835
45. %s the 1813-not-13 virus.
46. (COM and EXE files)
47. *
48. FC8BF281C60A00BF0001B90300F3A48BF2B430CD213C007503E9C701
49. %s the Vienna-648 virus.
50. (COM files only)
51. *
52. 36010183EE038BC63D00007503E90201
53. %s the DataCrime-1280 virus.
54. (COM files only)
55. *
56. 36010183EE038BC63D00007503E9FE00
57. %s the DataCrime-1168 virus.
58. (COM files only)
59. *
60. 505380FC4B740880FC4E7403E977018BDA807F013A75058A07EB07
61. %s the Lehigh I virus.
62. (COMMAND.COM only)
63. *
64. F6872A0101740F8DB74D01BC850631343124464C77F8
65. %s the 1704-C virus or the 1704-Format virus.
66. (COM files only)
67. *
68. B8000026A2490226A24B0226A28B0250B419CD2126A24902B4470401
69. %s the Burger-405 virus.
70. (COM files only)
71. *
72. 7106E82806B419CD2189B451018184510184088C8C5301
73. %s the Traceback-3066 virus.
74. (COM and EXE files)
75. *
76. 8ED0BC200950B8230250CBFC062E8C062C002E8C0634002E8C0638002E8C063C008CC0
77. %s the 2086 virus.
78. (COM and EXE files)
79. *
80. 5E81EE030183FE00742A2E8A9403018DBC2901
81. %s the DataCrime II virus.
82. (COM and EXE files)
83. *
84. 8CDB4B8EDBB04DA20000A103002D8000A3030003D8438EC333F633FF0E1FB9D007
85. %s the Saratoga 1, Saratoga 2, or Iceland II virus.
86. (EXE files only)
87. *
88. 26C6067F03FFB452CD212E8C066D02268B47FE8EC026030603004040
89. %s the Iceland II virus.
90. (EXE files only. No mutants)
91. *
92. 1E8BECC746100001E80000582DD700B104D3E88CCB03C32D100050
93. %s the Friday the 13th COM virus.
94. (COM files only)
95. *
96. D1E98AE18AC13306140031044646E2F25E5958C3
97. %s the SYSLOCK virus.
98. (COM and EXE files)
99. *
100. 2906E8E005B419CD218884E300E8CE048A95E2000E1F7509
101. %s the Traceback-2930 virus.
102. (COM and EXE files)
103. *
104. 5A45CD602EC606250601902E803E2606008D3E0806
105. %s the 1536 virus.
106. (COM files only)
107. *
108. 9D73482E3B1E0807753A85DB7436E8AB029DE883007234
109. %s the Dark Avenger virus.
110. (COM and EXE files. Pause if found. Scan memory.)
111. *
112. 2933C08EC02680261704BF26800E17042026F60617040C7411E4603C53
113. %s the MIX1 virus.
114. (EXE files only)
115. *
116. 2733C08EC02680261704BF26800E17042026F60617040C740FE4603C53
117. %s the MIX1-B virus.
118. (EXE files only)
119. *
120. C606F900013CD375062EC606F90000BB40008EDB33DB8A4717240C3C0C7541
121. %s the Alabama virus.
122. (EXE files only. Scan memory. Pause if found)
123. *
124. DA012E890E0800B8014380E1FECD217303E9C801B8023D8E5E0E
125. %s the VACSINA virus.
126. (EXE files only)
127. *
128. F281C60A00BF0001B90300F3A48BF2B430CD213C007503E9C601
129. %s the Vienna-Ghost virus.
130. (COM files only)
131. *
132. FB750A86E09DCFE9CE06E9810381FF0AFB742E3D004B
133. %s the DBF virus.
134. (COM files only)
135. *
136. D681C2050033C9B44FCD2173EF8A4412A200018B4413A30101
137. %s the Fumble-867 virus.
138. (COM files only)
139. *
140. C80510008ED0BC5D0650B8C40050CBFC062E8C063100
141. %s the Sunday virus.
142. (COM and EXE files)
143. *
144. 2FCD21895C00908C44029007BA5F009001F2B41A
145. %s the Vienna-Lisbon virus.
146. (COM files only)
147. *
148. 4F0026A0FE032EA2510026C706FC03F3A526C606FE03CB58
149. %s the sURIV 3.00 virus.
150. (COM and EXE files)
151. *
152. EF408EC70E1FB90004FCBF0000F3A481EC0004
153. %s the Perfume-765 virus.
154. (COM files only)
155. *
156. 9E0206B435B024CD21891EA2028C06A00207
157. %s the Sylvia virus.
158. (COM files only)
159. *
160. C21ECD707219A36F02B442B0028B1E6F02B90000
161. %s the Do-Nothing virus.
162. (COM files only)
163. *
164. 9403018D8CC8068D9C2A012BCB2E8A0732C2D0CA
165. %s the DataCrime II-B virus.
166. (COM and EXE files)
167. *
168. 8200C7069C007D098C0E9E00C7068400EE088C0E8600FB2E803E070100
169. %s the OROPAX virus.
170. (COM files only. Scan memory. Pause if found.)
171. *
172. D681C60000FCB90300BF0001F3A48BFAB430CD213C007503
173. %s the W13-A or W13-B virus.
174. (COM files only)
175. *
176. 9F83C4049E7303E97A0233C933D2E811FFBA0A00B91400E8FEFE724F
177. %s the Yankee Doodle-2885 virus.
178. (COM and EXE files)
179. *
180. 9F83C4049E7303E9F002B8004233C933D28B1E3C00E827FF
181. %s the Yankee Doodle-2772 virus.
182. (COM and EXE files)
183. *
184. 875EECFCC383C30381FBCC0272E95BE8890AE421
185. %s the 4096 virus.
186. (COM and EXE files. Pause if found. Scan memory.)
187. *
188. 7D02B440CD21E83E00A19B02A33602A19D02A334021E
189. %s the 637 virus.
190. (EXE files only)
191. *
192. * (Special signature -- built into VIRSCAN.)
193. * %s the Washburn-1260 or Washburn-Casper virus.
194. * (COM files only)
195. *
196. AD03F3A426C706000003015E1E068CC048
197. %s the Devil's Dance-941 virus.
198. (COM files only)
199. *
200. 9B00FFFF7203A39B00A19B003DFFFF741FB000
201. %s the 9800:0000 virus.
202. (COM and EXE files)
203. *
204. B90800BEBC03BF00F8FCF3A4B9C4028B364801
205. %s the Taiwan virus.
206. (COM files only)
207. *
208. 6803A32400A16A03051000A31C0090B80242B9FFFF
209. %s the December 24th virus.
210. (EXE files only)
211. *
212. 4FBA5F02CD217202EBA0BA8000B41ACD21803E050105
213. %s the Pixel-847 virus.
214. (COM files only)
215. *
216. C5030133C033DBB909008D561289D6030043
217. %s the VIRUS-90 virus.
218. (COM files only)
219. *
220. *-----------------------------------------
221. *
222. * The 1392, or "KHETAPUNK", virus; displays odd message on line 26 of
223. * CGA monitors, sometimes hangs the machine due to bugs.
224. *
225. * Properties: infects COM, infects EXE, uses MZ, resident
226. *
227. 2F01C3E80700E83A00E86600C3BF0001A10301
228. %s the 1392 virus.
229. (COM and EXE files)
230. *----------------------------------------
231. * The V2000 (a Dark Avenger variant)
232. *
233. * Properties: Infects COM, infects EXE, uses MZ, resident
234. *
235. B413CD2F5A1F2E8994A7072E8C9CA9072E
236. %s the V2000 virus.
237. (EXE and COM files. Scan memory. Pause if found).
238. *----------------------------------------
239. *
240. * The "Solano" virus.   Swaps digits in the display buffer periodically.
241. *
242. * Properties: Infects COM, uses MZ, resident
243. *
244. 175858BF00012E893E2101582EA32301
245. %s the Solano virus.
246. (COM files only)
247. *-----------------------------------------
248. *
249. * The Saturday 14th, or "Durban", virus; trashes disks
250. * on Sat the 14th.
251. *
252. * Properties: Infects COM, infects EXE, uses MZ, resident
253. *
254. 9D02A4E2FD06B82135CD211F891E5302
255. %s the Saturday 14th ("Durban") virus.
256. (COM and EXE files)
257. *-----------------------------------------
258. *
259. * The June 16th, or "Pretoria", virus; renames files on June 16th.
260. *
261. * Properties: Infects COM
262. *
263. C933D2E85BFFE81200B440BA0001
264. %s the June 16th ("Pretoria") virus.
265. (COM files only)
266. *-----------------------------------------
267. *
268. * The XA1 (XMas and April 1st) virus; displays tree on Dec 24,
269. *   overwrites boot records with "April..." message on 4/1.
270. *
271. * Checked: Infects COM
272. *
273. *
274. FA8BEC5832C08946028146002800
275. %s the "XA1" virus.
276. (COM files only)
277. *-----------------------------------------
278. *
279. * The "ANARKIA", yet another 1813 variant.   Main functional
280. *   difference is that the "black box" code is NOPped out.
281. *
282. *  Like the 1813, infects COM and EXE, and is resident.
283. *
284. *
285. 5C02B82125CD218E063100268E062C0033FFB9FF
286. %s the 1813-ANARKIA virus.
287. (COM and EXE files)
288. *-----------------------------------------------------
289. *
290. * The "VP".   Infects *.COM files in the current directory or
291. *  up the tree, sometimes displays a funny symbol.
292. *
293. * Checked: Infects COM
294. *
295. 290332E43A062A037503E94902403D01007501
296. %s the VP virus.
297. (COM files only)
298. *-----------------------------------------------------
299. *
300. * The PSQR-1720.   Infects any file executed.   If installed on
301. *  any 13th, erases files executed, and trashes the bottom of
302. *  drive 80 (C:).
303. *  Does nothing in January or December.
304. *
305. * Checked: Infects COM, Infects EXE, Resident
306. *
307. A526C606FE03CB580510008EC00E1FB9B306D1E9
308. %s the PSQR-1720 virus.
309. COM and EXE files
310. *-----------------------------------------------------
311. *
312. * The "ITAVIR".  A large and complex virus; uses a reserved
313. * directory bit to mark infected files, sometimes causing
314. * odd system behavior.
315. *
316. * Features: Infects EXE, uses MZ
317. *
318. 9B00908A16D70B80FA02741B1E52B41CCD218A075A
319. %s the ITAVIR virus.
320. (EXE files, and perhaps COM files)
321. *-----------------------------------------------------
322. *
323. * The Kennedy-333, or "Kennedy".   Infects *.COM files
324. * in current directory.   On June 6, Nov 18, and
325. * Nov 22, displays a message.
326. *
327. * Features: Infects COM
328. *
329. 9452028BFAB90300CD21803DE97405E87E00F8
330. %s the Kennedy-333 virus.
331. (COM files only)
332. *-----------------------------------------------------
333. *
334. * The Prudents-1210 virus.  A non-resident EXE infector.  If the year
335. * is not 1989, the month is after April, and the day of the month
336. * is 1, 2, or 3, it installs an INT13 handler that converts all
337. * disk-writes into sector-verifies (making all disks unwriteable).
338. *
339. * Features: Infects EXE. Uses MZ.
340. *
341. 2F040175D00E0E1F07BED3042BC92E8A0446410AC0
342. %s the Prudents-1210 virus.
343. (EXE files only)
344. *-----------------------------------------------------
345. *
346. * The VIRDEM virus.  Sometimes prints messages including
347. * the words "This is a demo program for computer viruses".
348. *
349. * Features: Infects COM.
350. *
351. B200B40ECD21B43B8D16DF03CD21EB4C90B43B8D16DF03
352. %s the VIRDEM virus.
353. (COM files only)
354. *-----------------------------------------------------
355. *
356. * The Halloechen virus.
357. *
358. * Features: infects COM, infects EXE, uses MZ, resident.
359. *
360. 4B00C7065B005555BA4900C706FB003000E8A1FEFF064A01
361. %s the Halloechen virus.
362. (COM and EXE files)
363. *-----------------------------------------------------
364. *
365. * The Eight Tunes-1971, or "Eight Tunes" virus.  Apparently plays music
366. * now and then!
367. *
368. * Features: infects COM, infects EXE, uses MZ, resident.
369. *
370. B7003B445B7219B8907EE8C800B80835CD21895C5D
371. %s the Eight Tunes-1971 virus.
372. (COM and EXE files)
373. *-----------------------------------------------------
374. *
375. * The "Liberty" virus.     Normally infects EXE and COM files that
376. *   are executed, but in some circumstances (particularly when a disk
377. *   is very full) will also infect floppy disk boot sectors.  Also
378. *   on rarish occasions, will install a variety of interrupt handlers
379. *   which will cause some alteration of data sent to the screen,
380. *   the printer, and the asynch ports via BIOS.   A "damaged"
381. *   strain also exists in which this code is buggy, and will
382. *   hang the machine.
383. *
384. * Features: Infects COM, infects EXE, infects floppy, uses MZ, resident.
385. *
386. * Signature for the "damaged" strain. This will also be found in the
387. * undamaged strain.
388. *
389. 93E8CD0072C2BB13012E813F4D5A7505E8B501EBB32EC606090200
390. %s the Liberty virus.
391. COM and EXE files.
392. *
393. * Signature for the "undamage" strain.
394. *
395. 3F2833D2CD13C333C08ED8A14C002EA30A08A14E002EA30C08
396. %s the Liberty virus.
397. COM and EXE files and boot records.
398. *------------------------------------------------------------------------
399. *
400. * The FISH 6 virus.   While it is active in memory, infected
401. *   files don't appear infected.   It also spreads aggressively,
402. *   sort of Dark-Avenger-like.  Much code taken from the 4096.
403. *   If the year is after 1990, will sometimes hang the machine
404. *   after printing a short message.
405. *
406. *  Features: Infects COM, Infects EXE, Uses MZ, Resident
407. *
408. 8F06DB0E2E8326DB0EFE2E803EDA0E0075112EFF36DB0E
409. %s the Fish 6 virus.
410. COM and EXE files, scan memory, pause if found.
411. *------------------------------------------------------------------------
412. *
413. * The V512 virus, from the Bulgarian collection.   Uses a
414. *   number of undocumented DOS calls and control blocks, and
415. *   therefore will tend to crash under various versions of DOS and odd setups.
416. *   No intentional damage or symptoms evident.   If the virus is
417. *   in memory, files will not appear infected, usually.  Infects
418. *   *.CO* files that are executed or closed while the virus is active.
419. *
420. *   Features: Infects COM, Resident
421. *
422. C575F648D0EC2264047421B820008ED82BD2E865FF8BF2
423. %s the V512 virus.
424. COM files only, scan memory, pause if found.
425. *-----------------------------------------------------
426. *
427. * The "Do-Nothing 2"; a trivial modification of the Do-Nothing.
428. * This one doesn't do anything significant, either.  A silly virus,
429. * that will crash any system with <640K, and doesn't work reliably
430. * even then.
431. *
432. *  Features: infects COM, resident.
433. *
434. C21ECD707219A36F00B442B0028B1E6F00B90000
435. %s the Do-Nothing 2 virus.
436. (COM files only)
437. *-----------------------------------------------------
438. *
439. * The Taiwan 2; probably an earlier version of the Taiwan,
440. * functionally identical.  On the eighth of the month, will trash
441. * various disks, and print "Greetings from National Central University!
442. * Is today sunny?".
443. *
444. *  Features: infects COM.
445. *
446. B90800BEDF03BF00F8FCF3A4B9E7028B364001
447. %s the Taiwan 2 virus.
448. (COM files only)
449. *-----------------------------------------------------
450. *
451. * The V1024 virus.  When the virus is in memory, files will appear
452. * with the uninfected lengths in DIR output.   If a color display in
453. * 25x80 text mode is active, the virus will on rather rare occasions
454. * cause a pattern of bouncing multicolored diamonds to appear, making
455. * the machine rather difficult to use...
456. *
457. *  Infects COM, infects EXE, uses MZ, resident
458. *
459. 4A8EC233FFB943008B55022BD13BD0723CFA26294D03895502
460. %s the V1024 virus.
461. COM and EXE files.
462. *-----------------------------------------------------
463. *
464. * The SHAKE virus.   When the virus is in memory, files will appear
465. * with their uninfected lengths in DIR output.  Infects the first
466. * uninfected *.COM file in the current directory whenever a "Get
467. * Disk Free Space" call is made (for some reason).  After an infected
468. * file is executed, there is a one-in-16 (or so) chance that any
469. * program run afterwards will not in fact be run, but will instead
470. * produce the message "Shake well before use!".  (This message will,
471. * however, only occur once per boot.)
472. *
473. *       Features: Infects COM, Resident
474. *
475. DC01075B58CF80FC4B75225052B42CCD2180E20F08D2
476. %s the Shake virus.
477. COM files only
478. *-----------------------------------------------------
479. *
480. * The Yankee-1961 virus.   Not terribly interesting; non-resident
481. * EXE infector, plays a tune whenever an infected file is run.
482. *
483. * Features: infects EXE, uses MZ.
484. *
485. *
486. 2F078CD80E1FBE370881EE030103F38904BE390881EE030103F3
487. %s the Yankee-1961 virus.
488. (EXE files only)
489. *-----------------------------------------------------
490. *
491. * The FLASH virus.  Causes a CGA screen to flash a few times
492. * about every seven minutes.
493. *
494. * Features: infects COM, infects EXE, resident
495. *
496. *
497. 4ACD218CDA03D3428EC2B455CD2156BF000183EE080E1FB9D002
498. %s the FLASH virus.
499. (COM and EXE files)
500. *-----------------------------------------------------
501. *
502. * The 1701-Jojo virus.   A non-garbled variant of the 1701; instead of
503. * the 1701's screen effects, the 1701-Jojo will display diamond-shaped
504. * patterns of multicolored blocks on a color display if an
505. * infected program is run when the virus is already in memory,
506. * and the time is 7pm or after.
507. *
508. * Features: infects COM, uses MZ, resident
509. *
510. *
511. 6DB42CCD2180FD13720AB8CD20A3000153E9C702
512. %s the 1701-Jojo virus.
513. COM files only.
514. *----------------------------------------------------------------------*
515. *
516. * The SLOW virus.  Infects EXE and COM files as they are executed.
517. * Much of the code is copied from the 1813.  Only "damage" is to
518. * set an occasional file's timestamp to zero when it is closed,
519. * on some Fridays after 12/31/1990.
520. *
521. * Features: Infects COM, infects EXE, uses MZ, resident.
522. *
523. DE909081C61B00B990062E8034
524. %s the SLOW virus.
525. COM and EXE files.
526. *-----------------------------------------------------
527. *
528. * The SVIR virus.  When an infected file is executed, it will look
529. * for another *.EXE file to infect.   A rather buggy and awkward virus...
530. *
531. * Features: Infects EXE
532. *
533. E788261900A11D00A32100A11B00A32300C7061B000000
534. %s the SVIR virus.
535. EXE files only.
536. *-----------------------------------------------------
537. *
538. * The STAF virus.  Another awkward, buggy "demo" virus; infected files
539. * announce themselves loudly.   Running an infected file will infect
540. * zero or more *.COM files in the current directory.
541. *
542. * Features: Infects COM
543. *
544. CFBACB01E80AFFBA8F02E820FFE801FFB80057CD215152B000
545. %s the STAF virus.
546. COM files only.
547. *-----------------------------------------------------
548. *
549. * The 1624 virus.   Similar to the 1961, but does not play a tune;
550. * will sometimes hang the machine (on purpose).
551. *
552. * Features: infects EXE, uses MZ.
553. *
554. *
555. DE058CD80E1FBEE60681EE030103F38904BEE80681EE030103F3
556. %s the Yankee-1624 virus.
557. EXE files only
558. *-----------------------------------------------------
559. *
560. * The Sunday 2 virus.   A simple variation on the Sunday virus;
561. * puts the word "PLAY" in the corner of the monochrome display space.
562. *
563. * Features: infects COM, infects EXE, resident
564. *
565. *
566. C80510008ED0BCBE0650B8C40050CBFC062E8C063100
567. %s the Sunday 2 virus.
568. (COM and EXE files)
569. *-----------------------------------------------------
570. *
571. * This signature can be used to detect the Flip-2153 virus in system memory,
572. * will *not* detect the virus in files, and *can* be used with any version
573. * of VIRSCAN that scans system memory. It has been commented out since the
574. * other two signatures for the Flip viruses are sufficient with this
575. * version of virscan.
576. *
577. * 505152B402CD1A80FD1075
578. * System memory may be infected with the Flip-2153 virus.
579. * Scan memory.
580. *-----------------------------------------------------
581. *
582. * This signature will detect the both Flip-2153 virus and the
583. * Flip-2343 viruses in both files and in system memory.
584. *
585. 0EBB????1FB9????B2??81C1????EB??%F0097????43EB??%FE2
586. %s the Flip-2153 or the Flip-2343 virus.
587. COM and EXE files.
588. *-----------------------------------------------------
589. *
590. * The ANTHRAX virus.   A multi-modal virus, infecting COM files,
591. * EXE files, and boot sectors.
592. *
593. A58ED8BA270451535052CB8EC1B104BEB00583C60EAD3C80
594. %s the ANTHRAX virus.
595. EXE and COM files and boot records.
596. *-----------------------------------------------------
597. *
598. F4A113042D0700A31304B106D3E08EC0BE007C
599. %s the Brain, Brain-Shoe \nor Brain-Ashar virus.
600. (Boot records. Scan memory.)
601. *
602. 1E5080FC02721780FC0473120AD2750E33C08ED8A03F04A8017503E80700
603. %s the Stoned virus.
604. (Boot records)
605. *
606. BB40008EDBA11300F7E32DE0078EC00E1F81FF56347504FF0EF87D
607. %s the Yale virus.
608. (Boot records)
609. *
610. 8ED8A113042D0200A31304B106D3E02DC0078EC0BE007C8BFEB90001
611. %s the Bouncing Ball \nor Typo Boot virus.
612. (Boot records)
613. *
614. FA8CC88ED88ED0BC00F0FBB8787C50C3
615. %s the Den Zuk virus.
616. (Boot records)
617. *
618. 31C0CD13B80202B90627BA0001BB00208EC3BB0001CD139A00010020
619. %s the Falling Letters Boot virus.
620. (Boot records)
621. *
622. 8CC88ED88ED0BC00F0FBA0067CA2097C8B0E077C890E0A7CE85900
623. %s the Brain-Ashar virus.
624. (Boot records)
625. *
626. B106D3E08EC0BE007C33FFB90410FCF3A406B8000450CBB90400
627. %s the Ohio virus.
628. (Boot records)
629. *
630. 7D0E582D20008EC0E83C008B1EF77D43B8C0FF8EC0E82F0033C0
631. %s the Typo Boot virus.
632. (Boot records)
633. *
634. 7D807426BEBE81B90400807C0401740C807C04047406
635. %s the Bouncing Ball/286 virus.
636. (Boot records)
637. *
638. D2F7361A0088163F01A34101C3A141018B0E1A00F7E102063F0180D400
639. %s the Disk Killer virus.
640. (Boot records)
641. *
642. DB8ED8C7078118813F8118740D2D00103D00B875ECB800A8
643. %s the EDV virus.
644. (Boot records. Scan memory.)
645. *-------------------------------------------------------------------------
646. *
647. * The "LBC" virus; infects floppy disk boot records, does nothing else.
648. *
649. * Checked: Infects floppy boot, Resident
650. *
651. A406B8330150CBBB4C008B0F8B5702
652. %s by the LBC virus.
653. (Boot records)
654. *
655. *-----------------------------------------------------
656. *
657. * The "Ohio0" virus; related to the Ohio and Den Zuk viruses.
658. *
659. * Features: Infects Floppy, Resident
660. *
661. B106D3E08EC0BE007C33FFB90410FCF3A406B8000450CBF8B902
662. %s the Ohio0 virus.
663. (Boot records)
664. *-----------------------------------------------------
665. *
666. * The "PrtSc" virus.  A simple infector of floppy disk
667. * boot sectors and hard disk master boot sectors.  Once
668. * it's installed, it causes a PrintScreen every <many>
669. * disk reads.
670. *
671. * Features: Infects Floppy, Infects HDS Master Boot, Resident
672. *
673. DBB801038A365F01B90100CD6DE824005A595F5E5B
674. %s the PrtSc virus.
675. (Boot records)
676. *-----------------------------------------------------
677. *
678. * The FORM virus, from Switzerland.  Seems to do no intentional
679. *    damage, contains silly message.
680. *
681. * Features: infects floppy disk boot sectors, and hard disk partition
682. *   boot sectors (DOS boot sector), resident.
683. *
684. B9FF00FCF3A506B89A0050BBFE01B80102
685. %s the FORM virus.
686. (Boot records)
687. *-----------------------------------------------------
688. *
689. * The JOSHI virus.
690. *
691. * Infects diskette boot, infects HD master boot, resident
692. * Scan memory for this one; it hides.
693. *
694. B106D3E08EC0B800022D2100BF0000BE007C03F003F8B979012BC8
695. %s the Joshi virus.
696. Boot records. Scan memory.
697. *-----------------------------------------------------
698. *
699. * The Stoned 2 virus.   A simple variation on the Stoned virus.
700. *
701. * Features: infects diskette boot, infects partition boot, resident
702. *
703. *
704. 1E80FC02721780FC0473120AD2750E33C08ED8A03F04A8017503E80700
705. %s the Stoned 2 virus.
706. (Boot records)
707. *--------------------------------------------------------------------------
708. * The MICROBE virus.   A diskette-infector that, after a certain number of
709. * write-enabled boots, will display some "credits" before booting.  It
710. * also removes the Brain virus if found (before infecting the disk
711. * itself), marks the last four sectors on the diskette as bad (so
712. * may trash some data on very full disks), and is "stealthed", so
713. * cannot be seen via INT 13 if it's active in memory.
714. *
715. * Features: Infects floppy disk boot record, resident
716. *
717. *
718. D7010000C706D9010800C606DB0102B9040051B402B001
719. %s the MICROBE virus.
720. Boot records.  Scan memory.
721. *--------------------------------------------------------------------------
722. * The Stoned-ZAPPED virus.   A rather nasty variant of the Stoned that,
723. * rather than printing a message once in 16 boots on a hard disk,
724. * attempts to trash the disk and print "I ZAPPED YOU!".
725. *
726. * Features: Infects floppy boot, infects HD master boot, resident
727. *
728. *
729. 1E5080FC02721780FC04731222D2750E33C08ED8A03F04A8017503E80700
730. %s the Stoned-ZAPPED virus.
731. (Boot records)
732. *--------------------------------------------------------------------------
733. *
734. * This signature will detect both the Flip-2153 and Flip-2343 viruses
735. * in master boot records.
736. *
737. FBB80300E81F0006B8420050B8C007
738. %s the Flip-2153 or Flip-2343 virus.
739. (Boot records)
740. *--------------------------------------------------------------------------
741. *
742. * The 1253 virus.   Infects COM files (actually any file executed
743. * with a third-to-last letter of "C"), floppy boot records, and
744. * hard disk master boot records.   Will write garbage to the
745. * bottom of some disk on November 23, 1990 or after.
746. *
747. * Features: infects COM, infects floppy, infects master, resident.
748. *
749. *
750. CA03562D751726813ECC03314C750E36C7068001000036
751. %s the 1253 virus.
752. COM files and boot records.
753. *--------------------------------------------------------------------------
754. *
755. * Burger-537 Virus, infects COM and EXE files. will write random garbage
756. * to the disk if there is nothing left to be infected. No other effects
757. * observed.
758. *
759. 9B2E8B1EA202434B7409B44FCD21728C4B75F7B42FCD21
760. %s the Burger-537 virus.
761. COM files only.
762. *
763. * Burger-541 virus, same characteristics as Burger-537
764. *
765. A2FB02B447B60004018AD08D36FD02CD21B40EB200CD21
766. %s the Burger-541 virus.
767. COM files only.
768. *
769. *-----------
770. * Not yet analyzed.
771. 28B80802BB00015326813F5224740BCD135B721806B8020150
772. %s the Filler virus.
773. Boot records.
774. *
775. * 26813F5224740BCD13
776. * %s the FILLER virus.
777. * (Boot records)
778. *-----------
779. *
780. * Armagedon Virus. A .COM file infector that tries to dial out to a
781. * service phone number in Greece during the night. Also known as
782. * Armagedon the GREEK.
783. *
784. 4A012EA13E018ED8BE37048A04040B880433D22E8B0E3A01
785. %s the "Armagedon" virus.
786. COM files only.
787. *-----------------------------------------------------
788. *
789. * Two of the "Plastique" viruses.   Multi-modal, much code taken from
790. * the 1813 virus.
791. *
792. A11304B106D3E08ED8833E400EFE751AB8540F1E501E
793. %s the Plastique 5.21 virus
794. EXE files and COM files and boot records
795. *
796. A11304B106D3E08ED8833E400EFE751AB8520F1E501E
797. %s the Plastique-Invader virus
798. EXE files and COM files and boot records
799. *-----------------------------------------------------
800. *
801. * The "Leprosy" virus.   A simple file-overwriting virus that
802. * will overlay files in the current directory, and on the path
803. * to the root, that are named *.COM or *.EXE, with itself.
804. * Infected programs will no longer work, but will often print
805. * the message "Program too big to fit in memory", and sometimes
806. * a message beginning "NEWS FLASH!!  Your system has been infected
807. * with the incurable decay of LEPROSY 1.00...".  A silly virus.
808. *
809. * Features: Infects COM
810. *
811. 510046FE06F002EB08BA8B03B43BCD21463B36ED027CE1803EF00200740AB8BA0250
812. %s the Leprosy virus
813. COM files only
814. *-----------------------------------------------------
815. *
816. * The "Fellowship" virus.   With some code taken from the 1813,
817. * this virus goes resident when the first infected file is executed,
818. * and infects any file executed thereafter whose extension begins
819. * with "E".  When an infected file is run in September, it prints
820. * a message beginning "This message is dedicated to all fellow
821. * PC users on Earth...".
822. *
823. * Features: Infects COM, Infects EXE, Resident
824. *
825. FB039C0650EA0000000033C08ED88F0600008F060200FB
826. %s the Fellowship virus.
827. EXE files and the occasional COM file.
828. *-----------------------------------------------------
829. *
830. * The "Ambulance" or "Red X" virus.   A simple non-resident COM infector;
831. * when an infected file is run, it looks along the PATH for other
832. * COM files to infect.  Once in awhile, it will produce a screen
833. * effect: a character-graphics ambulance will drive across the
834. * bottom of the screen, and a siren will sound.
835. *
836. * Features: Infects COM
837. *
838. BDF0FFBA0000B91000E83F0042E2FAE81600E87B00
839. %s the Ambulance virus.
840. COM files only.
841. *-----------------------------------------------------
842. *
843. * Another functionally-identical 1813 variant.
844. *
845. BC00078ED050B8C50050CBFC062E8C0631002E8C0639002E8C063D002E8C0641008CC0
846. %s the 1813-Puerto virus.
847. (COM and EXE files)
848. *-----------------------------------------------------
849. *
850. * The TPxxVIR viruses; relatives of the VACSINA
851. * and Yankee Doodles.   Not all analyzed in detail,
852. * but all apparently very similar in form and function.
853. *
854. 7A75772E833E1200069073922EA10C002EA3DD042E
855. %s the TP06VIR virus.
856. (COM files only)
857. 7A7403E98F002E803E16001073852E8A0E17002EA11000
858. %s the TP16VIR virus.
859. (COM files only)
860. 7A7406E98C00E9A201B417F6061B00027402FEC438262200
861. %s the TP23VIR virus.
862. EXE and COM files
863. 7A7406E98C00E99601B4??F606??00027402FEC43826
864. %s the TP24VIR, TP25VIR, TP33VIR or TP34VIR virus.
865. EXE and COM files
866. 7A755EB82900807E00007507F6065F000274014039060200
867. %s the TP41VIR virus.
868. EXE and COM files
869. 7A7558B82A00807E00007507F6065E000274014039060200
870. %s the TP42VIR virus.
871. EXE and COM files
872. 7A754AB82D00807E00007507F6065F000274014039060200
873. %s the TP45VIR virus.
874. EXE and COM files
875. 7A754AB82E00807E00007507F60660000274014039060200
876. %s the TP46VIR virus.
877. EXE and COM files
878. *-----------------------------------------------------
879. *
880. * The "Black Monday" virus.   With much code taken from the Fellowship,
881. * this virus goes resident when the first infected file is executed,
882. * and infects any file executed thereafter.  Something like every 240
883. * infections, the virus will attempt to format various parts of the
884. * first hard disk.
885. *
886. * Features: Infects COM, Infects EXE, Resident
887. *
888. 1F04B8AC009C0650EA0000000033C08ED88F0602008F060000FB
889. %s the Black Monday virus.
890. EXE and COM files
891. *-----------------------------------------------------
892. *
893. * The Mirror virus.  Goes resident, and will occasionally infect
894. * the first EXE file in the current directory.   Under some conditions,
895. * installs a timer-tick handler that will reverse the order of the
896. * characters on each line of the display screen every ten minutes or
897. * so, if the screen is in text mode.  Since it trusts the extension to
898. * determine file-type, it may sometimes infect a COM-format file
899. * with the extension "EXE".
900. *
901. * Features: Infects COM, infects EXE, resident
902. *
903. 99033C0A751DB81C35CD218CC08CDA3BC27410891E3C038C063E03
904. %s the Mirror virus.
905. EXE files, and the occasional COM file
906. *-----------------------------------------------------
907. * Mostly written in a high-level language.
908. *
909. FBA10C002EA30001A10E002EA302018C1E2200
910. %s the 5120 virus.
911. COM and EXE files.
912. *-----------------------------------------------------
913. *
914. * Features: infects floppy boot, resident
915. *
916. DD2EFF2EC001530EE8B1FF0EBB4C00E8ADFF5BCD12
917. %s the Aircop virus.
918. Boot records
919. *-----------------------------------------------------
920. *
921. FA8CC88ED88ED0BC00F0FBE82700FA31C08ED8A113042D0700
922. %s the Mardi Bros virus.
923. Boot records
924. *
925. * Many small take-offs on the Vienna-648 virus.
926. *
927. 2FCD21891C8C440207BA5F009003D6B41ACD210656
928. %s the VHP-627 virus.
929. COM files only.
930. 2FCD21891C8C4402B82435CD21899C8F008C84910007B82425
931. %s the VHP-623 virus.
932. COM files only.
933. 5B83EB18FC8D37BF0001B90300F3A48BF3558BEC83EC7C
934. %s the VHP-435 virus.
935. COM files only.
936. A5A58BF3B44E8D5690B103EB168A46EA241F3C1F740B836EEE0A
937. %s the VHP-367 or VHP-353 virus.
938. COM files only.
939. 5BBF00015750FC8D77FAA5A48BF38DAFD001B82435CD21
940. %s the VHP-348 virus.
941. COM files only.
942. *
943. *
944. 3FCD21055901902EA30F01813E5B014956741633C98BD1B80042
945. %s the Pixel-345 virus.
946. COM files only.
947. 3FCD21052B012EA30F01813E2D014956742533C98BD1B80042
948. %s the Pixel-299 virus.
949. COM files only.
950. 3FCD210515012EA30F01813E1701554D741633C98BD1B80042
951. %s the Pixel-277 virus.
952. COM files only.
953. *
954. 4BCD217203E9??015E568BFE33C0501FC4064C002E
955. %s the Murphy 1 or Murphy 2 virus.
956. COM and EXE files.  Pause if found.  Scan memory.
957. *-----------------------------------------------------
958. * Some variants of the V512 virus.
959. *
960. CF8EC33B158E1D8B154A8EDA8BF18BD7B128F3A58EDB
961. %s the V512-B, V512-C, or V512-D virus.
962. COM files only, scan memory, pause if found.
963. *
964. BCF308B42CCD2189167200B42CCD218ACA80E10FD3067200
965. %s the Victor virus.
966. COM and EXE files, scan memory, pause if found.
967. *-------
968. * Displays a bouncing dot on July 13th.
969. *
970. A012003490BE1200B9B1042E300446E2FA
971. %s the July 13th virus.
972. EXE files only.
973. *-------
974. * A small relative of the Kennedy-333.
975. EE0B018BACA00181C503018D94A20133C9B44ECD21727A
976. %s the Kennedy-163 virus.
977. COM files only.
978. *-----------------------------------------------------
979. *
980. * In-memory signature for the WHALE
981. *
982. 252E890E64255B2E8B0783C3025389C132ED2E302743E2FA
983. The WHALE or Whale-B virus may be active in system memory.
984. Scan memory, pause if found.
985. *
986. * The 30 possible whale "heads"
987. *
988. 37261383C303E2F78BCB598BD959B460EB1D56E80200
989. %s the WHALE or Whale-B virus.
990. COM and EXE files.
991. 37964083C303E2F78CC0588BD859B450EB1E56FDE80200
992. %s the WHALE or Whale-B virus.
993. COM and EXE files.
994. DB1F81C361DCE81E00BA02008137060403DAE2F881C38D00
995. %s the WHALE or Whale-B virus.
996. COM and EXE files.
997. DB1F81C361DCE81F00B8020081379A239001C3E2F781C38D00
998. %s the WHALE or Whale-B virus.
999. COM and EXE files.
1000. DB5B81EB9F23E81E00B802008137380101C3E2F881C38D00
1001. %s the WHALE or Whale-B virus.
1002. COM and EXE files.
1003. DC5901CB0EB9C4111FFEC943812FFE0043E2F85689DE81C68D00
1004. %s the WHALE virus.
1005. COM and EXE files.
1006. DDEB2AE80100C359BB61DC01CB0EB9C3101FFEC5290F
1007. %s the WHALE virus.
1008. COM and EXE files.
1009. DC5958935891B43FFEC4E8810158EBD28CCB8EDB5A52C3
1010. %s the WHALE virus.
1011. COM and EXE files.
1012. DFE82B0087D381C361DCB9C311E8E0FFF6063324FE74E1
1013. %s the WHALE virus.
1014. COM and EXE files.
1015. DCB9C1118B0743430107E2FA81C39200807F010174E106
1016. %s the WHALE virus.
1017. COM and EXE files.
1018. 2907E2FA5B59EB2A5BFC53C30E1FE8F7FF81EBA323B9C111
1019. %s the WHALE virus.
1020. COM and EXE files.
1021. 93B9C31183EB1E8A170057FF4BF54BE2F6803E3324017415
1022. %s the WHALE or Whale-B virus.
1023. COM and EXE files.
1024. 9383EB1DB9C3118A072847FF4B4BE2F7803E3324017416
1025. %s the WHALE or Whale-B virus.
1026. COM and EXE files.
1027. CA8EDAE80300D7EBF65A81EA9D23F987DAB98A2CF881F10F0F
1028. %s the WHALE or Whale-B virus.
1029. COM and EXE files.
1030. F9595B87CBE8B501EB078CC88ED8E80200EBF7582D9C23
1031. %s the WHALE or Whale-B virus.
1032. COM and EXE files.
1033. 49F61F83C30249C35DE8F4FF7430EBF9550EF81FE82300
1034. %s the WHALE or Whale-B virus.
1035. COM and EXE files.
1036. 4983C30249C35AE8F4FF742EEBF9520E1FE8230081EA
1037. %s the WHALE or Whale-B virus.
1038. COM and EXE files.
1039. 5BB44059E8BA01EB0C5B0E1F53C3E8290075FBEBEBE8F1FF
1040. %s the WHALE or Whale-B virus.
1041. COM and EXE files.
1042. 5B59B440E8BA01EB0C5B530E1FC3E82A0075FBEBEBE8F1FF
1043. %s the WHALE or Whale-B virus.
1044. COM and EXE files.
1045. 852381EBA923FE0F43E2FB558BEB81C58E0033C03E807E0001
1046. %s the WHALE or Whale-B virus.
1047. COM and EXE files.
1048. 5B5955FF3666255D3EFFD55DE80000B984235B81EBB623
1049. %s the WHALE or Whale-B virus.
1050. COM and EXE files.
1051. E6FF75FB585BFB59FF3666258F069A25FF169A25E80000
1052. %s the WHALE or Whale-B virus.
1053. COM and EXE files.
1054. 91FF166625EBEE5BB985230E81EB9F231F8A47FFFEC8
1055. %s the WHALE or Whale-B virus.
1056. COM and EXE files.
1057. 49434975F7FF3666258F0699255B59EB03E82F00FF16
1058. %s the WHALE or Whale-B virus.
1059. COM and EXE files.
1060. DCB986230E33C81F8037E801C32BC875F781C38F00FE0F
1061. %s the WHALE or Whale-B virus.
1062. COM and EXE files.
1063. 3786F283C301E2F55AFB5B59FF166625E803004033DE
1064. %s the WHALE or Whale-B virus.
1065. COM and EXE files.
1066. 67254EFF14E8020033DE81F676185B5E81EB9F23B98523
1067. %s the WHALE or Whale-B virus.
1068. COM and EXE files.
1069. D7585B59FF166625E80300BB01565B81EB9F23B93489
1070. %s the WHALE or Whale-B virus.
1071. COM and EXE files.
1072. 371083C301E2F8585B5956BE6625F8FF14F85E43E82900
1073. %s the WHALE or Whale-B virus.
1074. COM and EXE files.
1075. 5B415956BE6625FF14F85E42505A90E80100F85B81EB9F23
1076. %s the WHALE or Whale-B virus.
1077. COM and EXE files.
1078. *-----------------------------------------------------
1079. * A simple nonresident EXE infector.  Prints a message after some date.
1080. 3FB91C008B1E27008D160900CD217211813E1B004D5A7409A11700
1081. %s the 1381 virus.
1082. EXE files only.
1083. *-----------------------------------------------------
1084. * Reasonably simple music-playing non-resident COM infector
1085. DDBFA80390EB03??????8B87EE03EB02????81C34400EB04????????3101EB03
1086. %s the Suomi virus.
1087. COM files only.
1088. *--------------------------------
1089. *
1090. * The 1813-Discom virus.   Much code taken from the 1813, but the
1091. * EXE-file-reinfection bug seems to be fixed.   Under some
1092. * circumstances, this virus will send garbage data to the
1093. * async ports (hence the name); under other circumstances,
1094. * it will write garbage (actually parts of itself) over
1095. * part of the first hard disk (perhaps parts of the FAT).
1096. *
1097. * Features: infects COM, infects EXE, resident.
1098. *
1099. 6B008CC88ED88EC0B43FCD21498BFABE0500F3A67507B43E
1100. %s the 1813-Discom virus.
1101. COM and EXE files.
1102. *-----------------------------------------------------
1103. *
1104. * The DataLock virus.  Goes resident, and will infect files executed.
1105. * If the date is August 1990 or after, attempts to open files named
1106. * *.?BF may fail with an "out of file handles" error.   The virus
1107. * contains two push-immediate calls, and may fail on some CPUs.
1108. *
1109. * Features: Infects COM, infects EXE, uses MZ, resident
1110. *
1111. 680001C3B4BECD213D3412C31EA12C00508CD8488ED8812E
1112. %s the DataLock virus.
1113. COM and EXE files.
1114. *------------------
1115. *
1116. * The Eddie-651, or "Eddie 2", virus.  Goes resident, infects files
1117. * that are executed.   Intercepts DOS calls so that infected files
1118. * show up as their original lengths in DIR output.   No known damage.
1119. *
1120. * Features: infects COM, infects EXE, uses MZ, resident.
1121. *
1122. B104D3E8408CD103C18CD9498EC1BF0200BA2B008B0D
1123. %s the Eddie-651 virus.
1124. COM and EXE files.
1125. *------------------
1126. *
1127. * Not particularly analyzed yet.
1128. *
1129. 95E800005E83C619FC8BFE33D2B9810151AD33D0E2FB
1130. %s the V800 virus.
1131. COM and EXE files.
1132. *------------------
1133. *
1134. * The BLOOD virus.   A simple non-resident COM infector.   Attempts to
1135. * infect all COM files in the current directory on drive C: when an
1136. * infected file is run.   One about one execution in four, will print
1137. * a message and bleep the speaker.
1138. *
1139. * Features: infects COM
1140. *
1141. B202B40ECD21B41ABA0C0003D5CD21BA040003D5B44E
1142. %s the Blood virus.
1143. COM files only.
1144. *----------------
1145. * Small bug-fix to the silly VIRDEM virus; basically identical (also
1146. * in the sample we have the messages are in German rather than English).
1147. A9008075093D0005907703E849015052B440B9000590
1148. %s the VIRDEM 2 virus.
1149. COM files only.
1150. *-----
1151. * Another small non-resident COM infector
1152. A700B0025A5283C230B43DCD21720750E99A00EB0490
1153. %s the 453 virus.
1154. COM files only
1155. *------
1156. * Another, probably earlier, member of the Plastique family.
1157. F900BA80047503BAA304C70614000100C70693000000C606920001
1158. %s the Plastique-2576 virus.
1159. COM and EXE files.
1160. *----------
1161. * Very similar to the Plastique 5.21, but doesn't infect boot records.
1162. A700B201E831007203E89D00C3B2802EC7060300D412E8
1163. %s the Plastique 4.51 virus.
1164. COM and EXE files.
1165. *----------
1166. * A Vienna-648 variant that trashes disks on or after August 15, 1990.
1167. B500B6008A168803CD13C35E5681C65C00ACB90080F2AE
1168. %s the Vienna-Viola virus.
1169. COM files only.
1170. *-------------------
1171. * Silly relative of the silly 405 virus.
1172. A24502B4470401508AD08D364602CD2158B40E2C018AD0CD21
1173. %s the Burger-560 virus.
1174. COM files only.
1175. *--------------
1176. * Prints some messages on Dec 25.
1177. D5CD21B44EB92000BA100103D7CD218A8E000480E107FEC1
1178. %s the Japanese Christmas virus.
1179. COM files only.
1180. *------------------
1181. * A self-garbling relative of the Leprosy virus.
1182. B440CD21E80100C3BB31018A273226060188274381FBCB03
1183. %s the Leprosy-B virus.
1184. COM files only.
1185. *-----------------
1186. * A simple non-resident *.COM infector.  Infected files print a
1187. * message in some language that I don't know when executed.
1188. *
1189. * Features: Infects COM
1190. *
1191. A4E943FFE91601E90C01B000B40ECD21BAC000B41ACD21
1192. %s the POLIMER virus.
1193. COM files only.
1194. *-----------
1195. * Another Vienna-648 variant.   Will sometimes install an INT20 (program
1196. * terminate) handler that messes with the timer, perhaps slowing down
1197. * the system (untested).   On the 13th of the month, instead of
1198. * infecting files, it will overlay them with one of three five-byte
1199. * pieces of code, which will either do nothing, hang the system, or
1200. * reboot the system.
1201. *
1202. * Features: Infects COM [sometimes installs a non-viral resident int hdlr]
1203. *
1204. A45E065653BB2C008B075B8EC0BF00005E5683C61AAC
1205. %s the Vienna-Monxla virus.
1206. COM files only.
1207. *-----------
1208. * A very small resident COM infector.  No side effects.
1209. *  Features: Infects COM, uses MZ, resident
1210. 9C95008C84970089F283C21FB425CD21FEC60E07CD273D004B
1211. %s the Guppy virus.
1212. COM files only.
1213. *-----------
1214. * Infects *.COM files that are OPENed.
1215. * Features: Infects COM, resident
1216. A48C06F200B95501890EF000FF2EF0008CC18CD826A38C02
1217. %s the Turbo-448 virus.
1218. COM files only.
1219. *-----------
1220. *
1221. * A relative of the Turbo-448; installs an INT05 (print-screen)
1222. * handler that displays the message "Turbo Kukac 9.9" forever
1223. * rather than printing the screen.
1224. *
1225. * Features: Infects COM, resident
1226. C90290501E528CC88ED8BACE02B409E8D900EBF69080FC3D
1227. %s the Turbo-Kukac virus.
1228. COM files only.
1229. *-----------
1230. * New Plastique/ACAD family virus.
1231. F900BA5302C6067E00007508BA7602C6067E0001B80825CD21B80935
1232. %s the Plastique-2900 virus.
1233. COM and EXE files and perhaps even boot records.
1234. *-----------
1235. * New boot infector; plays "music" under some circumstances.
1236. AC03D0E2FB3B16407C740C33C08EC033FFB90080ABE2FDC3
1237. %s the MusicBug virus.
1238. Boot records.
1239. *-----------
1240. * A "Slow" variant
1241. F981FB03007519EB441E33C08ED88B368400A186008ED883C602
1242. %s the Slow-2131 ("Scott's Valley") virus.
1243. COM and EXE files.
1244. *-----------
1245. * Another 1813 variant, with the EXE-reinfection bug fixed.
1246. * Features: Infects COM, Infects EXE, Resident
1247. 7A0089167C0005200783D20005050083D200723AF7367600
1248. %s the 1813-Westwood virus.
1249. COM and EXE files.
1250. *-----------
1251. * A non-resident COM infector that sometimes erases *.PAS.
1252. 71FDE886FDB4492E8E062B01CD210E07BE7A03BF00FFB98000
1253. %s the Wisconsin virus.
1254. COM files.
1255. *-----------
1256. * Not yet very analyzed
1257. A4B8000150C32E8B1E030181C37C0553B104D3EB43B44ACD21
1258. %s the Carioca virus.
1259. COM files and perhaps EXE files.
1260. *-----------
1261. * A resident COM and EXE infector that disturbs the keyboard.
1262. A4F8C3061FC706BE020000B81C35CD21891EEA028C06EC
1263. %s the KeyPress virus.
1264. COM and EXE files.
1265. *-----------
1266. *
1267. * The long-thought-mythical Pentagon virus
1268. * Features: Infects floppy boot, resident
1269. FBBD447C817606CDAB907B57BD597CB96C0030760045E2FA
1270. %s the Pentagon virus.
1271. Boot records.
1272. *--------------
1273. * A variant on the Viola virus, running an infected file will
1274. * sometimes display garbage and/or obnoxious messages and overwrite
1275. * much of the bottom of drive C:.   Severe bugs also mean that
1276. * infected programs may not run correctly.
1277. *
1278. AA3C0075FA5EB80043BAB0119003D6E87DFE898C9911
1279. %s the Vienna-Viola B4 virus.
1280. COM files only.
1281. *------------
1282. * Apparently related to the Anthrax.  Looks multi-modal.
1283. 7C8BF48ED8832E130411CD12B106D3E02D10008EC0BF0007
1284. %s the Crazy Eddie virus.
1285. COM and EXE files and boot records.
1286. *---------------
1287. * A simple *.COM infector.   Features: infects COM.
1288. 7F55B8070ECD10B8000FCD105033C0CD10B91E00BA060AB30E
1289. %s the Happy Day virus.
1290. COM files only.
1291. *----------------
1292. * Another trivial 648 variant.  Features: infects COM.
1293. FC8BF281C60A00BF0001B90300F3A48BF2B430CD213C007503E9C501
1294. %s the Vienna-646 virus.
1295. (COM files only)
1296. *------------
1297. * 542 virus, same characteristics as 541 and 537.  Snore...
1298. A2FC02B447B60004018AD08D36FE02CD21B40EB200CD21
1299. %s the Burger-542 virus.
1300. COM files only.
1301. *----------------
1302. * A small resident EXE and COM infector.  In 1992 and after, the virus
1303. * does not execute the victim program (after the virus code executes,
1304. * it will just exit to DOS if the year is 1992 or above).
1305. *   Features: Infects COM, Infects EXE, uses MZ, Resident.
1306. A48ED889C1B8C700B384E8A101A30500890E0700FB5B8EDB
1307. %s the 555 virus.
1308. COM and EXE files.
1309. *---------------
1310. * A 648 variant that never overwrites files with reboot code,
1311. * and displays a message from "Father Christmas" if it's Dec 19th
1312. * or after in any year.
1313. *  Features: Infects COM
1314. 5C02CD211FB42ACD2181FA130C730881FA01017202EB0E8BD6
1315. %s the Vienna-Choinka virus.
1316. COM files only.
1317. *-----------------
1318. * A silly non-resident virus that sometimes displays a message,
1319. * and sometimes erases infected files that are executed. Also may be
1320. * known as "SuperHacker".
1321. *
1322. *   Features: Infects COM
1323. A4B41ABA3E0501EA89969402CD21B419CD218886F804BBFFFF
1324. %s the Talentless Jerk virus.
1325. COM files only.
1326. *-------------------
1327. * The "SADAM" virus; a very poorly written resident *.COM infector.
1328. * Because of its bad handling of the INT21 routine, systems with the
1329. * virus active will be very unstable.   Infected systems will periodically
1330. * display the message "HEY SADAM  LEAVE QUEIT BEFORE I COME" [sic].
1331. *  Features: Infects COM, Resident
1332. 6B7226EBEDA1E40225E0FF051F00A3E402B43DB0028CCA8EDA
1333. %s the SADAM virus.
1334. COM files only.
1335. *-----------------
1336. * The Bloody! virus infects diskette boot records and hard disk
1337. * master boot records.   When booting from an infected hard disk,
1338. * a message will occasionally be displayed.
1339. *  Features: Infects diskette, infects master boot, resident
1340. A5FF2E0F7C33C0CD130E1F33C08EC0B80102BB007C803E0A0000
1341. %s the Bloody! virus.
1342. Boot records.
1343. *---------------------
1344. * Another 1813 variant.   This one has the screen-effect, slowdown,
1345. * and file-erasing removed, but will redirect floppy-disks writes
1346. * to hard disk (and vice-versa) under some circumstances.
1347. *   Features: Infects EXE, Infects COM, Resident
1348. CF9C2E803E0C0001750880FC03750380F2809D2EFF2E1100
1349. %s the 1813-1605 virus.
1350. COM and EXE files.
1351. *----------------------
1352. * Another long-thought-mythical virus.   Not well analyzed yet.
1353. AE263A2575F9BA0042263B550175F0B6BA263A75FB75E883F900
1354. %s the Agiplan virus.
1355. COM and EXE files.
1356. *----------------------
1357. * Very similar in function to the Stoned; most code rephrased, and the
1358. * message is "The Swedish Disaster I".
1359. *   Features: Infects floppy, infects HD master boot, resident
1360. A4072BF68BFEB90002F3A4B8F3000650CB2BC0CD132BC08EC0
1361. %s the Swedish Disaster virus.
1362. Boot records.
1363. *----------------------
1364. * A couple of not-well-analyzed resident, at-least-somewhat-stealthed
1365. * viruses (Scan memory and pause if founds below are tentative.)
1366. 688845FDC745FB80FCC745F9CDFC0E1F893EFC038C06FE03C606
1367. %s the MG1 or MG3 virus.
1368. COM files and perhaps EXE files.  Scan memory; pause if found.
1369. *----------------------
1370. * "Nomenklatura", so called because the string appears for no
1371. * apparent reason in the virus.
1372. *  Features: Infects COM, infects EXE, uses MZ, resident
1373. F57507B800428BD1CD21C3B8024233C933D2CD213D00047232
1374. %s the Nomenklatura virus.
1375. COM and EXE files.
1376. *----------------------
1377. * Another not-well-analyzed resident, perhaps-somewhat-stealthed
1378. * virus (Scan memory and pause if founds below are tentative.)
1379. * One time in 256, writes some garbage to drive C:.
1380. A48A4F13F6C101741381E1FE00BA7003B801430E1FCD217303
1381. %s the DIRVIR virus.
1382. COM files only.  Scan memory; pause if found.
1383. *----------------------
1384. * A family of very small, not utterly reliable, resident COM infectors.
1385. *  Features: Infects COM, uses MZ, resident
1386. A5A58EC1A674124E4FF3A58EC1939191268785E0FEABE3F7
1387. %s the Tiny-134, Tiny-138, or Tiny-143 virus.
1388. COM files only.
1389. *
1390. ADAF74144F4FABF3A4BFC800B836069191268745BCAB
1391. %s the Tiny-154, Tiny-156, or Tiny-158 virus.
1392. COM files only.
1393. *
1394. 93B43FB90400BA00068BFA0E1FCD3257B04DF2AE5F742CB80242
1395. %s the Tiny-159, Tiny-160, or Tiny-167 virus.
1396. COM files only.
1397. *
1398. AE5F742EB8024233C933D2CD3250B606B1C6B440CD32B80042
1399. %s the Tiny-198 virus.
1400. COM files only.
1401. *---------------------
1402. * A variant of the silly WHALE virus.   Only difference seems to
1403. * be the replacement of six of the possible "heads" (and one
1404. * change to one, that doesn't effect us).
1405. E2FB5B59FF166625E800000E1F5B81EB9F23B98523FE0F43
1406. %s the Whale-B virus.
1407. COM and EXE files.
1408. *
1409. 9C8007779D43F5E2F7905BF8599CFF1666259DE80000FB0E
1410. %s the Whale-B virus.
1411. COM and EXE files.
1412. *
1413. FB81EB9F23FCB98523528037415A4390E2F750FE8F8E00
1414. %s the Whale-B virus.
1415. COM and EXE files.
1416. *
1417. 920E921F365B575081EBA023585FB9842350280F5158435991
1418. %s the Whale-B virus.
1419. COM and EXE files.
1420. *
1421. 94E2F8365BB00059FBFF16662590E800009C9D0E50581F26
1422. %s the Whale-B virus.
1423. COM and EXE files.
1424. *
1425. 9543E2F89D5B555D59FF166625FCE8000095930E93951FFC
1426. %s the Whale-B virus.
1427. COM and EXE files.
1428. *------------------------
1429. * Another 648 variant; only real differences are that it uses 1D rather
1430. * than 1F in the seconds field as an "infected" marker, and it overwrites
1431. * five bytes of one file in 8 with trash (rather than with reboot code,
1432. * as the 648 does).
1433. *   Features: Infects COM.
1434. 844600241D3C1D74EE81BC4A0000FA77E683BC4A000A72DF8B
1435. %s the Vienna-535 virus.
1436. COM files only.
1437. *------------------
1438. * A non-resident COM infector that will hurt disks and print a message,
1439. * apparently on any 7th of the month, starting 7 June 1990.
1440. *  Features: Infects COM, uses MZ
1441. A4C6069D02B8B89BFF8EC0B93F0033D232E48BD9268A0701C2
1442. %s the Jeff virus.
1443. COM files only.
1444. *----------------------------
1445. * A resident EXE and COM infector that infects files executed, or
1446. * opened.   Seems to have no severe side-effects.
1447. *  Features: Infects EXE, infects COM, uses MZ, Resident, Scan, Pause
1448. *
1449. AAE9F7FE8BE8CF3D59EC74F83D004B741E80FC3D742180FC3E
1450. %s the Kamikaze virus.
1451. EXE and COM files.  Scan memory.  Pause if found.
1452. *----------------------
1453. * Another in this silly "Pixel" family.
1454. *  Features: Infects COM
1455. A433FF2EC7060E0100002E8C0610012EFF2E0E011E07BEE403
1456. %s the Pixel-740 virus.
1457. COM files only.
1458. *-----------------------
1459. * A resident COM and EXE infector, 1575 bytes long.  Infects files
1460. * as they are searched for (by DIR, for instance), rather than
1461. * as they are executed.   Seems to do a screen effect of some kind
1462. * under some circumstances.
1463. *  Features: Infects EXE, infects COM, Resident, Scan memory, Pause if found
1464. A4061FB800015033C0CBBE0600AD3D920174DD3D79017503
1465. %s the 1575 virus.
1466. EXE and COM files.  Scan Memory.  Pause if found.
1467. *-----------------------
1468. * A simple non-resident *.COM infector.   Displays a message if
1469. * an infected file is run in June or after of 1988 or after.
1470. *   Features: Infects COM
1471. A48BCE81E904005F5E5681C61C00B800003904770F
1472. %s the Crew-2480 virus.
1473. COM files only.
1474. *--------------------------
1475. * This one sometimes prints a message (which seems to be gibberish)
1476. * instead of running the host program.
1477. *   Features: Infects COM
1478. A4BA6402B41ACD21BA0601B90600B44ECD217260BA8202
1479. %s the Pixel-852 virus.
1480. COM files only.
1481. *-----------------
1482. * Another in the Dark Avenger / V2000 series.
1483. *
1484. *  Features: Infects COM, Infects EXE, uses MZ, Scan, Pause
1485. *  [replacement sig for the Dark Avenger-2100, that's not in the plain
1486. *  dark avenger. Replaced 91/05/24]
1487. *
1488. A5A55E33D2B92408B440CD21721733C875178A4CF680E10F
1489. %s the Dark Avenger-2100 virus.
1490. EXE and COM files.  Scan memory, pause if found.
1491. *-------------------
1492. * Another trivial 648 variant.
1493. *  Features: Infects COM
1494. D681C2C900CD21EB64B43FB90300BA0A009003D6CD217255
1495. %s the Vienna-Ira virus.
1496. COM files only.
1497. *----------
1498. * A resident infector of *.COM files that can damage the FAT and
1499. * directories on the 15th of January, April, and August.
1500. *
1501. * Features: Infects COM, resident.
1502. *
1503. AC2C64AAE2FABA1306B409CD21B407CD21C6060D0664
1504. %s the Casino virus.
1505. COM files only.
1506. *-------------------------
1507. * Vaguely Stoned-like in behavior (though not in code), infects
1508. * floppy diskette boot records and hard disk Master Boot Records.
1509. * After a certain number of generations, changes some numbers in
1510. * BIOS RAM to indicate that there are no COM or Printer ports available.
1511. *
1512. * Features: Infects floppy, infects MBR, resident
1513. *
1514. A450B8CA0050CB31C0CD1331C08EC0B80102BB007C0E
1515. %s the Azusa virus.
1516. Boot Records
1517. *------------------------
1518. * A rather simple resident EXE and COM infector.   Plays some music
1519. * after some amount of time.   The name is derived from the in-RAM
1520. * self-id "ZK", and the length (900 decimal).
1521. *
1522. * Features: Infects COM, Infects EXE, uses MZ, Resident
1523. *
1524. 8202CD217221813E82027A787419B440BA0301B98403CD21
1525. %s the ZK-900 virus.
1526. COM and EXE files.
1527. *------------------
1528. * Resident *.C?? infector.  No apparent payload.   Most of the virus
1529. * is unused garbage bytes, for some reason (hence the name).
1530. *
1531. * Features: Infects COM, resident.
1532. ACAAE2FC06061F17BB000106538CC64E8EDE8C0601008CC6
1533. %s the Sparse virus.
1534. COM files only.
1535. *--------------------------
1536. * A one-sector Master Boot Record virus; late generations of the
1537. * virus will sometimes write junk over the MBR of the C: drive.
1538. *
1539. * Features: Infects Diskette, Infects HD Master boot, Resident
1540. A6C35152565706E8D4FFE8E7FF74252EC606290100B80103
1541. %s the Brunswick virus.
1542. Boot records.
1543. *----------------------------
1544. * A resident EXE-file infector that will sometimes write garbage to
1545. * the default drive, and OUT random junk out ports 037F-03DF.  The
1546. * name is from the fact that infected files end in "*."; the virus
1547. * doesn't use this to recognize infected files, but we had to
1548. * name it -something-...
1549. *
1550. * Features: Infects EXE, uses MZ
1551. 6803B43BCD21B42ACD21FEC08B16410383E2073AC2
1552. %s the Stardot-600 virus.
1553. EXE files only.
1554. *-----------------------------
1555. * The Stardot-801 is derived from the Stardot-600.   Infects COM
1556. * as well as EXE files, doesn't do the OUTs, writes garbage to
1557. * disks Z: through A:, and does it on February 13th. The
1558. * Stardot-789 is functionally identical, and is missing a few NOPs.
1559. *
1560. * Features: Infects EXE, Infects COM, Uses MZ
1561. C80033D2B0193C01750232C03CFF7502B0015051CD2683C40259
1562. %s the Stardot-789 or Stardot-801 virus.
1563. COM and EXE files.
1564. *-----------------------------
1565. * A.k.a. "903".  A resident infector of *.COM files.   When an infected
1566. * file is run, it installs the virus in memory, and also infects zero or
1567. * one *.COM in the current directory.   Every time a file is opened or
1568. * executed thereafter, the virus will infect zero or one *.COM in the
1569. * current directory (not, in general, the same file that is being
1570. * opened or executed).  Like the Vienna-648, marks infected files by
1571. * setting the seconds field of the timestamp to 62.  When an infected file
1572. * is executed in March, it will sometimes write a "logo", containing the
1573. * strings "CHV 2.1 vois a eu" over large chunks of the default drive.
1574. *
1575. * Features: Infects COM, Resident, Scan, Pause
1576. *
1577. 6B01BF6B01CCEB0E90AC3207AA433BDA7203BB3101CF49
1578. %s the CHV 2.1 virus.
1579. COM files only.  Scan Memory.  Pause if found.
1580. *--------------------------
1581. * A "stealthed" infector of diskettes and hard disk master boot
1582. * records.   After a certain number of boots, it will write
1583. * garbage to parts of one or more disks, and display a message
1584. * about the ?Spanish telephone system?. Also known as
1585. * the TELEPHONICA virus.
1586. *
1587. * Features: Infects floppy, Infects MBR, resident, Scan, Pause
1588. *
1589. 9E74645152B408CD137220FEC68836EA008AD186E9
1590. %s the Campana virus.
1591. Boot sectors.  Scan Memory.  Pause if found.
1592. *---------------------
1593. * A potentially vast family of viruses, produced by a "Virus
1594. * Construction Set" distributed in Germany and perhaps elsewhere.
1595. * When an infected file is run, it will infect up to 10 *.COM files
1596. * on the current disk.  When the virus has reproduced for enough
1597. * generations, it will overwrite c:\autoexec.bat and c:\config.sys
1598. * with a message, and print the message.   The generation-threshold
1599. * and the message can be chosen by the construction-set user, sigh.
1600. * Fortunately, not a likely-to-succeed virus...
1601. *
1602. * Features: infects COM
1603. *
1604. A42F058DBC2001B90F0489FEAC32C4AAE2FAC35E81EE0301
1605. %s a VCS 1.0 virus
1606. COM files only.
1607. *----------------------
1608. * A resident COM and EXE infector, that prints a message and writes
1609. * things that I don't yet understand to some ports in May of 1991 and
1610. * May of later years.
1611. *
1612. * Features: Infects COM, Infects EXE, Resident
1613. *
1614. 9CFF1EEB045351E800005B81EBAF03B9A5038037??43E2FA
1615. %s the Klaeren virus.
1616. COM and EXE files.
1617. *--------------------------
1618. * One of the vast raft of "Russian" viruses.   Goes resident, infects
1619. * *.EXE and *.COM files that are opened.   About one in twenty
1620. * reads to *.DBF files will read blanks instead of data.
1621. *
1622. * Features: Infects EXE, infects COM, resident, scan, pause.
1623. A4C38CC02E03441A051000502EFF7418CB061E8CD8488EC0
1624. %s the Crash-1075 virus.
1625. COM and EXE files.  Scan Memory.  Pause if found.
1626. *----------------------------------------
1627. * A very primitive overwriting virus that will overwrite the
1628. * bottom of drive C: under certain conditions.   Since it overwrites
1629. * infected files with itself, the original program will not run.
1630. * When an infected file is run, it will infect one or more files,
1631. * and then print "File corruption error".
1632. *   Features: Infects COM
1633. 8400B43FB90200BA5E02CD21A05F023C67753CB43ECD21
1634. %s the DEICIDE virus.
1635. COM files only.
1636. *-------------------------------------
1637. * Another non-resident virus.   Has various side effects, including asking
1638. * a question in German and not proceeding unless the answer is "J",
1639. * installing a keyboard-interrupt handler that does something to the
1640. * display, and trying to trash the first hard disk (but it has a bug,
1641. * and fails to do this).
1642. *
1643. *   Features: infects COM, infects EXE, uses MZ
1644. *
1645. AEE32AC645FF00B43BCD21722026C645FF3B26803D007415
1646. %s the Raubkopi virus.
1647. COM and EXE files.
1648. *------------------------------
1649. * A rather unremarkable resident infect-on-execute virus.
1650. *
1651. *   Features: Infects COM, resident.
1652. *
1653. A45E8BC605C400A30A008C0E0C00899CC50089A4CA008BD6
1654. %s the 1067 virus.
1655. COM files only.
1656. *---------------------------
1657. * A very simple, slightly buggy non-resident infector of *.COM.
1658. * Running an infected file will sometimes print the message
1659. * "No Bock today Error, System halted!" and hang the machine.
1660. *
1661. *    Features: Infects COM.
1662. *
1663. 9DCF098BD3B92600F61743E2FBB409CD21FAF4E879FF
1664. %s the Nobock virus.
1665. COM files only.
1666. *--------------------------
1667. * A resident infector of *.COM files created with DOS function 3C.
1668. * On May 3rd, 1991, and afterwards, will print "Something's coming
1669. * up ...", and then produce some sort of screen/speaker effect.
1670. *
1671. *  Features: Infects COM, resident
1672. *
1673. A4C706310200018CD983C150890E33028ED92EFF2E31029C
1674. %s the Vriest virus.
1675. COM files only.
1676. *-----------------------------------
1677. * A simple non-resident COM infector.   When an infected file
1678. * is run, it will look for an uninfected *.COM in the current
1679. * directory to infect, or in the root if none in current.
1680. * It will also attempt to read itself from disk, and will
1681. * warn the user (and abort the program) if it can read itself,
1682. * and finds that its first three bytes have been changed.
1683. * Someone's silly idea of an "anti-virus" virus, no doubt.
1684. * Marks infected files by setting the "seconds" field to 2
1685. * (which means 4).
1686. *
1687. *  Features: Infects COM.
1688. A683F900740E8BD383C25790B409CD21B401CD218BF38BD6
1689. %s the CSSR-528 virus.
1690. COM files only.
1691. *-------------------------------
1692. * A small resident COM infector, it inserts itself into (it hopes)
1693. * unused space within the victim, so victim's length doesn't change.
1694. * It's also (unreliably) "stealthed", and if the virus is in memory
1695. * (most) reads of an infected file will not be able to see it.  Two
1696. * slightly-different versions exist.
1697. *  Features: Infects COM, Uses MZ, Resident, Scan Memory
1698. A483EB0426891E020026C7060000F5E9BFCFCFC53690
1699. %s the Zero Hunt or Zero Hunt-B virus.
1700. COM files only.  Scan memory.
1701. *----------------------------------
1702. * Another silly family of non-resident infectors of *.COM.
1703. * They will sometimes erase files whose extension starts with
1704. * "P", or has "A" as the middle letter, or is "PAS" (hence the name).
1705. * One of them will create lots of empty hidden files, for no
1706. * apparent reason.  They will also sometimes erase .BAK files,
1707. * rename files from EXE to COM, and simlar silly things.
1708. *
1709. * Features: Infects COM
1710. 3F8DBC06018BD7CD217254807D03CAF9744D8B8C2A01
1711. %s the AntiPascal-400, AntiPascal-440, or AntiPascal-480 virus.
1712. COM files only.
1713. AAB456BF0D01CD21C3BE2301E896FFCD21723BA14C01
1714. %s the AntiPascal-529 virus.
1715. COM files only.
1716. 7727A30C01C70655015D02E862FF72193D436F7414B002
1717. %s the AntiPascal-605 virus.
1718. COM files only.
1719. *----------------------------------
1720. * A small infector of floppies and hard disk MBRs that infects only
1721. * hard disks, and floppies used in A:.  Writes garbage to A: on
1722. * March 6th.
1723. *
1724. * Features: Infects floppy, Infects MBR, resident
1725. *
1726. AD3B47027435B80103B601B103807F15FD7402B10E890E0800
1727. %s the Michelangelo virus.
1728. Boot records.
1729. *-------------------------------
1730. * An 1813 variant; most code identical to the 1813.   The file-erasing,
1731. * box-scrolling, and system-slowdown payloads have been removed, and
1732. * replaced with a timer-tick handler that just writes a message about
1733. * "groen links" once in awhile on certain days.
1734. *
1735. * Features: Infects COM, Infects EXE, resident
1736. CF2E833E1F00027517E9D7037FCC80FA0E7C0BEBA681F9C707
1737. %s the 1813-Groen Links virus.
1738. COM and EXE files.
1739. *----------------------------------------
1740. * A small floppy and MBR infector that prints a message on
1741. * rare occasions.  Reading an infected hard disk (but not
1742. * floppy) MBR with the virus active will return the original
1743. * boot sector.
1744. *
1745. * Features: Infects Floppy, infects MBR, resident, Scan Memory
1746. A5B8010331DB41E823FFA0A801403C16720230C0A2A801
1747. %s the Evil Empire virus.
1748. Boot records.  Scan memory.
1749. *--------------------------------
1750. * A variant of the Evil Empire virus, rarely displays
1751. * a message something like "PC AT LIVE FOR LOVE".
1752. *
1753. * Features: Infects Floppy, Infects MBR, Resident, Scan memory
1754. AAE2F9E9F7FECD1A3A16AF01751ABEE30189F7B91B00
1755. %s the Evil Empire-B virus.
1756. Boot records. Scan Memory.
1757. *----------------------------------
1758. * A slightly-modified version of Stoned, that will infect
1759. * diskettes used in either A: or B: (rather than just A:,
1760. * as the Stoned does).
1761. *
1762. * Features: Infects floppy, infects MBR, resident
1763. A42EFF2E0D0031C090CD1333C08EC0B80102BB
1764. %s the Stoned-Alberta virus.
1765. Boot records.
1766. *--------------------------------
1767. * A resident COM infector that infects *.COM files which are
1768. * opened, executed, renamed, or have their attributes queried
1769. * or set.  It also inspects floppy diskettes, and if it finds
1770. * certain (presumably viral) patterns in the boot record, will
1771. * replace the boot record with a program to print a message in
1772. * Spanish.
1773. *
1774. * Features: Infects COM, resident, scan, pause
1775. A4061FC606B2020190E84F00B86221E85D00B86320
1776. %s the CARA virus.
1777. COM files only.  Scan Memory.  Pause if found.
1778. *-------------------------------
1779. * The Tequila virus. The "*N" sequences mean that 0 to N arbitrary
1780. * bytes can be in the corresponding position.  Infects EXE-format files
1781. * that are executed, and hard disk master boot records.   On some
1782. * days, may display a low-res Mandelbrot-set image.
1783. *
1784. * Features: Infects EXE, Infects hard disk MBR, resident
1785. *
1786. B106D3E08EC006B82A0250B805028B0E307C418B16327C
1787. %s the Tequila virus, boot sector phase.
1788. Boot records. Scan memory
1789. *
1790. * One possible path through the degarbler
1791. *
1792. B96009%48A17%44643%281FB????72??%2BB????%4E2??%2E9
1793. %s the Tequila virus
1794. EXE files only.
1795. *
1796. * The other possible path through the degarbler
1797. *
1798. B96009%48A14%44643%281FE????72??%2BE????%4E2??%2E9
1799. %s the Tequila virus
1800. EXE files only.
1801. *-------------------------------------
1802. * A one-sector boot virus that behaves very much like the Stoned,
1803. * except that it is "stealthed", and has no payload at all (no msg,
1804. * etc).
1805. *
1806. * Features: Infects floppy, Infects MBR, Resident, Scan memory
1807. AB004848A31304B106D3E08EC036A38C00B8DA00A34C00
1808. %s the NoInt virus.
1809. Boot records.  Scan Memory.
1810. *-------------------------------------
1811. * The following signatures (through ./!139.DMC) were autmatically
1812. * extracted from a large sample collection, and should *NOT* be
1813. * considered reliable. The corresponding viruses have not been
1814. * analysed. These signatures will gradually be replaced in
1815. * future releases as the corresponding viruses are
1816. * analysed.
1817. *
1818. *-----
1819. * Virus: ./1475.dmc
1820. * Signature score = -80.267845
1821. 5F0003D6B41ACD21065683C61A8BD68E
1822. (M) New Sunday (./1475.dmc #1#)
1823. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1824. *-----
1825. * Virus: ./1560.dmc
1826. * Signature score = -78.014648
1827. 217266B8023DBA9EFFCD21720F93B43F
1828. (VB) Gergana (./1560.dmc #1#)
1829. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1830. *-----
1831. * Virus: ./1567.dmc
1832. * Signature score = -79.122604
1833. 1E0E1F5350BBE308B0FF30074B81FB68
1834. (VB) MIX2 (./1567.dmc #1#)
1835. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1836. *-----
1837. * Virus: ./1567.dme
1838. * Signature score = -79.509048
1839. 1E0E1F5350BBE308B03B30074B81FB68
1840. (VB) MIX2 (./1567.dme #1#)
1841. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1842. *-----
1843. * Virus: ./491.dmc
1844. * Signature score = -92.792923
1845. DAFF8A6521882600018B4522A301018B
1846. (M) (USSR-707) (./491.dmc #1#)
1847. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1848. *-----
1849. * Virus: ./494.dmc
1850. * Signature score = -77.196976
1851. D8BB03003E8B072DEA003E8907061FBB
1852. (VB) Voronezh (./494.dmc #1#)
1853. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1854. *-----
1855. * Virus: ./127.dmc
1856. * Signature score = -89.462318
1857. A45EB44EBAC90101F2B9FFFFCD21723D
1858. (VB) Polish-217 (./127.dmc #1#)
1859. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1860. *-----
1861. * Virus: ./138.dmc
1862. * Signature score = -84.665932
1863. 83FCE072F62EC7470712002EC7470900
1864. (VB) MLTI (M) USSR-830 (./138.dmc #1#)
1865. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1866. *-----
1867. * Virus: ./139.dmc
1868. * Signature score = -77.844170
1869. 0103D5CD218D1E090103DD8A47033CEB
1870. (VB) MGTU (./139.dmc #1#)
1871. (COM and EXE files??? Scan Memory? Pause if found? (May be incorrect!!!))
1872. *---------------------------------
1873. * The Smiley Worm boot virus.   Infects floppy diskettes, and the
1874. * DOS (partition) boot records of hard disks.   Rarely displays a
1875. * "worm" moving around on the screen (similar to the 1575's display).
1876. *
1877. * Features: Infects floppy, infects partition boot, resident, scan
1878. A4A19601E82400E83B008BF1CB07BB007C53B90300518BCE
1879. %s the Smiley Worm Boot Virus.
1880. Boot records.  Scan memory.
1881. *-----------------------------------
1882. * The TELECOM virus.   Infects *.COM that is executed while the
1883. * virus is resident.   Also installs the Campana virus on the
1884. * first hard disk.   Two possible degarbler heads.
1885. *
1886. * Features: Infects COM, [Infects MBR,] resident
1887. DB7420B6??BE5500B9740EB6??03F58A1C80F3??32D80ADCB2??B2??
1888. %s the Telecom virus.
1889. COM files only.
1890. B20083FB007418BF5500B2??B9740E03FD8A1D80C3??32D8881D
1891. %s the Telecom virus.
1892. COM files only.
1893. *----------------------------------
1894. * The 3445 virus; similar to the TELECOM in some ways, but a
1895. * simpler garbling strategy, infects EXE files, seems to infect files which
1896. * are opened.   Also installs the Campana virus on disks.
1897. *
1898. * Features: Infects COM, infects EXE, [Infects MBR,] resident, scan, pause
1899. B452CD21268B47FEA33C06B80400E8E000891E3E068C
1900. %s the 3445 virus.
1901. COM and EXE files.  Scan Memory.  Pause if found.
1902. *---------------------------
1903. * Doom 2.   Infects any file executed, and \COMMAND.COM.   Under some
1904. * circumstances, will write garbage to A:, B:, and the first hard drive.
1905. *
1906. * Features: Infects COM, Infects EXE, Resident.
1907. AF04BF29012EA00B012E803E0A014574052E033E03012E
1908. %s the Doom 2 virus.
1909. COM and EXE files.
1910. *---------------------------------
1911. * The 382 virus.  A silly non-resident overwriting virus; infects
1912. * one *.COM somewhere on the current drive, or renames all *.EXE
1913. * to *.COM in some directory, and infects one, or writes garbage
1914. * to part of the current disk.  Infected files will virtually never
1915. * execute correctly (although it does go to a bit of trouble to
1916. * make it not impossible that they will).
1917. *
1918. * Features: Infects COM
1919. E12E8B1601E08D0E3B012BD12E89163C02B440B97E0190
1920. %s the 382 virus.
1921. COM files only.
1922. *----------------------------
1923. * The LAO DOUNG virus.  Infects floppy disks and (somewhat unreliably)
1924. * the DOS boot record of hard disks.   Plays a tune at random intervals.
1925. *
1926. * Features: Infects floppy, infects hard disk DOS boot, resident
1927. A5A5A34E00B8CF7CA34C00061FF6C2807539BB007EBA8001
1928. %s the LAO DOUNG virus.
1929. Boot records.
1930. *------------------------------
1931. * A virus reported on VIRUS-L.   Non-resident infector of *.EXE somewhere on
1932. * some disk.   Uses hidden files with <ff> characters in their names to
1933. * keep track of where it's gotten to in infecting the disk(s).   When an
1934. * infected file is run, it infects the next uninfected *.EXE of more than
1935. * about 5000 bytes.   On June 17th, infected files will display moving hearts
1936. * and the words "Yaunch + Wench".
1937. *
1938. * Features: Infects EXE
1939. 5C012BDB8A058A2032C48805473BFA730A4383FB0A72ED
1940. %s the Yaunch virus.
1941. EXE files only.
1942. *-------------------------------------
1943. * Resident infector of files executed, and of C:\COMMAND.COM.   Seems
1944. * to have no side effects.   Reduces the BIOS memory-size figure by 2K
1945. * when it installs, for no apparent reason.  Has a slightly-variable
1946. * degarbler.
1947. *
1948. * Features: Infects COM, Infects EXE, uses MZ, resident
1949. 5E562E8A84E801B9E801F6D02E300446E2F8C3
1950. %s the Ontario virus.
1951. COM and EXE files.
1952. 5E562E8A84E801B9E801F6D82E300446E2F8C3
1953. %s the Ontario virus.
1954. COM and EXE files.
1955. *-----------------
1956. * Dark Avenger family signature. This signature appears in
1957. * many Dark Avenger variants.
1958. *
1959. *  Features: Infects COM, Infects EXE, uses MZ, Scan, Pause
1960. *
1961. AD3D8073740D75153DF6C27512AD3D8075750A46AD3DCD40
1962. %s a virus in the Dark Avenger family.
1963. EXE and COM files.  Scan memory, pause if found.
1964.