Popisy vir∙

Pokud mß n∞kdo jakΘkoliv popisy vir∙ (samoz°ejm∞ Φesky), napiÜte mi. Dφky...

V∞tÜina informacφ z tΘto strßnky byla p°elo₧ena z AVP Virus Encyclopedia.

Alfons.1344

Velmi nebezpeΦn² rezidentnφ souborov² virus. P°esm∞ruje INT 21h a zapisuje se na zaΦßtky COM a konce EXE soubor∙ p°i jejich spuÜt∞nφ. V zßvislosti na datumu a na Φase, virus ma₧e sektory disku. B∞hem mazßnφ napφÜe zprßvu:
Alfons ! Synchronizing drive C: (Do not interrupt this operation !):  0%
Done.
Je parazitick², rezidentn² COM a EXE infektor. Efektφvna dσ₧ka jeho k≤du je 1344 bajtov. Volanie slu₧ieb DOSu, ktorΘ za normßlnych okolnostφ obsluhuje INT 21h presmeruje na INT 3, Φo je normßlne break-point. Okrem toho vφrus vyu₧φva inÜtrukcie ÜpecifickΘ pre procesory 386 a vyÜÜie. To m⌠₧e zmias¥ menej dokonalΘ heuristiky. Vφrus infikuje programy, ktorΘ sa sp·Ü¥aj·, priΦom sa zapφÜe na zaΦiatok s·borov typu COM, v prφpade s·borov typu EXE sa infikuje koniec s·boru. Neinfikuje s·bor "COMMAND.COM". Ak poradie d≥a v t²₧dni od soboty ( napr. pondelok je druh² ) je zhodnΘ s dßtumom, a ak mßte trochu smoly, pri ukonΦenφ nejakΘho programu vφrus vypφÜe:
Alfons ! Synchronizing drive C: (do not interrupt this operation !)
A potom zaΦne na obrazovku vypisova¥ percentußlny progres za zvukov ·pej·ceho hard disku. Ke∩ dosiahne 100 percent, vypφÜe "Done.". ZaΦiatok disku sa prepφÜe re¥azcom "Alfons !".

Zdroj: NOD (ESET - encyklopedie vir∙)

AntiCMOS.A

NebezpeΦn² boot virus napadajφcφ boot sektor diskety a MBR pevnΘho disku. P°i bootovßnφ z infikovanΘ diskety infikuje MBR pevnΘho disku, pak p°esm∞ruje INT 13h a infikuje boot sektor disket. B∞hem infekce MBR pevnΘho disku virus nezßlohuje p∙vodnφ obsah tΘto oblasti. N∞kdy ma₧e obsah pam∞ti CMOS.
Je to pamΣ¥ovo rezidentn² boot vφrus. Pri pokuse o zavedenie systΘmu z infikovanej diskety nakazφ MBR hard disku, ale sßm sa eÜte neinÜtaluje do pamΣte. Pri najbli₧Üom zavedenφ systΘmu z hard disku sa vφrus stßva rezidentn²m a pok·Üa sa infikova¥ vÜetky diskety nechrßnenΘ proti zßpisu. Pri splnenφ urΦit²ch podmienok modifikuje obsah pamΣte CMOS. Existuj· dve nepatrne sa lφÜiace varianty vφrusu.

Zdroj: NOD (ESET - encyklopedie vir∙)

AntiEXE.A

Jednß se o stealth boot virus. Blokuje spuÜt∞nφ n∞kter²ch EXE soubor∙.
Je to stealth boot vφrus zaberaj·ci 1 Kb pod vrcholom pamΣte pre DOS. Pri pokuse o zavedenie systΘmu z infikovanej diskety napadne MBR hard disku a prevezme obsluhu INT 13h. Vφrus pre svoje ·Φely pou₧φva namiesto preruÜenia INT 13h preruÜenie INT D3h. Napßda boot sektory diskiet pri ich Φφtanφ. Ak zaΦiatok sektoru diskety obsahuje znaky "MZ" - signat·ru EXE s·borov, d⌠jde niekedy k poÜkodeniu t²chto s·borov.

Zdroj: NOD (ESET - encyklopedie vir∙)

Boot-437.A

Je to rezidentn² boot infektor. Nßzov je typickou ukß₧kou nedostatku fantßzie, 437 je dσ₧ka k≤du v bajtoch. Jeho k≤d sa trocha vymykß zo zabehnutΘho kliÜΘ a na hard disku nenapßda hlavn² zavßdzacφ program (MBR), ale boot sektor aktφvnej partφcie a to natvrdo bez oh╛adu na jeho typ. NajhorÜie na tom je, ₧e vo svojej jednoduchosti nezvlßdne sprßvne prepoΦφta¥ parametre rozliΦn²ch diskiet. Naprφklad pri 3.5 palcovej HD diskete sa netrafφ pri odkladanφ p⌠vodnΘho bootu na koniec kore≥ovΘho adresßra (rootu), a to sp⌠sobφ pri prezeranφ jej obsahu zaujφmav² efekt, v kruhoch odbornφkov znßmy ako "rozsypan² Φaj". To ho obvykle vyzradφ aj laikom. Na hard disku odlo₧enie p⌠vodnΘho bootu na obligßtny Üiesty sektor nultej stopy na ve╛kΘ Ü¥astie pou₧φvate╛ov u₧ zvlßdne dobre. Samozrejme, tak ako ka₧d² boot vφrus, infikuje vÜetky diskety, ktorΘ nie s· ochrßnenΘ proti zßpisu.

Zdroj: NOD (ESET - encyklopedie vir∙)

Burglar.1150.A

NeÜkodn² rezidentnφ souborov² virus. P°esm∞ruje INT 21h a zapisuje se na konce EXE soubor∙, ke kter²m je p°istupovßno. Virus kontroluje jmΘno napadanΘho souboru a neinfikuje soubory, jejich₧ nßzev obsahuje "V" nebo "S" pφsmeno, nebo jmΘno souboru zaΦφnß: "CL", "HW", "TB", "F-", "WC" nebo "TK".
CLHWTBF-WCTK
Verze 1150 taky infikuje EXE soubory, pokud zjistφ, ₧e je volßna funkce DOSu GetDiskSpace nebo DeleteFCB (AH=13h,36h). Virus hledß EXE soubory jen v aktußlnφm adresß°i.

Virus v zßvislosti na Φase zobrazuje zprßvu:
"Burglar.1150": Burglar/H
Tento 1150 bajtov dlh² rezidentn² vφrus napßda len s·bory typu EXE. Neinfikuje s·bory kratÜie ako 256 bajtov a dlhÜie ako 256 KB, ∩alej tie, ktor²ch meno obsahuje pφsmeno 'S' alebo 'V', s·bory pre Windows a s·bory obsahuj·ce internal overlay. Predσ₧enie s·borov maskuje, ale ak sa spustφ program CHKDSK, tento hlßsi chyby. Jedin²m prejavom vφrusu v pamΣti je nßpis v ╛avom hornom rohu obrazovky znej·ci:
BURGLAR/H
Objavφ sa, ak v Φase nßkazy s·boru vn·tornΘ hodiny poΦφtaΦa mali poΦet min·t rovn² 14.

Zdroj: NOD (ESET - encyklopedie vir∙)

Civil_Defence.6672.C

Je to rodina multipartitn²ch EXE infektorov. Pri spustenφ nakazenΘho s·boru sa ako prv² infikuje MBR hard disku. Jeho p⌠vodn² obsah odkladß vφrus na stopu 0, hlavu 0, sektor 2, ak je len jeden logick² disk. Ak je logick²ch diskov viac, odlo₧φ sa na prv· extended partition a jej dßta zak≤duje. To znamenß, ₧e pri neodbornom odstrßnenφ vφrusu, alebo zavedenφ systΘmu z Φistej systΘmovej diskety poΦφtaΦ vie len o prvom logickom disku. Po napadnutφ MBR je s·bor s vφrusom dezinfikovan². Po urΦitom Φase od nßkazy sa zaΦφna mno₧i¥ tak, ₧e napßda s·bory typu EXE na pru₧n²ch diskoch. Hodnotu sek·nd v Φase poslednej modifikßcie zmenφ vφrus po nßkaze na 54. Vφrus mß v sebe zak≤dovanΘ ruskΘ texty a niekedy hrß hudbu.

Zdroj: NOD (ESET - encyklopedie vir∙)

Digi.3547

Velmi nebezpeΦn² polymorfnφ, stealth souborov² virus. P°esm∞ruje INT 1, 3, 1Ch, 21h a zapisuje se do konc∙ COM a EXE soubor∙ p°i jejich spouÜt∞nφ. B∞hem zaklßdßnφ, otevφrßnφ a spouÜt∞nφ COM a EXE soubor∙ si virus uklßdß jejich jmΘna a infikuje je a₧ p°i jejich uzavφrßnφ. Kdy₧ je infikovan² soubor otev°en, virus se z n∞j dezinfikuje. Virus ma₧e CHKLIST.* a b∞hem spuÜt∞nΘho programu CHKDSK vypφnß FindFirst/Next "madlo". P°i spuÜt∞nφ MKS antiviru neinfikuje ₧ßdnΘ soubory. Pou₧itφm INT 1, 3 blokuje debugovßnφ jeho k≤du.

V kv∞tnu od 28 do 31 virus p°episuje pevn² disk s textem:
DIGI POWER
Pak se p°edvßdφ s videem a zvukov²mi efekty, a zobrazuje zprßvu:

Form.A

Velmi nebezpeΦn² rezidentnφ boot virus. P°esm∞ruje INT 9, 13h a infikuje boot sektor diskety se kterou pracujete. Virus taky infikuje boot sektor pevnΘho disku p°i bootovßnφ z infikovanΘ diskety.

Virus na sebe upozor≥uje 16 dne ka₧dΘho m∞sφce. Brzdφ b∞h poΦφtaΦe p°i stisku klßvesy. Krom∞ toho m∙₧e znφΦit data na pevnΘm disku.

Virus obsahuje text:
The FORM-Virus sends greetings to everyone who's reading this text.
FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.
Jednoduch² boot vφrus pochßdzaj·ci pravdepodobne zo èvajΦiarska. Vφrus sa pri pokuse o zavedenie systΘmu z infikovanej diskety inÜtaluje do chrßnenej oblasti pamΣte, ktor· si vytvorφ znφ₧enφm mno₧stva pamΣte pou₧ite╛nej pre DOS o 2 KB. Nßsledne nakazφ boot sektor hard disku a jeho p⌠vodn² obsah ulo₧φ do posledn²ch dvoch sektorov, no nijako ich nechrßni. Pri prφstupe na disketu v mechanike, ak je nechrßnenß proti zßpisu, ulo₧φ p⌠vodn² boot sektor do alokaΦnej jednotky, ktorß sa oznaΦφ ako chybnß a napadne boot sektor diskety. Ka₧d² 24. de≥ v mesiaci sa prejavφ zvukom pri stlßΦanφ klßves. Obsahuje text :
The FORM Virus sends greetings to everyone who's reading this text.
FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.
v preklade:
Vφrus FORM posiela pozdravy ka₧dΘmu, kto Φφta tento text. FORM neniΦφ ·daje! Len ₧iadnu
 paniku!

Existuj· aj ∩alÜie, mßlo sa lφÜiace varianty.

Zdroj: NOD (ESET - encyklopedie vir∙)

Helloween.1376.A

NeÜkodn² rezidentnφ souborov² virus. P°esm∞ruje INT 21h a zapisuje se na konce COM a EXE soubor∙, kterΘ jsou spouÜteny. Virus obsahuje k≤dovanou zprßvu a Φßsti nßzv∙ soubor∙ (4 pφsmena pro jmΘno). Virus podle nich neinfikuje soubory SCAN*.*, SHIE*.*, TRAP*.* atd.):
SCANSHIETRAPVIRUVCOPASTAALIKAZORREX.MANDUEXEUCOMVIRTCLEATSAFNAV.INI.BOOT3P.E
1. listopadu helloween zprßvu dek≤duje a zobrazφ ji:

Int40

NeÜkodn² rezidentnφ boot virus. Nakopφruje se do tabulky vektor∙ p°eruÜenφ, p°esm∞ruje INT 40h a zapisuje se do boot sektoru diskety. B∞hem bootovßnφ z infikovanΘ diskety infikuje virus MBR pevnΘho disku. Virus na sebe nijak neupozor≥uje.

J&M.A

Tento jednoduch² bootovacφ vφrus sa pri pokuse o zavedenie systΘmu z diskety (aj nechcenom) ulo₧φ do 2 kilobajtov na vrchole konvenΦnej pamΣte. Nakazφ MBR (hlavn² zavßdzacφ zßznam) pevnΘho disku a p⌠vodn² sektor ulo₧φ na cylinder 0, hlavu 0 a sektor 6. Sßm seba identifikuje tak, ₧e h╛adß v MBR v²skyt znakov "J&M" na ofsete 1BBh. Tam sa vlastne nachßdza re¥azec "J&M" od ktorΘho je odvodenΘ pomenovanie vφrusu. Vφrus kontroluje volania preruÜenia INT 13h a pri vlo₧enφ nenakazenej diskety do mechaniky ju nakazφ, priΦom p⌠vodn² boot sektor diskety odlo₧φ na hlavu 1 stopu 0 sektor 14. Vφrus testuje dßtum, a ak je 15. novembra, naformßtuje nult· stopu prvΘho hard disku (disk C:), teda stopu, kde mß odlo₧en² p⌠vodn² zavßdzacφ sektor. To pri hard diskoch znamenß poÜkodenie tabu╛ky rozdelenia disku. Vφrus na diskete obsahuje na svojom konci re¥azce z p⌠vodnΘho boot sektoru: "Replace and press any key when ready" a "IO SYSMSDOS SYS" Φo mu umo₧≥uje "pre₧i¥" zbe₧nΘ prezretie niektor²mi utilitami. Tento vφrus sa objavil v roku 1993 a tlaΦ okolo neho rozp·tala ve╛k· hystΘriu. Je paradoxnΘ, ₧e aj ke∩ vφrus asi pochßdza zo Slovenska, rozÜφril sa najprv v ╚echßch, kde ho nazvali Hasita, prφpadne Jimmi. Zßverom len konÜtatovanie, ₧e J&M je ve╛mi ·speÜn² boot vφrus, ktor² sa stßle objavuje a to aj v zahraniΦφ (1996 napr. Ve╛kß Britßnia).

Zdroj: NOD (ESET - encyklopedie vir∙)

Junkie.1027.A

Rezidentnφ multipartitnφ k≤dovan² virus. P°esm∞ruje INT 13h, 1Ch, 21h a zapisuje se na konce COM soubor∙, kterΘ jsou spouÜt∞ny nebo otevφrßny. Taky infikuje boot sektor diskety, kdy₧ s nφ pracujete. MBR pevnΘho disku je infikovßn p°i spuÜt∞nφ infikovanΘho souboru.

Virus obsahuje text:
DrW-3
Dr White - Sweden 1994
Junkie Virus - Written in Malmo...M01D
Vφrusy tejto rodiny pochßdzaj· zo èvΘdska, krajiny s tradiΦne siln²m zßzemφm pre autorov vφrusov. S· to multipartitnΘ kryptovanΘ parazitickΘ COM infektory. Oba obsadzuj· preruÜenia INT 13h, INT 1Ch a INT 21h. Nßkaza sa uskutoΦ≥uje pri sp·Ü¥anφ s·borov a ich otvßranφ pre prφstup do s·boru, pri Φφtanφ diskety sa nakazφ boot sektor (ak nie je disketa ochrßnenß proti zßpisu) a pri spustenφ infikovanΘho s·boru sa infikuje aj MBR hard disku.
Junkie.A je 1027 bajtov dlh², neÜkodn² a v tele, ktorΘ je kryptovanΘ, mß texty:
DrW-3 Dr White - Sweden 1994 Junkie Virus - Written in Malmo...M01D

Zdroj: NOD (ESET - encyklopedie vir∙)

Kampana.A

Velmi nebezpeΦn² multipartitnφ virus. Zapisuje se na konce COM a EXE soubor∙, p°i jejich spouÜt∞nφ a otevφrßnφ. Krom∞ toho se zapisuje do MBR pevnΘho disku p°i spuÜt∞nφ infikovanΘho souboru. Boot sektor diskety je infikovßn, pokud s nφ pracujete. Virus je v souboru k≤dovßn. B∞hem instalace, virus trasuje INT 13h, 21h, 40h a p°esm∞ruje INT 21h. Virus vlastnφ vφce ne₧ 10 "madel" (handlers) INT 21h.

Virus obsahuje nap°. tyto texty:
(C) 1990 Grupo HOLOKAUSTO (Barcelona, Spain) Kampaña Anti-TELEFONICA:
Mejor servicio, Menores tarifas...

Virus Anti - C.T.N.E. (c)1990 Grupo Holokausto.
Kampanya Anti-Telefonica.
Menos tarifas y mas servicio.
Programmed in Barcelona (Spain).
23-8-90. - 666 -
Pokud je Φßst viru v MBR, virus nenapadß soubory. Po 190h (?) nabootovßnφ z infikovanΘho disku dochßzφ k jeho p°epsßnφ a napsßnφ textu:
 Campaña Anti-TELEFONICA (Barcelona)

Major.1644.A

NebezpeΦn² rezidentnφ k≤dovan² souborov² virus. P°esm∞ruje INT 8, 21h a zapisuje se na konce EXE soubor∙, p°i jejich spust∞nφ. V nßhodn∞ zvolenΘm Φasu tento virus otevφrß BBS soubory: \BBSV6\BBSAUDIT.DAT, \BBSV6\BBSUSR.DAT a kontroluje je na v²skyt jmen:
Puppet Image Gnat Minion Cindy F'nor.

Pokud je n∞kter² z t∞chto text∙ nalezeno, virus n∞kdy zm∞nφ popis v BBS souboru.

Virus obsahuje texty:
The Major BBS Virus created by Major tomTugger

Mange_Tout.1099

NebezpeΦn² rezidentnφ k≤dovan² souborov² virus. P°esm∞ruje INT 8, 9, 21h a p°i volßnφ DOS funkce GetDiskSize (INT 21h, AH=36h) hledß soubory COM a EXE. Zapisuje na jejich konce. Pokud je klßvesnice neaktivnφ po dobu jednΘ hodiny, virus ma₧e CMOS pam∞t a MBR pevnΘho disku.

Zdroj: NOD (ESET - encyklopedie vir∙)

Michelangelo.A

Klasick² boot virus. Infikuje 360 KB diskety a 6.3 ma₧e soubory na disku, z kterΘho byl spuÜt∞n (MBR).
V zß°φ 1991 se váb²valΘm ╚eskoslovensku objevil nov² druh poΦφtaΦovΘho viru, nazvan² Michelangelo. Tento virus napadß systΘmovou oblast disk∙, konkrΘtn∞ zavßd∞cφ sektor disket aásektor sátabulkou rozd∞lenφ disk∙ uápevn²ch disk∙. Jeáodvozen záji₧ d°φve znßmΘho viru Stoned aánenφ nijak zvlßÜ¥ pozoruhodn². Sájedinou v²jimkou, aátou je jeho manipulaΦnφ Φßst. Virus toti₧ m∙₧e b²t velmi nebezpeΦn². P°i ka₧dΘm spuÜt∞nφ testuje datum vápoΦφtaΦi aádne 6. b°ezna p°epφÜe obsah disku, ze kterΘho byl spuÜt∞n! Virus Michelangelo Φte datum p°φmo ze zßlohovan²ch hodin poΦφtaΦe (váokam₧iku jeho spuÜt∞nφ nenφ toti₧ jeÜt∞ MS-DOS aktivnφ aádatum nastavenΘ váoperaΦnφm systΘmu nenφ mo₧no zjistit), proto seáp°epsßnφ disk∙ nikdy neprovede na poΦφtaΦφch bez bateriφ zßlohovan²ch hodin (klasick² IBM PC/XT).

Zdroj: AVAST32 - manußl

Natas.4744

NebezpeΦn² rezidentnφ multipartitnφ polymorfnφ virus. P°esm∞ruje INT 13h, 21h a zapisuje se do MBR pevnΘho disku, boot sektoru diskety a do konc∙ COM a EXE soubor∙, ke kter²m je p°istupovßno. Virus neinfikuje soubory, kterΘ jsou otevφrßny programy: PKZIP/PKUNZIP, LHA a ARJ. S vlivem na internφ poΦφtadlo m∙₧e virus naformßtovat disk. Virus obsahuje text: "BACKMODEM" a text "Natas".

Nightfall.4518

NeÜkodn² rezidentnφ polymorfnφ stealth souborov² virus. P°esm∞ruje INT 21h a zapisuje se na konce COM a EXE soubor∙, ke kter²m je p°istupovßno. B∞hem jejich napadßnφ pou₧φvß virus hromadu programov²ch trik∙, urΦen²ch proti antivirov²m technikßm. Virus zobrazuje zprßvu:

      Invisible and silent - circling overland :
                 \\\ N 8 F A L L ///
         Rearranged by Neurobasher - Germany
 -MY-WILL-TO-DESTROY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-

One_Half.3544

NebezpeΦn² rezidentnφ polymorfnφ multipartitnφ virus. Pro svojφ existenci nejprve zaviruje MBR pevnΘho disku. P°i "nata₧enφ" systΘmu s infikovanΘho disku p°esm∞ruje INT 13h, 1Ch, 21h a zapisuje se na konce COM a EXE soubor∙, ke kter²m p°istupujete. P°i infikovßnφ soubor∙ zjiÜ¥uje jejich jmΘna a neinfikuje soubory: SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK.

Dek≤dovacφ smyΦka tohoto viru je rozd∞lena do n∞kolika Φßstφ, kterΘ jsou umφst∞ny na nßhodn²ch offsetech v infikovan²ch souborech.

B∞hem infekce pevnΘho disku virus zkontroluje Partition Table, podφvß se po poslednφ DOS partii - DOS logick² disk (FAT-12/FAT-16/BIGDOS) nebo po rozÜφ°enΘ partii (extended partition) a vypoΦφtß prvnφ a poslednφ Φφsla cylindr∙ disku / rozÜφ°enΘ partie (extended partition).

Ulo₧φ ukazatel na poslednφ cylinder jako offset 29 na MBR pevnΘho disku. P°i ka₧dΘm bootovßnφ z infikovanΘho pevnΘho disku, virus zv²Üφ ukazatel o 2, a zak≤duje dva cylindry. P°i prvnφm bootovßnφ z pevnΘho disku, virus zak≤duje poslednφ dva cylindry, p°i dalÜφm bootovßnφ dalÜφ dva od konce atd.

Kdy₧ dojde k≤dovßnφ disku/partie do poloviny, virus m∙₧e zobrazit (zßvisφ na generaci a na datumu: 4, 8, 10, 14, 18, 20, 24, 28, 30 ka₧dΘho m∞sφce):
Dis is one half.
Press any key to continue...
Po "nata₧enφ" viru do pam∞ti, virus k≤duje / dek≤duje sektory "za letu" a "znφΦenΘ sektory" se jevφ ve svΘ p∙vodnφ podob∞. Po dezinfekci jsou vÜechny zak≤dovanß data ztracena.
Tento virus je pam∞¥ov∞ rezidentnφ, multipartitnφ, tunelujφcφ, stealth a polymorfnφ. Virus po svΘ aktivaci nejprve krokuje p°eruÜenφ 13h a₧ do segmentu MS-DOSu. Pak seápokusφ infikovat tabulku rozd∞lenφ pevnΘho disku (DPT). Pokud seámu to povede, ulo₧φ svΘ t∞lo do poslednφch 7 sektor∙ nultΘ stopy, p∙vodnφ DPT do osmΘho sektoru od konce stopy aáukonΦφ svou Φinnost. Váp°φpad∞, ₧eáseámu infekce pevnΘho disku nezda°φ, stane seáokam₧it∞ rezidentnφm aánapadß soubory typu COM iáEXE delÜφ ne₧ 1000 byt∙. Soubory napadß p°i jejich spuÜt∞nφ, otev°enφ Φi p°ejmenovßnφ, aáto jak na pevnΘm disku tak iána disketßch nebo sφ¥ov²ch discφch. Virus testuje jmΘna soubor∙ aánenapadß soubory SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV aáCHKDSK. Po zavedenφ systΘmu zánapadenΘho pevnΘho disku si virus vyhradφ poslednφ 4 KB pam∞ti RAM, instaluje seádo vyhrazenΘ pam∞ti aástane seárezidentnφm. Nynφ napadß soubory pouze na disketßch Φi na sφ¥ov²ch discφch. NapadenΘ soubory prodlu₧uje o 3544 nebo 3577 byt∙. P°φznakem napadenφ souboru je urΦitß zßvislost mezi datem aáΦasem vzniku souboru. Autor viru One Half seánejspφÜe nechal inspirovat bulharsk²m virem Commander Bomber. Podobn∞ jako vátomto viru, iázde je dek≤dovacφ smyΦka rozprost°ena vádeseti ·secφch nßhodn∞ rozmφst∞n²ch poáp∙vodnφm souboru. JednotlivΘ ·seky jsou navzßjem provßzßny dv∞ma typy skok∙ aájsou dopln∞ny nßhodn²mi jednobytov²mi instrukcemi. Celß tato konstrukce dek≤dovacφ smyΦky mß dvojφ ·Φel. Jednak jsou napadenΘ soubory bez dek≤dovanφ virem vápam∞ti nefunkΦnφ aáb∞₧n²mi metodami zánich nelze virus odstranit, jednak nelze tento virus vyhledßvat pomocφ textovΘho °et∞zce. èkody, kterΘ m∙₧e tento virus napßchat, mohou b²t znaΦnΘ. Poáka₧dΘm zavedenφ systΘmu virus zaxoruje poslednφ dv∞ stopy ka₧dΘho povrchu pevnΘho disku sánßhodn²m Φφslem, kterΘ si vygeneruje p°i instalaci do DPT. ╚φslo poslednφ k≤dovanΘ stopy si uchovßvß ve svΘm zavad∞Φi váDPT. Po zak≤dovßnφ poloviny disku se vázßvislosti na datu m∙₧e zobrazit hlßÜenφ: äDIS IS ONE HALF ... PRESS ANY KEY TO CONTINUE". Virus pak pokraΦuje vák≤dovßnφ. Prvnφ t°etinu disku virus ponechß nezak≤dovanou. One Half pou₧φvß techniky stealth. Pokud je virus vápam∞ti aktivnφ, nenφ xorovßnφ disku ani prodlou₧enφ napaden²ch souboru patrnΘ. Virus m∙₧e b²t záDPT odstran∞n jak programem äFDISK /MBR" (odáverze MS-DOSu 5.0), tak iáprogramem Bguard. NapadenΘ soubory je nejlepÜφ smazat a nahradit ze zßlo₧nφch kopii. P°ed odstran∞nφm viru zádisku, doporuΦujeme zazßlohovat d∙le₧itß data, jeÜt∞ pokud je virus aktivnφ vápam∞ti. Jinak se toti₧ m∙₧e stßt ₧eábudou umφst∞ny váji₧ zak≤dovanΘ Φßsti disku aáodstran∞nφm viru záDPT o n∞ nenßvratn∞ p°ijdete.

Zdroj: AVAST32 - manußl

Parity_Boot.B

NebezpeΦn² rezidentnφ boot virus. P°esm∞ruje INT 9, 13h a infikuje boot sektor diskety a MBR pevnΘho disku p°i bootovßnφ z infikovanΘ diskety. Pomocφ INT 9 (klßvesnice) tento virus p°esm∞ruje tepl² restart (Ctrl-Alt-Del) a volß INT 19h (restart). N∞kdy virus dek≤duje a zobrazφ zprßvu: "PARITY CHECK" a zablokuje poΦφtaΦ.

Pieck.4444.A

NeÜkodn² rezidentnφ polymorfnφ, stealth multipartitnφ virus. Trasuje a p°esm∞ruje INT 13h, 21h a zapisuje se do MBR pevnΘho disku a do EXE soubor∙ na disket∞ s kter²mi je manipulovßno. P°i p°φstupu k zavirovanΘmu souboru na pevnΘm disku ho virus dezinfikuje.

B∞hem instalace do pam∞ti z pevnΘho disku virus p°esm∞ruje INT 12h, 1Ch. P°i "nahrßnφ" DOSu, "usekne" Φßst systΘmovΘ pam∞ti, p°esm∞ruje INT 13h, 21h a upravφ 12h, 1Ch.

Virus je k≤dovßn v pam∞ti stejn∞ jako v souboru. Virus v₧dy dek≤duje pouze tu Φßst svΘho t∞la (v pam∞ti), kterou pot°ebuje.

Pokud je p°i startu poΦφtaΦe v bufru klßvesnice ulo₧ena sekvence "kaczor", virus sßm sebe odstranφ s MBR a zobrazφ:
Zrobione.
Pokud je p°i startu poΦφtaΦe v bufru klßvesnice ulo₧ena sekvence "test", virus zobrazφ zprßvu:
Wersja..........
Kodowanie.......
Licznik HD......
Na konce °ßdk∙ pak virus doplnφ odpovφdajφcφ ·daje.

3.b°ezna virus p°esm∞ruje INT 8 (ΦasovaΦ) a t°ese obrazem.

Velmi se m∞ lφbila informace v programu AVG o t°esenφ obrazovky:
...podobnΘho efektu lze docφlit konzumacφ nadm∞rnΘho mno₧stvφ alkoholu...

Ripper

NebezpeΦn² rezidentnφ boot virus. P°i bootovßnφ s infikovanΘ diskety infikuje MBR pevnΘho disku, pak p°esm∞ruje INT 13h a z∙stane rezidentnφ. Nakonec infikuje diskety s kter²mi se pracuje. N∞kdy m∞nφ byty v sektorech, kterΘ jsou prßv∞ uklßdßny na disk.

Virus obsahuje text:
FUCK 'EM UP !
(C)1992 Jack Ripper
Tento boot virus seápo svΘ aktivaci instaluje pod hranici 640 KB operaΦnφ pam∞ti, zmenÜφ zb²vajφcφ velikost volnΘ pam∞ti o 2 KB, p°esm∞ruje vektor p°eruÜenφ 13h aáotestuje, zda je ji₧ napaden pevn² disk poΦφtaΦe. Pokud ne, virus provede zßpis svΘho k≤du do tabulky rozd∞lenφ disku (DPT). Svou druhou Φßst ulo₧φ do sektoru 8, hlava 0, stopa 0. Originßlnφ DPT je umφst∞na vásektoru 9, hlava 0, stopa 0. Virus pak zavede do pam∞ti originßlnφ DPT sektor a p°edß mu °φzenφ. Virus sleduje p°i zßpisu Φi Φtenφ diskety, zda je ji₧ napadena. Pokud nenφ, tak seázapφÜe do jejφho boot sektoru aádo p°edposlednφho sektoru v zßkladnφm adresß°i. Do nßsledujφcφho sektoru ulo₧φ p∙vodnφ boot sektor. Ka₧dß operace sánechrßn∞nou disketou tak vede kájejφmu napadenφ a dalÜφmu Üφ°enφ viru. Jack Ripper pou₧φvß techniky stealth. Pokud je virus aktivnφ, monitoruje po₧adavky na Φtenφ aázßpis sektoru. P°i pokusu Φφst DPT p°edlo₧φ originßlnφ DPT, p°i pokusu o zßpis DPT seáoperace neprovede. P°i Φtenφ sektor∙ 8 nebo 9 seáp°eΦtou samΘ nuly. Virus vásob∞ obsahuje znakov² °et∞zec (C) 1992 Jack Ripper. Tento °et∞zec je jak na pevnΘm disku, tak iána disketßch k≤dovßn. èkodlivß Φinnost tohoto viru je velmi zßke°nß. Virus p°i zßpisu sektoru prohodφ sápravd∞podobnostφ asi 1:1024 dv∞ nßhodn∞ vybranß slova vázapisovanΘm sektoru. Proto₧e seánejΦast∞ji zapisujφ data, m∙₧e to vΘst káhromad∞nφ nevysv∞tliteln²ch chyb. Virus m∙₧e b²t odstran∞n standardnφm systΘmov²m programem äFDISK/MBR" (od verze MS-DOSu 5.0).

Zdroj: AVAST32 - manußl

Sampo

NeÜkodn² rezidentnφ boot virus. P°esm∞ruje INT 9, 13h a zapisuje se do MBR pevnΘho disku a do boot sektoru diskety. Sleduje stisk klßves Ctrl-Alt-Del a emuluje tepl² start poΦφtaΦe, p°iΦem₧ z∙stane rezidentnφ v pam∞ti. V n∞kter²ch p°φpadech vypouÜtφ boot virus "Telefonica.3700" (Kampana.A). 30.11 p°esm∞ruje INT 8 a zobrazφ zprßvu:
+--------------------------+
|        S A M P O         |
|       "Project X"        |
| Copyright (c)1991 by the |
| SAMPO X-Team. All rights |
| reserved.                |
|  University Of The East  |
|          Manila          |
+--------------------------+

Tai-Pan.438.A

Rezidentnφ souborov² virus. P°esm∞ruje INT 21h a zapisuje se na konce EXE soubor∙, kterΘ jsou spouÜt∞ny.

Virus obsahuje text:
[Whisper presenterar Tai-Pan]

TMC_Level-69

Rezidentnφ souborov² virus ΦßsteΦn∞ k≤dovan². P°esm∞ruje INT 21h a zapisuje se na konce COM a EXE soubor∙, ke kter²m je p°istupovßno. Virus infikuje pouze soubory na disket∞. Virus kontroluje nßzvy soubor∙ a neinfikuje soubory: NO*.*, WE*.*, TB*.*, AV*.*, F-*.*, SC*.*, CL*.*, CO*.*, WI*.*, KR*.*.

Virus pou₧φvß polymorfnφ generßtor (polymorphic engine). P°i ka₧dΘm infikovßnφ pam∞ti p°ehodφ virus nßhodn∞ jednotlivΘ Φßsti svΘho k≤du a vklßdß i nßhodnΘ data. Vzhled viru v pam∞ti je pak podobn² i v souboru. P°i prvnφm spuÜt∞nφ je tedy vzhled t∞la viru konstantnφ, a m∞nφ se a₧ p°i dalÜφm restartu poΦφtaΦe...

Virus obsahuje text:
■ TMC 1.0 by Ender ■
Welcome to the Tiny Mutation Compiler!
Dis is level 6*9.
Greetings to virus makers: Dark Avenger, Vyvojar, SVL, Hell Angel
Personal greetings: K. K., Dark Punisher

Pojer.1919

Rodina vir∙ ΦeskΘho p∙vodu. Napadajφ spouÜt∞nΘ COM a EXE soubory. Vlastnφ t∞lo viru je jednoduch²m zp∙sobem zak≤dovßno a dek≤dovacφ smyΦka obsahuje prom∞nnΘ Φßsti.
T∞sn∞ p°ed koncem viru je nezak≤dovan² text "XmY?!&", podle kterΘho Pojer poznß, ₧e soubor u₧ byl napaden.

17.11. a 6.2. napφÜe:
    **  B R A I N  2  v1.40  **

  WARNING ! Your PC has been WANKed !

  >> 17.11.1989 <<

  Viruses against political extremes , for freedom
  and parliamentary democracy.

  >> STOP LENINISM , STOP KLAUSISM , STOP BLOODY DOGMATIC IDEOLOGY !! <<

  Remarks:
   - for John McAfee: John,your SCAN = good program.

   - for CN and his company:
     Boys,the best ANTI-VIRUSES are Zeryk,Saryk and Vorisek !

   - for F : Girls are better than computers and programming !

  This program is copyright by  SB SOFTWARE  All rights reserved.

  O.K. Your PC is now ready !

ObΦas blikß v levΘm hornφm rohu obrazovky znakem '_'.

Zdroj: AVG 5.0 - info o virech

Pojer.4028

Rezidentnφ, polymorfnφ a stealth virus p°ipojujφcφ se na konce COM, EXE soubor∙ p°i jejich spouÜt∞nφ. B∞hem otevφrßnφ nebo vytvß°enφ souboru si virus ulo₧φ hlaviΦku souboru, a infikuje ho a₧ p°i jeho zavφrßnφ. B∞hem otevφrßnφ infikovanΘho souboru dochßzφ k jeho dezinfekci. Virus kontroluje nßzvy soubor∙ a neinfikuje soubory:
ASTA.EXE F-PROT.EXE DEFRAG.EXE NDD.EXE CPAV.EXE MSAV.EXE SCANDISK.EXE
CHKDSK.EXE VSAFE.COM UCOM.COM UEXE.EXE GUARD.EXE GUARD.COM TNTVIRUS.EXE
CLEAN.EXE SCAN.EXE VSHIELD.EXE VSHIELD1.EXE NETSCAN.EXE IBMBIO.COM
IBMDOS.COM CHKAVAST.COM STROJ_F.EXE STROJ_P.EXE STROJ_S.EXE KRNL286.EXE
KRNL386.EXE
17 listopadu a 6 ·nora zobrazφ virus zprßvu:
  ** BRAIN2 v2.00beta - upgrade from POJER **
 BETA tester, thank you,
 .. have a nice day in cyberspace ...
 This crazy program is (c) 12/93 by SB
V lich²m dnech ledna, listopadu a zß°φ p°esm∞ruje INT 1Ch a postarß se tak, aby v levΘm hornφm rohu blikal znak "_".

Virus taky obsahuje text:
Kernel1.41

Tremor.4000

NeÜkodn² rezidentnφ polymorfnφ a stealth souborov² virus. NapadenΘ soubory prodlu₧uje o 4000 byt∙. P°esm∞ruje INT 1, 15h, 21h a z∙stßvß pam∞¥ov∞ rezidentnφ. Pokud je nedostatek hornφ pam∞ti (Upper Memory), tak se virus ulo₧φ do UMB. Pokud ne, ulo₧φ se na vrchol zßkladnφ pam∞ti (conventional memory). B∞hem instalace do pam∞ti virus trasuje vektory a kontroluje pam∞t p°ed n∞kter²mi rezidentnφmi antivirov²mi programy.

Pomocφ p°esm∞rovßnφ INT 1 trasuje vektory p°eruÜenφ. Pro vypsßnφ zprßvy pou₧φvß INT 15h:
-=> T∙R∙E∙M∙O∙R was done by NEUROBASHER / May-June'92, Germany <=-
           -MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
N∞kdy virus klepe obrazovkou. INT 21h p°esm∞ruje pro pou₧φvßnφ stealth technik a pro napadßnφ soubor∙. Virus se zapisuje na konce COM a EXE soubor∙, ke kter²m je p°istupovßno.
Tremor je polymorfnφ virus, kter² napadß programy typu COM (oádΘlce 8192 a₧ 55039 byt∙) aáEXE (o dΘlce 8192 a₧ 1048576 byt∙) aáje pam∞¥ov∞ rezidentnφ. P°i spuÜt∞nφ napadenΘho programu seávirus nejprve dek≤duje, aápak testuje aktußlnφ datum. Pokud od data napadenφ dosud neuplynuly alespo≥ 3 m∞sφce, p°φpadn∞ je soubor vájinΘm adresß°i ne₧ byl napaden, virus modifikuje vlastnφ k≤d aáneprojevuje seá₧ßdn²mi zvukov²mi ani obrazov²mi efekty. Dßle virus testuje svou p°φtomnost váoperaΦnφ pam∞ti pomocφ p°eruÜenφ 21h funkce 0F1E9h. Pokud je virus ji₧ vápam∞ti aktivnφ, nebo je verze MS-DOSu menÜφ ne₧ 3.30 je °φzenφ p°edßno napadenΘmu programu. Váp°φpad∞, ₧eávirus dosud vápam∞ti nenφ, instaluje seádo pam∞ti XMS nebo do UMB. Pokud seánepovede ani jedna zát∞chto variant, instaluje seána vrchol zßkladnφ operaΦnφ pam∞ti. P°itom si vápam∞ti alokuje 4288 byt∙. Virus pomocφ p°eruÜenφ 01h testuje jednak mo₧nou p°φtomnost debugger∙, jednak si zjistφ adresu p°eruÜenφ 21h, kterou pak pou₧φvß káp°φmΘmu volßnφ jßdra systΘmu. Adresy p°eruÜenφ 21h aá15h p°esm∞ruje doánepou₧itΘ oblasti MCB hostitelskΘho programu aáodtud pak skßΦe p°φmo doásvΘ rezidentnφ Φßsti. Infikuje program specifikovan² prom∞nnou äCOMSPEC", nejΦast∞ji COMMAND.COM aáspustφ p∙vodnφ program. Tremor pou₧φvß techniky stealth. Pokud je virus aktivnφ, monitoruje Φinnost systΘmu aáinformace, kterΘ by mohli vΘsti kájeho odhalenφ, p°edßvß systΘmu veázkreslenΘ form∞. Nap°φklad p°i dotazu na dΘlku souboru p°edß p∙vodnφ dΘlku napaden²ch soubor∙ atd. P°i spuÜt∞nφ programu, virus testuje, zda jmΘno souboru nezaΦφnß äCH",äME", äMI", äF2", äF-", äSY", äSI" aáäPM". Pokud ano, provede zm∞ny váalokaci pam∞ti, tak₧e nap°φklad program CHKDSK vracφ jakoby sprßvnΘ hodnoty velikosti volnΘ pam∞ti. Virus nenapadß programy zaΦφnajφcφ znaky äSC", äCL" nebo äHB". Virus takΘ testuje, zda druh² aát°etφ znak jmΘna programu je äRJ". VátakovΘm p°φpad∞ zaΦne dßvat systΘmu pravdivΘ informace o souborech. Znamenß to, ₧eáarchivy ARJ budou obsahovat virus, kde₧to nap°φklad váZIPech virus nebude. Podobn∞ kopie zdravΘho iánapadenΘho souboru vytvo°enΘ pomocφ systΘmovΘho COPY virus neobsahujφ, zatφmco ob∞ kopie ud∞lanΘ pomocφ Nortona jsou infikovßny. Zjistφ-li virus p°φtomnost antivirovΘho programu FLU-SHOT+, soubor nenapadne aáp°estane seájakkoliv projevovat. Tremor takΘ testuje p°φtomnost antivirovΘho programu VSAFE záMS-DOSu 6.00. Pomocφ specißlnφch funkcφ p°eruÜenφ 13h umφ virus uvΘst VSAFE do neaktivnφho stavu aápo napadenφ souboru zase zaktivovat.
Virus otev°e soubor aáp°eΦte si poslednφch dvacet byt∙. Vcelku jednoduÜe je dek≤duje aápokud obsahujφ slovo äDEAD" aádatum souboru je zv∞tÜenΘ o 100 let p°edpoklßdß, ₧eáje soubor ji₧ napaden. VáopaΦnΘm p°φpad∞ virus p°ihraje svou zak≤dovanou kopii na konec napadenΘho programu, p°esm∞ruje poΦßteΦnφ skok nebo zm∞nφ hodnotu váhlaviΦce EXE souboru aáspustφ p∙vodnφ program. NapadenΘ soubory prodlu₧uje o 4000 byt∙, datum napaden²ch souboru zv∞tÜuje o 100 let. P°i volßnφ p°eruÜenφ 15h vypisuje uvedenou zprßvu. P°i volßnφ p°eruÜenφ 21h posouvß celou obrazovku doleva aádoprava o jeden znak.
-=> T╖R╖E╖M╖O╖R was done by NEUROBASHER / May-June'92, Germany <=-
           -MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
Virus m∙₧e b²t odstran∞n bu∩ zruÜenφm napaden²ch soubor∙ aájejich nahrazenφm záoriginßlnφch disket, nebo pomocφ programu proátestovßnφ integrity soubor∙ (pokud jej ovÜem pravideln∞ pou₧φvßte).

Zdroj: AVAST32 - manußl

V-Sign

NeÜkodn² rezidentnφ ΦßsteΦn∞ polymorfnφ boot virus. P°esm∞ruje INT 13h a zapisuje se do boot sektoru diskety a MBR pevnΘho disku. Virus vklßdß kolem 40 byt∙ instalßtoru do sektoru b∞hem jeho infekce.

Virus dokß₧e dezinfikovat disk a pam∞t od viru Stoned.

P°i ka₧dΘ 64 infekci virus zobrazφ velkΘ pφsmeno V a zablokuje poΦφtaΦ.
Tento boot virus se podle svΘ manipulaΦnφ rutiny naz²vß V-Sign aámß n∞kolik zajφmav²ch vlastnostφ. Virus zabφrß dva sektory naádisku aáneuchovßvß p∙vodnφ sektor. Do n∞ho toti₧ zapisuje jen sv∙j vlastnφ krßtk² inicializaΦnφ program, kter² po aktivaci p°epφÜe vápam∞ti p∙vodnφm obsahem. Navφc virus obsahuje (jako jeden zámßla boot vir∙) lehce polymorfnφ rysy. Cyklicky toti₧ p°ehazuje n∞kterΘ instrukce loaderu tak, ₧e majφ poka₧dΘ jinΘ po°adφ. P°i zavedenφ systΘmu záinfikovanΘho mΘdia loader viru nejprve naΦte dva sektory sát∞lem viru doápam∞ti, alokuje si 2áKB pam∞ti t∞sn∞ pod hranicφ 640 KB aázkopφruje se do nφ. Modifikuje vektor p°eruÜenφ 13h (prßce s diskem), obnovφ p∙vodnφ obsah zavßd∞cφho sektoru aáp°edß mu °φzenφ. Virus pak monitoruje p°eruÜenφ 13h aáp°i operacφch Φtenφ aázßpis jeáschopen se Üφ°it. Pokud je naápevnΘm disku Φten libovoln² sektor na stop∞ 0, hlav∞ 0, je p°i nßsledujφcφ operaci testovßna p°φtomnost viru na disku. U disket virus testuje prvnφ byte tabulky FAT aápodle n∞j rozpoznßvß typ diskety, co₧ pot°ebuje pro urΦenφ pozice, na kterou ulo₧φ sßm sebe. Virus V-Sign mß jeÜt∞ jednu pozoruhodnou vlastnost. P°i svΘ instalaci do pam∞ti toti₧ testuje p°φtomnost boot viru Stoned vápam∞ti aádokß₧e si zán∞ho vzφt p∙vodnφ hodnotu p°eruÜenφ 13h aáp°epsat jej vápam∞ti. Navφc, pokud zjistφ, ₧e dan² disk je jφm sam²m ji₧ napaden, zkouÜφ napadnout iásektor, do kterΘho virus Stoned uklßdß p∙vodnφ zavßd∞cφ sektor. Je tak mo₧nΘ, ₧e odstran∞nφm viru Stoned n∞kter²mi antivirov²mi programy dojde kánßslednΘ reinfekci virem V-Sign. Váoblasti vir∙ sice odstran∞nφ jednoho viru druh²m nenφ novinkou, ale metoda viru V-Sign je dost unikßtnφ. ManipulaΦnφ rutina viru spoΦφvß v tom, ₧e na obrazovce je vypsßno velikΘ pφsmeno V, slo₧enΘ zeásemigrafick²ch znak∙. V²pis je zpo₧∩ovßn, tak₧e se cel² obrßzek objevuje postupn∞. PotΘ jeáprogram zacyklen tak, ₧e nem∙₧e pokraΦovat aáje nutno znovu poΦφtaΦ spustit. ManipulaΦnφ rutina nastane velmi z°φdka, aásice pouze tehdy, je-li ·sp∞Ün∞ napadeno 64 disket. Proto₧e je vÜak ΦφtaΦ vynulovßn p°i ka₧dΘ instalaci viru do pam∞ti, musφ se jednat o napadenφ várßmci jednoho sezenφ, co₧ asi nebude p°φliÜ obvyklΘ. Podobnß situace snad m∙₧e nastat pouze p°i velkoobjemovΘm formßtovßnφ Φi p°i zßlohovßnφ velk²ch disk∙ na diskety.

Zdroj: AVAST32 - manußl

WelcomB

Rezidentnφ boot virus. P°esm∞ruje INT 13h a infikuje MBR pevnΘho disku a boot sektor diskety.

Virus obsahuje text:
Welcome to BUPT 9146,Beijing!

Stoned.Angelina

???

Stoned.No_INT.A

Stealth varinta boot viru Stoned. Stejn∞ jako Stoned infikuje boot sektor diskety a MBR pevnΘho disku. P∙vodnφ MBR p°i infekci odklßdß na 0,0,7 (strana,cylindr,sektor). Na disketßch DD 5.25" odklßdß boot sektor na sektor 11. Na HD 5.25" disketßch pak na sektor 17. V obou p°φdech se jednß o sektory hlavnφho adresß°e, tak₧e m∙₧ou b²t znφΦeny n∞jakΘ soubory.

Stoned.Spirit

Jednoduch² virus napadajφcφ boot sektor disket a MBR pevnΘho disku. Neobsahuje ₧ßdnou destrukΦnφ akci. Pokud je aktivnφ v pam∞ti, hlφdß p°φstupy do boot sektoru a MBR a p°φpadnΘ pa₧adavky na Φtenφ Φi zßpis p°esm∞ruje na p∙vodnφ neinfikovan² sektor.
Za zmφnku stojφ zp∙sob, jak²m si uklßdß obsah p∙vodnφho boot sektoru na disket∞. Mφsto vyu₧itφ n∞kterΘho ze stßvajφcφch sektor∙, jak je b∞₧nΘ u v∞tÜiny boot vir∙, si Spirit na napadenΘ disket∞ naformßtuje na ·plnΘm konci jednu nadbyteΦnou stopu (u typickΘ diskety 1.44 MB to je 81.stopa), do kterΘ ulo₧φ p∙vodnφ data boot sektoru.
V t∞le viru lze nalΘzt text:
SPIRIT (c) MW

Zdroj: AVG 5.0 - info o virech

Stoned.Standard.B

???

Emperor

Velice nebezbeΦn² pam∞¥ov∞ rezidentnφ polymorfnφ a multipartitnφ virus. Je dlouh² 5826 byt∙. Infikuje COM a EXE soubory pro DOS, p°iΦem₧ se zapisuje na jejich konce. Krom∞ toho infikuje MBR pevnΘho disku a boot sektor disket. Virus vyu₧φvß stealth funkce a dokß₧e obejφt antivirovou ochranu BIOSu.

Virus mß chyby a v n∞kter²ch p°φpadech m∙₧ou b²t soubory p°i infekci naruÜeny. P°i spuÜt∞nφ pak zablokujφ poΦφtaΦ.

B∞hem infekce MBR virus vyu₧φvß n∞kolik trik∙, kter²mi dokß₧e obejφt antivirovou ochranu BIOSu. Pokud zjistφ, ₧e je zapnuta (z CMOS), posφlß p°ed napadenφm MBR do bufferu klßvesnice znak "Y", kter²m se sna₧φ potvrdit zprßvu o povolenφ infekce MBR.

Virus uklßdß p∙vodnφ MBR a boot sektor na vyhrazenΘ sektory na disku, ale zak≤duje je a naruÜφ. Tyto data pak pracujφ korektn∞ pouze v p°φpad∞, ₧e virus je aktivnφ v operaΦnφ pam∞ti (virus toti₧ po svΘm zavedenφ do pam∞ti p°edßvß zp∞t °φzenφ p∙vodnφmu MBR Φi boot sektoru). Virus taky pozm∞nφ Partition tabulku tak, ₧e nenφ mo₧nΘ systΘm nahrßt z ΦistΘ systΘmovΘ diskety (disk je nep°φstupn² ?).

B∞hem infekce MBR nebo boot sektoru (v p°φpad∞ diskety) v nich virus hledß n∞jakΘ specifickΘ sekvence, a pokud je najde, vyma₧e CMOS pam∞¥ a tφm zablokuje poΦφtaΦ (ten hlßsφ "Error in CMOS").

Virus vÜak provßdφ i daleko horÜφ operaci. Podobn∞ jako virus CIH (╚ernobyl) p°episuje Flash BIOS p°iΦem₧ ma₧e i data z pevnΘho disku. Ve stejn² Φas zobrazuje zprßvu:
  EMPEROR
        I will grind my hatred upon the loved ones.
 Despair will be brought upon the hoping childs of happiness.
 Wherever there is joy the hordes of the eclipse will pollute
       sadness and hate under the reign of fear.
         In the name of the almighty Emperor....

Tato operace se provede, pokud virus v pam∞ti najde aktivnφ debugger, nebo pokud je systΘm restartovßn mezi 5 a 10 hodinou dopoledne. Dφky chyb∞ ve viru se vÜak tato operace m∙₧e provΘst skoro kdykoliv.

Virus taky obsahuje text:
he EMPEROR virus
written by Lucrezia Borgia
In Colombia, 1999

Win95/Ska.A

Tento virus urΦen² pro Windows se Üφ°φ elektronickou poÜtou jako soubor HAPPY99.EXE o velikosti 10000 byte.

V t∞le viru je viditeln² text:
  begin 644 Happy99.exe
  `
  end

  Happy New Year 1999 !!
Navφc obsahuje zak≤dovanΘ texty:
  Is it a virus, a worm, a trojan?
  MOUT-MOUT Hybrid (c) Spanska 1999.

  \wsock32.dll
  \Ska.dll
  \Ska.exe

  Software\Microsoft\Windows\CurrentVersion\RunOnce
Po spuÜt∞nφ se zkopφruje do systΘmovΘho adresß°e Windows (nejΦast∞ji WINDOWS\SYSTEM)jako SKA.EXE. V tomto adresß°i takΘ vytvo°φ soubor SKA.DLL o velikosti 8192 byte. Obsah tohoto souboru si virus nese v zak≤dovanΘ a ΦßsteΦn∞ komprimovanΘ podob∞ ve vlastnφm t∞le. Virus modifikuje knihovnu WSOCK32.DLL tak, aby p°i volßnφ slu₧eb CONNECT a SEND byl aktivovßn k≤d virovΘ knihovny SKA.DLL, kter² p°ipojφ k odesφlanΘmu souboru jako attach vlastnφ virus. Napaden² soubor WSOCK32.DLL mß nezm∞n∞nou dΘlku, proto₧e virus vyu₧φvß prßzdnß mφsta ve struktu°e soubor∙ PE-EXE. Pokud volnΘ mφsto v sekci .text nenφ alespo≥ 202 byte, knihovna nebude infikovßna a virus se nebude Üφ°it. Napaden² soubor WSOCK32.DLL mß nastaven² niÜ₧φ byte CRC v EXE headeru na hodnotu 7Ah. P∙vodnφ obsah tohoto souboru je zkopφrovßn do souboru WSOCK32.SKA.

V p°φpad∞, ₧e je v okam₧iku aktivace viru knihovna WSOCK32.DLL pou₧φvßna systΘmem a nenφ p°φstupnß pro zßpis, naplßnuje virus svΘ spuÜt∞nφ p°i dalÜφm staru Windows tak, ₧e v registry zapφÜe jmΘno SKA.EXE do klφΦe
Software\Microsoft\Windows\CurrentVersion\RunOnce

Po napadenφ systΘmu virus zobrazφ okno, ve kterΘm vßs pot∞Üφ skromn∞ vyveden²m oh≥ostrojem.

Zdroj: AVG 5.0 - info o virech

Win95/Anxiety (.1358,.1823)

NebezpeΦn² rezidentnφ virus (jako VxD ovladaΦ). Infikuje NewExe PE soubory (Windows 95). Kdy₧ je infikovan² soubor spuÜt∞n, virus zjistφ mφsto v kernelu (v VMM ovladaΦi), a sßm sebe tam zkopφruje. Pak p°esm∞ruje IFS API. Kdy₧ jsou NewEXE soubory otev°eny, virus je infikuje. B∞hem infekce virus sßm sebe p°ipojφ na konec souboru a modifikuje hlaviΦku, tak aby p°evzal virus kontrolu nad souborem jako prvnφ (pokud je spuÜt∞n). Ve viru je umφst∞na °ada text∙:

Varianta Win95/Anxiety.1358:
Anxiety.Poppy.95 by VicodinES
Varianta Win95/Anxiety.1823
Anxiety.Poppy.II by VicodinES
 ...feel the pain, mine not yours!

 all alone and I don't understand
 a cry for help and no one answers
 will I last for more than a week
 will I taste the gunpowder
 can I end it all and make it easy
 is it sick to ask | is it safe to cry
 will I be gone soon
 will I last
 will you care
 will I?
 --
 if you don't hear from me in a while -
 say a prayer for me because I have left, never to return.
 --
 peaceful goodnight, hopefully...
 Vic
 --

WM/Concept.A

Je to prvnφ makrovirus (WinWord), kter² se objevil v seznamu "in the wild". Virus obsahuje 5 maker: AAAZAO, AAAZFS, AutoOpen, PayLoad, FileSaveAs. Infikuje soubory p°i jejich uklßdßnφ (FileSaveAs).

V infikovanΘm dokumentu jsou texty:

see if we're already installed
iWW6IInstance
AAAZFS
AAAZAO
That's enough to prove my point
a dalÜφ. Souboru WINWORD6.INI (na infikovanΘm poΦφtaΦi) pak obsahuje:
WW6I=1
P°i prvnφm spuÜt∞nφ viru (p°i prvnφm otev°enφ infikovanΘho souboru) se objevφ v tabulce (MessageBox) s Φφslicφ "1" a tlaΦφtkem OK.

W97M/Nottice.D

Makrovirus, obsahujφcφ dv∞ makra: AutoOpen, WININIT. Virus infikuje dokumenty p°i otvφrßnφ. 13.prosince vytvo°φ nov² dokument a vlo₧φ do n∞j zprßvu:
IMPORTAT NOTTICE!
HANSSI A. A. IS MARRIED WITH A LOSSER.

W97M/Ethan.A

Makrovirus infikujφcφ dokumenty Wordu 97 a Üablonu NORMAL.DOT. Obsahuje pouze jedno makro "Document_Close()" v modulu "ThisDocument" (jednß se tedy o virus °ady Class). Makrovirus infikuje dokumenty p°i jejich uzavφrßnφ.

P°i infekci vypφnß makrovirus antivirovou ochranu Wordu a nastavφ automatickΘ uklßdßnφ zm∞n do globßlnφ Üablony (NORMAL.DOT).

Makrovirus hledß soubor ETHAN.___ v hlavnφm adresß°i na disku C:. Pokud tam nenφ, vytvo°φ ho a nakopφruje do n∞j svoje t∞lo (makro). Pokud infikovan² soubor obsahuje dalÜφ makra, nakopφruje je do n∞j taky. Virus pou₧φvß tento soubor k infekci dalÜφch dokument∙ (ulo₧enß makra jsou p°ekopφrovßny do prßv∞ infikovanΘho dokumentu).

Virus nastavuje souboru ETHAN.___ atributy System a Hidden. Virus taky hledß soubor C:\CLASS.SYS (vytvß°φ ho makrovirus W97M/Class.A) a ma₧e ho.

V zßvislosti na generßtoru nßhodn²ch Φφsel virus m∞nφ informace o infikovanΘm dokumentu: nastavuje jeho nßzev na "Ethan Frome", autora na "EW/LN/CB" a popis na "Ethan".

WM/CAP.A

K≤dovan² a neviditeln² makro virus. Obsahuje 10 maker:
CAP		- infekΦnφ rutina
AutoExec	- volß infekΦnφ rutinu
AutoOpen	- volß infekΦnφ rutinu
FileOpen	- volß infekΦnφ rutinu
FileSave	- volß infekΦnφ rutinu
AutoClose	- volß infekΦnφ rutinu
FileClose	- volß infekΦnφ rutinu
FileSaveAs	- volß infekΦnφ rutinu
ToolsMacro	- zakr²vß vÜechny makra - stealth rutina
FileTemplates	- zakr²vß vÜechny makra - stealth rutina
Virus napodobuje funkci FileSaveAs p°i uklßdßnφ dokument∙ - zapisuje pouze prßzdnΘ dokumenty.

Virus obsahuje text:
C.A.P: Un virus social.. y ahora digital..
"j4cKy Qw3rTy" (jqw3rty@hotmail.com).
Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !
Tento virus je zajφmav² jak svou stavbou, tak ·pornou snahou Üφ°it se za vÜech okolnostφ a v ka₧dΘm prost°edφ.

Samotn² virus je tvo°en v podstat∞ jedin²m, pom∞rn∞ rozsßhl²m a komplikovan²m makrem, pojmenovan²m CAP (odtud tedy pochßzφ i jmΘno viru). Ostatnφ makra, kterß s sebou virus nosφ, majφ t∞lo bu∩ prßzdnΘ nebo obsahujφ pouze volßnφ funkce z makra CAP.

Virus nejΦast∞ji doprovßzejφ tato modifikovanß makra:
  AutoExec, AutoOpen, AutoClose,FileSave, FileSaveAs,
  FileOpen, FileClose, FileTemplates, ToolsMacro.
Krom∞ toho virus prohledß menu prßv∞ infikovanΘho Wordu a v p°φpad∞ pot°eby (t.j. v p°φpad∞, ₧e vßÜ Word pou₧φvß lokalizovanΘ nßzvy vybran²ch polo₧ek) vytvo°φ dalÜφ makra odpovφdajφcφ t∞mto polo₧kßm. VÜechna virovß makra s vyjφmkou ToolsMacro jsou zakryptovßna a jejich komentß° zaΦφnß znaky F%.

Ke ztφ₧enφ vlastnφho odhalenφ vyu₧φvß CAP vynikajφcφ mo₧nosti modifikovat samotn² Word. Dφky tomu nenφ pro virus obtφ₧nΘ odstranit z menu Nßstroje (Tools) polo₧ky Makro (Macro) a Vlastnφ (Customize). Polo₧ka èablony (Templates) v menu Soubor (File) z∙stßvß, ale je nefunkΦnφ dφky jejφmu p°i°azenφ k prßzdnΘmu makru.

Pom∞rn∞ znaΦnou pΘΦi v∞noval autor takΘ aktivnφ podpo°e Üφ°enφ svΘho dφla. Virus obsahuje p°φkaz, kter² nastavφ (pochopiteln∞ bez vaÜeho v∞domφ) automatickΘ uklßdßnφ dokument∙ ka₧d²ch 10 minut.

Virus je dokonce schopen Üφ°enφ i v p°φpad∞, ₧e pou₧φvßte k p°enosu dokument∙ formßt .RTF (Reach Text Format), kter² nenφ schopen nΘst makra. Funkce ulo₧enφ souboru je toti₧ modifikovßna tak, aby i soubory, kterΘ uklßdßte jako RTF m∞ly internφ strukturu Üablony a mohly tedy obsahovat makra.

CAP neobsahuje ₧ßdnΘ viditelnΘ projevy ani ·myslnou Ükodlivou Φinnost, pomineme-li, ₧e z ka₧dΘho infikovanΘho dokumentu odstranφ vÜechna makra, kterß tam byla p°ed jeho nßstupem.

Virus pochßzφ z Venezuely, co₧ lze usoudit z komentß°e obsa₧enΘho v hlavnφ funkci makra CAP:
  C.A.P: Un virus social.. y ahora digital..
  "j4cKy Qw3rTy" (jqw3rty@hotmail.com).
  Venezuela, Maracay, Dic 1996.
  P.D. Que haces gochito ?
  Nunca seras Simon Bolivar.. Bolsa !

Zdroj: AVG 5.0 - info o virech

WM/Wazzu.C

Tento makrovirus obsahuje jenom jedno makro AutoOpen. Infikuje Word dokumenty p°i jejich otevφrßnφ a kopφruje svoje makra do globßlnφ Üablony (NORMAL.DOT), kdy₧ je otev°en infikovan² dokument. Virus nenφ k≤dovßn a m∙₧e b²t snadno dektekovßn p°i hledßnφ textu:
RndWorddo
wazzu do
RndWorddRgV
Po infekci dokumentu, virus vezme nßhodn∞ vybranΘ slovo z dokumentu a umφstφ ho na op∞t nßhodn∞ zvolenou pozici. Toto virus opakuje maximßln∞ 3x v zßvislosti na poΦφtadle. N∞kdy taky vklßdß do dokumentu na nßhodnΘ mφsto °etezec "wazzu" (op∞t v zßvislosti na poΦφtadle).

Virus obsahuje t°i podprogramy v jeho makru:
MAIN 		- hlavnφ rutina, kterß p°evezme kontrolu p°i spuÜt∞nφ AutoOpen makra.
Payload		- tato rutina je volanß hlavnφ rutinou, vym∞≥uje slova a vklßdß °etezec "wazzu".
RndWord		- tato rutina je volßna rutinou Payload. Nastavuje nßhodn∞ vybranou pozici v dokumentu.
Slova zam∞≥uje s pravd∞podobnostφ 1:5 a slovo "wazzu" vklßdß s pravd∞podobnostφ 1:4.
TaktΘ₧ obsahuje text:
< - - - - - - here 's the payload

Zajφmavostφ je, ₧e se tento virus objevil p°φmo na WWW strßnkßch firmy Microsoft (!!!) a tak vzniklo ohromnΘ mno₧stvφ variant.

WM/Npad.A

K≤dovan² makrovirus. Obsahuje pouze jedno makro AutoOpen i infikuje globßlnφ Üablonu / dokumenty p°i otevφrßnφ infikovan²m souborem / dokumentem.

Virus vytvß°φ poΦφtadlo v souboru WIN.INI:
[NPad328]
Compatibility=
P°i ka₧dΘ infekci virus zv²Üφ hodnotu poΦφtadla. Kdy₧ dosßhno poΦφtadlo hodnoty 23, virus zobrazφ text v "status baru":
D0EUNPAD94,  v.2.21,  (c)  Maret  1996,  Bandung,  Indonesia
Virus obsahuje text:
D0EUNPAD94, v.2.21, (c) Maret 1996, Bandung, Indonesia
Macro MsWord virus, multiplatform, multi versi

X97M/Laroux.A

Jednß se o stejn² makrovirus jako je XM/Laroux.A, zm∞n∞nß jsou pouze jmΘna maker (tak aby virus fungoval v O97)

XM/Laroux.A

Tento makrovirus infikuje ExcelovskΘ tabulky (XLS soubory). Obsahuje dv∞ makra: auto_open a check_files.

Po otev°enφ infikovanΘho dokumentu Excel spustφ auto makro auto_open a virus p°evezme kontrolu.

{ dalÜφ informace budou dopln∞ny }

Empire.Monkey.B

NeÜkodn² rezidentnφ boot virus. P°esm∞ruje INT 13h a infikuje boot sektor disket a MBR pevnΘho disku podobn∞ jako virus Stoned (metoda "Stoned"). Virus zak≤duje p∙vodnφ boot sektor diskety a MBR pevnΘho disku jeÜt∞ p°ed tφm, ne₧ ho ulo₧φ na disk. Virus obsahuje k≤dovanΘ slovo:
Monkey
Je to stealth boot vφrus prφbuzn² s vφrusom Stoned . Pri ka₧dom pokuse o zavedenie systΘmu z infikovanej diskety si vyhradφ pre seba 1 KB pod vrcholom pamΣte, priΦom o rovnak· ve╛kos¥ znφ₧i pamΣ¥ pou₧ite╛n· pre DOS. Napadne MBR hard disku, priΦom p⌠vodn² obsah zak≤duje a odlo₧φ na hlavu 0 stopu 0 sektor 3. Pri pokuse o zavedenie systΘmu zo systΘmovej diskety systΘm nem⌠₧e v prvom fyzickom sektore disku obsadenom telom vφrusu nßjs¥ platn· tabu╛ku rozdelenia disku. To sp⌠sobφ v²pis sprßvy
Invalid drive specification
Pokusy o obnovenie MBR pomocou prφkazu FDISK /MBR ved· k strate dßt. V tele vφrusu je zak≤dovan² re¥azec:
Monkey

Zdroj: NOD (ESET - encyklopedie vir∙)

WM/Wazzu.A

Tento makrovirus obsahuje jenom jedno makro AutoOpen. Infikuje Word dokumenty p°i jejich otevφrßnφ a kopφruje svoje makra do globßlnφ Üablony (NORMAL.DOT), kdy₧ je otev°en infikovan² dokument. Virus nenφ k≤dovßn a m∙₧e b²t snadno dektekovßn p°i hledßnφ textu:
RndWorddo
wazzu do
RndWorddRgV
Po infekci dokumentu, virus vezme nßhodn∞ vybranΘ slovo z dokumentu a umφstφ ho na op∞t nßhodn∞ zvolenou pozici. Toto virus opakuje maximßln∞ 3x v zßvislosti na poΦφtadle. N∞kdy taky vklßdß do dokumentu na nßhodnΘ mφsto °etezec "wazzu" (op∞t v zßvislosti na poΦφtadle).

Virus obsahuje t°i podprogramy v jeho makru:
MAIN 		- hlavnφ rutina, kterß p°evezme kontrolu p°i spuÜt∞nφ AutoOpen makra.
Payload		- tato rutina je volanß hlavnφ rutinou, vym∞≥uje slova a vklßdß °etezec "wazzu".
RndWord		- tato rutina je volßna rutinou Payload. Nastavuje nßhodn∞ vybranou pozici v dokumentu.
Slova zam∞≥uje s pravd∞podobnostφ 1:5 a slovo "wazzu" vklßdß s pravd∞podobnostφ 1:4.
TaktΘ₧ obsahuje text:
< - - - - - - here 's the payload

Zajφmavostφ je, ₧e se tento virus objevil p°φmo na WWW strßnkßch firmy Microsoft (!!!) a tak vzniklo ohromnΘ mno₧stvφ variant.

NYB.A

Stealth rezidentnφ boot virus. Napadß boot sektor diskety a MBR pevnΘho disku. P°i infekci 5.25" diskety s dvojitou hustotou uklßdß p∙vodnφ boot sektor na sektor 11. Na disketßch (5.25) s vysokou hustotou je originßlnφ boot sektor p°esunut na sektor 28. Tφm m∙₧e n∞kterΘ data na disket∞ poÜkodit.

Die_Hard.4000.A

NebezpeΦn² rezidentnφ k≤dovan² a stealth souborov² virus. P°esm∞ruje INT 10h, 21h a zapisuje se na konce COM a EXE soubor∙, kdy₧ je k nim p°istupovßno. Virus nechßvß hlavnφ Φßst v operaΦnφ pam∞ti zak≤dovanou, a dek≤duje ji jen kdy₧ pot°ebuje.

Virus obsahuje n∞kolik zajφmav²ch rutin. V ·ter², pokud je 3, 11, 15, 28 dne volß DOSovskou funkci Write a virus m∙₧e na v²stup COM1 zobrazit zprßvu:
SW Error
Virus zapisuje na zaΦßtky zdrojov²ch k≤du ASM a PAS text:
.model small
 .code
 org 256
 s:     push    cs
        pop     ds
        call    t
 db     '-Ñ$'
 t:     pop     dx
        mov     ah,9
        int     33
        mov     ah,76
        int     33
 end s






 begin
 write('-Ñ');
 end.
Virus kontroluje poΦφtadlo generacφ a pokud je v∞tÜφ ne₧ 15 a video re₧im je nastaven na 13h (grafika), virus zobrazφ velkΘ symboly:
Virus taky obsahuje tyto texty:
SW DIE HARD 2

Tequila.2468.A

Rezidentnφ stealth polymorfnφ a multipartitnφ virus. Virus infikuje MBR pevnΘho disku, kdy₧ je spuÜt∞n infikovan² soubor. B∞hem infekce ulo₧φ originßlnφ MBR na poslednφ sektor disku C: a zmenÜφ velikost disku v Partition Table, tak aby zakryl p∙vodnφ MBR. Virus se stßvß pam∞tov∞ rezidentnφm jen p°i bootovßnφ s infikovanΘho disku. P°esm∞ruje INT 13h, 1Ch, 21h a zapisuje se na konce EXE soubor∙, kterΘ jsou spouÜt∞ny nebo zavφrßny.

V zßvislosti na vnit°nφm poΦφtadle virus zobrazφ p∞kn² barevn² obrßzek a zprßvu:
Po spuÜt∞nφ virus zobrazφ:
Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.
Loving thoughts to L.I.N.D.A
BEER and TEQUILA forever !

WM/MDMA.A

K≤dovan² makrovirus. Obsahuje jen jedno makro AutoClose a infikuje soubory p°i jejich zavφrßnφ.

Prvnφho dne ka₧dΘho m∞sφce virus nφΦφ soubory a zobrazuje text (v tabulce message box):
MDMA_DMV
You are infected with MDMA_DMV.
Brought to you by MDMA (Many Delinquent Modern Anarchists).
Ve Windows virus ma₧e C:\SHMK soubor a p°episuje C:\AUTOEXEC.BAT s p°φkazy:
@echo off
deltree /y c:
@echo You have just been phucked over by a virus
V²sledkem jsou smazanΘ vÜechny soubory ve vÜech podadresß°φch.

Ve Windows NT virus ma₧e vÜechny soubory v hlavnφm adresß°i stejn∞ jako soubor C:\SHMK.

Na Macintoshi virus ma₧e soubory v systΘmovΘm adresß°i (?).

Pod jin²mi systΘmy (Windows 95) virus ma₧e C:\SHMK soubor a vÜechny soubory *.HLP v adresß°i C:\WINDOWS. Virus nastavuje n∞kterΘ hlavnφ °etezce a ma₧e vÜechny *.CPL soubory v adresß°i C:\WINDOWS\SYSTEM\.

W97M/Melissa.A

Relativn∞ jednoduch² makrovirus, kter² se dokß₧e Üφ°it pod Wordem z Office 97 a Office 2000. V prost°edφ Office 97 blokuje p°φstup k polo₧ce Makra v menu Nßstroje a zakß₧e Wordu ptßt se na potvrzenφ konverze dokumentu a ulo₧enφ zm∞n v NORMAL.DOT.
V prost°edφ Office 2000 W97M/Melissa nastavφ antivirovou ochranu (Security level) na nejni₧Üφ mo₧nou hodnotu. "Nejzßbavn∞jÜφ" je schopnost tohoto viru vyu₧φt instalovan² MS Outlook pro rozesφlßnφ infikovan²ch dokument∙. Vytßhne si prvnφch padesßt adres z ka₧dΘho u₧ivatelskΘho adresß°e a odeÜle na n∞ mail se Subjectem:
Important Message From _doplneno_vase_jmeno_
a s tφmto obsahem:
Here is that document you asked for ...
don't show anyone else ;-)
Infikovan² dokument je p°ilo₧en k tΘto zprßv∞. Aby to bylo jeÜt∞ p∙vabn∞jÜφ, tak se W97M/Melissa neobt∞₧uje vytvo°enφm n∞jakΘho novΘho dokumentu, ale poÜle ten, na kterΘm prßv∞ pracujete. Tak₧e vßÜ (mo₧nß celkem soukrom²) dokument vzßp∞tφ obdr₧φ pßr set lidφ. Milß p°edstava, ₧e ?
Jakmile je rozesφlßnφ ukonΦeno, tak si Melissa do registry pro Office nastavφ klφΦ "Melissa?" na hodnotu "... by Kwyjibo" a podle toho p°φÜt∞ poznß, ₧e vaÜe adresy u₧ obhospoda°ila a nemusφ se znovu namßhat.
Pokud p°i zavφrßnφ dokumentu odpovφda datum minut∞, tak W97M/Melissa vlo₧φ do vaÜeho textu odstaveΦek:
Twenty-two points, plus triple-word-score,
plus fifty points for using all my letters.
Game's over.  I'm outta here.
Ve zdrojovΘm textu je jeÜt∞ tento komentß°:
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

Zdroj: www.grisoft.cz - AVG

Stealth_Boot.C

Rezidentnφ stealth boot virus. B∞hem "nata₧enφ" z infikovanΘ diskety zapφÜe svoji kopii do MBR pevnΘho disku. Pak p°esm∞ruje INT 13h a infikuje diskety b∞hem jejich Φtenφ. Virus pou₧φvß metodu Brain p°i infekci disket.

Virus nic neprovßdφ (alespo≥ tato varianta).

Virus obsahuje text:
AMSESLIFVASRORIMESAEP

Empire.Monkey.A

NeÜkodn² rezidentnφ boot virus. P°esm∞ruje INT 13h a infikuje boot sektor diskety a MBR pevnΘho disku podobn∞ jako virus Stoned (metoda "Stoned"). Virus zak≤duje p∙vodnφ boot sektor diskety a MBR pevnΘho disku jeÜt∞ p°ed tφm, ne₧ ho ulo₧φ na disk. Virus obsahuje k≤dovanΘ slovo:
Monkey
Je to stealth boot vφrus prφbuzn² s vφrusom Stoned . Pri ka₧dom pokuse o zavedenie systΘmu z infikovanej diskety si vyhradφ pre seba 1 KB pod vrcholom pamΣte, priΦom o rovnak· ve╛kos¥ znφ₧i pamΣ¥ pou₧ite╛n· pre DOS. Napadne MBR hard disku, priΦom p⌠vodn² obsah zak≤duje a odlo₧φ na hlavu 0 stopu 0 sektor 3. Pri pokuse o zavedenie systΘmu zo systΘmovej diskety systΘm nem⌠₧e v prvom fyzickom sektore disku obsadenom telom vφrusu nßjs¥ platn· tabu╛ku rozdelenia disku. To sp⌠sobφ v²pis sprßvy
Invalid drive specification
Pokusy o obnovenie MBR pomocou prφkazu FDISK /MBR ved· k strate dßt. V tele vφrusu je zak≤dovan² re¥azec:
Monkey

Zdroj: NOD (ESET - encyklopedie vir∙)

Dir II

Virus DIR II se liÜφ od vÜech ostatnφch druh∙ vir∙. Je dlouh² 1024 byt∙ a je zvlßÜtnφ v tom, ₧e sice napadß programy typu COM a EXE, ale soubory, ve kter²ch jsou tyto programy ulo₧eny, v∙bec nemodifikuje. Na infikovanΘm disku se vyskytuje pouze jedenkrßt. Pochßzφ z Bulharska. Po svΘm spuÜt∞nφ se virus instaluje do pam∞ti a pak prochßzφ z°et∞zenΘ ovlßdaΦe za°φzenφ (device drivers) a p°ipojφ se k nim tak, ₧e je p°i ka₧dΘm volßnφ diskov²ch operacφ aktivovßn. Pou₧φvß funkce Strategy a Interrupt. Po instalaci spustφ hostitelsk² program a normßlnφm zp∙sobem se ukonΦφ. Pam∞tov∞ rezidentnφ virus pak monitoruje p°φstup na disk a jednak hlφdß funkce Build BPB (kv∙li sprßvnΘ funkci programu typu CHKDSK) a jednak napadß disky a adresß°e.
InfekΦnφ rutinu viru je mo₧no rozd∞lit do dvou Φßstφ. Prvnφ souvisφ s napadenφm celΘho disku. Virus zjisti poslednφ cluster na disku, zapφÜe do n∞ho sebe sama a v tabulce FAT jej zvlßÜtnφm zp∙sobem oznaΦφ jako obsazen². Pokud tento cluster nßle₧el n∞jakΘmu souboru, je tento soubor virem p°epsßn a znφΦen. Je to vÜak jedinß Ükoda, kterou virus m∙₧e trvale zp∙sobit. Druhß Φßst infekΦnφ rutiny souvisφ s modifikacφ adresß°∙. Virus toti₧ manipuluje s polo₧kou v adresß°i, ve kterΘm je ulo₧eno mφsto na disku, na kterΘm soubor zaΦφnß (First Cluster Pointer, FCP). Virus zm∞nφ tento parametr u vÜech soubor∙ typu EXE a COM tak, ₧e vÜechny programy zaΦφnajφ k≤dem viru. Originßlnφ hodnota je zak≤dovßna a ulo₧ena na volnΘ (rezervovanΘ) mφsto v polo₧ce adresß°e. Virus tφmto zp∙sobem najednou napadß vÜechny soubory v danΘm adresß°i a proto se velmi rychle Üφ°φ. Virus kontroluje pouze rozÜφ°enφ a ne jmΘno souboru, a proto napadß i smazanΘ soubory (!!!). Virus neustßle p°i prßci s adresß°em p°epφnß polo₧ky FCP mezi p∙vodnφmi a modifikovan²mi hodnotami, aby mohl operaΦnφ systΘm v∙bec pracovat. Jako vedlejÜφ efekt z toho vypl²vajφ i urΦitΘ vlastnosti typu stealth (skr²vßnφ).
Pokud je virus aktivnφ v pam∞ti, chovß se poΦφtaΦ celkem normßln∞. Kdy₧ je vÜak zaveden systΘm z ΦφstΘ diskety, jsou vÜechny napadenΘ soubory pouze 1024 byt∙ dlouhΘ a program CHKDSK hlßsφ spousty chyb (vÜechny programy zaΦφnajφ na stejnΘm mφst∞ - k°φ₧enφ soubor∙). Stejn²m zp∙sobem se chovß infikovanß disketa v nezavirovanΘm poΦφtaΦi.
Po zjiÜt∞nφ viru v poΦφtaΦi lze jen t∞₧ko napadenΘ soubory zßlohovat. Pokud je virus v pam∞ti, jsou na zßlo₧nφ mΘdia p°eneseny infikovanΘ programy, pokud nenφ virus aktivnφ, je na disku pouze velk² zmatek.
Existuje velmi jednoduch² zp∙sob, jak m∙₧ete bez zvlßÜtnφch prost°edk∙ virus z disku odstranit. StaΦφ toti₧ v okam₧iku, kdy je virus aktivnφ, p°ejmenovat ve vÜech adresß°φch vÜechny soubory typu COM (nap°φklad na *.CO_) a EXE (nap°φklad na *.EX_). Virus sßm uvede p°φsluÜnΘ polo₧ky adresß°e do p∙vodnφho stavu. Pokud chcete zachrßnit i programy na disketßch, je nutno provΘst stejn² ·kon i na nich.
PotΘ je nutno zavΘst systΘm z originßlnφ diskety a vÜechny soubory p°ejmenovat zp∞t. Programem CHKDSK je mo₧no odstranit cluster obsazen² virem. Program, kter² i po tomto kroku virus obsahuje, je pravd∞podobn∞ zdrojem celΘ nßkazy.

Zdroj: Alwil Software - AVAST32 - p°φruΦka

Win95.CIH

Jednß se o rezidentnφ virus napadajφcφ soubory PE EXE. Funguje tedy pod systΘmy Windows 95 a Windows 98. Podle informacφ nenφ schopen provozu pod systΘmem Windows NT. InfikovanΘ soubory majφ stejnou dΘlku jako p°ed infekcφ (CIH hledß volnß mφsta v souboru). Virus se objevil na zaΦßtku Φervna, a pochßzφ z Tai-Wanu. Za n∞kolik dn∙ se objevily hlßÜenφ i z jin²ch stßt∙ (Francie, N∞mecko, Holadsko, èvΘdsko, ╚φna, Israel, Australie).
Na strßnkßch slovenskΘ spoleΦnosti ESET se objevila o viru Win32.CIH zajφmavß zprßva:
"K rozÜφreniu vφrusu doÜlo zßmern²m nakazenφm pirßtskej verzie hry MechCommander ktor· uviedla do obehu warez skupina DIVINE a "trainer" utility k hre Mortal Kombat 4 od skupiny Warior. Pod╛a neoveren²ch sprßv m⌠₧u by¥ nakazenΘ aj "trainer" utility k hrßm Ancient Evil a Pinball Soccer 98".
Virus obsahuje velmi zßke°nou destruktivnφ akci. Podle varianty p°episuje "smetφm" pam∞t Flash-BIOS, kterß je souΦßstφ vÜech modern∞jÜφch zßkladnφch desek (motherboards). Zßkaz p°φstupu do tΘto pam∞ti lze ovlivnit p°epφnaΦi (jumpery) DIP. Standardn∞ b²vß tento zßkaz zßpisu vypnut.
Krom∞ toho ve stejn² moment p°episuje data i na VaÜem pevnΘm disku.

Dnes znßme t°i rozdφlnΘ varianty, z nich₧ se nejmΘn∞ dv∞ jsou rozÜφ°enΘ.

DΘlka	    Text	       AktivaΦnφ datum    In-the-Wild

1003áááá áá CCIH 1.2 TTIT ááá      26.Dubenááááááááá        ANO
1010ááááá á CCIH 1.3 TTITááá       26.Duben ááááááááá       NE
1019áááá    CCIH 1.4 TATUNGáá  26.ka₧d² m∞sφc áá      ANO

Win95.Marburg

Nerezidentnφ polymorfnφ virus (virus p°φmΘ akce), napadajφcφ PE EXE (Portable Executable) soubory. Virus hledß soubory v aktußlnφm adresß°i, v adresß°i SYSTEM a v adresß°i WINDOWS. Jeliko₧ virus obsahuje chyby, nenφ schopen replikace pod systΘmem Windows NT.
Virus se pokouÜφ p°ed infekcφ alokovat pam∞t, kterß je nutnß pro spuÜt∞nφ polymorfnφho generßtoru (motoru). Polymorfnφ motor je prakticky toto₧n² s motorem, pou₧it²m ve viru Win95.HPS (nenφ ani divu, virus toti₧ pochßzφ od stejnΘho autora Griyo Üpan∞lskΘ skupiny 29A). Virus se uklßdß do poslednφ sekce soubor∙. P°ed infekcφ virus sma₧e antivirovΘ soubory: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. B∞hem infekce navφc virus kontroluje a nenapadß soubory, jen₧ majφ v nßzvu znak "V" nebo se jmenujφ PANDA, F-PROT Φi SCAN.
V zßvislosti na datumu virus zobrazuje nßhodn∞ umφst∞nΘ "error" ikony (Φerven² k°φ₧ek v bφlΘm koleΦku).
Virus obsahuje °etezce (prvnφ Φßst obsahuje seznam funkcφ, po kterΘ virus hledß:):
GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
LoadIconA DrawIcon


[ Marburg ViRuS BioCoded by GriYo/29A ]
KERNEL32.dll USER32.dll

Win95.Inca

Velmi nebezpeΦn² polymorfnφ virus, kter² napadß EXE a SCR soubory pro Windows 95/98.
Sv∙j dropper umφ posφlat pomocφ IRC a takΘ ho vklßdß do archiv∙ typu ZIP, ARJ, RAR, PAK, LZH a LHA. Takov² dropper mß v₧dy jmΘno slo₧enΘ za Φty° pφsmen, p°φpony COM a je dlouh² cca 17kB.
Umφ takΘ napadnout boot sektor diskety.
Do systΘmovΘho adresß°e Windows vklßdß sv∙j driver FONO98.VXD a modifikuje soubor SYSTEM.INI tak, aby byl driver p°i p°φÜtφm startu poΦφtaΦe zaveden do pam∞ti. Dßle se pokouÜφ najφt a smazat soubor IOSUBSYSHSFLOP.PDR. To mu umo₧≥uje p°evzφt kontrolu operacφ provßd∞n²ch s disketou a napadat diskety.
VypouÜtφ soubor REVENGE.COM, kter² po svΘm spuÜt∞nφ p°epφÜe Φßst konfigurace poΦφtaΦe ulo₧enΘ v pam∞ti CMOS.

Obsahuje text
El Inca virus.
Pro zajφmavost: Je to prvnφ multipartitnφ virus pro Windows 95/98.

Worm:ExploreZIP

Worm:ExploreZIP se v ╚esku zaΦal Üφ°it v Φervnu 1999. Worm posφlß sebe sama jako p°φlohu elektronickΘ poÜty pod jmΘnem "ZIPPED_FILES.EXE". Tento soubor je dlouh² p°esn∞ 210432 byt∙. P°edm∞t zprßvy m∙₧e b²t r∙zn² (je to odpov∞∩ na existujφcφ p°edchozφ zprßvu). Zprßva obsahuje nßsledujφcφ anglick² text:
      Hi !  
      I received your email and I shall send you a reply ASAP.  
      Till then, take a look at the attached zipped docs.  

      bye
Po spuÜt∞nφ zmφn∞nΘho souboru se m∙₧e objevit chybovΘ okno s hlßÜenφm o neplatnΘm archφvu ZIP. Worm se pak zkopφruje do systΘmovΘho adresß°e Windows pod jmΘnem EXPLORE.EXE a p°idß jeden °ßdek do souboru WIN.INI, pop°. do registry. To nßsledn∞ zp∙sobφ, ₧e je worm aktivovßn p°i ka₧dΘm startu operaΦnφho systΘmu. Worm pak zφskß e-mailovΘ adresy z poÜtovnφho klienta (pomocφ p°φkazu MAPI nebo z MS Outlook) a posφlß sebe sama na dalÜφ poΦφtaΦe.

Tento worm obsahuje velmi nep°φjemnou manipulaΦnφ rutinu - hledß na dostupn²ch discφch soubory s rozÜφ°enφm .C, .CPP, .H, .ASM, .DOC, .XLS a .PPT a niΦφ je tak, ₧e je zkrßtφ na nulovou dΘlku. To m∙₧e zp∙sobit nevratnΘ ztrßty dat!

Pro odstran∞nφ Worm:ExploreZIP je pod Windows 9x pot°eba smazat soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows a p°ed p°ebootovßnφm odstranit nßsledujφcφ °ßdek ze souboru WIN.INI: run=C:\WINDOWS\SYSTEM\Explore.exe

Pro odstran∞nφ Worm:ExploreZIP je pod Windows NT pot°eba ukonΦit proces se jmΘnem "explore" pomocφ WinNT Task Manageru. Potom pomocφ programu REGEDIT najφt polo₧ku [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] a p°ed p°ebootovßnφm odstranit nßsledujφcφ klφΦ: "run"="C:\\WINNT\\System32\\Explore.exe"
Nakonec sma₧te soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows NT.

Zdroj: ALWIL (www.asw.cz)

Win95.Kenston

Pam∞¥ov∞ nerezidentnφ parazitick² Win32 virus. Je k≤dovßn funkcφ XOR. Po spuÜt∞nφ infikovanΘho programu p°evezme kontrolu a napadne PE EXE soubory v podadresß°φch na aktivnφm disku. Zapisuje se na konec souboru a zv∞tÜuje velikost poslednφ sekce. Tam se zapφÜe a ·pravou adresy vstupnφho bodu (entry point) zajistφ svoje spuÜt∞nφ.

V∞tÜina Φßstφ viru je kompatibilnφ se vÜemi Win32 verzemi: Win32/9x/NT, ale rutina urΦenß k infekci obsahuje n∞kolik chyb. Proto nelze v∞tÜinu infikovan²ch soubor∙ spustit pod systΘmem Windows NT.

Virus obsahuje text:
Boles and Manning are arrogant facists. They have no computer
sk1llz and KENSTON HIGH SCHOOL's computers are 0wn3d.
I AM BACK KOONS YOU MOTHERFUCKER dowN wiTh KenSTON.....
yOU tRIED tO rID yOUrSELf oF mE BefoREbUT fAILED
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHA
Virus taky obsahuje °etezce se jmΘny funkcφ, kterΘ virus pou₧φvß:
LoadLibraryA GetProcAddress FindFirstFileA FindNextFileA FindClose
SetFileAttributesA SetFileTime CreateFileA ReadFile WriteFile
SetFilePointer CloseHandle SetCurrentDirectoryA GetCurrentDirectoryA