home *** CD-ROM | disk | FTP | other *** search
/ Computer Inter@ctive 17 / Computer Interactive cdrom 17 - gen 99.iso / pccillin / data1.cab / Program_Executable_Files / Common.vir < prev    next >
Encoding:
Text File  |  1998-09-24  |  1.0 MB  |  31,211 lines
Text Truncated. Only the first 1MB is shown below. Download the file for the complete contents.
  1. [(c)Brain]
  2. Nome del Virus: (c)Brain.
  3. Pseudonimo: Pakistani, Clone, Nipper.
  4. Tipo di Virus: Virus da boot.
  5. Lunghezza del Virus: N/A.
  6. Descrizione: Questo Virus infetta il settore di boot.
  7.  
  8. Quando si esegue un file infetto, il virus si installa nella
  9. memoria. La memoria totale disponibile diminuisce di 3-7K Byte.
  10.  
  11. Il virus rimuove i settori di boot e li sostituisce con una sua copia. 
  12. I settori di boot originali verranno spostati in un altro settore e 
  13. marcati come errati. 
  14. Questo virus cambierα anche l'etichetta del disco con:
  15.  
  16. "(c) Brain"
  17.  
  18. Nel virus si trova il seguente testo:
  19.  
  20.     Welcome to the Dungeon
  21.     (c) 1986 Basit & Amjad (pvt) Ltd.
  22.     BRAIN COMPUTER SERVICES
  23.     730 NIZAB BLOCK ALLAMA IQBAL TOWN
  24.     LAHORE-PAKISTAN
  25.     PHONE :430791,443248,280530.
  26.     Beware of this VIRUS....
  27.     Contact us for vaccination.................
  28.     $#@%$@!!
  29.  
  30. [555]
  31. Nome del Virus: 555.
  32. Pseudonimo: Dutch 555, Quit-199.
  33. Tipo di Virus: Virus da file.
  34. Lunghezza del Virus: 555 Byte.
  35. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE, 
  36. ed il file COMMAND.COM.
  37.  
  38. Quando si esegue un file infetto, il virus si installa nella
  39. memoria. La memoria totale disponibile diminuisce di 560 Byte.
  40.  
  41. Una volta che il virus Φ in memoria infetta i file con estensione
  42. *.COM ed *.EXE appena saranno eseguiti.
  43. I file infetti aumenteranno di 555 Byte di lunghezza, 
  44. con il virus legato alla fine del file infetto.
  45. I file infetti avranno la data e l'ora di registrazione sostituiti
  46. con la data e l'ora in cui Φ avvenuta l'infezione.
  47.  
  48. [AirCop]
  49. Nome del Virus: AirCop.
  50. Pseudonimo:
  51. Tipo di Virus: Virus da boot.
  52. Lunghezza del Virus: N/A.
  53. Descrizione: Questo Virus infetta il settore di boot.
  54.  
  55. Quando il sistema Φ avviato con un disco infettato dal virus, il virus 
  56. si installa autonomamente in memoria.
  57. La memoria complessiva del sistema diminuisce di 1.024 Byte.
  58.  
  59. Una volta che il virus Φ in memoria, infetta tutti i dischetti non
  60. protetti. Il virus sostituisce i settori di boot del floppy con una
  61. copia di se stesso.
  62.  
  63. Nel sistema infetto il virus farα apparire il seguente messaggio:
  64. "Red State, Germ Offensive.
  65.       AIRCOP."
  66.  
  67. [Alameda]
  68. Nome del Virus: Alameda.
  69. Pseudonimo: Alemeda.
  70. Tipo di Virus: Virus da boot.
  71. Lunghezza del Virus: N/A.
  72. Descrizione: Questo Virus infetta il settore di boot.
  73.  
  74. Quando un sistema Φ avviato da un disco infettato dal virus, 
  75. il virus si installa in memoria.
  76.  
  77. Una volta che il virus Φ in memoria, tutti i dischetti da 5-1/4" 360k 
  78. saranno infettati quando il sistema  Φ riavviato con un warm boot
  79. (CTRL-ALT-DEL). 
  80. (Il virus rimane in memoria dopo un warm boot).
  81.  
  82. [Ambulance]
  83. Nome del Virus: Ambulance.
  84. Pseudonimo: Ambulance Car, RedX.
  85. Tipo di Virus: Virus da file.
  86. Lunghezza del Virus: 796 Byte.
  87. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM.
  88.  
  89. Quando viene eseguito un file infetto, il virus cercherα di infettare 
  90. un file con estensione *.COM.
  91.  
  92. Altri sintomi includono l'apparizione di un'ambulanza nella parte bassa
  93. dello schermo ed il suono di una sirena.
  94.  
  95. [AntiEXE]
  96. Nome del Virus: AntiEXE.
  97. Pseudonimo: D3, NewBug, CMOS4.
  98. Tipo di Virus: Virus da boot.
  99. Lunghezza del Virus: N/A.
  100. Descrizione: Questo Virus infetta il settore di boot.
  101.  
  102. Quando il sistema Φ avviato con un disco infettato dal virus, 
  103. il virus si installa in memoria. 
  104. Tutta la memoria disponibile diminuisce di 1.024  Byte. 
  105. Inoltre il virus sovrascriverα il Master Boot Sector con una copia
  106. di se stesso.
  107.  
  108. Una volta che il virus Φ in memoria, infetterα tutti i dischetti
  109. non protetti.
  110.  
  111. [Atomic]
  112. Nome del Virus: Atomic.
  113. Pseudonimo:
  114. Tipo di Virus: Virus da file.
  115. Lunghezza del Virus: 371 Byte.
  116. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM.
  117.  
  118. Quando si esegue un file infetto, il virus infetterα i primi 
  119. due file con estensione *.COM 
  120. sistemati nella stessa directory. 
  121. Il virus sovrascriverα permanentemente i primi 371 Byte 
  122. dei file che infetta. La data e l'ora dei file infetti non vengono
  123. cambiate.
  124. Il virus mostra il seguente messaggio dopo aver infettato un file:
  125.  
  126.     "Bad command or file name"
  127.  
  128. Nel virus si trova la stringa:
  129.  
  130.     "[TAD1A] Memory Lapse -- Toronto, CANADA"
  131.     "The Atomic Dustbin 1A -- This is just the first
  132.     step"
  133.     "Bad command or file name"
  134.     "*.COM .. c Dustbin 1A -- This is just the first
  135.     step"
  136.  
  137. [Austr_Parasite]
  138. Nome del Virus: Austr_Parasite.
  139. Pseudonimo: Aussie Parasite.
  140. Tipo di Virus: Virus da file.
  141. Lunghezza del Virus: 292 Byte.
  142. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM ed il COMMAND.COM.
  143.  
  144. Quando viene eseguito un file infetto, il virus si installa in memoria. La memoria totale
  145.  disponibile diminuisce di 320  Byte.
  146.  
  147. Una volta che il virus Φ in memoria, tutti i file con estensione *.COM
  148. saranno infettati. 
  149. I file infetti aumenteranno di 292 Byte di lunghezza, con il virus
  150. sistemato alla fine del file infetto.
  151. La data e l'ora di registrazione dei file infettati non vengono
  152. cambiate.
  153.  
  154. I sintomi includono il blocco del sistema.
  155.  
  156. Nel virus si pu≥ trovare la stringa:
  157.  
  158.     "Australian Parasite"
  159.  
  160. [Bljec]
  161. Nome del Virus: Bljec.
  162. Pseudonimo: Black Jec.
  163. Tipo di Virus: Virus da file.
  164. Lunghezza del Virus: 231-440 Byte.
  165. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM.
  166.  
  167. Quando viene eseguito un file infetto, il virus infetta tre file con
  168. estensione *.COM presenti nella stessa directory.
  169. I file infetti aumenteranno di 231-440 Byte, 
  170. con il virus posizionato all'inizio del file infetto. 
  171. I file infetti avranno  la data e l'ora di creazione sostituiti 
  172. con la data e l'ora in cui Φ avvenuta l'infezione.
  173.  
  174. I sintomi includono il blocco del sistema.
  175.  
  176. [Butterfly]
  177. Nome del Virus: Butterfly.
  178. Pseudonimo: Butterflies.
  179. Tipo di Virus: Virus da file.
  180. Lunghezza del Virus: 302 Byte.
  181. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM.
  182.  
  183. Quando viene eseguito un file infetto, il virus infetterα
  184. tutti i file con estensione *.COM  che si trovano nella stessa
  185. directory.
  186.  
  187. I file infetti aumenteranno di 302 Byte di lunghezza, 
  188. con il virus sistemato alla  fine del file infetto. 
  189. I file infetti non avranno la data e l'ora di registrazione cambiata.
  190.  
  191. Si ritrova nel virus il seguente testo:
  192.  
  193. "Goddamn Butterflies"
  194.     "*.COM"
  195.  
  196. [Cascade]
  197. Nome del Virus: Cascade.
  198. Pseudonimo: Black Jack, Falling.
  199. Tipo di Virus: Virus da file.
  200. Lunghezza del Virus: 1.701 o 1.704 Byte.
  201. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM.
  202.  
  203. Quando si esegue un file infetto, il virus si installa nella
  204. memoria.
  205.  
  206. Una volta che il virus Φ in memoria, determinerα la caduta dei 
  207. caratteri sullo schermo  nella parte bassa dello stesso.
  208.  
  209. [Connie]
  210. Nome del Virus: Connie.
  211. Tipo di Virus: Virus da file.
  212. Lunghezza del Virus: 1.761 Byte.
  213. Descrizione: Questo Φ un Virus che infetta i file con 
  214. estensione *.COM, ed il file COMMAND.COM.
  215.  
  216. Quando si esegue un file infetto, il virus si installa nella
  217. memoria. La memoria totale disponibile diminuisce di 3.520 Byte.
  218.  
  219. Una volta che il virus Φ in memoria, infetterα i file con estensione
  220. *.COM quando verranno eseguiti, aperti o copiati.
  221. I file infetti aumenteranno di 1.761 Byte di lunghezza con il virus
  222. situato alla fine del file infetto.
  223. La data e l'ora di creazione dei file infetti non sono modificate.
  224.  
  225.  
  226. Nel virus si pu≥ trovare il seguente testo: 
  227.  
  228.     "This is <Connie> Written by Dark Slayer in
  229.     Keelung TAIWAN P:\COMMAND.COM"
  230.  
  231. [CVirus]
  232. Nome del Virus: CVirus.
  233. Pseudonimo: Nowhere Man, VMessi.
  234. Tipo di Virus: Virus da file.
  235. Descrizione: Il virus infetta i file con estensione *.COM 
  236. ed *.EXE pi∙ grandi di 6.300 Byte.
  237.  
  238. Quando viene eseguito un file infetto, il virus cercherα un file 
  239. adatto da infettare  (che misuri pi∙ di 6.300 Byte). 
  240. I file infetti avranno i primi 6.286 Byte originali
  241. sovrascritti dal virus. Data e ora di creazione dei 
  242. file infetti non saranno alterati.
  243. Ogni volta che un file verrα infettato con successo comparirα 
  244. sullo schermo la scritta:
  245.  
  246.     "Out of memoria"
  247.  
  248. Se l'infezione non sarα possibile comparirα la scritta:
  249.  
  250.     "All files infected.  Mission complete."
  251.  
  252. Nel virus si pu≥ trovare il seguente testo:
  253.  
  254.     "NMAN"
  255.     "BMAN"
  256.         "*.EXE"
  257.  
  258. [DataLock]
  259. Nome del Virus: DataLock.
  260. Pseudonimo: Datalock.920.A, V920.
  261. Tipo di Virus: Virus da file.
  262. Lunghezza del Virus: 920 Byte.
  263. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  264. Vettore PC agganciato: INT 21h.
  265.  
  266. Metodo di infezione: Quando Φ in esecuzione un file infetto, 
  267. il virus si carica in memoria.  
  268. Quando caricato, infetta ogni file eseguito. 
  269. I file infetti aumentano di 920 Byte.
  270.  
  271. Danni: Dopo agosto del 1990, il virus non permetterα 
  272. di aprire i file con estensione *.?BF. 
  273. Quando viene fatto un tentativo, esso fa comparire 
  274. un falso messaggio d'errore
  275.  "Too many files open."
  276.  
  277. [Denzuko]
  278. Nome del Virus: Denzuko.
  279. Pseudonimo: Den Zuk.
  280. Tipo di Virus: Virus da boot.
  281. Lunghezza del Virus: N/A.
  282. Descrizione: Questo Virus infetta il settore di boot.
  283.  
  284. Metodo di infezione: quando si prova ad avviare il sistema 
  285. con un dischetto infetto, il virus si carica in memoria 
  286. anche se l'avviamento fallisce. Quando caricato, 
  287. il virus prova ad infettare ogni dischetto a cui si accede.
  288.  
  289. Danni: Quando si premono i tasti <Ctrl><Alt><Del> compare il messaggio
  290. "Den Zuk" e il sistema sembra riavviarsi.
  291. Tuttavia, il virus rimane in memoria. 
  292. Dato che il virus fu progettato per dischetti da 360 KB, 
  293. esso distrugge involontariamente anche i dati sui dischetti 
  294. da 3,5 pollici o 1,2 MB.
  295.  
  296. [Die_Hard_2]
  297. Nome del Virus: Die_Hard_2.
  298. Pseudonimo: DH2.
  299. Tipo di Virus: Virus da file.
  300. Lunghezza del Virus: 4,000 Byte.
  301. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  302. Vettore di Interrupt agganciato: INT 21h.
  303.  
  304. Metodo di infezione: Quando viene eseguito un file infetto 
  305. il virus si carica in memoria. 
  306. Mentre si carica, infetta i file eseguibili a cui si accede. 
  307. I file infetti aumentano di 4.000  Byte.
  308.  
  309. Danni: In fase di verifica.
  310.  
  311. [Dir]
  312. Nome del Virus: Dir.
  313. Pseudonimo: DIR.
  314. Tipo di Virus: Virus da file.
  315. Lunghezza del Virus: 691 Byte.
  316. Descrizione: Vedi Dir-2.
  317.  
  318. [Dir-2]
  319. Nome del Virus: Dir-2.
  320. Pseudonimo: Dir-II, Creeping Death.
  321. Tipo di Virus: Virus da file.
  322. Lunghezza del Virus: 1.024 Byte.
  323. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  324. Vettore PC agganciato: Nessuno.
  325.  
  326. Procedura eseguita:
  327. 1) Quando il virus si carica in memoria cambia la struttura dei dati 
  328. nella directory in modo che alcuni file siano a lui collegati.
  329. 2) Questo permette al virus di essere eseguito quando si esegue un
  330. file a cui Φ legato il virus DIR2-910. A questo punto pu≥ iniziare 
  331. a infettare altri file.
  332. 3) Il virus Φ residente in memoria ma non determina nessun Interrupt. 
  333. Esso utilizza un'altra funzione per infettare i file. Infetta i file 
  334. con estensione *.COM ed *.EXE quando sono "READ & WRITE".
  335. Quando tutti i file di un disco con estensione *.COM ed *.EXE sono
  336. infetti, non sarα possibile eseguire nessun file dal disco.
  337.  
  338. Metodo di rilevazione: Verifica il disco usando "CHKDSK.EXE"; 
  339. se alcuni file hanno dei collegamenti incrociati nella stessa posizione,
  340. allora i file potrebbero essere infetti.
  341.  
  342. Note: DIR2-910 non intercetta l'INT 24h quando infetta il file.
  343.  Omette errori I/O (come per esempio protetto da scrittura).
  344.  
  345. [Disk_Killer]
  346. Nome del Virus: Disk_Killer.
  347. Pseudonimo: Ogre.
  348. Tipo di Virus: Virus da boot.
  349. Lunghezza del Virus: N/A.
  350. Descrizione: Questo Virus infetta il settore di boot.
  351.  
  352. Metodo di infezione: Quando il sistema Φ avviato da un disco infetto,
  353. il virus si carica in memoria.
  354.  
  355. Danni: Dopo che il computer Φ rimasto acceso per 48 ore, 
  356. il virus fa apparire il seguente messaggio e in seguito cripta 
  357. tutti i dati presenti nell'hard disk:
  358.  
  359. "Disk Killer -- Version 1.00 by COMPUTER OGRE
  360.  04/01/1989
  361.  
  362.  Warning!!
  363.  Don't turn off the power or
  364.  remove the diskette while Disk Killer is Processing.
  365.  Processing.
  366.  Now you can turn off the power. I wish you luck."
  367.  
  368. [EDV]
  369. Nome del Virus: EDV.
  370. Pseudonimo: Cursy.
  371. Tipo di Virus: Virus da boot.
  372. Lunghezza del Virus: N/A.
  373. Descrizione: Questo Virus infetta il settore di boot.
  374.  
  375. Quando il sistema Φ avviato con un disco infetto, il virus si installa
  376. in memoria.
  377.  
  378. Una volta che il virus Φ in memoria, infetta ogni floppy utilizzato. 
  379. Elimina il settore di boot originale e lo sostituisce con una copia
  380. del virus.
  381.  
  382. Una volta che ha infettato sei dischi, disabilita la tastiera e altera 
  383. il contenuto di tutti i dischi del sistema. Completato il compito,
  384. apparirα sullo schermo il seguente messaggio:
  385.  
  386.     "That rings a bell, no?  From Cursy"
  387.  
  388. La seguente stringa pu≥ essere trovata nei settori di boot infetti:
  389.  
  390.     "MSDOS Vers. E.D.V."
  391.  
  392. [Exebug]
  393. Nome del Virus: Exebug.
  394. Pseudonimo: Swiss Boot, CMOS killer.
  395. Tipo di Virus: Virus da boot.
  396. Lunghezza del Virus: N/A.
  397. Descrizione: Questo Virus infetta il settore di boot.
  398. Vettore PC agganciato: INT 13h.
  399.  
  400. Metodo di infezione: Quando il sistema Φ avviato con un dischetto
  401. infetto, il virus si installa in memoria, all'inizio della memoria
  402. di sistema, ma restando nel limite di 640k in DOS, spostando il
  403. ritorno dell'Interrupt 12.
  404. La memoria totale del sistema e la memoria accessibile diminuiranno
  405. di 1.024 Byte.
  406. Il virus infetterα inoltre il settore principale di boot dell'hard disk.
  407.  
  408. Danni: Alterazione del settore di boot principale; diminuzione della
  409. memoria totale del sistema e della memoria accessibile;
  410. impossibilitα di accedere a "C" dopo aver avviato con un dischetto.
  411.  
  412. [Fat_Table]
  413. Nome del Virus: Fat_Table.
  414. Tipo di Virus: Virus da file.
  415. Lunghezza del Virus: 6.540 Byte.
  416. Descrizione: Questo virus infetta i file con estensione *.EXE.
  417.  
  418. Quando viene eseguito un file infetto, il virus infetta un file 
  419. con estensione *.EXE sistemato nella stessa directory. 
  420. Il virus sovrascriverα i primi 6.540 Byte del file originale.
  421. Le informazioni sulla data e l'ora di creazione dei file infetti
  422. saranno sostituite con la data e l'ora in cui Φ avvenuta l'infezione.
  423.  
  424. Nel virus si pu≥ trovare la stringa:
  425.  
  426.    "hitohana"
  427.     "karu ba"
  428.     "rb C:\ * .* FAT TABLE E"
  429.     "8RROR"
  430.     "EXE"
  431.     "COM"
  432.  
  433. [Filler.A]
  434. Nome del Virus: Filler.A.
  435. Pseudonimo: Filler.
  436. Tipo di Virus: Virus da boot.
  437. Lunghezza del Virus: N/A.
  438. Descrizione: Questo Virus infetta il settore di boot.
  439.  
  440. Metodo di infezione: Quando il sistema Φ avviato da un floppy infetto, 
  441. il virus si carica in memoria. Mentre si carica, infetta ogni disco 
  442. non protetto a cui si accede.
  443. Il programma DOS CHKDSK mostrerα la "Total Byte Memory" 
  444. diminuita di 8.192  Byte.
  445.  
  446.  
  447. Danni: In fase di verifica.
  448.  
  449. [Flip]
  450. Nome del Virus: Flip.
  451. Tipo di Virus: Virus da boot.
  452. Lunghezza del Virus: 2.672 Byte.
  453. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  454. Vettore PC agganciato: INT 21h.
  455.  
  456. Processo di infezione: Questo virus si diffonde tramite 
  457. l'esecuzione di un programma infetto o avviando il sistema con un
  458. disco infetto. 
  459. Vi sono diversi metodi di infezione.
  460.  
  461. 1) Infezione di un sistema pulito con l'utilizzo di un programma
  462. infetto.
  463.  
  464. Quando viene eseguito un programma infetto in un sistema pulito, 
  465. il virus si copia nell'ultimo posto dell'ultimo cilindro, iniziando
  466. dal quintultimo settore arrivando fino all'ultimo e sostituisce 
  467. il settore di boot del DOS all'offset 0x13h (Numero dei settori logici)
  468. con 6.
  469. Infine, il codice del virus viene scritto sulla partizione dei settori.
  470.  
  471. 2) Diffusione dell'infezione attraverso un disco infetto.
  472.  
  473. Se un PC Φ avviato con un disco infetto, si completa la diffusione
  474. dell'infezione. 
  475. Il codice di boot, precedentemente sostituito dal virus nella
  476. ripartizione del disco, legge il codice principale del virus iniziando
  477. dal quintultimo settore fino all'ultimo e si carica come TSR nella RAM,
  478. occupando 3KB nella memoria alta del sistema. 
  479. Non appena viene installato come TSR, il virus prende il controllo 
  480. dell'Int 1Ch (Timer Interrupt) per verificare, con una frequenza di
  481. 18.2 cicli al secondo, se Φ caricato il COMMAND.COM del DOS.
  482. Se Φ presente il DOS, il virus ripristina il timer e prende controllo
  483. dell'Int 21h.
  484.  
  485. Danni: Perdita di dati immagazzinati dal sesto all'ultimo settore del
  486. disco. Il virus inoltre aumenta la lunghezza dei file.
  487.  
  488. Sintomi: Il virus fa comparire lo schermo rovesciato (ruotato di 180
  489. gradi). 
  490. Inoltre aumenta la lunghezza dei file di 2.153 Byte.
  491.  
  492. Note: Il virus utilizza una particolare tecnica per evitare di 
  493. essere riconosciuto dai programmi anti-virus. 
  494. Quando modifica la partizione dei settori, che Φ contenuta nell'Int 01h,
  495. attiva un singolo codice dell'avvio originale del DOS 
  496. contenuto nell'Int 13h. Quindi il virus si sposta all'apice dell'MCB 
  497. (Memoria Control Block) e diminuisce la memoria accessibile 
  498. dell'MCB di 2672 (A70h). Aggancia con lo stesso metodo 
  499. l'Int 21h e l'INT 13h, quindi fa iniziare l'esecuzione del 
  500. programma originale.
  501.  
  502. [Form.A]
  503. Nome del Virus: Form.A.
  504. Pseudonimo: FORM, Form, Form 18, Generic.
  505. Tipo di Virus: Virus da boot.
  506. Lunghezza del Virus: N/A.
  507. Descrizione: Questo Virus infetta il settore di boot.
  508. Vettore PC agganciato: INT 13h, INT 09h.
  509.  
  510. Metodo di infezione: Quando il sistema Φ avviato da un dischetto infetto,
  511. il virus infetta il settore di boot del DOS e si carica in memoria.
  512. Mentre si carica, infetta ogni disco non protetto a cui si accede.
  513. Il CHKDSK di DOS indica 653.312 Byte di memoria libera.
  514.  
  515. Danni: Il giorno 18 di ogni mese, il virus fa emettere il rumore di un 
  516. clic ogni volta che si preme un tasto. Il sistema pu≥ bloccarsi quando 
  517. si verifica un errore di lettura e parte dell'originale settore di boot
  518. pu≥ essere sovrascritto, rendendo la partizione inavviabile.
  519.  
  520. [Friday_13th]
  521. Nome del Virus: Friday_13th.
  522. Pseudonimo: Friday the 13th, Virus 1813, Israelian, Jerusalem.
  523. Tipo di Virus: Virus da file.
  524. Lunghezza del Virus: circa 1.813 Byte.
  525. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  526. Vettore PC agganciato:  Int 21.
  527.  
  528. Procedura eseguita:
  529. 1) Il virus controlla che sia in memoria. Se "NO", si carica in memoria
  530. intercettando l'INT 21h. 
  531. 2) Esegue il file originale.
  532. 3) Il virus caricato in memoria infetta ogni disco non infetto 
  533. che viene aperto.
  534.  
  535. Danni: Nel 1987 il virus non crea danni. Continua solamente ad
  536. infettare altri file. Ogni venerd∞ 13, escluso il 1987, il virus
  537. cancella ogni programma eseguito.
  538. Tutti gli altri giorni, escluso il 1987; il virus si diffonde.
  539. Mezz'ora dopo circa che il virus si Φ installato in memoria,
  540. fa scorrere sullo schermo una piccola finestra formata da due linee con 
  541. coordinate (5,5), (16,16) e diminuisce la velocitα del computer, 
  542. innescando un loop che si ripete 12 volte al secondo.
  543.  
  544. Metodo di rilevazione: Aumenta la lunghezza dei file di 1.813 Byte.
  545.  
  546. Note: Si carica in memoria. Appare un messaggio d'errore in caso ci sia
  547. un errore di I/O(come per esempio protetto da scrittura).
  548.  
  549. [Frodo.Frodo.A]
  550. Nome del Virus: Frodo.Frodo.A.
  551. Pseudonimo: 4096, IDF, 4096-1, Frodo, Frodo.Frodo.A, 100 Year.
  552. Tipo di Virus: Virus da file.
  553. Lunghezza del Virus: 4.096 Byte.
  554. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  555. Vettore PC agganciato: INT 21h, INT 13h.
  556.  
  557. Metodo di infezione: Quando viene eseguito un file infetto, il virus si
  558. installa in memoria. Mentre si carica, infetta tutti i file eseguibili. 
  559. Il virus fa aumentare di lunghezza i file infetti di 4.096 Byte.
  560.  
  561. Danni: Dopo il 21 settembre, il virus cerca di modificare il settore di
  562. boot mostrando la scritta "FRODO LIVES". Tuttavia il codice del virus Φ
  563. inesatto, cos∞ invece di modificare aree del sistema, lo blocca.
  564.  
  565. Note: Mentre il virus Φ in memoria, aumenta la lunghezza i file infetti.
  566.  
  567. [Generic_408]
  568. Nome del Virus: Generic_408.
  569. Pseudonimo: NYB, B1.
  570. Tipo di Virus: Virus da boot.
  571. Lunghezza del Virus: N/A.
  572. Descrizione: Questo Virus infetta il settore di boot.
  573.  
  574. Metodo di infezione: Quando il sistema Φ avviato con un dischetto
  575. infetto, il virus infetta il Master Boot Record e si carica in memoria.
  576. Mentre viene caricato, infetta ogni disco non protetto a cui si accede.
  577.  
  578. Danni: Nessuno conosciuto.
  579.  
  580. [Generic_437]
  581. Nome del Virus: Generic_437.
  582. Pseudonimo: Boot-437.
  583. Tipo di Virus: Virus da boot.
  584. Lunghezza del Virus: N/A.
  585. Descrizione: Questo Virus infetta il settore di boot.
  586.  
  587. Il virus infetta solamente gli hard disk quando si avvia con un disco
  588. infetto. 
  589. Una volta che il virus ha infettato l'hard disk, saranno infettati
  590. tutti i floppy che saranno usati su quella macchina.
  591.  
  592. Come molti altri virus del settore di boot (eccetto Form), Boot-437
  593. infetta il settore di boot del DOS anzichΘ il Master Boot Record.
  594.  
  595. [GreenCat]
  596. Nome del Virus: GreenCat.
  597. Pseudonimo: Green Caterpillar, Green_Caterpillar.1575.A, Find, 1591,
  598. 1575.
  599. Tipo di Virus: Virus da file.
  600. Lunghezza del Virus: Da 1.991 a 2.005 Byte.
  601. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  602. Vettore PC agganciato: INT 21h.
  603.  
  604. Metodo di infezione: Quando viene eseguito un file infetto,
  605. il virus si carica in memoria.
  606.  
  607. Danni: Dopo che Φ trascorso un tempo prestabilito, 
  608. l'esecuzione di un file infetto determina il passaggio di un
  609. "Caterpillar" verde sullo lo schermo, cancellando al suo passaggio
  610. i dati dallo schermo. 
  611. Non c'Φ un danno permanente.
  612.  
  613. [Grog31]
  614. Nome del Virus: Grog31.
  615. Pseudonimo: Grog 3.1.
  616. Tipo di Virus: Virus da file.
  617. Lunghezza del Virus: 1.200 Byte.
  618. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM 
  619. ed anche il file COMMAND.COM.
  620.  
  621. Quando si esegue un file infetto, il virus si installa nella
  622. memoria. La memoria totale disponibile diminuisce di 4.800  Byte. 
  623. Il virus infetta inoltre COMMAND.COM.
  624.  
  625. Una volta che il virus Φ in memoria, infetta i file con estensione
  626. *.COM, eseguiti o aperti, pi∙ grandi di 2.000 Byte.
  627. I file infetti aumentano di 1.200 Byte di lughezza, con il virus
  628. localizzato all'inizio del file infetto.
  629. Le informazioni sulla data e l'ora dei file infetti non vengono alterate.
  630.  
  631.  
  632. Nel virus si pu≥ trovare la stringa:
  633.  
  634.     "GROG 4EVER!"
  635.     "GROG v3.1 (C) '93 by GROG - Italy"
  636.     "Microsoft C:\COMMAND.COM"
  637.  
  638. [Hacktic2]
  639. Nome del Virus: Hacktic2.
  640. Tipo di Virus: Virus da file.
  641. Lunghezza del Virus: 83 Byte.
  642. Descrizione: Il virus infetta i file con estensione *.COM e *.EXE, 
  643. incluso il COMMAND:COM.
  644.  
  645. Quando viene eseguito un file infetto, il virus infetta un file
  646. nella directory in uso, accorciando la lunghezza del file di 83 
  647. cos∞ come cambia l'attributo del file in "hidden".
  648. Le informazioni sulla data e l'ora dei file infetti sono cambiate 
  649. con quelle dell'infezione.
  650.  
  651. [Hobbit]
  652. Nome del Virus: Hobbit.
  653. Tipo di Virus: Virus da file.
  654. Lunghezza del Virus: 505 Byte.
  655. Descrizione: Questo  virus infetta i file con estensione *.EXE.
  656.  
  657. Quando si esegue un file infetto, il virus si installa nella
  658. memoria. La memoria totale disponibile decrementa di 1.440  Byte.
  659.  
  660. Una volta che il virus Φ in memoria, infetta i file
  661.  con estensione *.EXE quando vengono eseguiti o aperti. 
  662. Il virus sovrascrive i primi 505 Byte del file.
  663. Le informazioni sulla data e l'ora dei file infetti non viene alterata.
  664.  
  665. Nel virus si pu≥ trovare la stringa:
  666.  
  667.     "HOBIT"
  668.  
  669. [Jerusalem]
  670. Nome del Virus: Jerusalem.
  671. Pseudonimo: Israeli, Jerusalem.1808.Standard, 1808, Israeli,
  672.                    1813 Jeru-3-3, Jerusalem.1808.Critical.
  673. Tipo di Virus: Virus da file.
  674. Lunghezza del Virus:Da 1.808 a 1.822 Byte.
  675. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  676. Vettore PC agganciato: INT 21h, INT 08h.
  677.  
  678. Metodo di infezione: Quando viene eseguito un file infetto, 
  679. il virus si carica in memoria. Mentre caricato, infetta ogni 
  680. file eseguito, eccetto il file COMMAND.COM. 
  681. Il virus fa aumentare la lunghezza dei 
  682. file con estensione *.EXE di 1.808-1.822 Byte 
  683. nella prima infezione e di 1.808 Byte nelle successive.
  684. I file infetti con estensione *.COM aumentano di 1.813 Byte.
  685.  
  686. Danni: Venerd∞ 13, dopo che il virus Φ presente da trenta minuti, 
  687. cancella tutti i file eseguiti. Un altro giorno, il virus anticipa 
  688. l'ora di sistema di 30 minuti, dopo ogni infezione. 
  689. Esso inoltre cancella una porzione dello schermo, sulla quale non
  690. appare niente.
  691. Un bug nel virus fa in modo che i file con estensione *.EXE
  692. siano infettati ripetutamente finchΦ diventano troppo grandi per
  693. essere eseguiti.
  694.  
  695. [Joshi]
  696. Nome del Virus: Joshi.
  697. Pseudonimo: Happy Birthday Joshi.
  698. Tipo di Virus: Virus da boot.
  699. Lunghezza del Virus: N/A.
  700. Descrizione: Questo Virus infetta il settore di boot.
  701.  
  702. Metodo di rilevazione: Il primo virus "Jhoshi" fu scoperto in India 
  703. nel 1990. E' un virus molto popolare in India: 
  704. Il virus rimane nel settore di boot o nell'area FAT. 
  705. Ogni 5 Gennaio, il virus fa comparire: "Type Happy Birthday Joshi". 
  706. Non vi sono conseguenze se l'utente sovrascrive il messaggio. 
  707. La memoria del sistema diminuisce di 6KB quando Φ presente il virus.
  708.  
  709. Note: Si carica in memoria. Appare un messaggio d'errore in caso 
  710. ci sia un errore di I/O (come per esempio protetto da scrittura).
  711.  
  712. [Jumper]
  713. Nome del Virus: Jumper.
  714. Pseudonimo: 2kb.
  715. Tipo di Virus: Virus da file.
  716. Lunghezza del Virus: 2.048 Byte.
  717. Descrizione: Questo Virus infetta i file con estensione *.COM 
  718. ed *.EXE ed il COMMAND.COM.
  719.  
  720. Quando un file infetto viene eseguito per la prima volta in un 
  721. sistema pulito, il virus si carica in memoria. La memoria totale 
  722. diminuisce di 8.336 Byte. Una volta che il virus Φ in memoria, 
  723. infetta i file con estensione *.EXE e *.COM  appena vengono eseguiti. 
  724. I file infetti hanno la  lunghezza del file aumentata di  2.048  Byte. 
  725. Data ed ora dei file infetti non sono cambiate.
  726.  
  727. La seguente stringa Φ presente nei programmi infetti:
  728.  
  729.     "BIOS"
  730.  
  731. [Junkie.A-1]
  732. Nome del Virus: Junkie.A-1.
  733. Pseudonimo: Junkie.
  734. Tipo di Virus: Virus da file.
  735. Lunghezza del Virus: N/A.
  736. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  737. Vettore PC agganciato: INT 1Ch, INT 21h.
  738.  
  739. Metodo di infezione: La prima volta che un file infetto Φ in esecuzione,
  740. il virus sovrascrive il Master Boot Record. Quando il sistema Φ avviato
  741. nuovamente (o quando Φ avviato con un dischetto infetto), il virus si
  742. carica in memoria. Mentre caricato, il virus infetta ogni file
  743. con estensione *.COM eseguito e ogni disco a cui si accede.
  744. Il programma DOS CHKDSK mostra la "total  Byte memoria" diminuita 
  745. di 3.072  Byte. I file infetti aumentano di almeno 1.000  Byte.
  746.  
  747. Danni: Nessuno conosciuto.
  748.  
  749. [K_Hate]
  750. Nome del Virus: K_Hate.
  751. Pseudonimo: K-Hate.
  752. Tipo di Virus: Virus da file.
  753. Lunghezza del Virus: Da 1.237 a 1.304 Byte.
  754. Descrizione: Questo Φ un Virus che infetta i file con estensione *.COM 
  755. ed il COMMAND.COM.
  756.  
  757. Quando viene eseguito un file infetto, il virus infetta tutti 
  758. i file con estensione *.COM sistemati nella stessa directory. 
  759. I file infetti aumentano di 1.237 Byte fino a 1.304 con il virus 
  760. localizzato alla fine del file. Le informazioni riguardanti data ed ora
  761. dei file infetti non saranno cambiate.  
  762.  
  763. Nel virus si pu≥ trovare la stringa:
  764.  
  765.     "CRYPT INFO"
  766.     "KDG 0,5 / Khntark3"
  767.     "*, K-HATE / Khntark*.COM"
  768.  
  769. [Kampana.A]
  770. Nome del Virus: Kampana.A.
  771. Pseudonimo: Telecom Boot, Campa, Anti-Tel, Brasil.
  772. Tipo di Virus: Virus da boot.
  773. Lunghezza del Virus: N/A.
  774. Descrizione: Questo Virus infetta il settore di boot.
  775. Vettore PC agganciato: INT 13h.
  776.  
  777. Metodo di infezione: Quando il sistema Φ avviato da un disco infetto, 
  778. il virus si carica in memoria. Mentre caricato, infetta ogni disco a 
  779. cui si accede. Il programma DOS CHKDSK mostrerα la "Total Byte Memory"
  780. diminuita di 1.024 Byte.
  781.  
  782. Danni: Dopo un certo numero di avvii, il virus sovrascrive i 
  783. settori dell'hard disk.
  784.  
  785. Note: Se si cerca di esaminare il Master Boot Record mentre il 
  786. virus viene caricato, mostra la versione originale non infetta.
  787.  
  788. [KeyKapture]
  789. Nome del Virus: KeyKapture.
  790. Pseudonimo: KeyKap, Hellspawn.1.
  791. Tipo di Virus: Virus da file.
  792. Lunghezza del Virus: 1.074 Byte.
  793. Descrizione: Infetta i file con estensione *.EXE creando un file 
  794. con estensione *.COM nascosto, con lo stesso nome nella stessa directory.
  795.  
  796. Quando si esegue un file infetto, il virus si installa nella
  797. memoria. La memoria totale disponibile diminuisce di 3.072  Byte.
  798.  
  799. Una volta che il virus Φ in memoria, infetta i file con 
  800. estensione *.EXE eseguiti, creando un file di 1.024 Byte con estensione
  801. *.COM con lo stesso nome.
  802. Il file con estensione *.EXE originale non viene cambiato. 
  803. Un sistema infetto pu≥ bloccarsi.
  804.  
  805. Nel virus si pu≥ trovare la stringa:
  806.  
  807.     "KKV.90 KeyKapture Virus v0.90 [Hellspawn-II]
  808.      (c) 1994 by Stormbringer [PS]"
  809.  
  810. [MacGyver]
  811. Nome del Virus: MacGyver.
  812. Tipo di Virus: Virus da file.
  813. Lunghezza del Virus: 2.824 Byt.e
  814. Descrizione: Questo virus infetta i file con estensione *.EXE.
  815.  
  816. Metodo di infezione: Quando viene eseguito un programma infetto, 
  817. il virus MacGyver si installa in memoria come TSR di 3.072 Byte. 
  818. Quando il virus MacGyver Φ in memoria, infetta i programmi 
  819. con estensione *.EXE eseguiti o aperti. La seguente stringa Φ 
  820. visibile senza che il codice virale del MacGyver sia in tutti i programmi:
  821.  
  822.     "SCANVIR.SHW"
  823.  
  824. Danni: Pu≥ causare frequenti blocchi del sistema quando vengono 
  825. eseguiti i programmi con estensione *.EXE. Il programma DOS CHKDSK 
  826. indica gli errori di allocazione dei file in tutti i file infetti 
  827. quando il virus Φ presente in memoria.
  828.  
  829. [Metal_Militia]
  830. Nome del Virus: Metal_Militia.
  831. Pseudonimo: MMIR, Immortal Riot.
  832. Tipo di Virus: Virus da file.
  833. Lunghezza del Virus: 282 Byte.
  834. Descrizione: Questo  virus infetta i file con estensione *.COM, 
  835. ed il file COMMAND.COM.
  836.  
  837. Quando si esegue un file infetto, il virus si installa nella
  838. memoria. La memoria totale disponibile diminuisce di 3.072  Byte.
  839.  
  840. Una volta che il virus Φ in memoria, infetta i file con 
  841. estensione *.COM eseguiti. I file infetti aumentano 
  842. di 1.054-5 Byte di lunghezza, con il virus localizzato 
  843. all'inizio del file infetto. Le informazioni riguardo data ed ora 
  844. dei file infetti non saranno cambiate.
  845.  
  846. Nel virus si pu≥ trovare la stringa:
  847.  
  848.   "Senseless Destruction..."
  849.   "Protecting what we are joining together to take
  850.    on the world.."
  851.   "METAL MiLiTiA [iMMORTAL RIOT] SVW"
  852.  
  853. [Michelangelo]
  854. Nome del Virus: Michelangelo.
  855. Tipo di Virus: Virus da boot.
  856. Lunghezza del Virus: N/A.
  857. Descrizione: Questo virus infetta il settore di boot dei dischi.
  858.  
  859. Quando il sistema Φ avviato da un disco infetto, il virus si installa  
  860. in memoria. La memoria utilizzabile diminuisce di 2.048 Byte.
  861.  
  862. Una volta che il virus Φ in memoria, infetta il settore di boot dei 
  863. dischi a cui si accede. Il virus rimuove il settore di boot originale 
  864. e lo sostituisce con una copia di se stesso.
  865.  
  866. Questo virus si attiva il giorno 6 Marzo. Formatta l'hard disk, 
  867. sovrascrivendo tutti i dati presenti.
  868.  
  869. [Monkey]
  870. Nome del Virus: Monkey.
  871. Pseudonimo: Stoned.Empire.Monkey.B, Monkey 2.
  872. Tipo di Virus: Virus da boot.
  873. Lunghezza del Virus: N/A.
  874. Descrizione: Questo virus infetta il settore di boot.
  875.  
  876. Metodo di infezione: Quando il sistema viene avviato da un dischetto 
  877. infetto, il virus si carica in memoria. Mentre caricato, infetta ogni 
  878. dischetto non protetto a cui si accede. Il programma DOS CHKDSK mostra 
  879. la "total  Byte memoria" diminuita di 1.024 Byte. Monkey-1 Φ uno dei 
  880. pochi virus che pu≥ infettare con successo i floppy mentre Φ in 
  881. esecuzione Microsoft Windows.
  882.  
  883. Danni: Il virus cripta la tabella delle partizioni del Master Boot Record.
  884. Se si cerca di avviare da un floppy pulito, il disco risulta inaccessibile
  885. in quanto la partizione table Φ stata rimossa.
  886.  
  887. Note: Se si cerca di esaminare il Master Boot Record mentre il virus Φ in
  888. memoria, compare la versione originale non infetta .
  889. Attenzione: Non usare FDISK /MBR per pulire questo virus.
  890.  
  891. [Mummy]
  892. Nome del Virus: Mummy.
  893. Tipo di Virus: Virus da file.
  894. Lunghezza del Virus: 1.300 - 1.503 Byte.
  895. Descrizione: Questo  virus infetta i file con estensione *.EXE.
  896.  
  897. Procedura eseguita:
  898. 1) Il virus verifica che sia in memoria.
  899. Se "No", si carica in memoria intercettando l'INT 21h.
  900. 2) Esegue il file originale.
  901. 3) Il virus in memoria infetta quindi ogni file non infetto eseguito.
  902.  
  903. Danni: Questo virus possiede diverse varianti. Mentre alcune di queste 
  904. non creano danni, altre diminuiscono le prestazioni del sistema ed alcune
  905. varianti di Mummy hanno un contatore numerico con impostazioni casuali.
  906. Quando il contatore arriva a zero, il virus sovrascrive la prima parte
  907. dell'hard disk e causa un'ingente perdita di dati.
  908.  
  909. Metodo di rilevazione: Fa aumentare la lunghezza dei file di 1.300-1.503
  910. Byte. 
  911. Il virus, quando Φ in memoria, blocca occasionalmente il sistema. 
  912. Nel codice del virus Φ presente la stringa di testo criptata:
  913.  
  914.    "Mummy Version x.xxx",
  915.     "Kaohsiung Senior School",
  916.     "Tzeng Jau Ming presents",
  917.     "Series Number=[xxxxx]."
  918.  
  919. Note: Si carica in memoria. Appare un messaggio d'errore in caso 
  920. ci sia un errore di I/O(come per esempio protetto da scrittura).
  921.  
  922. [Natas]
  923. Nome del Virus: Natas.
  924. Pseudonimo: Satan, Sat_Bug.Natas, Natas-4, Natas-6.
  925. Tipo di Virus: Virus da file.
  926. Lunghezza del Virus: 4.746 Byte.
  927. Descrizione: Questo Virus infetta i file con estensione *.COM e *.EXE.
  928. Vettore PC agganciato: INT 13h, INT 21h.
  929.  
  930. Metodo di infezione: Quando il sistema Φ avviato da un disco infetto,
  931.  il virus si carica in memoria ed infetta il Master Boot Record. 
  932. Mentre caricato, infetta ogni file o dischetto che viene aperto.
  933. La memoria totale del sistema diminuisce di 5.664 Byte. 
  934. I file infetti aumentano di 4.744 Byte.
  935.  
  936. Danni: Il virus formatta l'hard disk e distrugge i dati contenuti nei
  937. dischetti.
  938.  
  939. [No_of_Beast]
  940. Nome del Virus: No_of_Beast.
  941. Pseudonimo: No. of the Beast.
  942. Number_of_the_Beast.E, DARTH, 666, 512.
  943. Tipo di Virus: Virus da file.
  944. Lunghezza del Virus: 512 Byte.
  945. Descrizione: Questo virus infetta i file con estensione *.COM.
  946. Vettore PC agganciato: INT 13h, INT 21h.
  947.  
  948. Metodo di infezione: Quando viene eseguito un file infetto, 
  949. il virus si carica in memoria. Mentre caricato, infetta 
  950. i file con estensione *.COM aperti. Il virus sovrascrive 
  951. i primi 512 Byte dei file infetti, ma archivia i dati originali 
  952. nello spazio libero alla fine dei file.
  953.  
  954. Danni: Se un file infetto viene copiato, alcuni dei suoi dati 
  955. originali potrebbero essere distrutti.
  956.  
  957. Note: Se si cerca di esaminare un file infetto, mentre il virus 
  958. Φ in memoria, comparirα la versione non infetta originale.
  959.  
  960. [Nop]
  961. Nome del Virus: Nop.
  962. Pseudonimo: Nops, Stealth_Boot.
  963. Descrizione: See Stealth_Boot.C.
  964.  
  965. [Nov_17th]
  966. Nome del Virus: Nov_17th.
  967. Pseudonimo: November 17th.
  968. Tipo di Virus: Virus da file
  969. Lunghezza del Virus: 885 Byte.
  970. Descrizione: Questo virus infetta i file con estensione *.COM e *.EXE.
  971.  
  972. Procedura eseguita:
  973. 1) Il virus controlla che sia in memoria. Se "No", si carica 
  974. in memoria intercettando l'INT 21h.
  975. 2) Esegue il file originale.
  976. 3) Una volta in memoria, infetta ogni file non infetto eseguito.
  977.  
  978. Danni: Ogni giorno tra il 17 ed il 30 Novembre, il virus distrugge 
  979. i primi 8 settori del disco utilizzato.
  980.  
  981. Note: Si carica in memoria. Appare un messaggio d'errore in caso 
  982. ci sia un errore di I/O (come per esempio protetto da scrittura).
  983.  
  984. [One_half]
  985. Nome del Virus: One_half.
  986. Tipo di Virus: Virus da file.
  987. Lunghezza del Virus: 3.544 Byte.
  988. Descrizione: Infetta i file con estensione *.COM e *.EXE ed 
  989. il file COMMAND.COM.
  990. Vettore PC agganciato: INT 21h.
  991.  
  992. Metodo di infezione: Quando viene eseguito un file infetto, 
  993. il virus si carica in memoria. Mentre caricato, 
  994. infetta ogni file eseguibile aperto. Il programma DOS CHKDSK 
  995. mostra la "total  Byte memoria" diminuita di 4.096 Byte. 
  996. I file con estensione *.COM e *.EXE infetti aumentano di 3.544 Byte.
  997.  
  998. Danni: In fase di verifica.
  999.  
  1000. Note: Se si cerca di esaminare l'hard disk mentre il virus Φ 
  1001. in memoria, compare la versione non infetta originale.
  1002.  
  1003.  
  1004. [Ontario]
  1005. Nome del Virus: Ontario.
  1006. Tipo di Virus: Virus da file.
  1007. Lunghezza del Virus: 512 Byte.
  1008. Descrizione: Infetta i file con estensione *.COM ed *.EXE, 
  1009. i file overlay *.OVL, il file COMMAND.COM.
  1010.  
  1011. Quando si esegue un file infetto, il virus si installa in memoria. 
  1012. La memoria totale disponibile diminuisce di 2.048  Byte.
  1013. Il virus infetta inoltre COMMAND.COM aumentando le sue dimensioni di
  1014. 512 Byte.
  1015.  
  1016. Una volta che il virus Φ in memoria, infetta i file che vengono
  1017. eseguiti. 
  1018. I file infetti aumentano di 512 - 1.023 Byte di lunghezza a seconda
  1019. del tipo di file.
  1020.  
  1021. [Parity_boot.b]
  1022. Nome del Virus: Parity_Boot.B.
  1023. Pseudonimo: Parity_BOOT.B, Generic1.
  1024. Tipo di Virus: Virus da boot.
  1025. Lunghezza del Virus: N/A.
  1026. Descrizione: Questo virus infetta il settore di boot.
  1027. Vettore PC agganciato: INT 13h.
  1028.  
  1029. Metodo di infezione: Quando il sistema Φ avviato da un dischetto 
  1030. non infetto, il virus infetta il Master Boot Record e si carica in
  1031. memoria.
  1032. Mentre caricato, infetta tutti i dischi non protetti eseguiti. 
  1033. Il programma DOSCHKDSK mostra la "total  Byte memoria" diminuita di
  1034. 1.024  Byte.
  1035.  
  1036. Danni: Quando viene acceso il sistema, il virus ritarda di un'ora
  1037. l'orologio. 
  1038. Ogni volta che un floppy Φ infettato, l'orologio viene reimpostato. 
  1039. Se nessun floppy viene infettato, il virus simula un errore di paritα, 
  1040. facendo comparire il seguente messaggio e bloccando il sistema:
  1041.  
  1042. "Parity Check"
  1043.  
  1044. Note: Se si cerca di esaminare il settore di boot mentre il virus Φ 
  1045. in memoria, compare la versione non infetta originale.
  1046.  
  1047.  
  1048. [Readiosys]
  1049. Nome del Virus: Readiosys.
  1050. Pseudonimo: AntiCMOS, Lenart.
  1051. Tipo di Virus: Virus da boot.
  1052. Lunghezza del Virus: N/A.
  1053. Descrizione: Questo virus infetta il settore di boot.
  1054.  
  1055. Quando il sistema Φ avviato da un hard disk infetto, 
  1056. il virus si carica in memoria. Dopo che il caricamento Φ 
  1057. avvenuto con successo, il virus infetta i dischi eseguiti. 
  1058. Il programma DOS CHKDSK mostra la "total  Byte memoria" 
  1059. diminuita di 2.048  Byte.
  1060.  
  1061. Questo virus pu≥ cambiare i settaggi di CMOS, che dipendono 
  1062. dall'hardware. Molto spesso, il sistema si blocca prima che 
  1063. il virus abbia terminato di caricarsi in memoria.
  1064.  
  1065. [Ripper]
  1066. Nome del Virus: Ripper.
  1067. Pseudonimo: Jack Ripper.
  1068. Tipo di Virus:   Virus da boot.
  1069. Lunghezza del Virus: N/A.
  1070. Descrizione: Questo virus infetta il settore di boot.
  1071.  
  1072. Metodo di infezione: Il virus si carica in memoria quando il sistema 
  1073. viene avviato da un dischetto infetto. Mentre caricato, il virus 
  1074. infetta ogni disco non protetto eseguito.
  1075.  
  1076. Danni: Il virus contamina l'hard disk gradualmente, scegliendo 
  1077. casualmente una scrittura sul disco (circa 1 ogni 1000) e scambia 
  1078. due parole nel buffer di scrittura.
  1079.  
  1080. Note: Se si cerca di esaminare il settore di boot infetto mentre 
  1081. il virus Φ in memoria, compare la versione non infetta originale.
  1082.  
  1083. [Slayer]
  1084. Nome del Virus: Slayer.
  1085. Pseudonimo: 5120, Vbasic.
  1086. Tipo di Virus: Virus da file.
  1087. Lunghezza del Virus: 5.120 Byte.
  1088. Descrizione: Questo virus infetta i file con estensione *.COM e *.EXE.
  1089.  
  1090. Quando viene eseguito un file infetto, il virus infetta tutti i file 
  1091. con estensione *.COM e *.EXE situati nella stessa directory. 
  1092. I file infetti passano da 5.120 Byte a 5.135 Byte con il virus 
  1093. localizzato alla fine del file. Le informazioni riguardanti 
  1094. data ed ora dei file infetti non sono cambiate.
  1095.  
  1096. [Squisher]
  1097. Nome del Virus: Squisher.
  1098. Pseudonimo: Tiny Hunter.
  1099. Tipo di Virus: Virus da file.
  1100. Lunghezza del Virus: 340 Byte.
  1101. Descrizione: Infetta i file con estensione *.COM ed il file COMMAND.COM.
  1102.  
  1103. Quando si esegue un file infetto, il virus si installa nella
  1104. memoria. La memoria disponibile del sistema rimane invariata.
  1105. Quando il virus Φ in memoria, infetta i file con estensione *.COM 
  1106. che contengono pi∙ di 340 Byte di caratteri esadecimali '00' eseguiti. 
  1107. I file infetti non aumentano la loro lunghezza. 
  1108. Le informazioni riguardanti data ed ora dei file infetti non sono
  1109. cambiate.
  1110.  
  1111. [Stealth_Boot.C]
  1112. Nome del Virus: Stealth_Boot.C.
  1113. Pseudonimo: Amse, Nops, STELBOO, STB.
  1114. Tipo di Virus:  Virus da boot.
  1115. Lunghezza del Virus: N/A.
  1116. Descrizione: Questo virus infetta il settore di boot.
  1117. Vettore PC agganciato: INT 13h.
  1118.  
  1119. Metodo di infezione: Quando il sistema Φ avviato da un dischetto
  1120. infetto, il virus si carica in memoria ed infetta il Master Boot Record.
  1121. Mentre caricato, infetta ogni dischetto non protetto a cui si accede. 
  1122. Il programma DOS CHKDSK  mostra la "Total Byte Memory"  diminuita di
  1123. 4.000 Byte.
  1124.  
  1125. Danni: : Nessun danno intenzionale.
  1126.  
  1127. Note: Se si cerca di esaminare i settori dell'hard disk infetti mentre
  1128. il virus Φ in memoria, riporterα con un buffer pieno di zeri.
  1129.  
  1130.  
  1131. [Stoned]
  1132. Nome del Virus: Stoned.
  1133. Pseudonimo: Marijuana, New Zealand, Stoned.Standard.A.
  1134. Tipo di Virus: Virus da boot.
  1135. Lunghezza del Virus: N/A.
  1136. Descrizione: Questo virus infetta il settore di boot.
  1137. Vettore PC agganciato: INT 13h.
  1138.  
  1139. Metodo di infezione: Quando il sistema Φ avviato da un floppy infetto, 
  1140. il virus si carica in memoria ed infetta l'hard disk. 
  1141. Mentre caricato, infetta ogni dischetto aperto. 
  1142. Il programma DOS CHKDSK mostra la "total  Byte memoria" diminuita di
  1143. 2.048 Byte.
  1144.  
  1145. Danni: Nessun danno intenzionale. Appare il seguente messaggio:
  1146.  
  1147.     "Your PC is now Stoned!"
  1148.  
  1149. [Stoned.Azusa]
  1150. Nome del Virus: Stoned.Azusa.
  1151. Pseudonimo: Azusa, Hong Kong.
  1152. Tipo di Virus: Virus da boot.
  1153. Lunghezza del Virus: N/A.
  1154. Descrizione: Questo virus infetta il settore di boot.
  1155. Vettore PC agganciato: INT 13h.
  1156.  
  1157. Metodo di infezione: Quando il sistema viene avviato da un 
  1158. dischetto infetto, il virus si carica in memoria. Mentre caricato, 
  1159. cerca di infettare ogni dischetto aperto. A differenza della maggior 
  1160. parte dei virus del settore di boot, non conserva una copia del 
  1161. Master Boot Record originale. Esso invece lo sovrascrive 
  1162. privandolo delle sue funzioni. Il programma DOS CHKDSK mostra 
  1163. la "total  Byte memoria" diminuita di 1.024  Byte.
  1164.  
  1165. Danni: Dopo un numero specifico di riavvii, il virus disabilita 
  1166. temporaneamente le porte parallele e seriali.
  1167.  
  1168. [Sunday-1]
  1169. Nome del Virus: Sunday-1.
  1170. Tipo di Virus: Virus da file.
  1171. Lunghezza del Virus: 1.636 Byte.
  1172. Descrizione: Infetta i file con estensione *.COM e *.EXE ed 
  1173. inoltre copre i file.
  1174.  
  1175. Danni: Ogni domenica il virus pu≥ danneggiare il FAT. 
  1176. Compare inoltre il seguente messaggio:
  1177.  
  1178.     "Today is Sunday! Why do you work so hard?
  1179.     All work and no play makes you a dull boy!
  1180.     Come on!  Let's go out and have some fun!"
  1181.  
  1182. [Taiwan]
  1183. Nome del Virus: Taiwan.
  1184. Pseudonimo: Taiwan 2.
  1185. Tipo di Virus: Virus da file.
  1186. Lunghezza del Virus: 743 Byte.
  1187. Descrizione: Infetta i file con estensione *.COM, 
  1188. incluso il file COMMAND.COM.
  1189.  
  1190. Quando viene eseguito un file infetto, il virus prova ad infettare 
  1191. tre file con estensione *.COM partendo da C:\. I file infetti 
  1192. aumentano di 743 Byte di lunghezza con il virus situato all'inizio
  1193. del file.
  1194.  
  1195. Il virus viene attivato il giorno 8 di ogni mese quando riscrive 
  1196. il FAT table e la directory principale.
  1197.  
  1198. [Telecom]
  1199. Nome del Virus: Telecom.
  1200. Pseudonimo: Telefonica.
  1201. Tipo di Virus: Virus da file.
  1202. Lunghezza del Virus: 3.700 Byte.
  1203. Descrizione: Questo virus infetta i file con estensione *.COM.
  1204.  
  1205. Quando si esegue un file infetto, il virus si installa nella
  1206. memoria. La memoria totale disponibile diminuisce di 3.984  Byte.
  1207.  
  1208. Una volta che il virus Φ in memoria, infetta i file con estensione
  1209. *.COM pi∙ grandi di 1.000 Byte eseguiti. I file infetti aumentano 
  1210. di 3.700 Byte di lunghezza. Le informazioni riguardanti 
  1211. data ed ora dei file infetti sono modificate con l'aggiunta di 100
  1212. all'anno.
  1213.  
  1214. [Tequila]
  1215. Nome del Virus: Tequila.
  1216. Pseudonimo: Stealth.
  1217. Tipo di Virus: Virus da file.
  1218. Lunghezza del Virus: 2.468 Byte.
  1219. Descrizione: Infetta i file con estensione *.EXE, ed il settore di boot.
  1220. Vettore PC agganciato: INT 13h, INT 21h.
  1221.  
  1222. Metodo di infezione: La prima volta che Φ in esecuzione un file infetto, 
  1223. il virus infetta il Master Boot Record. Quando il sistema Φ avviato 
  1224. da un hard disk infetto, il virus si carica in memoria. 
  1225. Mentre caricato, infetta ogni file con estensione *.EXE eseguito. 
  1226. Il programma DOS CHKDSK presenta la "total  Byte memoria" diminuita 
  1227. di 3.072 Byte. I file con estensione *.EXE aumentano di 2.468 Byte. 
  1228. Il virus non infetta file che iniziano con "V" o con "SC".
  1229.  
  1230. Danni: Diversi mesi successivi alla prima infezione, il virus diventa
  1231. attivo. In seguito, ogni mese, se un programma infetto Φ in esecuzione 
  1232. lo stesso giorno della prima infezione, compare sullo schermo un
  1233. disegno e il seguente messaggio:
  1234.  
  1235.     Welcome to T.TEQUILA'S latest production.
  1236.     Contact T.TEQUILA/P.o.Box 543/6312
  1237.     St'hausen/Switzerland
  1238.     Loving thoughts to L.I.N.D.A
  1239.     BEER and TEQUILA forever !
  1240.  
  1241. Nota: Il virus si nasconde nel record della partizione infetta 
  1242. ed aumenta la lunghezza dei file infetti.
  1243.  
  1244. [Traveller]
  1245. Nome del Virus: Traveller.
  1246. Pseudonimo: Bupt.
  1247. Tipo di Virus: Virus da file.
  1248. Lunghezza del Virus: Da 1.220 a 1.237 Byte.
  1249. Descrizione: Infetta i file con estensione *.COM e *.EXE, ed il file
  1250. COMMAND.COM.
  1251.  
  1252. Quando si esegue un file infetto, il virus si installa nella memoria. 
  1253. La memoria disponibile totale diminuisce di 1.840 Byte.
  1254.  
  1255. Quando il virus Φ in memoria, infetta i file con estensione *.COM e
  1256. *.EXE alla loro esecuzione. Questo virus, inoltre, infetta quando
  1257. viene utilizzato il comando DIR. I file infetti aumentano da 1.220
  1258. a 1.237 Byte, con il virus situato alla fine del file infetto.
  1259. Le informazioni riguardanti data ed ora dei file infetti non sono
  1260. cambiate.
  1261.  
  1262. Nel virus si pu≥ trovare la stringa:
  1263.  
  1264.     "Traveller (C) BUPT  1991.4"
  1265.     "Don't panic I'm harmless <<---!!!!!!!"
  1266.     "*.* COMEXE"
  1267.  
  1268. [Trivial]
  1269. Nome del Virus: Trivial.
  1270. Pseudonimo: Minimal, Mini-45.
  1271. Tipo di Virus: Virus da file.
  1272. Lunghezza del Virus: 45 Byte.
  1273. Descrizione: Infetta i file con estensione *.COM ed il file COMMAND.COM.
  1274.  
  1275. Quando viene eseguito un file infetto, il virus infetta tutti i 
  1276. file con estensione *.COM nella stessa directory: I primi 45 Byte 
  1277. dei file infetti vengono sovrascritti dal virus. 
  1278. Le informazioni riguardanti data ed ora dei file infetti 
  1279. vengono aggiornate all'ora dell'infezione.
  1280.  
  1281. Tutti i file sono permanentemente danneggiati.
  1282.  
  1283. [V-sign]
  1284. Nome del Virus: V-sign.
  1285. Pseudonimo: Cansu, Sigalet, Sigalit.
  1286. Tipo di Virus: Virus da boot.
  1287. Lunghezza del Virus: N/A.
  1288. Descrizione: Questo virus infetta il settore di boot dei dischetti.
  1289. Vettore PC agganciato: INT 13h.
  1290.  
  1291. Metodo di infezione: Quando viene avviato un disco infetto, 
  1292. il virus si carica in memoria. Mentre caricato, infetta ogni 
  1293. disco a cui si accede. Il programma DOS CHKDSK mostra 
  1294. la "total  Byte memoria" diminuita di 2 KB.
  1295.  
  1296. Danni: Dopo aver infettato 64 dischi, il virus fa comparire sullo 
  1297. schermo una grande V e blocca il computer.
  1298.  
  1299.  
  1300. [V2P6]
  1301. Nome del Virus: V2P6.
  1302. Tipo di Virus: Virus da file.
  1303. Lunghezza del Virus: da 1.946 a 2.111 Byte.
  1304. Descrizione: Questo virus infetta i file con estensione *.COM.
  1305.  
  1306. Quando viene eseguito un file infetto, il virus infetta i primi 
  1307. file con estensione *.COM non infetti nella stessa directory. 
  1308. I file infetti aumentano di lunghezza passando da 1.946 a 2.111Byte 
  1309. con il virus situato alla fine del file.
  1310.  
  1311. [Vacsina]
  1312. Nome del Virus: Vacsina.
  1313. Pseudonimo: Vacsina.TP-05.A, famiglia TP.
  1314. Tipo di Virus: Virus da file.
  1315. Lunghezza del Virus: 1.206 Byte.
  1316. Descrizione: Questo virus infetta i file con estensione *.COM e *.EXE.
  1317.  
  1318. Metodo di infezione: Quando viene eseguito un file infetto, 
  1319. il virus si carica in memoria. Mentre si carica, infetta ogni file
  1320. eseguito. 
  1321. Prima di infettare i file con estensione *.EXE, il virus li 
  1322. converte a file con estensione *.COM.
  1323.  
  1324. Danni: Nessuno conosciuto.
  1325.  
  1326. Nota: Esistono diverse varianti del virus Vacsina. 
  1327. La famiglia dei virus Vacsina Φ anche conosciuta come famiglia "T.P.".
  1328.  
  1329. [VCL]
  1330. Nome del Virus: VCL.
  1331. Pseudonimo: Code Zero.
  1332. Tipo di Virus: Virus da file.
  1333. Lunghezza del Virus: 576 Byte.
  1334. Descrizione: Infetta i file con estensione *.COM ed il file COMMAND.COM.
  1335.  
  1336. Quando viene eseguito un file infetto, il virus cerca la stessa 
  1337. directory per un file con estensione *.COM non infetto. 
  1338. I file infetti aumentano di 576 Byte con il virus situato 
  1339. alla fine del file. Se nessun file non infetto viene trovato, 
  1340. compare sullo schermo il seguente messaggio:  
  1341.  
  1342.        "** CODE ZERO **"
  1343.  
  1344. Le informazioni riguardanti data ed ora dei file infetti non sono
  1345. cambiate.
  1346.  
  1347. Nel virus si pu≥ trovare la stringa:
  1348.  
  1349. "*.* *.COM"
  1350.     "** CODE ZERO **"
  1351.     "Code Zero Virus"
  1352.     "1992 Nowhere Man/[NukE]"
  1353.  
  1354. [Vengence]
  1355. Nome del Virus: Vengence.
  1356. Pseudonimo: Parasite, Vengeance.
  1357. Tipo di Virus: Virus da file.
  1358. Lunghezza del Virus: 723 Byte.
  1359. Descrizione: Infetta i file con estensione *.COM ed il file COMMAND.COM.
  1360.  
  1361. Quando viene eseguito un file infetto, il virus infetta il primo 
  1362. file con estensione *.COM non infetto nella stessa directory. 
  1363. I file infetti aumentano di 723 Byte con il virus situato alla fine del
  1364. file. 
  1365. Le informazioni riguardanti data ed ora dei file infetti sono 
  1366. modificate presentando 56 nel campo dei secondi.
  1367.  
  1368. Nel virus si pu≥ trovare la stringa:
  1369.  
  1370.     "*** Vengeance is ours! ***"
  1371.     "SKISM/Phalcon '92"
  1372.     "PATH=*.COM"
  1373.     "????????COM"
  1374.  
  1375. [Vienna]
  1376. Nome del Virus: Vienna.
  1377. Pseudonimo: DOS-62, Unesco, Austrian, 648, PC Boot.
  1378. Tipo di Virus: Virus da file.
  1379. Lunghezza del Virus: 648 Byte.
  1380. Descrizione: Questo virus infetta i file con estensione *.COM.
  1381.  
  1382. Sintomi: I file infetti e quelli contenenti la stringa  "*.COM" e "PATH="
  1383. aumentano di 648 Byte. I programmi distrutti causano il riavvio 
  1384. del computer mentre Φ in funzione.
  1385.  
  1386. Danni: Con una probabilitα su sette il virus non infetta altri file. 
  1387. Esso scrive l'istruzione JMP F000:FFF0 (riavvio del computer) alla 
  1388. partenza di ogni programma. Il contenuto originale viene distrutto, 
  1389. la lunghezza del file non cambia e il programma distrutto contiene il
  1390. segno del virus.
  1391.  
  1392.  
  1393. [XPEH]
  1394. Nome del Virus: XPEH.
  1395. Pseudonimo: 4-B, Yankee Doodle.XPEH.4928, Micropox.
  1396. Tipo di Virus: Virus da file.
  1397. Lunghezza del Virus: 4.016 Byte.
  1398. Descrizione: Questo virus infetta i file con estensione *.COM e *.EXE.
  1399. Vettore PC agganciato: INT 1Ch, INT 21h.
  1400.  
  1401. Metodo di infezione: Quando viene eseguito un file infetto, il virus 
  1402. si carica in memoria. Mentre caricato, infetta ogni file eseguibile.
  1403. Il programma DOS CHKDSK mostra la "total  Byte memoria" diminuita 
  1404. di 4.032 Byte. I file infetti aumentano di 4.016 Byte.
  1405.  
  1406. Danni: In fase di verifica.
  1407.  
  1408. [Yank-D.TP.44.A]
  1409. Nome del Virus: Yank-D.TP.44.A.
  1410. Pseudonimo: Yankee Doodle, TP44.
  1411. Tipo di Virus: Virus da file.
  1412. Lunghezza del Virus: 2.899 Byte.
  1413. Descrizione: Questo virus infetta i file con estensione *.COM e *.EXE.
  1414.  
  1415. Quando si esegue un file infetto, il virus si installa nella memoria. 
  1416. Una volta che il virus Φ in memoria, ogni giorno alle 17 fa sentire 
  1417. dagli altoparlanti la canzone "Yankee Doodle" .
  1418.  
  1419. I file infetti aumentano di 2.899 Byte.
  1420.  
  1421. [Simple]
  1422. Nome del Virus: Simple cd.
  1423. Tipo di Virus: Virus da file (infetta solo i file con estensione *.COM).
  1424. Lunghezza del Virus: Nessun cambiamento.
  1425. Vettore PC agganciato: Nessuno.
  1426.  
  1427. Procedura eseguita: Cerca i file con estensione *.COM nella directory
  1428. corrente. 
  1429. Quando trova un file con estensione *.COM, controlla che sia stato 
  1430. precedentemente infettato dal virus SIMPLE. Se "SI", continua la
  1431. ricerca dei file con estensione *.COM.
  1432. Quindi infetta i file e cerca ogni altro file con estensione *.COM,
  1433. finchΘ tutti i file con estensione *.COM della directory vengono infettati.
  1434.  
  1435. Danni: Sovrascrive il file originale. In tal modo la lunghezza del 
  1436. file originale non presenta nessuna variazione.
  1437.  
  1438. Note: Non rimane in memoria. SIMPLE non intercetta l'INT 24h quando i
  1439. nfetta il file. 
  1440. Appare un messaggio d'errore  in caso ci sia 
  1441. un errore di I/O (come protetto da scrittura).
  1442.  
  1443. [Alien-1]
  1444. Nome del Virus: Alien-1.
  1445. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  1446. Lunghezza del Virus: 571 Byte (COM ed EXE).
  1447. Vettore PC agganciato: INT 21h.
  1448.  
  1449. Procedura eseguita: Controlla che sia stato caricato 
  1450. nella memoria alta. Se "No", si carica in memoria (memoria alta) i
  1451. ntercettando l'INT 21. In seguito esegue l'originale file richiamato. 
  1452. Se "SI", esegue direttamente il file originale richiamato.
  1453.  
  1454. Danni: Nessuno.
  1455.  
  1456. Caratteristiche:
  1457. 1) Quando viene eseguito un file non infetto, il file viene infettato. 
  1458. Il virus infetta i file intercettando l'INT 21h(AX=4B).
  1459. 2)    Alien-1 non intercetta l'INT 24h quando infetta il file. 
  1460. Compare un messaggio d'errore in caso ci sia un 
  1461. errore di I/O (come per esempio protetto da scrittura).
  1462.  
  1463. Metodo di rilevazione: Il file infetto incrementa le sue 
  1464. dimensioni di 571 Byte.
  1465.  
  1466. [Lep-0736]
  1467. Nome del Virus: Lep-0736.
  1468. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  1469. Lunghezza del Virus: Nessun cambiamento.
  1470. Vettore PC agganciato: Nessuno.
  1471.  
  1472. Procedura eseguita:
  1473. 1) Cerca i file con estensione *.COM ed *.EXE 
  1474. nella directory corrente.
  1475. 2) Controlla che i file trovati siano stati infettati 
  1476. da LEP-0736.
  1477. Se "SI", continua a cercare file non infetti con 
  1478. estensione *.COM ed *.EXE.
  1479. 3) Infetta i file non infetti (infetta solo quattro file alla volta). 
  1480. Quindi compare sullo schermo il seguente messaggio: "Program too
  1481.     big to fit in memoria"
  1482.  
  1483. Danni: Sovrascrive il file originale. In tal modo la lunghezza 
  1484. del file non aumenta.
  1485.  
  1486.  
  1487. Metodo di rilevazione: Ricerca del messaggio d'errore: 
  1488. "Program too big to fit in memoria."
  1489.  
  1490. Note:
  1491. 1) Non rimane in memoria.
  1492. 2)    LEP-0736 non intercetta l'INT 24h quando infetta il file. 
  1493. Compare un messaggio d'errore in caso ci sia 
  1494. un errore di I/O (come per esempio protetto da scrittura).
  1495.  
  1496. [Ice-199]
  1497. Nome del Virus: Ice-199.
  1498. Tipo di Virus: Virus da file 
  1499. (infetta solo i file con estensione *.COM).
  1500. Lunghezza del Virus: 199 Byte.
  1501. Vettore PC agganciato: Nessuno.
  1502.  
  1503. Procedura eseguita:
  1504. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1505. 2) Controlla che sia giα infettato da Ice-199. Se "SI", 
  1506.     continua a cercare file con estensione *.COM non infetti.
  1507. 3) Infetta un solo file alla volta.
  1508.  
  1509. Danni: Nessuno.
  1510.  
  1511. Metodo di rilevazione: I file infetti incrementano la loro lunghezza
  1512. di 199 Byte.
  1513.  
  1514. Note:
  1515. 1) Non rimane in memoria.
  1516. 2) ICE-199 non intercetta l'INT 24h quando infetta il file. 
  1517. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  1518. (come per esempio protetto da scrittura).
  1519.  
  1520. [Made-255]
  1521. Nome del Virus: Made-255.
  1522. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1523. Lunghezza del Virus: 255 Byte.
  1524. Vettore PC agganciato: Nessuno.
  1525.  
  1526. Procedura eseguita:
  1527. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1528. 2) Controlla che sia giα infettato da Made-255. Se "SI", 
  1529.     continua a cercare file con estensione *.COM non infetti.
  1530. 3) Infetta un solo file alla volta.
  1531.  
  1532. Danni: Nessuno
  1533.  
  1534. Metodo di rilevazione: Il file infetto incrementa le 
  1535. sue dimensioni di 255 Byte.
  1536.  
  1537. Note:
  1538. 1)    Dopo che Φ stato eseguito un file infetto, il sistema diventa
  1539. instabile.
  1540. 2) Non rimane in memoria.
  1541. 3) MADE-255 non intercetta l'INT 24h quando infetta il file. 
  1542. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1543. (come per esempio protetto da scrittura).
  1544.  
  1545. [2570]
  1546. Nome del Virus: 2570.
  1547. Tipo di Virus: Virus da file (infetta solo i file con estensione *.COM).
  1548. Lunghezza del Virus: 2.570 Byte.
  1549. Vettore PC agganciato: Nessuno.
  1550.  
  1551. Procedura eseguita: Ricerca un file con estensione *.COM 
  1552. nella cartella in uso.
  1553. Dapprima verifica che vi siano dei file precedentemente 
  1554. infettati da "2570". Se "SI", continua a cercare un file con
  1555. estensione *.COM. Infetta un solo file con estensione *.COM alla volta. 
  1556. Dopo che avvenuta l'infezione, sullo schermo appare la seguente
  1557. lista di informazioni:
  1558.  
  1559. a) Cycle sluts from hell..
  1560. b) Virus Mania IV..
  1561. c) 2 Live Crew is fucking cool..
  1562. d) Like Commentator I, HIP-HOP sucks..
  1563. e) dr. Ruth is a first-class lady!..
  1564. f) Don t be a wimp, Be dead!.. and so on. Then the
  1565.    originally called program will be executed.
  1566.  
  1567. Danni: Nessuno.
  1568.  
  1569. Metodo di rilevazione: Il file infetto incrementa 
  1570. le sue dimensioni di  2.570 Byte.
  1571.  
  1572. Note: Non rimane in memoria. 2570 non aggancia l'INT 24h 
  1573. quando infetta i file. Appare un messaggio d'errore 
  1574. in caso ci sia un errore di I/O (come per esempio protetto da scrittura).
  1575.  
  1576. [Ice-250]
  1577. Nome del Virus: Ice-250.
  1578. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1579. Lunghezza del Virus: 250 Byte.
  1580. Vettore PC agganciato: Nessuno.
  1581.  
  1582. Procedura eseguita:
  1583. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1584. 2) Controlla che sia giα infettato da Ice-250. Se "SI", 
  1585.     continua a cercare un file con estensione *.COM non infetto.
  1586. 3) Infetta solo un file alla volta.
  1587.  
  1588. Danni: Nessuno.
  1589.  
  1590. Metodo di rilevazione: Il file infetto incrementa le sue d
  1591. imensioni di 250 Byte.
  1592.  
  1593. Note:
  1594. 1)    Non rimane in memoria.
  1595. 2) ICE-250 non intercetta l'INT 24h quando infetta il file. 
  1596. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1597. (come per esempio protetto da scrittura).
  1598.  
  1599. [Ice-224]
  1600. Nome del Virus: Ice-224.
  1601. Tipo di Virus: Virus Infector (infetta i file con estensione *.COM).
  1602. Lunghezza del Virus: 224 Byte.
  1603. Vettore PC agganciato: Nessuno.
  1604.  
  1605. Procedura eseguita:
  1606. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1607. 2) Controlla che sia giα infettato da Ice-224. Se "SI",
  1608.  continua a cercare un file con estensione *.COM non infetto.
  1609. 3) Infetta un solo file alla volta.
  1610.  
  1611. Danni: Nessuno.
  1612.  
  1613. Metodo di rilevazione: Il file infetto incrementa le sue d
  1614. imensioni di 224 Byte.
  1615.  
  1616. Note:
  1617. 1) Non rimane in memoria.
  1618. 2) ICE-224 non intercetta l'INT 24h quando infetta il file. 
  1619. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1620. (come per esempio protetto da scrittura).
  1621.  
  1622. [Lct-762]
  1623. Nome del Virus: Lct-762.
  1624. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1625. Lunghezza del Virus: 762 Byte.
  1626. Vettore PC agganciato: Nessuno.
  1627.  
  1628. Procedura eseguita:
  1629. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1630. 2) Controlla che sia giα infettato da LCT-762. Se "SI",
  1631.     continua a cercare un file con estensione *.COM non infetto.
  1632. 3) Infetta tutti i file con estensione *.COM finchΘ tutti i file 
  1633. della stessa directory non sono stati infettati.
  1634.  
  1635. Danni: Nessuno.
  1636.  
  1637. Metodo di rilevazione: Il file infetto incrementa 
  1638. le sue dimensioni di 762 Byte.
  1639.  
  1640. Note:
  1641. 1) Non rimane in memoria.
  1642. 2) LCT-762 non intercetta l'INT 24h quando infetta il file. 
  1643. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1644. (come per esempio protetto da scrittura).
  1645.  
  1646. [Alien-3]
  1647. Nome del Virus: Alien-3.
  1648. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  1649. Lunghezza del Virus: 625 Byte (COM ed EXE).
  1650. Vettore PC agganciato: INT 21h.
  1651.  
  1652. Procedura eseguita:
  1653. 1) Controlla che sia stato caricato nella memoria alta. 
  1654. Se "NO", si carica in memoria (nella porzione principale della memoria) 
  1655. intercettando l'INT 21h.
  1656. 2) Il virus controlla l'ora di sistema; se il numero di minuti 
  1657. trascorsi Φ compreso tra 33 e 60, fa comparire sullo schermo delle
  1658. virgolette " ".
  1659. 3) Dopo l'infezione esegue il file originale.
  1660.  
  1661. Danni: Nessuno.
  1662.  
  1663. Caratteristiche:
  1664. 1) Il virus infetta i file intercettando l'INT 21h (AX=4B). 
  1665. Quando un file non infetto viene eseguito, il file Φ infettato.
  1666. 2) Alien-3 non intercetta l'INT 24h quando infetta il file. 
  1667. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1668. (come per esempio protetto da scrittura).
  1669.  
  1670. Metodo di rilevazione: Il file infetto incrementa le sue 
  1671. dimensioni di 625 Byte.
  1672.  
  1673. [Lep-562]
  1674. Nome del Virus: Lep-562.
  1675. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  1676. Lunghezza del Virus: Nessun cambiamento.
  1677. Vettore PC agganciato: Nessuno.
  1678.  
  1679. Procedura eseguita:
  1680. 1) Cerca un file con estensione *.COM o *.EXE nella cartella in uso.
  1681. 2) Controlla che sia stato infettato da LEP-562. Se "SI", continua a 
  1682. cercare file con estensione *.COM ed *.EXE non infetti. 
  1683. 3) Se "No", infetta i file non infetti (infettando solo quattro file
  1684. alla volta). 
  1685. Quando viene eseguito il file, il seguente messaggio appare sullo schermo:
  1686.  
  1687.       "Program too big to fit in memoria."
  1688.  
  1689. Danni: Sovrascrive il file originale, cos∞ la lunghezza del file non
  1690. aumenta.
  1691.  
  1692. Metodo di rilevazione: Cercare il messaggio: "Program too big to fit in
  1693. memory" sullo schermo.
  1694.  
  1695. Note:
  1696. 1) Non rimane in memoria.
  1697. 2) LEP-562 non intercetta l'INT 24h quando infetta il file. 
  1698. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1699. (come per esempio protetto da scrittura).
  1700.  
  1701. [Navi-282]
  1702. Nome del Virus: Navi-282.
  1703. Tipo di Virus: Virus da file (infetta solo i file con estensione *.COM).
  1704. Lunghezza del Virus: 282 Byte.
  1705. Vettore PC agganciato: Nessuno.
  1706.  
  1707. Procedura eseguita:
  1708. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1709. 2) Controlla che sia stato infettato da NAVI-282. Se "SI", 
  1710. continua a  cercare ogni file con estensione *.COM non infetto.
  1711. 3) Infetta un solo file alla volta.
  1712.  
  1713. Danni: Nessuno.
  1714.  
  1715. Metodo di rilevazione: Il file infetto incrementa le sue 
  1716. dimensioni di 282 Byte.
  1717.  
  1718. Note:
  1719. 1) Non rimane in memoria.
  1720. 2) NAVI-282 non intercetta l'INT 24h quando infetta il file. 
  1721. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1722. (come per esempio protetto da scrittura).
  1723.  
  1724. [Minimite]
  1725. Nome del Virus: Minimite.
  1726. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1727. Lunghezza del Virus: 183 Byte.
  1728. Vettore PC agganciato: Nessuno.
  1729.  
  1730. Procedura eseguita:
  1731. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1732. 2) Controlla che sia giα infettato da Minimite. 
  1733. Se "SI", continua a cercare i file con estensione *.COM non infetti.
  1734. 3) Continua ad infettare file finchΘ tutti i file 
  1735. con estensione *.COM nella corrente directory non sono stati infettati.
  1736.  
  1737. Danni: Nessuno.
  1738.  
  1739. Metodo di rilevazione: Il file infetto incrementa le 
  1740. sue dimensioni di 183 Byte.
  1741.  
  1742. Note:
  1743. 1) Non rimane in memoria.
  1744. 2) Minimite non intercetta l'INT 24h quando infetta il file. 
  1745. Un messaggio d'errore appare in caso ci sia un errore di I/O 
  1746. (come per esempio protetto da scrittura).
  1747.  
  1748. [Spanz]
  1749. Nome del Virus: Spanz.
  1750. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1751. Lunghezza del Virus: 639 Byte.
  1752. Vettore PC agganciato: Nessuno.
  1753.  
  1754. Procedura eseguita:
  1755. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1756. 2) Controlla la data dei file con estensione *.COM .
  1757. 3) Controlla che sia giα infettato da Spanz. 
  1758. Se "SI", continua a cercare i file con estensione *.COM non infetti.
  1759. 4) Infetta un solo file alla volta.
  1760.  
  1761. Danni: Nessuno.
  1762.  
  1763. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  1764. 639 Byte.
  1765.  
  1766. Note:
  1767. 1) Non rimane in memoria.
  1768. 2) Spanz non intercetta l'INT 24h quando infetta il file. 
  1769. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1770. (come per esempio protetto da scrittura).
  1771.  
  1772. [Wilbur]
  1773. Nome del Virus: Wilbur.
  1774. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1775. Lunghezza del Virus: 512 Byte.
  1776. Vettore PC agganciato: Nessuno.
  1777.  
  1778. Procedura eseguita:
  1779. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1780. 2) Controlla che sia stato infettato da Wilbur. Se "SI",
  1781.  continua a cercare ogni file con estensione *.COM non infetto.
  1782. 3) Infetta solo un file alla volta.
  1783. 4) Dopo che Φ avvenuta l'infezione, esegue il file originale.
  1784.  
  1785. Danni:  Nessuno.
  1786.  
  1787. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  1788. 512 Byte.
  1789.  
  1790. Note:
  1791. 1) Non rimane in memoria.
  1792. 2) Wilbur non intercetta l'INT 24h quando infetta il file. 
  1793. Un messaggio d'errore appare in caso ci sia un errore di I/O 
  1794. (Come protetto da scrittura).
  1795.  
  1796. [Repent]
  1797. Nome del Virus: Repent.
  1798. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1799. Lunghezza del Virus: Nessun cambiamento.
  1800. Vettore PC agganciato: Nessuno.
  1801.  
  1802. Procedura eseguita:
  1803. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1804. 2) Controlla quindi che sia giα stato infettato da Repent. Se "SI",
  1805.      continua a cercare ogni file con estensione *.COM non infetto.
  1806. 3) Infetta solo tre file alla volta.
  1807.  
  1808. Danni: Sovrascrive il file, cos∞ la lunghezza del file non aumenta.
  1809.  
  1810. Note:
  1811. 1) Non rimane in memoria.
  1812. 2) Repent non intercetta l'INT 24h quando infetta il file. 
  1813. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1814. (come per esempio protetto da scrittura).
  1815.  
  1816. [Twin-Peak]
  1817. Nome del Virus: Twin-Peak.
  1818. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1819. Lunghezza del Virus: Nessun cambiamento.
  1820. Vettore PC agganciato: Nessuno.
  1821.  
  1822. Procedura eseguita:
  1823. 1) Cerca i file con estensione *.COM nella directory corrente.
  1824. 2) Controlla che sia giα stato infettato da TWIN-PEAK. Se "SI",
  1825.      continua a cercare ogni file con estensione *.COM non infetto.
  1826. 3) Infetta un solo file alla volta.
  1827.  
  1828. Danni: Sovrascrive il file originale, cos∞ la lunghezza 
  1829. del file infetto non aumenta.
  1830.  
  1831. Note:
  1832. 1) Non rimane in memoria.
  1833. 2) TWIN-PEAK non intercetta l'INT 24h quando infetta il file. 
  1834. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1835. (come per esempio protetto da scrittura).
  1836.  
  1837. [Pa-5792]
  1838. Nome del Virus: Pa-5792.
  1839. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE).
  1840. Lunghezza del Virus: 5792 Byte.
  1841. Vettore PC agganciato: Nessuno.
  1842.  
  1843. Procedura eseguita:
  1844. 1) Cerca un file con estensione *.EXE nella directory corrente ed il
  1845. drive "A".
  1846. 2) Controlla quindi che sia giα stato infettato da PA-5792. Se "SI",
  1847.      continua a cercare ogni file con estensione *.EXE non infetto.
  1848. 3) Infetta solo sette file alla volta.
  1849. 4) Esegue il file originale richiamato.
  1850.  
  1851. Danni: Nessuno.
  1852.  
  1853. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  1854. 5.792 Byte.
  1855.  
  1856. Note:
  1857. 1) Non rimane in memoria.
  1858. 2) PA-5792 non intercetta l'INT 24h quando infetta il file. 
  1859. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1860. (come per esempio protetto da scrittura).
  1861.  
  1862. [Les]
  1863. Nome del Virus: Les.
  1864. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE).
  1865. Lunghezza del Virus: 358 Byte.
  1866. Vettore PC agganciato: Nessuno.
  1867.  
  1868. Procedura eseguita:
  1869. 1) Cerca i file con estensione *.EXE nella directory corrente.
  1870. 2) Controlla che sia stato infettato dal virus LES. 
  1871. Se "SI", continua a cercare ogni file con estensione *.EXE non infetto.
  1872. 3) Infine infetta tutti i file con estensione *.EXE nella directory.
  1873.  
  1874. Danni: Nessuno.
  1875.  
  1876. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  1877. 358 Byte.
  1878.  
  1879. Note:
  1880. 1) Non rimane in memoria.
  1881. 2) LES non intercetta l'INT 24h quando infetta il file. 
  1882. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1883. (come per esempio protetto da scrittura).
  1884.  
  1885. [H & P]
  1886. Nome del Virus: H&P.
  1887. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1888. Lunghezza del Virus: Nessun cambiamento.
  1889. Vettore PC agganciato: Nessuno.
  1890.  
  1891. Procedura eseguita:
  1892. 1) Cerca i file con estensione *.COM nella directory corrente.
  1893. 2) Controlla che sia giα stato infettato da H&P. Se "SI",
  1894.  continua a cercare ogni file con estensione *.COM non infetto.
  1895. 3) Infetta solo un file alla volta.
  1896.  
  1897. Danni: Sovrascrive il file originale, cos∞ la lunghezza del file infetto
  1898. non aumenta.
  1899.  
  1900. Note:
  1901. 1) Non rimane in memoria.
  1902. 2) H&P non intercetta l'INT 24h quando infetta il file. 
  1903. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1904. (come per esempio protetto da scrittura).
  1905.  
  1906. [OW]
  1907. Nome del Virus: Ow.
  1908. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1909. Lunghezza del Virus: Nessun cambiamento.
  1910. Vettore PC agganciato: Nessuno.
  1911.  
  1912. Procedura eseguita:
  1913. 1) Cerca i file con estensione *.COM nella directory corrente.
  1914. 2) Cerca di vedere se Φ giα stato infettato da OW.
  1915.     Se "SI", continua a cercare ogni file con estensione *.COM non infetto.
  1916. 3) Infine infetta tutti i file della directory.
  1917.  
  1918. Danni: Sovrascrive il file originale, cos∞ la lunghezza del file infetto
  1919. non aumenta.
  1920.  
  1921. Note:
  1922. 1) Non rimane in memoria.
  1923. 2) OW non intercetta l'INT 24h quando infetta il file. 
  1924. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1925. (come per esempio protetto da scrittura).
  1926.  
  1927. [Small115]
  1928. Nome del Virus: Small115.
  1929. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1930. Lunghezza del Virus: 115 Byte.
  1931. Vettore PC agganciato: Nessuno.
  1932.  
  1933. Procedura eseguita:
  1934. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1935. 2) Controlla quindi che sia giα stato infettato da Small115. Se "SI",
  1936.      continua a cercare ogni file non infetto con estensione *.COM.
  1937. 3) Infine infetta tutti i file con estensione *.COM nella directory.
  1938.  
  1939. Danni: I file infetti non possono essere eseguiti.
  1940.  
  1941. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  1942. 115 Byte.
  1943.  
  1944. Note:
  1945. 1) Non rimane in memoria.
  1946. 2) Small115 non intercetta l'INT 24h quando infetta il file. 
  1947. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1948. (come per esempio protetto da scrittura).
  1949.  
  1950. [Torm-263]
  1951. Nome del Virus: Torm-263.
  1952. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1953. Lunghezza del Virus: 263 Byte (COM).
  1954. Vettore PC agganciato: Nessuno.
  1955.  
  1956. Procedura eseguita:
  1957. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1958. 2) Controlla quindi che sia giα stato infettato da TORM-263. Se "SI",
  1959.      continua a cercare ogni file con estensione *.COM non infetto.
  1960. 3) Infetta in seguito tutti i file non infetti nella directory.
  1961. 4) Infine esegue il file originale.
  1962.  
  1963. Danni: Nessuno.
  1964.  
  1965. Metodo di rilevazione:  Il file infetto incrementa le sue dimensioni di
  1966. 263 Byte.
  1967.  
  1968. Note:
  1969. 1) Non rimane in memoria.
  1970. 2) TORM-263 non intercetta l'INT 24h quando infetta i file. 
  1971. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  1972. (come per esempio protetto da scrittura).
  1973.  
  1974. [Radyum]
  1975. Nome del Virus: Radyum.
  1976. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  1977. Lunghezza del Virus: 448 Byte (COM).
  1978. Vettore PC agganciato: Nessuno.
  1979.  
  1980. Procedura eseguita:
  1981. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  1982. 2) Controlla che sia stato infettato da Radyum. 
  1983. Se "SI", continua a cercare ogni file con estensione *.COM non infetto.
  1984. 3) Infetta solo un file alla volta.
  1985. 4) Infine esegue il file originale.
  1986.  
  1987. Danni: Nessuno.
  1988.  
  1989. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  1990. 448 Byte.
  1991.  
  1992. Note:
  1993. 1) Non rimane in memoria.
  1994. 2) Radyum non intercetta l'INT 24h quando infetta il file. 
  1995. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  1996. (come per esempio protetto da scrittura).
  1997.  
  1998. [Psycho]
  1999. Nome del Virus: Psycho.
  2000. Tipo di Virus: Virus da file (infetta i file con estensione *.COM ed *.EXE).
  2001. Lunghezza del Virus: Nessun cambiamento.
  2002. Vettore PC agganciato: Nessuno.
  2003.  
  2004. Procedura eseguita:
  2005. 1) Cerca i file con estensione *.EXE o *.COM nella directory corrente.
  2006. 2) Controlla che il file sia stato infettato da Psyco. Se "SI",
  2007.     continua a ricercare file con estensione *.COM od *.EXE non infetti.
  2008. 3) Infetta in seguito tutti i file con estensione *.COM 
  2009. ed *.EXE nella directory.
  2010.  
  2011. Danni: Sovrascrive il file originale, cos∞ la lunghezza del file non
  2012. aumenta.
  2013.  
  2014. Note:
  2015. 1) Non rimane in memoria.
  2016. 2) Psycho non intercetta l'INT 24h quando infetta il file. 
  2017. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2018. (come per esempio protetto da scrittura).
  2019.  
  2020. [VCL9]
  2021. Nome del Virus: Vcl9.
  2022. Tipo di Virus: Virus da file (infetta i file con estensione *.COM ed *.EXE).
  2023. Lunghezza del Virus: Nessun cambiamento.
  2024. Vettore PC agganciato: Nessuno.
  2025.  
  2026. Procedura eseguita:
  2027. 1) Cerca i file con estensione*.COM od *.EXE nella directory corrente.
  2028. 2) Controlla che il primo file trovato sia stato infettato da VCL9.
  2029.     Se "SI", continua a cercare ogni file con estensione *.COM ed *.EXE
  2030. non infetto.
  2031. 3) Infetta solo due file alla volta.
  2032.  
  2033. Danni: Sovrascrive il file originale, cos∞ la lunghezza dei file infetti
  2034. non aumenta.
  2035.  
  2036. Note:
  2037. 1) Non rimane in memoria.
  2038. 2) VCL9 non intercetta l'INT 24h quando infetta il file. 
  2039. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2040. (come per esempio protetto da scrittura).
  2041.  
  2042. [Cheesy]
  2043. Nome del Virus: Cheesy.
  2044. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE).
  2045. Lunghezza del Virus: 381 Byte (EXE).
  2046. Vettore PC agganciato: Nessuno.
  2047.  
  2048. Procedura eseguita:
  2049. 1) Cerca i file con estensione *.EXE nella directory corrente.
  2050. 2) Quando trova un file con estensione *.EXE controlla che sia stato 
  2051. infettato da CHEESY. Se "SI", continua a cercare un file con estensione
  2052. *.EXE non infetto.
  2053. 3) Procede infettando tutti i file con estensione *.EXE nella directory.
  2054. 4) Una volta che il file Φ eseguito il sistema si ferma.
  2055.  
  2056. Danni: Blocco del sistema.
  2057.  
  2058. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2059. 381 Byte.
  2060.  
  2061. Note:
  2062. 1) Non rimane in memoria.
  2063. 2) CHEESY non intercetta l'INT 24h quando infetta il file. 
  2064. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2065. (come per esempio protetto da scrittura).
  2066.  
  2067. [Dutch]
  2068. Nome del Virus: Dutch.
  2069. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2070. Lunghezza del Virus: 358 Byte (COM).
  2071. Vettore PC agganciato: Nessuno.
  2072.  
  2073. Procedura eseguita:
  2074. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2075. 2) Quando trova un file controlla che sia stato infettato da
  2076.    Dutch. Se "SI", continua a cercare ogni file non infetto con
  2077.    estensione *.COM.
  2078. 3) Infetta solo un file alla volta.
  2079.  
  2080. Danni: Nessuno.
  2081.  
  2082. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2083. 358 Byte.
  2084.  
  2085. Note:
  2086. 1) Non rimane in memoria.
  2087. 2) Dutch non intercetta l'INT 24h quando infetta il file. 
  2088. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2089. (come per esempio protetto da scrittura).
  2090.  
  2091. [Mini-2]
  2092. Nome del Virus: Mini-2.
  2093. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2094. Lunghezza del Virus: Nessun cambiamento.
  2095. Vettore PC agganciato: Nessuno.
  2096.  
  2097. Procedura eseguita:
  2098. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2099. 2) Una volta localizzato il primo file con estensione *.COM, 
  2100. controlla che sia stato infettato da MINI-2. Se "SI",  
  2101. continua a cercare ogni file con estensione *.COM non infetto.
  2102. 3) Infetta in seguito tutti i file con estensione *.COM nella directory.
  2103.  
  2104. Danni: Sovrascrive il file originale, cos∞ la lunghezza dei file infetti
  2105. non aumenta.
  2106.  
  2107. Note:
  2108. 1) Non rimane in memoria.
  2109. 2) MINI-2 non intercetta l'INT 24h quando infetta il file. 
  2110. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2111. (come per esempio protetto da scrittura).
  2112.  
  2113. [Define-1]
  2114. Nome del Virus: Define-1.
  2115. Tipo di Virus: Virus da file (infetta i file con estensione *.COM ed *.EXE).
  2116. Lunghezza del Virus: Nessun cambiamento.
  2117. Vettore PC agganciato: Nessuno.
  2118.  
  2119. Procedura eseguita:
  2120. 1) Cerca i file con estensione *.COM od *.EXE nella directory corrente.
  2121. 2) Una volta localizzato il file, controlla che sia giα stato 
  2122. infettato da Define-1. Se "SI", continua a cercare un altro 
  2123. file non infetto con estensione *.COM od *.EXE. 
  2124. 3) Infetta un solo file alla volta.
  2125.  
  2126. Danni:  Sovrascrive il file originale, cos∞ la lunghezza del file infetto
  2127. non aumenta.
  2128.  
  2129. Note:
  2130. 1) Non rimane in memoria.
  2131. 2) Define-1 non intercetta INT 24h quando infetta il file. 
  2132. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2133. (come per esempio protetto da scrittura).
  2134.  
  2135.  
  2136.  
  2137. [205]
  2138. Nome del Virus: 205.
  2139. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2140. Lunghezza del Virus: 205 Byte (COM).
  2141. Vettore PC agganciato: Nessuno.
  2142.  
  2143. Procedura eseguita:
  2144. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2145. 2) Quando trova un file con estensione *.COM, controlla che 
  2146. il file sia stato precedentemente infettato da 205. Se "SI", 
  2147.    continua a cercare un file non infetto con estensione *.COM.
  2148. 3) In seguito prosegue ad infettare tutti i file con estensione *.COM
  2149.    nella directory.
  2150. 4) Infine esegue il file originale richiamato.
  2151.  
  2152. Danni: Nessuno.
  2153.  
  2154. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2155. 205 Byte.
  2156.  
  2157. Note:
  2158. 1) Non rimane in memoria.
  2159. 2) 205 non intercetta l'INT 24h quando infetta il file. 
  2160. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2161. (come per esempio protetto da scrittura).
  2162.  
  2163. [Banana]
  2164. Nome del Virus: Banana.
  2165. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2166. Lunghezza del Virus: Nessun cambiamento.
  2167. Vettore PC agganciato: Nessuno.
  2168.  
  2169. Procedura eseguita:
  2170. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2171. 2) Quando trova un file con estensione *.COM controlla che sia stato
  2172. infettato da Banana. 
  2173. Se "SI", continua a cercare un altro file non infetto con estensione
  2174. *.COM.
  2175. 3) Continua quindi ad infettare tutti i file con estensione *.COM nella
  2176.    directory.
  2177.  
  2178. Danni: Sovrascrive il file originale, cos∞ la lunghezza del file infetto
  2179.        non aumenta.
  2180.  
  2181. Note:
  2182. 1) Non rimane in memoria.
  2183. 2) Banana non intercetta l'INT 24h quando infetta il file. 
  2184. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2185. (come protetto da scrittura).
  2186.  
  2187. [334]
  2188. Nome del Virus: 334.
  2189. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2190. Lunghezza del Virus: 334 Byte (COM).
  2191. Vettore PC agganciato: Nessuno.
  2192.  
  2193. Procedura eseguita:
  2194. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2195. 2) Una volta localizzato un file con estensione *.COM, controlla 
  2196. che sia giα stato infettato da 334. Se "SI", continua a cercare 
  2197. i file con estensione *.COM non infetti.
  2198. 3) Infetta un file alla volta.
  2199. 4) Infine esegue il file originale.
  2200.  
  2201. Danni: Nessuno.
  2202.  
  2203. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2204. 334 Byte.
  2205.  
  2206. Note:
  2207. 1) Non rimane in memoria.
  2208. 2) 334 non intercetta l'INT 24h quando infetta il file. 
  2209. Appare un messaggio in caso ci sia un errore di I/O 
  2210. (come per esempio protetto da scrittura).
  2211.  
  2212. [Redx-1]
  2213. Nome del Virus: Redx-1.
  2214. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2215. Lunghezza del Virus: 796 Byte.
  2216. Vettore PC agganciato: Nessuno.
  2217.  
  2218. Procedura eseguita:
  2219. 1) Cerca i  file con estensione *.COM nella directory C:\ principale.
  2220. 2) Una volta localizzato un file con estensione *.COM, controlla 
  2221.    che sia stato infettato da REDX-1. Se "SI", continua a cercare 
  2222.    un file non infetto con estensione *.COM.
  2223. 3) Infetta in seguito altri file con estensione *.COM, due alla volta.
  2224. 4) Infine esegue il file originale.
  2225.  
  2226. Danni: Nessuno.
  2227.  
  2228. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2229. 796 Byte.
  2230.  
  2231. Note:
  2232. 1) Non rimane in memoria.
  2233. 2) REDX-1 non intercetta l'INT 24h quando infetta il file. 
  2234. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2235. (come protetto da scrittura).
  2236.  
  2237. [Dismember]
  2238. Nome del Virus: Dismember.
  2239. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2240. Lunghezza del Virus: 288 Byte (COM).
  2241. Vettore PC agganciato: Nessuno.
  2242.  
  2243. Procedura eseguita:
  2244. 1) Cerca un file con estensione *.COM nella directory corrente.
  2245. 2) Una volta localizzato un file con estensione .COM, controlla che 
  2246. sia stato infettato da Dismember. Se "SI", continua a cercare 
  2247. file non infetti con estensione *.COM.
  2248. 3) Infetta in seguito tutti file con estensione *.COM nella directory.
  2249. 4) Infine esegue il file originale.
  2250.  
  2251. Danni: Nessuno.
  2252.  
  2253. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2254. 288 Byte.
  2255.  
  2256. Note:
  2257. 1) Non rimane in memoria.
  2258. 2) Dismember non intercetta l'INT 24h quando infetta il file. 
  2259. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2260. (come per esempio protetto da scrittura).
  2261.  
  2262.  
  2263. [Timid]
  2264. Nome del Virus: Timid.
  2265. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2266. Lunghezza del Virus: 306 Byte (COM).
  2267. Vettore PC agganciato: Nessuno.
  2268.  
  2269. Procedura eseguita:
  2270. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2271. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2272.    da Timid. 
  2273.    Se "SI", continua a cercare file con estensione *.COM non infetti.
  2274. 3) Infetta in seguito un file alla volta e mostra sullo schermo 
  2275.    il nome del file infetto.
  2276. 4) Una volta che il file Φ eseguito il sistema si blocca.
  2277.  
  2278. Danni: Danneggia i file originali.
  2279.  
  2280. Metodo di rilevazione:
  2281. 1) Il file infetto incrementa le sue dimensioni di 306 Byte.
  2282. 2) Altri nomi di file sono mostrati sullo schermo.
  2283.  
  2284. Note:
  2285. 1) Non rimane in memoria.
  2286. 2) Timid non intercetta l'INT 24h quando infetta il file. 
  2287. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2288. (come per esempio protetto da scrittura).
  2289.  
  2290. [Druid]
  2291. Nome del Virus: Druid.
  2292. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2293. Lunghezza del Virus: Nessun cambiamento.
  2294. Vettore PC agganciato: Nessuno.
  2295.  
  2296. Procedura eseguita:
  2297. 1) Cerca un file con estensione *.COM nella directory corrente.
  2298. 2) Una volta localizzato un file controlla che sia giα stato infettato da
  2299.    Druid. Se "SI", continua a cercare ogni file con estensione *.COM non
  2300.    infetto.
  2301. 3) Infetta in seguito tutti i file con estensione *.COM nella directory.
  2302.  
  2303. Danni: Sovrascrive il file originale, cos∞ la lunghezza del file infetto
  2304. non aumenta.
  2305.  
  2306. Note:
  2307. 1) Non rimane in memoria.
  2308. 2) Druid non intercetta l'INT 24h quando infetta il file. 
  2309. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2310. (come per esempio protetto da scrittura).
  2311.  
  2312. [Itti-B]
  2313. Nome del Virus: Itti-B.
  2314. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2315. Lunghezza del Virus: Nessun cambiamento.
  2316. Vettore PC agganciato: Nessuno.
  2317.  
  2318. Procedura eseguita:
  2319. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2320. 2) Una volta localizzato un file controlla che sia giα stato 
  2321. infettato da ITTI-B. Se "SI",  continua a cercare ogni file 
  2322. con estensione *.COM non infetto.
  2323. 3) Infetta un solo file alla volta..
  2324. 4) Infine danneggia tutti i dati presenti sul disco se nessun 
  2325. file con estensione *.COM viene infettato.
  2326.  
  2327. Danni:
  2328. 1) Sovrascrive il file originale, cos∞ la lunghezza del file 
  2329. originale non aumenta.
  2330. 2) Danneggia tutti i dati presenti sul disco se nessun file 
  2331. con estensione *.COM viene infettato.
  2332.  
  2333. Note:
  2334. 1) Non rimane in memoria.
  2335. 2) ITTI-B non intercetta l'INT 24h quando infetta il file. 
  2336. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2337. (come protetto da scrittura).
  2338.  
  2339. [Itti-A]
  2340. Nome del Virus: Itti-A.
  2341. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2342. Lunghezza del Virus: Nessun cambiamento.
  2343. Vettore PC agganciato: Nessuno.
  2344.  
  2345. Procedura eseguita:
  2346. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2347. 2) Una volta localizzato un file con estensione *.COM controlla 
  2348. che sia giα stato infettato da ITTI-A. Se "SI",  continua a cercare 
  2349. ogni file con estensione *.COM non infetto.
  2350. 3) Infetta solo un file alla volta. Quando in seguito verrα eseguito il
  2351.    file, apparirα sullo schermo il seguente messaggio: "EXEC FAILURE" 
  2352. 4) Infine danneggia tutti i dati presenti sul disco se nessun 
  2353.    file con estensione *.COM viene infettato.
  2354.  
  2355. Danni:
  2356. 1) Sovrascrive il file originale, cos∞ la lunghezza del file infetto non
  2357.    aumenta.
  2358. 2) Danneggia tutti i dati presenti sul disco se nessun file 
  2359.    con estensione *.COM viene infettato.
  2360.  
  2361. Note:
  2362. 1) Non rimane in memoria.
  2363. 2) ITTI-A non intercetta l'INT 24h quando infetta il file. 
  2364. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2365. (come per esempio protetto da scrittura).
  2366.  
  2367. [Burger]
  2368. Nome del Virus: Burger.
  2369. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2370. Lunghezza del Virus: Nessun cambiamento.
  2371. Vettore PC agganciato: Nessuno.
  2372.  
  2373. Procedura eseguita:
  2374. 1) Cerca i file con estensione *.COM nella directory corrente.
  2375. 2) Controlla che sia giα stato infettato da Burger. 
  2376.    Se "SI", continua a cercare ogni file con estensione *.COM non infetto.
  2377. 3) Infetta un solo file alla volta.
  2378. 4) Infine danneggia tutti i dati presenti sul disco 
  2379. se nessun file con estensione *.COM viene infettato.
  2380.  
  2381. Danni:
  2382. 1) Sovrascrive il file originale, cos∞ la lunghezza 
  2383. del file infetto non aumenta.
  2384. 2) Danneggia tutti i dati presenti sul disco se nessun 
  2385. file con estensione *.COM viene infettato.
  2386.  
  2387. Note:
  2388. 1) Non rimane in memoria.
  2389. 2) Burger non intercetta l'INT 24h quando infetta il file. 
  2390. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2391. (come per esempio protetto da scrittura).
  2392.  
  2393. [Bloodlust]
  2394. Nome del Virus: Bloodlust.
  2395. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2396. Lunghezza del Virus: Nessun cambiamento.
  2397. Vettore PC agganciato: Nessuno.
  2398.  
  2399. Procedura eseguita:
  2400. 1) Cerca i file *.C* nella directory corrente.
  2401. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2402.    da Bloodlust. 
  2403.    Se "SI", continua a cercare tutti i file *.C*.
  2404. 3) Una volta localizzato un file *.C* non infetto, 
  2405.    lo infetta e contina finchΘ tutti i file in C:\ non sono stati
  2406.    infettati.
  2407.  
  2408. Danni: Sovrascrive il file originale, cos∞ la lunghezza del file infetto
  2409. non aumenta.
  2410.  
  2411. Note:
  2412. 1) Non rimane in memoria.
  2413. 2) Bloodlust non intercetta l'INT 24h quando infetta il file. 
  2414. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2415. (come per esempio protetto da scrittura).
  2416.  
  2417. [ZY]
  2418. Nome del Virus: Zy.
  2419. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2420. Lunghezza del Virus: 463 Byte (COM).
  2421. Vettore PC agganciato: Nessuno.
  2422.  
  2423. Procedura eseguita:
  2424. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2425. 2) Una volta localizzato un file controlla che sia giα stato 
  2426.    infettato da ZY. Se "SI",  continua a cercare ogni file con estensione
  2427.    *.COM.
  2428. 3) Infetta solo un file alla volta.
  2429. 4) Infine esegue il file originale..
  2430.  
  2431. Danni: Nessuno.
  2432.  
  2433. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2434. 463 Byte.
  2435.  
  2436. Note:
  2437. 1) Non rimane in memoria.
  2438. 2) ZY non intercetta l'INT 24h quando infetta il file. 
  2439. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2440. (come per esempio protetto da scrittura).
  2441.  
  2442. [Kode4-2]
  2443. Nome del Virus: Kode4-2.
  2444. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2445. Lunghezza del Virus: Cieca 3.000 Byte (COM).
  2446. Vettore PC agganciato: Nessuno.
  2447.  
  2448. Procedura eseguita:
  2449. 1) Cerca i file *.C* nella directory corrente.
  2450. 2) Infetta tutti i file *.C nella directory.
  2451. 3) Appare il seguente messaggio sullo schermo: "-=+ Kode4 +=-, The
  2452.     one and ONLY!"
  2453.  
  2454. Danni: Sovrascrive il file originale.
  2455.  
  2456. Metodo di rilevazione: Cercare sullo schermo il messaggio:
  2457. "-=+ Kode4 +=- The one and ONLY!" 
  2458.  
  2459. Note:
  2460. 1) Non rimane in memoria.
  2461. 2) Kode4-2 non intercetta l'INT 24h quando infetta il file. 
  2462. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2463. (come per esempio protetto da scrittura).
  2464.  
  2465. [Mini-212]
  2466. Nome del Virus: Mini-212.
  2467. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2468. Lunghezza del Virus: 212 o 300 Byte (COM).
  2469. Vettore PC agganciato: Nessuno.
  2470.  
  2471. Procedura eseguita:
  2472. 1) Ricerca un file con estensione *.COM nella cartella in uso 
  2473.    partendo da un file che inizia con la lettera "A" e selezionandone 
  2474.    altri casualmente arrivando alla lettera "Z".
  2475. 2) Controlla che il file sia giα stato infettato da MINI-212.
  2476.    Se "SI", continua a cercare un file con estensione *.COM non infetto.
  2477. 3) Infetta solo un file alla volta.
  2478.  
  2479. Danni: Nessuno.
  2480.  
  2481. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2482. 212 o 300 Byte.
  2483.  
  2484. Note:
  2485. 1) Non rimane in memoria.
  2486. 2) MINI-212 non intercetta l'INT 24h quando infetta il file. 
  2487. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2488. (come per esempio protetto da scrittura).
  2489.  
  2490. [Anna]
  2491. Nome del Virus: Anna.
  2492. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2493. Lunghezza del Virus: 742 Byte (COM).
  2494. Vettore PC agganciato: Nessuno.
  2495.  
  2496. Procedura eseguita:
  2497. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2498. 2) Una volta localizzato un file controlla che il file sia giα 
  2499. stato infettato da ANNA. Se "SI", continua a cercare ogni 
  2500. file con estensione *.COM non infetto.
  2501. 3) Infetta un solo file alla volta.
  2502. 4) Se non viene trovato nessun file infetto nella directory corrente, 
  2503. il virus continua a cercare un file non infetto in un'altra directory.
  2504. 5) In seguito controlla la data di sistema. Se Φ dicembre apparirα 
  2505. sullo schermo il seguente messaggio: "Yole from the ARcV........."
  2506.  
  2507. Danni: Nessuno.
  2508.  
  2509. Metodo di rilevazione:
  2510. 1) Il file infetto incrementa le sue dimensioni di 742 Byte.
  2511. 2) Se Φ dicembre apparirα sullo schermo il seguente messaggio:
  2512.    "Yole from the ARcV........."
  2513.  
  2514.  
  2515. Note:
  2516. 1) Non rimane in memoria.
  2517. 2) ANNA non intercetta l'INT 24h quando infetta il file. 
  2518. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2519. (come per esempio protetto da scrittura).
  2520.  
  2521.  
  2522. [Grunt2]
  2523. Nome del Virus: Grunt2.
  2524. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2525. Lunghezza del Virus: 427 Byte (COM).
  2526. Vettore PC agganciato: Nessuno.
  2527.  
  2528. Procedura eseguita:
  2529. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2530. 2) Una volta localizzato un file controlla che sia giα stato 
  2531.    infettato da GRUNT2. Se "SI", continua a cercare ogni file con 
  2532.    estensione *.COM non infetto.
  2533. 3) Infetta un solo file alla volta.
  2534. 4) In seguito controlla la data di sistema. 
  2535. Se Φ il 3 settembre di un anno successivo al 1993, 
  2536. cancella un file sul disco in uso ed in seguito appare 
  2537. sullo schermo il seguente messaggio: "S[GRUNT-2] -=> Agent Orange
  2538.     '92 <=-       Rock of the Marne Sir!.......".
  2539.  
  2540. Danni: Se la data di sistema corrisponde al giorno 3 settembre 
  2541. di un anno successivo al 1993, il virus cancella un file sul disco in uso.
  2542.  
  2543. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2544. 427 Byte.
  2545.  
  2546. Note:
  2547. 1) Non rimane in memoria.
  2548. 2) GRUNT2 non intercetta l'INT 24h quando infetta il file. 
  2549. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2550. (come per esempio protetto da scrittura).
  2551.  
  2552. [VDV-853]
  2553. Nome del Virus: Vdv-853.
  2554. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2555. Lunghezza del Virus: 853 Byte (COM).
  2556. Vettore PC agganciato: Nessuno.
  2557.  
  2558. Procedura eseguita:
  2559. 1) Controlla che la data di sistema corrisponda al giorno 24 o 26
  2560.    dicembre. 
  2561.    Se "SI", il virus cancella tutti i dati nella directory corrente. 
  2562.    In seguito crea un file di 273 Byte e mostra il seguente messaggio: 
  2563.    "Frhliche Weihnachten wnscht der Verband
  2564.     Deutscher Virenliebhaber Ach ja, und dann wnschen wir auch noch
  2565.     viel Spab beim Suchen nach den Daten von der Festplatte! Hello -
  2566.     Copyright S&S International, 1990".
  2567. 2) Se "NO", cerca un file con estensione *.COM nella directory corrente. 
  2568. Una volta localizzato un file controlla che sia giα stato 
  2569. infettato da VDV-853. Se "SI", continua a cercare un file 
  2570. non infetto con estensione *.COM. c) Infetta solo quattro file alla volta.
  2571.  
  2572. Danni: Se la data di sistema corrisponde al giorno 24 o 26  dicembre, 
  2573. il virus cancella tutti i dati nella directory corrente.
  2574.  
  2575. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2576. 853 Byte.
  2577.  
  2578. Note:
  2579. 1) Non rimane in memoria.
  2580. 2) VDV-853 non intercetta l'INT 24h quando infetta i file. 
  2581. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2582. (come per esempio protetto da scrittura).
  2583. 3) Virus pattern Φ lo stesso di "SON_OF_VSC_2".
  2584.  
  2585. [Wild Thing]
  2586. Nome del Virus: Wild-Thing.
  2587. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2588. Lunghezza del Virus: 567 Byte (COM).
  2589. Vettore PC agganciato: Nessuno.
  2590.  
  2591. Procedura eseguita:
  2592. 1) Controlla che la data di sistema corrisponda a venerd∞. 
  2593. Se "SI", appare sullo schermo il seguente messaggio: 
  2594. " It's Friday ........ Enjoy the weekend
  2595.     with your computer![YAM '92]." 
  2596. Il sistema poi si blocca.
  2597. 2) Se "NO", cerca un file con estensione *.COM nella directory corrente. 
  2598. Una volta localizzato un file controlla che sia giα stato infettato da
  2599. Wild-Thing. 
  2600. Se "SI", continua a cercare un altro file con estensione *.COM non
  2601. infetto. 
  2602. 3) Infetta tutti i file della directory e della directory principale 
  2603. finchΘ tutti i file con estensione *.COM saranno infettati.
  2604. 4) In seguito esegue il file originale.
  2605.  
  2606. Danni: Se la data di sistema corrisponde a venerd∞, appare il seguente
  2607. messaggio: 
  2608. "It's Friday ....... Enjoy the weekend with your computer![YAM '92]."
  2609. Il sistema poi si blocca..
  2610.  
  2611. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2612. 567 Byte.
  2613.  
  2614. Note:
  2615. 1) Non rimane in memoria.
  2616. 2) Wild-Thing non intercetta l'INT 24h quando infetta il file. 
  2617. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2618. (come per esempio protetto da scrittura).
  2619.  
  2620. [Arcv-Fri]
  2621. Nome del Virus: Arcv-Fri.
  2622. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2623. Lunghezza del Virus: 839 Byte (COM).
  2624. Vettore PC agganciato: Nessuno.
  2625.  
  2626. Procedura eseguita:
  2627. 1) Controlla che la data di sistema sia il giorno 12 aprile; 
  2628. se "SI", cerca un file con estensione *.COM nella directory corrente, 
  2629. in seguito lo danneggia. 
  2630. 2) Se "No", cerca i file con estensione *.COM nella directory corrente.
  2631. 3) Controlla che sia giα stato infettato da ARCV-FRI. Se "SI", 
  2632.     continua a cercare ogni file con estensione *.COM non infetto.
  2633. 4) Infetta solo un file alla volta.
  2634. 5) In seguito esegue il file originale.
  2635.  
  2636. Danni: Se la data di sistema corrisponde al giorno 12 aprile, 
  2637. il virus cerca i file con estensione *.COM nella directory corrente 
  2638. ed in seguito li danneggia.
  2639.  
  2640. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2641. 839 Byte.
  2642.  
  2643. Note:
  2644. 1) Non rimane in memoria.
  2645. 2) ARCV-FRI non intercetta l'INT 24h quando infetta il file. 
  2646. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2647. (come per esempio protetto da scrittura).
  2648.  
  2649. [Agent-B]
  2650. Nome del Virus: Agent-B.
  2651. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE 
  2652. ed i file con estensione *.COM).
  2653. Lunghezza del Virus: 763 Byte (COM & EXE).
  2654. Vettore PC agganciato: INT 24h.
  2655.  
  2656. Procedura eseguita:
  2657. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2658. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2659.    da Argent. 
  2660.    Se "SI",  continua a cercare ogni file con estensione *.COM non
  2661.    infetto.
  2662. 3) Infetta solo due file alla volta.
  2663.  
  2664. Danni: Nessuno.
  2665.  
  2666. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2667. 763 Byte.
  2668.  
  2669. Note:
  2670. 1) Non rimane in memoria.
  2671. 2) Argent intercetta l'INT 24h quando infetta i file. Tralascia l'errore
  2672.    di I/O (come per esempio protetto da scrittura).
  2673.  
  2674. [Nanite]
  2675. Nome del Virus: Nanite.
  2676. Tipo di Virus: Virus da file (infetta i file con estensione *.COM ed
  2677. *.EXE).
  2678. Lunghezza del Virus: Nessun cambiamento.
  2679. Vettore PC agganciato: Nessuno.
  2680.  
  2681. Procedura eseguita:
  2682. 1) Cerca i file con estensione *.COM od *.EXE nella directory corrente.
  2683. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2684.    da Nanite. 
  2685.    Se "SI", continua a cercare ogni file con estensione *.COM od *.EXE
  2686.    non infetto.
  2687. 3) Infetta tutti i file con estensione *.COM ed *.EXE  finchΘ tutti 
  2688. i file nella directory corrente saranno stati infettati.
  2689.  
  2690. Danni: Sovrascrive il file originale cos∞ la lunghezza del file non
  2691. aumenta.
  2692.  
  2693. Note:
  2694. 1) Non rimane in memoria.
  2695. 2) Nanite non intercetta l'INT 24h quando infetta il file. 
  2696. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2697. (come per esempio protetto da scrittura).
  2698.  
  2699. [Arcv-670]
  2700. Nome del Virus: Arcv-670.
  2701. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2702. Lunghezza del Virus: 670 Byte (COM).
  2703. Vettore PC agganciato: Nessuno.
  2704.  
  2705. Procedura eseguita:
  2706. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2707. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2708.    da ARCV-670. 
  2709.    Se "SI", continua a cercare ogni file non infetto con estensione *.COM.
  2710. 3) Infetta un solo file alla volta.
  2711. 4) Infine controlla la data di sistema. Se la data Φ tra i giorni 20 e
  2712.    25 dicembre    di un anno successivo al 1992, appare il seguente
  2713.    messaggio: "Happy Xmas from the ARCV", in seguito il sistema si blocca.
  2714.  
  2715. Danni: Se la data Φ tra i giorni 20 e 25 dicembre di un anno successivo
  2716. al 1992 appare questo messaggio: "Happy Xmas from the ARCV",
  2717. in seguito il sistema si blocca.
  2718.  
  2719. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2720. 670 Byte.
  2721.  
  2722. Note:
  2723. 1) Non rimane in memoria.
  2724. 2) ARCV-670 non intercetta l'INT 24h quando infetta i file. 
  2725. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2726. (come per esempio protetto da scrittura).
  2727.  
  2728. [Why]
  2729. Nome del Virus: Why.
  2730. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2731. Lunghezza del Virus: 457 Byte (COM).
  2732. Vettore PC agganciato: Nessuno.
  2733.  
  2734. Procedura eseguita:
  2735. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2736. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2737.    da Why. Se "SI", continua a cercare ogni file con estensione *.COM 
  2738.    non infetto.
  2739. 3) Infetta solo un file alla volta.
  2740. 4) In seguito controlla la data di sistema. Se la data Φ il giorno 12
  2741.    maggio o 25 febbraio, il virus danneggia tutti i file dell'hard disk.
  2742.  
  2743. Danni: Se la data Φ il giorno 12 maggio o 25 febbraio, 
  2744. il virus danneggia tutti i file dell'hard disk. 
  2745.  
  2746. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2747. 457 Byte.
  2748.  
  2749. Note:
  2750. 1) Non rimane in memoria.
  2751. 2) "Why" non intercetta l'INT 24h quando infetta il file. 
  2752. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2753. (come per esempio protetto da scrittura).
  2754.  
  2755.  
  2756. [FCB]
  2757. Nome del Virus: Fcb.
  2758. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE ed
  2759. *.COM).
  2760. Lunghezza del Virus: Nessun cambiamento.
  2761. Vettore PC agganciato: Nessuno.
  2762.  
  2763. Procedura eseguita:
  2764. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  2765. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2766.    da FCB. Se "SI", continua a cercare ogni file con estensione *.COM
  2767.    non infetto.
  2768. 3) Infetta solo un file alla volta.
  2769. 4) Cerca i file con estensione *.EXE nella directory corrente.
  2770. 5) Una volta localizzato un file controlla che sia giα stato infettato
  2771.    da FCB.
  2772.    Se "SI", continua a cercare ogni file con estensione *.EXE non infetto.
  2773. 6) Infetta solo un file alla volta.
  2774.  
  2775. Danni: Sovrascrive il file originale, cos∞ la lunghezza dei file infetti
  2776. non aumenta.
  2777.  
  2778. Note:
  2779. 1) Non rimane in memoria.
  2780. 2) FCB non intercetta l'INT 24h quando infetta i file. 
  2781. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2782. (come per esempio protetto da scrittura).
  2783.  
  2784. [Casper]
  2785. Nome del Virus: Casper.
  2786. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2787. Lunghezza del Virus: 1.200 Byte (COM).
  2788. Vettore PC agganciato: Nessuno.
  2789.  
  2790. Procedura eseguita:
  2791. 1) Controlla che la data di sistema sia il giorno 1 aprile. 
  2792.    Se "SI", formatta il disco in uso. Se "NO", cerca i file *.C* nella
  2793.    directory corrente.
  2794. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2795.    da FCB. Se "SI", continua a cercare ogni file *.C* non infetto.
  2796. 3) Infetta solo un file alla volta.
  2797. 4) In seguito esegue il file originale.
  2798.  
  2799. Danni: Se la data di sistema corrisponde al giorno 1 aprile, 
  2800. formatta il disco in uso.
  2801.  
  2802. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2803. 1.200 Byte.
  2804.  
  2805. Note:
  2806. 1) Non rimane in memoria.
  2807. 2) Casper non intercetta l'INT 24h quando infetta il file. 
  2808. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2809. (come per esempio protetto da scrittura).
  2810.  
  2811. [Diogenes]
  2812. Nome del Virus: Diogenes.
  2813. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2814. Lunghezza del Virus: 946 Byte (COM).
  2815. Vettore PC agganciato: Nessuno.
  2816.  
  2817. Procedura eseguita:
  2818. 1) Controlla che la data di sistema corrisponda al giorno 31. Se "SI", 
  2819. danneggia tutti i dati dell'hard disk ed in seguito mostra sullo schermo il seguente messaggio:
  2820.  "DIOGENES 2.0 has visited your hard drive...... This
  2821.     has been another fine product of the Lehigh Valley...Watch (out)
  2822.     for future 'upgrades'.. ... The world's deceit has raped my soul.
  2823.     We melt the plastic people down, then we melt their plastic town."
  2824.  Se "NO', cerca i file con estensione *.COM nella directory corrente.
  2825. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2826.    da Diogenes. Se "SI", continua a cercare ogni file con estensione
  2827.    *.COM non infetto.
  2828. 3) Infetta solo un file alla volta.
  2829.  
  2830. Danni: Se la data di sistema corrisponde al giorno 31, 
  2831. danneggia tutti i file dell'hard disk.
  2832.  
  2833. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni
  2834. di 946 Byte.
  2835.  
  2836. Note:
  2837. 1) Non rimane in memoria.
  2838. 2) Diogenes non intercetta l'INT 24h quando infetta il file. 
  2839. Appare un messaggio d'errore in caso ci sia un errore di I/O
  2840. (come per esempio protetto da scrittura).
  2841.  
  2842. [Brothers-2]
  2843. Nome del Virus: Brothers-2
  2844. Tipo di Virus: Virus da file (infetta i file con estensione *.COM)
  2845. Lunghezza del Virus: 693 Byte (COM)
  2846. Vettore PC agganciato: Nessuno
  2847.  
  2848. Procedura eseguita:
  2849. 1) Controlla che la data di sistema corrisponda al giorno 11 novembre
  2850.    o 25 dicembre. 
  2851.    Se "SI", mostra il seguente messaggio:
  2852.     "Brotherhood... I am seeking my brothers "DEICIDE" and
  2853.     "MORGOTH"," ed esegue il file originale.
  2854.    Se "NO', cerca i file con estensione *.COM nella directory corrente.
  2855. 2) Una volta localizzato un file controlla che sia giα stato infettato
  2856.    da Brothers-2. Se "SI", continua a cercare ogni file con estensione
  2857.    *.COM non infetto.
  2858. 3) Controlla che la seconda parola del file con estensione *.COM sia
  2859.    "0xADDE". Se "SI", mostra il messaggio: "Found my brother MORGOTH!!!."
  2860.    In seguito esegue il file originale.
  2861. 4) Inoltre controlla che la seconda parola del file con estensione
  2862.    *.COM sia "0x0D90". 
  2863.    Se "SI",  mostra il messaggio: "Found my brother "DEIGOTH" !!!".
  2864.    In seguito esegue il file originale.
  2865. 5) Se "NO", infetta i file con estensione *.COM, uno alla volta.
  2866. 6) Esegue il file originale.
  2867.  
  2868. Danni: Nessuno.
  2869.  
  2870. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni
  2871. di 693 Byte.
  2872.  
  2873. Note:
  2874. 1) Non rimane in memoria.
  2875. 2) Brothers-2 non intercetta l'INT 24h quando infetta il file. 
  2876. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2877. (come per esempio protetto da scrittura).
  2878.  
  2879.  
  2880. [Mindless]
  2881. Nome del Virus: Mindless.
  2882. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  2883. Lunghezza del Virus: Nessun cambiamento.
  2884. Vettore PC agganciato: Nessuno.
  2885.  
  2886. Procedura eseguita:
  2887. 1) Controlla che la data di sistema corrisponda a domenica. 
  2888.    Se "SI", danneggia tutti i file dell'hard disk.
  2889.    Se "NO", cerca i file *.C*  nella directory corrente.
  2890. 2) Una volta localizzato un file, lo infetta e continua a cercare 
  2891.    file *.C* finchΘ tutti i file nella directory corrente non siano stati
  2892.    infettati.
  2893.  
  2894. Danni:
  2895. 1) Se la data di sistema corrisponde a domenica, 
  2896.    danneggia tutti i file dell'hard disk.
  2897. 2) Sovrascrive il file originale, cos∞ la lunghezza dei file infetti
  2898.    non aumenta.
  2899.  
  2900. Metodo di rilevazione: Nessuno
  2901.  
  2902. Note:
  2903. 1) Non rimane in memoria.
  2904. 2) Mindless non intercetta l'INT 24h quando infetta il file. 
  2905. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2906. (come per esempio protetto da scrittura).
  2907.  
  2908. [Acme]
  2909. Nome del Virus: Acme.
  2910. Tipo di Virus: Virus da file (Companion Virus).
  2911. Lunghezza del Virus: 932 Byte.
  2912. Vettore PC agganciato: Nessuno.
  2913.  
  2914. Procedura eseguita:
  2915. 1) Controlla che l'ora di sistema sia successiva alle quattro del
  2916.    pomeriggio. 
  2917.    Se "SI", viene prodotto un suono e il sistema si blocca. 
  2918.    Se "NO', cerca un file con estensione *.EXE nella directory corrente.
  2919. 3) In seguito crea un file con estensione *.COM di 923 Byte, 
  2920. "hidden & read-only" dandogli un'estensione *.EXE.
  2921.  
  2922. Danni: Se l'ora di sistema Φ successiva alle quattro del pomeriggio, 
  2923. viene prodotto un suono ed il sistema si blocca.
  2924.  
  2925. Metodo di rilevazione: Controllare che ci siano file "hidden" 
  2926. con estensione *.COM con 923 Byte di dati.
  2927.  
  2928. Note:
  2929. 1) Non rimane in memoria.
  2930. 2) ACME non intercetta l'INT 24h quando infetta il file. 
  2931. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  2932. (come per esempio protetto da scrittura).
  2933.  
  2934.  
  2935. [Dest1]
  2936. Nome del Virus: DEST1.
  2937. Tipo di Virus: Virus da file (infetta solo i file con estensione *.COM).
  2938. Lunghezza del Virus: 323 Byte.
  2939. Vettore PC agganciato: INT 24h.
  2940.  
  2941. Procedura eseguita:
  2942. 1) Cerca i file con estensione *.COM nella directory corrente.
  2943. 2) Controlla che sia giα stato infettato da Dest1. 
  2944. Se "SI", continua a cercare un file con estensione *.COM non infetto.
  2945. 3) Infetta ogni file con estensione *.COM non infetto, uno alla volta.
  2946. 4) Infine esegue il file originale.
  2947.  
  2948. Danni: Nessuno.
  2949.  
  2950. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2951. 323 Byte.
  2952.  
  2953. Note:
  2954. 1) Non rimane in memoria.
  2955. 2) Quando infetta i file intercetta l'INT 24h. Omette gli errori I/O 
  2956.     (come per esempio protetto da scrittura).
  2957.  
  2958. [Dest2]
  2959. Nome del Virus: DEST2.
  2960. Tipo di Virus: Virus da file (infetta solo i file con estensione *.COM).
  2961. Lunghezza del Virus: 478 Byte.
  2962. Vettore PC agganciato: INT 24h.
  2963.  
  2964. Procedura eseguita:
  2965. 1) Cerca un file con estensione *.COM nella directory corrente.
  2966. 2) Controlla che sia giα stato infettato da Dest2. Se "SI", il virus
  2967.    continua a cercare file con estensione *.COM.
  2968. 3) Infetta il file con estensione *.COM originale. Infine esegue il file
  2969.    originale.
  2970.  
  2971. Danni:  Se kill-flag=-1, cancella un file.
  2972.  
  2973. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  2974. 478 Byte.
  2975.  
  2976. Note:
  2977. 1) Non rimane in memoria.
  2978. 2) Quando infetta i file Dest2 intercetta l'INT 24h. Omette gli errori
  2979.    I/O (come per esempio protetto da scrittura).
  2980.  
  2981.  
  2982. [Cyber101]
  2983. Nome del Virus: CYBER101.
  2984. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e 
  2985. *.EXE).
  2986. Lunghezza del Virus: 946 Byte (COM & EXE).
  2987. Vettore PC agganciato: INT 24h.
  2988.  
  2989. Procedura eseguita:
  2990. 1) Il virus cerca i file con estensione *.EXE o *.COM nella directory
  2991.    corrente.
  2992. 2) Controlla che sia giα stato infettato da Cyber101. Se "SI",
  2993.      continua a cercare un file con estensione *.COM o *.EXE.
  2994. 3) Infetta ogni file con estensione *.EXE o *.COM nella directory
  2995.    corrente, due alla volta.
  2996. 4) Infine esegue il file originale.
  2997.  
  2998. Danni: Nessuno.
  2999.  
  3000. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3001. 946 Byte.
  3002.  
  3003. Note:
  3004. 1) Non rimane in memoria.
  3005. 2) Quando infetta i file, Cyber101 intercetta l'INT 24h. 
  3006. Omette gli errori I/O (come per esempio protetto da scrittura).
  3007.  
  3008. [Cyber]
  3009. Nome del Virus: CYBER.
  3010. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e
  3011. *.EXE).
  3012. Lunghezza del Virus: 1.092 Byte (COM & EXE).
  3013. Vettore PC agganciato: INT 24h.
  3014.  
  3015. Procedura eseguita:
  3016. 1) Il virus cerca i file con estensione *.EXE o *.COM nella directory
  3017.    corrente.
  3018. 2) Controlla che sia giα stato infettato da Cyber. 
  3019.    Se "SI", continua a cercare un file con estensione *.COM o *.EXE non
  3020.    infetto.
  3021. 3) Infetta ogni file con estensione *.EXE o *.COM nella directory
  3022.    corrente, due alla volta.
  3023. 4) Infine esegue il file originale.
  3024.  
  3025. Danni: Nessuno.
  3026.  
  3027. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3028. 1.092 Byte.
  3029.  
  3030. Note:
  3031. 1) Non rimane in memoria.
  3032. 2 Quando infetta i file, Cyber intercetta l'INT 24h. Omette gli errori
  3033.   I/O  (come per esempio se protetto da scrittura).
  3034.  
  3035.  
  3036. [7thson-2]
  3037. Nome del Virus: 7THSON-2.
  3038. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3039. Lunghezza del Virus: 284 o 332 o 350 Byte (COM).
  3040. Vettore PC agganciato: INT 24h.
  3041.  
  3042. Procedura eseguita:
  3043. 1) Il virus cerca un file con estensione *.COM nella directory corrente.
  3044. 2) Controlla che sia giα stato infettato da 7thson-2. Se "SI",
  3045.  continua a cercare file non infetti.
  3046. 3) Infetta tutti i file con estensione *.COM nella directory corrente.
  3047. 4) Infine esegue il file originale.
  3048.  
  3049. Danni: Nessuno.
  3050.  
  3051. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3052. 284, 332, o 350 Byte.
  3053.  
  3054. Note:
  3055. 1) Non rimane in memoria.
  3056. 2) Quando infetta i file, 7thson-2 intercetta l'INT 24h. 
  3057. Omette gli errori I/O (come per esempio protetto da scrittura).
  3058.  
  3059.  
  3060.  
  3061.  
  3062. [Bamestra]
  3063. Nome del Virus: BAMESTRA.
  3064. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE).
  3065. Lunghezza del Virus: 530 Byte (EXE).
  3066. Vettore PC agganciato: INT 24h.
  3067.  
  3068. Procedura eseguita:
  3069. 1) Il virus cerca un file con estensione *.EXE non infetto nella
  3070.    directory corrente.
  3071. 2) Controlla che sia giα stato infettato da Bamestra. 
  3072. Se "SI", continua a cercare file con estensione .EXE non infetti.
  3073. 3) Infetta poi due file con estensione .EXE alla volta nella directory
  3074.    corrente.
  3075. 4) Infine esegue il file originale.
  3076.  
  3077. Danni: Nessuno.
  3078.  
  3079. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3080. 530 Byte.
  3081.  
  3082. Note:
  3083. 1) Non rimane in memoria.
  3084. 2) Bamestra intercetta l'INT 24h quando infetta. 
  3085. Omette gli errori I/O (come per esempio protetto da scrittura).
  3086.  
  3087.  
  3088. [Abraxas]
  3089. Nome del Virus: ABRAXAS.
  3090. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3091. Lunghezza del Virus: 546 Byte (COM & EXE).
  3092. Vettore PC agganciato: INT 24h.
  3093.  
  3094. Procedura eseguita:
  3095. 1) Il virus cerca file con estensione *.EXE o file con estensione *.COM 
  3096. nella directory corrente.
  3097. 2) Controlla che sia giα stato infettato da Abraxas.  
  3098.    Se "SI", continua a cercare un file con estensione *.EXE o *.COM non
  3099.    infetto.  
  3100. 3) Infetta poi tutti i file con estensione *.EXE e *.COM nella directory
  3101.    corrente.
  3102. 4) Infine esegue il file originale.
  3103.  
  3104. Danni: Nessuno.
  3105.  
  3106. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3107. 546  Byte.
  3108.  
  3109. Note:
  3110. 1) Non rimane in memoria.
  3111. 2)Quando infetta i file, Abraxas intercetta l'INT 24h. 
  3112. Omette gli errori I/O (come per esempio protetto da scrittura).
  3113.  
  3114. [MPC-1]
  3115. Nome del Virus: MPC-1.
  3116. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3117. Lunghezza del Virus: 641 Byte (COM & EXE).
  3118. Vettore PC agganciato: INT 24h.
  3119.  
  3120. Procedura eseguita:
  3121. 1) Il virus cerca i file con estensione *.COM o *.EXE nella
  3122.     directory corrente.
  3123. 2) Controlla che sia giα stato infettato da MPC-1.  Se "SI",
  3124. continua a cercare un file con estensione *.EXE o *.COM non infetto.
  3125. 3) Infetta poi tutti i file con estensione *.EXE ed i 
  3126. file con estensione *.COM nella directory corrente.
  3127. 4) Infine esegue il file originale.
  3128.  
  3129. Danni: Nessuno.
  3130.  
  3131. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3132. 641 Byte.
  3133.  
  3134. Note:
  3135. 1) Non rimane in memoria.
  3136. 2) Quando infetta i file MPC-1 intercetta l'INT 24h. 
  3137. Omette gli errori I/O (come per esempio protetto da scrittura).
  3138.  
  3139.  
  3140. [Zeppelin]
  3141. Nome del Virus: ZEPPELIN.
  3142. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3143. Lunghezza del Virus: 1.508 Byte (COM & EXE).
  3144. Vettore PC agganciato: INT 24h.
  3145.  
  3146. Procedura eseguita:
  3147. 1) Il virus cerca i file con estensione *.COM o *.EXE nella
  3148.    directory corrente.
  3149. 2) Controlla che sia giα stato infettato da Abraxas. Se "SI",
  3150.    continua a cercare un file con estensione *.EXE o *.COM non infetto.
  3151. 3) Infetta poi tutti i file con estensione *.EXE ed i file con
  3152.    estensione *.COM nella directory corrente, quattro alla volta.
  3153. 4) Infine appaiono diversi codici, contemporaneamente si sentono degli 
  3154.    strani suoni ed il sistema si blocca.
  3155.  
  3156. Danni: Appaiono diversi codici, contemporaneamente si sentono degli
  3157. strani suoni ed il sistema si blocca.
  3158.  
  3159.  
  3160. Metodo di rilevazione:
  3161. 1) Il file infetto incrementa le sue dimensioni di 1.508 Byte.
  3162. 2) Appaiono sullo schermo dei codici.
  3163.  
  3164. Note:
  3165. 1)    Non rimane in memoria.
  3166. 3) Quando infetta i file, Zeppelin intercetta l'INT 24h. 
  3167. Omette gli errori I/O (come per esempio protetto da scrittura).
  3168.  
  3169. [Crumble]
  3170. Nome del Virus: CRUMBLE.
  3171. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3172. Lunghezza del Virus: 778  Byte (COM & EXE).
  3173. Vettore PC agganciato: INT 24h.
  3174.  
  3175. Procedura eseguita:
  3176. 1) Il virus cerca i file con estensione *.COM o *.EXE nella
  3177.     directory corrente.
  3178. 2) Controlla che sia giα stato infettato da Crumble. Se "SI",
  3179.  continua a cercare un file con estensione *.EXE o *.COM non infetto.
  3180. 3) Infetta poi tutti i file con estensione *.EXE ed 
  3181. i file con estensione *.COM nella directory corrente, due alla volta.
  3182. 4) Controlla la data di sistema; se Φ venerd∞, 
  3183. appare sullo schermo il messaggio "falling letter", 
  3184. quindi ogni 5 secondi cadrα una lettera sullo schermo.
  3185.  
  3186. Danni: Se Φ venerd∞ apparirα sullo schermo "falling letter."
  3187.  
  3188. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3189. 778 Byte.
  3190.  
  3191. Note:
  3192. 1) Non rimane in memoria.
  3193. 2) Quando infetta i file, Crumble intercetta l'INT 24h. 
  3194. Omette gli errori I/O (come per esempio protetto da scrittura).
  3195.  
  3196.  
  3197. [COL-MAC]
  3198. Nome del Virus: COL_MAC.
  3199. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3200. Lunghezza del Virus: 1022 Byte (COM & EXE).
  3201. Vettore PC agganciato: INT 24h.
  3202.  
  3203. Procedura eseguita:
  3204. 1) Il virus cerca i file con estensione *.COM o *.EXE nella
  3205.    directory corrente.
  3206. 2) Controlla che sia giα stato infettato da COL_MAC. Se "SI",
  3207.    continua a cercare un file con estensione *.EXE o *.COM non infetto.
  3208. 3) Infetta poi un file con estensione *.EXE e *.COM ogni due, nella
  3209.     directory corrente.
  3210. 4) Mostra sullo schermo un elevato numero di lettere scelte casualmente, 
  3211.    finchΘ non si preme il tasto ENTER.
  3212.  
  3213. Danni: Nessuno.
  3214.  
  3215. Metodo di rilevazione:  Il file infetto incrementa le sue dimensioni di
  3216. 1022 Byte.
  3217.  
  3218. Note:
  3219. 1) Non rimane in memoria.
  3220. 2) Quando infetta i file COL_MAC intercetta l'INT 24h. 
  3221. Omette gli errori I/O (come per esempio protetto da scrittura).
  3222.  
  3223. [Galileo]
  3224. Nome del Virus: GALILEO.
  3225. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3226. Lunghezza del Virus: 760 Byte (COM & EXE).
  3227. Vettore PC agganciato: INT 24h.
  3228.  
  3229. Procedura eseguita:
  3230. 1) Controlla che la data di sistema corrisponda a luned∞. 
  3231. Se "SI", il virus danneggia tutti i file dell'hard disk.
  3232. 2) Cerca i file con estensione *.COM o *.EXE nella directory corrente.
  3233. 3) Infetta poi tutti i file con estensione *.EXE e i 
  3234. file con estensione *.COM nella directory corrente
  3235. Danni: Se Φ luned∞, il virus danneggia tutti i file dell'hard disk.
  3236.  
  3237. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3238. 760 Byte.
  3239.  
  3240. Note:
  3241. 1) Non rimane in memoria.
  3242. 2) Quando infetta i file, Galileo intercetta l'INT 24h. 
  3243. Omette gli errori I/O (come per esempio protetto da scrittura).
  3244.  
  3245.  
  3246. [Wharps]
  3247. Nome del Virus: WHARPS.
  3248. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3249. Lunghezza del Virus: 572 Byte (COM).
  3250. Vettore PC agganciato: INT 24h.
  3251.  
  3252. Procedura eseguita:
  3253. 1) Il virus controlla che l'orologio di sistema segni le ore 3 del
  3254.    mattino. 
  3255.    Se "SI", appare sullo schermo questo messaggio:
  3256.     "wHaRpS! It is 3:00 a.m. > ETERNAL."
  3257. 2) Cerca un file con estensione *.COM nella directory corrente.
  3258. 3) Controlla quindi che sia giα stato infettato da Wharps. 
  3259. Se "Si", continua a cercare un file con estensione *.COM non infetto, 
  3260. infettando un file alla volta.
  3261. 4) Infine esegue il file originale.
  3262.  
  3263. Danni: I file infetti non possono essere eseguiti.
  3264.  
  3265. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3266. 572 Byte.
  3267.  
  3268. Note:
  3269. 1) Non rimane in memoria.
  3270. 2) Quando infetta i file, Wharps intercetta l'INT 24h. 
  3271. Omette gli errori I/O (come per esempio protetto da scrittura).
  3272.  
  3273. [Bubbles-2]
  3274. Nome del Virus: BUBBLES-2.
  3275. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3276. Lunghezza del Virus: 927 Byte (COM ed EXE).
  3277. Vettore PC agganciato: INT 24h.
  3278.  
  3279. Procedura eseguita:
  3280. 1) Il virus cerca i file con estensione *.EXE o *.COM nella directory
  3281.    corrente.
  3282. 2) Controlla che sia giα stato infettato da Bubbles-2. 
  3283.    Se "SI", continua a cercare file con estensione *.EXE o *.COM.
  3284. 3) Infetta poi tutti i file con estensione *.COM e *.EXE nella directory
  3285.    corrente.
  3286. 4) Controlla che la data di sistema sia il giorno 13 e l'anno non sia
  3287.    inferiore al 1993; fa comparire quindi sullo schermo il seguente
  3288.    messaggio: 
  3289.     "Bubbles 2 : "Its back and better then ever.  Is
  3290.      it me or does that make no sense at all?"
  3291.  
  3292. Danni: I file infetti non possono essere eseguiti.
  3293.  
  3294. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3295. 927 Byte.
  3296.  
  3297. Note:
  3298. 1) Non rimane in memoria.
  3299. 2) Bubbles-2 intercetta l'INT 24h mentre infetta i file. 
  3300. Omette gli errori I/O (come per esempio protetto da scrittura).
  3301.  
  3302. [Cybertech]
  3303. Nome del Virus: CYBERTECH.
  3304. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3305. Lunghezza del Virus: 1.076 Byte (COM).
  3306. Vettore PC agganciato: INT 24h.
  3307.  
  3308. Procedura eseguita:
  3309. 1) Controlla che la data di sistema sia inferiore al 1993. Se "SI",
  3310.  il virus cerca un file con estensione *.COM nella directory corrente.
  3311. 2) Controlla che sia giα stato infettato da Cybertech. 
  3312. Se "SI", continua a cercare un file con estensione *.COM non infetto.
  3313. 3) Infetta poi ogni file con estensione *.COM nella directory corrente,
  3314.    uno alla volta.
  3315. 4) Se "NO", appare sullo schermo il seguente messaggio: "The previous
  3316.     year you have been infected by a virus without knowing or removing
  3317.     it. To be gentle to you I decided to remove myself from your
  3318.     system. I suggest you better buy VirusScan of McAfee to ensure
  3319.     yourself complete security of your precious data. Next time you
  3320.     could be infected with a malevolent virus. May I say goodbye to you
  3321.     for now. CyberTech Virus-Strain A  (c) 1992 John Tardy of Trident".
  3322. Ristabilisce quindi il file corrente.
  3323.  
  3324. Danni: Nessuno.
  3325.  
  3326. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3327. 1.076 Byte.
  3328.  
  3329. Note:
  3330. 1) Non rimane in memoria.
  3331. 2) Cybertech intercetta l'INT 24h quando infetta i file. 
  3332. Omette gli errori I/O (come per esempio protetto da scrittura).
  3333.  
  3334. [Crazy]
  3335. Nome del Virus: CRAZY.
  3336. Tipo di Virus: Virus del settore di avvio.
  3337. Lunghezza del Virus: 4.006 Byte.
  3338. Vettore PC agganciato: Nessuno.
  3339.  
  3340. Procedura eseguita: Questo virus non infetta file, partizione o settore
  3341. di boot. 
  3342. Quando viene eseguito, crea 50 subdirectory. 50 subdirectory vengono
  3343. create in ogni subdirectory.
  3344.  
  3345. Danni: Nessuno.
  3346.  
  3347. Metodo di rilevazione: Nessuno.
  3348.  
  3349. Note:
  3350. 1) Non rimane in memoria.
  3351. 2) Crazy non intercetta l'INT 24h quando infetta il file. 
  3352. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3353. (come per esempio protetto da scrittura).
  3354.  
  3355. [Burger_560-8]
  3356. Nome del Virus: BURGER_560-8.
  3357. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3358. Lunghezza del Virus: Nessun cambiamento.
  3359. Vettore PC agganciato: Nessuno.
  3360.  
  3361. Procedura eseguita:
  3362. 1) Cerca un file con estensione *.COM in A:.
  3363. 2) Controlla che sia giα stato infettato da Burger_560-8. 
  3364. Se "SI", continua a cercare un file con estensione *.COM non infetto.
  3365. 3) Infetta poi ogni file non infetto, uno alla volta.
  3366. 4) Se nessun file con estensione *.COM Φ infettato, 
  3367. il virus continua a cercare file con estensione *.EXE in A:.
  3368. 5) Infine conferisce estensione *.EXE a file con estensione *.COM 
  3369. ed infetta i file con estensione *.COM.
  3370.  
  3371. Danni: Sovrascrive il file originale, in questo modo la lunghezza 
  3372. del file infetto non aumenta.
  3373.  
  3374. Metodo di rilevazione: Cambia i file con estensione *.EXE in file con
  3375. estensione *.COM.
  3376.  
  3377. Note:
  3378. 1) Non rimane in memoria.
  3379. 2) Burger_560-8 non intercetta l'INT 24h quando infetta i file. 
  3380. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3381. (come per esempio protetto da scrittura).
  3382.  
  3383. [Boys]
  3384. Nome del Virus: BOYS.
  3385. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3386. Lunghezza del Virus: 500 Byte (COM).
  3387. Vettore PC agganciato: Nessuno.
  3388.  
  3389. Procedura eseguita:
  3390. 1) Il virus cerca un file con estensione *.EXE, cambia l'attributo a
  3391.    "SYSTEM".
  3392. 2) Cerca un file con estensione *.COM nella directory corrente.
  3393. 3) Controlla quindi che sia giα stato infettato da Boys. 
  3394. Se "SI", continua a cercare un file con estensione *.COM non infetto.
  3395. 4) Infetta solo un file alla volta e cambia l'attributo a "READ -ONLY".
  3396. 5) Esegue infine il file originale.
  3397.  
  3398. Danni: Nessuno.
  3399.  
  3400. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3401. 500 Byte.
  3402.  
  3403. Note:
  3404. 1) Non rimane in memoria.
  3405. 2) Boys non intercetta l'INT 24h quando infetta il file. 
  3406. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3407. (come per esempio protetto da scrittura).
  3408.  
  3409. [Null]
  3410. Nome del Virus: NULL.
  3411. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3412. Lunghezza del Virus: 733 Byte (COM).
  3413. Vettore PC agganciato: Nessuno.
  3414.  
  3415. Procedura eseguita:
  3416. 1) Decodifica.
  3417. 2) Cerca un file con estensione *.COM nella directory corrente.
  3418. 3) Controlla che sia stato infettato da Null. 
  3419. Se "SI", continua a cercare un file con estensione *.COM non infetto.
  3420. 4) Infetta solo un file alla volta.
  3421. 5) Esegue il file originale.
  3422. 6) Se non pu≥ infettare un file con estensione *.COM, 
  3423. controlla che sia il giorno 30. Se "SI", 
  3424. distrugge tutti i dati del disco e fa comparire il seguente messaggio: 
  3425. "Your disk is dead! Long life Doomsday 1.0."
  3426.  
  3427. Danni: Se Φ il giorno 30, distrugge tutti i dati del disco.
  3428.  
  3429. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3430. 733 Byte.
  3431.  
  3432. Note:
  3433. 1) Non rimane in memoria.
  3434. 2) Null non intercetta l'INT 24h quando infetta il file. 
  3435. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3436. (come per esempio protetto da scrittura).
  3437.  
  3438. [Vienna-11]
  3439. Nome del Virus: VIENNA-11.
  3440. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3441. Lunghezza del Virus: 943 Byte (COM).
  3442. Vettore PC agganciato: Nessuno.
  3443.  
  3444. Procedura eseguita:
  3445. 1) Controlla che l'orologio dei secondi sia: a .0004. Se
  3446.     "SI", apparirα sullo schermo il seguente messaggio: "Sorry
  3447.     this computer is no longer operational due to an outbreak of
  3448.     Bush is hero,  Have a Nice day. . . "
  3449. 2 Controlla che l'ora sia: 7:45 ed il giorno: 24 marzo. 
  3450. Se "SI", appare sullo schermo il seguente messaggio: 
  3451. "VIPERizer, Strain B (c) 1992, Stin gray/VIPER Happy Valentines Day !"
  3452.  Distrugge poi i dati di tutti i dischi compreso l'hard disk.
  3453. 3) Se "NO", cerca un file con estensione *.COM nella directory corrente.
  3454. 4) Controlla che sia giα stato infettato da Vienna-11. 
  3455. Se "SI", continua a cercare un file con estensione *.COM non infetto.
  3456. 5) Infetta solo un file alla volta ed esegue il file originale.
  3457.  
  3458. Danni: Distrugge tutti i dati di tutti i dischi.
  3459.  
  3460. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3461. 943 Byte.
  3462.  
  3463. Note:
  3464. 1) Non rimane in memoria.
  3465. 2) Vienna-11 non intercetta l'INT 24h quando infetta il file. 
  3466. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3467. (come per esempio protetto da scrittura).
  3468.  
  3469. [Intrud-B]
  3470. Nome del Virus: INTRUD-B.
  3471. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE).
  3472. Lunghezza del Virus: 1.225 Byte (EXE).
  3473. Vettore PC agganciato: Nessuno.
  3474.  
  3475. Procedura eseguita:
  3476. 1) Cerca un file con estensione *.EXE nella directory corrente.
  3477. 2) Controlla che sia stato infettato da Intrud-B. 
  3478. Se "SI", continua a cercare un file con estensione *.EXE non infetto.
  3479. 3) Infetta un solo file alla volta.
  3480. 4) Esegue il file originale.
  3481.  
  3482. Danni: Nessuno.
  3483.  
  3484. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3485. 1.225 Byte.
  3486.  
  3487. Note:
  3488. 1) Non rimane in memoria.
  3489. 2) Intrud-B non intercetta l'INT 24h quando infetta il file. 
  3490. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3491. (come per esempio protetto da scrittura).
  3492.  
  3493.  
  3494. [New-s]
  3495. Nome del Virus: NEW-S.
  3496. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE).
  3497. Lunghezza del Virus: 1.214 Byte.
  3498. Vettore PC agganciato: Nessuno.
  3499.  
  3500. Procedura eseguita:
  3501. 1) Compare una strana figura sullo schermo (con musica).
  3502. 2) Cerca un file con estensione *.EXE nella directory corrente.  
  3503. Crea poi un file con lo stesso nome della lunghezza di 1214 Byte e 
  3504. sovrascrive il file originale. Il nuovo file Φ New-S.
  3505. 3) Infine sovrascrive il COMMAND.COM nella directory principale e copia 
  3506. il file sovrascritto nella directory principale.
  3507.  
  3508. Danni: Sovrascrive il file originale.
  3509.  
  3510. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3511. 1.214 Byte.
  3512.  
  3513. Note:
  3514. 1) Non rimane in memoria.
  3515. 2) NEW-S non intercetta l'INT 24h quando infetta il file. 
  3516. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3517. (come per esempio protetto da scrittura).
  3518.  
  3519. [X-1-B]
  3520. Nome del Virus: X-1-B.
  3521. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE).
  3522. Lunghezza del Virus: 555 Byte (EXE).
  3523. Vettore PC agganciato: Nessuno.
  3524.  
  3525. Procedura eseguita:
  3526. 1) Il virus controlla che la data di sistema sia il giorno 5 marzo.
  3527.     Se "SI", compare il messaggio: "ICE-9 Present In Association
  3528.     with.. The ARcV [X-1] Michelangelo activates. . -<TOMORROW>-,"
  3529.     ed il sistema si blocca.
  3530. 2) Se "NO", cerca un file con estensione *.EXE nella directory corrente.
  3531. 3) Controlla che sia giα stato infettato da X-1. 
  3532. Se "SI", continua a cercare un file con estensione *.EXE non infetto.
  3533. 4) Infetta solo un file alla volta.
  3534. 5) Esegue il file originale.
  3535.  
  3536. Danni: Se Φ il giorno 5 marzo, compare un messaggio ed il sistema si
  3537. arresta. 
  3538.  
  3539. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3540. 555 Byte.
  3541.  
  3542. Note:
  3543. 1) Non rimane in memoria.
  3544. 2) X-1 non intercetta l'INT 24h quando infetta il file. 
  3545. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3546. (come per esempio protetto da scrittura).
  3547.  
  3548. [Lep-FVHS]
  3549. Nome del Virus: LEP-FVHS.
  3550. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  3551. Lunghezza del Virus: Nessuna variazione.
  3552. Vettore PC agganciato: Nessuno.
  3553.  
  3554. Procedura eseguita:
  3555. 1) Fa comparire il messaggio: "allocating memoria..... Please wait.....
  3556.     Hard time accessing memoria, please turn off all RAM resident
  3557.     programs and press>>Enter<< to continue...."
  3558. 2) Il virus cerca un file con estensione *.EXE o con estensione *.COM 
  3559.    nella directory corrente.
  3560. 3) Controlla che sia giα stato infettato da LEP-FVHS. 
  3561.    Se "SI", continua a cercare un file con estensione *.EXE o *.COM non
  3562.    infetto..
  3563. 4) Se "NO", infetta quattro file con estensione *.EXE o *.COM 
  3564.    alla volta nella directory corrente.
  3565. 5) Fa comparire il seguente messaggio: 
  3566.    "Program too big to fit in memoria."
  3567.  
  3568. Danni: Sovrascrive il file originale, cosicchΘ la lunghezza 
  3569. dei file infetti non aumenta.
  3570.  
  3571. Metodo di rilevazione: 
  3572. Fa comparire il messaggio: 
  3573. "Allocating memoria...."
  3574.  
  3575. Note:
  3576. 1) Non rimane in memoria.
  3577. 2) LEP-FVHS non intercetta l'INT 24h quando infetta il file. 
  3578. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3579. (come per esempio protetto da scrittura).
  3580.  
  3581. [Monxla]
  3582. Nome del Virus: MONXLA.
  3583. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  3584. Lunghezza del Virus: 939 Byte (COM).
  3585. Vettore PC agganciato: Nessuno.
  3586.  
  3587. Procedura eseguita:
  3588. 1) Il virus cerca un file con estensione *.COM nella directory corrente.
  3589. 2) Controlla che la data di sistema corrisponda al giorno 13. 
  3590. Se "SI", distrugge il file.
  3591. 3) Se "NO", controlla che sia giα stato infettato da MONXLA.
  3592.     Se "SI", continua a cercare un file con estensione *.COM non infetto.
  3593. 3) Infetta poi ogni file con estensione *.COM nella directory corrente.
  3594. 4) Esegue infine il file originale.
  3595.  
  3596. Danni: Se la data di sistema corrisponde al giorno 13, 
  3597. il virus distrugge un file con estensione *.COM..
  3598.  
  3599. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di
  3600. 939 Byte.
  3601.  
  3602. Note:
  3603. 1) Non rimane in memoria.
  3604. 2) MONXLA non intercetta l'INT 24h quando infetta il file. 
  3605. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3606. (come per esempio protetto da scrittura).
  3607.  
  3608. [More-649]
  3609. Nome del Virus: MORE-649.
  3610. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione
  3611. *.COM).
  3612. Lunghezza del Virus:  649 Byte (COM).
  3613. Vettore PC agganciato: INT 21h (AX=4B00h), Programma eseguibile.
  3614.  
  3615. Metodo di infezione:
  3616. 1) Il virus controlla che sia giα in memoria.
  3617.     Se "NO", si carica in memoria agganciando l'INT 21h.
  3618. 2) Esegue il file originale.
  3619. 3) Con il virus caricato in memoria viene infettato ogni file eseguito. 
  3620. (b) Non infetta file con estensione *.EXE o file con date particolari 
  3621. (anno successivo al 1999).
  3622. 4) Quando il virus rileva un file con data successiva al 1999,
  3623.     appare il seguente messaggio: "OH NO NOT MORE ARCV".
  3624.  
  3625. Danni: Nessuno.
  3626.  
  3627. Metodo di rilevazione: Infetta i file con estensione *.COM 
  3628. aumentandone la lunghezza di 649 Byte.
  3629.  
  3630. [Arka]
  3631. Nome del Virus: ARKA.
  3632. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione
  3633. *.COM).
  3634. Lunghezza del Virus: 1.905 Byte (COM).
  3635. Vettore PC agganciato: INT 21h (AX=4B00h), (Programma eseguibile).
  3636.  
  3637. Metodo di infezione:
  3638. 1) Il virus controlla che sia giα in memoria.
  3639.     Se "NO", si carica in memoria intercettando l'INT 21h.
  3640. 2) Esegue quindi  il file originale.
  3641. 3) Con il virus caricato in memoria viene infettato ogni file eseguibile
  3642.    non infetto.
  3643.  
  3644. Danni: Nessuno.
  3645.  
  3646. Metodo di rilevazione: Infetta i file con estensione *.COM 
  3647. aumentandone la lunghezza di 1905 Byte.
  3648.  
  3649. [578]
  3650. Nome del Virus: 578.
  3651. Tipo di Virus:  In memoria, Virus da file (infetta i file con estensione
  3652. *.COM).
  3653. Lunghezza del Virus: 578 Byte (COM).
  3654. Vettore PC agganciato: INT 21h (AX=4B00h),Programma eseguibile.
  3655.  
  3656. Metodo di infezione:
  3657. 1) Il virus controlla che sia giα in memoria.
  3658.     Se "NO", si carica in memoria intercettando l'INT
  3659.     21h.
  3660. 2) Esegue il file originale.
  3661. 3) Con il virus caricato in memoria viene infettato ogni file non infetto
  3662.    eseguito. (b) Non infetta i file con estensione *.EXE.
  3663. 4) Il virus controlla la data di sistema. Se Φ successiva al giorno 3
  3664.    aprile, distrugge tutti i dati in A: e fa comparire sullo schermo
  3665.    tre bandire colorate ed il seguente messaggio: 
  3666. "ITALY IS THE BEST COUNTRY IN THE WORLD."
  3667.  
  3668. Danni: Se la data di sistema Φ successiva al giorno 3 aprile, 
  3669. il virus distrugge tutti i dati di A:.
  3670.  
  3671. Metodo di rilevazione: Infetta i file con estensione *.COM aumentandone 
  3672. la lunghezza di 578 Byte.
  3673.  
  3674. Note:
  3675. 1) 578 non intercetta l'INT 24h quando infetta il file. 
  3676. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3677. (come per esempio protetto da scrittura).
  3678.  
  3679. [5LO]
  3680. Nome del Virus: 5LO.
  3681. Tipo di Virus:  In memoria, Virus da file (Infetta i file con estensione *.EXE).
  3682. Lunghezza del Virus: 1.125-1.140 Byte (EXE).
  3683. Vettore PC agganciato: INT 21h (AX=4B00h) (programma eseguibile).
  3684.  
  3685. Metodo di infezione:
  3686. 1) Il virus controlla che sia giα in memoria.
  3687.     Se "NO", si carica in memoria intercettando l'INT
  3688.     21h.
  3689. 2) Esegue il file originale.
  3690. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3691. (b) Non infetta i file con estensione *.COM.
  3692.  
  3693. Danni: Nessuno.
  3694.  
  3695. Metodo di rilevazione: Infetta i file con estensione *.EXE aumentandone la l
  3696. unghezza di 1.125-1.140 Byte.
  3697.  
  3698. Note: Il virus 5LO non intercetta l'INT 24h mentre infetta il file. 
  3699. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3700. (come per esempio protetto da scrittura).
  3701.  
  3702. [Aids 552]
  3703. Nome del Virus: AIDS552.
  3704. Tipo di Virus: In memoria alta, Virus da file (Infetta i file con estensione *.EXE).
  3705. Lunghezza del Virus: 552 Byte (EXE).
  3706. Vettore PC agganciato: INT 21h.
  3707.  
  3708. Metodo di infezione:
  3709. 1) Il virus controlla che sia giα in memoria.
  3710.     Se "NO", si carica in memoria  (memoria alta) intercettando l'INT 21h.
  3711. 2) Esegue il file originale.
  3712. 3) Infetta quando viene eseguito il comando "DEGUG FILE_NAME.EXE".
  3713.     b) Non infetta i file con estensione *.COM.
  3714.  
  3715. Danni: Nessuno.
  3716.  
  3717. Metodo di rilevazione: Infetta i file con estensione *.EXE aumentandone la lunghezza di 552 Byte.
  3718.  
  3719. Note:
  3720. Il virus AIDS552 non intercetta l'INT 24h mentre infetta il file.  
  3721. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3722. (come per esempio protetto da scrittura).
  3723.  
  3724. [408]
  3725. Nome del Virus: 408.
  3726. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione *.COM).
  3727. Lunghezza del Virus: 408 Byte (COM).
  3728. Vettore PC agganciato: INT 21h (AX=4B00h) (programma eseguibile).
  3729.  
  3730. Metodo di infezione:
  3731. 1) Il virus controlla che sia giα in memoria.
  3732.     Se "NO", si carica in memoria intercettando l'INT
  3733.     21h.
  3734. 2) Esegue il file originale.
  3735. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.  
  3736. b) Non infetta i file con estensione *.EXE.
  3737.  
  3738. Metodo di rilevazione: I file infetti aumentano di 408 Byte.
  3739.  
  3740. Note:
  3741. Il virus 408 non intercetta l'INT 24h quando infetta il file. 
  3742. Compare un messaggio d'errore in caso ci sia un errore di I/O
  3743. (come per esempio protetto da scrittura).
  3744.  
  3745. [BOOJUM]
  3746. Nome del Virus: BOOJUM.
  3747. Tipo di Virus: In memoria alta, Virus da file (Infetta i file con estensione *.EXE).
  3748. Lunghezza del Virus: 340 Byte (EXE).
  3749. Vettore PC agganciato: INT 21h.
  3750.  
  3751. Metodo di infezione:
  3752. 1)  Il virus controlla che sia giα in memoria.
  3753.      Se "NO", si carica in memoria (memoria alta) intercettando l'INT 21h.
  3754. 2) Esegue il file originale.
  3755. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3756. b) Non infetta i file con estensione *.COM.
  3757.  
  3758. Danni: Nessuno.
  3759.  
  3760. Metodo di rilevazione: Infetta i file con estensione *.EXE aumentandone 
  3761. la lunghezza di 340 Byte.
  3762.  
  3763. Note:
  3764. Il virus BOOJUM non intercetta l'INT 24h quando infetta il file.
  3765. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3766. (come per esempio protetto da scrittura).
  3767.  
  3768. [Shirley]
  3769. Nome del Virus: SHIRLEY.
  3770. Tipo di Virus: In memoria, Virus da file (Infetta i file con estensione *.EXE)..
  3771. Lunghezza del Virus: 4.110 Byte (EXE).
  3772. Vettore PC agganciato: INT 21h.
  3773.  
  3774. Metodo di infezione:
  3775. 1) Il virus controlla che sia giα in memoria.
  3776.     Se "NO", si carica in memoria (memoria alta) intercettando l'INT 21h.
  3777. 2) Esegue il file originale.
  3778. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3779. b) Non infetta file con estensione *.COM.
  3780.  
  3781. Danni: Nessuno.
  3782.  
  3783. Metodo di rilevazione: Infetta i file con estensione *.EXE aumentandone 
  3784. la lunghezza di 4110 Byte.
  3785.  
  3786. Note:
  3787. Il virus Shirley non intercetta l'INT 24h quando infetta il file. 
  3788. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3789. (come per esempio protetto da scrittura).
  3790.  
  3791. [D-Tiny]
  3792. Nome del Virus: D-TINY.
  3793. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione *.COM).
  3794. Lunghezza del Virus: 126 Byte (COM).
  3795. Vettore PC agganciato: INT 21h.
  3796.  
  3797. Metodo di infezione:
  3798. 1)  Il virus controlla che sia giα in memoria.
  3799.      Se "NO", si carica in memoria intercettando l'INT
  3800.      21h..
  3801. 2) Esegue il file originale.
  3802. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3803. b) Non infetta i file con estensione *.EXE.
  3804.  
  3805. Danni: Nessuno.
  3806.  
  3807. Metodo di rilevazione: Infetta i file con estensione *.COM aumentandone 
  3808. la lunghezza di 126 Byte.
  3809.  
  3810. Note:
  3811. D-TINY non intercetta l'INT 24h quando infetta il file. 
  3812. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3813. (come per esempio protetto da scrittura).
  3814.  
  3815. [01-07]
  3816. Nome del Virus: 01-07.
  3817. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione *.COM).
  3818. Lunghezza del Virus: 639 Byte (COM).
  3819. Vettore PC agganciato: INT 21h.
  3820.  
  3821. Metodo di infezione:
  3822. 1) Il virus controlla che la data di sistema sia tra i giorni 1 e 6 gennaio. 
  3823. Se "SI", compare sullo schermo il messaggio:" Happy New Year " ed il sistema si blocca. 
  3824. Se "NO", il virus controlla che sia giα in memoria.
  3825.     Se "NO", si carica in memoria agganciando l'INT 21h.
  3826. 2) Esegue il file originale.
  3827. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3828. b) Non infetta i file con estensione *.EXE.
  3829.  
  3830. Danni: Il sistema si blocca quando la data Φ compresa tra i giorni 1e 6 gennaio.
  3831.  
  3832. Metodo di rilevazione: I file infetti aumentano di 639 Byte.
  3833.  
  3834. Note:
  3835. Il virus 01-07 non intercetta l'INT 24h mentre infetta il file. 
  3836. Compare un messaggio d'errore in caso ci sia un errore di I/O 
  3837. (come per esempio protetto da scrittura).
  3838.  
  3839. [Bit_Addict]
  3840. Nome del Virus: BIT_ADDICT.
  3841. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione *.COM).
  3842. Lunghezza del Virus: 477 Byte (COM).
  3843. Vettore PC agganciato: INT 21h.
  3844.  
  3845. Metodo di infezione:
  3846. 1)  Il virus controlla che sia giα in memoria.
  3847.      Se "NO", si carica in memoria intercettando l'INT 21h.
  3848. 2) Esegue il file originale.
  3849. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3850. b) Non infetta i file con estensione *.EXE.
  3851.  
  3852. Danni: Quando il virus ha infettato 100 file, distrugge tutti i dati sull'hard disk 
  3853. facendo comparire sullo schermo: "BIT
  3854. ADDICTMZ> .... The Bit Addict says: You have a good tasting hard disk,
  3855. it was delicious !!!"
  3856.  
  3857. Metodo di rilevazione: I file infetti aumentano di 477 Byte.
  3858.  
  3859. Note:
  3860. Il virus BIT_ADDICT non intercetta l'INT 24h quando infetta il file.
  3861. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  3862. (come per esempio protetto da scrittura).
  3863.  
  3864.  
  3865. [CSL-2]
  3866. Nome del Virus: CSL-2.
  3867. Tipo di Virus: In memoria alta, Virus da file (infetta i file con estensione *.COM).
  3868. Lunghezza del Virus: 709 Byte (COM).
  3869. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile).
  3870.  
  3871. Metodo di infezione:
  3872. 1)  Il virus controlla che sia giα in memoria.
  3873.      Se "NO", si carica in memoria intercettando l'INT 21h.
  3874. 2) Esegue il file originale.
  3875. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3876. b) Non infetta i file con estensione *.EXE.
  3877.  
  3878. Danni: Nessuno.
  3879.  
  3880. Metodo di rilevazione: I file infetti aumentano di 709 Byte.
  3881.  
  3882. Note:
  3883. Il virus CSL-2 non intercetta l'INT 24h quando infetta il file. 
  3884. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  3885. (come per esempio protetto da scrittura).
  3886.  
  3887. [Highland]
  3888. Nome del Virus: HIGHLAND.
  3889. Tipo di Virus:  In memoria, Virus da file (infetta i file con estensione *.COM).
  3890. Lunghezza del Virus: 477 Byte (COM).
  3891. Vettore PC agganciato: INT 21h (AX=4B00h) (programma eseguibile).
  3892.  
  3893. Metodo di infezione:
  3894. 1)  Il virus controlla che sia giα in memoria.
  3895.      Se "NO", si carica in memoria intercettando l'INT 21h.
  3896. 2) Esegue il file originale.
  3897. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.  
  3898. b) Non infetta i file con estensione *.EXE.
  3899.  
  3900. Danni: Se la data di sistema corrisponde al giorno16, tutti i file 
  3901. infettati dal virus Highland non possono essere eseguiti.
  3902.  
  3903. Metodo di rilevazione: I file infetti aumentano di 477 Byte.
  3904.  
  3905. Note: Highland non intercetta l'INT 24h quando infetta il file. 
  3906. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  3907. (come per esempio protetto da scrittura).
  3908. [CMDR]
  3909. Nome del Virus: CMDR.
  3910. Tipo di Virus:  In memoria, Virus da file (infetta i file con estensione *.COM).
  3911. Lunghezza del Virus: 4.096 Byte (COM).
  3912. Vettore PC agganciato: INT 21h (AX=4B00h) (programma eseguibile).
  3913.  
  3914. Metodo di infezione:
  3915. 1) Il virus controlla che sia giα in memoria.
  3916.     Se "NO", si carica in memoria intercettando l'INT 21h.
  3917. 2) Esegue il file originale.
  3918. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3919. b) Non infetta i file con estensione *.EXE.
  3920.  
  3921. Danni:  Nessuno.
  3922.  
  3923. Metodo di rilevazione: I file infetti aumentano di 4096 Byte.
  3924.  
  3925. Note:
  3926. Il virus CMDR non intercetta l'INT 24h quando infetta il file. 
  3927. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  3928. (come per esempio protetto da scrittura).
  3929.  
  3930. [POX]
  3931. Nome del Virus: POX.
  3932. Tipo di Virus: In memoria alta, Virus da file (infetta i file con estensione *.COM).
  3933. Lunghezza del Virus: 609 Byte (COM).
  3934. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 9h.
  3935.  
  3936. Metodo di infezione:
  3937. 1) Il virus controlla che sia giα in memoria.
  3938.     Se "NO", si carica in memoria (memoria alta)
  3939.     intercettando l'INT  21h.
  3940. 2) Esegue il file originale.
  3941. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3942. b) Non infetta i file con estensione *.EXE.
  3943.  
  3944. Danni: POX intercetta l'INT 9h, quando viene premuto il tasto <Delete>. 
  3945. Il virus controlla la data di sistema; se Φ il giorno 24, formatta l' hard disk.
  3946.  
  3947. Metodo di rilevazione: I file infetti aumentano di 609 Byte.
  3948.  
  3949. Note:
  3950. Il virus POX non intercetta l'INT 24h quando infetta il file. 
  3951. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  3952. (come per esempio protetto da scrittura).
  3953.  
  3954. [SBC-1]
  3955. Nome del Virus: SBC-1.
  3956. Tipo di Virus: In memoria alta, Virus da file (infetta i file con estensione *.COM).
  3957. Lunghezza del Virus:  Nessuna variazione.
  3958. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile).
  3959.  
  3960. Metodo di infezione:
  3961. 1) Il virus controlla che sia giα in memoria.
  3962.     Se "NO", si carica in memoria (memoria alta) intercettando l'INT 21h.
  3963. 2) Controlla che il file "COMMAND.COM" sia stato infettato. 
  3964. Se "NO", infetta il file.
  3965. 3) Esegue il file originale.
  3966. 4) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  3967. b) Non infetta i file con estensione *.EXE.
  3968.  
  3969. Danni: Sovrascrive il file originale cos∞ i file infetti non aumentano di lunghezza.
  3970.  
  3971. Metodo di rilevazione: Nessuno.
  3972.  
  3973. Note: Il virus SBC-1 non intercetta l'INT 24h quando infetta il file. 
  3974. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  3975. (come per esempio protetto da scrittura).
  3976.  
  3977. [Nov_17-1]
  3978. Nome del Virus: NOV_17-1.
  3979. Tipo di Virus: In memoria alta, Virus da file i file con estensione *.EXE e *.COM ).
  3980. Lunghezza del Virus: 768 (COM ed EXE).
  3981. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile).
  3982.  
  3983. Metodo di infezione:
  3984. 1) Questo virus controlla che sia giα in memoria.
  3985.     Se "NO", si carica in memoria intercettando l'INT 21h.
  3986. 2) Esegue il file originale.
  3987. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  3988.  
  3989. Danni: Nessuno.
  3990.  
  3991. Metodo di rilevazione: I file infetti aumentano di 768  Byte.
  3992.  
  3993. Note: NOV_17-1 non intercetta l'INT 24h mentre infetta il file.
  3994. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  3995. (come per esempio protetto da scrittura).
  3996.  
  3997.  
  3998. [HBT]
  3999. Nome del Virus: HBT.
  4000. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione *.COM ed *.EXE).
  4001. Lunghezza del Virus: 394 Byte (COM ed6 EXE).
  4002. Vettore PC agganciato: INT 21h (AX=4B00h) (Programma eseguibile).
  4003.  
  4004. Metodo di infezione:
  4005. 1) Il virus controlla che sia giα in memoria.
  4006.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4007. 2) Esegue il file originale.
  4008. 3) Con il virus caricato in memoria viene infettato ogni file 
  4009. non infetto eseguito.
  4010.  
  4011. Danni: Quando il virus Φ in memoria, un file non pu≥ essere eseguito, ma solo infettato.
  4012.  
  4013. Metodo di rilevazione: I file infetti aumentano di 394 Byte.
  4014.  
  4015. Note:
  4016. HBT non intercetta l'INT 24h quando infetta il file. 
  4017. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  4018. (come per esempio protetto da scrittura).
  4019.  
  4020.  
  4021. [Gotcha]
  4022. Nome del Virus: GOTCHA.
  4023. Tipo di Virus: In memoria alta, Virus da file (Infetta i file con estensione *.EXE e *.COM).
  4024. Lunghezza del Virus: 906 Byte (COM ed EXE).
  4025. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4026.  
  4027. Metodo di infezione:
  4028. 1) Il virus controlla che sia giα in memoria. 
  4029. Se "NO", si carica in memoria (memoria alta) intercettando l'INT 21h.
  4030. 2) Esegue il file originale.
  4031. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4032. 4) Infetta quando viene rinominato o cancellato un file, 
  4033. quando vengono cambiati gli attributi di un file, 
  4034. oppure nel caso in cui si effettui una ricerca di file.
  4035.  
  4036. Danni: Nessuno.
  4037.  
  4038. Metodo di rilevazione: I file infetti aumentano di 906 Byte.
  4039.  
  4040. Note: Quando infetta i file Gotcha intercetta l'INT 24h. 
  4041. Omette gli errori I/O (come per esempio protetto da scrittura).
  4042.  
  4043. [Voronezh-2]
  4044. Nome del Virus: VORONEZH-2.
  4045. Tipo di Virus: In memoria alta, Virus da file (Infetta i file con estensione *.EXE e *.COM).
  4046. Lunghezza del Virus: 1.600 Byte (COM ed EXE).
  4047. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4048.  
  4049. Metodo di infezione:
  4050. 1) Il virus controlla che sia giα in memoria.
  4051.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4052. 2) Esegue il file originale.
  4053. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4054.  
  4055. Danni: Nessuno.
  4056.  
  4057. Metodo di rilevazione: I file infetti aumentano di 1.600 Byte.
  4058.  
  4059. Note:
  4060. Quando infetta i file Voronezh-2 intercetta l'INT 24h. 
  4061. Omette gli errori I/O (come per esempio protetto da scrittura).
  4062.  
  4063. [Amilia]
  4064. Nome del Virus: AMILIA.
  4065. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione *.COM ed *.EXE).
  4066. Lunghezza del Virus: 1.614 Byte (COM ed EXE).
  4067. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4068.  
  4069. Metodo di infezione:
  4070. 1) Il virus controlla che sia giα in memoria.
  4071.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4072. 2) Esegue il file originale.
  4073. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4074.  
  4075. Danni:
  4076. 1) Se Φ domenica, appare un messaggio sullo schermo: "Amilia I
  4077.     virii - [NUKE]  1991 By Rock Steady/NUKE," quindi il sistema si blocca.
  4078. 2) Se l'ora Φ compresa tra le 16 e le 17, una faccia sorridente appare sullo schermo.
  4079.  
  4080. Metodo di rilevazione:
  4081. 1) I file infetti aumentano di 1.614 Byte.
  4082. 2) Una faccia sorridente appare sullo schermo.
  4083.  
  4084. Note:
  4085. Quando infetta i file, Amilia intercetta l'INT 24h. Omette gli errori I/O 
  4086. (come per esempio protetto da scrittura).
  4087.  
  4088.  
  4089. [981]
  4090. Nome del Virus: 981.
  4091. Tipo di Virus: In memoria alta, Virus da file (Infetta i file con estensione *.EXE e *.COM).
  4092. Lunghezza del Virus: 981 Byte (COM), circa 1.010 Byte (EXE).
  4093. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4094.  
  4095. Metodo di infezione:
  4096. 1) Il virus controlla la versione del DOS; se la versione del DOS Φ pi∙ 
  4097. recente della 3.0 mostrerα il messaggio: " This program requires MS-DOS 3.0 or later."
  4098. 2) Il virus controlla che sia giα in memoria.
  4099.    Se "NO", si carica in memoria (memoria alta) intercettando l'INT 21h.
  4100. 2) Esegue il file originale.
  4101. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4102.  
  4103. Danni: Nessuno.
  4104.  
  4105. Metodo di rilevazione: I file con estensione *.COM infetti aumentano 
  4106. di 981 Byte e quelli con estensione *.EXE aumentano di 1.010 Byte.
  4107.  
  4108. Note: Quando infetta i file, 981 intercetta l'INT 24h. Omette gli errori I/O 
  4109. (come per esempio protetto da scrittura).
  4110.  
  4111.  
  4112. [Gotcha-2]
  4113. Nome del Virus: GOTCHA-2.
  4114. Tipo di Virus: In memoria alta, Virus da file (Infetta i file con estensione *.EXE e *.COM).
  4115. Lunghezza del Virus: 627 Byte (COM), 527 Byte (EXE).
  4116. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4117.  
  4118. Metodo di infezione:
  4119. 1) Il virus controlla che sia giα in memoria.
  4120.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4121. 2) Esegue il file originale.
  4122. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  4123. a) Prima infetta un file, poi controlla il nome del file.
  4124.  
  4125. Danni: Nessuno.
  4126.  
  4127. Metodo di rilevazione: I file con estensione *.COM infetti aumentano di 627 Byte 
  4128. e quelli con estensione *.EXE aumentano di 527 Byte.
  4129.  
  4130. Note:
  4131. Quando infetta i file, Gotcha-2 intercetta l'INT 24h e chiude la funzione "control_break". 
  4132. Omette gli errori I/O (come per esempio protetto da scrittura).
  4133.  
  4134. [Hungarian]
  4135. Nome del Virus: HUNGARIAN.
  4136. Tipo di Virus: In memoria alta, Virus da file (Infetta i file con estensione *.EXE e *.COM).
  4137. Lunghezza del Virus: 749  Byte (COM ed EXE).
  4138. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h, INT 8h.
  4139.  
  4140. Metodo di infezione:
  4141. 1)  Il virus controlla che sia giα in memoria.  Se "NO", si carica in memoria 
  4142. (memoria alta) intercettando l'INT 21h.
  4143. 2) Se l'anno Φ il 1990 e il mese compreso tra giugno e dicembre, intercetta l'INT 8h.
  4144. 3) Esegue il file originale.
  4145. 4) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4146. Danni: Quando Hungarian intercetta l'INT 8h, azzera il contatore su 0xFFFF.
  4147. Ogni volta che Φ chiamato l'INT 8h, il contatore diminuisce di uno.
  4148. Quando il contatore Φ a zero (dopo circa un ora), comincia a distruggere file. 
  4149. Ogni file eseguito viene distrutto.
  4150.  
  4151. Metodo di rilevazione: I file infetti aumentano di 749 Byte.
  4152.  
  4153. Note: Quando infetta i file, Hungarian intercetta l'INT 24h.
  4154. Omette gli errori I/O (come per esempio protetto da scrittura).
  4155.  
  4156. [CK]
  4157. Nome del Virus: CK.
  4158. Tipo di Virus:  In memoria, Virus da file 
  4159. (Infetta i file con estensione *.EXE e *.COM).
  4160. Lunghezza del Virus: 1.163 Byte (COM ed EXE).
  4161. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4162. INT 24h, INT 13h.
  4163.  
  4164. Metodo di infezione:
  4165. 1) Il virus controlla che sia giα in memoria. Se "NO", si carica 
  4166. in memoria agganciando l'INT 21h.
  4167. 2) Esegue il file originale.
  4168. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4169.  
  4170. Danni: Il virus intercetta l'INT 13h; poco tempo dopo, il sistema produce dei suoni.
  4171.  
  4172. Metodo di rilevazione: I file infetti aumentano di 1.163 Byte.
  4173.  
  4174. Note: Quando infetta i file, CK intercetta l'INT 24h. 
  4175. Omette gli errori I/O (come per esempio protetto da scrittura).
  4176.  
  4177.  
  4178. [2136]
  4179. Nome del Virus: 2136.
  4180. Tipo di Virus: In memoria alta, Virus da file 
  4181. (Infetta i file con estensione *.EXE e *.COM).
  4182. Lunghezza del Virus: 2.136  Byte (COM ed EXE).
  4183. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4184.  
  4185. Metodo di infezione:
  4186. 1) Il virus controlla che sia giα in memoria. 
  4187. Se "NO", si carica in memoria intercettando l'INT 21h.
  4188. 2) Esegue il file originale.
  4189. 3) Con il virus caricato in memoria viene infettato ogni file 
  4190. non infetto eseguito.
  4191.  
  4192. Danni: Nessuno.
  4193.  
  4194. Metodo di rilevazione: I file infetti aumentano di 2.136  Byte.
  4195.  
  4196. Note: Quando infetta i file, 2136 intercetta l'INT 24h. 
  4197. Omette gli errori I/O (come protetto da scrittura). 
  4198.  
  4199. [Casteggi]
  4200. Nome del Virus: CASTEGGI.
  4201. Tipo di Virus:  In memoria alta, Virus da file 
  4202. (Infetta i file con estensione *.EXE e *.COM).
  4203. Lunghezza del Virus: 2.881  Byte (COM ed EXE).
  4204. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h, INT 1Ch.
  4205.  
  4206. Metodo di infezione:
  4207. 1)  Il virus controlla che sia giα in memoria.
  4208.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4209. 2) Esegue il file originale.
  4210. 3) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4211.  
  4212. Danni: Quando il giorno del mese Φ successivo al giorno 10, il virus conteggia l'ora intercettando l'INT 1Ch.
  4213. Circa 6 minuti dopo, l'immagine sullo schermo viene distrutta.
  4214.  
  4215. Metodo di rilevazione: I file infetti aumentano di 2.881  Byte.
  4216.  
  4217. Note: Il virus Casteggi intercetta l'INT 24h quando infetta i file. 
  4218. Omette l'errore I/O (come per esempio protetto da scrittura).
  4219.  
  4220.  
  4221. [Enola]
  4222. Nome del Virus: ENOLA.
  4223. Tipo di Virus:  In memoria, Virus da file 
  4224. (infetta i file con estensione *.COM ed *.EXE).
  4225. Lunghezza del Virus: 1.865-1.875  Byte (COM ed EXE).
  4226. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4227. INT 24h, INT 8h.
  4228.  
  4229. Metodo di infezione:
  4230. 1) Il virus controlla che sia giα in memoria.
  4231.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4232. 2) Esegue il file originale.
  4233. 3) Con il virus caricato in memoria sarα infettato ogni file 
  4234. non infetto eseguito..
  4235.  
  4236. Danni: Quando il virus Φ in memoria da 140 minuti e l'INT 21h 
  4237. Φ stato chiamato pi∙ di 72 volte, vengono distrutti tutti i dati 
  4238. presenti sull'hard disk.
  4239.  
  4240. Metodo di rilevazione: I file infetti aumentano di 1.865-1.875  Byte.
  4241.  
  4242. Note: Il virus Enola intercetta l'INT 24h quando infetta i file. 
  4243. Omette gli errori I/O (come per esempio protetto da scrittura).
  4244.  
  4245.  
  4246. [Ontari03]
  4247. Nome del Virus: ONTARI03.
  4248. Tipo di Virus:  In memoria alta, Virus da file 
  4249. (Infetta i file con estensione *.EXE e *.COM).
  4250. Lunghezza del Virus: 2.048 Byte (COM ed EXE).
  4251. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4252.  
  4253. Metodo di infezione:
  4254. 1)  Il virus controlla che sia giα in memoria.
  4255.    Se "NO", si carica in memoria agganciando l'INT 21h.
  4256. 2)  Esegue il file originale.
  4257. 3) Con il virus caricato in memoria viene infettato ogni 
  4258. file non infetto eseguito.
  4259.  
  4260. Danni: Nessuno
  4261.  
  4262. Metodo di rilevazione: I file infetti aumentano di 2.048  Byte.
  4263.  
  4264. Note: Il virus Ontari03 intercetta l'INT 24h quando infetta i file. 
  4265. Omette gli errori I/O (come per esempio protetto da scrittura).
  4266.  
  4267. [PCBB-B]
  4268. Nome del Virus: PCBB-B.
  4269. Tipo di Virus: In memoria alta, Virus da file 
  4270. (Infetta i file con estensione *.EXE e *.COM).
  4271. Lunghezza del Virus: 3.072 Byte (COM ed EXE).
  4272. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4273.  
  4274. Metodo di infezione:
  4275. 1)     Il virus controlla che sia giα in memoria. 
  4276. Se "NO", si carica in memoria (memoria alta) intercettando l'INT 21h.
  4277. 2)     Esegue il file originale.
  4278. 3)  Con il virus caricato in memoria viene infettato 
  4279. ogni file non infetto eseguito.
  4280.  
  4281. Danni: Nessuno.
  4282.  
  4283. Metodo di rilevazione: I file infetti aumentano di 3.072  Byte.
  4284.  
  4285. Note: Il virus PCBB intercetta l'INT 24h quando infetta i file. 
  4286. Omette gli errori I/O (come per esempio protetto da scrittura).
  4287.  
  4288. [Canna615]
  4289. Nome del Virus: CANNA615.
  4290. Tipo di Virus:  In memoria alta, Virus da file 
  4291. (Infetta i file con estensione *.EXE e *.COM).
  4292. Lunghezza del Virus: 1.568 Byte (COM ed EXE).
  4293. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4294.  
  4295. Metodo di infezione:
  4296. 1) Il virus controlla che sia giα in memoria.
  4297.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4298. 2) Il virus controlla che la data di sistema sia venerd∞ 
  4299. ed i secondi siano zero. Se "SI", compaiono sullo schermo il messaggio: 
  4300. "LEGALIZE CANNA615"
  4301.  e l'immagine di una foglia di marjuana.
  4302. 3) Esegue il file originale.
  4303. 4) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4304.  
  4305. Danni: Nessuno.
  4306.  
  4307. Metodo di rilevazione: I file infetti aumentano di 1.568 Byte.
  4308.  
  4309. Note: Il virus Canna615 intercetta l'INT 24h quando infetta i file. 
  4310. Omette gli errori I/O (come per esempio protetto da scrittura).
  4311.  
  4312.  
  4313. [Magnum]
  4314. Nome del Virus: MAGNUM.
  4315. Tipo di Virus: In memoria, Virus da file 
  4316. (infetta i file con estensione *.COM e *.EXE).
  4317. Lunghezza del Virus: 2.560 Byte (COM ed EXE).
  4318. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4319. INT24h, INT 8h.
  4320.  
  4321. Metodo di infezione:
  4322. 1) Il virus controlla che sia giα in memoria.
  4323.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4324. 2) Esegue il file originale.
  4325. 3) Con il virus caricato in memoria viene infettato 
  4326. ogni file non infetto eseguito.
  4327.  
  4328. Danni: Nessuno.
  4329.  
  4330. Metodo di rilevazione: I file infetti aumentano di 2.560 Byte.
  4331.  
  4332. Note:
  4333. 1)  Il virus Magnum intercetta l'INT 24h quando infetta i file. 
  4334. Omette gli errori I/O (come per esempio protetto da scrittura).
  4335.  
  4336. 2)  Il virus gira solo in DOS 3.3.
  4337.  
  4338. [Lycee]
  4339. Nome del Virus: LYCEE.
  4340. Tipo di Virus: In memoria, Virus da file 
  4341. (infetta i file con estensione *.COM e *.EXE).
  4342. Lunghezza del Virus: 1.788 Byte (COM ed EXE).
  4343. Vettore PC agganciato: INT 21h (AX=4B00h)
  4344. (Programma eseguibile), INT 24h, INT 8h, INT 9h.
  4345.  
  4346. Procedura eseguita:
  4347. 1) Controlla che sia in memoria. 
  4348. Se "NO", intercetta l'INT 21h, l'INT 8h e l'INT 9h, 
  4349. si installa in memoria ed esegue quindi il programma ospite.
  4350. 2) Se il virus Φ ancora in memoria, esegue il programma principale.
  4351.  
  4352. Metodo di infezione:
  4353. 1) Il virus infetta i file  AH=4B nell'INT 21h. 
  4354. Un programma non infetto viene infettato alla sua esecuzione.
  4355. 2) Lycee intercetta l'INT 24h prima di infettare 
  4356. i file per ignorare gli errori di I/O.
  4357. Danni: Se non si premono tasti per un po' di tempo appare 
  4358. sullo schermo una piccola finestra finchΘ non viene premuto un tasto.
  4359. Metodo di rilevazione: I file infetti aumentano di 1.788  Byte.
  4360.  
  4361. Note: Lycee intercetta l'INT 24h quando infetta i file. 
  4362. Omette l'errore I/O (come per esempio protetto da scrittura).
  4363.  
  4364.  
  4365. Commenti: Il virus non Φ conteggiato dall'INT 8h. 
  4366. Quando la tastiera non viene toccata per un certo periodo, 
  4367. appare sullo schermo una piccola finestra finchΘ non viene premuto un tasto.
  4368.  
  4369. [Brain2]
  4370. Nome del Virus: BRAIN2.
  4371. Tipo di Virus: In memoria, Virus da file 
  4372. (infetta i file con estensione *.COM e *.EXE).
  4373. Lunghezza del Virus: 1.935 Byte (COM ed EXE).
  4374. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4375. INT 24h, INT 1Ch.
  4376.  
  4377. Metodo di infezione:
  4378. 1) Controlla che la data di sistema corrisponda al giorno 17 novembre o 6 febbraio. 
  4379. Se "SI", mostra alcuni messaggi e suona una musica.
  4380. 2) Il virus controlla che sia giα in memoria. 
  4381. Se "NO", si carica in memoria intercettando l'INT21h.
  4382. 3) Esegue il file originale.
  4383. 4) Controlla che la data di sistema corrisponda al primo di 
  4384. febbraio, luglio, settembre o dicembre. 
  4385. Se "SI", il virus mostra un rettangolo lampeggiante agganciandosi all'INT 1Ch.
  4386. 5) Con il virus caricato in memoria viene infettato ogni file non infetto eseguito.
  4387.  
  4388. Danni: Nessuno.
  4389.  
  4390. Metodo di rilevazione: I file infetti aumentano di 1.935 Byte.
  4391.  
  4392. Note: Brain2 intercetta l'INT 24h quando infetta i file. 
  4393. Omette l'errore I/O (come per esempio protetto da scrittura).
  4394.  
  4395. [Antiprnt]
  4396. Nome del Virus: ANTIPRNT.
  4397. Tipo di Virus:  In memoria alta, Virus da file 
  4398. (Infetta i file con estensione *.EXE).
  4399. Lunghezza del Virus: 593 Byte (EXE).
  4400. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4401. INT 24h.
  4402.  
  4403. Metodo di infezione:
  4404. 1) Il virus controlla che sia giα in memoria. 
  4405. Se "NO", si carica in memoria (memoria alta) intercettando l'INT 21h.
  4406. 2) Esegue il file originale.
  4407. 3) Con il virus caricato in memoria viene infettato ogni 
  4408. file non infetto eseguito.
  4409.  
  4410. Danni: Se la versione del DOS Φ pi∙ recente della 3.0 
  4411. e la stampante Φ installata, il virus distrugge i dati sul disco in uso.
  4412.  
  4413. Metodo di rilevazione: I file infetti aumentano di 593 Byte.
  4414.  
  4415. Note: ANTIPRNT intercetta l'INT 24h quando infetta i file. 
  4416. Omette l'errore I/O (come per esempio protetto da scrittura).
  4417.  
  4418.  
  4419. [ABC]
  4420. Nome del Virus: ABC.
  4421. Tipo di Virus:  In memoria alta, Virus da file 
  4422. (Infetta i file con estensione *.EXE).
  4423. Lunghezza del Virus: 2.912 Byte (EXE).
  4424. Vettore PC agganciato: INT 21h (AX=4B00h)
  4425. (Programma eseguibile), INT 24h, INT 1Ch, INT 16h.
  4426.  
  4427. Metodo di infezione:
  4428. 1) Il virus controlla che sia giα in memoria. 
  4429. Se "NO", si carica in memoria (memoria alta) 
  4430. intercettando l'INT 21h, INT 1Ch, INT 16h.
  4431. 2) Esegue il file originale.
  4432. 3) Con il virus caricato in memoria viene infettato ogni file 
  4433. non infetto eseguito. b) Non infetta i file con estensione *.COM ed 
  4434. i file con estensione *.EXE pi∙ piccoli di 20KB.
  4435.  
  4436. Danni: Quando la data di sistema corrisponde al giorno 14, ed il virus Φ 
  4437. in memoria da 55 minuti, distrugge tutti i dati dell'hard disk.
  4438.  
  4439. Metodo di rilevazione: I file infetti aumentano di 2.912  Byte.
  4440.  
  4441. Note: ABC intercetta l'INT 24h quando infetta i file. 
  4442. Omette l'errore I/O (come per esempio protetto da scrittura).
  4443.  
  4444.  
  4445. [CivilWar]
  4446. Nome del Virus: Civilwar.
  4447. Tipo di Virus:  In memoria alta, Virus da file 
  4448. (infetta i file con estensione *.COM).
  4449. Lunghezza del Virus: 599 Byte (COM).
  4450. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), INT 24h.
  4451.  
  4452. Procedura eseguita:
  4453. 1)  Il virus controlla che sia giα in memoria. 
  4454. Se "NO", si carica in memoria (memoria alta) i
  4455. ntercettando l'INT 21h.
  4456. 2)  Esegue il file originale.
  4457. 3)  Con il virus caricato in memoria viene infettato ogni file non infetto eseguito. 
  4458. b) Non infetta i file con estensione *.EXE.
  4459.  
  4460. Danni: Nessuno.
  4461.  
  4462. Metodo di rilevazione: I file infetti aumentano di 599 Byte.
  4463.  
  4464. Note: Civilwar intercetta l'INT 24h quando infetta i file. 
  4465. Omette l'errore I/O (come per esempio protetto da scrittura).
  4466.  
  4467.  [Leech]
  4468. Nome del Virus: Leech.
  4469. Tipo di Virus: In memoria alta, Virus da file 
  4470. (infetta i file con estensione *.COM).
  4471. Lunghezza del Virus: 1.024 Byte (COM).
  4472. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4473. INT 24h.
  4474.  
  4475. Procedura eseguita:
  4476. 1)  Il virus controlla che sia giα in memoria.  
  4477. Se "NO", si carica in memoria intercettando l'INT 21h.
  4478. 2)  Esegue il file originale.
  4479. 3)  Con il virus caricato in memoria viene infettato ogni 
  4480. file non infetto eseguito. b) Non infetta i file con estensione *.EXE.
  4481.  
  4482. Danni: Nessuno.
  4483.  
  4484. Metodo di rilevazione: I file infetti aumentano di 1.024 Byte.
  4485.  
  4486. Note: Leech intercetta l'INT 24h quando infetta i file. 
  4487. Omette l'errore I/O (come per esempio protetto da scrittura).
  4488.  
  4489.  
  4490. [302]
  4491. Nome del Virus: 302.
  4492. Tipo di Virus:  In memoria alta, Virus da file 
  4493. (infetta i file con estensione *.COM).
  4494. Lunghezza del Virus: 302 Byte (COM).
  4495. Vettore PC agganciato: INT 21h (AX=4B00h)
  4496. (Programma eseguibile), INT 24h.
  4497.  
  4498. Procedura eseguita:
  4499. 1)  Il virus controlla che sia giα in memoria. 
  4500. Se "NO", si carica in memoria intercettando l'INT 21h.
  4501. 2)  Esegue il file originale.
  4502. 3)  Con il virus caricato in memoria viene infettato 
  4503. ogni file non infetto eseguito. b) Non infetta i file con estensione *.EXE.
  4504.  
  4505. Danni: Nessuno.
  4506.  
  4507. Metodo di rilevazione: I file infetti aumentano di 302 Byte.
  4508.  
  4509. Note: 302 intercetta l'INT 24h quando infetta i file.
  4510. Omette l'errore I/O (come per esempio protetto da scrittura).
  4511.  
  4512.  
  4513. [Little_Brother]
  4514. Nome del Virus: Little_Brother.
  4515. Tipo di Virus:  In memoria, Virus da file (Companion Virus).
  4516. Lunghezza del Virus: 250 Byte (EXE).
  4517. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4518. INT 24h.
  4519.  
  4520. Procedura eseguita:
  4521. 1)  Il virus controlla che sia giα in memoria.
  4522.    Se "NO", si carica in memoria intercettando l'INT 21h.
  4523. 2)  Esegue il file originale.
  4524. 3)  Con il virus caricato in memoria viene infettato ogni file 
  4525. non infetto eseguito. b) Non infetta i file con estensione  *.COM.
  4526.  
  4527. Danni: Quando viene eseguito un file non infetto, 
  4528. il virus crea un file con estensione *.COM chiamandolo come un file con estensione *.EXE (esempio: gira "AAA.EXE", Little_Brother creerα "AAA.COM").
  4529.  
  4530. Metodo di rilevazione: I file infetti aumentano di 250 Byte.
  4531.  
  4532. Note: Little_Brother intercetta l'INT 24h quando infetta i file.
  4533. Omette gli errori I/O (come per esempio protetto da scrittura).
  4534.  
  4535. [ARCV-9]
  4536. Nome del Virus: ARCV-9.
  4537. Tipo di Virus: In memoria alta, Virus da file 
  4538. (infetta i file con estensione *.COM).
  4539. Lunghezza del Virus: 771 Byte (COM).
  4540. Vettore PC agganciato: INT 21h (AX=4B00h) (execute  program), INT 24h.
  4541.  
  4542. Procedura eseguita:
  4543. 1)  Il virus controlla che sia giα in memoria. 
  4544. Se "NO", si carica in memoria intercettando l'INT 21h.
  4545. 2)  Esegue il file originale.
  4546. 3)  Con il virus caricato in memoria viene infettato ogni 
  4547. file non infetto eseguito. b) Non infetta i file con estensione *.EXE.
  4548.  
  4549. Danni: Nessuno.
  4550.  
  4551. Metodo di rilevazione: I file infetti aumentano di 771 Byte.
  4552.  
  4553. Note: ARCV-9 intercetta l'INT 24h quando infetta i file. 
  4554. Omette gli errori I/O (come per esempio protetto da scrittura).
  4555.  
  4556.  
  4557. [NG-914]
  4558. Nome del Virus: NG-914.
  4559. Tipo di Virus:  In memoria, Virus da file 
  4560. (infetta i file con estensione *.COM).
  4561. Lunghezza del Virus: 914 Byte (COM).
  4562. Vettore PC agganciato: INT 21h (AX=4B00h)
  4563. (Programma eseguibile), INT 24h.
  4564.  
  4565. Procedura eseguita:
  4566. 1)  Il virus controlla che sia giα in memoria. 
  4567. Se "NO", si carica in memoria intercettando l'INT 21h.
  4568. 2)  Esegue il file originale.
  4569. 3)  Con il virus caricato in memoria viene infettato 
  4570. ogni file non infetto eseguito. b) Non infetta i file con estensione *.EXE.
  4571.  
  4572. Danni: Nessuno.
  4573.  
  4574. Metodo di rilevazione: I file infetti aumentano di 914 Byte.
  4575.  
  4576. Note: NG-914 intercetta l'INT 24h quando infetta i file. 
  4577. Omette gli errori I/O (come per esempio protetto da scrittura).
  4578.  
  4579. [Civil510]
  4580. Nome del Virus: Civil510.
  4581. Tipo di Virus:  In memoria alta, Virus da file 
  4582. (infetta i file con estensione *.COM).
  4583. Lunghezza del Virus: 2.080 Byte (COM).
  4584. Vettore PC agganciato: INT 21h (AX=4B00h)
  4585. (Programma eseguibile), INT 24h.
  4586.  
  4587. Procedura eseguita:
  4588. 1)  Il virus controlla che sia giα in memoria. 
  4589. Se "NO", si carica in memoria intercettando l'INT 21h.
  4590. 2)  Esegue il file originale.
  4591. 3)  Con il virus caricato in memoria viene infettato 
  4592. ogni file non infetto eseguito. 
  4593. b) Non infetta i file con estensione *.EXE.
  4594.  
  4595. Danni: Nessuno.
  4596.  
  4597. Metodo di rilevazione: I file infetti aumentano di 2.080 Byte.
  4598.  
  4599. Note: Civil510 intercetta l'INT 24h quando infetta i file. 
  4600. Omette gli errori I/O (come per esempio protetto da scrittura).
  4601.  
  4602. [B3]
  4603. Nome del Virus: B3.
  4604. Tipo di Virus:  In memoria, Virus da file 
  4605. (infetta i file con estensione *.COM).
  4606. Lunghezza del Virus: 483 Byte (COM).
  4607. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4608. INT 24h.
  4609.  
  4610. Procedura eseguita:
  4611. 1)  Il virus controlla che la data di sistema 
  4612. corrisponda al giorno 26 giugno.
  4613. Se "SI", distrugge tutti i dati sull'hard disk. 
  4614. Se "NO", il virus controlla che sia giα in memoria. 
  4615. Se "NO", si carica in memoria
  4616. intercettando l'INT 21h.
  4617. 2) Esegue il file originale.
  4618. 3) Con il virus in memoria viene infettato ogni file non infetto eseguito. 
  4619. b) Non infetta i file con estensione *.EXE.
  4620.  
  4621. Danni: Se la data di sistema Φ il giorno 26 giugno, 
  4622. il virus distrugge tutti i dati sull'hard disk.
  4623.  
  4624. Metodo di rilevazione: I file infetti aumentano di 483 Byte.
  4625.  
  4626. Note: B3 intercetta l'INT 24h quando infetta i file. 
  4627. Omette gli errori I/O (come per esempio protetto da scrittura).
  4628.  
  4629. [RKO-1]
  4630. Nome del Virus: RKO-1.
  4631. Tipo di Virus:  In memoria, Virus da file.
  4632. Lunghezza del Virus: Nessuna
  4633. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4634. INT 24h.
  4635.  
  4636. Procedura eseguita:
  4637. 1)  Il virus controlla che la data di sistema corrisponda al giorno 13. 
  4638. Se "SI", distrugge tutti i dati sull'hard disk. 
  4639. Se "NO", il virus controlla 
  4640. che sia giα in memoria. Se "NO", si carica nella in memoria intercettando l'INT 21h.
  4641. 2)  Esegue il file originale.
  4642. 3)  Con il virus in memoria viene infettato ogni file non infetto 
  4643. eseguito o quando INT 21h Φ chiamato da AX=11h o AX=12h.
  4644.  
  4645. Danni: Se la data di sistema corrisponde al giorno 13, 
  4646. il virus distrugge tutti i dati sull'hard disk.
  4647.  
  4648. Metodo di rilevazione: Nessuno.
  4649.  
  4650. Note: RKO-1 intercetta l'INT 24h quando infetta i file. 
  4651. Omette gli errori I/O (come per esempio protetto da scrittura).
  4652.  
  4653. [Dame]
  4654. Nome del Virus: Dame.
  4655. Tipo di Virus:  In memoria, Virus da file (Mutation Engine).
  4656. Lunghezza del Virus: Nessuna.
  4657. Vettore PC agganciato: INT 21h (AX=4B00h)(Programma eseguibile), 
  4658. INT 24h.
  4659.  
  4660. Procedura eseguita:
  4661. 1)  Il virus controlla che sia giα in memoria. 
  4662. Se "NO", si carica in memoria agganciando l'INT 21h.
  4663. 2)  Esegue il file originale.
  4664. 3)  Con il virus in memoria viene infettato ogni file 
  4665. non infetto eseguito.
  4666. 4)  Dopo aver infettato i file, controlla l'ora. 
  4667. Se questa Φ compresa tra le 12:00 e le 12:30, il virus mostra il messaggio:
  4668.     "Don't worry, you are not alone at this hour.... This Virus is
  4669.     NOT dedicated to Sara. It's dedicated to her Groove (...That s
  4670.     my name).. This Virus is only a test therefor ..  be ready for
  4671.     my Next Test..."
  4672.  
  4673. Danni: Nessuno.
  4674.  
  4675. Metodo di rilevazione: Nessuno.
  4676.  
  4677. Note:
  4678. 1)  Dame intercetta l'INT 24h quando infetta i file. 
  4679. Omette gli errori I/O (come per esempio protetto da scrittura).
  4680. 2)  Il virus si codifica prima di infettare i file. 
  4681. Il metodo di decodificazione dipende dall'ora quindi Φ diverso in ogni file.
  4682.  
  4683. [7thson]
  4684. Nome del Virus: 7thson.
  4685. Tipo di Virus: In memoria, Virus da file (Companion).
  4686. Lunghezza del Virus: 321 o 307 Byte (EXE).
  4687. Vettore PC agganciato: INT 21h (AX=4B00h)
  4688. (Programma eseguibile), INT 24h.
  4689.  
  4690. Procedura eseguita:
  4691. 1)  Il virus controlla che sia giα in memoria. 
  4692. Se "NO", si carica in memoria intercettando l'INT 21h.
  4693. 2)  Esegue il file originale.
  4694. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito. 
  4695. b) Non infetta i file con estensione *.COM.
  4696.  
  4697. Danni: Quando gira un file con estensione *.EXE, il virus 
  4698. crea un nuovo file con estensione *.COM della lunghezza di 321 o 307 Byte
  4699. chiamandolo con lo stesso nome di un file con estensione *.EXE.
  4700.  
  4701. Metodo di rilevazione: Controlla che vi siano dei 
  4702. file con estensione *.COM della lunghezza di 321 o 307 Byte.
  4703.  
  4704. Note: 7thson intercetta l'INT 24h e chiude il comando "control_break"
  4705. quando infetta i file. Omette gli errori I/O 
  4706. (come per esempio protetto da scrittura).
  4707.  
  4708. [Geoff]
  4709. Nome del Virus: Geoff.
  4710. Tipo di Virus:  Trojan.
  4711. Lunghezza del Virus:  5.952 Byte.
  4712. Vettore PC agganciato: INT 24h.
  4713.  
  4714. Procedura eseguita:
  4715. 1) Non infetta ogni file, parte o settore di boot.
  4716. 2) Prima di distruggere fa comparire il messaggio:
  4717.     "Search And Destroy Loading v1.0 Bringing The Best And Latest
  4718.     Warex....... Press [ENTER] to Start The Game."
  4719. 3) Distrugge quindi tutti i dati di ogni disco, se i drive sono pronti.
  4720. 4) Effettuata la distruzione compare il messaggio: "Hey Geoff You know what
  4721.     happened a few days ago? Some friend asked me to get rid of
  4722.     you,........ P.S. I have nothing personal against you! You just
  4723.     FUCKED with the Cold Brother and I had to take you down, again."
  4724.  
  4725. Danni: Distrugge tutti i dati di ogni disco, se i drive sono pronti.
  4726.  
  4727. Metodo di rilevazione: Ricerca i file di lunghezza pari a 5.952  Byte.
  4728.  
  4729. Note:
  4730. 1) Non rimane in memoria.
  4731. 2) Geoff  intercetta l'INT 24h mentre distrugge. 
  4732. Omette gli errori I/O (come per esempio protetto da scrittura).
  4733.  
  4734.  
  4735. [CMOSKill]
  4736. Nome del Virus: Cmoskill.
  4737. Tipo di Virus: Trojan.
  4738. Lunghezza del Virus: 29 Byte.
  4739. Vettore PC agganciato: Nessuno.
  4740.  
  4741. Danni:  Cancella tutti i dati CMOS.
  4742.  
  4743. Metodo di rilevazione: Nessuno.
  4744.  
  4745. Note:
  4746. 1) Non rimane in memoria.
  4747. 2) Non infetta file, partizione o settore di boot.
  4748.  
  4749. [Killboot]
  4750. Nome del Virus: Killboot.
  4751. Tipo di Virus: Trojan.
  4752. Lunghezza del Virus: 32.000  Byte.
  4753. Vettore PC agganciato: Nessuno.
  4754.  
  4755. Danni: Distrugge tutti i dati del settore BOOT di C:\ e B:\, 
  4756. compare quindi una riga di codici ed il sistema si blocca.
  4757.  
  4758. Metodo di rilevazione: Nessuno.
  4759.  
  4760. Note:
  4761. 1) Non rimane in memoria.
  4762. 2) Non infetta file o partizione.
  4763.  
  4764. [NUKEX]
  4765. Nome del Virus: NUKEX.
  4766. Tipo di Virus: Trojan.
  4767. Lunghezza del Virus: 469 Byte.
  4768. Vettore PC agganciato: Nessuno.
  4769.  
  4770. Danni: Cancella tutti i file sull'hard disk 
  4771. (comprese tutte le subdirectory).
  4772.  
  4773. Metodo di rilevazione: Nessuno.
  4774.  
  4775. Note:
  4776. 1) Non rimane in memoria.
  4777. 2) Non infetta file, partizione o settore di boot.
  4778.  
  4779. [Fire]
  4780. Nome del Virus: Fire.
  4781. Tipo di Virus: Trojan.
  4782. Lunghezza del Virus: 4.304 Byte.
  4783. Vettore PC agganciato: INT 24h.
  4784.  
  4785. Danni: Distrugge tutti i dati di ogni disco, se i drive sono pronti, 
  4786. producendo poi un suono. 
  4787.  
  4788. Metodo di rilevazione:  Ricerca file della lunghezza di 4.304 Byte.
  4789.  
  4790. Note:
  4791. 1) Non rimane in memoria.
  4792. 2) Non infetta file, partizione o settore di boot.
  4793. 3) Fire intercetta l'INT 24h mentre distrugge. Omette gli errori I/O 
  4794. (come per esempio protetto da scrittura).
  4795.  
  4796.  
  4797. [Secto]
  4798. Nome del Virus: Secto.
  4799. Tipo di Virus: Trojan.
  4800. Lunghezza del Virus: 487 Byte.
  4801. Vettore PC agganciato: Nessuno.
  4802.  
  4803. Danni:  Distrugge tutti i dati del settore boot di A:\.
  4804.  
  4805. Metodo di rilevazione: Nessuno.
  4806.  
  4807. Note:
  4808. 1) Non rimane in memoria.
  4809. 2) Non infetta file o partizione. 
  4810. 3) Non intercetta l'INT 24h mentre distrugge. 
  4811. Appare un messaggio d'errore in caso ci sia un errore di I/O
  4812. (come per esempio protetto da scrittura).
  4813.  
  4814. [MSK]
  4815. Nome del Virus: MSK.
  4816. Tipo di Virus: Trojan.
  4817. Lunghezza del Virus: 272 Byte.
  4818. Vettore PC agganciato: Nessuno.
  4819.  
  4820. Danni:  Distrugge tutti i dati sull'hard disk.
  4821.  
  4822. Metodo di rilevazione: Ricerca i file di lunghezza pari a 272 Byte.
  4823.  
  4824. Note:
  4825. 1) Non rimane in memoria.
  4826. 2) Non infetta file, partizione o settore di boot.
  4827.  
  4828.  
  4829. [Dropper]
  4830. Nome del Virus: Dropper.
  4831. Tipo di Virus: Trojan.
  4832. Lunghezza del Virus: 3.103 Byte.
  4833. Vettore PC agganciato: Nessuno.
  4834.  
  4835. Danni: Cancella tutti i file dei dischi.
  4836.  
  4837. Metodo di rilevazione: Controlla che vi siano file di lunghezza pari a 3.103 Byte.
  4838.  
  4839. Note:
  4840. 1) Non rimane in memoria.
  4841. 2) Non infetta file, partizione o settore di boot.
  4842. 3) Dropper non intercetta l'INT 24h mentre distrugge. 
  4843. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  4844. (come per esempio protetto da scrittura).
  4845.  
  4846.  
  4847. [RNA#1]
  4848. Nome del Virus: RNA#1.
  4849. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  4850. Lunghezza del Virus: 7.296 Byte (COM ed EXE).
  4851. Vettore PC agganciato: INT 24h.
  4852.  
  4853. Procedura eseguita:
  4854. 1) Cerca i file con estensione *.COM e *.EXE nel drive C:\.
  4855. 2) Se il virus li trova, vengono cancellati 
  4856. (cancella quattro file alla volta).
  4857. 3) Quando i file saranno stati cancellati, il virus creerα 
  4858. un file chiamato "ZSQA.TH" nel drive C:\.
  4859.  
  4860. Danni: Cancella i file nel drive C:\.
  4861.  
  4862. Metodo di rilevazione: Il file infetto incrementa le sue dimensioni di  7.296 Byte.
  4863.  
  4864. Note:
  4865. 1) Non rimane in memoria.
  4866. 2) RNA#1  intercetta l'INT 24h quando infetta i file. 
  4867. Omette gli errori di I/O 
  4868. (come per esempio protetto da scrittura).
  4869.  
  4870. [RNA#2]
  4871. Nome del Virus: RNA#2.
  4872. Tipo di Virus: Virus da file 
  4873. (infetta i file con estensione *.COM e *.EXE).
  4874. Lunghezza del Virus: 7.408 Byte (COM ed EXE).
  4875. Vettore PC agganciato: Nessuno.
  4876.  
  4877. Procedura eseguita:
  4878. 1) Cerca i file con estensione*.COM ed *.EXE nel drive C:\.
  4879. 2)  Il virus infetta i file, quattro alla volta.
  4880.  
  4881. Danni: Nessuno.
  4882.  
  4883. Metodo di rilevazione: Il file infetto incrementa 
  4884. le sue dimensioni di  7.408 Byte.
  4885.  
  4886. Note:
  4887. 1) Non rimane in memoria.
  4888. 2) RNA#2 non intercetta l'INT 24h quando infetta i file. 
  4889. Omette gli errori I/O (come per esempio protetto da scrittura).
  4890.  
  4891. [Medical]
  4892. Nome del Virus: Medical.
  4893. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  4894. Lunghezza del Virus: 189 Byte (COM).
  4895. Vettore PC agganciato: Nessuno.
  4896.  
  4897. Procedura eseguita:
  4898. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  4899. 2) Controlla che sia giα stato infettato da Medical. 
  4900. Se "SI", continua a cercare un altro file con estensione *.COM.
  4901. 3) Infetta un solo file alla volta.
  4902.  
  4903. Danni: Nessuno.
  4904.  
  4905. Metodo di rilevazione: Il file infetto incrementa le 
  4906. sue dimensioni di  189 Byte.
  4907.  
  4908. Note: Non rimane in memoria. Medical non intercetta 
  4909. l'INT 24h quando infetta i file. Omette gli errori di I/O (come per esempio protetto da scrittura).
  4910.  
  4911. [Bob]
  4912. Nome del Virus: Bob.
  4913. Tipo di Virus: Virus da file 
  4914. (infetta i file con estensione *.COM).
  4915. Lunghezza del Virus: 1.117 Byte (COM).
  4916. Vettore PC agganciato: INT 8h.
  4917.  
  4918. Procedura eseguita:
  4919. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  4920. 2) Controlla che sia giα stato infettato da Bob. 
  4921. Se "SI" continua a cercare un file con estensione *.COM non infetto.
  4922. 3) Infetta solo tre file alla volta.
  4923. 4) In seguito controlla che la data di sistema 
  4924. corrisponda al giorno 7 settembre. 
  4925. Se "SI", il virus intercetta l'INT 8h e circa 5 minuti 
  4926. pi∙ tardi appare sullo schermo uno dei seguenti messaggi: "Bob
  4927.     Ross lives!", "Bob Ross is watching!", "Maybe he lives here....."
  4928.     eccetera...
  4929.  
  4930. Danni: Se Φ il giorno 7 settembre appare un messaggio sullo schermo.
  4931.  
  4932. Metodo di rilevazione: Il file infetto incrementa le 
  4933. sue dimensioni di  1.117 Byte.
  4934.  
  4935. Note:
  4936. 1) Non rimane in memoria.
  4937. 2) Bob non intercetta l'INT 24h quando infetta i file. 
  4938. Omette gli errori di I/O (come per esempio protetto da scrittura).
  4939.  
  4940. [Cannabis]
  4941. Nome del Virus: Cannabis.
  4942. Tipo di Virus: Infetta il settore di boot dei floppy
  4943. Lunghezza del Virus: Nessuna.
  4944. Vettore PC agganciato: INT 13h.
  4945.  
  4946. Procedura eseguita:
  4947. 1) Quando il sistema Φ avviato da un disco infetto,  
  4948. si verifica la diminuzione di 1K della memoria complessiva di sistema.
  4949. 2) Intercetta quindi l'INT 13h.
  4950. 3) All'accensione del computer, il dischetto viene infettato
  4951. intercettando l'INT 13h.
  4952.  
  4953. Danni: Nessuno.
  4954.  
  4955. Metodo di rilevazione: La capacitα totale della 
  4956. memoria diminuisce di 1K Byte.
  4957.  
  4958. Note:
  4959. 1) Cannabis non intercetta l'INT 24h quando infetta il file. 
  4960. Omette gli errori di I/O (come per esempio protetto da scrittura).
  4961.  
  4962.  
  4963. [Daisy]
  4964. Nome del Virus: Daisy.
  4965. Tipo di Virus: Virus da file (Infetta i file con estensione *.EXE).
  4966. Lunghezza del Virus: Nessun cambiamento.
  4967. Vettore PC agganciato: Nessuno.
  4968.  
  4969. Procedura eseguita:
  4970. 1) Compare sullo schermo una faccia sorridente ed il messaggio: 
  4971. "Hi, I'm Crazy Daisy!...   
  4972. I'll format your HARD DISK! ... 
  4973. Say goodbye to your files!"
  4974. 2)  Il virus quindi cerca un file con estensione *.EXE nel drive A:\.
  4975. 3) Controlla che sia giα stato infettato da Daisy. Se "SI", 
  4976. continua a cercare un altro file con estensione *.EXE non infetto.
  4977. 4) Infetta tutti i file con estensione *.EXE nel drive A:\.
  4978. 5) Blocca il sistema.
  4979.  
  4980. Danni:
  4981. 1) Quando tutti i file con estensione *.EXE nel A:\ drive sono stati infettati, 
  4982. il sistema si blocca.
  4983. 2) Il virus sovrascrive il file originale, cosicchΘ la lunghezza 
  4984. dei file infetti non aumenta.
  4985. 3) Quando viene eseguito un file infetto, compare uno dei seguenti messaggi:
  4986.     "Pretty day today - isn't it?"
  4987.     "Don't worry - sing a song!"
  4988.     "Life isn't easy!"
  4989.     "Don't halt your computer! Let's be friends!"
  4990.  
  4991. Metodo di rilevazione: Nessuno.
  4992.  
  4993. Note:
  4994. 1) Non rimane in memoria.
  4995. 2) Daisy non intercetta l'INT 24h quando infetta il file. 
  4996. Omette gli errori di I/O (come per esempio protetto da scrittura).
  4997.  
  4998. [Son of PSMPC]
  4999. Nome del Virus: SON_OF_PSMPC.
  5000. Tipo di Virus:  Virus Generatore.
  5001. Lunghezza del Virus: 17.741 Byte.
  5002. Vettore PC agganciato: Nessuno.
  5003.  
  5004. Procedura eseguita:
  5005. 1) Si tratta di un "virus generatore." Quando si esegue PC-MPC A.CFG B.CFG...,  
  5006. si generano A.ASM B.ASM...,. che diventeranno virus dopo essere stati compilati.
  5007.  
  5008. Metodo di rilevazione: Nessuno.
  5009.  
  5010. Note:
  5011. 1) Non rimane in memoria.
  5012. 2) SON_OF_PSMPC non intercetta l'INT 24h quando infetta i file. 
  5013. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5014. 3) Questi nuovi file possono avere diverse funzioni come codificare 
  5015. od infettare il file COMMAND.COM.
  5016.  
  5017. [Ear]
  5018. Nome del Virus: EAR.
  5019. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  5020. Lunghezza del Virus: 1.024 Byte.
  5021. Vettore PC agganciato: Nessuno.
  5022.  
  5023. Procedura eseguita:
  5024. 1)  Il virus cerca un file con estensione *.EXE od un file 
  5025. con estensione *.COM nella directory corrente.
  5026. 2) Controlla che sia giα stato infettato da EAR. 
  5027. Se "SI", continua a cercare un file con estensione *.COM o *.EXE non infetto.
  5028. 3) Continua ad infettare i file con estensione *.COM ed *.EXE 
  5029. nella directory corrente ed in quella "madre" fino a quando 
  5030. tutti i file sono stati infettati.
  5031. 4) Controlla quindi che la data di sistema corrisponda al 1░ del mese.
  5032. Se "SI", appare sullo schermo il messaggio: " PHALON/SKISM 1992 [Ear-6] 
  5033. Alert! Where is the Auditory Canal located? 1. External
  5034.     Ear   2. Middle Ear 3. Inner Ear ", ed attende una risposta.
  5035. 5) Se si preme "1" o "3" compare il seguente messaggio: " Wow,
  5036.     you own your ears! Please resume work.", 
  5037. ed Esegue il file originale.
  5038. 6) Se si preme "2" compare il messaggio: "You obviously no
  5039.     nothing about ears. Try again after some study.", 
  5040. il programma quindi termina e non esegue il file originale.
  5041.  
  5042. Danni: Se la data di sistema corrisponde al 1░ giorno del 
  5043. mese appare sullo schermo un messaggio.
  5044.  
  5045. Metodo di rilevazione: Il file infetto incrementa le sue 
  5046. dimensioni di  1.024 Byte.
  5047.  
  5048. Note:
  5049. 1) Non rimane in memoria.
  5050. 2) EAR non intercetta l'INT 24h quando infetta il file. 
  5051. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5052.  
  5053. [Dir2-910]
  5054. Nome del Virus: DIR2-910.
  5055. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE).
  5056. Lunghezza del Virus: 1.024 Byte.
  5057. Vettore PC agganciato: Nessuno.
  5058.  
  5059. Procedura eseguita:
  5060. 1) Quando il virus si carica in memoria cambia la struttura dei 
  5061. dati nella directory, cosicchΘ alcuni file eseguibili risulteranno 
  5062. legati tra loro.
  5063. 2) Quando si esegue un file a cui Φ legato il virus DIR2-910,
  5064.     anche il virus viene eseguito. A questo punto pu≥ iniziare 
  5065. ad infettare altri file.
  5066. 3)  Il virus rimane in memoria ma non intercetta interrupt.
  5067.     Utilizza un'altra funzione per infettare i file. 
  5068. Infetta i file con estensione *.COM ed *.EXE quando sono "READ & WRITE".
  5069.  
  5070. Danni: Quando tutti i file con estensione *.COM ed *.EXE sono 
  5071. stati infettati sul disco, non Φ pi∙ possibile eseguire un file dal disco.
  5072.  
  5073. Metodo di rilevazione: Controlla il disco utilizzando CHKDSK.EXE. 
  5074. Se dei file sono crossed-linked alla stessa posizione, 
  5075. devono essere stati infettati.
  5076.  
  5077. Note: DIR2-910 non intercetta l'INT 24h quando infetta il file. 
  5078. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5079.  
  5080. [INOK-2372]
  5081. Nome del Virus: INOK-2372.
  5082. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  5083. Lunghezza del Virus: 2.372 Byte.
  5084. Vettore PC agganciato: Nessuno.
  5085.  
  5086. Procedura eseguita:
  5087. 1) Quando viene eseguito il virus, le successive due funzioni 
  5088. sono selezionate casualmente. a) Cerca un file con 
  5089. estensione *.COM nella directory corrente. 
  5090. Controlla quindi che sia stato infettato da INOK- 2372. 
  5091. Se "SI", continua a cercare un altro file con estensione *.COM. 
  5092. Il virus infetta un solo file alla volta. Esegue poi il file originale. 
  5093. b) Crea un file chiamato "ICONKIN.COM" nella directory corrente, 
  5094. quindi lo esegue. Una volta eseguito, compare una finestra sullo 
  5095. schermo fino a quando non viene premuto un tasto, dopo breve tempo 
  5096. per≥ la finestra compare di nuovo.
  5097.  
  5098. Danni: Nessuno.
  5099.  
  5100. Metodo di rilevazione:
  5101. 1) Il file infetto incrementa le sue dimensioni di  2.372 Byte.
  5102. 2) Ricerca di una finestra inusuale.
  5103.  
  5104. Note:
  5105. 1) Non rimane in memoria.
  5106. 2) INOK-2372 non intercetta l'INT 24h quando infetta il file. 
  5107. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5108.  
  5109. [Multi-2]
  5110. Nome del Virus: Multi-2.
  5111. Tipo di Virus: Infetta la tabella delle partizioni, Virus da file 
  5112. ( file con estensione *.COM ed *.EXE).
  5113. Lunghezza del Virus: Non valutabile.
  5114. Vettore PC agganciato: INT 21h, INT 24h, INT 1Ch, INT 13h.
  5115.  
  5116. Procedura eseguita:
  5117. 1)  Il virus diminuisce la memoria complessiva del sistema di 3K Byte 
  5118. quando il sistema viene avviato da un dischetto infetto.
  5119. 2) Controlla quindi che sia in memoria; Se "NO", si inserisce 
  5120. in memoria negli ultimi 3 K Byte intercettando l'INT 21h e l'INT 1Ch.
  5121. 3) Infetta i file alla loro esecuzione.
  5122.  
  5123. Danni: Nessuno.
  5124.  
  5125. Metodo di rilevazione: I file infetti aumentano di 927-1.000 Byte.
  5126.  
  5127. Note: Multi-2  intercetta l'INT 24h quando infetta i file. 
  5128. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5129.  
  5130. [BFD]
  5131. Nome del Virus: BFD.
  5132. Tipo di Virus: Virus da boot, Virus da file.
  5133. Lunghezza del Virus: Nessun cambiamento.
  5134. Vettore PC agganciato: INT 13h, INT 24h.
  5135.  
  5136. Procedura eseguita:
  5137. 1)  Il virus diminuisce la memoria complessiva di sistema di 2K Byte, 
  5138. quando il sistema viene avviato da un dischetto infetto.
  5139.  
  5140. 2) Si carica negli ultimi 4K Byte di memoria.
  5141. 3) Intercetta l'INT 13h.
  5142. 4) Se viene acceso il computer, il virus in memoria infetta 
  5143. il settore di boot ed i file quando si leggono o si scrivono 
  5144. programmi o dischi non infetti.
  5145.  
  5146. Danni: Sovrascrive i file originali, cosicchΘ la lunghezza 
  5147. dei file infetti non aumenta.
  5148.  
  5149. Metodo di rilevazione: Nessuno.
  5150.  
  5151. Note:
  5152. 1) BFD  intercetta l'INT 24h quando infetta i file od il settore di boot. 
  5153. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5154.  
  5155. [BFD-B]
  5156. Nome del Virus: BFD-B.
  5157. Tipo di Virus: Virus da file, Infetta il settore di Boot (Virus multipartito).
  5158. Lunghezza del Virus: Nessun cambiamento.
  5159. Vettore PC agganciato: INT 13h, INT 24h.
  5160.  
  5161. Procedura eseguita:
  5162. 1) Quando si esegue un file, il virus controlla che il settore boot 
  5163. dell'hard disk sia stato infettato. 
  5164. Se "NO", infetta il settore di boot.
  5165. 2) Controlla quindi che sia in memoria. 
  5166. Se "NO", si carica in memoria agganciando l'INT 21h e l'INT 13h.  
  5167. Dopo che il virus Φ in memoria infetta il settore di boot ed 
  5168. i file quando si leggono o si scrivono programmi o dischi non infetti.
  5169.  
  5170. Danni: Sovrascrive i file originali, cosicchΘ la lunghezza 
  5171. dei file infetti non aumenta.
  5172.  
  5173.  
  5174. Metodo di rilevazione: Nessuno.
  5175.  
  5176. Note:
  5177. 1) BFD  intercetta l'INT 24h quando infetta i file o i settori di boot. 
  5178. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5179.  
  5180.  
  5181. [XQR]
  5182. Nome del Virus: XQR.
  5183. Tipo di Virus: Infetta la tabella delle partizioni, Virus da file.
  5184. Lunghezza del Virus: Non valutabile.
  5185. Vettore PC agganciato: INT 21h, INT 24h, INT 13h, INT 8h.
  5186.  
  5187. Procedura eseguita:
  5188. 1)  Il virus diminuisce la memoria complessiva di sistema di 4K Byte 
  5189. quando il sitema Φ avviato da un disco infetto.
  5190. 2)  Il virus si carica negli ultimi quattro 4K Byte della memoria.
  5191. 3) Intercetta l'INT 13h.
  5192. 4) Quando il computer Φ acceso normalmente il virus controlla 
  5193. che la data di sistema sia il giorno 4 Maggio. 
  5194. Se "SI", appare un messaggio sullo schermo: 
  5195. " XQR: Wherever, I love you Forever and ever! The
  5196.     beautiful memoria for ours in that summer time has been recorded
  5197.     in Computer history . Bon voyage, my dear XQR! "
  5198. 5) Continua ad infettare ogni programma eseguito.
  5199.  
  5200. Danni: Quando Φ domenica, il virus cambia l'impostazione della tastiera.
  5201.  
  5202. Metodo di rilevazione: Controllare il funzionamento della tastiera.
  5203.  
  5204. Note: XQR  intercetta l'INT 24h quando infetta i file. 
  5205. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5206.  
  5207. [Bogus]
  5208. Nome del Virus: BOGUS.
  5209. Tipo di Virus: Infetta la tabella delle partizioni, Virus da file..
  5210. Lunghezza del Virus: Nessun cambiamento.
  5211. Vettore PC agganciato: INT 21h, INT 24h, INT 13h.
  5212.  
  5213. Procedura eseguita:
  5214. 1)  Il virus diminuisce la memoria complessiva di sistema 4K Byte 
  5215. quando il sitema Φ avviato da un disco infetto.
  5216. 2)  Il virus si carica negli ultimi 4K Byte di memoria.
  5217. 3)  Intercetta l'INT 13h.
  5218. 4) Continua ad infettare ogni programma eseguito.
  5219.  
  5220. Danni: Se il numero dei file infetti Φ maggiore di 2.710, 
  5221. distrugge tutti i dati sull'hard disk.
  5222.  
  5223. Metodo di rilevazione: Controlla che il file di testa sia l'INT 13h (AX=90 or 91).
  5224.  
  5225. Note:
  5226. 1) BOGUS  intercetta l'INT 24h quando infetta i file. 
  5227. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5228. 2) Se il computer Φ avviato da un dischetto, 
  5229. Φ impossibile vedere l' hard disk.
  5230.  
  5231. [Invol-1]
  5232. Nome del Virus: INVOL-1.
  5233. Tipo di Virus: Virus da file (EXE e SYS) .
  5234. Lunghezza del Virus: 1.350/60 Byte (EXE), 2.720 Byte (SYS).
  5235. Vettore PC agganciato: INT 21h.
  5236.  
  5237. Procedura eseguita:
  5238.  
  5239. File EXE:
  5240. 1)  Il virus cerca il primo comando di C:\CONFIG.SYS; 
  5241. se il comando Φ *.*=xxxx.yyy infetta il file.
  5242. 2) Termina l'esecuzione del file originale.
  5243. 3) Il file infetta quando viene eseguito un programma non infetto. 
  5244.  
  5245. File SYS:
  5246. 1) Intercetta l'INT 21h e si carica in memoria.
  5247. 2) Esegue il file originale.
  5248.  
  5249. Danni: Controlla che sia il giorno 20. 
  5250. Se "SI", distrugge tutti i dati dell' hard disk.
  5251.  
  5252. Metodo di rilevazione: I file con estensione *.EXE 
  5253. aumentano di 1.350 Byte, i file con estensione *.SYS aumentano di 2.720 Byte.
  5254.  
  5255. Note:
  5256. 1) INVOL-1 non intercetta l'INT 24h quando infetta il file. 
  5257. Omette gli errori di I/O (come per esempio protetto da scrittura).
  5258.  
  5259.  
  5260. [August16]
  5261. Nome del Virus: August16.
  5262. Pseudonimo: Iron maiden.
  5263. Tipo di Virus: Virus Parassita (infetta i file con estensione *.COM).
  5264. Lunghezza del Virus: 636 Byte.
  5265. Vettore PC agganciato: Int 21.
  5266.  
  5267. Procedura eseguita:
  5268. 1)  Il virus controlla che i primi due file con estensione *.COM 
  5269. nella directory corrente siano stati infettati.
  5270. 2)  Se "NO" provvede ad infettarli.
  5271. 3)  Se "SI" controlla la directory corrente nel drive C:\ per vedere 
  5272. che possieda due file con estensione *.COM.
  5273. 4)  Se "SI" provvede ad infettarli.
  5274. 5)  Il file originale viene eseguito.
  5275.  
  5276. Danni:
  5277. 1) August16 sovrascrive il file originale per nascondere le 
  5278. variazioni di data ed ora nella lista delle directory. 
  5279. 2) Aggiunge due stringhe di testo ai file infetti: 
  5280. "*.COM AA", "=!=IRON MAIDEN."
  5281.  
  5282. Metodo di rilevazione:
  5283. 1) Aumentano di lunghezza i file con estensione *.COM.
  5284. 2) Inatteso accesso al drive C:\.
  5285.  
  5286. Note: August16 non intercetta l'INT 24h quando infetta il file. 
  5287. Appare un messaggio d'errore se c'Φ un errore I/O 
  5288. (come per esempio protetto da scrittura).
  5289.  
  5290.  
  5291. [BkMonday]
  5292. Nome del Virus: BKMonday.
  5293. Pseudonimo: Virus 1055.
  5294. Tipo di Virus: Virus da file.
  5295. Lunghezza del Virus: 1.055 Byte.
  5296. Vettore PC agganciato: Int 21.
  5297.  
  5298. Danni: Formatta i primi 240 cilindri del primo hard disk.
  5299.  
  5300. Metodo di rilevazione: Sovrascrive il file originale in modo 
  5301. da nascondere le modifiche del file dopo l'infezione. 
  5302.  
  5303. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5304. (come per esempio protetto da scrittura).
  5305.  
  5306.  
  5307. [Devil's_Dance]
  5308. Nome del Virus: Devil's_Dance.
  5309. Pseudonimo: Virus 941.
  5310. Tipo di Virus: Virus da file.
  5311. Lunghezza del Virus: 941 Byte
  5312. Vettore PC agganciato: Int 21.
  5313.  
  5314. Procedura eseguita:
  5315. 1)  Il virus controlla che sia giα in memoria.
  5316.    Se "NO", si carica in memoria intercettando l'INT 21h.
  5317. 2)  Esegue il file originale.
  5318. 3)  Con il virus in memoria viene infettato ogni 
  5319. file non infetto eseguito.
  5320.  
  5321. Danni: Devil's_Dance monitorizza l'Int 9 (keyboard). 
  5322. Una funzione per la manopolazione del cursore Φ attivata 
  5323. quando vengono premuti 5 tasti ed in pi∙ il tasto Alt. 
  5324. Inoltre, se non viene digitato il tasto Alt,
  5325. vengono cambiati gli attributi nella video-RAM dopo che 
  5326. qualsiasi altro tasto viene digitato. I nuovi attributi 
  5327. sono i seguenti: 09h (blu chiaro), 0ah (verde chiaro), 
  5328. obh (ciano chiaro), 0ch (rosso chiaro), 0dh (viola chiaro), 
  5329. oeh (giallo chiaro). Se non vengono digitati i tasti qui sopra citati, 
  5330. il virus non si manifesta. Se viene digitato Del, il virus 
  5331. mostra i caratteri color bianco. Il virus fa apparire il seguente messaggio: 
  5332. "Have you ever danced with the devil under the
  5333. weak light of the moon?.... Pray for your disk...The Joker HAHAHAHAHAHA
  5334. HAHAHAHA."
  5335.  
  5336. Infine il virus controlla che ogni tasto 
  5337. venga digitato 2.500 volte.
  5338. Se "si", il virus sovrascrive la tabella di 
  5339. partizione del primo hard disk e blocca il sistema.
  5340.  
  5341. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5342. (come per esempio protetto da scrittura).
  5343.  
  5344. [Hero-394]
  5345. Nome del Virus: HERO-394.
  5346. Pseudonimo: Nessuno.
  5347. Tipo di Virus: Virus da file.
  5348. Lunghezza del Virus: I file infetti aumentano di 394 Byte.
  5349.  
  5350. Danni: Nessuno.
  5351.  
  5352. Metodo di rilevazione: Il virus controlla la data di sistema. 
  5353. Se Φ il primo giorno del mese, sullo schermo compare un codice confuso.
  5354.  
  5355. [NOPX_2.1]
  5356. Nome del Virus: NOPX_2.1.
  5357. Pseudonimo: Nessuno.
  5358. Tipo di Virus: Virus da file.
  5359. Lunghezza del Virus: Fa aumentare la  lunghezza dei 
  5360. file con estensione *.EXE e *.COM infetti di 1.686 Byte. 
  5361. Vettore PC agganciato:  Int 21.
  5362.  
  5363. Procedura eseguita:
  5364. 1)  Il virus controlla che sia giα in memoria.
  5365.    Se "NO", si carica in memoria intercettando l'INT 21h.
  5366. 2) Esegue il file originale.
  5367. 3) Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5368.  
  5369. Danni:  Il virus possiede dei bug (Errori nel calcolo del punto d'entrata) 
  5370. quindi alcuni file con estensione *.EXE infetti non possono 
  5371. essere eseguiti correttamente.
  5372.  
  5373. Metodo di rilevazione: Aumenta la lunghezza dei file infetti di 1.686 Byte.
  5374.  
  5375. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5376. (come per esempio protetto da scrittura).
  5377.  
  5378.  
  5379. [NCU_LI]
  5380. Nome del Virus: NCU_Li.
  5381. Pseudonimo: Nessuno.
  5382. Tipo di Virus: Virus da file.
  5383. Lunghezza del Virus: 1.690/1.670 Byte.
  5384. Vettore PC agganciato: Int 21.
  5385.  
  5386. Procedura eseguita:
  5387. 1)  Il virus controlla che sia giα in memoria. 
  5388. Se "NO", si carica in memoria intercettando l'INT 21h.
  5389. 2) Esegue il file originale.
  5390. 3) Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5391.  
  5392. Danni: Nessuno.
  5393.  
  5394. Metodo di rilevazione: Aumenta la  lunghezza dei file infetti di 1.690/1.670 Byte.
  5395.  
  5396. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5397. (come per esempio protetto da scrittura).
  5398.  
  5399.  
  5400. [Ghost-A]
  5401. Nome del Virus: GHOST-A.
  5402. Pseudonimo: Nessuno.
  5403. Tipo di Virus: Virus da file.
  5404. Lunghezza del Virus: 330 Byte.
  5405.  
  5406. Procedura eseguita:
  5407. 1)  Il virus controlla che sia giα in memoria.
  5408.    Se "NO", si carica in memoria intercettando l'INT 21h.
  5409. 2) Esegue il file originale.
  5410. 3) Con il virus in memoria viene infettato ogni file 
  5411. non infetto eseguito.
  5412.  
  5413. Danni: Se Φ gioved∞ ed il virus Φ in memoria, 
  5414. vengono cancellati i file esguiti. Il virus blocca il sistema.
  5415.  
  5416. Metodo di rilevazione: Aumenta la lunghezza dei file infetti di 330 Byte.
  5417.  
  5418. Note:
  5419. 1) Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5420. (come per esempio protetto da scrittura).
  5421.  
  5422.  
  5423. [VVF34]
  5424. Nome del Virus: VVF34.
  5425. Pseudonimo: Nessuno.
  5426. Tipo di Virus: Virus da file.
  5427. Lunghezza del Virus: 1.614-1.624 Byte (EXE), 1.614 Byte (COM).
  5428.  
  5429. Procedura eseguita:
  5430. 1) Il virus controlla che sia giα in memoria.
  5431.    Se "NO", si carica in memoria intercettando l'INT 21h.
  5432. 2) Esegue il file originale.
  5433. 3) Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5434.  
  5435. Danni: Il virus intercetta l'INT 1Ch. Dopo che il virus 
  5436. Φ in memoria da 5 minuti e 15 file sono giα stati infettati, 
  5437. il virus disegna un ritratto al centro dello schermo. 
  5438. Il virus intercetta anche l'interrupt 9h (interrupt della tastiera). 
  5439. Compare il seguente messaggio quando l'utente digita un tasto: "Bu, Bu, Bu..."
  5440.  
  5441. Metodo di rilevazione: I file infetti aumentano di 1.614/1.624 Byte.
  5442.  
  5443. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5444. (come per esempio protetto da scrittura).
  5445.  
  5446.  
  5447. [Damage-B]
  5448. Nome del Virus: DAMAGE-B.
  5449. Pseudonimo: Nessuno.
  5450. Tipo di Virus: Virus parassitico.
  5451. Lunghezza del Virus: 1.110 Byte.
  5452.  
  5453. Procedura eseguita:
  5454. 1)  Il virus controlla che sia giα in memoria. 
  5455. Se "NO", si carica in memoria intercettando l'INT 21h.
  5456. 2) Esegue il file originale.
  5457. 3) Con il virus in memoria viene infettato ogni
  5458.  file non infetto che verrα eseguito.
  5459.  
  5460. Danni: Il virus controlla la data di sistema. 
  5461. Se Φ marted∞, formatta l'hard disk.
  5462.  
  5463. Metodo di rilevazione: I file infetti aumentano di 1.110 Byte.
  5464.  
  5465. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5466. (come per esempio protetto da scrittura).
  5467.  
  5468. [Fam1]
  5469. Nome del Virus: FAM1.
  5470. Pseudonimo: Nessuno.
  5471. Tipo di Virus: Virus da file.
  5472. Lunghezza del Virus: 1.063 Byte.
  5473.  
  5474. Procedura eseguita:
  5475. 1)  Il virus controlla che sia giα in memoria. 
  5476. Se "NO", si carica in memoria intercettando l'INT 21h.
  5477. 2)  Esegue il file originale.
  5478. 3) Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5479.  
  5480. Danni: Nessuno.
  5481.  
  5482. Metodo di rilevazione: I file infetti aumentano di 1.036 Byte. 
  5483. Questo avviene solo con una scheda video MONO.
  5484.  
  5485. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5486. (come per esempio protetto da scrittura).
  5487.  
  5488. [Malaise]
  5489. Nome del Virus: MALAISE.
  5490. Pseudonimo: Nessuno.
  5491. Tipo di Virus: Virus da file.
  5492. Lunghezza del Virus: 1.335/1.365 Byte.
  5493.  
  5494. Procedura eseguita:
  5495. 1)  Il virus controlla che sia giα in memoria.
  5496.    Se "NO", si carica in memoria intercettando l'INT 21h.
  5497. 2) Esegue il file originale.
  5498. 3) Con il virus in memoria viene infettato ogni
  5499.  file non infetto eseguito.
  5500.  
  5501. Danni: Nessuno.
  5502.  
  5503. Metodo di rilevazione: I file infetti aumentano di 1.335-1.365 Byte.
  5504.  
  5505. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5506. (come per esempio protetto da scrittura).
  5507.  
  5508.  
  5509. [Walker]
  5510. Nome del Virus: WALKER.
  5511. Pseudonimo: Nessuno.
  5512. Tipo di Virus: Virus da file.
  5513. Lunghezza del Virus: 3.845 Byte (EXE), 3.852 Byte (COM).
  5514.  
  5515. Procedura eseguita:
  5516. 1)  Il virus controlla che sia giα in memoria.
  5517.    Se "NO", si carica in memoria agganciando INT 21h.
  5518. 2) Esegue il file originale.
  5519. 3) Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5520.  
  5521. Danni: Nessuno
  5522.  
  5523. Metodo di rilevazione: Viene intercettato l'Interrupt 16. 
  5524. Sullo schermo compare occasionalmente un uomo che cammina per 14 secondi. 
  5525. I file infetti aumentano di 3.845/3.852 Byte.
  5526.  
  5527. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5528. (come per esempio protetto da scrittura).
  5529.  
  5530.  
  5531. [Proto-T]
  5532. Nome del Virus: PROTO-T.
  5533. Pseudonimo: Nessuno.
  5534. Tipo di Virus: Virus da file.
  5535. Lunghezza del Virus: 695 Byte (COM).
  5536.  
  5537. Procedura eseguita:
  5538. 1)  Il virus controlla che sia giα in memoria. Se "No", si carica in memoria 
  5539. intercettando l'INT 21h.
  5540. 2) Esegue il file originale.
  5541. 3) Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5542.  
  5543. Danni: Nessuno.
  5544.  
  5545. Metodo di rilevazione: I file infetti aumentano di 695 Byte.
  5546.  
  5547. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5548. (come per esempio protetto da scrittura).
  5549.  
  5550.  
  5551. [QMU]
  5552. Nome del Virus: QMU.
  5553. Pseudonimo: Nessuno.
  5554. Tipo di Virus: Virus multipartito.
  5555. Lunghezza del Virus: 1.513 Byte (COM).
  5556.  
  5557. Procedura eseguita:
  5558. 1)  Il virus controlla che sia giα in memoria. Se "NO", si carica in memoria 
  5559. agganciando l'INT 21h.
  5560. 2)  Esegue il file originale.
  5561. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5562.  
  5563. Danni: L'hard disk non pu≥ essere avviato dopo che il contatore interno del 
  5564. virus raggiunge 100.
  5565.  
  5566. Metodo di rilevazione: Fa aumentare la lunghezza dei file infetti di 1.513 Byte.
  5567.  
  5568. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5569. (come per esempio protetto da scrittura).
  5570.  
  5571.  
  5572. [492]
  5573. Nome del Virus: 492.
  5574. Pseudonimo: Nessuno.
  5575. Tipo di Virus: Virus da file.
  5576. Lunghezza del Virus: 492 Byte (COM).
  5577.  
  5578. Procedura eseguita:
  5579. 1)  Il virus controlla che sia giα in memoria. Se "NO", si carica in memoria 
  5580. intercettando l'INT 21h.
  5581. 2)  Esegue il file originale.
  5582. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5583.  
  5584. Danni: Il virus controlla la data di sistema. Se Φ il giorno 14 ed Φ sabato, 
  5585. cancella tutti i dati sull' hard disk.
  5586.  
  5587. Metodo di rilevazione: I file infetti aumentano di 492 Byte.
  5588.  
  5589. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5590. (come per esempio protetto da scrittura).
  5591.  
  5592.  
  5593. [Reaper]
  5594. Nome del Virus: REAPER.
  5595. Pseudonimo: Nessuno.
  5596. Tipo di Virus: Virus da file.
  5597. Lunghezza del Virus: 1.072 Byte.
  5598.  
  5599. Procedura eseguita:
  5600. 1)  Il virus controlla che sia giα in memoria. Se "No", si carica in memoria i
  5601. ntercettando l'INT 21h.
  5602. 2)  Esegue il file originale.
  5603. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5604.  
  5605. Danni: Reaper, una volta in memoria, cotrolla la data di sistema. 
  5606. Se Φ il giorno 21agosto, compare il seguente messaggio:
  5607. "Reaper Man. (c) 92, Apache Warrior, ARCV Pres."
  5608.  
  5609. Metodo di rilevazione: I file infetti aumentano di 1.072 Byte.
  5610.  
  5611. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5612. (come per esempio protetto da scrittura).
  5613.  
  5614. [Jump4Joy]
  5615. Nome del Virus: JUMP4JOY.
  5616. Pseudonimo: Nessuno.
  5617. Tipo di Virus: Virus da file.
  5618. Lunghezza del Virus: 1.273 Byte (COM).
  5619.  
  5620. Procedura eseguita:
  5621. 1)  Il virus controlla che sia giα in memoria.  
  5622. Se "NO",  si carica in memoria agganciando l'INT 21h.
  5623. 2)  Esegue il file originale.
  5624. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito. 
  5625. b) Non infetta i file con estensione *.EXE.
  5626.  
  5627. Danni: Nessuno.
  5628.  
  5629. Metodo di rilevazione: I file infetti aumentano di 1.273 Byte.
  5630.  
  5631. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5632. (come per esempio protetto da scrittura).
  5633.  
  5634. [Aragorn]
  5635. Nome del Virus: ARAGORN.
  5636. Pseudonimo: Nessuno.
  5637. Tipo di Virus: Boot Strap Sector Virus.
  5638. Danni: Nessuno.
  5639.  
  5640. Metodo di infezione: Sono infettati solo floppy disk in drive A.
  5641.  
  5642. [Trash]
  5643. Nome del Virus: TRASH.
  5644. Pseudonimo: Nessuno.
  5645. Tipo di Virus: Boot Strap Sector Virus.
  5646. Lunghezza del Virus: 1.241 Byte.
  5647.  
  5648. Danni: Il virus sovrascrive la Tabella delle partizioni.
  5649.  
  5650. Metodo di rilevazione: Il virus non infetta tutti i file. 
  5651. Fa comparire sullo schermo il messaggio: 
  5652. "Warning!!!  This program will zero (DESTROY) 
  5653. the Master Boot Record of your first hard disk. 
  5654. The purpose of this is to test the anti-virus software, 
  5655. so be sure you have installed your favorite protecting program 
  5656. before running this one!  It is almost certain that it will 
  5657. fail to protect you anyway. 
  5658. Press any key to abort, or press Ctrl-Alt-Right Shift- F5 to proceed 
  5659. at your own risk." 
  5660. Il virus sovrascrivere la Tabella delle partizioni 
  5661. se vengono premuti Ctrl-Alt-Right Shift-F5.
  5662.  
  5663. [Data Crime]
  5664. Nome del Virus: Datacrime.
  5665. Pseudonimo: 1168, Columbus Day.
  5666. Tipo di Virus: Virus da file.
  5667. Lunghezza del Virus: 1.168 Byte.
  5668.  
  5669. Procedura eseguita:
  5670. 1)  Il virus controlla che sia giα in memoria. 
  5671. Se "No", si carica in memoria intercettando l'INT 21h.
  5672. 2)  Esegue il file originale.
  5673. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito. 
  5674. b) Non infetta i file con estensione *.EXE.
  5675.  
  5676. Danni:  Dopo il giorno 12 ottobre il virus effettua una formattazione 
  5677. a basso livello dell' hard disk.
  5678.  
  5679. Metodo di rilevazione: Il virus infetta tutti i file con estensione *.COM 
  5680. tra i giorni 1░ aprile e 12 ottobre. Dopo il 12 ottobre, 
  5681. compare il seguente messaggio:
  5682. "DATACRIME VIRUS Released:1 March 1989." 
  5683. ed il virus effettua una formattazione low level dell'hard disk.
  5684.  
  5685. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5686. (come per esempio protetto da scrittura).
  5687.  
  5688. [Datacrime II]
  5689. Nome del Virus: Datacrime II.
  5690. Pseudonimo: Nessuno.
  5691. Tipo di Virus: Virus da file.
  5692. Lunghezza del Virus: Fa aumentare i file con estensione *.COM 
  5693. ed file con estensione *.EXE di 1.514 Byte.
  5694.  
  5695. Danni: Dopo il giorno 12 ottobre il virus effettua una 
  5696. formattazione low-level del cilindro 0 dell'hard disk.
  5697.  
  5698. Metodo di rilevazione: Tra i giorni 12 e 31 ottobre, 
  5699. escluso luned∞, compare il messaggio: "DATACRIME-2 VIRUS." 
  5700. Il virus esegue una formattazione low-level del cilindro 0 dell'hard disk..
  5701. Il sistema si blocca.
  5702.  
  5703. [Marauder]
  5704. Nome del Virus: Marauder.
  5705. Pseudonimo: Nessuno.
  5706. Tipo di Virus: Virus da file.
  5707. Lunghezza del Virus: Fa aumentare i file con estensione *.COM di 860 Byte.
  5708.  
  5709. Procedura eseguita:
  5710. 1)  Il virus ricerca nella cartella in uso un file con estensione *.COM. 
  5711. Una volta individuato un file, controlla che sia giα stato infettato 
  5712. dal virus Marauder. 
  5713. Se "NO", infetta il file.
  5714. 2)  Se "SI" cerca un altro file con estensione *.COM da infettare. 
  5715. b) Non infetta i file con estensione *.EXE.
  5716. 3)  Esegue il file originale.
  5717.  
  5718. Danni: Il giorno 2 febbraio di ogni anno Marauder sovrascrive 
  5719. i file con la stringa:
  5720. "=[Marauder] 1992 Hellraiser -Phalcon/Skism."
  5721.  
  5722. Metodo di rilevazione: Quando viene eseguito un file infetto, 
  5723. il virus infetta il primo file con estensione *.COM non infetto 
  5724. nella directory corrente.
  5725. Il giorno 2 febbraio di ogni anno, il virus sovrascrive tutti i 
  5726. file eseguiti con la stringa: " =[Aarauder] 1992 Hellraiser -
  5727. Phalcon/skism."
  5728.  
  5729. [Oropax]
  5730. Nome del Virus: Oropax.
  5731. Pseudonimo: Nessuno.
  5732. Tipo di Virus: Virus da file.
  5733. Lunghezza del Virus: 2.756-2.800 Byte.
  5734.  
  5735. Procedura eseguita:
  5736. 1)  Il virus controlla che sia giα in memoria.
  5737.    Se "NO", si carica in memoria agganciando l'INT 21h.
  5738. 2)  Esegue il file originale.
  5739. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito. 
  5740. b) Non infetta i file con estensione *.EXE.
  5741.  
  5742. Danni: Infetta i file con estensione *.COM i quali aumentano di 2.756-2.800 Byte.
  5743.  
  5744. Metodo di rilevazione: Il virus intercetta gli interrupt 20h, 21h, 27h. 
  5745. Se la data di sistema Φ successiva al giorno 1maggio 1987 e si tratta 
  5746. di un computer IBM-compatibile, l'interrupt 8h viene agganciato. 
  5747. Quando il virus Φ attivato, suona le canzoni "Stars", "Blue" 
  5748. e "Forty" una dopo l'altra ogni 8 minuti.
  5749.  
  5750. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5751. (come per esempio protetto da scrittura).
  5752.  
  5753. [dBASE]
  5754. Nome del Virus: dBASE.
  5755. Pseudonimo: Nessuno.
  5756. Tipo di Virus: Virus da file.
  5757. Lunghezza del Virus: 1.864 Byte.
  5758.  
  5759. Procedura eseguita:
  5760. 1)  Il virus controlla che sia giα in memoria. 
  5761. Se "No", si carica in memoria intercettando l'INT 21h.
  5762. 2)  Esegue il file originale.
  5763. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito. 
  5764. b) Non infetta i file con estensione *.EXE.
  5765.  
  5766. Danni: I file con estensione *.COM aumentano di 1.864 Byte quando viene eseguito. 
  5767. A volte il virus causa l'arresto del sistema.
  5768.  
  5769. Metodo di rilevazione: Virus intercetta l'INTerrupt 21h. 
  5770. Quando il virus si attiva, cambia i Byte bassi con quelli alti    
  5771. di ogni data file .DBF aperto. 
  5772. Il virus inoltre crea un file nascosto - "BUG.DAT" nella directory principale 
  5773. di ogni file con estensione *.DBF infetto.
  5774.  
  5775. Note: Si carica in memoria. 
  5776. Appare un messaggio d'errore se c'Φ un errore I/O 
  5777. (come per esempio protetto da scrittura).
  5778.  
  5779. [Halloween]
  5780. Nome del Virus: Halloween.
  5781. Pseudonimo: Happy Halloween.
  5782. Tipo di Virus: Virus da file.
  5783. Lunghezza del Virus: N/A.
  5784.  
  5785. Procedura eseguita:
  5786. 1)  Il virus controlla che sia giα in memoria. 
  5787. Se "No", si carica in memoria intercettando l'INT 21h.
  5788. 2)  Esegue il file originale.
  5789. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5790.  
  5791. Danni: Il virus cerca un file eseguibile 
  5792. (prima un file con estensione *.EXE poi *.COM) 
  5793. nella directory corrente e procede ad infettarlo. 
  5794. Compare sullo schermo  "Runtime error 002 at 0000:0511" 
  5795. se non viene trovato nessun file non infetto.
  5796.  
  5797. Metodo di rilevazione: Il giorno 31 ottobre di ogni anno, 
  5798. il virus crea un file di 10KB e compare "Runtime error 150 at 0000:0AC8."
  5799.  
  5800. Note:
  5801. 1) Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5802. (come per esempio protetto da scrittura).
  5803.  
  5804. [Kennedy]
  5805. Nome del Virus: Kennedy.
  5806. Pseudonimo: Nessuno.
  5807. Tipo di Virus: Virus da file.
  5808. Lunghezza del Virus: 333 Byte.
  5809.  
  5810. Procedura eseguita:
  5811. 1)  Il virus controlla che sia giα in memoria. 
  5812. Se "No", si carica in memoria intercettando l'INT 21h.
  5813. 2)  Esegue il file originale.
  5814. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito.
  5815.  
  5816. Danni: Il virus distrugge FAT.
  5817.  
  5818. Metodo di rilevazione: I giorni 6 giugno, 8 novembre e 22 novembre, 
  5819. il virus mostra sullo schermo:
  5820.  
  5821.     "Kennedy is dead - long live the Dead Kennedys."
  5822.  
  5823. Il virus procede a distruggere FAT.
  5824.  
  5825. Note: Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5826. (come per esempio protetto da scrittura).
  5827.  
  5828.  
  5829. [Virus-90]
  5830. Nome del Virus: Virus-90.
  5831. Pseudonimo: Nessuno.
  5832. Tipo di Virus: Virus da file.
  5833. Lunghezza del Virus: 857 Byte (COM).
  5834.  
  5835. Procedura eseguita:
  5836. 1)  Il virus controlla che sia giα in memoria. 
  5837. Se "NO", si carica in memoria agganciando l'INT 21h.
  5838. 2)  Esegue il file originale.
  5839. 3)  Con il virus in memoria viene infettato ogni file non infetto eseguito. 
  5840. b) Non infetta i file con estensione *.EXE.
  5841.  
  5842. Danni: I file con estensione *.COM infetti aumentano di 857 Byte.
  5843.  
  5844. Metodo di rilevazione: Compare la scritta "Infected" quando un file risulta infetto.
  5845.  
  5846. Note:
  5847. 1) Si carica in memoria. Appare un messaggio d'errore se c'Φ un errore I/O 
  5848. (come per esempio protetto da scrittura).
  5849.  
  5850. [Lehigh]
  5851. Nome del Virus: Lehigh.
  5852. Pseudonimo: Nessuno.
  5853. Tipo di Virus: Virus parassita (infetta solo COMMAND.COM ).
  5854. Lunghezza del Virus: 555 Byte.
  5855.  
  5856. Procedura eseguita:
  5857. 1)  Il virus controlla che sia giα in memoria. 
  5858. Se "NO", si carica in memoria agganciando l'INT 21h.
  5859. 2) Quando si accede ad un disco e COMMAND.COM non Φ infetto, 
  5860. il virus lo infetta immediatamente ed esegue il file originale.
  5861. 3)  Il virus caricato in memoria controlla ogni file non infetto eseguito.  
  5862. b) Non infetta i file con estensione *.EXE.
  5863.  
  5864. Danni:
  5865. 1) Infetta il file COMMAND del disco con estensione *.COM che aumenta di 555 Byte.
  5866. 2) Quando il conteggio dell'infezione Φ superiore a quattro, 
  5867. il disco corrente viene reso inutilizzabile.
  5868.  
  5869. [Como]
  5870. Nome del Virus: Como.
  5871. Tipo di Virus: Virus da file.
  5872. Lunghezza del Virus: 2.020/2.030 Byte (EXE).
  5873. Vettore PC agganciato: Nessuno.
  5874.  
  5875. Procedura eseguita:
  5876. 1) Il virus cerca i file con estensione *. EXE 
  5877. nella directory corrente.
  5878. 2) Controlla che il file sia stato infettato. 
  5879. Se "Si", continua a cercare.
  5880. 3) Se viene trovato un file non infetto, 
  5881. esiste il 50% di possibilitα che venga infettato.
  5882.  
  5883. Metodo di infezione:
  5884. 1)  Il virus infetta i file utilizzando AH=4B nell'INT 21h. 
  5885. Quando Φ in esecuzione un programma non infetto, viene infettato dal virus.
  5886. 2) Prima che i file siano infettati, compare la scritta: 
  5887. "It's your task to find and delete them, best wishes. 
  5888. Press a key to execute the prompt."
  5889.  
  5890. Danni: Nessuno.
  5891.  
  5892. Metodo di rilevazione:  Il virus aumenta la lunghezza del 
  5893. file di 2.020/2.030 Byte.
  5894.  
  5895. Note:
  5896. 1) Non rimane in memoria.
  5897. 2) Prima di infettare i file, il virus intercetta l'INT 24h per 
  5898. omettere messaggi d'errore I/O.
  5899.  
  5900. [512]
  5901. Nome del Virus: 512.
  5902. Tipo di Virus: Virus da file.
  5903. Lunghezza del Virus: 512 Byte.
  5904. Sintomi: Nessuno.
  5905.  
  5906. Procedura eseguita: Il virus non contiene nessuna funzione di danneggiamento, 
  5907. ma il suo metodo di diffusione rappresenta un grave pericolo per il file infetto. 
  5908. L'inizio del file viene salvato in uno spazio libero di un determinato cluster. 
  5909. Mentre si copia il programma, questa parte non viene copiata insieme 
  5910. al resto del file, causando la distruzione del programma originale.
  5911.  
  5912. Altri problemi che insorgono al file sono: quando viene letto un file infetto, 
  5913. con il virus giα in memoria, viene riconosciuto come flag del virus solo 
  5914. l'ora dell'ultima modifica (62 secondi) e non il contenuto del file. 
  5915. Lo stesso flag Φ utilizzato dai virus 648 e 1.560 ed alcuni utenti 
  5916. hanno i loro programmi immunizzati contro il virus 648. 
  5917. Il risultato Φ che i dati senza senso allocati alla fine 
  5918. del file infetto vengono letti al posto del contenuto del file.
  5919.  
  5920. [744]
  5921. Nome del Virus: 744.
  5922. Tipo di Virus: Virus parassita.
  5923. Lunghezza del Virus: 744 Byte.
  5924.  
  5925. Sintomi: I file infetti aumentano di 744 Byte. I programmi distrutti causano, 
  5926. in molti casi, il blocco del computer.
  5927.  
  5928. Danni: Con una probabilitα su sette il virus non infetta altri file 
  5929. ma distrugge quello trovato. Il virus scrive l'istruzione JMP [BP+0] 
  5930. all'inizio del programma. Il virus contiene un errore. 
  5931. Potrebbe scrivere l'istruzione JMP F000:FFF0 
  5932. (riavvio del computer - uguale al virus 648), che dista 4 Byte dalla 
  5933. reale istruzione scritta. La lunghezza del programma alterato rimane invariata. 
  5934. uesto programma contiene un flag del virus. Usa gli interrupt del DOS 
  5935. "read and write".  Quando il virus trova un programma infettabile, 
  5936. o legge e senza apporvi modifiche, scrive sul settore numero 1 (area FAT).  
  5937. Ci≥ non si verifica nel disco C:. Viene fatto per valutare che 
  5938. il disco sia protetto da scrittura.
  5939.  
  5940. [1800]
  5941. Nome del Virus: 1800.
  5942. Pseudonimo: Bulgarian virus, Sofia virus, Dark Avenger Virus.
  5943. Type: Virus parassita.
  5944. Lunghezza del Virus: circa 1.800 Byte.
  5945.  
  5946. Sintomi: I file infetti aumentano di circa 1.800 Byte 
  5947. nel caso di file con estensione *.EXE, il virus esegue l'allineamento del paragrafo). 
  5948. Diminuisce la memoria RAM libera. I file infetti contengono la seguente stringa:
  5949.  
  5950.     "Eddie lives...somewhere in time!", "Diana P." a "This
  5951.      program was written in the city of Sofia (C) 1988-89 Dark
  5952.      Avenger."
  5953.  
  5954. Danni: Il virus legge il settore di boot del disco e vi segna 
  5955. il numero dei programmi (offset 10, versione decimale OEM) che girano 
  5956. dal dischetto dato MOD 16.  Se tale numero Φ zero (dopo ogni 16 programmi !!), 
  5957. sovrascrive cluster scelti a caso sul disco, con parti del proprio codice. 
  5958. Il numero del cluster viene quindi immagazzinato nel settore di boot
  5959. alla posizione offset 8 (OEM main version). 
  5960. Modifica il settore di boot e scrive sul disco.
  5961.  
  5962.  
  5963. [V2000]
  5964. Nome del Virus: V2000.
  5965. Pseudonimo: 21 century virus.
  5966. Tipo di Virus: Virus parassita.
  5967. Lunghezza del Virus: 2.000 Byte.
  5968.  
  5969. Sintomi: I file con estensione *.COM ed *.EXE infetti 
  5970. aumentano di 2.000 Byte. La memoria RAM libera diminuisce di 4KB. 
  5971. I file infetti contengono la seguente stringa:
  5972.  
  5973.     "(C) 1989 by Vesselin Bontchev"
  5974.  
  5975. Danni: Nessuno.
  5976.  
  5977. [2343]
  5978. Nome del Virus: 2343.
  5979. Pseudonimo: Flip virus.
  5980. Tipo di Virus: Virus multipartito.
  5981. Lunghezza del Virus: 2.343 Byte.
  5982.  
  5983. Sintomi: I file con estensione *.COM ed *.EXE infetti aumentano di 2.343 Byte. 
  5984. La memoria RAM libera diminuisce di di 2.864 Byte. 
  5985. E' implementata la nuova funzione 0FE01h di DOS, 
  5986. quando il virus Φ attivo in memoria, ritorna 01FEh 
  5987. nel registro AX. Word  028h nel settore DPT contiene il valore 0FE01h. 
  5988. Flip ha lo stesso flag dei virus 648, 1560 (ALABAMA) e 512 regola il 
  5989. numero dei secondi del tempo di stampa dei file sul valore senza senso di 62 secondi.
  5990. I file infetti contengono la seguente stringa:
  5991.  
  5992.     "OMICRON by PsychoBlast"
  5993.  
  5994. Danni: In certe condizioni il virus spegne lo schermo. 
  5995. Se Φ attiva la funzione di danneggiamento, 
  5996. il virus contiene un bit rovesciato del font 8*14 dello schermo e 
  5997. monitorizza l'interrupt 10h. Quando viene cambiata 
  5998. la modalitα video con la modalitα 2 o 3, la funzione speciale 
  5999. per l'interrupt 1Ch Φ attivata. Tutte le altre modalitα 
  6000. del video hanno l'int 21h impostato come un'istruzione IRET. 
  6001. Per le modalitα del video 2 e 3, l'indirizzo di partenza Φ 
  6002. impostato su 1.000h. Viene utilizzata come memoria video quella 
  6003. situata al segmento 0BA00h anzichΘ al 0BA00h. Ad ogni chiamata 
  6004. di interrupt 1Ch (18.2 volte al secondo), il virus copia 500 parole 
  6005. (caratteri e loro attributi) dal segmento di memoria 0B800h 
  6006. al segmento 0BA00h invertendo righe e colonne.
  6007.  
  6008.  
  6009. [Pojer]
  6010. Nome del Virus: Pojer.
  6011. Tipo di Virus: Virus parassita.
  6012. Lunghezza del Virus: I file con estensione *.COM ed *.EXE infetti 
  6013. aumentano di 1.919 Byte.
  6014. Vettore PC agganciato: INT 21h e INT 24h.
  6015.  
  6016. Procedura eseguita:
  6017. 1) Controlla che sia giα in memoria. Se "NO", intercetta l'INT
  6018.     21h e si colloca in memoria alta, quindi esegue il programma di cui Φ ospite.
  6019. 2) Se Φ giα nella memoria alta, esegue immediatamente il programma.
  6020.  
  6021. Metodo di infezione:
  6022. 1)  Il virus infetta i file AH=4B nell'INT 21h. I file non infetti 
  6023. sono infettati quando eseguiti.
  6024. 2) Prima di infettare i file, Pojer intercetta l'INT 24h 
  6025. per ignorare errori di I/O.
  6026.  
  6027. Danni: Nessuno.
  6028.  
  6029. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6030. aumenta di 1.919 Byte.
  6031.  
  6032. [Drop]
  6033. Nome del Virus: Drop.
  6034. Virus. Type: Virus parassita.
  6035. Lunghezza del Virus: I file con estensione *.EXE infetti 
  6036. aumentano di 1.130-1.155 Byte ed i file con estensione *.COM di 1.131 Byte.
  6037. Vettore PC agganciato: INT 21h.
  6038.  
  6039. Procedura eseguita:
  6040. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h, 
  6041. si colloca in memoria alta ed esegue il programma 
  6042. (Se Φ giα in memoria alta, il programma viene eseguito direttamente).
  6043. 2) Controlla la data di sistema. Se Φ il giorno 6 di ogni mese, 
  6044. intercetta l'INT 21h. I caratteri sullo schermo cadono 
  6045. ed il sistema si blocca ogni volta che viene eseguito un programma.
  6046.  
  6047. Metodo di infezione:
  6048. 1)  Il virus infetta i file AH=4B nell'INT 21h. I file non infetti 
  6049. sono infettati quando eseguiti.
  6050. 2) Prima di infettare i file Drop non intercetta l'INT 24h. 
  6051. Appare un messaggio d'errore quando si verifica un erore I/O.
  6052.  
  6053. Danni: Vedi "Procedura eseguita 2)"
  6054.  
  6055. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6056. dei file aumenta di 1.130-1.155 Byte.
  6057.  
  6058. [Ha]
  6059. Nome del Virus: Ha.
  6060. Tipo di Virus: Virus parassita.
  6061. Lunghezza del Virus: I file con estensione *.EXE infetti  
  6062. aumentano di 1.458-1.468 Byte ed i file con estensione *.COM 
  6063. di 1.462 Byte.
  6064. Vettore PC agganciato:  INT 21h.
  6065.  
  6066. Procedura eseguita:
  6067. 1) Controlla che sia in memoria. 
  6068. Se "NO",  intercetta l'INT 21h, si colloca in memoria alta ed esegue il programma.
  6069. 2)    Se Φ giα in memoria alta, il programma viene eseguito direttamente.
  6070.  
  6071. Metodo di infezione: Il virus infetta i file AH=4B nell'INT 21h. 
  6072. I file non infetti sono infettati quando eseguiti.
  6073.  
  6074. Danni: Nessuno.
  6075.  
  6076. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6077. dei file aumenta di 1.458-1.468 Byte.
  6078.  
  6079. [LCT]
  6080. Nome del Virus: Lct.
  6081. Tipo di Virus: Virus parassita.
  6082. Lunghezza del Virus: I file con estensione *.COM infetti 
  6083. aumentano di 599 Byte.
  6084. Vettore PC agganciato: Nessuno.
  6085.  
  6086. Procedura eseguita:
  6087. 1) Cerca i file con estensione *.COM nella directory corrente.
  6088. 2)  Il virus controlla che il file sia stato infettato. 
  6089. Se "SI", il virus continua la ricerca finchΦ trova un file 
  6090. non infetto da infettare. Il virus non interrompe la ricerca finchΦ 
  6091. l'ultimo file con estensione *.COM Φ infettato.
  6092.  
  6093. Danni: Il virus controlla la data di sistema. Il giorno 25 dicembre, 
  6094. ogni volta che viene eseguito un file infetto, solo il codice 
  6095. del virus viene eseguito. Il programma quindi termina ed i programmi 
  6096. non vengono eseguiti.
  6097.  
  6098. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6099. dei file aumenta di 599 Byte.
  6100.  
  6101. Note:
  6102. 1) Non rimane in memoria.
  6103. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6104. Appare un messaggio d'errore quando si verifica un erore I/O.
  6105.  
  6106.  
  6107. [NPOX-Var]
  6108. Nome del Virus: Npox-var.
  6109. Tipo di Virus: Virus parassita.
  6110. Lunghezza del Virus: I file con estensione *.COM infetti  
  6111. aumentano di 1.000 Byte.
  6112. Vettore PC agganciato: Nessuno.
  6113.  
  6114. Procedura eseguita:
  6115. 1)  Il virus cerca un file con estensione *.COM nella directory corrente.
  6116. 2)  Controlla che il file sia infetto. Se "SI", il virus continua 
  6117. la ricerca fino a quando trova un file non infetto e procede alla sua infezione. 
  6118. (Il virus infetta un solo file alla volta.)
  6119.  
  6120. Danni: Nessuno.
  6121.  
  6122. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei 
  6123. file aumenta di 1.000 Byte.
  6124.  
  6125. Note:
  6126. 1) Non rimane in memoria.
  6127. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6128. Appare un messaggio d'errore quando si verifica un erore I/O.
  6129. 3) Il virus inizia con:
  6130.      INC         BX
  6131.      PUSH        AX
  6132.      POP         AX
  6133.      DEC         BX
  6134.      JMP         XXXX
  6135.  
  6136.  
  6137. [Bur-560h]
  6138. Nome del Virus: Bur-560h.
  6139. Tipo di Virus: Virus parassita.
  6140. Lunghezza del Virus: I file con estensione *.COM infetti non variano 
  6141. di lunghezza (Non infetta i file con estensione *.EXE).
  6142. Vettore PC agganciato: Nessuno.
  6143.  
  6144. Procedura eseguita:
  6145. 1)  Il virus cerca i file con estensione *.COM attraverso 
  6146. il percorso corrente.
  6147. 2)  Controlla che il file sia infetto. 
  6148. Se "SI", il virus continua la ricerca fino a quando trova un file 
  6149. non infetto e procede alla sua infezione. (Infetta un solo file alla volta).
  6150.  
  6151. Danni:
  6152.  Il virus infetta i file sovrascrivendo il file originale, 
  6153. cosicchΦ la lunghezza del file non varia e le funzioni d
  6154. ei file originali non possono venire eseguite. 
  6155.  
  6156. Note:
  6157. 1) Non rimane in memoria.
  6158. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6159. Appare un messaggio d'errore quando si verifica un erore I/O.
  6160.  
  6161. [Benoit]
  6162. Nome del Virus: Benoit.
  6163. Tipo di Virus: Virus parassita.
  6164. Lunghezza del Virus: I file con estensione *.COM infetti 
  6165. aumentano di 1.183 Byte (Non infetta i file con estensione *.EXE).
  6166. Vettore PC agganciato: INT 21h.
  6167.  
  6168. Procedura eseguita:
  6169. 1) Dopo che si Φ installato in memoria, controlla che vi rimanga.
  6170.     Se "NO", il virus intercetta l'INT 21h, permane nella memoria
  6171.    principale e fa girare il programma.
  6172. 2) Se il virus Φ giα in memoria, il programma viene eseguito direttamente.
  6173.  
  6174. Metodo di infezione:
  6175. 1) Infetta il file da "AH=4B" nell'INT 21h. Quando viene eseguito un file infetto, 
  6176. procede alla sua infezione (Non infetta i file con estensione *.COM).
  6177. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6178. Appare un messaggio d'errore quando si verifica un erore I/O.
  6179.  
  6180. Danni: Nessuno.
  6181.  
  6182. Metodo di rilevazione: Diagnosticabile quando la lunghezza d
  6183. ei file aumenta di 1.183 Byte.
  6184.  
  6185. [Hallo]
  6186. Nome del Virus: Hallo.
  6187. Tipo di Virus: Virus parassita.
  6188. Lunghezza del Virus: I file con estensione *.COM infetti 
  6189. aumentano di 496 Byte. (Non infetta i file con estensione *.EXE).
  6190. Vettore PC agganciato: Nessuno.
  6191.  
  6192. Procedura eseguita:
  6193. 1) Cerca un file con estensione *.COM nel disco corrente.
  6194. 2) Controlla che il file sia infetto. Se "SI", continua la ricerca 
  6195. di un file non infetto e procede alla sua infezione. 
  6196. (Infetta un solo file alla volta). Dopo che il file Φ stato infettato, 
  6197. compare la scritta:
  6198.  
  6199.     "I have got a virus for you!".
  6200.  
  6201. Danni: Nessuno.
  6202.  
  6203. Metodo di rilevazione:
  6204. Valutare se la stringa: "I have got a virus for you!" compare quando 
  6205. si esegue un programma e se la lunghezza dei file aumenta di 599 Byte.
  6206.  
  6207. Note:
  6208. 1) Non rimane in memoria.
  6209. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6210. Appare un messaggio d'errore quando si verifica un erore I/O.
  6211.  
  6212. [Allerbmu]
  6213. Nome del Virus: Allerbmu.
  6214. Tipo di Virus: Virus parassita.
  6215. Lunghezza del Virus: I file con estensione *.COM infetti 
  6216. aumentano di 359 Byte. (Non infetta i file con estensione *.EXE).
  6217. Vettore PC agganciato: Nessuno.
  6218.  
  6219. Procedura eseguita:
  6220. 1) Cerca un file con estensione  *.COM nella directory corrente.
  6221. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  6222. 3) Se viene trovato un file non infetto, il virus procede alla sua infezione. 
  6223. (Il virus infetta un solo file alla volta).
  6224. 4) Controlla la data del PC. Quando la data Φ luned∞, 
  6225. il virus distrugge tutti i file sull'hard disk, facendo comparire il messaggio:
  6226.  
  6227.     "+ ALLERBMU NORI +(c) 1991........................"
  6228.  
  6229. Danni: Riferiti alla procedura eseguita punto 4).
  6230.  
  6231. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6232. dei file aumenta di 359 Byte.
  6233.  
  6234. Note:
  6235. 1) Non rimane in memoria.
  6236. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6237. Appare un messaggio d'errore quando si verifica un erore I/O.
  6238.  
  6239. [Findm-608]
  6240. Nome del Virus: Findm-608.
  6241. Tipo di Virus: Virus parassita.
  6242. Lunghezza del Virus: I file con estensione *.COM infetti 
  6243. aumentano di 608-623 Byte. (Non infetta i file con estensione *.EXE).
  6244. Vettore PC agganciato: Nessuno.
  6245.  
  6246. Procedura eseguita:
  6247. 1) Cerca un file con estensione *.COM nella directory corrente.
  6248. 2) Controlla che sia infetto. Se "SI", continua la ricerca di un 
  6249. file non infetto.
  6250. 3) Quando lo trova, procede alla sua infezione.
  6251.  
  6252. Danni: Nessuno.
  6253.  
  6254. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6255. dei file aumenta di 608-623 Byte.
  6256.  
  6257. Note:
  6258. 1) La parte infettata dal virus non viene scritta correttamente. 
  6259. La maggiorparte dei file infetti non pu≥ essere eseguita normalmente 
  6260. (anche il virus non Φ in grado di infettare o di danneggiare).
  6261. 2) Non rimane in memoria.
  6262. 3) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6263. Appare un messaggio d'errore quando si verifica un erore I/O.
  6264.  
  6265.  
  6266. [ARCV-2]
  6267. Nome del Virus: Arcv-2.
  6268. Tipo di Virus: Virus parassita.
  6269. Lunghezza del Virus: I file con estensione *.EXE infetti aumentano di 693 Byte. 
  6270. (Non infetta i file con estensione *.COM).
  6271. Vettore PC agganciato: INT 24h.
  6272.  
  6273. Procedura eseguita:
  6274. 1) Cerca un file con estensione *.EXE nella directory corrente.
  6275. 2) Controlla che sia infetto.  Se "SI", il virus continua la ricerca.
  6276. 3) Quando trova un file infetto, il virus procede alla sua infezione. 
  6277. (Infetta un solo file alla volta).
  6278. 4) Il virus controlla la data del sistema. Se il mese Φ aprile od il giorno 6, 
  6279. il virus mostra sullo schermo:
  6280.  
  6281.     "Help  ..  Help  ..  I'm Sinking ........"
  6282.  
  6283. Danni: Nessuno.
  6284.  
  6285. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6286. aumenta di 693 Byte.
  6287.  
  6288. Note:
  6289. 1) La parte infettata dal virus non viene scritta correttamente. 
  6290. La maggiorparte dei file infetti non pu≥ essere eseguita normalmente 
  6291. (anche il virus non Φ in grado di infettare o di danneggiare).
  6292. 2) Non rimane in memoria.
  6293. 3) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6294. Appare un messaggio d'errore quando si verifica un erore I/O.
  6295.  
  6296.  
  6297. [Hallo-759]
  6298. Nome del Virus: Hallo-759.
  6299. Tipo di Virus: Virus parassita.
  6300. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 533 Byte. 
  6301. (Non infetta i file con estensione *.EXE).
  6302. Vettore PC agganciato: Nessuno.
  6303.  
  6304. Procedura eseguita:
  6305. 1) Cerca un file con estensione *.COM nella directory corrente.
  6306. 2) Controlla che sia infetto. Se "SI", continua la ricerca fino a quando 
  6307. trova un file non infetto, procedendo quindi alla sua infezione. 
  6308. (Infetta un solo file alla volta). Dopo tale operazione compare la stringa:
  6309.  
  6310.     "I have got a virus for you!".
  6311.  
  6312. Danni: Nessuno.
  6313.  
  6314. Metodo di rilevazione: Diagnosticabile quando compare la stringa 
  6315. "I have got a virus for you!" all'esecuzione di un programma e 
  6316. quando la lunghezza dei file aumenta di 759-775 Byte.
  6317.  
  6318. Note:
  6319. 1) La parte infettata dal virus non viene scritta correttamente. 
  6320. Completata l'infezione il file termina ed il sistema si blocca.
  6321. 2) Non rimane in memoria.
  6322. 3) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6323. Appare un messaggio d'errore quando si verifica un erore I/O.
  6324.  
  6325.  
  6326. [Atomic-2A]
  6327. Nome del Virus: Atomic-2a.
  6328. Tipo di Virus: Virus parassita.
  6329. Lunghezza del Virus: I file con estensione *.COM infetti aumentano 
  6330. di 350 Byte. (Non infetta i file con estensione *.EXE).
  6331. Vettore PC agganciato: Nessuno.
  6332.  
  6333. Procedura eseguita:
  6334. 1) Cerca un file con estensione *.COM nella directory corrente.
  6335. 2) Controlla che sia infetto. Se "SI", continua la ricerca fino a 
  6336. quando trova un file non infetto, procedendo quindi alla sua infezione. 
  6337. (Infetta un solo file alla volta.)
  6338.  
  6339. Danni: Nessuno.
  6340.  
  6341. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei 
  6342. file aumenta di 350 Byte.
  6343.  
  6344. Note:
  6345. 1) Non rimane in memoria.
  6346. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6347. Appare un messaggio d'errore quando si verifica un erore I/O.
  6348.  
  6349.  
  6350. [Atomic-1B]
  6351. Nome del Virus: Atomic-1b.
  6352. Tipo di Virus: Virus parassita.
  6353. Lunghezza del Virus: I file con estensione *.COM infetti non aumentano. 
  6354. (Non infetta i file con estensione *.EXE).
  6355. Vettore PC agganciato: Nessuno.
  6356.  
  6357. Procedura eseguita:
  6358. 1) Se la data di sistema Φ il giorno 1, compare la scritta:
  6359.  
  6360.     "The Atomic Dustbin--YOUR PHUCKED!"
  6361.  
  6362.     Il sistema quindi si blocca.
  6363.  
  6364. 2) Se la data di sistema Φ il giorno 26, prima che il sistema si blocchi, 
  6365. compare il messaggio:
  6366.  
  6367.     "The Atomic Dustbin 1B -- This is almost the second step !"
  6368.  
  6369. 3) Se la data di sistema non Φ nΘ il giorno 1 nΘ il giorno 26:
  6370.      i) il virus ricerca tutti i file con estensione *.COM 
  6371. nella directory corrente;
  6372.     ii) controlla che il file sia infetto. Se "SI", continua la ricerca;
  6373.    iii) se trova un file non infetto, procede alla sua infezione. 
  6374. (Infetta solo due file alla volta). Dopo l'infezione compare la stringa:
  6375.  "Program execution terminated."
  6376.  
  6377. Danni: Nessuno.
  6378.  
  6379. Metodo di rilevazione: Diagnosticabile se la stringa: 
  6380. "Program execution terminated" compare all'esecuzione di un programma.
  6381.  
  6382. Note:
  6383. 1) Non rimane in memoria.
  6384. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6385. Appare un messaggio d'errore quando si verifica un erore I/O.
  6386.  
  6387. [Atomic-1A]
  6388. Nome del Virus: Atomic-1A.
  6389. Tipo di Virus: Virus parassita.
  6390. Lunghezza del Virus: I file con estensione *.COM infetti non aumentano. 
  6391. (Non infetta i file con estensione *.EXE).
  6392. Vettore PC agganciato: Nessuno.
  6393.  
  6394. Procedura eseguita:
  6395. 1) Se la data di sistema Φ il giorno 25, compare la stringa: 
  6396. "The Atomic Dustbin 1A -- This is almost the first step!" ed 
  6397. il sistema si blocca.
  6398. 2) Se la data di sistema non Φ il giorno 25:
  6399.      i) il virus cerca un file con estensione *.COM nella directory corrente;
  6400.     ii) controlla che sia infetto. Se "SI", continua la ricerca;
  6401.    iii) se trova un file non infetto, procede alla sua infezione. 
  6402. (Infetta solo due file alla volta). Dopo l'infezione compare la stringa:
  6403. "Bad command or file name".
  6404.  
  6405. Danni: Nessuno.
  6406.  
  6407. Metodo di rilevazione: Diagnosticabile se la stringa: "bad command or file name" 
  6408. compare all'esecuzione di un programma.
  6409.  
  6410. Note:
  6411. 1) Non rimane in memoria.
  6412. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6413. Appare un messaggio d'errore quando si verifica un erore I/O.
  6414.  
  6415. [Arusiek]
  6416. Nome del Virus: Arusiek.
  6417. Tipo di Virus: Virus parassita.
  6418. Lunghezza del Virus: I file con estensione *.COM ed *.EXE infetti 
  6419. aumentano di 817 Byte.
  6420. Vettore PC agganciato:  INT 21h ed INT 24h.
  6421.  
  6422. Procedura eseguita:
  6423. 1) Controlla che sia giα in memoria. Se "NO", il virus intercetta 
  6424. l'INT 21h, si installa in memoria ed esegue il programma.
  6425. 2) Se si trova giα in memoria, il programma viene eseguito direttamente.
  6426.  
  6427. Metodo di infezione:
  6428. 1) Infetta i file da AH=4B nell'INT 21h. I file non infetti vengono 
  6429. infettati alla loro esecuzione.
  6430. 2) Prima di infettare i file, il virus intercetta l'INT 24h in modo 
  6431. da ignorare gli errori I/O.
  6432.  
  6433. Danni: Nessuno.
  6434.  
  6435. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6436. aumenta di 817 Byte.
  6437.  
  6438. [Atas-3]
  6439. Nome del Virus: Atas-3.
  6440. Tipo di Virus: Virus parassita.
  6441. Lunghezza del Virus: : I file con estensione *.COM ed *.EXE infetti 
  6442. aumentano di 1.268 Byte.
  6443. Vettore PC agganciato:  INT 21h ed INT 24h.
  6444.  
  6445. Procedura eseguita:
  6446. 1) Controlla che sia in memoria. Se "NO",  intercetta l'INT 21h, 
  6447. si inserisce in memoria ed esegue il programma.
  6448. 2) Se Φ giα in memoria, il programma viene eseguito direttamente.
  6449.  
  6450. Metodo di infezione:
  6451. 1) Infetta i file da AH=4B nell'INT 21h. I file non infetti 
  6452. sono infettati alla loro esecuzione.
  6453.  
  6454. 2) Prima di infettare i file, il virus intercetta l'INT 24h in modo 
  6455. da ignorare gli errori I/O.
  6456.  
  6457. Danni: Nessuno.
  6458.  
  6459. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6460. aumenta di 1.268 Byte.
  6461.  
  6462. [ARCV-570]
  6463. Nome del Virus: Arcv-570.
  6464. Tipo di Virus: Virus parassita.
  6465. Lunghezza del Virus: I file con estensione *.EXE infetti aumentano di 570-585 Byte. 
  6466. (Non infetta i file con estensione *.COM).
  6467. Vettore PC agganciato: Nessuno.
  6468.  
  6469. Procedura eseguita:
  6470. 1) Cerca un file con estensione *.EXE nella directory corrente.
  6471. 2) Controlla che il file sia infetto. Se "SI", continua la ricerca fino a quando trova 
  6472. un file non infetto, procedendo quindi alla sua infezione. (Infetta un solo file alla volta).
  6473.  
  6474. Danni: Nessuno.
  6475.  
  6476. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6477. aumenta di 570-585 Byte.
  6478.  
  6479. Note:
  6480. 1) Non rimane in memoria.
  6481. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6482. Appare un messaggio d'errore quando si verifica un erore I/O.
  6483.  
  6484. [Atas-3215]
  6485. Nome del Virus: Atas-3215-
  6486. Tipo di Virus: Virus parassita.
  6487. Lunghezza del Virus: Circa 3.215 Byte. (Esistono diverse varianti.)
  6488. Vettore PC agganciato:  INT 21h.
  6489.  
  6490. Procedura eseguita: (Il virus infetta file solo in DOS 3.3).
  6491. 1) Controlla che sia in memoria.  Se "NO",  intercetta l'INT 21h e si 
  6492. inserisce in memoria, eseguendo il programma originale.
  6493. 2) Se Φ giα in memoria, il programma viene eseguito direttamente.
  6494.  
  6495. Metodo di infezione:
  6496. 1) Infetta i file da AH=4B nell'INT 21h. I file non infetti sono 
  6497. infettati alla loro esecuzione.
  6498.  
  6499.  
  6500. [Andromda]
  6501. Nome del Virus: Andromda.
  6502. Tipo di Virus: Virus parassita.
  6503. Lunghezza del Virus: I file con estensione *.COM infetti 
  6504. aumentano di 1.140 Byte. (Non infetta i file con estensione *.EXE).
  6505. Vettore PC agganciato: Nessuno.
  6506.  
  6507. Procedura eseguita:
  6508. 1) Cerca un file con estensione *.COM nella directory corrente.
  6509. 2) Controlla che il file sia infetto. Se "SI", continua la ricerca 
  6510. fino a quando trova un file non infetto.
  6511. 3) Procede quindi ad effettuare l'infezione 
  6512. (infetta solo due file alla volta).
  6513.  
  6514. Danni: Nessuno.
  6515.  
  6516. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6517. dei file aumenta di 1.140 Byte.
  6518.  
  6519. Note:
  6520. 1) Non rimane in memoria.
  6521. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6522. Appare un messaggio d'errore quando si verifica un erore I/O.
  6523.  
  6524. [Grunt-529]
  6525. Nome del Virus: Grunt-529.
  6526. Tipo di Virus: Virus parassita.
  6527. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 529 Byte. 
  6528. (Non infetta i file con estensione *.EXE).
  6529. Vettore PC agganciato: Nessuno.
  6530.  
  6531. Procedura eseguita:
  6532. 1) Cerca un file con estensione *.COM nella directory corrente.
  6533. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  6534. 3) Se trova un file non infetto, procede alla sua infezione. 
  6535. (Infetta un solo file alla volta.)
  6536. 4) Controlla la data di sistema. Se la data Φ venerd∞ e l'anno Φ successivo al 
  6537. 1993, il virus mostra sullo schermo il seguente messaggio:
  6538.  
  6539.     "Nothing like the smell of napalm in the morning!"
  6540.  
  6541. Danni: Nessuno.
  6542.  
  6543. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6544. aumenta di 529 Byte.
  6545.  
  6546. Note:
  6547. 1) Non rimane in memoria.
  6548. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6549. Appare un messaggio d'errore quando si verifica un erore I/O.
  6550.  
  6551. [Ein-Volk]
  6552. Nome del Virus: Ein-Volk.
  6553. Tipo di Virus: Virus parassita.
  6554. Lunghezza del Virus: I file con estensione *.COM infetti aumentano 
  6555. di 482 Byte. (Non infetta i file con estensione *.EXE).
  6556. Vettore PC agganciato: Nessuno.
  6557.  
  6558. Procedura eseguita:
  6559. 1) Cerca un file con estensione *.COM nella directory corrente.
  6560. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  6561. 3) Se trova un file non infetto, procede alla sua infezione. 
  6562. Non interrompe la ricerca fino a quando tutti i file con estensione *.COM 
  6563. della directory sono infettati.
  6564.  
  6565. Danni: Nessuno.
  6566.  
  6567. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6568. aumenta di 482 Byte.
  6569.  
  6570. Note:
  6571. 1) Non rimane in memoria.
  6572. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6573. Appare un messaggio d'errore quando si verifica un erore I/O.
  6574.  
  6575.  
  6576. [DOS7]
  6577. Nome del Virus: Dos7.
  6578. Tipo di Virus: Virus parassita.
  6579. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 342 Byte. 
  6580. (Non infetta i file con estensione *.EXE).
  6581. Vettore PC agganciato: Nessuno.
  6582.  
  6583. Procedura eseguita:
  6584. 1) Cerca un file con estensione *.COM nella directory corrente.
  6585. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  6586. 3) Se trova un file non infetto, procede alla sua infezione. 
  6587. (Infetta un solo file alla volta).
  6588.  
  6589. Danni: Nessuno.
  6590.  
  6591. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei 
  6592. file aumenta di 342 Byte.
  6593.  
  6594. Note:
  6595. 1) Non rimane in memoria.
  6596. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6597. Appare un messaggio d'errore quando si verifica un erore I/O.
  6598.  
  6599. [Dooms-715]
  6600. Nome del Virus: Dooms-715.
  6601. Tipo di Virus: Virus parassita.
  6602. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 715 Byte. 
  6603. (Non infetta i file con estensione *.EXE).
  6604. Vettore PC agganciato: Nessuno.
  6605.  
  6606. Procedura eseguita:
  6607. 1) Cerca un file con estensione *.COM nella directory principale.
  6608. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  6609. 3) Se trova un file non infetto, procede alla sua infezione. 
  6610. (Infetta un solo file alla volta).
  6611.  
  6612. Danni: Nessuno.
  6613.  
  6614. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6615. aumenta di 715 Byte.
  6616.  
  6617. Note:
  6618. 1) Non rimane in memoria.
  6619. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6620. Appare un messaggio d'errore quando si verifica un erore I/O.
  6621.  
  6622. [Dir-522]
  6623. Nome del Virus: Dir-522.
  6624. Tipo di Virus: Virus parassita.
  6625. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 1268 Byte. 
  6626. (Non infetta i file con estensione *.EXE).
  6627. Vettore PC agganciato: INT 21h ed INT 24h.
  6628.  
  6629. Procedura eseguita:
  6630. 1) Controlla che sia in memoria. Se "NO",  intercetta l'INT 21h, 
  6631. si installa in memoria ed esegue il programma.
  6632. 2) Se Φ giα in memoria, il programma viene eseguito direttamente.
  6633.  
  6634. Metodo di infezione:
  6635. 1)     Il virus infetta i file dal comando "dir". 
  6636. Quando viene eseguito questo comando, il virus cerca un file non 
  6637. infetto e procede alla sua infezione.
  6638. 2) Prima di infettare i file, il virus intercetta l'INT 24h in 
  6639. modo da ignorare errori I/O. 
  6640.  
  6641. Danni: Nessuno.
  6642.  
  6643. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6644. dei file aumenta di 522 Byte.
  6645.  
  6646. [Compan-83]
  6647. Nome del Virus: Compan-83.
  6648. Tipo di Virus: Virus parassita.
  6649. Lunghezza del Virus:  83 Byte.
  6650. Vettore PC agganciato:  INT 21h.
  6651.  
  6652. Procedura eseguita:
  6653. 1) Controlla che sia in memoria. Se "NO",  intercetta l'INT 21h, 
  6654. si installa in memoria ed esegue il programma.
  6655. 2) Se Φ giα in memoria, il programma viene eseguito direttamente.
  6656.  
  6657. Metodo di infezione:
  6658. 1)  Il virus infetta i file da AH=4B nell'INT 21h. 
  6659. Quando viene eseguito un file con estensione *.EXE, il virus 
  6660. crea un file con estensione *.COM della lunghezza di 83 Byte. 
  6661. Il contenuto del file con estensione *.COM Φ il virus stesso (file nascosto).
  6662. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6663. Appare un messaggio d'errore quando si verifica un erore I/O.
  6664.  
  6665. Danni: Nessuno.
  6666.  
  6667. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file aumenta di 83 Byte.
  6668.  
  6669. [ChipShit]
  6670. Nome del Virus: Chipshit.
  6671. Tipo di Virus: Virus parassita.
  6672. Lunghezza del Virus: I file con estensione *.COM infetti 
  6673. aumentano di 877 Byte. (Non infetta i file con estensione *.EXE).
  6674. Vettore PC agganciato: Nessuno.
  6675.  
  6676. Procedura eseguita:
  6677. 1) Controlla la data del sistema. 
  6678. Se Φ successiva al giorno 11 febbraio 1993, il virus 
  6679. mostra sullo schermo il seguente messaggio:
  6680.  
  6681.      "Hej! Tu wirus chipshit! Co........"
  6682.  
  6683. 2) Se la data Φ precedente al giorno 11 febbraio 1993:
  6684.     a) Cerca un file con estensione *.COM nella directory corrente.
  6685.     b) Controlla che sia infetto. Se "SI", continua la ricerca.
  6686.     c) Se trova un file non infetto, procede alla sua infezione. 
  6687. (Infetta un solo file alla volta).
  6688.  
  6689. Danni: Nessuno.
  6690.  
  6691. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei 
  6692. file aumenta di 877 Byte.
  6693.  
  6694. Note:
  6695. 1) Non rimane in memoria.
  6696. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6697. Appare un messaggio d'errore quando si verifica un erore I/O.
  6698.  
  6699. [Carbuncl]
  6700. Nome del Virus: Carbuncl.
  6701. Tipo di Virus: Virus parassita.
  6702. Lunghezza del Virus: 622 Byte.
  6703. Vettore PC agganciato: Nessuno.
  6704.  
  6705. Procedura eseguita:
  6706. 1) Con 5 probabilitα su 6:
  6707.     i) Cerca un file con estensione *.EXE nella directory corrente.
  6708.    ii) Rinomina il file come *.crp e crea un file *.bat
  6709.         con il seguente comando:
  6710.  
  6711.                    @ECHO OFF
  6712.                    CARBUNCL
  6713.                    RENAME JEXE.CRP JEXE.EXE
  6714.                    JEXE.EXE
  6715.                    RENAME JEXE.EXE JEXE.CRP
  6716.                    CARBBUNCL
  6717.  
  6718.        (JEXE.EXE Φ il file infetto e CARBUNCL Φ il virus)
  6719.   iii) Ripete la suddetta procedura fino a quando tutti 
  6720. i file con estensione *.EXE sono infettati.
  6721. 2) Con 1 probabilitα su 6: infetta 5 file con estensione *.CRP.
  6722.  
  6723. Danni: Nessuno.
  6724.  
  6725. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6726. dei file aumenta di 877 Byte.
  6727.  
  6728. Note:
  6729. 1) Non rimane in memoria.
  6730. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6731. Appare un messaggio d'errore quando si verifica un erore I/O.
  6732.  
  6733. [VCL-2]
  6734. Nome del Virus: Vcl-2.
  6735. Tipo di Virus: Virus parassita.
  6736. Lunghezza del Virus: I file con estensione *.COM infetti 
  6737. aumentano di 663 Byte. (Non infetta i file con estensione *.EXE).
  6738. Vettore PC agganciato: Nessuno.
  6739.  
  6740. Procedura eseguita:
  6741. 1) Cerca un file con estensione *.COM nella directory corrente.
  6742. 2) Controlla che sia infetto. Se "SI",continua la ricerca.
  6743. 3) Se trova un file non infetto, procede alla sua infezione. 
  6744. (Infetta solo due file alla volta).
  6745.  
  6746. Danni: Nessuno.
  6747.  
  6748. Metodo di rilevazione: I file infetti aumentano di 663 Byte.
  6749.  
  6750. Note:
  6751. 1) Non rimane in memoria.
  6752. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6753. Appare un messaggio d'errore quando si verifica un erore I/O.
  6754.  
  6755. [Necro]
  6756. Nome del Virus: Necro.
  6757. Tipo di Virus: Virus parassita.
  6758. Lunghezza del Virus: I file con estensione *.COM ed estensione *.EXE infetti 
  6759. aumentano di 696 Byte.
  6760. Vettore PC agganciato: Nessuno.
  6761.  
  6762. Procedura eseguita:
  6763. 1) Cerca un file file con estensione *.COM od estensione *.EXE infetto.
  6764. 2)    Controlla che sia stato infettato. Se "SI",continua la ricerca.
  6765. 3)    Se trova un file non infetto, procede alla sua infezione. 
  6766. (Infetta solo tre file alla volta).
  6767.  
  6768. Danni: Nessuno.
  6769.  
  6770. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6771. dei file aumenta di 696 Byte.
  6772.  
  6773. Note:
  6774. 1) La porzione infetta non viene scritta correttamente, 
  6775. cosicchΦ la maggiorparte dei file infetti non pu≥ essere eseguita 
  6776. (anche il virus non Φ in grado di infettare o di danneggiare).
  6777. 2) Non rimane in memoria.
  6778. 3) Prima di infettare i file, il virus non intercetta l'INT 24h. 
  6779. Appare un messaggio d'errore quando si verifica un erore I/O.
  6780.  
  6781.  
  6782. [Eagl-7705]
  6783. Nome del Virus: Eagl-7705.
  6784. Tipo di Virus: Virus parassita.
  6785. Lunghezza del Virus:  7.705 Byte.
  6786.  
  6787. Procedura eseguita:
  6788. 1) Cerca un file con estensione *.EXE nella directory corrente.
  6789. 2) Crea quindi un file con estensione *.COM di lunghezza pari a 7.705 Byte. 
  6790. Il contenuto del file con estensione *.COM Φ il virus stesso (file nascosto).
  6791. 3) Ripete la procedura fino a quando tutti i file con estensione *.EXE 
  6792. nella directory corrente sono infettati.
  6793.  
  6794.  
  6795. Danni: Nessuno.
  6796.  
  6797. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6798. dei file aumenta di 7.705 Byte.
  6799.  
  6800. Note:  Non rimane in memoria.
  6801.  
  6802. [Eno-2430]
  6803. Nome del Virus: Eno-2430.
  6804. Tipo di Virus: Virus parassita.
  6805. Lunghezza del Virus: I file con estensione *.COM ed estensione *.EXE 
  6806. infetti aumentano di 2.430-2.445 Byte.
  6807. Vettore PC agganciato:  INT 21h ed INT 24h.
  6808.  
  6809. Procedura eseguita:
  6810. 1) Controlla che sia in memoria. Se "NO",  intercetta l'INT 21h,
  6811.     si installa in memoria ed esegue il programma.
  6812. 2) Se si trova giα in memoria, esegue il programma direttamente.
  6813.  
  6814. Metodo di infezione:
  6815. 1)  Il virus infetta i file da AH=4B nell'INT 21h. 
  6816. Quando viene eseguito un programma non infetto, si infetta.
  6817. 2) Prima di infettare i file, il virus intercetta l'INT 24h. 
  6818. in modo da ignorare errori I/O.
  6819.  
  6820. Danni: Il virus possiede un contatore; dopo aver infettato un file, 
  6821. sottrae 1 al contatore. Quando il contatore Φ =0, il virus distrugge 
  6822. tutti i dati sull'hard disk.
  6823.  
  6824. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6825. aumenta di 2.430-2.445Byte.
  6826.  
  6827. [Exper-755]
  6828. Nome del Virus: Exper-755.
  6829. Tipo di Virus: Virus parassita.
  6830. Lunghezza del Virus: I file con estensione *.EXE infetti aumentano di 755 Byte. 
  6831. (Non infetta i file con estensione *.COM).
  6832. Vettore PC agganciato: INT 24h.
  6833.  
  6834. Procedura eseguita:
  6835. 1) Cerca un file con estensione *.EXE nella directory corrente.
  6836. 2) Controlla che sia stato infettato. Se "SI",continua la ricerca.
  6837. 3) Se trova un file non infetto, procede alla sua infezione. 
  6838. Ripete la procedura fino a quando tutti i file con estensione *.COM 
  6839. nella directory corrente sono infettati.
  6840.  
  6841. Danni: Nessuno.
  6842.  
  6843. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6844. aumenta di 755 Byte.
  6845.  
  6846. Note:
  6847. 1) Non rimane in memoria.
  6848. 2) Prima di infettare i file, il virus intercetta prima l'INT 24h. 
  6849. in modo da ignorare errori I/O.
  6850.  
  6851. [Findm-695]
  6852. Nome del Virus: Findm-695.
  6853. Tipo di Virus: Virus parassita.
  6854. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 695-710 Byte. 
  6855. (Non infetta i file con estensione *.EXE).
  6856. Vettore PC agganciato: Nessuno.
  6857.  
  6858. Procedura eseguita:
  6859. 1) Cerca un file con estensione *.COM nella directory corrente.
  6860. 2) Controlla che sia stato infettato. Se "SI",continua la ricerca.
  6861. 3) Se trova un file non infetto, procede alla sua infezione.
  6862.  
  6863. Danni: Nessuno.
  6864.  
  6865. Metodo di rilevazione: Diagnosticabile quando la lunghezza dei file 
  6866. aumenta di 695-710 Byte.
  6867.  
  6868. Note:
  6869. 1) La porzione infettata dal virus non viene scritta correttamente. 
  6870. La maggiorparte dei file infetti non pu≥ essere eseguita 
  6871. (anche il virus non Φ in grado di infettare o di danneggiare).
  6872. 2) Non rimane in memoria.
  6873. 3) Prima di infettare i file, il virus non intercetta l'INT 24h. 
  6874. Appare un messaggio d'errore quando si verifica un erore I/O.
  6875.  
  6876.  
  6877. [FR-1013]
  6878. Nome del Virus: FR-1013.
  6879. Tipo di Virus: Virus parassita.
  6880. Lunghezza del Virus: I file con estensione *.COM ed estensione *.EXE infetti 
  6881. aumentano di 1.013-1.028 Byte.
  6882. Vettore PC agganciato: INT 21h.
  6883.  
  6884. Procedura eseguita:
  6885. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h,
  6886.     si installa in memoria ed esegue il programma.
  6887. 2) Se si trova giα in memoria, esegue direttamente il programma.
  6888.  
  6889. Metodo di infezione:
  6890. 1)  Il virus infetta i file da AH=4B nell'INT 21h. 
  6891. Quando viene eseguito un programma non infetto, si infetta.
  6892. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  6893. Appare un messaggio d'errore quando si verifica un erore I/O.
  6894.  
  6895.  
  6896. Danni: Nessuno.
  6897.  
  6898. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6899. dei file aumenta di 1.013-1.028 Byte.
  6900.  
  6901. [Harm-1082]
  6902. Nome del Virus: Harm-1082.
  6903. Tipo di Virus: Virus parassita
  6904. Lunghezza del Virus: I file con estensione *.COM infetti aumentano 
  6905. di 1.082-1.097 Byte. (Non infetta i file con estensione *.EXE).
  6906. Vettore PC agganciato:  INT 21h.
  6907.  
  6908. Procedura eseguita:
  6909. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h, 
  6910. si installa in memoria ed esegue il programma.
  6911. 2) Se si trova giα in memoria, esegue direttamente il programma.
  6912.  
  6913. Metodo di infezione: Il virus infetta i file da AH=4B nell'INT 21h.
  6914. Quando viene eseguito un programma non infetto, si infetta.
  6915.  
  6916. Danni: Nessuno.
  6917.  
  6918. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  6919. dei file aumenta di 1.082-1.097 Byte.
  6920.  
  6921. [Hor-2248]
  6922. Nome del Virus: Hor-2248.
  6923. Tipo di Virus: Virus parassita.
  6924. Lunghezza del Virus: I file con estensione *.COM ed estensione *.EXE 
  6925. infetti aumentano di 2.248 Byte.
  6926.  
  6927. Vettore PC agganciato: INT 21h ed INT 24h.
  6928.  
  6929. Procedura eseguita: (Il virus non pu≥ girare in DOS 5.0).
  6930. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h,
  6931. si installa in memoria ed esegue il programma.
  6932. 2) Se si trova giα in memoria, esegue direttamente il programma.
  6933.  
  6934. Metodo di infezione:
  6935. 1) Il virus infetta i file da AH=4B nell'INT 21h. 
  6936. Quando viene eseguito un programma non infetto, si infetta.
  6937. 2) Prima di infettare i file, 
  6938. il virus intercetta l'INT 24h. in modo da ignorare errori I/O.
  6939.  
  6940. Danni: Nessuno.
  6941.  
  6942. Metodo di rilevazione: 
  6943. Diagnosticabile quando la lunghezza dei file aumenta di 2.248 Byte.
  6944.  
  6945. [Encroach2]
  6946. Nome del Virus: Encroach2.
  6947. Tipo di Virus: Virus parassita.
  6948.  
  6949. Vettore PC agganciato:  INT 24h.
  6950.  
  6951. Procedura eseguita:
  6952. 1) Cerca un file con estensione *.COM nella directory corrente.
  6953. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  6954. 3) Se trova un file non infetto, procede alla sua infezione. 
  6955. (infetta un solo alla volta).
  6956.  
  6957. Danni: Nessuno.
  6958.  
  6959. Note:
  6960. 1) Non rimane in memoria.
  6961. 2) Prima di infettare, il virus intercetta l'INT 24h in modo da ignorare errori I/O.
  6962.  
  6963. [Encroach]
  6964. Nome del Virus: Encroach
  6965. Tipo di Virus: Virus parassita
  6966.  
  6967. Vettore PC agganciato:  INT 24h
  6968.  
  6969. Procedura eseguita:
  6970. 1) Cerca un file con estensione *.COM nella directory corrente.
  6971. 2) Controlla che il file sia infetto. Se "SI", continua la ricerca.
  6972. 3) Se trova un file non infetto, procede alla sua infezione. 
  6973. (infetta un solo alla volta).
  6974.  
  6975. Danni: Nessuno.
  6976.  
  6977. Note:
  6978. 1) Non rimane in memoria.
  6979. 2) Prima di infettare, il virus  intercetta l'INT 24h in modo da ignorare errori I/O.
  6980.  
  6981. [DWI]
  6982. Nome del Virus: Dwi.
  6983. Tipo di Virus: Virus parassita.
  6984. Lunghezza del Virus: I file con estensione *.EXE infetti 
  6985. aumentano di 1.050-1.070 Byte. (Non infetta i file con estensione *.COM).
  6986.  
  6987. Vettore PC agganciato:  INT 21h ed INT 24h.
  6988.  
  6989. Procedura eseguita:
  6990. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h,
  6991. si installa in memoria ed esegue il programma.
  6992. 2) Se si trova giα in memoria, esegue direttamente il programma.
  6993.  
  6994. Metodo di infezione:
  6995. 1)  Il virus infetta i file da AH=4B nell'INT 21h. 
  6996. Quando viene eseguito un programma non infetto, si infetta.
  6997. 2) Prima di infettare i file, il virus intercetta l'INT 24h. 
  6998. in modo da ignorare errori I/O.
  6999.  
  7000. Danni: Nessuno.
  7001.  
  7002. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  7003. dei file aumenta di 1.050-1.070 Byte.
  7004.  
  7005. [Dennis]
  7006. Nome del Virus: Dennis (possiede due varianti).
  7007. Tipo di Virus: Virus parassita.
  7008. Vettore PC agganciato: INT 21h.
  7009.  
  7010. Procedura eseguita:
  7011. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h,
  7012. si installa in memoria ed esegue il programma.
  7013. 2) Se si trova giα in memoria, esegue direttamente il programma.
  7014.  
  7015. Metodo di infezione:
  7016. 1) Il virus infetta i file da AH=4B nell'INT 21h. 
  7017. Quando viene eseguito un programma non infetto, lo infetta.
  7018. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  7019. Appare un messaggio d'errore quando si verifica un erore I/O.
  7020.  
  7021. Danni: Nessuno.
  7022.  
  7023. [Comsysexe]
  7024. Nome del Virus: Comsysexe (esistono diverse varianti).
  7025. Tipo di Virus: Virus parassita.
  7026.  
  7027. Vettore PC agganciato: INT 21h.
  7028.  
  7029. Procedura eseguita:
  7030. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h,
  7031. si installa in memoria ed esegue il programma.
  7032. 2) Se si trova giα in memoria, esegue direttamente il programma.
  7033.  
  7034. Metodo di infezione:
  7035. 1) Il virus infetta i file da AH=4B nell'INT 21h. 
  7036. Quando viene eseguito un programma non infetto, si infetta. 
  7037. (File con estensione *.EXE, *.COM e *.SYS infetti).
  7038. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  7039. Appare un messaggio d'errore quando si verifica un erore I/O.
  7040.  
  7041. Danni: Nessuno.
  7042.  
  7043. [Cruncher]
  7044. Nome del Virus: Cruncher.
  7045. Tipo di Virus: Virus parassita.
  7046.  
  7047. Vettore PC agganciato: INT 21h ed INT 24h.
  7048.  
  7049. Procedura eseguita:
  7050. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h,
  7051. si installa in memoria ed esegue il programma.
  7052. 2) Se si trova giα in memoria, esegue direttamente il programma.
  7053.  
  7054. Metodo di infezione:
  7055. 1) Il virus infetta i file da AH=4B nell'INT 21h. 
  7056. Quando viene eseguito un programma non infetto, si infetta.
  7057. 2) Prima di infettare i file, il virus intercetta l'INT 24h. 
  7058. in modo da ignorare errori I/O.
  7059.  
  7060. Danni: Nessuno.
  7061.  
  7062. [Ice-159]
  7063. Nome del Virus: Ice-159.
  7064. Tipo di Virus: Virus parassita.
  7065. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 159 Byte. 
  7066. (Non infetta i file con estensione *.EXE).
  7067.  
  7068. Vettore PC agganciato: Nessuno.
  7069.  
  7070. Procedura eseguita:
  7071. 1) Cerca un file con estensione *.COM nella directory corrente.
  7072. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  7073. 3) Se trova un file non infetto, procede alla sua infezione. 
  7074. (Infetta un solo alla volta).
  7075.  
  7076. Danni: Nessuno.
  7077.  
  7078. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  7079. dei file aumenta di 159 Byte.
  7080.  
  7081. Note:
  7082. 1) Non rimane in memoria.
  7083. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  7084. Appare un messaggio d'errore quando si verifica un erore I/O.
  7085.  
  7086. [Joker3]
  7087. Nome del Virus: Joker3.
  7088. Tipo di Virus: Virus parassita.
  7089. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 1.084 Byte. 
  7090. (Non infetta i file con estensione *.EXE).
  7091.  
  7092. Vettore PC agganciato: INT 21h.
  7093.  
  7094. Procedura eseguita:
  7095. 1) Controlla che sia in memoria. Se "NO", intercetta l'INT 21h,
  7096. si installa in memoria ed esegue il programma.
  7097. 2) Se si trova giα in memoria, esegue direttamente il programma.
  7098.  
  7099. Metodo di infezione:  Il virus infetta i file da INT 21h. 
  7100. Quando viene eseguito l'INT 21h, sono infettati tutti i 
  7101. file con estensione *.COM nella directory corrente. 
  7102. Quando infetta i file, il virus non intercetta l'INT 24h. 
  7103. Appare un messaggio d'errore quando si verifica un errore I/O.
  7104.  
  7105. Danni: Nessuno.
  7106.  
  7107. Metodo di rilevazione: Diagnosticabile quando la lunghezza 
  7108. dei file aumenta di 1.084 Byte.
  7109.  
  7110. [Mi-Nazi]
  7111. Nome del Virus: Mi-Nazi.
  7112. Tipo di Virus: Virus parassita.
  7113. Lunghezza del Virus: I file con estensione *.COM infetti 
  7114. aumentano di 1.084 Byte. (Non infetta i file con estensione *.EXE).
  7115.  
  7116. Vettore PC agganciato: INT 21h.
  7117.  
  7118. Procedura eseguita:
  7119. 1) Cerca un file con estensione *.COM nella directory corrente.
  7120. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  7121. 3) Se trova un file non infetto, procede alla sua infezione 
  7122. (infetta un solo file alla volta).
  7123.  
  7124. Danni: La parte del virus che determina l'infezione non Φ stata 
  7125. scritta correttamente. I file infetti non possono essere scritti normalmente 
  7126. (inoltre il virus non Φ in grado di infettare e danneggiare).
  7127.  
  7128. Note:
  7129. 1)  Il virus infetta i file dall'INT 21h. Quando viene eseguito l'INT 21h, 
  7130. tutti i file con estensione *.COM nella directory corrente vengono infettati.
  7131. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  7132. Appare un messaggio d'errore quando si verifica un errore I/O.
  7133.  
  7134.  
  7135. [Tiny-143]
  7136. Nome del Virus: Tiny-143.
  7137. Tipo di Virus: In memoria (OS), Virus da file.
  7138. Lunghezza del Virus: I file infetti con estensione *.COM aumentano di 143 Byte
  7139.  
  7140. Vettore PC agganciato: INT 21h.
  7141.  
  7142. Procedura eseguita:
  7143. 1) Cerca un file con estensione *.COM nella directory corrente.
  7144. 2) Controlla che sia infetto. Se "SI", continua la ricerca.
  7145. 3) Se trova un file non infetto, procede alla sua infezione. 
  7146. (Infetta un solo alla volta).
  7147.  
  7148. Danni: Nessuno.
  7149.  
  7150. Metodo di rilevazione:
  7151. 1) I campi di data ed ora dei file infetti sono cambiati.
  7152. 2) I file infetti aumentano di 143 Byte.
  7153.  
  7154. [Smal-122B]
  7155. Nome del Virus: Smal-122B.
  7156. Tipo di Virus: In memoria (OS), Virus da file.
  7157. Lunghezza del Virus: I file infetti con estensione *.EXE e *.COM 
  7158. aumentano di 122 Byte.
  7159.  
  7160. Vettore PC agganciato: INT 21h.
  7161.  
  7162. Procedura eseguita: Controlla che sia giα in memoria. Se "NO",
  7163. il virus si copia in "Absolute Address"  0000:0103h, intercetta l'INT21h 
  7164. e torna alla funzione originale. Se il programma da eseguire 
  7165. Φ un file con estensione *.COM o *.EXE ed il primo Byte non Φ E9h, 
  7166. il virus lo infetta.
  7167.  
  7168. Note: Alcuni interrupt non possono essere eseguiti correttamente 
  7169. in quanto il virus Φ presente nell'area vettoriale.
  7170.  
  7171. Metodo di rilevazione:
  7172. 1) Data ed ora dei file infetti vengono cambiate.
  7173. 2) I file infetti aumentano di 122 Byte.
  7174.  
  7175. [Printmon]
  7176. Nome del Virus: Printmon.
  7177. Tipo di Virus: Virus da file.
  7178. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 853 Byte.
  7179.  
  7180. Vettore PC agganciato: INT 17h (funzione stampante) 
  7181. per cambiare i dati alla stampante.
  7182.  
  7183. Procedura eseguita: Controlla che sia stato intercettato l'INT 17h. 
  7184. Se "NO", il virus esegue delle procedure di INT 17h per installarsi in memoria. 
  7185. Infetta tutti i file con estensione *.COM di lunghezza 
  7186. inferiore a 64.000 Byte nella directory corrente e ritorna alla funzione originale 
  7187. (durante il periodo di infezione, sospende l'INT 24h per evitare 
  7188. di lasciare delle tracce mentre scrive).
  7189.  
  7190. Danni:  Il virus causa errori all'invio di dati alla stampante.
  7191.  
  7192. Note: Data ed ora dei file infetti non vengono cambiate.
  7193.  
  7194. Metodo di rilevazione: Il file infetto aumenta di 853 Byte.
  7195.  
  7196. [Tiny-124]
  7197. Nome del Virus: Tiny-124.
  7198. Tipo di Virus: In memoria (OS), Virus da file.
  7199. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 124 Byte.
  7200.  
  7201. Vettore PC agganciato: INT 21h.
  7202.  
  7203. Procedura eseguita: Controlla che sia in memoria. Se "NO",
  7204. il virus si copia in "Absolute Address"  0050:0103h, intercetta l'INT21h 
  7205. e torna alla funzione originale.
  7206.  
  7207. Metodo di infezione: Se il programma eseguito Φ un file con estensione *.COM 
  7208. ed il suo primo Byte non Φ E9h, il virus procede alla sua infezione.
  7209.  
  7210. Danni: I file con estensione *.COM vengono distrutti 
  7211. a causa di un susseguente danno di testa.
  7212.  
  7213. Note: Alcuni interrupt non possono essere eseguiti correttamente 
  7214. in quanto il virus Φ presente nell'area vettoriale.
  7215.  
  7216. Metodo di rilevazione:
  7217. 1) Data ed ora dei file infetti vengono cambiate.
  7218. 2) I file infetti aumentano di 124 Byte.
  7219.  
  7220. [Smal-124]
  7221. Nome del Virus: Smal-124.
  7222. Tipo di Virus: In memoria (OS), Virus da file.
  7223. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 124 Byte.
  7224.  
  7225. Vettore PC agganciato: INT 21h.
  7226.  
  7227. Procedura eseguita: Controlla che sia in memoria. 
  7228. Se "NO", si copia in "Absolute Address"  0050:0103h, intercetta l'INT21h 
  7229. e torna alla funzione originale.
  7230.  
  7231. Metodo di infezione: Se il programma eseguito Φ un 
  7232. file con estensione *.COM, il virus procede alla sua infezione.
  7233.  
  7234. Danni: Nessuno.
  7235.  
  7236. Note: Alcuni interrupt non possono essere eseguiti correttamente 
  7237. in quanto il virus Φ presente nell'area vettoriale.
  7238.  
  7239. Metodo di rilevazione:
  7240. 1) Data ed ora dei file infetti vengono cambiate.
  7241. 2)    I file infetti aumentano di 124 Byte.
  7242.  
  7243. [Troi2]
  7244. Nome del Virus: Troi2.
  7245. Tipo di Virus: In memoria (OS), Virus da file.
  7246. Lunghezza del Virus: I file con estensione *.EXE infetti aumentano di 512 Byte.
  7247.  
  7248. Vettore PC agganciato: INT 21h.
  7249.  
  7250. Procedura eseguita: Controlla che la data corrente sia il giorno
  7251. 5/1/1992. Se "SI", ritorna direttamente alla funzione principale.
  7252. Altrimenti, controlla che sia in memoria. Se "NO", il virus si copia in 
  7253. "Absolute Address" 0000:0200h (l'area per i vettori interrupt), 
  7254. intercetta l'INT 21h e torna alla funzione originale.
  7255.  
  7256. Metodo di infezione:
  7257. 1) Intercetta l'INT 21h per controllare che sia giα in memoria.
  7258. 2) Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  7259. Se il programma eseguito Φ un file con estensione *.EXE, 
  7260. il virus procede alla sua infezione.
  7261.  
  7262. Danni: Nessuno.
  7263.  
  7264. Note: Data ed ora dei file infetti non vengono cambiate.
  7265.  
  7266. Metodo di rilevazione: I file infetti aumentano di 512 Byte.
  7267.  
  7268. [Tver]
  7269. Nome del Virus: Tver.
  7270. Tipo di Virus: In memoria (OS), Virus da file.
  7271. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 308 Byte.
  7272.  
  7273. Vettore PC agganciato: INT 21h.
  7274.  
  7275. Procedura eseguita:
  7276. Controlla che sia giα in memoria. 
  7277. Se "NO", il virus si copia in "Absolute Address" 0000:0200h 
  7278. (l'area per i vettori interrupt), intercetta l'INT 21h e torna alla funzione originale.
  7279. .
  7280. Metodo di infezione:
  7281. 1) Intercetta l'INT 21h per controllare che sia giα in memoria.
  7282. 2)  Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  7283. Se il programma eseguito Φ un file con estensione *.COM 
  7284. ed il suo primo Byte Φ E9h, il virus procede alla sua infezione.
  7285.  
  7286. Danni: Nessuno.
  7287.  
  7288. Note: In molti virus il primo Byte del file Φ E9h. 
  7289. In molti casi, il virus lo corregge se non Φ E9h.
  7290.  
  7291. Metodo di rilevazione:
  7292. 1) Data ed ora dei file infetti vengono cambiate.
  7293. 2) I file infetti aumentano di 308 Byte.
  7294.  
  7295. [Wave]
  7296. Nome del Virus: Wave.
  7297. Tipo di Virus: In memoria (OS), Virus da file.
  7298. Lunghezza del Virus: I file con estensione *.COM infetti aumentano di 454 Byte.
  7299.  
  7300. Vettore PC agganciato: INT 21h, 1Ch.
  7301.  
  7302. Procedura eseguita: Controlla che sia giα in memoria. 
  7303. Se "NO", il virus si copia in "Absolute Address" 0000:01ECh 
  7304. (l'area per i vettori interrupt), intercetta l'INT 21h e l'INT 1Ch 
  7305. e cambia l'indicatore dell'INT 78h con l'indirizzo indicato dall'originale INT 21h. 
  7306. Torna alla funzione originale.
  7307.  
  7308. Metodo di infezione:
  7309. INT 21h:
  7310. 1) Intercetta l'INT 21h per controllare che sia giα in memoria.
  7311. 2)  Intercetta l'INT 21H (AH=4B, AH=3Dh)  per infettare i file. 
  7312. Se il programma eseguito Φ un file con estensione *.COM, 
  7313. la lunghezza del programma e del virus combinate Φ compresa 
  7314. tra 1.500 e 64.000 Byte e si trova in drive C (eccetto drive A e drive B), 
  7315. il virus procede alla sua infezione. Altrimenti, pone un flag che 
  7316. viene sucessivamente usato dall'INT 1Ch.
  7317. INT 1Ch:  intercetta l'INT 1Ch per spostare lo schermo da un lato 
  7318. all'altro per 33 secondi, dopo che il flag si Φ impostato da INT 21h.
  7319.  
  7320. Danni: Nessuno.
  7321.  
  7322. Note: Data e ora (ad eccezione dell'anno dei file infetti) vengono cambiate. 
  7323. Non si pu≥ notare il cambiamento quando si usa in comando "Dir" 
  7324. in quanto gli ultimi 2 Byte della data non vengono cambiati 
  7325. (Si vedrebbe un ordine di organizzazione diverso se si attacca "/od" al comando "Dir").
  7326.  
  7327. Metodo di rilevazione: I file infetti aumentano di 454 Byte.
  7328.  
  7329. [Zz1]
  7330. Nome del Virus: Zz1.
  7331. Tipo di Virus: Sovrascrive, Virus da file. (Infetta i file con estensione *.COM).
  7332. Lunghezza del Virus: 127 Byte.
  7333.  
  7334. Procedura eseguita: Cerca un file con estensione *.COM non infetto 
  7335. nella directory corrente e procede alla sua infezione 
  7336. (infetta un solo file alla volta). 
  7337. Se non ci sono file da infettare, il virus cambia la data della RAM 
  7338. per impostare lo schermo a 81 linee. 
  7339.  
  7340. Danni:
  7341. 1) Sovrascrive i primi 127 Byte dei file originali con il codice del virus. 
  7342. I file originali vengono distrutti.
  7343. 2) Confonde lo schermo se non ci sono file infettabili.
  7344.  
  7345. Note: Data ed ora dei file infetti non vengono cambiate.
  7346.  
  7347. [Willow]
  7348. Nome del Virus: Willow.
  7349. Tipo di Virus: In memoria, Virus da file (file con estensione *.EXE).
  7350. Lunghezza del Virus: 1.870 Byte.
  7351.  
  7352. Vettore PC agganciato: INT 21h.
  7353.  
  7354. Procedura eseguita: Controlla che sia rimasto in memoria. 
  7355. Se "NO",  intercetta l'INT 14h e cambia l'indicatore dell'INT FDh 
  7356. all'indirizzo indicato dall'INT 21h. Intercetta l'INT 21h. 
  7357. Terminate le operazioni si ricarica in memoria.
  7358.  
  7359. Metodo di infezione:
  7360. 1) Intercetta l'INT 21h per controllare che sia giα in memoria.
  7361. 2) Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  7362. Se il programma da eseguire Φ un file con estensione *.COM, 
  7363. il virus lo cancella. Se Φ un file con estensione *.EXE, lo infetta.
  7364.  
  7365. Danni: Cancella i file con estensione *.COM eseguiti mentre il virus Φ in memoria.
  7366.  
  7367. Note: Data ed ora dei file infetti non vengono cambiate.
  7368.  
  7369. Metodo di rilevazione: I file infetti aumentano di 1.870-1.885 Byte.
  7370.  
  7371. [V-66]
  7372. Nome del Virus: V-66.
  7373. Tipo di Virus: Sovrascrive i file, Virus da file (tutti i file)
  7374. Lunghezza del Virus: 66 Byte.
  7375.  
  7376. Procedura eseguita: Infetta tutti i file nella directory corrente.
  7377.  
  7378. Metodo di infezione: Cambia gli attributi dei file convertendoli in trascrivibili. 
  7379. Sovrascrive i primi 66 Byte con il codice del virus.
  7380.  
  7381. Danni: Sovrascrive i file originali con il codice del virus.
  7382. I file originali vengono distrutti (alterati).
  7383.  
  7384. Metodo di rilevazione: Data ed ora dei file infetti vengono cambiate.
  7385.  
  7386. [VCL-408]
  7387. Nome del Virus: VCL408.
  7388. Tipo di Virus: Overwrites, Virus da file. 
  7389. (File con estensione *.EXE e file con estensione *.COM).
  7390. Lunghezza del Virus: 408 Byte.
  7391.  
  7392. Procedura eseguita: Cerca un file con estensione *.EXE 
  7393. o con estensione *.COM non infetto in ogni cartella e procede 
  7394. alla sua infezione. Il virus registra che l'infezione 
  7395. iniziale abbia avuto successo. 
  7396. La successiva registrazione sovrascrive l'originale. 
  7397. L'ultima, Φ la registrazione dell'ultima infezione. 
  7398. Il virus la controlla prima che termini. 
  7399. Se la registrazione fallisce, il virus blocca il sistema.
  7400.  
  7401. Danni:
  7402. 1) I file sono inutilizzabili anche dopo essere stati infettati.
  7403. 2) Occasionalmente blocca il sistema.
  7404.  
  7405. Note:
  7406. 1) Data ed ora dei file infetti rimangono invariate.
  7407. 2) La lunghezza dei file infetti non cambia a meno che la 
  7408. lunghezza dei file originali sia inferiore a 408 Byte. 
  7409. In questo caso la lunghezza dei file infetti diventa di 408 Byte.
  7410.  
  7411. [SUNDEVIL]
  7412. Nome del Virus: SunDevil.
  7413. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  7414. Lunghezza del Virus: 691 Byte.
  7415.  
  7416. Vettore PC agganciato: INT 21h.
  7417.  
  7418. Procedura eseguita: Controlla che la data corrente sia il giorno 8 maggio. 
  7419. Se "SI", distrugge il primo settore (settore di Boot) nel dischetto corrente.
  7420. Compare il seguente messaggio e ripete la chiamata all'INT 05h.
  7421.  
  7422.     "There is no America. There is no Democracy.
  7423.      There is only IBM, ITT, and AT&T.
  7424.      This virus is dedicated to all that have been
  7425.      busted for computer-hacking activities.
  7426.      The SunDevil Virus (C) 1993 by Crypt Keepr
  7427.      [SUNDEVIL] "
  7428.  
  7429. Oppure, il virus si copia in "Absolute Adress" 9000:0000h, 
  7430. intercetta l'INT21h e ritorna alla funzione originale.
  7431.  
  7432. Metodo di infezione:  Intercetta l'INT 21h (AH=3D,3E,56, AX=4300,4B00,4B01) 
  7433. per infettare i file. Se il programma da eseguire Φ un 
  7434. file con estensione *.COM, il virus procede alla sua infezione.
  7435.  
  7436.  
  7437. Danni: Distrugge il settore di boot del dischetto corrente 
  7438. se la data corrente Φ il giorno 8 maggio.
  7439.  
  7440. Note: Data ed ora dei file infetti non vengono cambiate.
  7441.  
  7442. Metodo di rilevazione:
  7443. 1) I file infetti aumentano di 691 Byte.
  7444. 2) Il suddetto messaggio compare se si usa il comando "Type".
  7445.  
  7446. [Skew-469]
  7447. Nome del Virus: Skew-469.
  7448. Tipo di Virus: In memoria (OS), Virus da file. 
  7449. (Infetta i file con estensione *.EXE).
  7450. Lunghezza del Virus: 469 Byte.
  7451.  
  7452. Vettore PC agganciato: INT 21h, INT 1Ch.
  7453.  
  7454. Procedura eseguita: Controlla che sia in memoria. 
  7455. Se "NO", si copia in "Absolute Adress" 0000:0200h, 
  7456. intercetta l'INT21h e ritorna alla funzione originale.
  7457.  
  7458. Metodo di infezione:
  7459. 1) Intercetta l'INT 21h (AX=4B00h or AH=3Dh) per infettare i file. 
  7460. Intercetta prima l'INT 24h per evitare di divulgare sue tracce mentre scrive. 
  7461. Controlla che il programma da eseguire sia un file con estensione *.EXE non infetto. 
  7462. Se "SI", procede alla sua infezione. Ripristina l'INT 24h.
  7463. 2)  Intercetta l'INT 1Ch. Aumenta di 1 il valore di un indirizzo, 
  7464. ogni volta che questo interrupt viene chiamato. Quando il valore equivale a FFFFh, 
  7465. il virus scrive il valore corrente alla scheda video facendo muovere 
  7466. lo schermo in su e in gi∙ o a destra e a sinistra.
  7467.  
  7468.  
  7469. Danni: Causa il movimento dello schermo in su e in gi∙ o a destra e a sinistra
  7470.  
  7471. Metodo di rilevazione:
  7472. 1) Data ed ora dei file infetti vengono cambiate.
  7473. 2) I file infetti aumentano di 469-469+15 Byte.
  7474.  
  7475. [Atas_400]
  7476. Nome del Virus: Atas_400.
  7477. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  7478. Lunghezza del Virus: 400 Byte.
  7479.  
  7480. Vettore PC agganciato: INT 24h (annulla la gestione degli errori gravi) 
  7481. Procedura eseguita:
  7482. 1)  Il virus decodifica, intercetta l'INT24h per prevenire 
  7483. la divulgazione di sue tracce mentre scrive, cambia la sua testa.
  7484. 2) Cerca un file con estensione *.COM non infetto di lunghezza 
  7485. superiore a 255 Byte ma inferiore a 64.256 Byte.
  7486. 3) Controlla la data del sistema. Se il campo dei secondi Φ 
  7487. inferiore a 3, compare il seguente messaggio:
  7488.  
  7489.     "I like to travel ...".
  7490.  
  7491. Ripristina l'INT 24h e torna alla funzione principale.
  7492.  
  7493. Danni: Nessuno.
  7494.  
  7495. Note:
  7496. 1) Infetta un solo file alla volta.
  7497. 2) Data ed ora dei file infetti vengono cambiate.
  7498.  
  7499. [DM-330]
  7500. Nome del Virus: Dm-330.
  7501. Tipo di Virus: In memoria, Virus da file. (Infetta i file con estensione *.COM).
  7502. Lunghezza del Virus: 330 Byte.
  7503.  
  7504. Vettore PC agganciato: INT 21h, 5Fh.
  7505.  
  7506. Procedura eseguita:
  7507. 1)  Il virus decodifica e controlla che sia giα in memoria. 
  7508. Se "NO", si porta ad Absolute Adresse da 0000:0208h a 0000:0351h.
  7509. 2)  Intercetta l'INT21h e torna alla funzione principale.
  7510.  
  7511. Metodo di infezione:
  7512. 1) Intercetta l'INT 5Fh. 
  7513. 2) Intercetta l'INT 21h per infettare i file. 
  7514. Il virus si attiva quando il sistema chiamato INT 21h per eseguire 
  7515. un programma (AH=4Bh), cambia gli attributi del file (AH=43h), 
  7516. cambia il nome del file (AH=56h) oppure apre un file (AH=3Dh).  
  7517. Il virus controlla che il programma da eseguire sia un 
  7518. file con estensione *.COM non infetto. Se "SI", il virus procede alla sua infezione.
  7519.  
  7520. Danni: Nessuno.
  7521.  
  7522. Note:
  7523. 1)  Il virus Φ residente nell'area per i vettori interrupt. 
  7524. Questo causa un conflitto nella funzione del virus ed i vettori interrupt 
  7525. (indirizzo da 0000:0208h a 0000:0351h).
  7526. 2) Data ed ora dei file infetti non vengono cambiate.
  7527.  
  7528. [CLS]
  7529. Nome del Virus: Cls.
  7530. Tipo di Virus: In memoria, Virus da file. (File con estensione *.EXEe *.COM).
  7531. Lunghezza del Virus: 835 Byte.
  7532.  
  7533. Vettore PC agganciato: INT 21h, INT 08h, INT 13h.
  7534.  
  7535. Procedura eseguita:
  7536. 1) Controlla che sia in memoria. Se "NO", si porta 
  7537. in memoria alta.
  7538. 2)  Intercetta l'INT 21h, INT 08h e l'INT 13h 
  7539. e ritorna alla funzione originale.
  7540.  
  7541. Metodo di infezione:
  7542. INT 21h:
  7543. 1)  Intercetta l'INT21h per controllare che sia in memoria.
  7544. 2)  Intercetta l'INT21h per infettare i file. 
  7545. Il virus si attiva quando il sistema chiamato INT21h esegue un programma (AH=4Bh). 
  7546. Controlla che il programma da eseguire sia un file con estensione *.COM 
  7547. non infetto e la sua lunghezza sia compresa tra 129 Byte e 64.512 Byte. 
  7548. Se "SI", procede alla sua infezione.
  7549.  
  7550. INT 08h: Intercetta l'INT 08h (l'interrupt attivato ogni 1/18 di secondo). 
  7551. Ogni volta che viene richiamato questo interrupt, un contatore aumenta di 1. 
  7552. Quando questo contatore raggiunge 65.520 (circa un'ora dopo), il virus pulisce 
  7553. lo schermo. (Non ha effetti sul monocromatico perchΘ la funzione pulente 
  7554. scrive 00 da B800:0000h a B800:0FA0h).
  7555.  
  7556. INT 13h: Intercetta l'INT 13h. 
  7557.  
  7558. Danni: Il virus pulisce lo schermo ogni ora.
  7559.  
  7560. Note: Data ed ora dei file infetti non vengono cambiate.
  7561.  
  7562. Metodo di rilevazione: I file infetti aumentano di 853 Byte.
  7563.  
  7564. [Nouin]
  7565. Nome del Virus: Nouin.
  7566. Tipo di Virus: In memoria, Virus da file. 
  7567. (Infetta i file con estensione *.EXE ed estensione *.COM).
  7568. Lunghezza del Virus: 855 Byte.
  7569.  
  7570. Vettore PC agganciato: INT 83h, 09h, 21h.
  7571.  
  7572. Procedura eseguita:
  7573. 1) Controlla che sia in memoria. Se "NO", si carica in memoria alta.
  7574. 2) Intercetta l'INT 21h, INT 09h e l'INT 83h e torna alla funzione originale. 
  7575. (Il metodo che utilizza il virus per caricarsi in memoria Φ abbastanza rudimentale. 
  7576. Necessita dell'ultimo MCB controllato dal DOS nell'indirizzo, 
  7577. quando carica il programma eseguito).
  7578.  
  7579. Metodo di infezione:
  7580. 1)  Intercetta l'INT 83h per valutare che il virus sia in memoria
  7581. 2)  Intercetta l'INT 09h per diminuire di 1 un contatore, ogni volta 
  7582. che viene premuto un tasto. Colloca il flag di danneggiamento quando 
  7583. il valore raggiunge zero.
  7584. 3)  Intercetta l'INT 21h (AH=3Dh,aH=43h,AX=4B00h). 
  7585. Controlla che il programma da eseguire sia un file con estensione *.EXE 
  7586. o *.COM non infetto (salta SCAN.EXE e CLEAN.EXE). 
  7587. Se si tratta di un file con estensione *.COM, 
  7588. il virus controlla che il file sia di lunghezza superiore a 60.000. 
  7589. Se "SI", il virus lo infetta. Controlla che il damage_flag sia collocato. 
  7590. Se "SI", il virus verifica che la data corrente sia il giorno 
  7591. 11 novembre o 30 novembre. Se "SI", distrugge i settori da 1 a 9 
  7592. nel dischetto corrente.
  7593.  
  7594. Danni: Dopo che il virus Φ in memoria, che la tastiera Φ stata 
  7595. premuta un certo numero di volte o che la data corrente corrisponde 
  7596. al giorno 11 o 30 novembre, distrugge i settori da 1 a 9 nel dischetto corrente.
  7597.  
  7598. Note: Data ed ora dei file infetti non vengono cambiate.
  7599.  
  7600. Metodo di rilevazione: I file infetti aumentano di 855 Byte.
  7601.  
  7602. [V-550]
  7603. Nome del Virus: V-550.
  7604. Tipo di Virus: In memoria, Virus da file. (Infetta i file con estensione *.EXE).
  7605. Lunghezza del Virus: 550 Byte.
  7606.  
  7607. Vettore PC agganciato: INT 21h.
  7608.  
  7609. Procedura eseguita:
  7610. 1)  Il virus controlla che sia in memoria ed il blocco di 
  7611. memoria che carica nel programma corrente
  7612. sia l'ultimo MCB. Se "SI", si porta nella memoria alta.
  7613. 2) Intercetta l'INT21h e torna alla funzione originale.
  7614.  
  7615. Metodo di infezione:
  7616. 1) Intercetta l'INT 21h per controllare che sia in memoria.
  7617. 2)  Intercetta l'INT 21h per controllare che il programma 
  7618. che viene eseguito sia un file con estensione *.EXE non infetto. 
  7619. Se "SI",  il virus procede alla sua infezione.
  7620.  
  7621. Danni: Nessuno.
  7622.  
  7623. Metodo di rilevazione:
  7624. 1) Data ed ora dei file infetti vengono cambiate.
  7625. 2) I file infetti aumentano di circa 550 Byte.
  7626. 3) La memoria totale diminuisce di 39 Byte dopo che il virus Φ in memoria.
  7627.  
  7628. [Angarsk]
  7629. Nome del Virus: Angarsk.
  7630. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  7631. Lunghezza del Virus: 238 Byte.
  7632.  
  7633. Procedura eseguita: Cerca tutti i file con estensione *.COM 
  7634. non infetti nelle directory corrente e principale e li infetta 
  7635. (la lunghezza dei file infettabili deve essere inferiore a 32.768 Byte).
  7636.  
  7637. Danni: Nessuno.
  7638.  
  7639. Metodo di rilevazione:
  7640. 1) Data ed ora dei file infetti vengono cambiate.
  7641. 2) I file infetti aumentano di circa 238 Byte.
  7642.  
  7643. [Enet-613]
  7644. Nome del Virus: Enet-613.
  7645. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  7646. Lunghezza del Virus: 613 Byte.
  7647.  
  7648. Procedura eseguita:
  7649. 1) Infetta tutti i file con estensione *.COM nella directory corrente. 
  7650. (Non infetta nuovamente lo stesso file).
  7651. 2) Controlla che il giorno corrente sia domenica. 
  7652. Se "SI", compare un messaggio ed attende che venga premuto un tasto. 
  7653. 3)    Cambia una parola all'indirizzo 4000:0013h della RAM in 0200h.
  7654. 4)    Chiama l'INT 19h per riavviare il sistema.
  7655.  
  7656. Danni: Nessuno.
  7657.  
  7658. Note:
  7659. 1) Data ed ora dei file infetti non vengono cambiate.
  7660. 2) I file infetti aumentano in lunghezza di 613-628 Byte.
  7661.  
  7662. [Fri-13D]
  7663. Nome del Virus: Fri-13-D.
  7664. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  7665. Lunghezza del Virus: 416 Byte.
  7666.  
  7667. Procedura eseguita:
  7668. 1) Quando viene eseguito un programma infetto, il virus infetta 
  7669. tutti i file con estensione *.COM (tranne COMMAND.COM) nella directory corrente. 
  7670. (Non infetta nuovamente lo stesso file).
  7671. 2) Controlla che il giorno corrente sia venerd∞ 13. 
  7672. Se "SI", si cancella e ritorna alla funzione originale.
  7673.  
  7674. Danni: Un programma infetto si cancella se si utilizza il computer 
  7675. il giorno venerd∞ 13.
  7676.  
  7677. Metodo di rilevazione:
  7678. 1) Data ed ora dei file infetti vengono cambiate.
  7679. 2) I file infetti aumentano di 416-431 Byte.
  7680.  
  7681. [Ash]
  7682. Nome del Virus: Ash.
  7683. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  7684. Lunghezza del Virus: 280 Byte.
  7685.  
  7686. Procedura eseguita: Infetta tutti i file con estensione *.COM 
  7687. infettabili nella directory corrente. (Non infetta nuovamente 
  7688. lo stesso file ed i file pi∙ lunghi di 64.768). 
  7689. Se il numero dei i file infetti recenti Φ inferiore a 2, 
  7690. il virus ricerca file infettabili nella propria directory e in quella superiore. 
  7691.  
  7692. Danni: Nessuno.
  7693.  
  7694. Metodo di rilevazione:
  7695. 1) Data ed ora dei file infetti vengono cambiate.
  7696. 2) I file infetti aumentano di 280 Byte.
  7697.  
  7698. [Bljec-1]
  7699. Nome del Virus: Bljec-1.
  7700. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  7701. Lunghezza del Virus: 301 Byte.
  7702.  
  7703. Procedura eseguita: Controlla che il mese corrente sia settembre.
  7704. Se "SI", formatta i primi 16 settori del dischetto corrente 
  7705. ed infetta tutti i file con estensione *.COM nella directory corrente.
  7706.  
  7707. Danni: Formatta i primi 16 settori del dischetto corrente se 
  7708. il mese corrente Φ settembre.
  7709.  
  7710. Metodo di rilevazione:
  7711. 1) Data ed ora dei file infetti non vengono cambiate.
  7712. 2)    I file infetti aumentano di 301 Byte.
  7713.  
  7714. [Cas-927]
  7715. Nome del Virus: Cas-927.
  7716. Tipo di Virus: In memoria (Memoria alta), Virus da file. 
  7717. (Infetta i file con estensione *.COM).
  7718. Lunghezza del Virus: 3+927 Byte.
  7719.  
  7720. Vettore PC agganciato: INT 21h, 1Ch, 28h.
  7721.  
  7722. Procedura eseguita:
  7723. 1)  Il virus decodifica.
  7724. 2) Controlla che sia giα in memoria. Se "NO",  si carica nella memoria alta.
  7725. 3)  Intercetta l'INT 21h, INT 1Ch e l'INT 28h e torna alla funzione originale.
  7726.  
  7727. Metodo di infezione:
  7728. INT 21h:
  7729. 1)  Intercetta l'INT 21h per controllare che sia giα in memoria.
  7730. 2)  Intercetta l'INT 21h (AX=4B00h) per infetare i file. 
  7731. Se il programma eseguito Φ un file con estensione *.COM non 
  7732. infetto minore di 63.500 Byte, il virus lo infetta.
  7733.  
  7734. INT 28h:
  7735. Intercetta l'INT 28h per controllare che il mese corente sia un 
  7736. mese pari, che il giorno sia domenica, marted∞, 
  7737. gioved∞ o sabato e che l'ora sia 11:11:11. 
  7738. Se tutte queste condizioni vengono soddisfatte, 
  7739. imposta un flag di danneggiamento per essere usato dall'INT 1ch.
  7740. INT 1Ch:
  7741. Intercetta l'INT 1Ch per cooperare con l'INT 28h. 
  7742. Se il flag di daneggiamento Φ impostato, il virus cambia 
  7743. tutte le lettere maiuscole presenti sullo schermo in lettere minuscole.
  7744.  
  7745. Danni: Nessuno.
  7746.  
  7747. Note:
  7748. 1) Il virus Φ nella memoria alta (usa 7A Byte-pairs).
  7749. 2) I file infetti aumentano di 855 Byte.
  7750. 3) Data ed ora dei file infetti non variano.
  7751.  
  7752. [CSFK]
  7753. Nome del Virus: Csfk.
  7754. Tipo di Virus: In memoria (MCB), Virus da file. 
  7755. (Infetta i file con estensione *.COM).
  7756. Lunghezza del Virus:  5+918 Byte.
  7757.  
  7758. Vettore PC agganciato: INT 21h.
  7759.  
  7760. Procedura eseguita:
  7761. 1) Il virus decodifica.
  7762. 2) Controlla che sia in memoria. Se "NO", si carica memoria.
  7763. 3) Intercetta l'INT 21h e torna alla funzione originale.
  7764.  
  7765. Metodo di infezione:
  7766. 1)  Intercetta l'INT 21h per controllare che sia in memoria.
  7767. 2)  Intercetta l'INT 21(AH=4Bh) per infettare i file. 
  7768. Se il programma da eseguire Φ un file con estensione *.COM 
  7769. non infetto e la sua lunghezza  si trova tra 25 Byte e 63500 Byte, 
  7770. il virus procede alla sua infezione.
  7771.  
  7772. Danni: Nessuno.
  7773.  
  7774. Note:
  7775. 1)  Il virus rimane in memoria (MCB) (usa 6A pares).
  7776. 2)  I file infetti aumentano di 918 Byte.
  7777. 3)  Data ed ora dei file infetti non variano.
  7778.  
  7779. [Warrier1]
  7780. Nome del Virus: Warrier.
  7781. Tipo di Virus: In memoria (Memoria alta), Virus da file. 
  7782. (Infetta i file con estensione *.COM).
  7783. Lunghezza del Virus: 300 Byte.
  7784. Vettore PC agganciato: INT 21h.
  7785.  
  7786. Procedura eseguita:
  7787. 1)  Il virus decodifica.
  7788. 2)  Controlla che sia in memoria. Se "NO", si carica in memoria.
  7789. 3)  Intercetta l'INT 21h e torna alla funzione originale.
  7790.  
  7791. Metodo di infezione: Intercetta l'INT 21h (AX=4B00h) per infettare i file. 
  7792. Se il programma da eseguire Φ un file con estensione *.COM non infetto 
  7793. (tranne COMMAND.COM), il virus procede alla sua infezione.
  7794.  
  7795. Danni: Nessuno.
  7796.  
  7797. Note:
  7798. 1)  Il virus rimane in memoria alta (usa 61 Byte-pairs).
  7799. 2)  Data ed ora dei file infetti non variano.
  7800. 3)  Il cambiamento di lunghezza del file infetto varia in base a:
  7801.     i) Se il file originale non raggiunge i 768 Byte, 
  7802. la sua versione infetta Φ di 1.536 Byte di lunghezza.
  7803.    ii) Se il file originale supera i 768 Byte, la sua 
  7804. versione infetta aumenta di 768 Byte.
  7805.  
  7806. Metodo di pulizia: Cancellare i primi 768 Byte dei file infetti.
  7807.  
  7808. [Athens]
  7809. Nome del Virus: Athens.
  7810. Tipo di Virus: In memoria (Memoria alta), Virus da file. 
  7811. (File con estensione *.COM ed *.EXE).
  7812. Lunghezza del Virus: 1.463 Byte.
  7813.  
  7814. Vettore PC agganciato: INT 21h.
  7815.  
  7816. Procedura eseguita:
  7817. 1)  Il virus decodifica.
  7818. 2)  Controlla che sia giα in memoria. Se "NO", si carica in memoria alta.
  7819. 3)  Intercetta l'INT21h e torna alla funzione originale.
  7820.  
  7821.  
  7822. Metodo di infezione:
  7823. 1)  Intercetta l'INT 21h per controllare che sia in memoria.
  7824. 2)  Intercetta l'INT 21 (AH=4B00h) per infettare i file. 
  7825. Se il programma eseguito Φ un file con estensione *.COM o *.EXE 
  7826. non infetto (eccetto COMMAND.COM), il virus procede alla sua infezione.
  7827. 3)  Intercetta l'INT 21h (AX=4Eh, 4Fh, 11h, 12h) per controllare 
  7828. che il programma corrente sia infetto. Se "SI", il virus cambia 
  7829. la lunghezza del file e la data in DTA con la loro data originale. 
  7830. Questo evita che l'operatore si accorga del cambiamento di lunghezza 
  7831. e data dei file infetti, mentre il virus Φ in memoria.
  7832.  
  7833. Danni: Nessuno.
  7834.  
  7835. Note:
  7836. 1)  Il virus rimane in memoria alta (usa DFh pares).
  7837. 2) I file infetti aumentano di 1.463 Byte. Non si rileva 
  7838. l'aumento mentre il virus Φ in memoria.
  7839. 3) Data ed ora dei file infetti vengono cambiate. Non si rileva 
  7840. il cambiamento mentre il virus Φ in memoria.
  7841.  
  7842. [Commy]
  7843. Nome del Virus: Commy.
  7844. Tipo di Virus: Virus da file (Infetta i file con estensione *.COM).
  7845. Lunghezza del Virus: 998 Byte.
  7846.  
  7847. Procedura eseguita:
  7848. 1)  Il virus si decodifica.
  7849. 2)  Controlla che il minuto corrente sia inferiore a 10 e che la 
  7850. versione di DOS corrente sia superiore alla 3.0. 
  7851. Se vengono soddisfatte queste condizioni, ricerca un 
  7852. file con estensione *.COM di lunghezza compresa tra 4.567Byte 
  7853. e 64.520 Byte e procede alla sua infezione (il virus infetta un file alla volta).
  7854. 3)  Ritorna alla funzione originale.
  7855.  
  7856. Cerca i file nelle cartelle specificate dalla variabile PATH. 
  7857. Quando il virus infetta un file, codifica l'ora del file per 
  7858. verificare che sia stato infettato. 
  7859.  
  7860. Danni: Nessuno.
  7861.  
  7862. Note:
  7863. 1) I file infetti aumentano di 998 Byte.
  7864. 2) La data dei file infetti non cambia.
  7865. 3) L'ora dei file infetti cambia in seguito alla sua codifica.
  7866.  
  7867. [Arriba]
  7868. Nome del Virus: Arriba.
  7869. Tipo di Virus: In memoria, Virus da file (infetta i file con estensione *.COM ed *.EXE).
  7870. Lunghezza del Virus: 1.590 Byte.
  7871.  
  7872. Vettore PC agganciato: INT 21h, INT 08h.
  7873.  
  7874. Procedura eseguita:
  7875. 1)  Controlla che sia in memoria. Se "SI", ritorna direttamente alla
  7876. funzione originale. Altrimenti si porta in memoria alta.
  7877. 2)  Intercetta l'INT21h e controlla che la data corrente 
  7878. sia il giorno 20 novembre. Se "SI", intercetta l'INT 08h " 
  7879. e ritorna alla funzione originale.
  7880.  
  7881. Metodo di infezione:  
  7882. 1) Intercetta l'INT 08h per mostrare un messaggio quindi blocca il sistema.
  7883. 2) Intercetta l'INT 21h (AX=4B00) per controllare che 
  7884. il programma eseguito sia infetto. 
  7885. Se "NO", il virus lo infetta in diversi modi in base al tipo: 
  7886. se si tratta di un file con estensione *.COM, scrive il suo codice 
  7887. all'inizio del file originale, seguito dal codice del file; attacca 
  7888. quindi due Byte di identificazione del suo codice alla fine del file 
  7889. per verificare che questo file sia infetto; se si tratta di 
  7890. un file con estensione *.EXE, attacca il suo codice al termine 
  7891. di quello del file, cambia la testa del file ed attacca 
  7892. il codice di identificazione alla fine.
  7893.  
  7894. Danni: Blocca il sistema quando viene selezionato l'INT 08h.
  7895.  
  7896. Note:
  7897. 1) Data ed ora dei file infetti rimangono invariate.
  7898. 2) Il metodo che utilizza il virus per spostare il codice Φ particolare. 
  7899. Per prima cosa verifica che l'indirizzo A0000h sia scrivibile. 
  7900. Se "NO", sposta 1.000 Byte di quest'area ad un indirizzo pi∙ basso, 
  7901. ripetutamente, finchΦ trova un'area scrivibile. 
  7902. Si noteranno le modifiche nella memoria attraverso il programma MEM 
  7903. in quanto la lunghezza dei blocchi di memoria cambia. 
  7904. Questo metodo pu≥ danneggiare il codice del virus ed eventualmente bloccare il sistema.
  7905.  
  7906. Metodo di rilevazione: I file infetti aumentano di 1.590 Byte.
  7907.  
  7908. [Ekoterror]
  7909. Nome del Virus: Ekoterror.
  7910. Tipo di Virus: In memoria (Memoria alta), Virus da file, 
  7911. Virus che infetta la partizione da boot.
  7912. Lunghezza del Virus: 2.048 Byte.
  7913. Vettore PC agganciato: INT 08h, 13h, 21h.
  7914.  
  7915. Procedura eseguita:
  7916. 1) Quando viene eseguito un programma infetto, il virus scrive il 
  7917. suo codice virale alla Partizione. Non controlla che la Partizione 
  7918. sia giα stata infettata, cosicchΘ eseguendo un file infetto per diverse volte,
  7919. vengono cancellati tutti i dati della Partizione.
  7920. 2)  Intercetta l'INT 08h, INT 13h, e seleziona l'INT 08h per controllare 
  7921. che il DOS sia stato caricato. Se "SI", intercetta l'INT 21h.
  7922.  
  7923. Metodo di infezione: Intercetta l'INT 08h per controllare che il DOS 
  7924. sia stato caricato. Se "SI", intercetta l'INT 21h.
  7925. Intercetta l'INT 13h per controllare che il settore caricato sia la Partizione. 
  7926. Se "SI", torna indietro o cambia i dati della Partizione.
  7927. Intercetta l'INT 21h per infettare i file con estensione *.COM 
  7928. quando li legge o li scrive.
  7929.  
  7930. Danni: Il virus cancella i dati nella Partizione dopo aver 
  7931. eseguito un file infetto per diverse volte. 
  7932.  
  7933. Note:
  7934. 1) Se il virus ha invaso la Partizione, non si possono caricare o 
  7935. salvare i dati nell'hard disk se il sistema Φ avviato da un dischetto. 
  7936. Questo perchΘ i dati della Partizione sono cambiati.
  7937. 2) Se la versione del DOS non Φ appropriata oppure il codice dell'INT 08h 
  7938. non Φ conforme al processo di caricamento del DOS, 
  7939. il virus pu≥ non intercettare l'INT 21.
  7940. Questo ostacola il virus nell'infettare i file.
  7941.  
  7942. Metodo di pulizia: Avvio da un dischetto non infetto. 
  7943. Utilizzo di un programma che pu≥ leggere o scrivere dati 
  7944. sull'hard disk (come Debug) per scrivere i dati della Partizione originale. 
  7945. (Il virus sposta i dati della Partizione originale alla 
  7946. testina 0, traccia 0, settore 5. 
  7947. Ogni volta che viene infettato, aggiunge 4 al numero dei settori).
  7948.  
  7949. [AST-976]
  7950. Nome del Virus: Ast-976.
  7951. Tipo di Virus: In memoria, Virus da file. (Infetta i file con estensione *.COM).
  7952. Lunghezza del Virus: 976 Byte.
  7953.  
  7954. Vettore PC agganciato: INT 21h.
  7955.  
  7956. Procedura eseguita:
  7957. 1)  Il virus decodifica.
  7958. 2)  Controlla che sia in memoria. Se "NO", si carica in memoria alta.
  7959. 3)  Intercetta l'INT 21h ed infetta tutti i file con estensione *.COM 
  7960. nella directory corrente (non infetta due volte lo stesso file).
  7961. 4) Controlla che i minuti correnti siano 17. 
  7962. Se "SI",  altera la Partizione per evitare che il sistema venga avviato correttamente.
  7963.  
  7964. Metodo di infezione:
  7965. 1) Intercetta l'INT 21h per controllare che sia in memoria.
  7966. 2) Intercetta l'INT 21 (AX=4B00h) per infettare i file. 
  7967. Se il programma da eseguire Φ un file con estensione *.COM non infetto, 
  7968. il virus procede alla sua infezione.
  7969.  
  7970. Danni: Quando il virus Φ attivato, produce un flash sullo schermo.
  7971. Cambia quindi i dati della Partizione. 
  7972. Il cambiamento avviene effettuendo un XOR con il numero 55 
  7973. ogni 4 Byte del contenuto della tabella delle partizioni 
  7974. (su hard disk possono esserci fino a 4 partizioni diverse). 
  7975.  
  7976. Note: Data ed ora dei file infetti non variano.
  7977.  
  7978. Metodo di rilevazione: I file infetti aumentano di 976 Byte.
  7979.  
  7980. [AST-1010]
  7981. Nome del Virus: Ast-1010.
  7982. Tipo di Virus: In memoria, Virus da file. 
  7983. (Infetta i file con estensione *.COM ed *.EXE).
  7984. Lunghezza del Virus: 1.010 Byte.
  7985. Vettore PC agganciato: INT 21h.
  7986.  
  7987. Procedura eseguita:
  7988. 1)  Il virus decodifica.
  7989. 2) Controlla che sia in memoria. Se "NO", si carica in memoria alta.
  7990. 3)  Intercetta l'INT21h ed infetta tutti i file con 
  7991. estensione *.COM ed *:EXE nella directory corrente (non infetta due volte lo stesso file).
  7992. 4) Controlla che il giorno corrente sia 16. 
  7993. Se "SI", apporta delle modifiche alla Partizione per 
  7994. evitare che il sistema venga avviato correttamente.
  7995.  
  7996. Metodo di infezione:
  7997. 1)  Intercetta l'INT 21h per controllare che sia in memoria.
  7998. 2)  Intercetta l'INT 21 (AX=4B00h) per infettare i file. 
  7999. Se il programma da eseguire Φ un file con estensione *.COM o *.EXE non infetto, 
  8000. il virus procede alla sua infezione.
  8001.  
  8002.  
  8003. Danni: Quando il virus Φ attivato, produce un flash sullo schermo.
  8004. Cambia quindi i dati della Partizione. 
  8005. Il cambiamento avviene effettuando un XOR con il valore 
  8006. esadecimale 55 ogni 4 Byte del contenuto della tabella delle partizioni 
  8007. (su hard disk possono esserci fino a 4 partizioni diverse). 
  8008.  
  8009. Note:
  8010. 1) Data ed ora dei file infetti non variano.
  8011. 2) Il metodo che il virus utilizza per controllare che sia in memoria 
  8012. Φ lo stesso del virus AST-976. In questo modo questi due virus possono 
  8013. trovarsi in memoria contemporaneamente.
  8014.  
  8015. Metodo di rilevazione: I file infetti aumentano di 1.010 Byte.
  8016.  
  8017. [Filler]
  8018. Nome del Virus: Filler.
  8019. Tipo di Virus: Virus da file.
  8020.  
  8021. Procedura eseguita: Quando viene eseguito un file infetto, il virus
  8022. scrive delle informazioni inutili in alcuni settori del floppy inserito in drive A.
  8023.  
  8024. Danni: Distrugge alcuni settori del dischetto inserito in drive A 
  8025. (parte dal sito 0, traccia 28, settore 1, danneggia 8 settori).
  8026.  
  8027. [Path]
  8028. Nome del Virus: Path.
  8029. Tipo di Virus: Virus da file (Infetta i file con estensione *.COM).
  8030. Lunghezza del Virus: 3+906 Byte.
  8031.  
  8032. Procedura eseguita:
  8033. 1) Decodifica la sua seconda metα.
  8034. 2) Controlla altri file infetti. Se Φ presente, infetta un solo programma. 
  8035. Altrimenti torna alla funzione originale. 
  8036.  Va a cercare i file nelle cartelle specificate dalla variabile PATH. 
  8037. La condizione perchΘ venga infettato un file Φ che si tratti di un file 
  8038. con estensione *.COM non infetto di lunghezza compresa tra 10 e 64.000 Byte.
  8039.  
  8040. Danni: Nessuno.
  8041.  
  8042. Note:
  8043. 1) Non rimane in memoria.
  8044. 2) Data ed ora dei file infetti non variano.
  8045. 3) I file infetti aumentano di 906+G Byte (0<=G<=247).
  8046.  
  8047. [Flower]
  8048. Nome del Virus: Flower.
  8049. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  8050. Lunghezza del Virus: 883 Byte.
  8051.  
  8052. Procedura eseguita:
  8053. 1) Decodifica la sua sezione in codice.
  8054. 2) Controlla che la data corrente sia il giorno 11 novembre o che la 
  8055. versione del virus non sia inferiore a 174. Se viene soddisfatta una di 
  8056. queste condizioni, il virus distrugge il programma originale (Documenti) 
  8057. e ritorna alla funzione originale. Altrimenti, cerca il primo file non infetto 
  8058. nella directory corrente e procede alla sua infezione. Cerca il primo file 
  8059. non infetto nella subdirectory sotto la directory principale 
  8060. e procede alla sua infezione.
  8061. 3) Ritorna alla funzione originale.
  8062.  
  8063. Ciascun file infetto possiede il proprio numero. Quando infetta un file, 
  8064. il virus fa aumentare il numero corrente di 1. Questo numero viene mantenuto 
  8065. nel successivo processo di infezione.
  8066.  
  8067. Danni: Quando il virus Φ attivo, allega una procedura a quella originale 
  8068. facendo comparire un messaggio. (Un poema inglese dal titolo "FLOWER"). 
  8069. Distrugge la procedura originale sovrascrivendola.
  8070.  
  8071. Note: La data dei file infetti non varia; cambia invece l'ora, in seguito 
  8072. alla  sua codifica.
  8073.  
  8074. [Grunt-3]
  8075. Nome del Virus: Grunt-3.
  8076. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  8077. Lunghezza del Virus: 3+473 Byte.
  8078.  
  8079. Procedura eseguita:
  8080. 1) Decodifica la sua seconda metα.
  8081. 2) Controlla che vi sia un file con estensione *.COM od *.EXE non infetto 
  8082. nelle directory corrente e precedente. Se "SI", controlla che l'anno corrente 
  8083. non sia inferiore al 1993 e che sia venerd∞. 
  8084. Se "SI", non infetta ogni file ma fa comparire la stringa:
  8085.  
  8086.     "This is a hot  LZ ...Eradicating the Enemy!".
  8087.  
  8088.     Altrimenti li infetta (infetta un solo file alla volta).
  8089.  
  8090. Danni: Nessuno.
  8091.  
  8092. Note:
  8093. 1) Non rimane in memoria.
  8094. 2) Data ed ora dei file infetti non cambiano.
  8095.  
  8096. Metodo di rilevazione: I file infetti aumentano di 473 Byte.
  8097.  
  8098. [Ultrasik-1967]
  8099. Nome del Virus: Ultrasik-1967.
  8100. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  8101. Lunghezza del Virus: 1.967 Byte.
  8102.  
  8103. Procedura eseguita: Cerca un file con estensione *.EXE non infetto 
  8104. e procede alla sua infezione. Il cammino di ricerca inizia dalla 
  8105. cartella attuale, comprendendo le sue sotto cartelle, 
  8106. per continuare poi nella cartella principale ed in tutte le sottocartelle. 
  8107. DopodichΘ ritorna alla funzione originale. Se non c'Φ un file infettabile, 
  8108. blocca il sistema (lo scopo originale Φ formattare C. invece blocca 
  8109. il sistema per errate istruzioni nel codice virale).
  8110.  
  8111. Danni: Nessuno.
  8112.  
  8113. Note: Data ed ora dei file infetti non cambiano.
  8114.  
  8115. Metodo di rilevazione:
  8116. 1) I file infetti aumentano di lunghezza.
  8117. 2) L'algoritmo Φ: Allunga il file per far diventare la sua lunghezza 
  8118. un multiplo di 16. Quindi la aumenta di 1.967 Byte.
  8119.  
  8120.  
  8121. [Madden]
  8122. Nome del Virus: Madden.
  8123. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  8124. Lunghezza del Virus: 1.988 Byte.
  8125.  
  8126. Procedura eseguita: Cerca un file con estensione *.EXE non infetto 
  8127. e procede alla sua infezione. Il cammino di ricerca inizia dalla 
  8128. cartella attuale, comprendendo le sue sotto cartelle, per continuare 
  8129. poi nella cartella principale ed in tutte le sottocartelle. 
  8130. DopodichΘ ritorna alla funzione originale. Se non c'Φ un file 
  8131. infettabile, il virus emette uno strano suono che cessa solo al riavvio del computer.
  8132.  
  8133. Danni: Nessuno.
  8134.  
  8135. Note: Data ed ora dei file infetti non cambiano.
  8136.  
  8137. Metodo di rilevazione:
  8138. 1) I file infetti aumentano di lunghezza.
  8139. 2) L'algoritmo Φ: Allunga il file per far diventare la sua lunghezza 
  8140. un multiplo di 16. Quindi la aumenta di 1.988 Byte.
  8141.  
  8142.  
  8143. [Madden-B]
  8144. Nome del Virus: Madden-B.
  8145. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  8146. Lunghezza del Virus: 1.440 Byte.
  8147.  
  8148. Procedura eseguita: Cerca un file con estensione *.EXE non infetto 
  8149. e procede alla sua infezione. Il cammino di ricerca inizia dalla cartella attuale, 
  8150. comprendendo le sue sotto cartelle, per continuare poi nella cartella 
  8151. principale ed in tutte le sottocartelle. DopodichΘ ritorna alla funzione originale. 
  8152. Se non c'Φ un file infettabile, il virus emette un suono da acuto a basso e 
  8153. viceversa che cessa solo al riavvio del computer.
  8154.  
  8155.  
  8156. Danni: Nessuno.
  8157.  
  8158. Note: Data ed ora dei file infetti non cambiano.
  8159.  
  8160. Metodo di rilevazione:
  8161. 1) I file infetti aumentano di lunghezza.
  8162. 2) L'algoritmo Φ: Allunga il file per far diventare la sua lunghezza 
  8163. un multiplo di 16. Quindi la aumenta di 1.440 Byte.
  8164.  
  8165. [Prime]
  8166. Nome del Virus: Prime.
  8167. Tipo di Virus: Virus da file. (*.C*; soprattutto *.COM).
  8168. Lunghezza del Virus: 580 Byte.
  8169.  
  8170. Vettore PC agganciato: INT 01h, INT 03h, INT 24h.
  8171.  
  8172. Procedura eseguita:
  8173. 1)    Decodifica la sua seconda metα.
  8174. 3) Controlla che il giorno corrente sia 1. Se "SI", compare un messaggio 
  8175. e lo schermo ruota una volta da sinistra a destra. Indipendentemente da 
  8176. che giorno sia, cerca un file non infetto nella directory corrente 
  8177. e procede alla sua infezione. 
  8178. 3)    Quindi termina.
  8179.  
  8180. Metodo di infezione:
  8181. 1) Ottiene i codici originali e li codifica con F3h.
  8182. 2) Ottiene l'ora di sistema e la sostituisce con la seconda metα del codice del virus.
  8183. 3) Aggiunge il codice del virus al file originale, seguito dai codici originali.
  8184.  
  8185. Intercetta l'INT 01h, l'INT 03h  per evitare il programma Debug.
  8186. Quando viene eseguito questo programma, salta a FE05Bh per ricaricare il sistema. 
  8187. Intercetta l'INT 24h per aggirare la protezione da scrittura nel dischetto corrente. 
  8188. Quando viene selezionato l'INT 24h, si blocca il sistema a causa 
  8189. del codice del virus.
  8190.  
  8191. Danni: Per prevenire l'esecuzione di programmi dopo che il virus Φ in esecuzione, 
  8192. i programmi originali vengono codificati.
  8193.  
  8194. Note:
  8195. 1) Non rimane in memoria.
  8196. 2) Il virus blocca il sistema quando rileva un file con estensione *.C* 
  8197. non infettabile nella directory corrente.
  8198. 3) Data ed ora dei file infetti non cambiano.
  8199.  
  8200.  
  8201. Metodo di rilevazione: I file infetti aumentano di 580 Byte.
  8202.  
  8203. Metodo di pulizia: Cancellare i primi 580 Byte dei file infetti. 
  8204. I rimanenti Byte saranno eseguiti in XOR con il valore esadecimale 
  8205. F3h, uno per uno.
  8206.  
  8207. [PSV-354]
  8208. Nome del Virus: Psv-354.
  8209. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  8210. Lunghezza del Virus: 354 Byte.
  8211.  
  8212. Procedura eseguita:
  8213. 1) Decodifica la sua seconda metα.
  8214. 2) Cerca un file con estensione *.COM non infetto di lunghezza 
  8215. compresa tra 150 e 65.000 Byte. Se c'Φ o ci sono, ne infetta uno solo.
  8216. Altrimenti, ritorna alla funzione originale..
  8217.  
  8218. Danni: Nessuno.
  8219.  
  8220. Note:
  8221. 1) Non rimane in memoria.
  8222. 2) Data ed ora dei file infetti non cambiano.
  8223. 3) Non infetta COMMAND.COM di DOS 5.0.
  8224.  
  8225. Metodo di rilevazione: I file infetti aumentano di 354 Byte.
  8226.  
  8227.  
  8228.  
  8229. [PCBB]
  8230. Nome del Virus: Pcbb.
  8231. Tipo di Virus: In memoria, Virus da file. (Infetta i file con estensione *.COM).
  8232. Lunghezza del Virus: 3+(1.675-1.687) Byte.
  8233. Vettore PC agganciato: INT 09h, INT 1Ch, INT 21h.
  8234.  
  8235. Procedura eseguita:
  8236. 1) Decodifica la sua seconda metα.
  8237. 2) Controlla che sia in memoria. Se "NO",  si carica in memoria alta.
  8238. 3) Intercetta l'INT 21h, l'INT 09h, l'INT 1Ch e ritorna alla funzione originale.
  8239.  
  8240. Metodo di infezione: L'infezione si verifica quando si esegue un programma, 
  8241. si copia un file, si cambia l'attributo del file, si apre un file, 
  8242. si chiude un file o si rinomina un file (AH=56h). Quando infetta un file, 
  8243. il virus controlla innanzitutto il giorno della settimana 
  8244. e seleziona la codifica corrispondente per quel giorno.
  8245. Vi sono 7 possibili codifiche.
  8246.  
  8247.  Il virus non infetta lo stesso file, infetta solo file di lunghezza 
  8248. compresa tra 16 e 61.440Byte.
  8249.  
  8250. Sintomi: Mentre viene attivato il virus, lo schermo diventa bianco, 
  8251. quando la somma dei tasti premuti equivale a 957. 
  8252. In seguito, il virus regola il contatore e ricomincia da capo. 
  8253. Si possono premere
  8254. Alt, Control, Shift sinistro e destro contemporaneamente per far 
  8255. tornare lo schermo alle condizioni normali.
  8256.  
  8257. Danni: Nessuno.
  8258.  
  8259. Note: Rimane in memoria ed utilizza 4K Byte.
  8260.  
  8261. Metodo di rilevazione:
  8262. 1) Data ed ora dei file infetti cambiano.
  8263. 2) I file infetti aumentano di 1.675, 1.677, 1.679, 1.679, 1.680, 
  8264. 1.683, o 1.687 Byte a seconda del giorno di infezione 
  8265. (rispettivamente da domenica a sabato).
  8266. 3) PCBB si attacca alla fine dei file infetti.
  8267.  
  8268. [Comspec]
  8269. Nome del Virus: Comspec.
  8270. Tipo di Virus: Virus da file.
  8271. Lunghezza del Virus: 3.424 Byte.
  8272.  
  8273. Procedura eseguita:
  8274. 1) Esegue COMMAND.COM per creare 6 file copie del virus usando 
  8275. 6 nomi di file della directory C:\DOS. Queste copie vengono 
  8276. salvate nella directory corrente. Se non c'Φ la directory C:\DOS, 
  8277. crea un file chiamato "COMSPEC."
  8278.  
  8279. Danni: Sovrascrive 6 file se viene eseguito nella directory C:\DOS.
  8280.  
  8281. Metodo di rilevazione: La lunghezza dei file infetti Φ 3.424.
  8282.  
  8283. [T-1000]
  8284. Nome del Virus: T-1000.
  8285. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  8286. Lunghezza del Virus: 128 Byte.
  8287.  
  8288. Procedura eseguita:
  8289. 1) Decodifica la sua seconda metα
  8290. 2) Infetta tutti i file con estensione *.COM nella directory corrente.
  8291.  
  8292. Metodo di infezione:
  8293. 1) Acquisisce l'ora di sistema e la codifica con la procedura originale.
  8294. 2) Sovrascrive i suoi primi 128 Byte con il codice del virus. 
  8295. Se Φ di lunghezza inferiore a 128 Byte, diventa di 128 Byte 
  8296. dopo che Φ stato infettato. Altrimenti la  lunghezza non cambia.
  8297.  
  8298. Danni: Sovrascrive i primi 127 Byte del file originale con il codice del
  8299. virus, di conseguenza rende il file inutilizzabile.
  8300.  
  8301. Metodo di rilevazione: Data ed ora dei file infetti sono cambiate.
  8302.  
  8303. [Seneca]
  8304. Nome del Virus: Seneca.
  8305. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  8306. Lunghezza del Virus: 392 Byte.
  8307.  
  8308. Procedura eseguita:  Il virus acquisisce data ed ora del sistema; 
  8309. infetta il sistema in base alle seguenti condizioni:
  8310. (1)L'anno corrente non deve essere superiore al 1980 ed il minuto 
  8311. corrente non inferiore a 30, oppure l'anno corrente maggiore del 1980 
  8312. ed il giorno corrente non il 25 novembre: Infetta tutti i file 
  8313. con estensione *.EXE nella directory corrente e in tutte directory padre.
  8314. (2) L'anno corrente non deve essere superiore al 1980 ed il minuto 
  8315. corrente non inferiore a 30: Compare il messaggio: "You shouldn't
  8316.    use your computer so much, it's bad for you and your computer."
  8317. Rende quindi inutilizzabile il dischetto in uso.
  8318. (3) L'anno corrente maggiore del 1980 ed il giorno corrente il 25 novembre: 
  8319. Compare il messaggio:
  8320.        "HEY EVERYONE!!!"
  8321.        "Its Seneca's B-Day !  Let's Party!"
  8322.  
  8323. Rende quindi inutilizzabile il dischetto in uso. 
  8324. Il metodo di distruzione del dischetto in (2) e (3) Φ il seguente: 
  8325. Scrive dei dati sui primi 255 settori del dischetto, cancellandovi 
  8326. dei dati importanti.
  8327.  
  8328. Danni: Nella condizione (1), i file infetti vengono distrutti 
  8329. perchΘ sono sovrascritti i loro primi 392 Byte. 
  8330. Nelle condizioni (2) e (3), sono sovrascritti i primi 255 settori del dischetto.
  8331.  
  8332. Note: Data ed ora dei file infetti non cambiano.
  8333.  
  8334. Metodo di rilevazione: Uno dei suddetti messaggi appare sullo schermo.
  8335.  
  8336. [Word_Baby.A]
  8337. Nome del Virus: Word.Baby.A.
  8338. Tipo di Virus: Virus da Macro di Word.
  8339. Pseudonimo: Punten.
  8340. Piattaforma: Word 6/7.
  8341. Numero delle macro: 10.
  8342. Criptato: Si.
  8343. Lunghezza delle macro: 4.322 Byte.
  8344. Luogo d'origine: Sconosciuto.
  8345. Data d'origine: Primavera 1997.
  8346. Payload: Si.
  8347. Data d'avvio: 24 marzo, 15 ottobre, 1, 30, 21 settembre.
  8348. Password: Nessuna.
  8349. Rilevato In The Wild: No.
  8350. Luogo di rilevazione: Regno Unito.
  8351.  
  8352. DESCRIZIONE:
  8353.  
  8354. Word.Baby.A infetta la modello principale (normal.dot) 
  8355. quando viene aperto un documento infetto. Altri documenti sono 
  8356. infettati quando vengono aperti e salvati (Fiele\Salva e Fiele\Salva con nome).
  8357. Baby.A usa Tools\Macro e ToolsCustomize per rendere pi∙ difficile 
  8358. il riconoscimento di un file infetto (chiamata tecnica macro stealth).
  8359.  
  8360. Quando si seleziona ToolMacro/ToolsCustomize, compare il messaggio:
  8361.  
  8362. "   57773LKOM !   "
  8363.  
  8364. I seguenti messaggi compaiono quando si esce da Microsoft Word:
  8365.  
  8366. Il 24 marzo:
  8367.  
  8368. "   Stop Work Let's Party, this is my Day !   "
  8369.  
  8370. Il giorno 1 del mese dopo le ore 15:
  8371.  
  8372. "   57773LK0M !   "
  8373.  
  8374. Il 15 ottobre:
  8375.  
  8376. "GiE, You're gettin' Old, Bro !"
  8377.  
  8378. Il 21 settembre:
  8379.  
  8380. "   Cathy, this is your day. Have Fun !   "
  8381.  
  8382. Quando viene stampato un documento il giorno 30 di ogni mese, 
  8383. Baby.A inserisce nel documento attivo il seguente messaggio:
  8384.  
  8385. "   Punten ...   "
  8386. "   I Just Wanna Give a Shut Up to @Rapi.Kom:    "
  8387. "   Just Don't Make Any Distruttivo Virus Ok !   "
  8388. "   Insert "We're East-Man Remember !   "
  8389. "   Insert "Peace 2 all My Home-Bro' Out There !   "
  8390. "   Insert "I'm Outta here !! Mangga sadayana...    "
  8391.  
  8392. [Word_Balu.A]
  8393. Nome del Virus: Word.Balu.A.
  8394. Tipo di Virus: Virus da Macro di Word .
  8395. Pseudonimo: Nessuno.
  8396. Piattaforma: Word 6/7.
  8397. Numero di macro: 2 o 1.
  8398. Criptato: Si.
  8399. Lunghezza delle macro: 776 o 646 Byte.
  8400. Luogo d'origine: Germania.
  8401. Data d'origine: Primavera 1997.
  8402. Payload: Si.
  8403. Data d'attivazione: l 5 aprile, 16 aprile.
  8404. Password: SSichliebeDich, SSICHLIEBEDICH.
  8405. Rilevato In The Wild: No.
  8406.  
  8407. DESCRIZIONE:
  8408.  
  8409. Word.Balu non infetta altri documenti. 
  8410. Viene classificato come un cavallo di troia.
  8411.  
  8412. Balu lavora solo con la versione tedesca di Microsoft Word, 
  8413. dato che usa il linguaggio specifico delle macro.
  8414.  
  8415. Il giorno 5 aprile, Balu rinomina i seguenti file:
  8416.  
  8417. "   c:\command.com" to "c:\kniffel\com.com   "
  8418. "   c:\msdos.sys" to "c:\kniffel\ms.sys   "
  8419. "   c:\io.sys" to "c:\kniffel\ii.sys   "
  8420.  
  8421. La seconda procedura di Balu aggiunge la seguente password per salvare i documenti:
  8422.  
  8423. "   SSichliebeDich   "
  8424. "   SSICHLIEBEDICH   "
  8425.  
  8426. Il giorno16 aprile, Balu fa comparire il seguente messaggio:
  8427.  
  8428. "   Dicke aus Schwelm, ich werde Dich immer lieben, weil die Tⁿr
  8429. "   zu meinem Herzen immer fⁿr Dich offen steht, egal was passiert.  "
  8430. "   Ich hoffe Du verzeihst mir.   "
  8431. "   Dein balu aus Schwelm   "
  8432.  
  8433. [Word_Barbaro.A:It]
  8434.  
  8435. Nome del Virus: Word.Barbaro.A:It.
  8436. Tipo di Virus: Virus da Macro di Word.
  8437. Pseudonimo: Nostradamus.
  8438. Piattaforma: Word 6/7.
  8439. Numero di macro: 3.
  8440. Criptato: No.
  8441. Lunghezza delle macro: 2.813 Byte.
  8442. Luogo d'origine: Italia.
  8443. Data d'origine: Dicembre 1996.
  8444. Payload: Si.
  8445. Data d'attivazione: 31.
  8446. Password: Nessuna.
  8447. Rilevato In The Wild: No.
  8448.  
  8449. DESCRIZIONE:
  8450.  
  8451. Word.Barbaro infetta il modello principale quando viene aperto un documento 
  8452. infetto. Altri documenti sono infettati quando vengono salvati (File\Salva).
  8453.  
  8454. Word.Barbaro A usa Tools\Macro per rendere pi∙ difficile il riconoscimento 
  8455. di un file infetto (chiamata tecnica macro stealth).
  8456.  
  8457. Il giorno 31 di ogni mese, Barbaro fa comparire il messaggio:
  8458.  
  8459. "Barbaro impero dal terzo sarai soggiogato   "
  8460. "Gran parte d'individui della sua origine farα perire   "
  8461. "Per decesso senile avverrα la sua fine, il quarto colpirα   "
  8462. "Per timore che il sangue con il sangue morte ne derivi.   "
  8463. "   NOSTRADAMUS Virus   "
  8464.  
  8465. Word.Barbaro lavora solo con la versione italiana di Microsoft Word,
  8466. dato che usa il linguaggio specifico delle macro.
  8467.  
  8468. [Word_ABC.A]
  8469.  
  8470. Nome del Virus: Word.ABC.A.
  8471. Virus type: : Virus da Macro di Word.
  8472. Pseudonimo: Nessuno.
  8473. Piattaforma: Word 6/7.
  8474. Numero di macro: 3.
  8475. Criptato: Si.
  8476. Lunghezza delle macro: 1.836 (1.801) Byte.
  8477. Luogo d'origine: USA.
  8478. Data d'origine: Autunno 1996.
  8479. Distruttivo: No.
  8480. Data d'attivazione: Nessuno.
  8481. Password: Nessuno.
  8482. Rilevato In The Wild: No.
  8483.  
  8484. DESCRIZIONE:
  8485.  
  8486. Word.ABC.A infetta il modello principale (normal.dot) quando viene 
  8487. aperto un documento infetto. Altri documenti sono infettati quando 
  8488. vengono salvati (File\Salva con nome).
  8489.  
  8490. Word.ABC.A Φ uno dei pochi virus da macro non distruttivi. 
  8491. Infetta altri file e compare il messaggio:
  8492.  
  8493. "     I am happy; are you too?   "
  8494.  
  8495. Quando viene attivata la macro "Colin", aggiunge il seguente testo 
  8496. alla sezione File\Proprietα dei documenti infetti:
  8497.  
  8498. "   Smash Technology   "
  8499.  
  8500. "   Resist Oppression   "
  8501.  
  8502. [Word-CeeFour.A]
  8503.  
  8504. Nome del Virus: Word.Ceefour.A.
  8505. Tipo di Virus: Virus da Macro di Word.
  8506. Pseudonimo: Nessuno.
  8507. Piattaforma: Word 6/7.
  8508. Numero di macro: 6.
  8509. Criptato: Si.
  8510. Lunghezza delle macro: 4.062 Byte.
  8511. Luogo d'origine: USA.
  8512. Data d'origine: Primavera 1997.
  8513. Distruttivo: Si.
  8514. Data d'attivazione: 1 aprile.
  8515. Password: Nessuno.
  8516. Rilevato In The Wild: No.
  8517.  
  8518. DESCRIZIONE:
  8519.  
  8520. Word.CeeFour.A infetta il modello principale quando viene 
  8521. aperto un documento infetto. Altri documenti sono infettati quando vengono salvati
  8522.  
  8523. Word.CeeFour.A usa StrumentiMacro e FileTemplates per rendere 
  8524. pi∙ difficile l'identificazione di un file infetto (chiamata tecnica macro stealth).
  8525.  
  8526. Quando si seleziona una delle due opzioni, CeeFour.A fa comparire il messaggio:
  8527.  
  8528. "   A serious error has occoured in sub program: MenuBar   "
  8529.  
  8530. Quando viene salvato un documento il giorno 1 aprile, CeeFour.A Φ 
  8531. attivato e fa quanto segue:
  8532.  
  8533. 1. Etichetta la partizione del primo Hard disk con "   C4_BY_KARL   ".
  8534.  
  8535. 2. Cancella tutti i file in C:\.
  8536.  
  8537. 3. Cancella C:\COMMAND.COM.
  8538.  
  8539. 4. Cancella C:\WINDOWS\WIN.COM.
  8540.  
  8541. Nella macro CEEFOUR si pu≥ ritrovare il seguente messaggio:
  8542.  
  8543. "   C-4 By Karl   "
  8544. "   You are about to have a very bad day.   "
  8545. "   It looks like C4 in the mothers arm.   "
  8546. "   We are both professional, This is personal.   "
  8547. "   And when Alexander saw the bredth of his domain he wept for there "
  8548. "   were no more worlds to conquer (benefits of a classical education)"
  8549. "   quotes from the masters!   "
  8550.  
  8551. [Word_CeeFour.B]
  8552.  
  8553. Nome del Virus: Word.Ceefour.B.
  8554. Tipo di Virus: Virus da Macro di Word .
  8555. Pseudonimo: Nessuno.
  8556. Piattaforma: Word 6/7.
  8557. Numero di macro: 6.
  8558. Criptato: Si.
  8559. Lunghezza delle macro: 4.019 Byte.
  8560. Luogo d'origine: Regno Unito.
  8561. Data d'origine: Febbraio 1997.
  8562. Distruttivo: Si.
  8563. Data d'attivazione: 1 aprile.
  8564. Password: Nessuno.
  8565. Rilevato In The Wild: Si.
  8566. Luogo di rilevazione: Regno Unito
  8567.  
  8568. DESCRIZIONE:
  8569.  
  8570. La pi∙ grande differenza tra questa nuova versione ed i precedenti virus 
  8571. CeeFour.A Φ che il codice Φ stato leggermente modificato.
  8572.  
  8573. Per ulteriori informazioni, fare riferimento a quanto scritto 
  8574. per il virus CeeFour.A.
  8575.  
  8576.  
  8577. [Word_Chaka.A]
  8578.  
  8579. Nome del Virus: Word.Chaka.A.
  8580. Tipo di Virus: Virus da macro di Word.
  8581. Pseudonimo: Nessuno.
  8582. Piattaforma: Word 6/7.
  8583. Numero di macro: 1 o 3.
  8584. Criptato: No.
  8585. Lunghezza delle macro: 741 (845 o 843) Byte.
  8586. Luogo d'origine: Germania.
  8587. Data d'origine: Estate 1997.
  8588. Distruttivo: No.
  8589. Data d'attivazione: Nessuna.
  8590. Password: Nessuna.
  8591. Rilevato In The Wild: No.
  8592.  
  8593. DESCRIZIONE:
  8594.  
  8595. Word.Chaka.A infetta il modello principale quando viene aperto un 
  8596. documento infetto. Altri documenti sono infettati quando vengono aperti 
  8597. (File\Apri - DateiOeffnen nella versione tedesca di Microsoft Word) o chiusi 
  8598. (Doc\Chiudi- DateiSchliessen nella versione tedesca di Microsoft Word).
  8599.  
  8600.  
  8601. [Word_Chandigarh.A]
  8602.  
  8603. Nome del Virus: Word.Chandigarh.A.
  8604. Tipo di Virus:  Virus da macro di Word.
  8605. Pseudonimo: Nessuno.
  8606. Piattaforma: Word 6/7.
  8607. Numero di macro: 1.
  8608. Criptato: Si.
  8609. Lunghezza delle macro: 244 Byte.
  8610. Luogo d'origine: India.
  8611. Data d'origine: maggio 1996.
  8612. Distruttivo: No.
  8613. Data d'attivazione: Nessuna.
  8614. Password: Nessuna.
  8615. Rilevato In The Wild: No.
  8616.  
  8617. DESCRIZIONE:
  8618.  
  8619. Word.Chandigarh.A infetta il modello principale quando viene 
  8620. aperto un documento infetto. Altri documenti sono infettati 
  8621. quando vengono aperti (AutoOpen).
  8622.  
  8623. Il seguente commento pu≥ essere trovato nel codice di Chandigarh:
  8624.  
  8625. "   This Code was written in Chandigarh (India) on 01.05.1996   "
  8626.  
  8627.  
  8628. [Word_Cheat.A]
  8629.  
  8630. Nome del Virus: Word.Cheat.A.
  8631. Tipo di Virus: Virus da macro di Word.
  8632. Pseudonimo: Nessuno.
  8633. Piattaforma: Word 6/7.
  8634. Numero di macro: 1.
  8635. Criptato: No.
  8636. Lunghezza delle macro: 249 Byte.
  8637. Luogo d'origine: Sconosciuto.
  8638. Data d'origine: Estate 1997.
  8639. Distruttivo: No.
  8640. Data d'attivazione: Nessuna.
  8641. Password: Nessuna.
  8642. Rilevato In The Wild: No.
  8643.  
  8644. DESCRIZIONE:
  8645.  
  8646. Word.Cheat.A Φ un altro virus da macro. A causa di errori di 
  8647. programmazione del codice, non infetta altri file. 
  8648.  
  8649. [Word.Cheat.B]
  8650.  
  8651. Nome del Virus: Word.Cheat.B.
  8652. Tipo di Virus: Virus da macro di Word.
  8653. Pseudonimo: Nessuno.
  8654. Piattaforma: Word 6/7.
  8655. Numero di macro: 1.
  8656. Criptato: No.
  8657. Misura delle macro: 279 Byte.
  8658. Luogo d'origine: Sconosciuto.
  8659. Data d'origine: Estate 1997.
  8660. Distruttivo: No.
  8661. Data d'attivazione: Nessuna.
  8662. Password: Nessuna.
  8663. Rilevato In The Wild: No.
  8664.  
  8665. DESCRIZIONE:
  8666.  
  8667. Word.Cheat.A Φ un altro virus da macro. Per un bug di programmazione del codice, 
  8668. non infetta altri file. 
  8669.  
  8670.  
  8671. [Word_Vicis.A]
  8672.  
  8673. Nome del Virus: Word.Vicis.A.
  8674. Tipo di Virus: Virus da macro di Word.
  8675. Pseudonimo: Vicissitator.
  8676. Piattaforma: Word 6/7.
  8677. Numero di macro: 1 o 2 (modello principale).
  8678. Criptato: No.
  8679. Misura delle macro: Varie.
  8680. Luogo d'origine: Sconosciuto.
  8681. Data d'origine: Luglio 1997.
  8682. Distruttivo: No.
  8683. Data d'attivazione: Nessuna.
  8684. Password: Nessuna.
  8685. Rilevato In The Wild: No.
  8686.  
  8687. DESCRIZIONE:
  8688.  
  8689. Word.Vicis.A infetta il modello principale quando Φ salvato un documento infetto. 
  8690. Altri documenti diverranno infetti quamdo vengono salvati (File\Salva).
  8691.  
  8692. Word.Vicis.A Φ un altro virus polimorfo che si modifica.
  8693. Ogni volta che un utente salva un documento, mentre il modello principale 
  8694. (normal.dot) Φ infetto, Word.Vicis.A chiama il suo codice mutante.
  8695.  
  8696. Per un bug alcune varianti non riescono ad infettare altri file.
  8697. Eseguendo la macro alterata File\Salva, il virus fa si che 
  8698. Microsoft Word faccia apparire un messaggio d'errore.
  8699.  
  8700. Mentre un antivirus che utilizza le firme non dovrebbe avere problemi 
  8701. nel rilevare Vicis.A, una ricerca basata su CRC fallisce.
  8702.  
  8703. Word.Vicis.A usa Tools\Macro per rendere pi∙ difficile il 
  8704. riconoscimento di un documento infetto (chiamata tecnica macro stealth).
  8705. Il seguente commento pu≥ essere trovato nella macro di Tools\Macro:
  8706.  
  8707. "   You have been Infected by the Vicissitator Macro Virus.   "
  8708. "   (C)1997 CyberYoda A Member of the SLAM Virus Team   "
  8709.  
  8710. Word.Vicis.A fu distribuito nel luglio 1997 su una rivista che tratta di virus.
  8711.  
  8712.  
  8713. [Word_Black.A]
  8714.  
  8715. Nome del Virus: Word.Black.A.
  8716. Tipo di Virus: Virus da macro di Word.
  8717. Pseudonimo: BlackDeath.
  8718. Piattaforma: Word 6/7.
  8719. Numero di macro: 3.
  8720. Criptato: Si.
  8721. Misura delle macro: 1.355 Byte.
  8722. Luogo d'origine: USA.
  8723. Data d'origine: Giugno1997.
  8724. Distruttivo: Si.
  8725. Data d'attivazione: Venerd∞ 13.
  8726. Password: Nessuna.
  8727. Rilevato In The Wild: No.
  8728.  
  8729. DESCRIZIONE:
  8730.  
  8731. Word.Black infetta il modello principale quando viene aperto un 
  8732. documento infetto. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  8733.  
  8734. Il seguente commento pu≥ essere trovato nella macro AutoExec:
  8735.  
  8736. "   REM  Fuck Micro$oft!   "
  8737.  
  8738. Venerd∞ 13 Black fa apparire il seguente messaggio:
  8739.  
  8740. "   Your computer is now lost to the ages...   "
  8741. "   WM.BlackDeath   "
  8742. "   Written on 6/6/1997   "
  8743.  
  8744. Lo stesso giorno cancella i seguenti file:
  8745.  
  8746. "   C:\*.COM   "
  8747. "   C:\*.EXE   "
  8748. "   C:\WINDOWS\*.INI   "
  8749. "   C:\WINDOWS\*.COM   "
  8750. "   C:\WINDOWS\*.HLP   "
  8751. "   C:\WINDOWS\*.CPL
  8752. "   C:\WINDOWS\*.BMP   "
  8753. "   C:\AOL\ORGANIZER\*.*   "
  8754. "   C:\AOL\LDB\*.*   "
  8755.  
  8756.  
  8757. [Word_AntiConcept.A]
  8758.  
  8759. Nome del Virus: Word.AntiConcept.A.
  8760. Tipo di Virus: Virus da macro di Word.
  8761. Pseudonimo: Nessuno.
  8762. Piattaforma: Word 6/7.
  8763. Numero di macro: 4 o 3.
  8764. Criptato: No.
  8765. Misura delle macro: 1.263 (1.216) Byte.
  8766. Luogo d'origine: USA.
  8767. Data d'origine: Estate 1997.
  8768. Payload: No.
  8769. Data d'attivazione: Nessuna.
  8770. Password: Nessuna.
  8771. Rilevato In The Wild: No.
  8772.  
  8773. DESCRIZIONE:
  8774.  
  8775. Word.AntiConcept.A infetta il modello principale quando viene 
  8776. aperto un documento infetto. Altri documenti sono infettati 
  8777. quando vengono salvati (File\Salva e File\Salva con nome).
  8778.  
  8779. Word.AntiConcept.A disabilita il Concept virus eliminando alcune sue macro.
  8780.  
  8781. Quando viene aperto un documento infetto per la prima volta
  8782. Word.AntiConcept mostra:
  8783.  
  8784. "   Your system may or may not be clean.   "
  8785. "   Please close CleanW and then open it again   "
  8786.  
  8787. Word.AntiConcept.A Φ una versione innaturalmente trasferita con File\New, 
  8788. persa nel suo gruppo di macro. Per la macro persa, Microsoft Word 
  8789. fa apparire un messaggio d'errore.
  8790.  
  8791.  
  8792.  
  8793. [Word_Archer.A]
  8794.  
  8795. Nome del Virus: Word.Archer.A.
  8796. Tipo di Virus: Virus da macro di Word.
  8797. Pseudonimo: ArchFiend.
  8798. Piattaforma: Word 6/7.
  8799. Numero di macro: 6.
  8800. Criptato: No.
  8801. Misura delle macro: 2.360 Byte.
  8802. Luogo d'origine: USA.
  8803. Data d'origine: Luglio 1997.
  8804. Payload: Si.
  8805. Data d'attivazione: 5.
  8806. Password: Random.
  8807. Rilevato In The Wild: No.
  8808.  
  8809. DESCRIZIONE:
  8810.  
  8811. Word.Archer.A infetta il modello principale (normal.dot) quando viene 
  8812. aperto un documento infetto. Altri documenti sono infettati quando vengono 
  8813. aperti e salvati (File\Salva con nome).
  8814.  
  8815. Word.Archer.A rimuove FileTemplates e ToolsCustomize per rendere pi∙ 
  8816. difficile il riconoscimento di un documento infetto (chiamata tecnica macro stealth).
  8817.  
  8818. Quando un utente seleziona Tools\Macro, Word.Archer.A aggiunge il seguente 
  8819. commento a C:\AUTOEXEC.BAT:
  8820.  
  8821. "   echo BLOW ME!   "
  8822.  
  8823. Word.Archer.A inoltre controlla l'ora di sistema ed in caso sia 13 nel 
  8824. campo dei secondi, aggiunge una password ai documenti salvati. 
  8825. Se si trova un documento con una password sconosciuta, bisognerebbe 
  8826. scaricare una copia di WinWord Password Recovery Tool (wwprt). 
  8827. E' disponibile all'indirizzo: www.vdsarg.com.
  8828.  
  8829. La seconda procedura, che Φ attivata il giorno 5 di ogni mese, cerca 
  8830. di cancellare i file nei sistemi Macintosh o di cancellare tutti 
  8831. i file bitmap (*.BMP) nella seguente directory:
  8832.  
  8833. "   C:\WINDOWS   "
  8834.  
  8835.  
  8836. [Word_Armadillo.A]
  8837.  
  8838. Nome del Virus: Word.Armadillo.A.
  8839. Tipo di Virus: Virus da macro di Word.
  8840. Pseudonimo: Nessuno.
  8841. Piattaforma: Word 6/7.
  8842. Numero di macro: 4.
  8843. Criptato: Si.
  8844. Misura delle macro: 1.265 Byte.
  8845. Luogo d'origine: USA.
  8846. Data d'origine: Primavera 1997.
  8847. Payload: Si.
  8848. Data d'attivazione: Luned∞.
  8849. Password: Nessuna.
  8850. Rilevato In The Wild: No.
  8851.  
  8852. DESCRIZIONE:
  8853.  
  8854. Word.Armadillo.A infetta il modello principale (normal.dot) 
  8855. quando viene aperto un documento infetto. Altri documenti sono 
  8856. infettati quando vengono salvati (File\Salva con nome).
  8857.  
  8858. Word.Armadillo usa Tools\Macro per rendere pi∙ difficile il 
  8859. riconoscimento di un documento infetto (chiamata tecnica macro stealth).
  8860.  
  8861. Se un utente seleziona Tools\Macro, Armadillo aggiunge 10.000 
  8862. volte al documento aperto il seguente testo:
  8863.  
  8864. "   Armadillon Macro?   "
  8865.  
  8866. Quando un utente apre Microsoft Word di martedi ed il modello 
  8867. principale Φ infetto, Armadillo mostra il seguente messaggio:
  8868.  
  8869. "   Liven up Monday with an Armadillon!   "
  8870.  
  8871. [Word_Cult.A]
  8872.  
  8873. Nome del Virus: Word.Cult.A.
  8874. Tipo di Virus: Virus da macro di Word.
  8875. Pseudonimo: Nessuno.
  8876. Piattaforma: Word 6/7.
  8877. Numero di macro: 1.
  8878. Criptato: No.
  8879. Misura delle macro: 1.688 Byte.
  8880. Luogo d'origine: Germania.
  8881. Data d'origine: Estate 1997.
  8882. Distruttivo: No.
  8883. Data d'attivazione: Nessuna.
  8884. Password: Nessuna.
  8885. Rilevato In The Wild: No.
  8886.  
  8887. DESCRIZIONE:
  8888.  
  8889. Word.Cult.A Φ un altro virus da macro. Per un bug di programmazione del codice, 
  8890. non infetta altri file. 
  8891.  
  8892. Nel codice virale pu≥ essere trovato il seguente messaggio:
  8893.  
  8894. "   CULT! Nightmare Joker (SLAM)   "
  8895.  
  8896.  
  8897. [Word_CVCK1.A]
  8898.  
  8899. Nome del Virus: Word.CVCK1.A.
  8900. Tipo di Virus: Virus da macro di Word.
  8901. Pseudonimo: Chicken-Pox 0.1.
  8902. Piattaforma: Word 6/7.
  8903. Numero di macro: 11.
  8904. Criptato: Si.
  8905. Misura delle macro: 7.315 Byte.
  8906. Luogo d'origine: Indonesia.
  8907. Data d'origine: 1997.
  8908. Distruttivo: No.
  8909. Data d'attivazione: Nessuna.
  8910. Password: Nessuna.
  8911. Rilevato In The Wild: No.
  8912.  
  8913. DESCRIZIONE:
  8914.  
  8915. Word.CVCK1.A infetta il modello principale (normal.dot) quando viene 
  8916. chiuso un documento infetto. Altri documenti sono infettati quando 
  8917. vengono chiusi (AutoClose).
  8918.  
  8919. Word.CVCK1.A usa Tools\Macro, Strumenti\Customize e  FileTemplates 
  8920. per rendere pi∙ difficile il riconoscimento di un documento infetto 
  8921. (chiamata tecnica macro stealth).
  8922. Quando un utente seleziona una delle opzioni, Word.CVCK1.A mostra quanto segue:
  8923.  
  8924. "   Chicken say .........   "
  8925.  
  8926. una figura vuota e
  8927.  
  8928. "   [pox-poX-pOX-POX-POx-Pox-pox]   "", .Push2
  8929.  
  8930. I seguenti commenti  possono essere trovati nel codice del virus:
  8931.  
  8932. "   --------------------------------------------   "
  8933. "   Created using CVCK v.01 b                      "
  8934. "   (C)CrazybitS 1997, Yogyakarta, Indonesia       "
  8935. "   --------------------------------------------   "
  8936.  
  8937. e
  8938.  
  8939. "   Sorry ... i'm defeat you !   "
  8940.  
  8941.  
  8942.  
  8943. [Word_CVCK1.B]
  8944.  
  8945. Nome del Virus: Word.CVCK1.B.
  8946. Tipo di Virus:  Virus da macro di Word.
  8947. Pseudonimo: Foxz.
  8948. Piattaforma: Word 6/7.
  8949. Numero di macro: 10.
  8950. Criptato: Si.
  8951. Misura delle macro: 5.551 Byte.
  8952. Luogo d'origine: Indonesia.
  8953. Data d'origine: 1997.
  8954. Payload: Si.
  8955. Data d'attivazione: Nessuna.
  8956. Password: Nessuna.
  8957. Rilevato In The Wild: No.
  8958.  
  8959. DESCRIZIONE:
  8960.  
  8961. Word.CVCK1.B infetta il modello principale (normal.dot) 
  8962. quando viene aperto un documento infetto. Altri documenti 
  8963. sono infettati quando vengono chiusi (AutoClose).
  8964.  
  8965. Word.CVCK1.B usa Tools\Macro e FileTemplates per rendere 
  8966. pi∙ difficile il riconoscimento di un documento infetto 
  8967. (chiamata tecnica macro stealth).
  8968. Quando un utente seleziona una delle opzioni, Word.CVCK1.B mostra quanto segue:
  8969.  
  8970. "    Err = 0   "
  8971.  
  8972. Un altro messaggio viene mostrato i giorni 1 e 3 di ogni mese.
  8973.  
  8974. Word.CVCK1.B cerca di disabilitare le funzioni di stampa, la domenica.
  8975.  
  8976. I seguenti commenti  possono essere trovati nel codice del virus:
  8977.  
  8978. "   Foxz members of NoMercy   "
  8979. "   thank's for decrypt this virus   "
  8980. "   you may learn the effect Or somthing Else  "
  8981. "   bye,"."".""."   "
  8982. "   Foxz   "
  8983. "   If you found bug please contact me at   "
  8984. "   idban"@" hotmail.com   "
  8985.  
  8986. e
  8987.  
  8988. "   Foxz Techno         "
  8989. "   Member Of NoMercy   "
  8990.  
  8991. [Word_CVCK1.C]
  8992.  
  8993. Nome del Virus: Word.CVCK1.C.
  8994. Tipo di Virus:  Virus da macro di Word.
  8995. Pseudonimo: Vampire, 80e.
  8996. Piattaforma: Word 6/7.
  8997. Numero di macro: 6 o 9 (modello principale).
  8998. Criptato: Si.
  8999. Misura delle macro: 3.158 (5.759)  Byte.
  9000. Luogo d'origine: Indonesia.
  9001. Data d'origine: 1997.
  9002. Distruttivo: Si.
  9003. Data d'attivazione: Venerd∞.
  9004. Password: Nessuna.
  9005. Rilevato In The Wild: No.
  9006.  
  9007. DESCRIZIONE:
  9008.  
  9009. Word.CVCK1.C infetta il modello principale (normal.dot) 
  9010. quando viene aperto un documento infetto. Altri documenti 
  9011. sono infettati quando vengono chiusi (AutoClose).
  9012.  
  9013. Word.CVCK1.C usa Tools\Macro, ToolCustomize e FileTemplates 
  9014.  
  9015. Quando un utente seleziona una delle opzioni, Word.CVCK1.C cancella 
  9016. tutti i file WIN.* nella directory Windows e mostra il seguente messaggio :
  9017.  
  9018. "   No risk, No Pain   "
  9019.  
  9020. Un'altra procedura viene attivata il venerd∞, quando Word.CVCK1.C cancella 
  9021. tutto il testo dai documenti.
  9022.  
  9023. I seguenti commenti  possono essere trovati nel codice di Word.CVCK1.C:
  9024.  
  9025. "   Created using CVCK v.01 b   "
  9026. "   (C)CrazybitS 1997, Yogyakarta, Indonesia   "
  9027. "   Name : WM.80e Pseudonimoe Vampire   "
  9028.  
  9029.  
  9030. [Word_CVCK1.D]
  9031.  
  9032. Nome del Virus: Word.CVCK1.D.
  9033. Tipo di Virus: Virus da macro di Word.
  9034. Pseudonimo: Vampire, 80e.
  9035. Piattaforma: Word 6/7.
  9036. Numero di macro: 6 o 9 (modello principale).
  9037. Criptato: Si.
  9038. Misura delle macro: 3.912 (5.547) Byte.
  9039. Luogo d'origine: Indonesia.
  9040. Data d'origine: 1997.
  9041. Payload: Si.
  9042. Data d'attivazione: Il giorno 13 di ogni mese.
  9043. Password: Nessuna
  9044. Rilevato In The Wild: No
  9045.  
  9046. DESCRIZIONE:
  9047.  
  9048. Word.CVCK1.D infetta il modello principale (normal.dot) quando viene aperto 
  9049. un documento infetto. Altri documenti sono infettati quando vengono chiusi (AutoClose).
  9050.  
  9051. Word.CVCK1.D usa Tools\Macro, ToolCustomize e FileTemplates per rendere pi∙ 
  9052. difficile il riconoscimento di un documento infetto (chiamata tecnica macro stealth).
  9053.  
  9054. Quando un utente seleziona una delle opzioni, Word.CVCK1.D mostra il seguente
  9055.  messaggio (mostrato anche il giorno 13 di ogni mese):
  9056.  
  9057. "   Visit NoMercy WEB PAGE !   "
  9058. "   Welcome Again buddy!   "
  9059. "   It's nice create a Virus, why you don't try?   "
  9060.  
  9061. I seguenti commenti  possono essere trovati nel codice di Word.CVCK1.D:
  9062.  
  9063. "   --------------------------------------------   "
  9064. "   Created using CVCK v.01 b   "
  9065. "   (C)CrazybitS 1997, Yogyakarta, Indonesia   "
  9066. "   --------------------------------------------   "
  9067. "   greeting to   "
  9068. "   -Cicatrix major collector   "
  9069. "   -D.Giovanni   "
  9070. "   -All Macro virii creator   "
  9071. "   -You that has seen the decription macro   "
  9072.  
  9073. e
  9074.  
  9075. "   Sorry ... i'm defeat you !   "
  9076.  
  9077.  
  9078. [Word_CVCK1.E]
  9079.  
  9080. Nome del Virus: Word.CVCK1.E.
  9081. Virus type: Virus da macro di Word.
  9082. Pseudonimo: Nessuno.
  9083. Piattaforma: Word 6/7.
  9084. Numero di macro: 10.
  9085. Criptato: Si.
  9086. Misura delle macro: 5.527 Byte.
  9087. Luogo d'origine: Indonesia.
  9088. Data d'origine: 1997.
  9089. Payload: Si.
  9090. Data d'attivazione: Domenica.
  9091. Password: Nessuna.
  9092. Rilevato In The Wild: No.
  9093.  
  9094. DESCRIZIONE:
  9095.  
  9096. La principale differenza tra questa nuova versione e Word.CVCK1.B Φ che 
  9097. le macro Action, Actiondate, e AutoOpen sono state modificate.
  9098.  
  9099. Word.CVCK1.E infetta il modello principale (normal.dot) 
  9100. quando viene aperto un documento infetto. Altri documenti 
  9101. sono infettati quando vengono chiusi (AutoClose).
  9102.  
  9103. Word.CVCK1.E usa Tools\Macro e FileTemplates per rendere 
  9104. pi∙ difficile il riconoscimento di un documento infetto 
  9105. (chiamata tecnica macro stealth).
  9106.  
  9107. Word.CVCK1.E cerca inoltre di disabilitare le funzioni di stampa, 
  9108. la domenica.
  9109.  
  9110. Il seguente commento  pu≥ essere trovato nel codice di Word.CVCK1.E:
  9111.  
  9112. "   --------------------------------------------   "
  9113. "   Hey you.....   "
  9114. "   This again from NoMercy...   "
  9115. "   created by Fox`z    "
  9116. "   --------------------------------------------   "
  9117.  
  9118.  
  9119. [Word_CVCK1.F]
  9120.  
  9121. Nome del Virus: Word.CVCK1.F.
  9122. Virus type: Virus da macro di Word.
  9123. Pseudonimo: Billy Mahone.
  9124. Piattaforma: Word 6/7.
  9125. Numero di macro: 6 o 9 (modello principale).
  9126. Criptato: Si.
  9127. Misura delle macro: 2.209 o 2.338 Byte.
  9128. Luogo d'origine: Sconosciuto.
  9129. Data d'origine: 1997.
  9130. Payload: Si.
  9131. Data d'attivazione: Il giorno 13 di ogni mese.
  9132. Password: Nessuna.
  9133. Rilevato In The Wild: No.
  9134.  
  9135. DESCRIZIONE:
  9136.  
  9137. Word.CVCK1.F sembra essere il primo virus da macro creato 
  9138. con il generatore di virus CVCK1, il quale non Φ pi∙ stato modificato.
  9139.  
  9140. Word.CVCK1.F infetta il modello principale (normal.dot) 
  9141. quando viene aperto un documento infetto. Altri documenti 
  9142. sono infettati quando vengono chiusi (AutoClose).
  9143. Word.CVCK1.F usa Tools\Macro, ToolsCustomize e FileTemplates 
  9144. per rendere pi∙ difficile il riconoscimento di un documento infetto 
  9145. (chiamata tecnica macro stealth).
  9146.  
  9147. Quando Word.CVCK1.F Φ attivo (il giorno 13 di ogni mese), 
  9148. mostra il seguente messaggio:
  9149.  
  9150. "   Billy Mahone is back!!!   "
  9151.  
  9152. (il nome dell'autore Φ identificabile in un personaggio del film " Flatliners ").
  9153.  
  9154. Il seguente commento pu≥ essere trovato nel codice di Word.CVCK1.G:
  9155.  
  9156. "   Sorry ... i'm defeat you !   "
  9157.  
  9158. e
  9159.  
  9160. "   Just bypass Nothing to do!   "
  9161.  
  9162.  
  9163. [Word_CVCK1.G]
  9164.  
  9165. Nome del Virus: Word.CVCK1.G.
  9166. Tipo di Virus: Virus da macro di Word.
  9167. Pseudonimo: Nessuno.
  9168. Piattaforma: Word 6/7.
  9169. Numero di macro: 5.
  9170. Criptato: Si.
  9171. Misura delle macro: 2.029 Byte.
  9172. Luogo d'origine: Sconosciuto.
  9173. Data d'origine: 1997.
  9174. Payload: Si.
  9175. Data d'attivazione: Il giorno 13 di ogni mese.
  9176. Password: Nessuno.
  9177. Rilevato In The Wild: No.
  9178.  
  9179. DESCRIZIONE:
  9180.  
  9181. Word.CVCK1.G sembra essere un'altra creazione dell'autore di Word.CVCK1.F. 
  9182. Contiene un altro riferimento al film "Flatliners."
  9183.  
  9184. Word.CVCK1.G infetta il modello principale (normal.dot) 
  9185. quando viene aperto un documento infetto. Altri documenti sono 
  9186. infettati quando vengono chiusi (AutoClose).
  9187.  
  9188. Quando Word.CVCK1.G Φ attivo (il giorno 13 di ogni mese), 
  9189. mostra il seguente messaggio:
  9190.  
  9191. "   Put me in the sate of death   "
  9192.  
  9193. Il seguente commento pu≥ essere trovato nel codice di Word.CVCK1.G:
  9194.  
  9195. "   Sorry ... i'm defeat you !   "
  9196.  
  9197. e
  9198.  
  9199. "   Just bypass Nothing to do!   "
  9200.  
  9201.  
  9202. [Word_CVCK1.H]
  9203.  
  9204. Nome del Virus: Word.CVCK1.H.
  9205. Tipo di Virus: Virus da macro di Word.
  9206. Pseudonimo: Nessuno.
  9207. Piattaforma: Word 6/7.
  9208. Numero di macro: 5.
  9209. Criptato: Si.
  9210. Misura delle macro: 2.031 Byte.
  9211. Luogo d'origine: Sconosciuto.
  9212. Data d'origine: 1997.
  9213. Payload: Si.
  9214. Data d'attivazione: Il giorno 13 di ogni mese.
  9215. Password: Nessuna.
  9216. Rilevato In The Wild: No.
  9217.  
  9218. DESCRIZIONE:
  9219.  
  9220. Word.CVCK1.H sembra essere un'altra creazione dell'autore di 
  9221. Word.CVCK1.F e Word.CVCK1.G! Contiene un altro riferimento al film "Flatliners".
  9222.  
  9223. Word.CVCK1.H infetta il modello principale (normal.dot) 
  9224. quando viene aperto un documento infetto. Altri documenti 
  9225. sono infettati quando vengono chiusi (AutoClose).
  9226.  
  9227. When Word.CVCK1.H Φ attivo (il giorno 13 di ogni mese), 
  9228. mostra il seguente messaggio:
  9229.  
  9230. "   Today is a good day to die!!!   "
  9231.  
  9232. Il seguente commento pu≥ essere trovato nel codice di Word.CVCK1.H:
  9233.  
  9234. "   Sorry ... i'm defeat you !   "
  9235.  
  9236. e
  9237.  
  9238. "   Just bypass Nothing to do!   "
  9239.  
  9240.  
  9241. [Word_CVCK1.I]
  9242.  
  9243. Nome del Virus: Word.CVCK1.I.
  9244. Tipo di Virus: Virus da macro di Word.
  9245. Pseudonimo: Nessuno.
  9246. Piattaforma: Word 6/7.
  9247. Numero di macro: 11.
  9248. Criptato: Si.
  9249. Misura delle macro: 7.329 Byte.
  9250. Luogo d'origine: Sconosciuto.
  9251. Data d'origine: 1997.
  9252. Payload: Si.
  9253. Data d'attivazione: I giorni 11 e 31 di ogni mese.
  9254. Password: Nessuna.
  9255. Rilevato In The Wild: No.
  9256.  
  9257. DESCRIZIONE:
  9258.  
  9259. La principale differenza di questa nuova versione ed il precedente virus
  9260. Word.CVCK1.A e cheil codice Φ stato leggermente cambiato.
  9261.  
  9262. Per ulteriori informazioni, fare riferimento alla descrizione 
  9263. del virus Word.CVCK1.A.
  9264.  
  9265. [Word_Czech.A]
  9266.  
  9267. Nome del Virus: Word.Czech.A.
  9268. Tipo di Virus: Virus da macro di Word.
  9269. Pseudonimo: Nessuno.
  9270. Piattaforma: Word 6/7.
  9271. Numero di macro: 2.
  9272. Criptato: Si.
  9273. Misura delle macro: 424 Byte.
  9274. Luogo d'origine: Sconosciuto.
  9275. Data d'origine: Primavera 1997.
  9276. Payload: Nessuno.
  9277. Data d'attivazione: Nessuna.
  9278. Password: Nessuna.
  9279. Rilevato In The Wild: No.
  9280.  
  9281. DESCRIZIONE:
  9282.  
  9283. Word.CVCK1.H infetta il modello principale (normal.dot) 
  9284. quando viene aperto un documento infetto. Altri documenti 
  9285. sono infettati quando vengono aperti e salvati (File\Salva).
  9286.  
  9287. Word.Czech.A Φ un altro virus da macro che non ha effetti, 
  9288. se non quello di essere contagioso.
  9289.  
  9290. [Version]
  9291. Nome del Virus: Version.
  9292. Tipo di Virus: Residente in memoria, Virus da file 
  9293. (file con estensione *.COM).
  9294. Lunghezza del Virus: 708 Byte.
  9295.  
  9296. PC Vector Hooked: INT 21h.
  9297.  
  9298. Procedura eseguita:
  9299. 1) Decodifica i primi suoi tre Byte. 
  9300. 2)    Controlla che sia in memoria. 
  9301. Se "SI", torna direttamente alla funzione originale. 
  9302. Altrimenti si carica nella memoria alta, intercetta l'INT 21h 
  9303. e torna alla funzione originale.
  9304.  
  9305. Metodo di infezione:
  9306. 1)  Intercetta l'INT 21h (AH=30h) per mostrare una versione di DOS 
  9307. non corretta.
  9308. 2)  Intercetta l'INT 21h (AX=4203h) per verificare che sia in memoria 
  9309. (returns AX=6969h).
  9310. 3)  Intercetta l'INT 21h (AX=4B00h) per infettare i file con 
  9311. estensione *.COM.
  9312.  
  9313. Danni: La chiamata per recuperare la versione del DOS non funziona 
  9314. correttamente.
  9315.  
  9316. Note: Questo virus non funziona correttamente a causa di errori nel 
  9317. suo codice di programmazione.
  9318.  
  9319. Metodo di rilevazione:
  9320. 1) Data ed ora dei file infetti non vengono modificate.
  9321. 2) I file infetti aumentano di 705 Byte.
  9322.  
  9323. [Versikee-1326]
  9324. Nome del Virus: Versikee-1326.
  9325. Tipo di Virus: Virus da file (file con estensione *.EXE).
  9326. Lunghezza del Virus: 1.326 Byte.
  9327.  
  9328. Procedura eseguita: Cerca i file con estensione *.EXE e li infetta 
  9329. (infetta solo un file alla volta). 
  9330. Il percorso di ricerca va dalla directory corrente alla sua subdirectory, 
  9331. dalle subdirectory sotto l'ultima subdirectory, alla directory principale, 
  9332. alle subdirectory sotto la directory principale. Se c'Φ un file infettabile, 
  9333. controlla l'ora di sistema. Se il valore dei secondi Φ un multiplo di 8, 
  9334. il virus distrugge i primi 5 Byte del file. Altrimenti lo infetta solamente. 
  9335. Quindi torna alla funzione originale. 
  9336.  
  9337. Danni: Distrugge i primi 5 Byte del file a seconda del valore 
  9338. riscontrato nel campo dei secondi.
  9339.  
  9340. Note: Data ed ora dei file infetti non vengono modificate.
  9341.  
  9342. Metodo di rilevazione: Aumenta la lunghezza dei file infetti. 
  9343. L'algoritmo Φ: Allunga il file originale per farlo diventare un multiplo di 16, 
  9344. quindi aumenta la sua lunghezza di 1.326 Byte.
  9345.  
  9346. [163]
  9347. Nome del Virus: 163.
  9348. Tipo di Virus: Virus da file (file con estensione *.COM).
  9349. Lunghezza del Virus: 163 Byte.
  9350.  
  9351. Procedura eseguita:
  9352. 1) Infetta i file con estensione *.COM non infetti nella directory 
  9353. corrente. Se non ci sono file con estensione *.COM nella directory corrente 
  9354. o almeno un file Φ giα stato infettatto, il virus torna alla funzione originale.
  9355.  
  9356. Metodo di infezione:
  9357. (1) Sposta i primi 163 Byte del file originale alla fine.
  9358. (2) Scrive il codice virale sui primi 163 Byte. Il file originale diventa 
  9359. inutilizzabile se Φ minore di 163 Byte.
  9360.  
  9361. Danni: Nessuno.
  9362.  
  9363. Note:
  9364. 1) Non infetta lo stesso file.
  9365. 2) Data ed ora dei file infetti non vengono modificate.
  9366.  
  9367. Metodo di rilevazione:
  9368. 1) I file infetti aumentano di 163 Byte.
  9369. 2) Cerca i file con estensione *.COM partendo dal Byte 19Dh del file.
  9370.  
  9371. [Vengence-A]
  9372. Nome del Virus: Vengence-A.
  9373. Other Name: Vengence-194.
  9374. Tipo di Virus: Virus da file (*.C* file).
  9375. Lunghezza del Virus:  194 Byte.
  9376.  
  9377. Procedura eseguita: Infetta tutti i file *.C* nella directory corrente.
  9378.  
  9379. Metodo di infezione: Sovrascrive i primi 194 Byte del file con il codice 
  9380. del virus. Se il file originale Φ inferiore a 194 Byte, il file diventa 
  9381. di 194 Byte dopo l'infezione; altrimenti la lunghezza non cambia.
  9382.  
  9383. Danni: Sovrascrive i primi 194 Byte del file con il codice del virus, 
  9384. questo rende inutilizzabile il file.
  9385.  
  9386. Metodo di rilevazione:
  9387. 1) Data ed ora dei file infetti vengono cambiate.
  9388. 2) Il seguente testo pu≥ essere trovato alla fine dei file infetti:
  9389.  
  9390.     "Vengence-A virus. Lastest release from Swedish Virus
  9391.      Association. Released 7th of May 1992. Happy hacking and
  9392.      greetings to all Virus writers..."
  9393.  
  9394. [Vengence-B]
  9395. Nome del Virus: Vengence-B.
  9396. Other Name: Vengence-252.
  9397. Tipo di Virus: Virus da file (*.C*, soprattutto i file con estensione *.COM).
  9398. Lunghezza del Virus: 252 Byte.
  9399.  
  9400. Procedura eseguita: Infetta tutti i file *.C* nella directory corrente.
  9401.  
  9402. Metodo di infezione: Sovrascrive i primi 252 Byte del file con il codice del virus. 
  9403. Se il file originale Φ inferiore a 252 Byte, il file diventa di 252 Byte 
  9404. dopo l'infezione; altrimenti la lunghezza non cambia.
  9405.  
  9406. Danni: Sovrascrive i primi 252 Byte del file con il codice del virus, 
  9407. questo rende inutilizzabile il file.
  9408.  
  9409. Note: Data ed ora dei file infetti non vengono modificate.
  9410.  
  9411. Metodo di rilevazione:
  9412. Il seguente testo pu≥ essere trovato alla fine dei file infetti:
  9413.  
  9414.     "Vengence-B virus. Lastest release from Swedish Virus
  9415.      Association. Released 8th of May 1992. Satan will come and
  9416.      rule his world and his people!"
  9417.  
  9418. [Vengence-C]
  9419. Nome del Virus: Vengence-C.
  9420. Other Name: Vengence-390.
  9421. Tipo di Virus: Virus da file (*.C*, soprattutto i file con estensione *.COM).
  9422. Lunghezza del Virus: 390 Byte.
  9423.  
  9424. Procedura eseguita: Infetta il primo file *.C* nella directory corrente.
  9425.  
  9426. Metodo di infezione: Sovrascrive i primi 390 Byte del file con il 
  9427. codice del virus. Se il file originale Φ inferiore a 390 Byte, 
  9428. il file diventa di 390 Byte dopo l'infezione; altrimenti la lunghezza non cambia.
  9429.  
  9430. Danni: Sovrascrive i primi 390 Byte del file con il codice del virus, 
  9431. questo rende inutilizzabile il file.
  9432.  
  9433. Note:
  9434. 1) Data ed ora dei file infetti non vengono modificate.
  9435. 2) Quando il virus viene eseguito, dapprima controlla che sia presente 
  9436. un anti-virus come  F-LOCK, F-POPUP, F-FCHK, F-DLOCK, ThunderByte e TBSCANX.  
  9437. Il virus sospende la propria esecuzione se Φ presente uno di questi antivirus.
  9438.  
  9439. Metodo di rilevazione:
  9440. Il seguente testo pu≥ essere trovato alla fine dei file infetti:
  9441.  
  9442.     "Vengence-C virus. Lastest release from Swedish Virus
  9443.      Association. Released 8th of May 1992. Satan will come and
  9444.      rule his world and his people!"
  9445.  
  9446. [Vengence-D]
  9447. Nome del Virus: Vengence-D.
  9448. Other Name: Vengence-435.
  9449. Tipo di Virus: Virus da file (*.C*, soprattutto i file con estensione *.COM).
  9450. Lunghezza del Virus: 435 Byte.
  9451.  
  9452. Procedura eseguita:
  9453. 1) Controlla che l'ora corrente sia 12:00. Se "SI", mostra il seguente 
  9454. messaggio e fa aumentare l'ora di sistema di un ora.
  9455.  
  9456.     "Vengence-D virus. Lastest release from Swedish Virus
  9457.      Association. Released 8th of May 1992. Satan will come and
  9458.      rule his world and his people!"
  9459.  
  9460. 2) Infetta il primo file *.C* nella directory corrente.
  9461.  
  9462. Metodo di infezione: Sovrascrive i primi 435 Byte del file con il 
  9463. codice del virus. Se il file originale Φ inferiore a 435 Byte, il file 
  9464. diventa di 435 Byte dopo l'infezione; altrimenti la lunghezza non cambia.
  9465.  
  9466. Danni: Sovrascrive i primi 435 Byte del file con il codice del virus, 
  9467. questo rende inutilizzabile il file.
  9468.  
  9469. Note:
  9470. 1) Data ed ora dei file infetti non vengono modificate.
  9471. 2) Quando il virus viene eseguito, dapprima controlla che sia presente 
  9472. un anti-virus come  F-LOCK, F-POPUP, F-FCHK, F-DLOCK, ThunderByte e TBSCANX.  
  9473. Il virus sospende la propria esecuzione se Φ presente uno di questi antivirus.
  9474.  
  9475. Metodo di rilevazione: Il seguente testo pu≥ essere trovato alla fine 
  9476. dei file infetti:
  9477.  
  9478.     "Vengence-D virus. Lastest release from Swedish Virus
  9479.      Association. Released 8th of May 1992. Satan will come and
  9480.      rule his world and his people!"
  9481. .
  9482.  
  9483. [Vengence-F]
  9484. Nome del Virus: Vengence-F.
  9485. Other Name: Vengence-656.
  9486. Tipo di Virus: Virus da file (*.C*, soprattutto i file con estensione *.COM).
  9487. Lunghezza del Virus: 656 Byte.
  9488.  
  9489. Procedura eseguita:
  9490. 1) ) Controlla che l'ora corrente sia 12:00. Se "SI", mostra il seguente 
  9491. messaggio e fa aumentare l'ora di sistema di un ora.
  9492.  
  9493.  "Vengence-F virus. Debugging session unlimited."
  9494.  
  9495. 2) Infetta il primo file che si trova nella cartella corrente, 
  9496. in quella precedente e cos∞ via.
  9497.  
  9498. Metodo di infezione: Sposta i primi 656 Byte del file alla fine di questo, 
  9499. quindi scrive il codice del virus sui primi 656 Byte. Infine unisce "SVC" 
  9500. alla fine del file.
  9501.  
  9502. Danni: I file infetti non possono essere eseguiti.
  9503.  
  9504. Note:
  9505. 1) Data ed ora dei file infetti non vengono modificate.
  9506. 2) Quando viene eseguito, il virus controlla:
  9507.    - che sia stato individuato da Debug. Se "SI" blocca il sistema.
  9508.    - che sia presente un anti-virus come F-LOCK, F-POPUP, F-FCHK, F-DLOCK, 
  9509. ThunderByte e TBSCANX. Se "SI",  il virus sospende la propria esecuzione.
  9510.  
  9511.  
  9512. Metodo di rilevazione:
  9513. 1) Ricerca del testo sopra menzionato.
  9514. 2) Ricerca della parola "SVC" alla fine dei file infetti.
  9515. 3) I file infetti aumentano di 656 Byte.
  9516.  
  9517. Metodo di pulizia: Cancellare i primi 656 Byte e "SVC" alla fine dei file 
  9518. infetti. Se il file Φ pi∙ lungo di 656 Byte, spostare gli ultimi 656 Byte 
  9519. all'inizio.
  9520.  
  9521. [V500]
  9522. Nome del Virus: V500.
  9523. Tipo di Virus: In memoria (OS), Virus da file (file con estensione *.COM).
  9524. Lunghezza del Virus: 500 Byte.
  9525.  
  9526. Vettore PC agganciato: INT 21H.
  9527.  
  9528. Procedura eseguita:  Il virus controlla che la versione del DOS sia la 3.3.
  9529. Se "NO", torna direttamente alla funzione originale, altrimenti rimane in 
  9530. memoria (nell'area OS).
  9531.  
  9532. Il virus richiama l'INT 86h per infettare i file con estensione *.COM 
  9533. quando l'INT 00h-0Ch viene chiamato. Quindi torna alla funzione originale. 
  9534. Il virus reinfetta i file.
  9535.  
  9536. Metodo di infezione: Il virus sposta i primi 500 Byte del file alla fine e 
  9537. scrive il codice virale all'inizio.
  9538.  
  9539. Danni: Nessuno.
  9540.  
  9541. Note: Data ed  ora dei file infetti non viene modificata.
  9542.  
  9543. Metodo di rilevazione: I file infetti aumentano di 500 Byte.
  9544.  
  9545. [Crazy-L15]
  9546. Nome del Virus: Crazy-I15.
  9547. Tipo di Virus: In memoria (Memoria alta), Virus da file 
  9548. (file con estensione *.COM).
  9549. Lunghezza del Virus: 1.402 Byte.
  9550.  
  9551. Vettore PC agganciato: Int 21h, INT 24h.
  9552.  
  9553. Procedura eseguita:
  9554. 1) Controlla che sia in memoria. Se "NO", si carica nella memoria alta.
  9555. 2) Intercetta l'INT 21h.
  9556. 3) Torna alla funzione originale.
  9557.  
  9558. Metodo di infezione: Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  9559. Dapprima blocca l'INT 24h per evitare di lasciare tracce quando Φ in fase 
  9560. di scrittura, quindi controlla che il programma da eseguire sia un file 
  9561. con estensione *.COM. Se "SI" il virus lo infetta. 
  9562. Infine ripristina l'INT 24h.
  9563.  
  9564. Danni: Nessuno.
  9565.  
  9566. Metodo di rilevazione: I file infetti aumentano di 1.402 Byte.
  9567.  
  9568. [Variety]
  9569. Nome del Virus: Variety.
  9570. Tipo di Virus: Virus da file (file con estensione *.COM).
  9571. Lunghezza del Virus: 625 Byte.
  9572.  
  9573. Procedura eseguita:
  9574. 1)  Il virus decodifica.
  9575. 2)  Infetta un file con estensione *.COM nella directory corrente 
  9576. (infetta solo un file alla volta).
  9577.  
  9578. Metodo di infezione:
  9579. 1) Codifica il codice del virus.
  9580. 2) Aggiunge il codice del virus alla fine del file originale.
  9581.  
  9582. Danni: Nessuno.
  9583.  
  9584. Note:
  9585. 1) Se la versione del DOS non Φ superiore alla 2.0, 
  9586. il virus non infetta i file.
  9587. 2) Data ed ora dei file infetti non vengono modificate.
  9588.  
  9589. Metodo di rilevazione: I file infetti aumentano di 625 Byte.
  9590.  
  9591. [Infector]
  9592. Nome del Virus: Infector.
  9593. Tipo di Virus: Virus da file (file con estensione *.COM).
  9594. Lunghezza del Virus: 820-830 Byte.
  9595.  
  9596. Procedura eseguita:
  9597. Cerca un file con estensione *.COM non infetto nella directory 
  9598. corrente e procede alla sua infezione (infetta solo un file alla volta).
  9599.  
  9600. Danni: Nessuno.
  9601.  
  9602. Note:
  9603. 1) La maggior parte dei file infetti non possono essere eseguiti 
  9604. a causa della bassa qualitα di procedura del codice virale.
  9605. 2) Non residente in memoria.
  9606. 3) Compare un messaggio d'errore quando si scrive perchΘ l'INT 24h 
  9607. non Φ stato bloccato.
  9608.  
  9609. Metodo di rilevazione: I file infetti aumentano di 820 fino 
  9610. a 830 Byte.
  9611.  
  9612. [Irish-3]
  9613. Nome del Virus: Irish-3.
  9614. Tipo di Virus: Virus da file (file con estensione *.COM).
  9615. Lunghezza del Virus: 1.164 Byte.
  9616.  
  9617. Vettore PC agganciato: INT 21h, INT 1Ch.
  9618.  
  9619. Procedura eseguita:
  9620. 1) Controlla che sia residente in memoria. 
  9621. Se "NO", si carica nella memoria alta.
  9622. 2) Intercetta l'INT 21h, l'INT 1Ch e torna alla funzione originale.
  9623.  
  9624. Metodo di infezione: Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  9625. Controlla che il programa da eseguire sia un file con estensione *.COM. 
  9626. Se "SI", il virus lo infetta. Se Φ un file con estensione *.EXE, 
  9627. il virus crea un nuovo file con estensione *.COM 
  9628. (di lunghezza compresa tra 2.000 e 4.000 Byte) con lo stesso nome 
  9629. del file con estensione *.EXE originale.
  9630. Il nuovo file con estensione *.COM contiene il codice del virus.
  9631.  
  9632. Danni: Nessuno.
  9633.  
  9634. Note:
  9635. 1) Se la data corrente Φ il giorno 21 novembre, calcola l'ora 
  9636. intercettando l'INT 08h. Dopo pochi minuti, mostra il seguente messaggio :
  9637.  
  9638.    "Virus V2.0 (c) 1991 Necros The Hacher Written on 29,30
  9639.    June.................................. ...................."
  9640.  
  9641. 2) Quando si scrive pu≥ apparire un messaggio d'errore perchΦ 
  9642. l'INT 24h non Φ stato bloccato.
  9643.  
  9644. Metodo di rilevazione: I file infetti aumentano di 1.164 Byte.
  9645.  
  9646. [101]
  9647. Nome del Virus: 101.
  9648. Tipo di Virus: Virus da file.
  9649. Lunghezza del Virus: 2.560 Byte.
  9650.  
  9651. Procedura eseguita: Quando tutti i file con estensione *.COM ed *.EXE 
  9652. nel disco in uso sono stati infettati, il virus controlla la data 
  9653. di sistema per verificare che sia un multiplo di 9 
  9654. (per esempio il giorno 9, 18, 27). 
  9655. Se "SI", tutto il testo sullo schermo diviene confuso ed Φ 
  9656. spostato in basso. Se "NO" il virus modifica il settore di 
  9657. boot e continua ad infettare altri drive.
  9658.  
  9659. Danni: Tutti i file con estensione *.COM ed *.EXE vengono 
  9660. infettati ed aumentano di 2.560 Byte. I file infetti contengono 
  9661. la stringa: "VIRUS 101".
  9662.  
  9663.  
  9664. [1339]
  9665. Nome del Virus: 1339.
  9666. Pseudonimo: Vacsina virus.
  9667. Tipo di Virus: Virus parassita.
  9668. Lunghezza del Virus: 1.339 Byte.
  9669.  
  9670. Sintomi: Aumenta la lunghezza dei file con estensione *.COM 
  9671. infetti di 1.339 Byte ed i file con estensione *.EXE di 1.471 Byte. 
  9672. I file infetti contengono la parola "VACSINA". Diminuisce la memoria RAM libera.
  9673.  
  9674. Danni: Nessun danno, nessuna manipolazione.
  9675.  
  9676. Note: Dapprima verifica che sia giα caricato in memoria. 
  9677. (per far questo usa l'interrupt vettoriale 31h). 
  9678. Se "NO", si installa prima del programma infetto 
  9679. (usando la modifica MCB, colloca 1.344  Byte). 
  9680. Dopo l'installazione il virus controlla la funzione 
  9681. DOS EXEC ed infetta tutti i programmi non infetti. 
  9682. Questo virus appartiene ad un gruppo di virus che collaborano tra di loro.
  9683. Questo gruppo contiene ogni virus del proprio livello. 
  9684. Un virus pu≥ rimuovere un altro Vacsina di livello minore di 10h. 
  9685. Pu≥ eliminare virus con valori minori di 10h. Per diffondersi, 
  9686. un virus Vacsina usa direttamente l'interrupt 21h.
  9687.  
  9688. [1701/1704]
  9689. Nome del Virus: 1701/1704.
  9690. Pseudonimo: Raindrop virus.
  9691. Tipo di Virus: Virus parassita.
  9692. Lunghezza del Virus: 1.701/1.704 Byte.
  9693.  
  9694. Sintomi: Aumenta la lunghezza i file con estensione *.COM 
  9695. infetti di 1.701/1.704 Byte quando la data di sistema Φ compresa 
  9696. tra ottobre e dicembre 1988. Cinque minuti dopo l'installazione, 
  9697. il virus individua tutti i caratteri presenti sullo schermo e 
  9698. li fa cadere uno ad uno.
  9699.  
  9700. Danni: Non fa danni. Il sistema si blocca dopo che il virus 
  9701. viene attivato.
  9702.  
  9703.  
  9704. [2881]
  9705. Nome del Virus: 2881.
  9706. Pseudonimo: Yankee Doodle virus.
  9707. Tipo di Virus: Virus parassita.
  9708. Lunghezza del Virus: 2.881 Byte.
  9709.  
  9710. Sintomi: Aumenta la lunghezza dei file infetti di circa 2.881 Byte 
  9711. e diminuisce la memoria RAM libera. I file con estensione *.COM 
  9712. infetti mostrano 7A4Fh e 2Ch come parole finali (flag per altri virus, 
  9713. per esempio per i virus Vacsina). Il virus fa suonare "Yankee Doodle" 
  9714. quando diverse varianti sono presenti contemporaneamente (vedere danni).
  9715.  
  9716. Danni: Modificazione Ping-Pong del virus: modifica il virus  Ping-Pong 
  9717. in memoria. Cambia due Byte, una regolazione ed aggiunge una subroutine. 
  9718. Scrive il conteggio su tutti i dischi e dopo 255 riavvii, il virus 
  9719. Ping-Pong esce dalla memoria (ritorna all'originale 
  9720. interrupt vettoriale 13h e al valore 0:413h). 
  9721. Subito dopo viene suonata  la canzone "Yankee Doodle". 
  9722.  
  9723. [2928]
  9724. Nome del Virus: 2928.
  9725. Pseudonimo: Yankee Doodle virus.
  9726. Tipo di Virus: Virus parassita.
  9727. Lunghezza del Virus: 2.928 Byte.
  9728.  
  9729. Sintomi: Aumenta la misura dei file infetti di circa 2.928 Byte 
  9730. e diminuisce la memoria RAM libera. I file con estensione *.COM infetti
  9731. mostrano 7A4Fh e come parole finali 
  9732. (flag per altri virus, per esempio: per i virus Vacsina). 
  9733. Il virus fa suonare "Yankee Doodle" quando diverse varianti 
  9734. sono presenti insieme (vedere danni).
  9735.  
  9736. Danni: Modificazione Ping-Pong del virus: modifica il virus  
  9737. Ping-Pong in memoria. Cambia due Byte, una regolazione ed 
  9738. aggiunge una subroutine. Scrive il conteggio su tutti i dischi e 
  9739. dopo 255 riavvii, il virus Ping-Pong esce dalla memoria 
  9740. (ritorna all'originale interrupt vettoriale 13h e al valore 0:413h). 
  9741. Subito dopo viene suonata la canzone "Yankee Doodle". 
  9742.  
  9743. Caratteristiche particolari: Sembra che questo virus sia una versione 
  9744. vecchia del virus 2881. Fa inoltre parte di un grande gruppo di virus. 
  9745. Con il proprio livello 29h Φ un'edizione precedente dello stesso virus. 
  9746. Ha lo stesso meccanismo, causa gli stessi danni 
  9747. (eccezion fatta per il virus 2881 che non suona la melodia 
  9748. quotidianamente, quindi non viene subito rilevato). 
  9749. Il codice del virus 2881 Φ ottimizzato, cosicchΦ la nuova edizione 
  9750. Φ pi∙ corta (di circa 47 Byte).
  9751.  
  9752.  
  9753. [3584]
  9754. Nome del Virus: 3584.
  9755. Pseudonimo: Fish 6.
  9756. Tipo di Virus: Virus parassita, Residente in memoria.
  9757. Lunghezza del Virus: 3.584 Byte.
  9758.  
  9759. Sintomi: Aumenta la misura dei file infetti di 3.584 Byte. 
  9760. Diminuisce la memoria RAM libera di 6KB.
  9761.  
  9762. Danni: Il virus mostra sullo schermo il seguente messaggio:
  9763.  "FISH VIRUS #6 - EACH DIFF BONN 
  9764. 2/90 '~knzyvo}'" usando la funzione 9 dell'interrupt 21h e blocca 
  9765. il sistema usando l'istruzione HLT.
  9766.  
  9767.  
  9768. [4096]
  9769. Nome del Virus: Virus 4096.
  9770. Tipo di Virus: Virus da file.
  9771. Lunghezza del Virus: 4.096 Byte.
  9772.  
  9773. Procedura eseguita: Viene modificato il settore di boot se la 
  9774. data di sistema Φ sucessiva al giorno 21 settembre. 
  9775. Avviando con un disco infetto, compare  sullo schermo il seguente messaggio: 
  9776.  
  9777. "FRODO LIVES".
  9778.  
  9779. Il codice del virus non Φ perfetto, quindi eseguendo un file 
  9780. infetto dopo il 21 settembre, le aree di sistema non sono modificate 
  9781. ma il virus pu≥ causare il blocco del sistema.
  9782.  
  9783. Danni: Il virus infetta i file con estensione *.COM minori di 
  9784. 61.440 Byte ed i file con estensione *.EXE. Utilizzando i flag, 
  9785. fa aumentare la data dei file di 100 anni. 
  9786. (DOS riporta solo le ultime due cifre digitate, 
  9787. quindi non Φ facilmente diagnosticabile eseguendo, per esempio, il comando DIR).
  9788.  
  9789. Metodo di rilevazione: Il virus aumenta la misura dei file infetti 
  9790. di 4.096 Byte. La memoria Φ diminuita di circa 6 KB.
  9791.  
  9792. [534]
  9793. Nome del Virus: 534.
  9794. Tipo di Virus: Virus parassita.
  9795. Lunghezza del Virus: 534 Byte.
  9796.  
  9797. Sintomi: Il virus infetta i file con estensione *.COM nella directory 
  9798. corrente o nella directory principale che siano maggiori 
  9799. di 256 Byte e minori di 64.000 Byte. Aumenta la misura dei 
  9800. file infetti di 534 Byte ed i file contengono la seguente stringa:
  9801.  
  9802.  "????????.COM".
  9803.  
  9804. [April 1st]
  9805. Nome del Virus: April 1st.
  9806. Pseudonimo: Nessuno.
  9807. Tipo di Virus: Virus da file.
  9808. Lunghezza del Virus: 1.488 Byte.
  9809.  
  9810. Procedura eseguita:
  9811. 1)  Il virus controlla che sia giα residente in memoria. 
  9812. Se "NO", si carica intercettando l'INT 21h.
  9813. 2) Quindi esegue il file originale.
  9814. 3) Una volta in memoria infetta ogni file non infetto che viene eseguito.
  9815.  
  9816. Danni: Il 1░ aprile, il virus mostra il messaggio: 
  9817.  
  9818. "APRIL 1ST HA HA HA YOU HAVE A VIRUS." 
  9819.  
  9820. Dopo aver mostrato il messaggio il virus blocca il sistema.
  9821.  
  9822. Metodo di rilevazione: April 1st aumenta la lunghezza dei 
  9823. file con estensione *.EXE di 1488 Byte. 
  9824. I file infetti contengono la stringa "SURIV.". 
  9825. Controllare che esista il file chiamato "BUG.DAT" nella directory C:\.
  9826.  
  9827. Note: Si carica in memoria. Appare un messaggio 
  9828. d'errore in caso ci sia un errore di I/O 
  9829. (come per esempio protetto da scrittura).
  9830.  
  9831. [Autumn]
  9832. Nome del Virus: Autumn.
  9833. Pseudonimo: Virus 1701, Cascade-B.
  9834. Tipo di Virus: Virus parassita, residente i memoria RAM .
  9835. Lunghezza del Virus: 1.701 Byte.
  9836. Vettore PC agganciato: Int 21.
  9837.  
  9838. Procedura eseguita:
  9839. 1)  Il virus controlla che sia giα residente in memoria. 
  9840. Se "NO", si carica intercettando l'INT 21h.
  9841. 2) Quindi esegue il file originale.
  9842. 3) Una volta in memoria infetta ogni file non infetto che viene eseguito.
  9843.  
  9844. Danni: Il virus Autumn causa la caduta ("fall down") dei caratteri 
  9845. presenti sullo schermo (modificazione della Video-RAM). 
  9846. Inizialmente questo non avviene frequentemente ma sucessivamente 
  9847. aumentano sia il "fall down", sia gli effetti sonori. 
  9848. I caratteri ASCII alti non cadono.
  9849. I caratteri non possono attraversare le eventuali diverse zone del video. 
  9850. Il virus non ha effetti sui monitor monocromatici. Alcune volte il virus 
  9851. causa il blocco del sistema
  9852.  
  9853. Metodo di rilevazione: I file infetti aumentano di lunghezza di 1.701Byte.
  9854.  
  9855. Note: Si carica in memoria. Appare un messaggio d'errore in caso ci 
  9856. sia un errore di I/O (come per esempio protetto da scrittura).
  9857.  
  9858. [Bogus-B]
  9859. Nome del Virus: BOGUS-B.
  9860. Tipo di Virus: Virus da file (file con estensione *.EXE e *.COM) e
  9861.             infetta la tabella delle partizioni.
  9862. Lunghezza del Virus: Nessun cambiamento.
  9863.  
  9864. Vettore PC agganciato: INT 21h, INT 24h, INT 13h.
  9865.  
  9866. Processo di infezione:
  9867. 1) Quando si esegue un file infettato dal virus Bogus-B questo controlla 
  9868. che il settore #1 sia stato infettato. Se "NO", il virus lo infetta.
  9869. 2) Controlla che sia giα in memoria. Se "NO",  si carica intercettando 
  9870. l'INT 21h e l'INT 13h, quindi esegue il file originale.
  9871. 3) Una volta in memoria BOGUS-B pu≥ infettare ogni programma eseguibile.
  9872.  
  9873. Danni: Quando il numero dei file infetti sorpassa 2710h, BOGUS-B
  9874. distrugge tutti i dati sull'hard disk.
  9875.  
  9876. Metodo di rilevazione: Controllare che il file header sia l'INT 13h (AX=90 o 91). 
  9877. Se "SI", controlla che sia agganciato l'INT 21h .
  9878. a) Quando si avvia il sistema, bisogna trasformare 21_flag=3. 
  9879. b) Controllare che l'INT 21h sia chiamato da altri programmi; 
  9880. se "SI", 21_flag Φ diminuita di 1. c) Quando 21_flag=0,
  9881. BOGUS  intercetta l'INT 21h per infettare altri file. 
  9882. 2) Controllare ogni tentativo di leggere il settore #1; 
  9883. In caso positivo, mostrare i dati originali del settore #1. 
  9884. 3) Controllare che sia AX=90 o 91; se "SI", eseguire il giusto interrupt.
  9885.  
  9886. Notes: BOGUS intercetta l'INT 24h quando infetta i file. 
  9887. Omette gli errori di I/O (come per esempio protetto da scrittura).
  9888.  
  9889. [Bulgarian Virus]
  9890. Nome del Virus: Bulgarian Virus.
  9891. Pseudonimo: Virus 1800, Sofia virus, Dark Avenger.
  9892. Tipo di Virus: Virus parassita e del Settore di Boot.
  9893. Lunghezza del Virus: Circa 1.800 Byte.
  9894. Vettore PC agganciato: Int 21.
  9895.  
  9896. Processo di infezione:
  9897. 1)  Il virus controlla che sia giα in memoria. 
  9898. Se "NO", si carica intercettando l'INT 21h.
  9899. 2)  Il virus esegue poi il file originale.
  9900. 3) Una volta che il virus Φ in memoria viene infettato ogni 
  9901. file non infetto eseguito.
  9902.  
  9903. Danni:  Il virus legge il settore di boot del disco (offset 10, OEM
  9904. Versione decimale) e si segna il numero dei programmi che vengono 
  9905. eseguiti dal disco MOD 16. 
  9906. Se Φ zero (ogni volta che vengono eseguiti 16 programmi!!), 
  9907. sovrascrive un cluster, scelto casualmente, con il proprio codice virale. 
  9908. Il numero del cluster viene quindi memorizzato nel settore di boot all'offset 8 
  9909. (OEM versione principale). 
  9910. Il settore di boot modificato viene riscritto sul disco.
  9911.  
  9912. Metodo di rilevazione: I file infetti aumentano di 1.800 Byte.
  9913.  
  9914. Notes:
  9915. 1) Si carica in memoria.
  9916. 2) Non intercetta l'INT 24h quando infetta i file. 
  9917. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  9918. (come per esempio protetto da scrittura).
  9919.  
  9920. [Cannabis-B]
  9921. Nome del Virus: Cannabis-B.
  9922. Tipo di Virus: Virus da file.
  9923. Lunghezza del Virus: Nessuna.
  9924. Vettore PC agganciato: Nessuna.
  9925.  
  9926. Procedura eseguita: Quando viene eseguito un file infetto, 
  9927. il virus da boot "Cannabis" viene scritto sul settore di boot del drive A.
  9928.  
  9929. Danni: Vedere quanto detto sopra in "Procedura eseguita".
  9930.  
  9931. Metodo di rilevazione: Nessuno.
  9932.  
  9933. Notes: Cannabis non intercetta l'INT 24h quando infetta il file. 
  9934. Omette errori di I/O (come per esempio protetto da scrittura).
  9935.  
  9936. [Christmas]
  9937. Nome del Virus: Christmas.
  9938. Pseudonimos: Virus 600, Xmas In Japan, Japanese Christmas.
  9939. Tipo di Virus: Virus da file (file con estensione *.COM)
  9940. Lunghezza del Virus: 600 Byte
  9941.  
  9942. Danni: Quando viene eseguito un file infetto il 25 dicembre, 
  9943. appare il seguente messaggio:
  9944.  
  9945. "A Merry christmas to you" oppure "Jingo Bell, jingo bell, jingo all
  9946. the way."
  9947.  
  9948. Metodo di rilevazione: Il file COMMAND.COM aumenta di 600 Byte 
  9949. ed i file con estensione *.COM infetti aumentano di 600 Byte.
  9950.  
  9951. [Comp-3351]
  9952. Nome del Virus: Comp-3351.
  9953. Tipo di Virus: Virus parassita.
  9954. Lunghezza del Virus: 3.351 Byte.
  9955.  
  9956. Procedura eseguita:
  9957. Comp-3351 cerca un file con estensione *.EXE nella directory corrente. 
  9958. Quindi crea un file con estensione *.COM (file nascosto) usando 
  9959. lo stesso nome del file con estensione *.EXE.
  9960. Il file con estensione *.COM contenente il codice del virus Φ lungo 3.351 Byte.
  9961.  
  9962. Danni: Nessuno.
  9963.  
  9964. Metodo di rilevazione: La lunghezza dei file Φ di 3.351 Byte.
  9965.  
  9966. Note:
  9967. 1)    Non residente in memoria.
  9968. 2) Il file del virus Φ compresso e non Φ possibile individuarlo 
  9969. prima che sia decompresso (similmente a PKLITE).
  9970.  
  9971. [Como-B]
  9972. Nome del Virus: Como-B.
  9973. Tipo di Virus: Virus da file (file con estensione *.EXE).
  9974. Lunghezza del Virus: 2.020 Byte.
  9975.  
  9976. Vettore PC agganciato: Nessuno.
  9977.  
  9978. Procedura eseguita:
  9979. 1) Cerca i file con estensione *.EXE nella directory corrente 
  9980. ed una volta trovato, controlla che sia giα stato infettato da COMO-B.
  9981. Se il file Φ giα stato infettato, il virus continua a cercare
  9982. ogni file con estensione *.EXE non infetto.
  9983. 2) COMO-B infetta un file alla volta.
  9984. 3) Dopo che tre file sono stati infettati, appare il seguente messaggio:
  9985.  
  9986.     "This is the ...COMO-LAKE .. virus(rel . 1 1).........I'm a
  9987.     non-destructive virus developed to study the worldwide diffusion
  9988.     rate. I was released in September 1990 by a software group
  9989.     resident near Como lake (north Italy) .....Don't worry about your
  9990.     data on disk. My activity is limited only .. to auto-transferring
  9991.     into other program files. Perhaps you've got .. mogni files
  9992.     infected. Press a key to execute the prompt.
  9993.  
  9994. Danni: Nessuno.
  9995.  
  9996. Metodo di rilevazione: I file infetti aumentano di 2.020 Byte.
  9997.  
  9998. Note:
  9999. 1) Non residente in memoria.
  10000. 2) COMO non intercetta l'INT 24h quando infetta il file. 
  10001. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10002. (come per esempio protetto da scrittura).
  10003.  
  10004. [D-Tiny]
  10005. Nome del Virus: D-TINY.
  10006. Tipo di Virus: In memoria, Virus da file (file con estensione *.COM).
  10007. Lunghezza del Virus: 126 Byte.
  10008. Vettore PC agganciato: INT 21h.
  10009.  
  10010. Metodo di infezione:
  10011. 1) In caso non fosse caricato in memoria, D-Tiny si carica intercettando l'INT 21h.
  10012. 2) Quindi esegue il file originale.
  10013. 3) Una volta in memoria infetta ogni file non infetto eseguito. 
  10014. Non infetta i file con estensione *.EXE.
  10015.  
  10016. Danni: Nessuno.
  10017.  
  10018. Metodo di rilevazione: I file infetti con estensione *.COM 
  10019. aumentano di 126 Byte.
  10020.  
  10021. Note: D-TINY non intercetta l'INT 24h quando infetta il file. 
  10022. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10023. (come per esempio protetto da scrittura).
  10024.  
  10025.  
  10026.  
  10027. [Dark_Avenger]
  10028. Nome del Virus: Dark_Avenger.
  10029. Pseudonimo: Eddie.
  10030. Tipo di Virus: Virus da file (file con estensione *.EXE e *.COM).
  10031. Lunghezza del Virus: 1.800 Byte.
  10032. Vettore PC agganciato: INT 21h.
  10033.  
  10034. Metodo di infezione: Quando viene eseguito un file infetto, 
  10035. il virus si carica in memoria. Mentre viene caricato, 
  10036. infetta ogni file eseguito.I file infetti aumentano di 1.800 Byte.
  10037.  
  10038. Danni: Il virus legge il settore di boot del disco e segna 
  10039. il numero di programmi eseguiti dal disco. 
  10040. Ogni volta che vengono eseguiti 16 programmi, 
  10041. il virus sovrascrive un cluster del disco, scelto casualmente, 
  10042. con il proprio codice.
  10043. I file infetti contengono questa stringa:
  10044.  
  10045. "Eddie lives...somewhere in time! Diana P."
  10046.  
  10047. "This program was written in the city of Sofia (C) 1988-89 Dark
  10048. Avenger."
  10049.  
  10050. [Data Crime IIB]
  10051. Nome del Virus: Datacrime II b.
  10052. Pseudonimo: Nessuno.
  10053. Tipo di Virus: Virus da file.
  10054. Lunghezza del Virus: 1.460 Byte.
  10055.  
  10056. Danni:  Il virus formatta a basso livello il cilindro 0 
  10057. dell'hard disk dopo il 12 ottobre.
  10058.  
  10059. Metodo di rilevazione: Tra il 12 e il 31 ottobre, esclusi i luned∞, 
  10060. il virus mostra il seguente messaggio: "DATACRIME-2 VIRUS."  
  10061. Il virus quindi formatta a basso livello il cilindro 0 dell'hard disk. 
  10062. Blocca il sistema.
  10063.  
  10064.  
  10065. [Deiced]
  10066. Nome del Virus: Deiced.
  10067. Tipo di Virus: Virus da file, in memoria alta 
  10068. (solamente i file con estensione *.COM).
  10069. Lunghezza del Virus: 2.333 Byte.
  10070. Vettore PC agganciato: INT 21h, INT 24h.
  10071.  
  10072. Procedura eseguita:
  10073. 1) Controlla che sia residente nella memoria alta. 
  10074. Se "NO", si carica in memoria alta agganciando l'INT 21h.
  10075. 2) Controlla che il COMMAND.COM sia stato infettato.
  10076.     Se "NO", lo infetta.
  10077. 3) Deiced controlla la data di sistema, in caso sia il 15 gennaio, 
  10078. aprile o agosto, il virus danneggia tutti i file del disco di sistema. 
  10079. Metodo di infezione: Il virus infetta un file con estensione *.COM 
  10080. agganciandosi a AX=4B00h (se il file non Φ infetto). 
  10081. Quando viene eseguito il comnando "DIR", il virus cerca 
  10082. tutti i file non infetti nella directory e li infetta. 
  10083. Deiced  intercetta l'INT 24h per nascondersi mentre infetta i file.
  10084.  
  10085. Danni: Se la data del sistema Φ il 15 di gennaio, aprile o agosto,
  10086. il virus danneggia tutti i file del disco di sistema.
  10087.  
  10088. Metodo di rilevazione: I file infetti aumentano di 2.333 Byte.
  10089.  
  10090.  
  10091. [Dropper-4]
  10092. Nome del Virus: DROPPER-4.
  10093. Tipo di Virus: Virus da file (file con estensione *.EXE e *.COM).
  10094. Lunghezza del Virus: 1.125 Byte.
  10095. Vettore PC agganciato: INT 24h.
  10096.  
  10097. Procedura eseguita:
  10098. 1)  Il virus cerca i file non infetti con estensione *.EXE  o *.COM 
  10099. nella directory corrente.
  10100. 2) Infetta due file alla volta.
  10101. 3) Esegue il file originale.
  10102.  
  10103. Danni: Nessuno.
  10104.  
  10105. Metodo di rilevazione: I file infetti aumentano di 1.125 Byte.
  10106.  
  10107. Notes:
  10108. 1) Non residente in memoria.
  10109. 2) Dropper-4  intercetta l'INT 24h quando infetta i file. 
  10110. Omette gli errori di I/O (come per esempio protetto da scrittura).
  10111.  
  10112. [Ell]
  10113. Nome del Virus: ELL.
  10114. Pseudonimo: Nessuno.
  10115. Tipo di Virus: Virus da file (I file con estensione *.EXE e *.COM).
  10116. Lunghezza del Virus: 1.237-1246 Byte (I file con estensione *.EXE), 
  10117. 1.237 Byte (I file con estensione *.COM).
  10118.  
  10119. Vettore PC agganciato: INT 21h.
  10120.  
  10121. Procedura eseguita:
  10122. 1) Controlla che sia in memoria. Se "NO", si carica in memoria 
  10123. intercettando l'INT 21h.
  10124. 2) Esegue il file originale.
  10125. 3) Il virus in memoria infetta ogni file non infetto eseguito.
  10126.  
  10127. Danni: Nessuno.
  10128.  
  10129. Metodo di rilevazione: Aumenta la misura dei file infetti di 
  10130. 1.237/1.246 Byte.
  10131.  
  10132. Note:
  10133. Si carica in memoria. Appare un messaggio d'errore in caso vi sia un errore di
  10134. I/O (come per esempio protetto da scrittura).
  10135.  
  10136.  
  10137. [Elvis]
  10138. Nome del Virus: Elvis.
  10139. Tipo di Virus: Virus da file. (I file con estensione *.COM).
  10140. Lunghezza del Virus: 1.250 Byte.
  10141.  
  10142. Vettore PC agganciato: INT 8h.
  10143.  
  10144. Procedura eseguita:
  10145. 1)  Il virus cerca i file con estensione *.COM non infetti nella 
  10146. directory corrente e li infetta tre alla volta.
  10147. 2) Intercetta l'INT 8h ed esegue il file originale.
  10148.  
  10149. Danni: Circa 8 minuti dopo l'esecuzione del virus appare sullo 
  10150. schermo uno dei seguenti messaggi: 
  10151. 1) "Elvis lives!" 
  10152. 2) "ELVIS is watching!" 
  10153. 3) "Don maybe he lives here!.....," eccetera.
  10154.  
  10155. Metodo di rilevazione: I file infetti aumentano di 1.250 Byte.
  10156.  
  10157. Notes:
  10158. 1) Non rimane in memoria.
  10159. 2) Elvis non intercetta l'INT 24h quando infetta il file. 
  10160. Omette gli errori di I/O
  10161.    (come per esempio protetto da scrittura).
  10162.  
  10163.  
  10164. [F3]
  10165. Nome del Virus: F3.
  10166. Tipo di Virus: In memoria, Virus da file. (I file con estensione *.EXE e *.COM).
  10167. Lunghezza del Virus: 50.406 Byte.
  10168.  
  10169. Vettore PC agganciato: INT 21h, AX=4B00h(Programma eseguibile), INT 24h.
  10170.  
  10171. Metodo di infezione:
  10172. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10173.  in memoria alta intercettando l'INT 21h.
  10174. 2) Controlla la data di sistema. Se Φ il giorno 1 aprile, 
  10175. appaiono sullo schermo due linee del codice.
  10176. 3) Esegue il file originale.
  10177. 4) Una volta in memoria, infetta ogni file non infetto eseguito.
  10178.  
  10179. Danni: Nessuno.
  10180.  
  10181. Metodo di rilevazione: I file infetti aumentano di 50.406 Byte.
  10182.  
  10183. Note: Il virus F3 intercetta l'INT 24h quando infetta i file. 
  10184. Omette gli errori I/O (come per esempio protetto da scrittura).
  10185.  
  10186.  
  10187. [Flip-B]
  10188. Nome del Virus: Flip-B.
  10189. Tipo di Virus: Infetta la tabella delle partizioni ed i file
  10190. Lunghezza del Virus: 2.153 Byte.
  10191.  
  10192. Vettore PC agganciato: INT 21h, INT 24h, INT 1Ch.
  10193.  
  10194. Procedura eseguita:
  10195. 1) Quando viene eseguito un file infetto, il virus controlla che il settore
  10196.  #1 dell'hard drive sia infetto. Se "NO", il virus procede alla sua infezione.
  10197. 2) Controlla che sia residente in memoria. Se "NO", si carica
  10198. in memoria intercettando l'INT 21h e INT 1Ch.
  10199. 3) Infetta i file quando vengono eseguiti.
  10200.  
  10201. Danni: A volte non si riesce ad avviare il computer dall'hard disk.
  10202.  
  10203. Metodo di rilevazione: I file infetti aumentano di 2.153 Byte.
  10204.  
  10205. INT 1Ch: Controlla che l'INT 21h costantemente intercettato da un altro programma.
  10206.  
  10207. Note: Flip-B intercetta l'INT 24h quando infetta i file, 
  10208. omette gli errori I/O (come per esempio protetto da scrittura).
  10209.  
  10210.  
  10211. [Gp 1]
  10212. Nome del Virus: Gp1.
  10213. Tipo di Virus: Network Specific Virus.
  10214. Lunghezza del Virus: 1.557 Byte (file con estensione *.EXE), 
  10215. 1.845 Byte (file con estensione *.COM).
  10216.  
  10217. Procedura eseguita:
  10218. 1) Controlla che sia in memoria. Se "NO", si carica
  10219.  in memoria alta intercettando l'INT 21h.
  10220. 2) Esegue il file originale.
  10221. 3) Una volta in memoria infetta ogni file non infetto eseguito.
  10222.  
  10223. Sintomi: Se il virus Φ attivo in memoria e se il primo carattere 
  10224. sulla linea di comando Φ "i", il virus esce dalla memoria 
  10225. (questo avviene solo se il virus Φ l'ultimo TSR per cambiare l'INT21h) 
  10226. e mostra il messaggio "GP1 Removed from memoria."
  10227.  
  10228. Danni: Nessuno. Gp1 Φ l'unico LAN virus conosciuto. 
  10229. Questa Φ una variante del virus Jerusalem ed Φ stato creato 
  10230. con uno scopo preciso: penetrare nei dispositivi di sicurezza Novell 
  10231. e diffondersi nel network. Il virus non contiene nessuna manipolazione 
  10232. (escludendo il monitoraggio Novell LOGIN e il tentativo di forzare 
  10233. i dispositivi di sicurezza Novell).
  10234.  
  10235. [Hiccup]
  10236. Nome del Virus: Hiccup.
  10237. Pseudonimoes: Comp-3351.
  10238. Tipo di Virus: Virus parassita (file con estensione *.EXE).
  10239. Lunghezza del Virus: 3.351 Byte.
  10240.  
  10241. Procedura eseguita:
  10242. 1) Hiccup cerca un file con estensione *.EXE nella directory corrente.
  10243. 2) Crea un file con estensione *.COM (file nascosto) consistente nel 
  10244. codice del virus.
  10245. Una volta eseguito, esegue i file con estensione *.COM, quindi ritorna 
  10246. alla funzione originale.
  10247.  
  10248. Danni: Nessuno.
  10249.  
  10250. Metodo di rilevazione: La lunghezza del file Φ di 3,351 Byte.
  10251.  
  10252. Note:
  10253. 1) Non residente in memoria.
  10254. 2)  Il file del virus Φ compresso e non pu≥ essere individuato senza che 
  10255. venga decompresso (similmente a PKLITE).
  10256.  
  10257. [Icelandic]
  10258. Nome del Virus: Icelandic.
  10259. Pseudonimo: Saratoga.
  10260. Tipo di Virus: Virus da file.
  10261. Lunghezza del Virus: 642  Byte (EXE).
  10262.  
  10263. Procedura eseguita:
  10264. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10265. in memoria intercettando l'INT 21h.
  10266. 2) Esegue il file originale.
  10267. 3) Una volta in memoria, infetta ogni file non infetto eseguito. 
  10268. Non infetta i file con estensione *.COM.
  10269.  
  10270. Danni: I file infetti con estensione *.EXE aumentano di 642 Byte.
  10271.  
  10272. Note:
  10273. 1) Il virus si carica residente in memoria.
  10274. 2) Non intercetta l'INT 24h quando infetta i file.
  10275. 3) Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10276. (come per esempio protetto da scrittura).
  10277.  
  10278.  
  10279. [Inok-2371]
  10280. Nome del Virus: Inok-2371.
  10281. Tipo di Virus: Virus parassita.
  10282. Lunghezza del Virus: I file infetti con estensione *.COM aumentano 
  10283. di 2.372 Byte. (Non infetta i file con estensione *.EXE).
  10284. Vettore PC agganciato: Nessuno.
  10285.  
  10286. Procedura eseguita: Decide di usare indistintamente uno dei 
  10287. seguenti metodi:
  10288. 1) Cerca i file non infetti con estensione *.COM nella directory corrente. 
  10289. In caso ve ne sia uno, lo infetta (infetta un solo file alla volta), 
  10290. e/o il programma principale.
  10291. 2) Crea un file chiamato ICONKIN.COM nella directory corrente e lo esegue. 
  10292. (Non infetta tutti i file. Mostra una piccola finestra ripetutamente 
  10293. finchΦ non Φ premuto un tasto. 
  10294. La piccola finestra ricompare dopo un certo periodo di tempo. 
  10295. Mentre la finestra compare sullo schermo, le applicazioni aperte sono bloccate.)
  10296.  
  10297. Metodo di infezione:
  10298. 1)  Il virus infetta i file da AH=4B dell'INT 21h. 
  10299. Quando viene eseguito un file pulito, il virus lo infetta.
  10300. 3) Lycee intercetta l'INT 24h prima di infettare i file 
  10301. per ignorare gli errori di I/O. 
  10302.  
  10303. Danni: Fare riferimento a Procedura eseguita 2).
  10304.  
  10305. Metodo di rilevazione:
  10306. 1) Ricercare la piccola finestra descritta nella Procedura eseguita 2).
  10307. 2) I file infetti aumentano di 2.372 Byte.
  10308.  
  10309. Note:
  10310. 1) Non residente in memoria.
  10311. 2) Quando infetta i file, il virus non intercetta l'INT 24h. 
  10312. Appare un messaggio d'errore in caso ci siano errori di I/O 
  10313. (come per esempio protetto da scrittura).
  10314.  
  10315.  
  10316. [J-Infect]
  10317. Nome del Virus: J-Infect.
  10318. Tipo di Virus: Residente in memoria, Virus da file 
  10319. (infetta i file con estensione *.EXE e *.COM).
  10320. Lunghezza del Virus: 12.080 Byte.
  10321.  
  10322. Vettore PC agganciato: INT 21h.
  10323.  
  10324. Procedura eseguita:
  10325. 1) Simile al virus "JERUSALEM" che infetta gli stessi tipi di file.
  10326.  
  10327. Metodo di rilevazione: I file infetti aumentano di 10.280 Byte.
  10328.  
  10329.  
  10330. [Joanna]
  10331. Nome del Virus: JOANNA.
  10332. Pseudonimoes: Nessuno.
  10333. Tipo di Virus: Virus da file.
  10334. Lunghezza del Virus: 986 Byte.
  10335.  
  10336. Procedura eseguita:
  10337. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10338. in memoria intercettando l'INT 21h.
  10339. 2) Esegue il file originale.
  10340. 3) Una volta residente in memoria infetta ogni file non infetto eseguito.
  10341.  
  10342. Metodo di rilevazione:
  10343. 1) Il virus mostra il messaggio: "I love you Joanna, Apache...."
  10344. 2) I file infetti aumentano di 986 Byte.
  10345.  
  10346. Note: Si carica residente in memoria. Appare un messaggio 
  10347. d'errore in caso ci sia un errore di I/O 
  10348. (come per esempio protetto da scrittura).
  10349.  
  10350. [July 4]
  10351. Nome del Virus: July 4, Stupid 1.
  10352. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  10353. Lunghezza del Virus: 743 Byte.
  10354.  
  10355. Procedura eseguita:
  10356. 1) Se la parola all'indirizzo 0000:01FEh Φ FFFFh, il virus 
  10357. non infetta ogni file. Altrimenti infetta tutti i file puliti 
  10358. con estensione *.COM nella directory corrente. In caso il numero 
  10359. di infezioni sia inferiore a 2, inizia ad infettare i file con 
  10360. estensione *.COM nella directory superiore finchΦ pi∙ di due file 
  10361. siano stati infettati o finchΦ non abbia raggiunto 
  10362. la directory principale.
  10363. 2) Se Φ il giorno 4 Luglio e l'ora  0:00, 1:00, 2:00, 3:00, 4:00, o 5:00, 
  10364. il virus distrugge i dati sul dischetto.
  10365.  
  10366. Metodo di rilevazione:
  10367. 1) Vengono cambiate data ed ora dei fie infetti.
  10368. 2) Il Byte allo 0003h del file infetto con estensione *.COM Φ 1Ah.
  10369. 3) I file infetti con estensione *.COM mostrano uno dei seguenti messaggi:
  10370.     "Abort, Retry, Ignore, Fail?" , "Fail on INT 24"
  10371.     (2) - "Impotence error reading users disk"
  10372.     (0) - "Program too big to fit in memoria"
  10373.     (1) - "Cannot load .COMMAND, system halted"
  10374.     (3) - "Joker!" and "*.com."
  10375.  
  10376. [K]
  10377. Nome del Virus: N1.
  10378. Tipo di Virus: COM Virus da file.
  10379. Lunghezza del Virus: 10.230-10.240 Byte.
  10380.  
  10381. Procedura eseguita:
  10382. 1) Cerca un file non infetto con estensione *.COM nella directory 
  10383. corrente e lo infetta. (Infetta un solo file alla volta).
  10384. 2) Quindi mostra il seguente messaggio :
  10385.  
  10386.    "This File Has Been Infected By NUMBER One!"
  10387.  
  10388. Danni: Nessuno.
  10389.  
  10390. Note:
  10391. 1) Non residente in memoria.
  10392. 2) Appare un messaggio d'errore mentre si scrive perchΦ l'INT 24h 
  10393. non Φ stato agganciato.
  10394.  
  10395. Metodo di rilevazione:
  10396. 1) Quando vengono esguiti i file infetti appare il messaggio 
  10397. sopra riportato.
  10398.  
  10399. [Kill COM]
  10400. Nome del Virus: Killcom.
  10401. Tipo di Virus: Virus da file.
  10402. Lunghezza del Virus: 31.648 Byte.
  10403. Vettore PC agganciato: Nessuno.
  10404.  
  10405. Procedura eseguita:
  10406. 1) Cerca il COMMAND.COM nella directory corrente di C:\.
  10407. 2) Se lo trova, altera questo file. Se "NO", crea un 
  10408. file COMMAND.COM di 213 Byte.
  10409.  
  10410. Danni: Altera i file COMMAND con estensione *.COM nella 
  10411. directory corrente di C:\.
  10412.  
  10413. Metodo di rilevazione: Nessuno.
  10414.  
  10415. Note:
  10416. 1) Non residente in memoria.
  10417. 2) Non intercetta l'INT 24h quando infetta i file. 
  10418. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10419. (come per esempio protetto da scrittura).
  10420.  
  10421. [LB-Demonic]
  10422. Nome del Virus: lb-Demonic.
  10423. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  10424. Lunghezza del Virus: Nessun cambiamento.
  10425. Vettore PC agganciato: Nessuno.
  10426.  
  10427. Procedura eseguita:
  10428. 1) Infetta tutti i file non infetti con estensione *.COM nella directory corrente.
  10429. 2) Quando il file viene eseguito appare il messaggio: "EXEC FAILURE".
  10430. 3) Controlla la data di sistema. Se Φ marted∞, il virus rinomina 
  10431. il COMMAND.COM di C:\ con COMMAND.C0M (la "O" dn .COM cambiata con "0").
  10432. 4) Mostra questo messaggio: "Error reading drive C:\ BillMeTuesday".
  10433.  
  10434. Danni:
  10435. 1) Rinomina il COMMAND.COM con COMMAND.C0M, cos∞ il sistema non Φ 
  10436. avviabile da un disco.
  10437. 4) Sovrascrive il file originale ed i file infetti quindi 
  10438. non aumenta la loro lunghezza.
  10439. 5) 
  10440. Note:
  10441. 1) Non residente in memoria.
  10442. 2) Non intercetta l'INT 24h quando infetta i file. 
  10443. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10444. (come per esempio protetto da scrittura).
  10445.  
  10446. [Mixer 1A]
  10447. Nome del Virus: Mixer 1A.
  10448. Pseudonimo: Virus 1618.
  10449. Tipo di Virus: Virus da file.
  10450. Lunghezza del Virus: Approssimativamente 1.618 Byte.
  10451. Vettore PC agganciato: Int 21.
  10452.  
  10453. Procedura eseguita:
  10454. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10455.  in memoria intercettando l'INT 21h.
  10456. 2) Esegue il file originale.
  10457. 3) Una volta residente in memoria, infetta ogni file non infetto eseguito.
  10458.  
  10459. Danni: Il mescolamento di caratteri inviati alla porta parallela 
  10460. o seriale usando le funzioni del bios, Φ la principale procedura 
  10461. di danneggiamento del virus. Tutti i Byte inviati alla porta vengono 
  10462. tradotti usando la tabella del virus.
  10463.  
  10464. Cinquanta minuti dopo che il virus si Φ installato, 
  10465. viene attivata la procedura della tastiera. 
  10466. Da questo momento, CapsLock Φ regolato su OFF e Numlock su ON. 
  10467. Il virus controlla che "Ctrl", "Alt" e "Del" siano premuti contemporaneamente. 
  10468. In questo caso il virus elimina il comando "Alt" ed attiva una procedura 
  10469. per la manipolazione dello schermo. Tuttavia il virus potrebbe richiamare 
  10470. la procedura in maniera errata.
  10471.  
  10472. Nella modalitα text, il virus cambia tutti gli attributi della pagina 0 
  10473. del video. Aggiunge 1 a tutti gli attributi e quando arriva a 256 
  10474. il virus si reimposta da solo. Dopo sessanta minuti che il virus Φ 
  10475. in memoria, mostra una palla simile a quella vista nel virus Ping-Pong. 
  10476. La palla Φ segnata "o" ed i suoi movimenti sono controllati dal BIOS 
  10477. (interrupt 10h).
  10478.  
  10479. Note:
  10480. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10481. (come per esempio protetto da scrittura).
  10482.  
  10483. [Multi-2B]
  10484. Nome del Virus: Multi-2-B.
  10485. Tipo di Virus: Virus da file (infetta i file con estensione *.COM e *.EXE) 
  10486. infetta la tabella delle partizioni.
  10487. Lunghezza del Virus: 927 Byte (i file con estensione *.COM), 
  10488. circa 1.000 Byte (i file con estensione *.EXE).
  10489. Vettore PC agganciato: INT 21h, INT 24h, INT 1Ch, INT 13h.
  10490.  
  10491. Procedura eseguita:
  10492. 1) Quando si esegue un file pulito, il virus infetta il Settore #1 
  10493. (se non Φ ancora stato infettato) dell'hard disk.
  10494. 2) Controlla che sia residente in memoria. Se "NO", infetta il 
  10495. Settore #1 quindi esce se viene eseguito il programma originale.
  10496.  
  10497. Danni: Nessuno.
  10498.  
  10499. Metodo di rilevazione: I file infetti aumentano di 927-1.000 Byte.
  10500.  
  10501. Note:
  10502. 1)    Multi-2 intercetta l'INT 24h quando infetta i file.
  10503. 2) Omette gli errori di I/O (come per esempio protetto da scrittura).
  10504.  
  10505. [Necro-B]
  10506. Nome del Virus: Necro-B.
  10507. Tipo di Virus: Virus da file (infetta i file con estensione *.EXE ed 
  10508. i file con estensione *.COM).
  10509. Lunghezza del Virus: 696 Byte (COM ed EXE).
  10510. Vettore PC agganciato: Nessuno.
  10511.  
  10512. Procedura eseguita:
  10513. 1) Cerca i file non infetti con estensione *.COM ed *.EXE nella
  10514.     directory corrente ed infetta tre file alla volta.
  10515.  
  10516. Danni: Nessuno.
  10517.  
  10518. Metodo di rilevazione:
  10519. 1) I file infetti aumentano di 696 Byte.
  10520.  
  10521. Note:
  10522. 1) Non residente in memoria.
  10523. 2) Non intercetta l'INT 24h quando infetta i file. Appare un messaggio 
  10524. d'errore in caso ci sia un errore di I/O (come per esempio protetto da scrittura).
  10525. 3) I file infetti non possono essere eseguiti od infettare altri file.
  10526.  
  10527.  
  10528. [No Wednesday]
  10529. Nome del Virus: NO-WEDNESDAY.
  10530. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  10531. Lunghezza del Virus: 520 Byte (COM).
  10532. Vettore PC agganciato: INT 24h.
  10533.  
  10534. Procedura eseguita:
  10535. 1) Cerca i file puliti con estensione *.COM nella directory 
  10536. corrente e li infetta, uno alla volta.
  10537. 2) Mostra il messaggio: "file not found".
  10538.  
  10539. Danni: I file infetti non possono eseguire il file originale.
  10540.  
  10541. Metodo di rilevazione:
  10542. 1) I file infetti aumentano di 520 Byte.
  10543. 2) Il messaggio "file not found" appare sullo schermo.
  10544.  
  10545. Note:
  10546. 1) Non residente in memoria.
  10547. 2) Intercetta l'INT 24h quando infetta i file. Omette gli errori di I/O 
  10548. (come per esempio protetto da scrittura).
  10549.  
  10550. [Prudent]
  10551. Nome del Virus: Prudent.
  10552. Pseudonimo: 1210.
  10553. Tipo di Virus: Virus da file.
  10554. Lunghezza del Virus: 1.210 Byte (file con estensione *.EXE).
  10555.  
  10556. Procedura eseguita:
  10557. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10558. in memoria intercettando l'INT 21h.
  10559. 2) Esegue il file originale.
  10560. 3) Una volta residente in memoria, infetta ogni file non infetto eseguito. 
  10561. Non infetta i file con estensione *.COM.
  10562.  
  10563. Danni: Sovrascrive il file originale.
  10564.  
  10565. Metodo di rilevazione: Dal primo al 4 maggio, il virus controlla 
  10566. frequentemente il disco, questo determina un anomalo lavoro del disco.
  10567.  
  10568. Note:
  10569. 1) Residente in memoria.
  10570. 2) Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10571. (come per esempio protetto da scrittura).
  10572.  
  10573. [Sandwich]
  10574. Nome del Virus: SANDWICH.
  10575. Tipo di Virus: In memoria alta, Virus da file 
  10576. (infetta i file con estensione *.COM).
  10577. Lunghezza del Virus: 1.172 Byte (COM).
  10578. Vettore PC agganciato: INT 21h, AX=4B00h (Programma eseguibile).
  10579.  
  10580. Metodo di infezione:
  10581. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10582. in memoria intercettando l'INT 21h.
  10583. 2) Esegue il file originale.
  10584. 3) Mentre residente in memoria, infetta ogni file non infetto eseguito. 
  10585. Non infetta i file con estensione *.EXE.
  10586.  
  10587. Danni: Nessuno.
  10588.  
  10589. Metodo di rilevazione: I file infetti aumentano di 1.172 Byte.
  10590.  
  10591. Note: Sandwich non intercetta l'INT 24h quando infetta il file.
  10592. Appare un messaggio d'errore in caso ci sia un errore di I/O 
  10593. (come per esempio protetto da scrittura).
  10594.  
  10595.  
  10596. [Scythe-2d]
  10597. Nome del Virus: Scythe-2d.
  10598. Tipo di Virus: Virus da boot.
  10599. Vettore PC agganciato: INT 13h.
  10600.  
  10601. Procedura eseguita:
  10602. 1) Modifica la capienza della memoria, la diminuisce di 1K.
  10603. 2) Si installa residente in memoria (nell'ultimo 1K della memoria).
  10604. 3)  Intercetta l'INT 13h.
  10605. 4) Ritorna il controllo al DOS ed il sistema si avvia normalmente.
  10606.  
  10607. Danni: Nessuno.
  10608.  
  10609. Note:
  10610. 1) Quando si avvia il sistema con un dischetto, il virus controlla 
  10611. che l'hard disk sia infetto. Se "NO", il virus lo infetta.
  10612. 2) INT 13h: controlla ogni richiesta del contenuto del settore 
  10613. di boot o della tabella delle partizioni. In caso di richiesta, 
  10614. il virus ritorna ai file originali non infetti.
  10615.  
  10616. [Sunday]
  10617. Nome del Virus: Sunday.
  10618. Pseudonimo: Nessuno.
  10619. Tipo di Virus: Virus del settore di boot (Residente in memoria).
  10620. Lunghezza del Virus: 1.636 Byte.
  10621.  
  10622. Danni: Il sistema infetto diventa inutilizzabile la domenica.
  10623.  
  10624. Metodo di rilevazione: Ogni domenica, il virus mostra il seguente messaggio: 
  10625. "Today is Sunday! Why do you work so hard? All work and no 
  10626. play makes you a dull boy! Come on! Let's go out and have some fun!"
  10627.  
  10628. [The Silence of the Lamb!]
  10629. Nome del Virus: The Silence Of The Lamb!.
  10630. Tipo di Virus: Residente in memoria, Virus da file. 
  10631. (Infetta i file con estensione *.COM).
  10632. Lunghezza del Virus: 555 Byte.
  10633. Vettore PC agganciato: INT 21h, INT 24h.
  10634.  
  10635. Procedura eseguita:
  10636. 1) Controlla che sia ancora nell'ultimo blocco di memoria. 
  10637. Se "NO", rimane in memoria alta e ritorna alla procedura originale.
  10638.  
  10639. Metodo di infezione:
  10640. 1) Codifica i primi 200h Byte del file originale.
  10641. 2) Aggiunge il codice decifrato alla fine del file.
  10642. 3) Cifra il codice del virus e lo scrive sui primi 200h Byte del file.
  10643.  
  10644. Danni: Nessuno.
  10645.  
  10646. Note:
  10647. 1)  Intercetta l'INT 21H (AH=4Bh) per infettare i file.
  10648. 2) Aggancia l'INT 24h per evitare di lasciare tracce quando scrive, 
  10649. poi controlla che il programma da eseguire sia un file non infetto 
  10650. con estensione *.COM (la lunghezza deve essere compresa tra 0400h e FA00h Byte)
  10651. . Se "SI", lo infetta. Infine, il virus ripristina l'INT 24h.
  10652. 3)  Non vengono modificate data ed ora dei file infetti.
  10653.  
  10654. Metodo di rilevazione:
  10655. 1) Richiama l'INT21h (AH=2Dh,CH=FFh,DH=FFh) per ritornare al valore AH. 
  10656. Se AH=00h, la memoria Φ infetta. Se AH=FFh, la memoria non Φ infetta.
  10657. 2) Se la parola all'indirizzo 0002 del file con estensione *.COM Φ 5944h, 
  10658. la memoria Φ infetta. Dopo che il codice del virus Φ stato decifrato, 
  10659. in 01E6h-01EFh c'Φ il seguente testo:
  10660.  
  10661.        " The Silence Of The Lamb!$"
  10662.  
  10663. 3) La memoria totale diminuisce di 1.568 Byte.
  10664.  
  10665. [USSR]
  10666. Nome del Virus: USSR.
  10667. Pseudonimo: 570, 8-17-88, 2:08a.
  10668. Tipo di Virus: Virus parassita.
  10669. Lunghezza del Virus: 570 Byte.
  10670.  
  10671. Metodo di infezione:
  10672. 1) Infetta i file con estensione *.EXE. Fa aumentare la lunghezza 
  10673. dei file da 570 a 585 (570+15) Byte. I successivi multipli di 16 
  10674. della grandezza del file originale sono incrementati di 570 Byte.
  10675. 2) Ora e data dei file Φ impostata su 8-17-88 alle 2:08.
  10676.  
  10677. Danni: Scrive su un settore di boot del drive C, quindi blocca il sistema.
  10678.  
  10679. [Vacsina-V16h]
  10680. Nome del Virus: Vacsina V16h.
  10681. Pseudonimo: Virus 1339.
  10682. Tipo di Virus: Virus parassita, Residente in RAM .
  10683. Lunghezza del Virus: Circa 1.339 Byte.
  10684.  
  10685. Procedura eseguita:
  10686. 1) Controlla che sia residente in memoria. 
  10687. Se "NO", si carica in memoria intercettando l'INT 21h.
  10688. 2) Esegue il file originale.
  10689. 3) Mentre Φ residente in memoria, infetta ogni file non infetto eseguito.
  10690.  
  10691. Danni:  Il virus modifica il virus Ping-Pong in memoria. 
  10692. Cambia due Byte, salta, aggiunge una subroutine. Dopo 255 riavvii, 
  10693. il disco infetto viene disattivato in memoria, riportando il vettore 
  10694. dell'interrupt a 13h con il valore di 0:413h. 
  10695. Il virus suona la canzone"Yankee Doodle".
  10696.  
  10697. Note: Si carica in memoria. Appare un messaggio d'errore in caso 
  10698. ci sia un errore di I/O (come per esempio protetto da scrittura).
  10699.  
  10700. [VCL-2-B]
  10701. Nome del Virus: Vcl-2-B.
  10702. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  10703. Lunghezza del Virus: 663 Byte (COM).
  10704. Vettore PC agganciato: Nessuno.
  10705.  
  10706. Procedura eseguita:
  10707. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  10708. 2) Una volta localizzato un file, controlla che sia giα stato infettato da
  10709.     VCL-2. Se "SI",  continua a cercare file non infetti con estensione *.COM.
  10710. 3) Infetta solo due file alla volta.
  10711.  
  10712. Danni: Nessuno.
  10713.  
  10714. Metodo di rilevazione:
  10715. 1) I file infetti aumentano di 663 Byte.
  10716.  
  10717. Note:
  10718. 1) Non residente in memoria.
  10719. 2) Non intercetta l'INT 24h quando infetta i file. Appare un messaggio 
  10720. d'errore in caso ci sia un errore di I/O (come per esempio protetto da scrittura).
  10721.  
  10722. [Violator]
  10723. Nome del Virus: Violator.
  10724. Pseudonimo: Violator Strain B, Violator BT.
  10725. Tipo di Virus: Virus da file.
  10726. Lunghezza del Virus: 1.055 Byte (file con estensione *.COM).
  10727.  
  10728. Procedura eseguita:
  10729. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10730. in memoria intercettando l'INT 21h.
  10731. 2) Esegue il file originale.
  10732. 3) Mentre residente in memoria, infetta ogni file non infetto eseguito. 
  10733. Non infetta i file con estensione *.EXE.
  10734.  
  10735. Danni: Se la data del sistema Φ Φ successiva al giorno 15 agosto 1990, 
  10736. il virus formatta il primo cilindro del drive in uso.
  10737.  
  10738. Metodo di rilevazione:
  10739.  I file infetti con estensione *.COM aumentano di 1.055 Byte.
  10740.  
  10741. Note:
  10742. 1) Residente in memoria.
  10743. 2) Appare un messaggio d'errore se c'Φ un errore di I/O 
  10744. (come protetto da scrittura).
  10745.  
  10746. [Virus 9]
  10747. Nome del Virus: Virus9.
  10748. Tipo di Virus: Virus da file (infetta i file con estensione *.COM).
  10749. Lunghezza del Virus: 256 Byte (file con estensione *.COM).
  10750.  
  10751. Vettore PC agganciato: Nessuno.
  10752.  
  10753. Procedura eseguita:
  10754. 1) Ricerca un file con estensione *.COM nella cartella in uso.
  10755. 2) Infetta tutti i file non infetti finchΦ tutti i file della cartella 
  10756. in uso e quelli della cartella "mother" siano stati infettati.
  10757.  
  10758. Danni: Nessuno.
  10759.  
  10760. Metodo di rilevazione: I file infetti aumentano di 256 Byte.
  10761.  
  10762. Note:
  10763. 1) Non residente in memoria.
  10764. 2) Non intercetta l'INT 24h quando infetta i file. Appare un messaggio 
  10765. d'errore se c'Φ un errore di I/O (come per esempio protetto da scrittura).
  10766. 3)  Il virus non reinfetta.
  10767.  
  10768.  
  10769. [Winword.Nuclear]
  10770. Nome del Virus: Winword.Nuclear.
  10771. Tipo di Virus: Virus da file.
  10772. Lunghezza del Virus: N/A.
  10773.  
  10774. Descrizione: Questo virus infetta i documenti di MSWORD. 
  10775. Quando viene aperto un documento infetto, il virus si installa 
  10776. aggiungendo alcune macro all'ambiente di WORD. 
  10777. Il virus attiva una macro chiamata PayLoad che cancella 
  10778. i file di sistema del DOS il giorno 5 aprile.
  10779.  
  10780. Una volta che il virus Φ attivo, tutti i documenti salvati usando il 
  10781. comando "Salva con nome..." vengono infettati. Occasionalmente 
  10782. i documenti stampati avranno le seguenti due righe di testo aggiunte:
  10783.  
  10784.   "And finally I would like to say:
  10785.    STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC"
  10786.  
  10787.  Il virus pu≥ cercare di inserire il file del virus di DOS "Ph33r" nel sistema.
  10788.  
  10789. [Wit Code]
  10790. Nome del Virus: WITCODE.
  10791. Pseudonimo: Nessuno.
  10792. Tipo di Virus: Virus da file.
  10793. Lunghezza del Virus: 965/975 Byte.
  10794. Vettore PC agganciato: INT 21h.
  10795.  
  10796. Procedura eseguita:
  10797. 1) Controlla che sia residente in memoria. Se "NO", si carica
  10798. in memoria intercettando l'INT 21h.
  10799. 2) Esegue il file originale.
  10800. 3) Una volta in memoria infetta ogni file pulito eseguito.
  10801.  
  10802. Danni: Nessuno.
  10803.  
  10804. Metodo di rilevazione: Fa aumentare la misura dei file 
  10805. infetti di 965/975 Byte.
  10806.  
  10807. Note:
  10808. 1) Residente in memoria.
  10809. 2) Appare un messaggio d'errore se c'Φ un errore di I/O 
  10810. (come per esempio protetto da scrittura).
  10811.  
  10812.  
  10813. [XQR-B]
  10814. Nome del Virus: XQR-B.
  10815. Tipo di Virus: Virus da file (infetta i file con estensione *.COM ed *.EXE). 
  10816. Infetta la tabella delle partizioni.
  10817. Lunghezza del Virus: Nessun cambiamento.
  10818. Vettore PC agganciato: INT 21h, INT 24h, INT 13h, INT 8h.
  10819.  
  10820. Procedura eseguita:
  10821. 1) Quando si esegue un file infetto, il virus infetta il Settore #1.
  10822. 2) Controlla che sia residente in memoria. Se "NO", si carica
  10823. in memoria intercettando l'INT 21h, INT 8h, e l'INT 13h.
  10824. 3) Se la data di sistema Φ il 4 maggio, il virus mostra questo messaggio:
  10825.  
  10826.    " XQR: Wherever, I love you Forever and ever! The beautiful memoria
  10827.    for ours in that summer time has been recorded in Computer history .
  10828.    Bon voyage, My dear XQR! "
  10829.  
  10830. 4) Infetta tutti i file non infetti eseguiti.
  10831.  
  10832. Danni: Il virus cambia la configurazione della tastiera ogni domenica.
  10833.  
  10834. Metodo di rilevazione: Controllare che la tastiera lavori correttamente.
  10835.  
  10836. Note:
  10837. 1)  Intercetta l'INT 24h quando infetta i file. Omette gli errori di I/O 
  10838. (come per esempio protetto da scrittura).
  10839.  
  10840. [Yonyu]
  10841. Nome del Virus: YONYU.
  10842. Tipo di Virus: Virus del settore di boot e di partizione.
  10843. Lunghezza del Virus: Nessuno.
  10844. Vettore PC agganciato: INT 13h.
  10845.  
  10846. Procedura eseguita:
  10847. 1)  Il virus diminuisce, di 1K Byte, la memoria totale quando 
  10848. il sistema Φ avviato con un disco infetto.
  10849. 2) Si carica nell'ultimo 1K Byte della memoria.
  10850. 3) Intercetta l'INT 13h.
  10851. 4) Infetta il dischetto.
  10852.  
  10853. Danni: Nessuno.
  10854.  
  10855. Metodo di rilevazione: Diminuisce la memoria totale di 1K Byte.
  10856.  
  10857. Note:
  10858. Non intercetta l'INT 24h quando infetta i file. Omette gli errori di I/O 
  10859. (come per esempio protetto da scrittura).
  10860.  
  10861. [Gorlovka]
  10862. Nome del Virus: Gorlovka.
  10863. Tipo di Virus: Residente in memoria, Virus da file 
  10864. (infetta i file con estensione *.COM ed *.EXE).
  10865. Vettore PC agganciato: INT 21h, INT 24h.
  10866.  
  10867. Procedura eseguita:
  10868. 1) Controlla che sia in memoria. 
  10869. Se "SI", il virus mostra il seguente messaggio : 
  10870. "Tracing mode has been destroyed."
  10871. Altrimenti si carica nella memoria alta.
  10872. 2) Intercetta l'INT 21h e mostra questo messaggio: 
  10873. "Tracing mode has been destroyed."
  10874.  
  10875. Metodo di infezione: Intercetta l'INT 21H(AH=4Bh). 
  10876. Prima blocca l'INT 24h per evitare di lasciare tracce 
  10877. mentre scrive, poi controlla che il programma da eseguire 
  10878. sia un file non infetto con estensione *.COM o *.EXE. 
  10879. Se "SI", lo infetta. Infine, il virus ripristina l'INT 24h.
  10880.  
  10881. Danni: Il virus sovrascrive il file originale con il 
  10882. codice del virus, questo lo corrompe.
  10883.  
  10884. Note: La misura dei file infetti non varia.
  10885.  
  10886. Metodo di rilevazione: Ricerca del messaggio sopra riportato.
  10887.  
  10888. [Akuku-649]
  10889. Nome del Virus: Akuku-649.
  10890. Tipo di Virus: Virus da file (Infetta i file con estensione *.COM).
  10891. Lunghezza del Virus: 649 Byte.
  10892.  
  10893. Procedura eseguita:
  10894. 1) Cerca i tutti i file non infetti con estensione *.COM 
  10895. nella cartella in uso (non infetta lo stesso file due volte) e lo infetta.
  10896. 2) Controlla che l'anno della data di sistema sia successivo 
  10897. al 1994, che il mese ed il giorno siano successivi a 6 e l'ora 
  10898. di sistema sia successiva alle ore 15:00. 
  10899. In caso coincidano tutte queste varianti, 
  10900. il virus mostra il seguente messaggio :
  10901.  
  10902.           "A kuku frajerze."
  10903.  
  10904. Danni: Nessuno.
  10905.  
  10906. Note:
  10907. 1) Non residente in memoria.
  10908. 2) Prima di infettare i file, aggancia l'INT 24h per non 
  10909. lasciare tracce mentre scrive.
  10910.  
  10911. Metodo di rilevazione: I file infetti aumentano di 649 Byte.
  10912.  
  10913. [Cossiga]
  10914. Nome del Virus: Cossiga.
  10915. Tipo di Virus: Virus da file (Infetta i file con estensione *.EXE).
  10916.  
  10917. Procedura eseguita:
  10918. 1) Cerca i file non infetti con estensione *.EXE nella cartella 
  10919. in uso e li infetta (infetta un solo file alla volta).
  10920. 2) Controlla che la data di sistema sia sucessiva al 10/17/1991. 
  10921. Se "SI", il virus mostra il seguente messaggio :
  10922.  
  10923.     "COSSIGA ?! NO GRAZZIE ! By Amissi dee Panoce (c) 1991 "
  10924.  
  10925. Danni: Sovrascrive il file originale e lo corrompe.
  10926.  
  10927. Note:
  10928. 1) Non residente in memoria.
  10929. 2) Appare un messaggio d'errore quando sovrascrive perchΘ 
  10930. l'INT 24h non Φ stato agganciato.
  10931.  
  10932. [DOS Vir]
  10933. Nome del Virus: Dosvir.
  10934. Tipo di Virus: Cavallo di Troia.
  10935. Lunghezza del Virus: 3.004 Byte.
  10936.  
  10937. Procedura eseguita:
  10938. 1)  Il virus crea un file batch con i seguenti comandi:
  10939.         CLS
  10940.         echo Cracked by Cracking Kr .e 20 2
  10941.         echo Loading game.  .Please Wait....
  10942.         c:
  10943.         CD\
  10944.         DEL autoexec.bat
  10945.         DEL *.exe
  10946.         DEL *.com
  10947.         DEL *.exe
  10948.         DEL *.com
  10949.         DEL *.sys
  10950.         ATTRIB..-r ibmbio.com
  10951.         ATTRIB..-r ibmdos.com
  10952.         ATTRIB..-r ibmbio.sys
  10953.         ATTRIB..-r ibmdos.sys
  10954.         DEL ibmbio.com
  10955.         DEL ibmdos.com
  10956.         DEL ibmbio.sys
  10957.         DEL ibmdos.sys
  10958.         CD\bbs
  10959.         DEL *.exe
  10960.         DEL *.com
  10961.         CD\dos
  10962.         DEL *.exe
  10963.         DEL *.com
  10964.         d:
  10965.         CD\
  10966.         DEL autoexec.bat
  10967.         DEL *.exe
  10968.         DEL *.com
  10969.         CD\dos
  10970.         DEL *.exe
  10971.         DEL *.com
  10972.         CD\bbs
  10973.         DEL *.exe
  10974.         DEL *.com
  10975.         CLS
  10976. 2) Esegue il file batch.
  10977.  
  10978. [Deranged]
  10979. Nome del Virus: Deranged.
  10980. Tipo di Virus: Virus da file (Infetta i file con estensione *.EXE).
  10981. Lunghezza del Virus: 419 Byte.
  10982.  
  10983. Procedura eseguita:
  10984. 1) Cerca i file non infetti con estensione *.EXE nella 
  10985. cartella in uso e li infetta.
  10986.  
  10987. Danni: Nessuno.
  10988.  
  10989. Note:
  10990. 1) Dato che la procedura del virus non Φ stata scritta correttamente, 
  10991. il sistema si blocca quando viene eseguito un file infetto.
  10992. 2) Non residente in memoria.
  10993. 3) Appare un messaggio d'errore quando sovrascrive perchΘ l'INT 24h 
  10994. non Φ stato agganciato.
  10995.  
  10996. Metodo di rilevazione: I file infetti aumentano di 419 Byte.
  10997.  
  10998. [James]
  10999. Nome del Virus: James.
  11000. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11001. Lunghezza del Virus: 356 Byte.
  11002.  
  11003. Vettore PC agganciato: INT 21h, INT 24h.
  11004.  
  11005. Procedura eseguita:
  11006. 1) Controlla che sia residente in memoria. Se "NO", si carica nella 
  11007. memoria alta.
  11008. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11009.  
  11010. Metodo di infezione: Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  11011. Dapprima intercetta l'INT 24h per evitare di lasciare tracce 
  11012. quando scrive poi controlla che il programma da eseguire sia 
  11013. un file non infetto con estensione *.COM. Se "SI", il virus lo infetta. 
  11014. Infine ripristina l'INT 24h.
  11015.  
  11016. Danni: Nessuno.
  11017.  
  11018. Metodo di rilevazione: I file infetti aumentano di 356 Byte.
  11019.  
  11020. [Abraxas-3]
  11021. Nome del Virus: Abraxas-3.
  11022. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11023. Lunghezza del Virus: 1.200 Byte.
  11024.  
  11025. Procedura eseguita:
  11026. 1)  Il virus suona la canzone "Do Re Mi Fa So La Si Do Re......".
  11027. 2) Mostra il messaggio:
  11028.  
  11029.        "abraxas"
  11030.  
  11031.     Con caratteri ingranditi.
  11032. 3) Cerca i file non infetti con estensione *.EXE nella cartella 
  11033. in uso e li infetta. (Infetta un solo file alla volta). 
  11034. Il metodo di infezione Φ il seguente: 
  11035. Crea un file con lo stesso nome del file originale di 1.200 Byte.
  11036.  
  11037. Danni:  Il virus sovrascrive il file originale con il codice del virus,
  11038. questo lo dannggia.
  11039.  
  11040. Metodo di rilevazione: La lunghezza del file infetto Φ di 1.200 Byte.
  11041.  
  11042. [Wolfman]
  11043. Nome del Virus: Wolf-Man.
  11044. Tipo di Virus: In memoria, Virus da file. 
  11045. (Infetta i file con estensione *.EXE e *.COM).
  11046. Lunghezza del Virus: 2.064 Byte.
  11047. Vettore PC agganciato: INT 09h, INT 10h, INT 16h, INT 21h.
  11048.  
  11049. Procedura eseguita:
  11050. 1) Controlla che rimanga residente in memoria. 
  11051. Se "NO", si carica in memoria.
  11052. 2) Controlla che la data di sistema sia il giorno 15. 
  11053. Se "SI", il virus si manifesta. Altrimenti intercetta l'INT 09H, INT 10H, 
  11054. INT 16H, e l'INT 21H, quindi torna alla procedura originale.
  11055.  
  11056. Metodo di infezione:
  11057. 1)  Intercetta l'INT 21H per infettare i file. 
  11058. Controlla che il programma da eseguire sia un file infettabile 
  11059. (eccetto il COMMAND.COM) e lo infetta (la lunghezza del file 
  11060. infettabile deve essere superire a 1.400 Byte).
  11061. 2) Intercetta l'INT 9h e l'INT 10h per controllare un cambiamento 
  11062. del programma. Se c'Φ stato, il virus si manifesta.
  11063.  
  11064. Sintomi: Mostra un messaggio. Sovrascrive il dischetto in uso con 
  11065. il codice del virus finchΦ non c'Φ pi∙ spazio libero. 
  11066. Aspetta 30 secondi e riavvia il sistema.
  11067. Danni: Distrugge tutti i dati nel dischetto in uso.
  11068.  
  11069. Note:
  11070. 1) La procedura per mostrare il messaggio Φ stata scritta per la 
  11071. scheda Hercules. Quindi il sistema si blocca se il virus Φ eseguito 
  11072. con una scheda video a colori. Questo pu≥ prevenire la distruzione 
  11073. dei dati sull'hard disk.
  11074. 2) Il virus contine il seguente testo : "WOLFMAN".
  11075.  
  11076. Metodo di rilevazione:
  11077. 1) I file infetti aumentano di 143 Byte.
  11078. 2) Usa MEM.EXE per controllare che il programa eseguito rimanga 
  11079. residente in memoria (occupa circa 65.6K Byte).
  11080.  
  11081. [Cuban]
  11082. Nome del Virus: Cuban.
  11083. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11084. Lunghezza del Virus: 1.501 Byte.
  11085. Vettore PC agganciato: INT 21h, INT 24h.
  11086.  
  11087. Procedura eseguita:
  11088. 1) Controlla che sia residente in memoria. 
  11089. Se "NO", si carica in memoria alta.
  11090. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11091. 3) Controlla che la data di sistema sia il giorno 30. 
  11092. Se "SI", il virus distrugge tutti i dati sull'hard disk.
  11093.  
  11094. Metodo di infezione:
  11095. 1)  Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  11096. Prima intercetta l'INT 24h per evitare di lasciare tracce 
  11097. mentre scrive. Se il programma da eseguire Φ un file pulito 
  11098. con estensione *.COM , il virus lo infetta direttamente. 
  11099. Se il programma da eseguire Φ un file con estensione *.EXE, 
  11100. cerca un file con estensione *.COM libero e lo infetta
  11101. 2) Ripristina l'INT 24h.
  11102.  
  11103. Danni: A volte il virus distrugge tutti i dati sull'hard disk.
  11104.  
  11105. Metodo di rilevazione: I file infetti aumentano di 1.501 Byte.
  11106.  
  11107. [Darkend]
  11108. Nome del Virus: Darkend.
  11109. Tipo di Virus: Virus da file (Infetta i file con estensione *.EXE).
  11110. Lunghezza del Virus: 1.188 Byte.
  11111. Vettore PC agganciato: INT 21h.
  11112.  
  11113. Procedura eseguita:
  11114. 1) Controlla che sia residente in memoria. 
  11115. Se "NO", si carica in memoria alta.
  11116. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11117. 3) Controlla che la data di sistema sia il giorno 15 Ottobre. 
  11118. Se "SI", il virus
  11119.     distrugge tutti i dati sull'hard disk.
  11120.  
  11121. Metodo di infezione:
  11122. 1)  Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  11123. Se il programma da eseguire Φ un file non infetto 
  11124. con estensione *.EXE, il virus lo infetta direttamente. 
  11125.  
  11126. Danni: A volte il virus distrugge tutti i dati sull'hard disk.
  11127.  
  11128. Metodo di rilevazione: I file infetti aumentano di 1.188 Byte.
  11129.  
  11130. [Story-A]
  11131. Nome del Virus: Story-A.
  11132. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11133. Lunghezza del Virus: 1.117 Byte.
  11134. Vettore PC agganciato: INT 08h.
  11135.  
  11136. Procedura eseguita:
  11137. 1) Cerca tre file non infetti con estensione *.COM (escludendo COMMAND.COM) 
  11138. nella directory principale e in tutte le sottodirectory e le infetta 
  11139. (non infetta lo stesso file due volte).
  11140. 2) Memorizza i file infettati.
  11141. 3) Controlla che il numero dei file infettati sia superire a 7
  11142.     o che la data di sistema sia il giorno 9 Luglio. 
  11143. Con una di queste due condizioni il virus Φ attivo.
  11144.  
  11145. Sintomi: Non esegue la procedura di infezione, rimane in memoria. 
  11146. Poi intercetta l'INT 08h. Dopo 290, compare ripetutamente 
  11147. un messaggio (cicli di 22 secondi) in modalitα inversa.
  11148.  
  11149. Note: Data ed ora di sistema non vengono cambiati.
  11150.  
  11151. Metodo di rilevazione:
  11152. 1) Memoria:
  11153.     a) La memoria complessiva del sistema diminuisce.
  11154.     b) Il virus pu≥ essere attivato se i primi 4 Byte del 
  11155. segmento sono sonosoFFh, 26h, 04h e 01h.
  11156. 2) File:
  11157.     a) I file infetti aumentano di 1.117 Byte.
  11158.     b) I primi 4 Byte dell'infezione sono FFh, 26h, 04h e 01h.
  11159.  
  11160. [Story-B]
  11161. Nome del Virus: Story-B.
  11162. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11163. Lunghezza del Virus: 1.168 Byte.
  11164. Vettore PC agganciato: INT 08h.
  11165.  
  11166. Procedura eseguita:
  11167. 1) Cerca tre file non infetti con estensione *.COM 
  11168. (escluso il COMMAND.COM) nella directory principale e tutte 
  11169. le sottodirectory, e le infetta (non infetta due volte lo stesso file).
  11170. 2) Memorizza il numero di  file infettati.
  11171. 3) Controlla che la somma dei file infetti sia maggiore di 7 o 
  11172. che il mese della data di sistema sia dicembre. 
  11173. Se Φ presente una di queste due condizioni il virus si attiva.
  11174.  
  11175. Sintomi: Non esegue la procedura di infezione, rimane in memoria. 
  11176. Quindi intercetta l'INT 08h. Dopo 290, compare ripetutamente un messaggio 
  11177. (cicli di 22 secondi) in modalitα inversa.
  11178.  
  11179. Note: Data ed ora di sistema non vengono cambiate.
  11180.  
  11181. Metodo di rilevazione:
  11182. 1) Memoria:
  11183.     a) La memoria complessiva del sistema diminuisce.
  11184.     b) Il virus pu≥ essere attivato se i primi 4 Byte del 
  11185. segmento sono FFh, 26h, 04h e 01h.
  11186. 2) File:
  11187.     a) I file infetti aumentano di 1.168 Byte.
  11188.     b) I primi 4 Byte dell'infezione sono FFh, 26h, 04h e 01h.
  11189.  
  11190. [MS DOS 3.0]
  11191. Nome del Virus: Ms-Dos3.0.
  11192. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11193. Lunghezza del Virus: 953 Byte.
  11194. Vettore PC agganciato: INT 21h.
  11195.  
  11196. Procedura eseguita:
  11197. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11198. in memoria alta.
  11199. 2) Intercetta l'INT 21h e ritorna alla funzione originale.
  11200.  
  11201. Metodo di infezione:
  11202. 1) Intercetta l'INT 21H (AH=3Dh,AX=4B00h) per infettare i file. 
  11203. Se il programma, aperto od eseguito, Φ un file non infetto con 
  11204. estensione *.COM (eccetto COMMAND.COM) e la sua lunghezza non Φ 
  11205. superiore a FB00h, il virus lo infetta. Il metodo di infezione Φ il seguente: 
  11206. scrive un totale di 35Dh Byte (1Ch Byte per la testa, primo 3B9h Byte del file) 
  11207. alla fine del file, poi sovrascrive il primo 3B9h Byte con il codice del virus. 
  11208. Se il programma aperto od eseguito Φ un file pulito 
  11209. con estensione *.EXE, il virus lo infetta. 
  11210. In questo caso il metodo di infezione Φ il seguente: 
  11211. scrive un totale di 35Dh Byte (1Ch Byte per la testa, primo 3B9h Byte del file) 
  11212. alla fine del file, poi sovrascrive il primo 3B9h Byte con il codice del virus: 
  11213. dopo aver occupato il Byte a sinstra del segmento, 
  11214. aggiunge un totale di 3F1h Byte [codice del virus (3B9h)+dati 
  11215. del file originale(1Ch)+header del file(1Ch)] alla fine del file, 
  11216. quindi cambia l'indicatore per indicare la procedura del virus.
  11217.  
  11218. Danni: Nessuno.
  11219.  
  11220. Note:
  11221. 1) Data ed ora di sistema non vengono cambiate.
  11222. 2) Virus tipo Stealth: ripristina le informazioni del file infetto 
  11223. mentre Φ residente in memoria.
  11224.  
  11225. Metodo di rilevazione:
  11226. 1) Memoria:
  11227.     a) La memoria complessiva del sistema diminuisce di 7A0h Byte.
  11228.     b) La memoria pu≥ essere infettata se AX=9051h [AX Φ riportato 
  11229. al suo valore quando l'INT 21h(AH=B3h) viene chimato].
  11230. 2) File:
  11231.     a) I file infetti con estensione *.COM aumentano di 500 Byte.
  11232.     b) I file infetti con estensione *.EXE aumentano di 1.009-1.024 Byte.
  11233.     c) Utilizzare DEBUG per caricare il file infetto.
  11234.  
  11235. [Evilgen]
  11236. Nome del Virus: Evilgen.
  11237. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE e *.COM).
  11238. Lunghezza del Virus: 955 Byte (Versione 1.1), 963 Byte (Versione 2.0).
  11239. Vettore PC agganciato: INT 21h.
  11240.  
  11241. Procedura eseguita:
  11242. 1) Controlla che sia residente in memoria. Se "NO", si carica in memoria alta.
  11243. 2) Intercetta l'INT 21h e l'INT 09h e torna alla funzione originale.
  11244. 3) Controlla che il giorno corrente sia 24 e che venga premuto il tasto "Del". 
  11245. In questo caso il virus si attiva.
  11246.  
  11247. Metodo di infezione:
  11248. 1) Intercetta l'INT 21H(AX=4B00h) per infettare i file. Se il programma 
  11249. da eseguire Φ un file non infetto con estensione *.EXE o *.COM , 
  11250. il virus lo infetta.
  11251. 2) Intercetta l'INT 09h per controllare che venga premuto il tasto "Del".
  11252.  
  11253. Sintomi: Seleziona un Settore sul drive C, quindi formatta il 
  11254. Settore iniziando da Testina 0, traccia 0 fino a testina 0, traccia 20h.
  11255.  
  11256. Danni: Il virus alcune volte distrugge i dati sul drive C.
  11257.  
  11258. Note:
  11259. 1) Data ed ora di sistema non vengono cambiate.
  11260. 2) Mentre Φ residente in memoria, digitando " Dir" non compare 
  11261. la variazione di lunghezza dei file infetti.
  11262.  
  11263. Metodo di rilevazione:
  11264. 1) Memoria:
  11265.     a) La memoria complessiva del sistema diminuisce.
  11266.     b) Il COMMAND.COM della directory principale di C viene infettato 
  11267. se BX=9051h [BX Φ riportato al suo valore se viene chiamato l'INT 21h (AX=7BCDh)].
  11268.     c) L'indicatore dell'INT 21h e dell'INT 09h sono gli stessi.
  11269.  
  11270. 2) File:
  11271.     I file infetti aumentano di 955 Byte (Versione 1.1) o 963 Byte 
  11272. (Versione 2.0.). Questi cambiamenti sono solo apparenti se il virus 
  11273. non Φ residente in memoria.
  11274.  
  11275. [Decide-2]
  11276. Nome del Virus: Decide-2.
  11277. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11278. Lunghezza del Virus: 1.335 Byte.
  11279.  
  11280. Procedura eseguita:
  11281. 1) Cerca i file non infetti con estensione *.COM nella cartella in uso, 
  11282.     quindi li infetta. (Infetta un solo file alla volta).
  11283. 2) Controlla che la data di sistema sia settembre od ottobre e che il 
  11284. giorno sia compreso tra i giorni 3 e 18. Se "SI", il virus mostra quanto segue:
  11285.  
  11286.      "As the good times of DECIDE will be remembered, I started to
  11287.      make a new virus. You are not facing the dark tombs of
  11288.      "Morgoth". Humble regards to : Pazuzu, Kingu, Absu Mummu
  11289.      Tiamat, Baxaxaxa Baxaxaxa, Yog Sothoth Iak Sakkath, Kutulu,
  11290.      Humwawa Xaztur, Hubbur Shub Niggurath. Also my lovely regards
  11291.      go to Stephanie, the only one who makes my heart beat
  11292.      stronger. Want to make love with a Moribid Angel? Glenn
  11293.      greets ya. Press a key to start the program..."
  11294.  
  11295. Danni: Nessuno.
  11296.  
  11297. Note:
  11298. 1) Non residente in memoria.
  11299. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h non Φ stato agganciato.
  11300.  
  11301. Metodo di rilevazione: I file infetti aumentano di 1.335 Byte.
  11302.  
  11303. [ED]
  11304. Nome del Virus: Ed.
  11305. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE e *.COM).
  11306. Lunghezza del Virus: 775-785 Byte.
  11307. Vettore PC agganciato: INT 21h, INT 24h.
  11308.  
  11309. Procedura eseguita:
  11310. 1) Controlla che sia residente in memoria. Se "NO", si carica in memoria 
  11311. alta intercettando l'INT 21h.
  11312. 2) Intercetta l'INT 21h e torna alla funzione originale..
  11313.  
  11314. Metodo di infezione:
  11315. Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11316. Prima aggancia l'INT 24h per non lasciare tracce quando scrive. 
  11317. Se il programma da eseguire Φ un file non infetto con 
  11318. estensione *.COM o *.EXE, il virus lo infetta.
  11319.  
  11320. Danni: C'Φ un flag nella procedura del virus 
  11321. (ogni file infetto ha un  flag diverso). 
  11322. Il flag diminuisce di 1 ogni volta che il virus infetta un nuovo file. 
  11323. Quando il flag diventa zero, il virus distrugge tutti i dati sull'hard disk.
  11324.  
  11325. Metodo di rilevazione: I file infetti aumentano di 775-785 Byte.
  11326.  
  11327. [Dima]
  11328. Nome del Virus: Dima.
  11329. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11330. Lunghezza del Virus: 1.024 Byte.
  11331. Vettore PC agganciato: INT 24h.
  11332.  
  11333. Procedura eseguita: Cerca tutti i file puliti con 
  11334. estensione *.COM ed *.EXE in tutte le directory e le infetta. 
  11335. Intercetta l'INT 24H per evitare di lasciare tracce mentre scrive.
  11336.  
  11337. Metodo di rilevazione: I file infetti aumentano di 1.024 Byte.
  11338.  
  11339. [Digger]
  11340. Nome del Virus: Digger.
  11341. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11342. Lunghezza del Virus:  1.472-1.482 Byte.
  11343.  
  11344. Procedura eseguita:
  11345. Cerca i file non infetti con estensione *.COM ed *.EXE nella cartella 
  11346. in uso, quindi li infetta (non reinfetta).
  11347.  
  11348. Danni: Nessuno.
  11349.  
  11350. Note:
  11351. 1) Non residente in memoria.
  11352. 2) Appare un messaggio d'errore quando scrive perchΘ l'INT 24h 
  11353. non Φ stato agganciato.
  11354.  
  11355. Metodo di rilevazione: I file infetti aumentano di 1.472-1.482 Byte.
  11356.  
  11357. [FVHS]
  11358. Nome del Virus: Fvhs.
  11359. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11360.  
  11361. Procedura eseguita:
  11362. Cerca i file non infetti con estensione *.COM ed *.EXE nella 
  11363. directory corrente ed in quelle parenti, quindi li infetta. 
  11364. Infetta tre file alla volta.
  11365.  
  11366. Danni: Sovrascrive il file originale con il proprio codice, 
  11367. corrompendo cos∞ il file.
  11368.  
  11369. Note:
  11370. 1) Non rimane in memoria.
  11371. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11372. non Φ stato agganciato.
  11373.  
  11374. [Egg]
  11375. Nome del Virus: Egg.
  11376. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11377. Lunghezza del Virus: 1.000-1.005Byte.
  11378. Vettore PC agganciato: INT 21h, INT 24h.
  11379.  
  11380. Procedura eseguita:
  11381. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11382. in memoria alta.
  11383. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11384.  
  11385. Metodo di infezione:
  11386. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11387. Per prima cosa aggancia l'INT 24h per evitare di lasciare 
  11388. traccie quando scrive. In caso il programma da infettare sia un 
  11389. file pulito con estensione *.EXE, il virus lo infetta.
  11390.  
  11391. Danni: Nessuno.
  11392.  
  11393. Metodo di rilevazione: I file infetti aumentano di 1.000-1.005 Byte.
  11394.  
  11395. [Freddy]
  11396. Nome del Virus: Freddy.
  11397. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11398. Lunghezza del Virus:  1.870-1.880 Byte.
  11399. Vettore PC agganciato: INT 21h.
  11400.  
  11401. Procedura eseguita:
  11402. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11403. in memoria alta.
  11404. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11405.  
  11406. Metodo di infezione:
  11407. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11408. Se il programma da eseguire Φ un file pulito con estensione *.COM o *.EXE, 
  11409. il virus lo infetta. Il virus alcune volte cerca simultaneamente 
  11410. altri file puliti da infettare.
  11411.  
  11412. Danni: Nessuno.
  11413.  
  11414. Note: Appare un messaggio d'errore quando scrive perche 
  11415. l'INT 24h non Φ stato agganciato.
  11416.  
  11417. Metodo di rilevazione: I file infetti aumentano di 1.870-1.880 Byte.
  11418.  
  11419. [Ninja]
  11420. Nome del Virus: Ninja.
  11421. Tipo di Virus: Virus da file. 
  11422. (Infetta i file con estensione *.COM ed *.EXE).
  11423. Lunghezza del Virus: 1.511 o 1.466 Byte.
  11424.  
  11425. Vettore PC agganciato: INT 21h.
  11426.  
  11427. Procedura eseguita:
  11428. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11429. in memoria alta.
  11430. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11431. 3) Controlla che la data di sistema sia 1992, che sia il giorno 13
  11432.    alle ore 13:00. Se ci sono queste condizioni, 
  11433. il virus distrugge tutti i dati sull'hard disk.
  11434.  
  11435. Metodo di infezione:
  11436. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11437. Se il programma da eseguire Φ un file non infetto 
  11438. con estensione  *.EXE o *.COM, il virus lo infetta.
  11439.  
  11440. Danni: A volte il virus distrugge tutti i dati sull'hard disk.
  11441.  
  11442. Metodo di rilevazione: I file infetti aumentano di 1.511 o 1.466 Byte.
  11443.  
  11444. [Yan-2505A]
  11445. Nome del Virus: Yan2505a.
  11446. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11447. Lunghezza del Virus: 2.505 Byte.
  11448.  
  11449. Vettore PC agganciato: INT 21h, INT 24h.
  11450.  
  11451. Procedura eseguita:
  11452. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11453. in memoria alta.
  11454. 2) Intercetta l'INT 21h e ritorna alla funzione originale.
  11455.  
  11456. Metodo di infezione:
  11457. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11458. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  11459. quando scrive. Se il programma da eseguire Φ un file 
  11460. non infetto con estensione  *.COM o *.EXE, il virus lo infetta.
  11461.  
  11462. Danni: Nessuno.
  11463.  
  11464. Metodo di rilevazione: I file infetti aumentano di 2.505 Byte.
  11465.  
  11466. [Suicide]
  11467. Nome del Virus: Suicide.
  11468. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11469. Lunghezza del Virus: 2.048 Byte.
  11470.  
  11471. Procedura eseguita: Cerca i file non infetti con estensione *.COM 
  11472. e con estensione *.EXE nella directory corrente e li infetta. 
  11473. Infetta quattro file alla volta.
  11474.  
  11475. Danni: Nessuno.
  11476.  
  11477. Note:
  11478. 1) Non rimane in memoria.
  11479. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11480. non Φ stato agganciato.
  11481.  
  11482. Metodo di rilevazione: I file infetti aumentano di 2.048 Byte.
  11483.  
  11484. [4915]
  11485. Nome del Virus: 4915.
  11486. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11487.  
  11488. Procedura eseguita: Cerca tutti i file non infetti  con estensione 
  11489. *.EXE nella cartella in uso in A, quindi li infetta.
  11490.  
  11491. Danni: Sovrascrive il file originale con il codice del virus, 
  11492. questo corrompe i file.
  11493.  
  11494. Note:
  11495. 1) Non rimane in memoria.
  11496. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11497. non Φ stato agganciato.
  11498. 3) Questo virus fu scritto usando un 
  11499. linguaggio di programmazione avanzato.
  11500.  
  11501. [MSJ]
  11502. Nome del Virus: Msj.
  11503. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11504. Lunghezza del Virus: 15.395 Byte.
  11505.  
  11506. Procedura eseguita: Cerca i file non infetti con estensione *.EXE 
  11507. nella cartella in uso in A, B o C, quini li infetta. 
  11508. Infetta solo un file alla volta.
  11509.  
  11510. Danni: Nessuno.
  11511.  
  11512. Note:
  11513. 1) Non rimane in memoria.
  11514. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11515. non Φ stato agganciato.
  11516. 2) Questo virus fu scritto usando un linguaggio di programmazione avanzato.
  11517.  
  11518. Metodo di rilevazione: I file infetti aumentano di 15.395 Byte.
  11519.  
  11520. [Pa-5220]
  11521. Nome del Virus: Pa-5220.
  11522. Tipo di Virus: Virus da file. 
  11523. (Infetta i file con estensione *.COM ed *.EXE).
  11524.  
  11525. Procedura eseguita: 
  11526. Cerca i file non infetti con estensione *.COM ed *.EXE nella 
  11527. cartella in uso in A, B o C, quindi lo infetta. 
  11528. Infetta solo un file alla volta.
  11529.  
  11530. Danni: Sovrascrive il file originale con il codice del virus, 
  11531. questo corrompe i file.
  11532.  
  11533. Note:
  11534. 1) Non rimane in memoria.
  11535. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11536. non Φ stato agganciato.
  11537. 3) Questo virus fu scritto usando un linguaggio di 
  11538. programmazione avanzato.
  11539.  
  11540. [PCBB-11]
  11541. Nome del Virus: Pcbb11.
  11542. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11543. Lunghezza del Virus: 3.052 Byte.
  11544. Vettore PC agganciato: INT 21h, INT 24h.
  11545.  
  11546. Procedura eseguita:
  11547. 1) Controlla che sia residente in memoria. 
  11548. Se "NO", si carica
  11549. in memoria alta.
  11550. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11551.  
  11552. Metodo di infezione:
  11553. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11554. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  11555. Se il programma da eseguire Φ un file non infetto 
  11556. con estensione  *.COM o *.EXE, il virus lo infetta.
  11557.  
  11558.  
  11559. Metodo di rilevazione: I file infetti aumentano di 3.052 Byte.
  11560.  
  11561. [Bow]
  11562. Nome del Virus: Bow.
  11563. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11564. Lunghezza del Virus: 5856 Byte.
  11565.  
  11566. Vettore PC agganciato: INT 21h.
  11567.  
  11568. Procedura eseguita:
  11569. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11570.  in memoria alta.
  11571. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11572.  
  11573. Metodo di infezione:
  11574. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11575. Se il programma da eseguire Φ un file non infetto 
  11576. con estensione *.COM o *.EXE, il virus lo infetta.
  11577.  
  11578. Danni: Nessuno.
  11579.  
  11580. Note:
  11581. 1) Appare un messaggio d'errore quando scrive perche 
  11582. l'INT 24h non Φ stato agganciato.
  11583. 2) Questo virus fu scritto usando un linguaggio di programmazione avanzato.
  11584.  
  11585. Metodo di rilevazione: I file infetti aumentano di 5.856 Byte.
  11586.  
  11587. [PCBB-3072]
  11588. Nome del Virus: Pcbb3072.
  11589. Tipo di Virus: Virus da file. 
  11590. (Infetta i file con estensione *.COM ed *.EXE).
  11591. Lunghezza del Virus: 3.072 Byte.
  11592. Vettore PC agganciato: INT 21h, INT 24h.
  11593.  
  11594. Procedura eseguita:
  11595. 1) Controlla che sia residente in memoria. 
  11596. Se "NO", si carica in memoria alta.
  11597. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11598.  
  11599. Metodo di infezione:
  11600. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11601. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  11602. Se il programma da eseguire Φ un file non infetto con 
  11603. estensione *.COM o *.EXE, il virus lo infetta.
  11604.  
  11605.  
  11606. Metodo di rilevazione: I file infetti aumentano di 3.072 Byte.
  11607.  
  11608. [Terminal]
  11609. Nome del Virus: Terminal.
  11610. Tipo di Virus: Virus da file. 
  11611. (Infetta i file con estensione *.COM ed *.EXE).
  11612.  
  11613. Procedura eseguita: Cerca i file non infetti con estensione *.EXE 
  11614. nella directory in uso in C, quindi li infetta.
  11615.  
  11616. Danni: Sovrascrive il file originale con il codice del virus, 
  11617. questo corrompe i file.
  11618.  
  11619. Note:
  11620. 1) Non rimane in memoria.
  11621. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11622. non Φ stato agganciato.
  11623. 3) Questo virus fu scritto usando un linguaggio di 
  11624. programmazione avanzato.
  11625. 4) Questo programma Φ cifrato da un programma come PKLITE. 
  11626. Sebbene abbia un pattern, non siamo in grado di rilevarlo.
  11627.  
  11628. [Lanc]
  11629. Nome del Virus: Lanc.
  11630. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11631. Lunghezza del Virus: 7.376 Byte.
  11632.  
  11633. Procedura eseguita:
  11634. 1) Cerca i file non infetti con estensione *.EXE nella cartella in uso.
  11635. 2) Crea un nuovo file con estensione *.COM con lo stesso nome 
  11636. del file originale di estensione *.EXE. 
  11637. Questo nuovo file con estensione *.COM contiene il virus.
  11638.  
  11639. Danni: Nessuno.
  11640.  
  11641. Note:
  11642. 1) Non rimane in memoria.
  11643. 2) Appare un messaggio d'errore quando scrive perche 
  11644. l'INT 24h non Φ stato agganciato.
  11645. 3) Questo virus fu scritto usando un linguaggio di programmazione avanzato.
  11646.  
  11647. Metodo di rilevazione: Controllare che la lunghezza del file sia 7.376 Byte.
  11648.  
  11649. [Nazi-Phobia]
  11650. Nome del Virus: Nazi-Phobia.
  11651. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11652.  
  11653. Procedura eseguita: Cerca un file non infetto con estensione *.EXE 
  11654. nella directory in uso, quindi lo infetta. Infetta solo un file alla volta.
  11655.  
  11656. Danni: Sovrascrive il file originale con il codice del virus, 
  11657. questo corrompe i file.
  11658.  
  11659. Note:
  11660. 1) Non rimane in memoria.
  11661. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11662. non Φ stato agganciato.
  11663. 3) Questo virus fu scritto usando un linguaggio di programmazione avanzato.
  11664.  
  11665. [Animus]
  11666. Nome del Virus: Animus.
  11667. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11668. Lunghezza del Virus: 7.360 o 7.392 Byte.
  11669.  
  11670. Procedura eseguita: Cerca i file non infetti con estensione *.COM ed *.EXE 
  11671. nella directory in uso, quindi li infetta. 
  11672. Infetta solo due o tre file alla volta.
  11673.  
  11674. Danni: Nessuno.
  11675.  
  11676. Note:
  11677. 1) Non rimane in memoria.
  11678. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11679. non Φ stato agganciato.
  11680. 3) Questo virus fu scritto usando un linguaggio di programmazione avanzato.
  11681.  
  11682. Metodo di rilevazione: I file infetti aumentano di 7.360 o 7.392 Byte.
  11683.  
  11684. [Hitler]
  11685. Nome del Virus: Hitler.
  11686. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11687. Lunghezza del Virus: 4.808 Byte.
  11688.  
  11689. Vettore PC agganciato: INT 21h, INT 24h.
  11690.  
  11691. Procedura eseguita:
  11692. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11693. in memoria alta.
  11694. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11695.  
  11696. Metodo di infezione:
  11697. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11698. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  11699. Se il programma da eseguire Φ un file non infetto con estensione  *.COM, 
  11700. il virus lo infetta.
  11701.  
  11702. Danni: Nessuno.
  11703.  
  11704. Metodo di rilevazione: I file infetti aumentano di 4.808 Byte.
  11705.  
  11706. [Hellwean-1182]
  11707. Nome del Virus: Hellwean1182.
  11708. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11709. Lunghezza del Virus: 1.182 Byte.
  11710.  
  11711. Vettore PC agganciato: INT 21h, INT 24h.
  11712.  
  11713. Procedura eseguita:
  11714. 1) Controlla che sia residente in memoria. Se "NO", si carica
  11715. in  memoria alta.
  11716. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11717.  
  11718. Metodo di infezione:
  11719. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11720. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  11721. Se il programma da eseguire Φ un file non infetto con 
  11722. estensione *.COM o *.EXE, il virus lo infetta.
  11723.  
  11724. Danni: Nessuno.
  11725.  
  11726. Metodo di rilevazione: I file infetti aumentano di 1.182 Byte.
  11727.  
  11728. [Minsk-GH]
  11729. Nome del Virus: Minsk-Gh.
  11730. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11731. Lunghezza del Virus: 1.450-1.490 Byte.
  11732.  
  11733. Vettore PC agganciato: INT 21h, INT 24h.
  11734.  
  11735. Procedura eseguita:
  11736. 1) Controlla che sia residente in memoria. Se "NO", si carica in memoria alta.
  11737. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11738.  
  11739. Metodo di infezione:
  11740. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11741. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  11742. quando scrive. Se il programma da eseguire Φ un file non 
  11743. infetto con estensione *.COM o *.EXE, il virus lo infetta.
  11744.  
  11745. Danni: Nessuno.
  11746.  
  11747. Note: Questo virus non gira con DOS 5.0.
  11748.  
  11749. Metodo di rilevazione: I file infetti aumentano di 1.450-1.490 Byte.
  11750.  
  11751. [LV]
  11752. Nome del Virus: Lv.
  11753. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11754. Vettore PC agganciato: INT 21h, INT 24h.
  11755.  
  11756. Procedura eseguita:
  11757. 1) Controlla che sia residente in memoria. 
  11758. Se "NO", si carica in memoria alta.
  11759. 2) Intercetta l'INT 21h e controlla che il COMMAND.COM che 
  11760. ha avviato il sistema sia infetto. 
  11761. Se "NO", il virus lo infetta e ritorna alla funzione originale.
  11762.  
  11763. Metodo di infezione:
  11764. 1) Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  11765. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  11766. Se il programma da eseguire Φ un file non infetto con estensione *.COM, 
  11767. il virus lo infetta.
  11768.  
  11769. Danni: Sovrascrive il file originales con il codice del virus, 
  11770. questo corrompe i file.
  11771.  
  11772. [Mini-207]
  11773. Nome del Virus: Mini-207.
  11774. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11775. Lunghezza del Virus: 207 Byte.
  11776.  
  11777. Procedura eseguita: Cerca tutti i file non infetti con estensione *.COM 
  11778. nella directory in uso, poi li infetta.
  11779.  
  11780. Note:
  11781. 1) Non rimane in memoria.
  11782. 2) Appare un messaggio d'errore quando scrive perche 
  11783. l'INT 24h non Φ stato agganciato.
  11784.  
  11785. Danni: Sovrascrive il file originale con il codice del virus, 
  11786. questo corrompe i file.
  11787.  
  11788. [Brother_300]
  11789. Nome del Virus: Brother_300.
  11790. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11791. Lunghezza del Virus: 300 Byte.
  11792. Vettore PC agganciato: INT 21h, INT 24h.
  11793.  
  11794. Procedura eseguita:
  11795. 1) Controlla che sia residente in memoria. Se "NO", si carica in memoria alta.
  11796. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11797.  
  11798. Metodo di infezione:
  11799. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11800. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  11801. Se il programma da eseguire Φ un file non infetto con estensione *.EXE, 
  11802. ne crea uno nuovo con estensione *.COM  con lo stesso nome del primo. 
  11803. Questo nuovo file con estensione *.COM contiene il virus. 
  11804. La sua lunghezza Φ di 300 Byte.
  11805.  
  11806. Danni: Nessuno.
  11807.  
  11808. Metodo di rilevazione: Controllare che la lunghezza dei file sia di 300 Byte.
  11809.  
  11810. [Lip-286]
  11811. Nome del Virus: Lip-286.
  11812. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11813. Lunghezza del Virus: 286 Byte.
  11814.  
  11815. Procedura eseguita: Cerca i file non infetti con estensione *.COM 
  11816. nella directory in uso, quindi li infetta. Infetta due o tre file alla volta.
  11817.  
  11818. Danni: C'Φ un flag nella procedura del virus (ogni file infetto ha un  flag diverso). 
  11819. Il flag diminuisce di 1 ogni volta che il virus infetta un nuovo file. 
  11820. Quando il flag diventa zero, il virus distrugge tutti i dati sull'hard disk.
  11821.  
  11822. Note:
  11823. 1) Non rimane in memoria.
  11824. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h non 
  11825. Φ stato agganciato.
  11826.  
  11827. Metodo di rilevazione: I file infetti aumentano di 286 Byte.
  11828.  
  11829. [Gomb]
  11830. Nome del Virus: Gomb.
  11831. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11832. Lunghezza del Virus:  4.093 Byte.
  11833.  
  11834. Vettore PC agganciato: INT 21h.
  11835.  
  11836. Procedura eseguita:
  11837. 1) Controlla che sia residente in memoria. 
  11838. Se "NO", si carica in memoria alta.
  11839. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11840.  
  11841. Metodo di infezione:
  11842. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11843. Se il programma da eseguire Φ un file non infetto con 
  11844. estensione *.COM fil, il virus lo infetta.
  11845.  
  11846. Danni: Nessuno.
  11847.  
  11848. Metodo di rilevazione: I file infetti aumentano di 4.093 Byte.
  11849.  
  11850. [Bert]
  11851. Nome del Virus: Bert.
  11852. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  11853. Lunghezza del Virus: 2.294 Byte.
  11854.  
  11855. Vettore PC agganciato: INT 21h.
  11856.  
  11857. Procedura eseguita:
  11858. 1) Controlla che sia residente in memoria. Se "NO", si carica in memoria alta.
  11859. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11860.  
  11861. Metodo di infezione:
  11862. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11863. Se il programma da eseguire Φ un file non infetto con 
  11864. estensione *.COM o *.EXE, il virus lo infetta.
  11865.  
  11866. Danni: Nessuno.
  11867.  
  11868. Metodo di rilevazione: I file infetti aumentano di 2.294 Byte.
  11869.  
  11870. [Triple Shot]
  11871. Nome del Virus: Triple-shot.
  11872. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11873. Lunghezza del Virus: 6.610 Byte.
  11874.  
  11875. Procedura eseguita: Cerca i file non infetti con estensione *.EXE 
  11876. nella directory corrente. Quindi crea un nuovo file nascosto 
  11877. con estensione *.COM con il nome del file di estensione *.EXE. 
  11878. Questo nuovo file con estensione *.COM Φ il virus. 
  11879. La sua lunghezza Φ di 6.610 Byte.
  11880.  
  11881. Danni: Nessuno.
  11882.  
  11883. Note:
  11884. 1) Non rimane in memoria.
  11885. 2) Appare un messaggio d'errore quando scrive perche l'INT 24h 
  11886. non Φ stato agganciato.
  11887.  
  11888. Metodo di rilevazione: Controllare che la lunghezza dei file 
  11889. sia di 6.610 Byte.
  11890.  
  11891. [Fame]
  11892. Nome del Virus: Fame.
  11893. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  11894. Lunghezza del Virus: 896 Byte.
  11895.  
  11896. Vettore PC agganciato: INT 21h, INT 24h.
  11897.  
  11898. Procedura eseguita:
  11899. 1) Controlla che sia residente in memoria. 
  11900. Se "NO", si carica in memoria alta.
  11901. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11902.  
  11903. Metodo di infezione:
  11904. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11905. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  11906. quando scrive. Se il programma da eseguire Φ un file non 
  11907. infetto con estensione *.EXE, il virus lo infetta.
  11908.  
  11909. Danni: Nessuno.
  11910.  
  11911. Metodo di rilevazione: I file infetti aumentano di 896 Byte.
  11912.  
  11913. [CCCP]
  11914. Nome del Virus: Cccp.
  11915. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11916. Lunghezza del Virus: 510 Byte.
  11917.  
  11918. Procedura eseguita: Cerca i file non infetti con estensione *.COM 
  11919. nella cartella in uso, quindi li infetta. 
  11920. Infetta due o tre file alla volta.
  11921.  
  11922. Danni: C'Φ un flag (con valora da 0 a 25) nella procedura del virus 
  11923. (ogni file infetto ha un flag diverso). 
  11924. Quando un file infetto con flag di 25 viene eseguito, 
  11925. il virus distrugge tutti i dati sull'hard disk.
  11926.  
  11927. Note:
  11928. 1) Non rimane in memoria.
  11929. 2) Appare un messaggio d'errore quando scrive perche 
  11930. l'INT 24h non Φ stato agganciato.
  11931.  
  11932. Metodo di rilevazione: I file infetti aumentano di 510 Byte.
  11933.  
  11934. [L1]
  11935. Nome del Virus: L1.
  11936. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  11937. Lunghezza del Virus: 140 Byte.
  11938.  
  11939. Vettore PC agganciato: INT 21h.
  11940.  
  11941. Procedura eseguita:
  11942. 1) Controlla che sia residente in memoria. 
  11943. Se "NO", si carica in memoria alta.
  11944. 2) Intercetta l'INT 21h e torna alla funzione originale.
  11945.  
  11946. Metodo di infezione:
  11947. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  11948. Se il programma da eseguire Φ un file non infetto con estensione  *.COM, 
  11949. il virus lo infetta.
  11950.  
  11951. Danni: Nessuno.
  11952.  
  11953. Note:
  11954. 1) Appare un messaggio d'errore quando scrive perche 
  11955. l'INT 24h non Φ stato agganciato.
  11956.  
  11957. Metodo di rilevazione: I file infetti aumentano di 140 Byte.
  11958.  
  11959. [Crepate]
  11960. Nome del Virus: Crepate.
  11961. Tipo di Virus: Virus da file.
  11962. Il virus infetta i file con estensione *.COM di lunghezza 
  11963. compresa tra 400 e 62.000 Byte ed i file con estensione *.EXE minori di 589.824 Byte. 
  11964. Il virus risiede nei blocchi di memoria. 
  11965. Lunghezza del Virus: 2.910 Byte (file), 4K Byte (memoria).
  11966. Vettore PC aganciato: INT 21h.
  11967.  
  11968. Processo di infezione: Ogni file infetto aumenta di 2.910 Byte, 
  11969. con il codice del virus alla fine di alcuni tipi di header creati dal virus. 
  11970. Il secondo gruppo di Byte indicante l'ora di creazione del file, 
  11971. Φ impostato su 31 (1Fh). Ad ogni sucessiva infezione, 
  11972. il virus reimposta la memoria di sistema dall'indirizzo 0:413 al 280h (640 K).
  11973.  
  11974. Danni: Il virus formatta l'hard disk.
  11975.  
  11976. Sintomi: Perdita dei dati scritti negli ultimi 7 settori del dischetto,
  11977. Perdita dei dati scritti nell'ultimo cilindro, primo lato, primi 7 settori,
  11978. Aumento di lunghezza dei file.
  11979.  
  11980. Note: Questo virus non infetta i file chiamati: "*AN.???" o "*LD.???" 
  11981. Per evidenziare la presenza del virus nel settore di boot, si possono cercare:
  11982. - un byte segnato FFh nell'offset 4 nei floppy disk.
  11983. - una parola segnata con 2128h nell'offset 4 nell'hard disk.
  11984.  
  11985. Inoltre alla fine di ogni file infetto pu≥ essere trovata la seguente stringa:
  11986.  
  11987.     "Crepa (C) bye R.T.".
  11988.  
  11989. Questo testo potrebbe essere leggermente diverso. Il comando DOS Chkdsk, 
  11990. quando il virus Φ residente, rivela una diminuzione di 4K Byte nella memoria disponibile.
  11991.  
  11992. [Die Lamer]
  11993. Nome del Virus: DIE LAMER.
  11994. Tipo di Virus: Residente in cima alla MCB (Memory Control Block).
  11995. Lunghezza del Virus: 1.136 Byte.
  11996.  
  11997. Vettore PC agganciato: INT 21h.
  11998.  
  11999. Processo di infezione:
  12000. Questo virus si diffonde eseguendo un programma infetto. 
  12001. Quando viene eseguito un programma infettattato con DIE LAMER, 
  12002. per prima cosa controlla che sia giα residente in memoria verificando 
  12003. che l'indirizzo 0:4f2h contenga il valore 3232h. 
  12004. Se Φ giα residente in memoria, esegue il programma infetto.
  12005.  
  12006. Danni: Perdita di alcuni dati presenti sul floppy.
  12007.  
  12008. Sintomi: Informazioni parassite nel floppy aumentano la misura dei file. 
  12009. Sullo schermo compare il seguente messaggio:
  12010.  
  12011.           "-=*@DIE_LAMER@*=-."
  12012.  
  12013. Note: Il metodo usato dal virus Φ molto pericoloso, perchΘ se un programma 
  12014. anti-virus individua questo virus nella memoria e mostra il messaggio: 
  12015. "found '-=*@DIE_LAMER@*=-' in memoria", il virus
  12016. scrive solo informazioni parassite sul floppy, ma il programma del virus 
  12017. pu≥ essere leggermente modificato per eseguire procedure pi∙ distruttive 
  12018. (come formattare l'hard disk, etc...).
  12019.  
  12020. [FaxFree]
  12021. Nome del Virus: FAXFREE.
  12022. Tipo di Virus: Virus da file.
  12023. Il virus infetta i file con estensione *.COM e *.EXE maggiori di 32 Byte 
  12024. e minori di 131.072 Byte. Infetta la tabella delle partzioni. 
  12025. Lunghezza del Virus: 3 Kb.
  12026.  
  12027. Vettore PC agganciato: INT 21h.
  12028.  
  12029. Processo di infezione: Questo virus si diffonde eseguendo un programma 
  12030. infetto od avviando il sistema con un dischetto infetto. 
  12031. Vi sono diversi metodi di infezione. Quando un programma infetto viene 
  12032. eseguito in un sistema pulito, il virus dapprima rimuove il contenuto 
  12033. del settore delle partizioni dell'hard disk dall'ultimo settore dell'ultimo 
  12034. lato dell'ultimo cilindro. Quindi il virus si copia nell'ultimo 
  12035. lato dell'ultimo cilindro, iniziando dagli ultimi 9 settori agli ultimi sei. 
  12036. Questi settori non vengono marcati come "bad sectors" e sono sovrascritti 
  12037. dal virus, senza riguardo per il contenuto.
  12038.  
  12039. Danni: Blocca il sistema. I file infetti aumentano di
  12040. 2.048 Byte, con scritto il codice del virus.
  12041.  
  12042. Sintomi: Quando il viru svuole ripristinare l'originale settore delle 
  12043. partizioni, deve decifrare alcuni dati. Dopo essere stati decifrati 
  12044. compare la seguente stringa:
  12045.  
  12046.     "PISello tenere fuori dalla portata dei bambini.
  12047.     PaxTibiQuiLegis.FaxFree!!"
  12048.  
  12049. Note: Questo virus non infetta i file chiamati: "*AN.???" ,
  12050. "*OT.???" o "*ND.???" Se la data del sistema Φ compresa tra il 25 e il 
  12051. 30 aprile, il virus blocca il sistema. Il virus usa una tecnica particolare 
  12052. per evitare di essere riconosciuto dai programmi anti-virus; quando modifica 
  12053. il settore delle partizioni agganciando l'int 01h, attiva un singolo flag 
  12054. per ottenere il punto di ingresso intercettato dal DOS.
  12055. Il virus si sposta in cima alla MCB (Memory Control Block) e diminuisce 
  12056. la memoria accessibile nella MCB di 3Kb.  Intercetta l'Int 13h e l'Int 21h 
  12057. quindi esegue il programma originale.
  12058.  
  12059. [Ghost Player]
  12060. Nome del Virus: GHOST PLAYER.
  12061. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE). 
  12062. Residente in memoria.
  12063. Lunghezza del Virus: 1.200 Byte.
  12064.  
  12065. Vettore PC agganciato: INT 21h.
  12066.  
  12067. Processo di infezione: Questo virus si diffonde eseguendo un programma 
  12068. infetto. Quando viene eseguito un programma infettato da GHOST PLAYER, 
  12069. se la versione del DOS Φ superire a 3 e il numero di serie del disco Φ 
  12070. di default uguale a 0, il virus esegue il programma infetto. 
  12071. Altrimenti il virus regola le seguenti funzioni: rimane residente 
  12072. in cima alla MCB (memoria control block)  ma nel limite dei 640K del DOS. 
  12073. La memoria libera diminuisce di 1.200 (4B0H) Byte.
  12074.  
  12075. Danni:  Il virus aumenta la lunghezza dei file.
  12076.  
  12077. Sintomi: Diminuisce la memoria accessibile. 
  12078. Il virus mostra il seguente messaggio : " !  Bumpy"
  12079. Inoltre lo scherno si muove in su e in gi∙.
  12080.  
  12081. Note:  Il virus i file chiamati : "TB*.???" , "F-*.???"
  12082. , "CP*.???" , "NA*.???" , "SC*.???" "CL*.???" or "V*.???".
  12083.  
  12084. [Gold Bug]
  12085. Nome del Virus: GOLD-BUG.
  12086. Tipo di Virus: Residente nel Generatore di Colori del Video e nel e e   
  12087. Extended HMA Memory, Infetta il settore di boot ed il settore master.
  12088. Lunghezza del Virus: 1.024 Byte.
  12089.  
  12090. Vettore PC agganciato: INT 21h, INT 13h.
  12091.  
  12092. Processo di infezione: GOLD-BUG Φ un virus residente in memoria, 
  12093. multipartito, polimorfo, con tecnica stealth, del settore di boot, 
  12094. produttore di anti-antivirus che lavora con il DOS 5 e il DOS 6 
  12095. nella memoria di HIMEM.SYS. Quando viene eseguito un file infetto 
  12096. con estensione *.EXE con GOLD-BUG attivo, il virus controlla che 
  12097. stia girando su un 80186 o maggiore. Se "NO", termina l'esecuzione 
  12098. e non si installa. Se "SI", copia se stesso sulla tabella delle 
  12099. partizioni dell'hard disk e resta in memoria alta (HMA); i.e., 
  12100. DOS=HIGH anche nel file CONFIG.SYS altrimenti non avviene l'infezione. 
  12101. La vecchia tabella delle partizioni Φ spostata al settore 14 e 
  12102. il rimanente del codice del virus Φ copiato al settore 13.
  12103. Il virus esegue il file associato se presente. L'INT 13 e l'INT 2F 
  12104. sono agganciati in questo momento, l'INT 21 no.
  12105. La caratteristica diffusione di questo virus non Φ attiva adesso.
  12106.  
  12107. Danni: Il virus GOLD-BUG possiede anche una potente procedura anti-antivirus. 
  12108. Scrive sul disco usando l'originale INT 13 del BIOS e non aggancia l'INT 13 
  12109. che questi tipi di programmi possiedono. Intercetta l'INT insieme 
  12110. all'interrupt correlato, anzichΦ intercettare e legarsi agli interrupt. 
  12111. Se il virus GOLD-BUG Φ in memoria, ogni tentativo di usare anti virus 
  12112. fallisce. GOLD-BUG blocca ogni file con estensione *.EXE 
  12113. (maggioiore di 64k)
  12114. con le ultime due lettere "AN" o "AZ".  Blocca  SCAN.EXE, 
  12115. CLEAN.EXE, NETSCAN.EXE, CPAV.EXE, MSAV.EXE, TNTAV.EXE, e cos∞ via. 
  12116. I programmi di scansione sono cancellati o vi sono degli errori 
  12117. nell'esecuzione.  Inoltre GOLD-BUG causa un fallimento del 
  12118. check sum di CMOS che avviene al successivo avvio del sistema. 
  12119. GOLD-BUG cancella anche "CHKLIST.???", creati da CPAV.EXE e MSAV.EXE.
  12120. I programmi che eseguono un check sum interno non mostrano cambiamenti. 
  12121.  
  12122. Sintomi: Fallisce il checksum di CMOS. Crea un file senza estensione; 
  12123. i modem rispondono al settimo squillo. La maggior parte degli anti virus non viene avviata o viene cancellata. I file CHKLIST.??? sono cancellati.
  12124.  
  12125. Note: Il virus GOLD-BUG Φ anche polimorfo. 
  12126. Ogni file con estensione *.EXE che crea ha solo 2 Byte costanti. 
  12127. Pu≥ cambiare la cifratura in 128 modi diversi. 
  12128. Usa una doppia tecnica di decriptazione che coinvolge l'INT 3 
  12129. che lo rende difficilmente decifrabile usando un programma di 
  12130. ricerca e correzione degli errori. L'insieme del codice tiene 
  12131. conto di 512 diversi decifratori testa -coda. 
  12132. Ognuno pu≥ cambiare 128 volte.
  12133.  
  12134. [Invisible Man]
  12135. Nome del Virus: INVISIBLE MAN.
  12136. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE), 
  12137. Di partizione, Di avvio, Residente in Memoria. 
  12138. Lunghezza del Virus: 2.926 Byte (file), D80h Byte (memoria).
  12139.  
  12140. Vettore PC agganciato: INT 21h.
  12141.  
  12142. Processo di infezione:
  12143. Questo virus si diffonde eseguendo un proramma infetto od avviando 
  12144. il sistema con un disco infetto. Vi sono diversi metodi di infezione:
  12145.  
  12146. (1). Quando si esegue un programma infettato da INVISIBLE MAN 
  12147. pu≥ accadere:
  12148.  
  12149.       A. Infetta la tabella delle partizioni dell'hard disk:
  12150.      (i) Il virus scrive il priprio codice sugli ultimi 7 settori 
  12151. dell'hard disk in uso.
  12152.     (ii) La locazione finale del disco in uso dell'hard disk 
  12153. diminuisce di 7 settori.
  12154.    (iii) Scrive sul settore delle partizioni. 
  12155. Questo settore viene criptato.
  12156.  
  12157.       B. Modifica il settore di boot:
  12158. Cambia il numero totale del numero dei settori, 
  12159. diminuito di 7 rispetto al numero originale.
  12160.  
  12161. Danni: Il virus mostra un messaggio e suona una canzone 
  12162. dagli altoparlanti del sistema.
  12163.  
  12164. Sintomi:
  12165. Perdita dei dati contenuti negli ultimi 7 settori dell'hard disk;
  12166. La misura dei file aumenta di 2.926 Byte. 
  12167. Il virus mostra il seguente messaggio:
  12168.  
  12169.     "I'm the invisible man, I'm the invisible man Incredible how
  12170.      you can See right through me."
  12171.  
  12172. Il virus suona una canzone dagli altoparlanti del sistema.
  12173.  
  12174. [Junkie]
  12175. Nome del Virus: Junkie.
  12176. Tipo di Virus: Multipartito, Residente in memoria.
  12177. Lunghezza del Virus: 512 Byte.
  12178.  
  12179. Vettore PC agganciato: INT 21h.
  12180.  
  12181. Processo di infezione:
  12182. Quando Φ in esecuzione un programma infetto, il virus si installa 
  12183. in memoria e rimane residente nel programma. 
  12184. Sull'area di sistema dell'hard disk, il virus copia due settori 
  12185. di 512-Byte del proprio codice sulla prima traccia dell'hard disk. 
  12186. Il virus modifica il Mster Boot Record dell'hard disk affinchΦ possa 
  12187. leggere i settori aggiunti e li esegua in fase di avvio.
  12188.  
  12189. Danni: Il virus aggiunge circa 1.024 Byte del codice del virus 
  12190. alla fine dei file infetti.
  12191.  
  12192. [March 25th]
  12193. Nome del Virus: March-25th.
  12194. Tipo di Virus: Virus da file. 
  12195. (Infetta i file con estensione *.COM ed *.EXE). MARCH-25H
  12196.             infetta i file con estensione *.EXE e *.COM minori di 196.608Byte.
  12197. Lunghezza del Virus: 1.056 Byte.
  12198.  
  12199. Vettore PC agganciato: INT 21h.
  12200.  
  12201. Processo di infezione:
  12202. Questo virus si diffonde eseguendo un programma infetto. 
  12203. Quando un programma infettato da MARCH-25H Φ in esecuzione, 
  12204. verifica che sia giα residente in memoria controllando 
  12205. l'indirizzo 0:212h contenente il valore F100h. 
  12206. Se Φ giα in memoria esegue il programma infetto. 
  12207. Il virus rimane residente in cima al MCB (Memoria Control Block) 
  12208. ma sotto il limite dei 640k del DOS.
  12209. La memoria libera diminuisce di 1.056 (420H) Byte.
  12210. Infetta i file con estensione *.EXE e *.COM quando vengono 
  12211. eseguiti dall'hard disk.
  12212.  
  12213. Danni:
  12214.  Il virus distrugge l'hard disk. La lunghezza del file infetti 
  12215. aumenta di 1.025 - 1.040 (401h - 410h) Byte con il virus alla fine del file.
  12216.  
  12217. Sintomi: Il virus causa la perdita di dati dal drive C.
  12218.  
  12219. Note:
  12220. Se la data del sistema Φ il giorno 25 marzo di qualsiasi anno, 
  12221. il virus scrive informazioni parassite su: 
  12222. drive C settore 0 - 6 , cilindro 0 , head 0
  12223. drive C settore 1 - 7 , cilindro 1 , head 0
  12224. drive C settore 1 - 7 , cilindro 2 , head 0."
  12225.  
  12226. [Minosse]
  12227. Nome del Virus: MINOSSE.
  12228. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE), MBR.
  12229. Lunghezza del Virus: 5.772 Byte.
  12230.  
  12231. Vettore PC agganciato: INT 21h.
  12232.  
  12233. Processo di infezione:
  12234. MINOSSE Φ un virus polimorfo che evita il programma di Debug.exe. 
  12235. Quando viene eseguito un programma infettato da MINOSSE, il virus 
  12236. si comporta nel seguente modo:
  12237. 1. Intercetta l'Int 8xh - Int 9xh: (x: qualsiasi numero). 
  12238. Prima intercetta l'Int 8xh - 9xh, quindi attiva questo interrupt per 
  12239. permettere al virus di entrare e decifrare il corpo del virus.
  12240. 2. Il virus rimane residente in cima al MCB (Memoria Control Block) 
  12241. ma sotto il limite dei 640k del DOS.
  12242.  
  12243. Danni:
  12244. Il virus blocca il sistema quando la data di sistema Φ sucessiva a 
  12245. giugno e il giorno Φ 25. I file infetti aumentano di 3.075 Byte 
  12246. con il virus alla fine del file. La memoria libera diminuisce di 5.772 Byte.
  12247.  
  12248. Sintomi: Diminuisce la memoria accessibile. Viene mostrato il seguente messaggio:                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             
  12249.  
  12250.     "Minose 1V5 (c) 93 WilliWonka."
  12251.  
  12252. Note:
  12253. Questo Φ un virus polimorfico. Non Φ facile evidenziarlo con i 
  12254. programmi di scansione perchΘ non ha lo stesso codice dello scanner
  12255.  e non Φ facile individuarlo usando il vettore agganciato perchΘ ricopre l'int 21h con il vettore originale.
  12256.  
  12257. [Mombasa]
  12258. Nome del Virus: MOMBASA.
  12259. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12260. Lunghezza del Virus: 3.584 Byte.
  12261.  
  12262. Vettore PC agganciato: INT 21h, INT 08h.
  12263.  
  12264. Processo di infezione:
  12265. MOMBASA Φ un virus polimorfico ed usa l'INT 01h e l'INT 03h per non 
  12266. lasciare tracce. Quando viene eseguito un programma infettato da MOMBASA 
  12267. succede quanto segue: 
  12268. Rimane residente in cima al MCB (Memoria Control Block) ma sotto il 
  12269. limite dei 640k del DOS. La memoria libera diminuisce di 3.584 Byte.
  12270. Infetta i file con estensione *.EXE e *.COM quando vengono eseguiti 
  12271. dall'hard disk.
  12272. Intercetta l'INT 08h per controllare che l'INT 21h non sia stato 
  12273. cambiato da un altro programma. Se l'INT 21h Φ stato modificato, 
  12274. il virus cambia il proprio vettore con l'INT 21h ed intercetta 
  12275. nuovamente il l'INT 21h.
  12276. Infetta i programmi con estensione *.COM e cerca di infettare i 
  12277. C:\COMMAND.COM quando vengono eseguiti.  Mentre MOMBASA Φ residente 
  12278. in memoria nasconde la diversa lunghezza del file perchΘ 
  12279. il virus riprende la lunghezza originale del file. 
  12280. Quando si crea od elimina una directory o si seleziona un 
  12281. drive come A: o B:, il virus scrive alcuni dati sul disco/dischetto, ma senza successo.
  12282.  
  12283. Danni:
  12284. Schiarisce lo schermo fino a farlo diventare bianco. Quindi il sistema si blocca. 
  12285. Il virus distrugge il settore di boot e nella FAT dell'hard disk. 
  12286. La lunghezza del file infetti aumenta di 3.568 Byte con il virus alla fine del file.
  12287.  
  12288. Sintomi: Il virus mostra il seguente messaggio :
  12289.  
  12290.     "I'm gonna die...Attack radical...Mombosa virus (MM 92')."
  12291.  
  12292. [NOV-17-768]
  12293. Nome del Virus: NOV-17-768.
  12294. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM 
  12295. minori di 59.920 Byte ed i file con estensione *.EXE).
  12296. Lunghezza del Virus: 768 Byte (file), 800 Byte (memoria).
  12297.  
  12298. Vettore PC agganciato: INT 21h.
  12299.  
  12300. Processo di infezione: Questo virus Φ una variante del virus November-17th. 
  12301. Il virus November 17th fu individuato nel gennaio 1992. 
  12302. Non si conosce la provenienza, ma la sua diffusione si ebbe a Roma, 
  12303. nel dicembre 1991. November 17th infetta i file con 
  12304. estensione *.COM ed *.EXE compreso il COMMAND.COM. 
  12305. La prima volta che viene eseguito il programma infetto, 
  12306. il virus si installa in cima alla memoria di sistema 
  12307. ma nel limite dei 640k del DOS.
  12308.  
  12309. Danni:
  12310. Il virus distrugge il disco in uso dal settore 1 a 8. 
  12311. La memoria totale di sistema, come indicato dal programma DOS CHKDSK, 
  12312. diminuisce di 896 Byte. Il ritorno dell'Interrupt 12's non viene spostato. 
  12313. Vengono intercettati gli Interrupts 09 e 21.
  12314.  
  12315. Sintomi: I file infetti aumentano di 855 Byte con il virus alla 
  12316. fine del file infetto.
  12317. Non ci sono variazioni visibili di ora e data nella lista delle directory del DOS.
  12318.   
  12319.  
  12320. [NOV-17-800]
  12321. Nome del Virus: NOV-17-800.
  12322. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE), 
  12323. Residente in memoria. Il virus non infetta "SCAN", "CLEAN."
  12324. Lunghezza del Virus: 800 Byte (file), 832 Byte (memoria).
  12325.  
  12326. Vettore PC agganciato: INT 09h e 21h.
  12327.  
  12328. Processo di infezione:
  12329. La prima volta che viene eseguito il programma infetto, il virus si 
  12330. installa in cima alla memoria di sistema ma nel limite dei 640k del DOS.
  12331.  
  12332. Danni: Il virus altera la FAT dell'hard disk. Quando viene variato il 
  12333. valore di [00:46E] ed il mese Φ = 1, il virus scrive informazioni 
  12334. parassite sui sttori da 1 a  8.
  12335.  
  12336. Sintomi: La misura dei file aumenta di 800 Byte. Diminuisce la memoria 
  12337. accessibile di 800 Byte.
  12338.  
  12339. [Protovir]
  12340. Nome del Virus: PROTOVIR.
  12341. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM), 
  12342. Residente in memoria alta.
  12343. Lunghezza del Virus: 730 Byte (file), 270 Byte (memoria).
  12344.  
  12345. Vettore PC agganciato: INT 21h.
  12346.  
  12347. Processo di infezione:
  12348. Il virus infetta i file con estensione *.COM  quando vengono eseguiti. 
  12349. I file infetti aumentano di 730 Byte con il virus alla fine del file. 
  12350. Il virus aggiorna i primi 7 Byte, mettendo all'inizio del file il 
  12351. codice virale e aggiungendo i primi 7 Byte alla fine del file infetto.
  12352.  
  12353. Danni: Aumenta la misura dei file. Diminuisce la memoria accessibile.
  12354.  
  12355. Sintomi: La memoria accessibile diminuisce di 720 Byte.
  12356.  
  12357. [Red Spider]
  12358. Nome del Virus: RED SPIDER.
  12359. Tipo di Virus: Virus da file. Il virus infetta i file con 
  12360. estensione *.COM con lunghezza compresa tra 2.000 (7D0H) e 63.500 
  12361. (F80CH) Byte. I file infetti con estensione *.EXE sono minori di 524.288 
  12362. (80000H) Byte. Il virus Φ residente nei blocchi di memoria.
  12363. Lunghezza del Virus: 949-964 Byte (file).
  12364.  
  12365. Vettore PC agganciato: INT 21h.
  12366.  
  12367. Processo di infezione:
  12368. Il virus si installa in cima alla memoria di sistema ma nel 
  12369. limite dei 640k del DOS.
  12370. Il virus infetta i file con estensione *.EXE e *.COM che vengono eseguiti. 
  12371. I file infetti aumentano di 949 - 964 Byte con il virus alla fine del file.
  12372.  
  12373. Danni: Incremanta la lunghezza dei file. 
  12374. Diminuisce la quantitα di memoria utilizzabile.
  12375.  
  12376. Sintomi: La memoria libera diminuisce di 976 Byte.
  12377.  
  12378. Note: Se il COMMAND.COM viene infettato, la lunghezza del file non cambia. 
  12379. Questo virus non infetta. La seguente stringa pu≥ essere trovata
  12380. cifrata nel codice del virus:
  12381.  
  12382.     "Red Spider Virus created by Garfield from Zielona Gora in
  12383.      Feb 1993 ....... "
  12384.  
  12385. [Hello Shshtay]
  12386. Nome del Virus: HELLO-SHSHTAY.
  12387. Tipo di Virus: Virus da file. Virus infetta i file con estensione *.COM 
  12388. minori di 63.776 Byte ed i file con estensione *.EXE minori di 52428 Byte. 
  12389. Il virus Φ residente in memoria.
  12390. Lunghezza del Virus: 1.840-1.855 Byte (EXE), 1.600-1.615 Byte (COM), 
  12391. 1.792 Byte (memoria).
  12392. Vettore PC agganciato: INT 21h.
  12393.  
  12394. Processo di infezione:
  12395. Il virus risiede in cima alla MCB (memoria control block) ma nel limite 
  12396. dei 640K del DOS. La memoria libera diminuisce di 1.792 Byte. 
  12397. Il virus infetta i file con estensione *.EXE  e *.COM quando vengono 
  12398. eseguiti. I file infetti con estensione *.EXE aumentano di 1.840-1.855 
  12399. Byte ed i file infetti con estensione *.COM aumentano di 1.600-1.615 Byte 
  12400. con il virus alla fine del file in entrambi i casi.
  12401.  
  12402. Danni: Aumenta la lunghezza dei file. Diminuisce la memoria accessibile.
  12403.  
  12404. Sintomi: Il virus mostra il seguente messaggio :
  12405.  
  12406.         "HELLO SHSHTAY"
  12407.         "GODBYE AMIN "
  12408.         "HELLO SHSHTAY"
  12409.         " ZAGAZIG UNIV"
  12410.  
  12411. Note: Se la data di sistema Φ uguale o successiva a gennaio 1994, 
  12412. il virus intercetta l'INT 1Ch, l'INT 09h ed imposta il contatore = 0.
  12413. L'Interrupt 1ch aggiunge uno al contatore 18.2 volte al secondo. 
  12414. Quando il contatore Φ superire o uguale a 3.786 (ECAh) attiva 
  12415. l'INT 09h e reimposta il contatore a zero 0. 
  12416. Quando l'Interrupt 09h Φ attivato, mette un messaggio nel buffer 
  12417. della tastiera, cos∞ ogni 208 (3786/18.2) secondi viene mostrato 
  12418. un messaggio sullo schermo.
  12419.  
  12420. [Star Dot]
  12421. Nome del Virus: STARDOT.
  12422. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  12423. Lunghezza del Virus: 592-608 Byte (file).
  12424.  
  12425. Vettore PC agganciato: INT 21h.
  12426.  
  12427. Processo di infezione:
  12428. Il virus infetta solo i file con estensione *.EXE quando vengono eseguiti. 
  12429. La lunghezza del file aumenta di 592 - 608 Byte con il virus alla fine del file. 
  12430. Quando il virus esegue un programma pulito, aggiunge un contatore e 
  12431. scrive questo valore ed il corpo del virus nel programma non infetto, 
  12432. cos∞ il virus acquisisce il giorno della settimana e lo confronta con 
  12433. i 3 bit pi∙ bassi del contatore. Se i valori corrispondono, distrugge 
  12434. settori del disco, scelti a caso, per 8 volte. 
  12435. Se il valore del contatore Φ uguale a 63 (3Fh), 
  12436. invia dei dati scelti a caso alla porta I/O del sistema 
  12437. (from 380h to 3DFh).
  12438.  
  12439. Danni: Il virus distrugge i settori sul disco in uso ed invia dei dati 
  12440. scelti a caso alla porta I/O del sistema.
  12441.  
  12442. Sintomi: Perdita di dati dal disco ed aumento della misura dei file.
  12443.  
  12444. [Stunning Blow]
  12445. Nome del Virus: STUNNING BLOW.
  12446. Tipo di Virus: Virus da file Infetta i file con estensione *.EXE 
  12447. che non inizino con le lettere: "TB","F-","CP","NA","SC","CL","V." 
  12448. Residente in memoria
  12449. Lunghezza del Virus: 1.237 Byte (file), 1.392 Byte (memoria).
  12450.  
  12451. Vettore PC agganciato: INT 21h.
  12452.  
  12453. Processo di infezione:
  12454. Questo virus si attiva i giorni 4, 8, 12, 16, 20, 24, e 28  di ogni mese, 
  12455. dopo l'iniziale indugio di un mese.  
  12456.  
  12457. Procedura eseguita:
  12458. (1) Intercetta l'interrupt 08h, contatore = FFD0h.
  12459. (2) Diminuisce il valore del contatore di 18.2 al secondo.
  12460. (3) Quando il contatore Φ a zero comincia a suonare una musica. 
  12461. Questo virus si attiva anche quando casualmente Φ = -1 e mostra 
  12462. il seguente messaggio:
  12463.  
  12464.     " Stunning Blow (R) Ghost Player Italy."
  12465.  
  12466. Danni: Il virus cancella i file con estensione *.CPS.
  12467.  
  12468. Sintomi: Perdita di alcuni file con estensione *.CPS ed aumento 
  12469. della lunghezza dei file. Diminuisce la memoria accessibile.
  12470.  
  12471. [Sunrise]
  12472. Nome del Virus: SUNRISE.
  12473. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  12474. Lunghezza del Virus: 1.033 Byte (file), 80 Byte (memoria).
  12475.  
  12476. Vettore PC agganciato: INT 21h.
  12477.  
  12478. Processo di infezione:
  12479. Nella directory principale del disco in uso, il virus cerca 
  12480. l'ultima subdirectory. Modifica questa subdirectory e tutte 
  12481. le successive subdirectory. Il virus cerca di infettare un file 
  12482. non infetto con estensione *.EXE. Controlla il numero seriale del disco. 
  12483. Se Φ uguale a 0 ed una parola Φ uguale a 2Dh, mostra il seguente messaggio:
  12484.  
  12485.     "* Sun Rise * EpidemicWare G.I.P.Po oct-93."
  12486.  
  12487. E' intercettato l'Interrupt 08h. Se il mese in cui Φ stato infettato 
  12488. il file in esecuzione non corrisponde al mese in corso, 
  12489. il virus intercetta l'INT 08h. Questo causa:
  12490.   (i) Il virus risiede in cima alla MCB (memoria control block) 
  12491. ma nel limite dei 640K del DOS.
  12492.  (ii) Diminuisce la memoria libera di 80 Byte.
  12493. (iii) Assegna il valore BDD8h al contatore e lo diminuisce di 18.2 
  12494. ogni secondo. Quando il contatore Φ a zero lo schermo diventa bianco 
  12495. e viene fatto scorrere il contenuto originale. 
  12496. DopodichΘ il sistema torna normale.
  12497.  (iv) Assegna il valore di 1.518h al contatore e ripete i passi (ii), (iii) e(iv).
  12498.  
  12499. Danni: Il virus intercetta l'INT 8h. A certi intervalli 
  12500. lo schermo diventa bianco e scorre.
  12501.  
  12502. Sintomi: Aumenta la lunghezza dei file. 
  12503. Diminuisce la memoria accessibile.
  12504.  
  12505. [Thule]
  12506. Nome del Virus: THULE.
  12507. Tipo di Virus: Virus da file.
  12508. Virus infetta i file con estensione *.COM minori di 61.054 Byte.
  12509. Virus residente in memoria.
  12510. Lunghezza del Virus: 309 Byte (I file con estensione *.COM), 
  12511. 68 Byte (memoria).
  12512.  
  12513. Vettore PC agganciato: INT 21h.
  12514.  
  12515. Processo di infezione:
  12516. Questo virus sposta il codice virale a 0:200h-0:243h ed 
  12517. intercetta l'Int 21h per cancellare un file chiamato "THULE.COM."  
  12518. Quando DOS cambia la directory in uso, cerca di aprire "THULE.COM" 
  12519. nella directory corrente. Quando trovato, questo file viene cancellato.
  12520.  
  12521. Danni: Viene cancellato il file "THULE.COM".
  12522.  
  12523. Sintomi: Aumenta la lunghezza dei file. Un file Φ cancellato.
  12524.  
  12525. [Topa 1.20]
  12526. Nome del Virus: TOPA 1.20.
  12527. Tipo di Virus: Virus da file.
  12528. Il virus infetta i file con estensione *.COM di lunghezza compresa 
  12529. tra 2.712 e 60.000 Byte. I file infetti con estensione *.EXE di 
  12530. lunghezza compresa tra 5.424 e 524.288 Byte. Residente in memoria.
  12531. Lunghezza del Virus: 2.456-2.471Byte (I file con estensione *.EXE), 
  12532. 2.456 Byte (I file con estensione *.COM), 5.536 Byte (memoria).
  12533.  
  12534. Vettore PC agganciato: INT 1Ch, INT 21h.
  12535.  
  12536. Processo di infezione:
  12537. Questo virus si diffonde eseguendo un programma infetto. 
  12538. Quando viene eseguito un programma infetto, controlla che il 
  12539. registro AX= 4290h, l'INT 21 ed il valore di ritorno del 
  12540. registro AX = 9047 indichino che sia ancora residente in memoria.
  12541.  Se "SI", il virus esegue il programma infetto. 
  12542. Se "NO", il virus esegue quanto segue:
  12543. 1) Cambia la strategia di archiviazione della memoria bassa, 
  12544. quindi rimane residente in MCB (memoria control block). 
  12545. La memoria libera disponibile diminuisce di 5.536 (15A0H) Byte.
  12546. 2) Una volta che il virus TOPA_1.2 Φ in memoria, intercetta 
  12547. l'Int 1Ch e l'Int 21h per infettare i file.
  12548.  
  12549. Danni: Diminuisce la memoria accessibile.
  12550.  
  12551. Sintomi: Aumenta la lunghezza dei file. 
  12552.  
  12553. [Topo]
  12554. Nome del Virus: TOPO.
  12555. Tipo di Virus: Virus da file.
  12556. Il virus infetta i file con estensione *.EXE minori di 524.288 Byte.
  12557. Residente in memoria.
  12558. Lunghezza del Virus: 1.536-1.552 Byte (file), 3.616 Byte (memoria).
  12559.  
  12560. Vettore PC agganciato: INT 21h.
  12561.  
  12562. Processo di infezione:
  12563. Questo virus si diffonde eseguendo un programma infetto. 
  12564. Quando Φ eseguito un programma infettatto da TOPO, dapprima 
  12565. intercetta l'INT 3 quindi usa questo interrupt per nascondere 
  12566. il proprio codice. Il virus verifica che sia giα residente 
  12567. in memoria controllando l'indirizzo 0:3feh contenente il valore 0011h. 
  12568. Se il virus Φ giα in memoria, esegue il programma infetto. 
  12569. Non infetta i file chiamati: *AN.EXE e *LD.EXE, dove "*" 
  12570. Φ un carattere wildcard.
  12571.  
  12572. Danni: Il virus altera i parametri del dischetto (00:525h - 0:52Ch) 
  12573. e mostra il seguente messaggio :
  12574.  
  12575.     "R(etry), I(gnore), F(ail), or A(bort) ?"
  12576.  
  12577. Sintomi: Aumenta la lunghezza dei file e rende impossibile la lettura 
  12578. di certi file. Diminuisce la memoria accessibile.
  12579.  
  12580. Note: Se la data del sistema Φ il giorno 25 o 26 di qualsiasi mese,
  12581. appare il messaggio sopra riportato.
  12582.  
  12583. [Bloody Warrior]
  12584. Nome del Virus:  BLOODY-WARRIOR.
  12585. Tipo di Virus: Residente in cima alla MCB (memoria control block).
  12586. Lunghezza del Virus: 1.344 Byte (file), 2.768 Byte (memoria).
  12587.  
  12588.  
  12589. Procedura eseguita:
  12590.  Il virus infetta i file con estensione *.COM ed .EXE finchΦ il file 
  12591. con estensione *.COM diventa pi∙ piccolo di EA60h Byte. Non infetta i 
  12592. seguenti file: "SCAN", "STOP", "SHIELD", "CLEAN", "CV", "DEBUG", "TD."
  12593. Questo virus pu≥ diffondersi solo attraverso un programma infetto.
  12594.  
  12595. Danni:
  12596.  Il virus distrugge i settori del disco dal 1 al 256. 
  12597. In seguito scrive informazioni parassite sul disco in uso, 
  12598. dal settore 1 al 256, dal giorno 4 luglio in avanti, solo in questo mese.
  12599.  
  12600. Metodo di rilevazione:
  12601. I file infetti aumentano di 1.344 Byte.
  12602.  
  12603. Sintomi:
  12604. 1. Il virus risiede in cima alla MCB (memoria control block) 
  12605. ma nel limite dei 640K del DOS.
  12606. La memoria libera diminuisce di 2.768 Byte.
  12607. 2. Intercetta l'interrupt 21h: Quando BLOODY-WARRIOR Φ residente 
  12608. in memoria, per infettare i file, il virus prende il controllo 
  12609. delle seguenti funzioni:
  12610.         - carica ed esegui (AX=4B00h)
  12611.         - apri (AH=3Dh)
  12612.         - acquisisce ed imposta l'attributo del file (AH=43h)
  12613.         - rinomina un file (AH = 56h)
  12614. Infetta i file con estensione *.COM ed *.EXE eseguiti, aperti, 
  12615. modificati gli attributi dei file, o quando vengono rinominati. 
  12616. Non infetta i file con estensione *.COM maggiori di EA60h Byte. 
  12617. I programmi infetti aumentano di 1.344 Byte con il virus alla 
  12618. fine del file. Se il file header Φ : "SCAN","STOP", "SHIELD", "CLEAN",
  12619.    "CV", "DEBUG", o "TD" il virus non infetta questi file ma ripristina 
  12620. l'int 21h sul valore originale cos∞ che questi file non sono in grado 
  12621. di individuare la presenza del virus.
  12622. 3. Questo virus Φ attivo solo a luglio, dal giorno 4 in poi. 
  12623. Scrive informazioni parassite sul disco in uso dal settore 1 al 256. 
  12624. Le informazioni parassite includono il seguente messaggio:
  12625.  
  12626.  
  12627.                "Hello, world!
  12628.                I am the Bloody Warrior.
  12629.                Nice to meet you.
  12630.                What about this virus ? Funny ?
  12631.                There is no hope for you.
  12632.                This virus was released in Milan
  12633.                1993."
  12634.  
  12635. Note: C'Φ la possibilitα di identificarlo usando i comandi DOS.
  12636.  
  12637. [17690]
  12638. Nome del Virus: 17.690.
  12639. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  12640. Lunghezza del Virus: 17.690 Byte.
  12641.  
  12642. Procedura eseguita:
  12643. 1) Esiste il 10% di possibilitα che il virus infetti un file. 
  12644. Il metodo di infezione Φ: il virus cerca un file con estensione *.EXE 
  12645. sul drive A. Rinomina questo file e crea un nuovo file con 
  12646. estensione *.COM con lo stesso nome del file originale di estensione *.EXE. 
  12647. Questo nuovo file con estensione *.COM Φ il virus.
  12648. 2) Quando il virus non infetta i file, esegue il programma rinominato. 
  12649. L'utente non nota nulla di anomalo.
  12650.  
  12651. Danni: Nessuno.
  12652.  
  12653. Metodo di rilevazione: I file infetti aumentano di 17.690 Byte.
  12654.  
  12655. [Fish 1100]
  12656. Nome del Virus: Fish-1100.
  12657. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12658. Lunghezza del Virus: 1.100 Byte.
  12659.  
  12660. Vettore PC agganciato: INT 21h, INT 24h.
  12661.  
  12662. Procedura eseguita:
  12663. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12664.  in memoria alta.
  12665. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12666.  
  12667. Metodo di infezione:
  12668. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12669. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  12670. Se il programma da eseguire Φ un file non infetto con estensione  *.COM, 
  12671. il virus lo infetta.
  12672.  
  12673. Danni: Nessuno.
  12674.  
  12675. Metodo di rilevazione: I file infetti aumentano di 1.100 Byte.
  12676.  
  12677. [Fish 2420]
  12678. Nome del Virus: Fish-2420.
  12679. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12680. Lunghezza del Virus: 2.420 Byte.
  12681.  
  12682. Vettore PC agganciato: INT 21h, INT 24h.
  12683.  
  12684. Procedura eseguita:
  12685. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12686.    residente in memoria alta.
  12687. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12688.  
  12689. Metodo di infezione:
  12690. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12691. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  12692. Se il programma da eseguire Φ un file non infetto con estensione  *.COM, 
  12693. il virus lo infetta.
  12694.  
  12695. Danni: Nessuno.
  12696.  
  12697. Metodo di rilevazione: I file infetti aumentano di 2.420 Byte.
  12698.  
  12699. [Small 178]
  12700. Nome del Virus: Small-178.
  12701. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12702. Lunghezza del Virus: 178 Byte.
  12703.  
  12704. Vettore PC agganciato: INT 21h.
  12705.  
  12706. Procedura eseguita:
  12707. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12708. in memoria alta.
  12709. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12710.  
  12711. Metodo di infezione:
  12712. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12713. Se il programma da eseguire Φ un file non infetto 
  12714. con estensione *.COM, il virus lo infetta.
  12715.  
  12716. Danni: Nessuno.
  12717.  
  12718. Note: Appare un messaggio d'errore quando scrive perche 
  12719. l'INT 24h non Φ stato agganciato.
  12720.  
  12721. Metodo di rilevazione: I file infetti aumentano di 178 Byte.
  12722.  
  12723. [Shiny-Happy]
  12724. Nome del Virus: Shiny-Happy.
  12725. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  12726. Lunghezza del Virus: 921 Byte.
  12727.  
  12728. Vettore PC agganciato: INT 21h.
  12729.  
  12730. Procedura eseguita:
  12731. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12732. in memoria alta.
  12733. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12734.  
  12735. Metodo di infezione:
  12736. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12737. Se il programma da eseguire Φ un file non infetto 
  12738. con estensione  *.EXE, il virus lo infetta.
  12739.  
  12740. Danni: Nessuno.
  12741.  
  12742. Metodo di rilevazione: I file infetti aumentano di 921 Byte.
  12743.  
  12744. [Sucker]
  12745. Nome del Virus: Sucker.
  12746. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  12747. Lunghezza del Virus: 572 Byte.
  12748.  
  12749. Vettore PC agganciato: INT 21h.
  12750.  
  12751. Procedura eseguita:
  12752. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12753. in memoria alta.
  12754. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12755.  
  12756. Metodo di infezione:
  12757. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12758. Se il programma da eseguire Φ un file non infetto con estensione  *.EXE, 
  12759. il virus lo infetta.
  12760.  
  12761. Danni: Nessuno.
  12762.  
  12763. Note:
  12764. 1) Appare un messaggio d'errore quando scrive perche 
  12765. l'INT 24h non Φ stato agganciato.
  12766. 2) Questo virus pu≥ essere pulito con Soft-Mice. 
  12767. Il virus darα un errore pulendo SUCKER.CO.
  12768.  
  12769. Metodo di rilevazione: I file infetti aumentano di 572 Byte.
  12770.  
  12771. [Data-Rape-2.0]
  12772. Nome del Virus: Data-Rape-2.0.
  12773. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  12774. Lunghezza del Virus: 1.875-1.890 Byte
  12775.  
  12776. Vettore PC agganciato: INT 21h
  12777.  
  12778. Procedura eseguita:
  12779. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12780.    in memoria alta.
  12781. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12782.  
  12783. Metodo di infezione:
  12784. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12785. Se il programma da eseguire Φ un file non infetto 
  12786. con estensione *.COM o *.EXE, il virus lo infetta.
  12787.  
  12788. Danni: Nessuno.
  12789.  
  12790. Metodo di rilevazione: I file infetti aumentano di 1.875-1.890 Byte.
  12791.  
  12792. [Flagyll]
  12793. Nome del Virus: Flagyll.
  12794. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  12795.  
  12796. Vettore PC agganciato: INT 21h.
  12797.  
  12798. Procedura eseguita:
  12799. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12800.    in memoria alta.
  12801. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12802.  
  12803. Metodo di infezione:
  12804. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12805. Se il programma da eseguire Φ un file non infetto 
  12806. con estensione  *.EXE, il virus lo infetta.
  12807.  
  12808. Danni: Sovrascrive il file originale con il codice virale, 
  12809. questo corrompe il file.
  12810.  
  12811. Note: Appare un messaggio d'errore quando scrive 
  12812. perche l'INT 24h non Φ stato agganciato.
  12813.  
  12814. [X-3B]
  12815. Nome del Virus: X-3B.
  12816. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  12817. Lunghezza del Virus: 1.060 Byte.
  12818.  
  12819. Vettore PC agganciato: INT 21h.
  12820.  
  12821. Procedura eseguita:
  12822. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12823.    in memoria alta.
  12824. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12825.  
  12826. Metodo di infezione:
  12827. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12828. Se il programma da eseguire Φ un file non infetto con 
  12829. estensione *.COM o *.EXE, il virus lo infetta.
  12830.  
  12831. Danni: Nessuno.
  12832.  
  12833. Metodo di rilevazione: I file infetti aumentano di 1.060 Byte.
  12834.  
  12835. [Math-Test]
  12836. Nome del Virus: Math-Test.
  12837. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  12838. Lunghezza del Virus: 1.136 Byte.
  12839.  
  12840. Vettore PC agganciato: INT 21h
  12841.  
  12842. Procedura eseguita:
  12843. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12844.    in memoria alta.
  12845. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12846.  
  12847. Metodo di infezione:
  12848. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12849. Se il programma da eseguire Φ un file non infetto con 
  12850. estensione *.COM o *.EXE, il virus lo infetta.
  12851.  
  12852. Danni: Nessuno.
  12853.  
  12854. Note: Appare un messaggio d'errore quando scrive perche 
  12855. l'INT 24h non Φ stato agganciato.
  12856.  
  12857. Metodo di rilevazione: I file infetti aumentano di 1.136 Byte.
  12858.  
  12859. [Not-586]
  12860. Nome del Virus: Not-586.
  12861. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12862. Lunghezza del Virus: 586 Byte.
  12863.  
  12864. Vettore PC agganciato: INT 21h, INT 24h.
  12865.  
  12866. Procedura eseguita:
  12867. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12868. in memoria alta.
  12869. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12870.  
  12871. Metodo di infezione:
  12872. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12873. Per prima cosa aggancia l'INT 24h per non lasciare 
  12874. tracce quando scrive. Se il programma da eseguire Φ un file 
  12875. non infetto con estensione  *.COM, il virus lo infetta.
  12876.  
  12877. Danni: Nessuno.
  12878.  
  12879. Metodo di rilevazione: I file infetti aumentano di 586 Byte.
  12880.  
  12881. [Xoana]
  12882. Nome del Virus: Xoana.
  12883. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  12884. Lunghezza del Virus: 1.670 Byte.
  12885.  
  12886. Vettore PC agganciato: INT 21h.
  12887.  
  12888. Procedura eseguita:
  12889. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12890. in memoria alta.
  12891. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12892.  
  12893. Metodo di infezione:
  12894. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12895. Se il programma da eseguire Φ un file non infetto con 
  12896. estensione  *.EXE, il virus lo infetta.
  12897.  
  12898. Danni: Nessuno.
  12899.  
  12900. Note: Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  12901. non Φ stato agganciato.
  12902.  
  12903. Metodo di rilevazione: I file infetti aumentano di 1.670 Byte.
  12904.  
  12905. [Pit-1228]
  12906. Nome del Virus: Pit-1228.
  12907. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  12908. Lunghezza del Virus: 1.228 Byte.
  12909.  
  12910. Vettore PC agganciato: INT 21h, INT 24h.
  12911.  
  12912. Procedura eseguita:
  12913. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12914. in memoria alta.
  12915. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12916.  
  12917. Metodo di infezione:
  12918. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12919. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  12920. Se il programma da eseguire Φ un file non infetto con 
  12921. estensione *.COM o *.EXE, il virus lo infetta.
  12922.  
  12923. Danni: Nessuno.
  12924.  
  12925. Metodo di rilevazione: I file infetti aumentano di 1.228 Byte.
  12926.  
  12927. [Finnish-357]
  12928. Nome del Virus: Finnish-357.
  12929. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12930. Lunghezza del Virus: 709 Byte.
  12931.  
  12932. Vettore PC agganciato: INT 21h.
  12933.  
  12934. Procedura eseguita:
  12935. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12936.    in memoria alta.
  12937. 2) Intercetta l'INT 21h e controlla che il COMMAND.COM che ha 
  12938. avviato il sitema sia infetto. Se "NO", il virus lo infetta e torna alla funzione originale.
  12939.  
  12940. Metodo di infezione:
  12941. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12942. Se il programma da eseguire fosse un file non infetto con 
  12943. estensione  COM file, il virus lo infetta.
  12944.  
  12945. Metodo di rilevazione: I file infetti aumentano di 709 Byte.
  12946.  
  12947. [TU-482]
  12948. Nome del Virus: Tu-482.
  12949. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12950. Lunghezza del Virus: 482 Byte.
  12951.  
  12952. Vettore PC agganciato: INT 21h.
  12953.  
  12954. Procedura eseguita:
  12955. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12956.    in memoria alta.
  12957. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12958.  
  12959. Metodo di infezione:
  12960. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12961. Se il programma da eseguireΦun file non infetto 
  12962. con estensione  *.COM, il virus lo infetta.
  12963.  
  12964. Danni: Nessuno.
  12965.  
  12966. Note:
  12967. 1) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  12968. non Φ stato agganciato.
  12969. 2) Quando il virus viene eseguito, salta alla fine del programma, 
  12970. quindi ritorna all'inizio rendendo difficile la sua identificazione.
  12971.  
  12972. Metodo di rilevazione: I file infetti aumentano di 482 Byte.
  12973.  
  12974. [Uruk-Hai]
  12975. Nome del Virus: Uruk-Hai.
  12976. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12977. Lunghezza del Virus: 394 Byte.
  12978.  
  12979. Vettore PC agganciato: INT 21h, INT 24h.
  12980.  
  12981. Procedura eseguita:
  12982. 1) Controlla che sia residente in memoria. Se "NO", si carica
  12983. in memoria alta.
  12984. 2) Intercetta l'INT 21h e torna alla funzione originale.
  12985.  
  12986. Metodo di infezione:
  12987. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  12988. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  12989. Se il programma da eseguire Φ un file non infetto con estensione *.COM, 
  12990. il virus lo infetta.
  12991.  
  12992. Danni: Nessuno.
  12993.  
  12994. Metodo di rilevazione: I file infetti aumentano di 394 Byte.
  12995.  
  12996. [V-388]
  12997. Nome del Virus: V-388.
  12998. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  12999. Lunghezza del Virus: 394 Byte.
  13000.  
  13001. Vettore PC agganciato: INT 21h, INT 24h.
  13002.  
  13003. Procedura eseguita:
  13004. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13005.    in memoria alta.
  13006. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13007.  
  13008. Metodo di infezione:
  13009. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13010. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  13011. Se il programma da eseguire Φ un file non infetto con estensione *.COM 
  13012. che termina con l'INT 21(AH=4Ch), il virus lo infetta.
  13013.  
  13014. Danni: Nessuno.
  13015.  
  13016. Metodo di rilevazione: I file infetti aumentano di 394 Byte.
  13017.  
  13018. [Wizard 3.0]
  13019. Nome del Virus: Wizard-3.0.
  13020. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13021. Lunghezza del Virus: 268 Byte.
  13022.  
  13023. Vettore PC agganciato: INT 21h.
  13024.  
  13025. Procedura eseguita:
  13026. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13027. in memoria alta.
  13028. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13029.  
  13030. Metodo di infezione:
  13031. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13032. Se il programma da eseguire Φ un file non infetto con estensione  
  13033. COM file, il virus lo infetta.
  13034.  
  13035. Danni: Nessuno.
  13036.  
  13037. Note: Appare un messaggio d'errore quando scrive perche l'INT 24h 
  13038. non Φ stato agganciato.
  13039.  
  13040. Metodo di rilevazione: I file infetti aumentano di 268 Byte.
  13041.  
  13042. [Semtex]
  13043. Nome del Virus: Semtex.
  13044. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13045. Lunghezza del Virus: 1.000 Byte.
  13046.  
  13047. Vettore PC agganciato: INT 21h.
  13048.  
  13049. Procedura eseguita:
  13050. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13051. in memoria alta.
  13052. 2) Intercetta l'INT 21h e l'INT 8h, poi torna alla funzione originale.
  13053.  
  13054. Metodo di infezione:
  13055. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. Se il programma 
  13056. da eseguire Φ un file non infetto con estensione *.COM, il virus lo infetta.
  13057.  
  13058. Danni: Nessuno.
  13059.  
  13060. Note:
  13061. 1) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13062. non Φ stato agganciato.
  13063. 2) All'inizio del file infetto, pu≥ essere trovato quanto segue:
  13064.  
  13065.                    MOV     BP,XXXX
  13066.                    JMP     BP
  13067.  
  13068. Metodo di rilevazione: I file infetti aumentano di 1.000 Byte.
  13069.  
  13070. [1720]
  13071. Nome del Virus: 1720.
  13072. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13073. Lunghezza del Virus: 1.723 Byte.
  13074.  
  13075. Vettore PC agganciato: INT 21h, INT 24h.
  13076.  
  13077. Procedura eseguita:
  13078. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13079. in memoria alta.
  13080. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13081.  
  13082. Metodo di infezione:
  13083. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13084. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  13085. Se il programma da eseguire Φ un file non infetto con estensione *.COM, 
  13086. il virus lo infetta.
  13087.  
  13088. Danni: Nessuno.
  13089.  
  13090. Metodo di rilevazione: I file infetti aumentano di 1.723 Byte.
  13091.  
  13092. [Number 6]
  13093. Nome del Virus: Number6.
  13094. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13095. Lunghezza del Virus: 631 Byte.
  13096.  
  13097. Vettore PC agganciato: INT 21h, INT 24h.
  13098.  
  13099. Procedura eseguita:
  13100. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13101.    in memoria alta.
  13102. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13103.  
  13104. Metodo di infezione:
  13105. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13106. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  13107. Se il programma da eseguire Φ un file non infetto con 
  13108. estensione *.COM, il virus lo infetta.
  13109.  
  13110. Danni: Nessuno.
  13111.  
  13112. Metodo di rilevazione: I file infetti aumentano di 631 Byte.
  13113.  
  13114. [Timemark]
  13115. Nome del Virus: Timemark.
  13116. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  13117. Lunghezza del Virus: 1.060-1.080 Byte.
  13118.  
  13119. Vettore PC agganciato: INT 21h.
  13120.  
  13121. Procedura eseguita:
  13122. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13123. in memoria alta.
  13124. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13125.  
  13126. Metodo di infezione:
  13127. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13128. Se il programma da eseguire Φun file non infetto 
  13129. con estensione  *.EXE, il virus lo infetta.
  13130.  
  13131. Danni: Nessuno.
  13132.  
  13133. Metodo di rilevazione: I file infetti aumentano di 1.060-1.080 Byte.
  13134.  
  13135. [Sergant]
  13136. Nome del Virus: Sergant.
  13137. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13138. Lunghezza del Virus: 108 Byte.
  13139.  
  13140. Vettore PC agganciato: INT 21h.
  13141.  
  13142. Procedura eseguita:
  13143. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13144. in memoria alta.
  13145. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13146.  
  13147. Metodo di infezione:
  13148. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13149. Se il programma da eseguire Φun file non infetto con estensione  *.COM, 
  13150. il virus lo infetta.
  13151.  
  13152. Danni: Nessuno.
  13153.  
  13154. Note: Appare un messaggio d'errore quando scrive perchΦ 
  13155. l'INT 24h non Φ stato agganciato.
  13156.  
  13157. Metodo di rilevazione: I file infetti aumentano di 108 Byte.
  13158.  
  13159. [Penza]
  13160. Nome del Virus: Penza.
  13161. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13162. Lunghezza del Virus: 700 Byte.
  13163.  
  13164. Vettore PC agganciato: INT 21h, INT 24h.
  13165.  
  13166. Procedura eseguita:
  13167. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13168. in memoria alta.
  13169. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13170.  
  13171. Metodo di infezione:
  13172. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13173. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  13174. Se il programma da eseguire Φ un file non infetto con estensione *.COM, il virus lo infetta.
  13175.  
  13176. Danni: Nessuno.
  13177.  
  13178. Metodo di rilevazione: I file infetti aumentano di 700 Byte.
  13179.  
  13180. [Nines]
  13181. Nome del Virus: Nines.
  13182. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13183. Lunghezza del Virus: 706 o 776 Byte.
  13184.  
  13185. Vettore PC agganciato: INT 21h.
  13186.  
  13187. Procedura eseguita:
  13188. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13189.    in memoria alta.
  13190. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13191.  
  13192. Metodo di infezione:
  13193. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13194. Se il programma da eseguire Φ un file non infetto con estensione  COM file, 
  13195. il virus lo infetta.
  13196.  
  13197. Danni: Nessuno.
  13198.  
  13199. Note: Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13200. non Φ stato agganciato.
  13201.  
  13202. Metodo di rilevazione: I file infetti aumentano di 706 o 776 Byte.
  13203.  
  13204. [Seacat]
  13205. Nome del Virus: Seacat.
  13206. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13207. Lunghezza del Virus: 1.600 Byte.
  13208.  
  13209. Procedura eseguita:
  13210.  Il virus cerca i file non infetti con estensione *.COM 
  13211. nella cartella in uso, quindi li infetta. (Infetta un solo file alla volta).
  13212.  
  13213. Danni: Nessuno.
  13214.  
  13215. Note:
  13216. 1) Non residente in memoria.
  13217. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13218. non Φ stato agganciato.
  13219.  
  13220. Metodo di rilevazione: I file infetti aumentano di 1.600 Byte.
  13221.  
  13222. [Wake]
  13223. Nome del Virus: Wake.
  13224. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  13225.  
  13226. Procedura eseguita:
  13227.  Il virus cerca tutti i file non infetti  con estensione *.EXE 
  13228. nella cartella in uso, quindi li infetta. (Infetta un solo file alla volta).
  13229.  
  13230. Danni: Sovrascrive il file originale con il codice virale, 
  13231. questo lo corrompe.
  13232.  
  13233. Note:
  13234. 1) Non residente in memoria.
  13235. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13236. non Φ stato agganciato.
  13237.  
  13238. [T-1000-B]
  13239. Nome del Virus: T-1000-B.
  13240. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13241.  
  13242. Procedura eseguita:
  13243. Il virus cerca tutti i file non infetti con estensione *.COM 
  13244. nella cartella in uso, quindi li infetta. (Infetta un solo file alla volta).
  13245.  
  13246. Danni: Sovrascrive il file originale con il codice virale, 
  13247. questo lo corrompe.
  13248.  
  13249. Note:
  13250. 1) Non residente in memoria.
  13251. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h non Φ stato agganciato.
  13252.  
  13253. [Soupy]
  13254. Nome del Virus: Soupy.
  13255. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13256. Lunghezza del Virus: 1.072 Byte.
  13257.  
  13258. Procedura eseguita:
  13259.  Il virus cerca i file non infetti con estensione *.COM nella cartella in uso, 
  13260. quindi li infetta. (Infetta un solo file alla volta).
  13261.  
  13262. Danni: Nessuno.
  13263.  
  13264. Note:
  13265. 1) Non residente in memoria.
  13266. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h non Φ stato agganciato
  13267.  
  13268. Metodo di rilevazione: I file infetti aumentano di 1.072 Byte.
  13269.  
  13270. [Small-Exe]
  13271. Nome del Virus: Small-Exe.
  13272. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  13273. Lunghezza del Virus: 349 Byte.
  13274.  
  13275. Procedura eseguita:
  13276. Il virus cerca i file non infetti con estensione *.EXE nella cartella in uso, 
  13277. quindi li infetta. (Infetta un solo file alla volta). 
  13278. Dopo l'infezione il virus blocca il sistema.
  13279.  
  13280. Danni:  Il virus blocca il sistema ogni volta che infetta un file.
  13281.  
  13282. Note:
  13283. 1) Non residente in memoria.
  13284. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13285. non Φ stato agganciato.
  13286.  
  13287. Metodo di rilevazione: I file infetti aumentano di 349 Byte.
  13288.  
  13289. [Toys]
  13290. Nome del Virus: Toys.
  13291. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  13292. Lunghezza del Virus: 773 Byte.
  13293.  
  13294. Procedura eseguita:
  13295.  Il virus cerca i file non infetti con estensione *.COM ed con 
  13296. estensione *.EXE nella cartella in uso e li infetta. 
  13297. (Infetta due file alla volta).
  13298.  
  13299. Danni: Nessuno.
  13300.  
  13301. Note:
  13302. 1) Non residente in memoria.
  13303. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h non 
  13304. Φ stato agganciato
  13305.  
  13306. Metodo di rilevazione: I file infetti aumentano di 773 Byte.
  13307.  
  13308. [Leper]
  13309. Nome del Virus: Leper.
  13310. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  13311.  
  13312. Procedura eseguita:
  13313.  Il virus cerca i file non infetti con estensione *.COM ed con 
  13314. estensione *.EXE nella cartella in uso e li infetta. 
  13315. (Infetta quatro file alla volta).
  13316.  
  13317. Danni: Sovrascrive il file originale con il codice virale, 
  13318. questo corrompe i file.
  13319.  
  13320. Note:
  13321. 1) Non residente in memoria.
  13322. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13323. non Φ stato agganciato.
  13324.  
  13325. [Arcv-7]
  13326. Nome del Virus: Arcv-7.
  13327. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  13328. Lunghezza del Virus: 541 Byte.
  13329.  
  13330. Procedura eseguita:
  13331.  Il virus cerca un file non infetto con estensione *.EXE nella 
  13332. cartella in uso, quindi lo infetta. (Infetta un solo file alla volta).
  13333.  
  13334. Danni: Nessuno.
  13335.  
  13336. Note:
  13337. 1) Dato che il programma del virus non Φ stato scritto correttamente, 
  13338. il sistama si blocca quando viene eseguito un programma infetto.
  13339. 2) Non residente in memoria.
  13340. 3) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13341. non Φ stato agganciato
  13342. Metodo di rilevazione: I file infetti aumentano di 541 Byte.
  13343.  
  13344. [Arcv-6]
  13345. Nome del Virus: Arcv-6.
  13346. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13347. Lunghezza del Virus: 335 Byte.
  13348.  
  13349. Procedura eseguita:
  13350.  Il virus cerca un file non infetto con estensione *.COM 
  13351. nella cartella in uso, quindi lo infetta. 
  13352. (Infetta un solo file alla volta).
  13353.  
  13354. Danni: Nessuno.
  13355.  
  13356. Note:
  13357. 1) Non residente in memoria.
  13358. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13359. non Φ stato agganciato.
  13360.  
  13361. Metodo di rilevazione: I file infetti aumentano di 335 Byte.
  13362.  
  13363. [Arcv-5]
  13364. Nome del Virus: Arcv-5.
  13365. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13366. Lunghezza del Virus: 475 Byte.
  13367.  
  13368. Procedura eseguita:
  13369.  Il virus cerca un file non infetto con estensione *.COM nella 
  13370. cartella in uso, quindi lo infetta. (Infetta un solo file alla volta).
  13371.  
  13372. Danni: Nessuno.
  13373.  
  13374. Note:
  13375. 1) Non residente in memoria.
  13376. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 
  13377. 24h non Φ stato agganciato.
  13378.  
  13379. Metodo di rilevazione: I file infetti aumentano di 475 Byte.
  13380.  
  13381. [Exper-416]
  13382. Nome del Virus: Exper-416.
  13383. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13384. Lunghezza del Virus: 416 Byte.
  13385.  
  13386. Procedura eseguita:
  13387.  Il virus cerca tutti i file non infetti  con estensione *.COM 
  13388. nella cartella in uso, quindi li infetta.
  13389.  
  13390. Danni: Nessuno.
  13391.  
  13392. Note:
  13393. 1) Non residente in memoria.
  13394. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13395. non Φ stato agganciato
  13396.  
  13397. Metodo di rilevazione: I file infetti aumentano di 416 Byte.
  13398.  
  13399. [Ash-B]
  13400. Nome del Virus: Ash-B.
  13401. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13402. Lunghezza del Virus: 280 Byte.
  13403.  
  13404. Procedura eseguita:
  13405.  Il virus cerca tutti i file non infetti  con estensione *.COM 
  13406. nella cartella in uso, quindi li infetta.
  13407.  
  13408. Danni: Nessuno.
  13409.  
  13410. Note:
  13411. 1) Non residente in memoria.
  13412. 2) Appare un messaggio d'errore quando scrive perchΘ l'INT 24h 
  13413. non Φ stato agganciato.
  13414.  
  13415. Metodo di rilevazione: I file infetti aumentano di 280 Byte.
  13416.  
  13417. [Scribble]
  13418. Nome del Virus: Scribble.
  13419. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  13420.  
  13421. Procedura eseguita:
  13422.  Il virus cerca tutti i file non infetti  con estensione *.COM ed *.EXE 
  13423. nella cartella in uso, quindi li infetta.
  13424.  
  13425. Danni: Sovrascrive il file originale con il codice virale, 
  13426. questo corrompe i file.
  13427.  
  13428. Note:
  13429. 1) Non residente in memoria.
  13430. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13431. non Φ stato agganciato.
  13432.  
  13433. [Simple 1992]
  13434. Nome del Virus: Simple-1992.
  13435. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13436. Lunghezza del Virus: 424 Byte.
  13437.  
  13438. Procedura eseguita:
  13439.  Il virus cerca tutti i file non infetti  con estensione *.COM nella 
  13440. cartella in uso, quindi li infetta.
  13441.  (Il virus infetta anche il COMMAND.COM.)
  13442.  
  13443. Danni: Nessuno.
  13444.  
  13445. Note:
  13446. 1) Non residente in memoria.
  13447. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h non Φ stato agganciato
  13448.  
  13449. Metodo di rilevazione: I file infetti aumentano di 424 Byte.
  13450.  
  13451. [Schrunch]
  13452. Nome del Virus: Schrunch.
  13453. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13454. Lunghezza del Virus: 420 Byte.
  13455.  
  13456. Procedura eseguita:
  13457.  Il virus mostra il seguente messaggio :
  13458.  
  13459.     "S C H R U N CH     E M     U P  T I M E."
  13460.  
  13461.  Il virus cerca tutti i file non infetti  con estensione *.COM 
  13462. nella cartella in uso, quindi li infetta.
  13463.  
  13464. Danni: Nessuno.
  13465.  
  13466. Note:
  13467. 1) Non residente in memoria.
  13468. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13469. non Φ stato agganciato.
  13470.  
  13471. Metodo di rilevazione:
  13472. 1) I file infetti aumentano di 420 Byte.
  13473. 2)  Il virus mostra il messaggio sopra riportato.
  13474.  
  13475. [CV4]
  13476. Nome del Virus: Cv4.
  13477. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13478. Lunghezza del Virus: 321 Byte.
  13479.  
  13480. Procedura eseguita:
  13481.  Il virus mostra il seguente messaggio :
  13482.  
  13483.     "This file infected with COMVIRUS 1.0."
  13484.  
  13485.  Il virus cerca un file non infetto con estensione *.COM nella 
  13486. cartella in uso e lo infetta. (Infetta un solo un file alla volta).
  13487.  
  13488. Danni: Nessuno.
  13489.  
  13490. Note:
  13491. 1) Non residente in memoria.
  13492. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13493. non Φ stato agganciato.
  13494.  
  13495. Metodo di rilevazione:
  13496. 1) I file infetti aumentano di 321 Byte.
  13497. 2)  Il virus mostra il messaggio sopra riportato.
  13498.  
  13499. [Arcv-3A]
  13500. Nome del Virus: Arcv-3a.
  13501. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13502. Lunghezza del Virus: 657 Byte.
  13503.  
  13504. Procedura eseguita:
  13505. 1) Il virus cerca tutti i file non infetti  con estensione *.COM 
  13506. nella cartella in uso, quindi li infetta.
  13507. 2) Controlla che il mese sia febbraio. 
  13508. Se "SI", il virus mostra il seguente messaggio:
  13509.  
  13510.     "I've just Found a Virus.. Oops.. Sorry I'm the virus...Well
  13511.      let me introduce myself.. I am ARCV-3 Virus, by Apache
  13512.      Warrior... Long Live The ARCV and What s an Hard ECU?.. Vote
  13513.      Yes to the Best Vote ARCV..."
  13514.  
  13515. Danni: Nessuno.
  13516.  
  13517. Note:
  13518. 1) Non residente in memoria.
  13519. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13520. non Φ stato agganciato.
  13521.  
  13522. Metodo di rilevazione: I file infetti aumentano di 657 Byte.
  13523.  
  13524. [Anti_Daf]
  13525. Nome del Virus: Anti_Daf.
  13526. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13527. Lunghezza del Virus: 561 Byte.
  13528.  
  13529. Procedura eseguita:
  13530. 1) Cerca i file non infetti con estensione *.COM nella cartella in uso,
  13531.    quindi li infetta. (Infetta un solo file alla volta).
  13532. 2) Controlla che sia novembre e che il giorno sia luned∞. 
  13533. Se ci sono queste condizioni, il virus mostra il seguente 
  13534. messaggio e distrugge tutti i dati sull'hard disk:
  13535.  
  13536.     "The Anti_Daf virus.. DAF-TRUCKSE indhoven.. Hugo vd Goeslaan
  13537.      1..postbus 90063..6500 PREindhoven, The Netherlands.  .. DAF
  13538.      sucks..... (c) 1992 Dark Helmet & The Virus Research Centre"
  13539.  
  13540. Danni: Il virus alcune volte distrugge tutti i dati sull'hard disk.
  13541.  
  13542. Note:
  13543. 1) Non residente in memoria.
  13544. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13545. non Φ stato agganciato.
  13546.  
  13547. Metodo di rilevazione: I file infetti aumentano di 561 Byte.
  13548.  
  13549. [Manola]
  13550. Nome del Virus: Manola.
  13551. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13552. Lunghezza del Virus: 831 Byte.
  13553.  
  13554. Procedura eseguita:
  13555.  Il virus controlla che il giorno corrente sia 7. Se "SI", 
  13556. mostra il seguente messaggio e riavvia il sistema:
  13557.  
  13558.     "The Atomic Dustbin 2B - I'm Here To Stay".
  13559.  
  13560. Se ci sono le tutte condizioni, il virus cerca un file pulito 
  13561. con estensione *.COM nella cartella in uso, quindi lo infetta 
  13562. (infetta solo un file alla volta).
  13563.  
  13564. Danni:  Il virus alcune volte riavvia il sistema.
  13565.  
  13566. Note:
  13567. 1) Non residente in memoria.
  13568. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13569. non Φ stato agganciato.
  13570.  
  13571. Metodo di rilevazione: I file infetti aumentano di 831 Byte.
  13572.  
  13573. [Seneca-A]
  13574. Nome del Virus: Seneca-A
  13575. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  13576.  
  13577. Procedura eseguita:
  13578. 1) Cerca tutti i file non infetti  con estensione *.EXE nella cartella in uso, 
  13579. quindi li infetta.
  13580. 2) Controlla che la data di sistema sia il 25 novembre. 
  13581. Se "SI", il virus mostra il seguente messaggio e distrugge 
  13582. tutti i dati sull'hard disk:
  13583.  
  13584.         "Its Seneca's B_DAY
  13585.          let's party   !!!"
  13586.  
  13587. Danni: Il virus alcune volte distrugge tutti i dati sull'hard disk.
  13588.  
  13589. Note:
  13590. 1) Non residente in memoria.
  13591. 2) Appare un messaggio d'errore quando scrive perchΦ 
  13592. l'INT 24h non Φ stato agganciato.
  13593.  
  13594. [Seneca-B]
  13595. Nome del Virus: SENECA-B.
  13596. Tipo di Virus: Virus da file.
  13597.  
  13598. Procedura eseguita:
  13599. 1) Cerca tutti i file non infetti (*.*) nella cartella in uso 
  13600. e li infetta.
  13601. 2) Controlla che la data di sistema sia il 25 novembre. 
  13602. Se "SI", il virus mostra il seguente messaggio e distrugge 
  13603. tutti i dati sull'hard disk:
  13604.  
  13605.         "Its Seneca's B_DAY
  13606.          let's party   !!!"
  13607.  
  13608. Danni: Il virus alcune volte distrugge tutti i dati sull'hard disk.
  13609.  
  13610. Note:
  13611. 1) Non residente in memoria.
  13612. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13613. non Φ stato agganciato.
  13614.  
  13615. [Mog]
  13616. Nome del Virus: Mog.
  13617. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13618. Lunghezza del Virus: 328 Byte.
  13619.  
  13620. Procedura eseguita:
  13621. 1)  Il virus cerca tutti i file non infetti  con estensione *.COM 
  13622. nella directory in uso, quiundi li infetta.  
  13623. Il virus poi mostra il seguente messaggio:
  13624.  
  13625.        " Maccabi Yafo !!!!!"
  13626.  
  13627. 2) Controlla che la data di sistema sia il 25 novembre. Se "SI", il virus blocca il sistema.
  13628.  
  13629. Danni: Il virus alcune volte blocca il sistema.
  13630.  
  13631. Note:
  13632. 1) Non residente in memoria.
  13633. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13634. non Φ stato agganciato.
  13635.  
  13636. Metodo di rilevazione: I file infetti aumentano di 328 Byte.
  13637.  
  13638. [LZ2]
  13639. Nome del Virus: Lz2.
  13640. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  13641. Lunghezza del Virus: 3.000-8.000 Byte.
  13642.  
  13643. Procedura eseguita:
  13644.  Il virus cerca un file non infetto con estensione *.EXE nella 
  13645. cartella in uso, quindi lo infetta. (Infetta un solo file alla volta).
  13646.  
  13647. Metodo di infezione:
  13648. Crea un nuovo file con estensione *.COM con lo stesso nome del 
  13649. file con estensione *.EXE. Questo nuovo file con estensione *.COM Φ il virus. La sua lunghezza Φ compresa tra 3.000-8.000 Byte.
  13650.  
  13651. Danni: Nessuno.
  13652.  
  13653. Note:
  13654. 1) Non residente in memoria.
  13655. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13656. non Φ stato agganciato.
  13657. 3) La procedura all'inizio del virus Φ criptata in modalitα LZEXE. 
  13658. PCSCAN non individua questo virus.
  13659.  
  13660. [Silver-3D]
  13661. Nome del Virus: Silver-3d.
  13662. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  13663.  
  13664. Procedura eseguita:
  13665.  Il virus cerca i file non infetti con estensione *.COM ed *.EXE 
  13666. nella cartella in uso, quindi li infetta (infetta quattro file alla volta).
  13667.  Il virus mostra il seguente messaggio :
  13668.  
  13669.     "Program too big to fit in memoria."
  13670.  
  13671. Danni:
  13672. 1) Sovrascrive il file originale con il codice virale, ci≥ corrompe i file.
  13673. 2) Se il virus non trova un file non infetto, appare il messaggio 
  13674. "PLO VIRUS RESEARCH TEAM" con caratteri grandi.  
  13675. Il virus quindi blocca il sistema.
  13676.  
  13677. Metodo di rilevazione:
  13678. 1) La lunghezza dei file infetti con estensione *.COM Φ di 8.101 Byte.
  13679. 2) Eseguendo i file infetti appare il seguente messaggio:
  13680.  
  13681.    "Program too big to fit in memoria" o
  13682.    "PLO VIRUS RESEARCH TEAM."
  13683.  
  13684. [Silly-Willy]
  13685. Nome del Virus: Silly-Willy.
  13686. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  13687.  
  13688. Procedura eseguita:
  13689. 1) Quando si esegue un file infetto con estensione *.COM, il virus infetta i file
  13690.    solo quando la data di sistema Φ compresa tra il 1988 ed il 1992. 
  13691. Quando infetta i file, il virus cerca un file non infetto con estensione *.COM 
  13692. ed i file con estensione *.EXE nella cartella in uso, quindi li infetta. 
  13693. Il virus infetta solo un file con estensione *.COM ed *.EXE alla volta.
  13694. 2) Eseguendo un file infetto con estensione *.EXE non si infettano altri file. 
  13695. A questo punto compare una faccia sorridente sullo schermo. 
  13696. Quando viene premuto un tasto, compare il seguente messaggio:
  13697.  
  13698.    "Hello ! I'm Silly-Willy
  13699.     Now, I'm formatting your HARDDISK.........."
  13700.  
  13701. Non formatta realmente l'hard disk. Se c'Φ un floppy nel drive A, tutti 
  13702. i dati sul dischetto vengono distrutti ed il virus blocca il sistema.
  13703.  
  13704. Danni:  Il virus alcune volte distrugge tutti i dati sul dischetto 
  13705. nel drive A e blocca il sistema.
  13706.  
  13707. [Stupid 1]
  13708. Nome del Virus: Stupid 1, July 4.
  13709. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13710. Lunghezza del Virus: 743 Byte.
  13711.  
  13712. Procedura eseguita:
  13713. 1) Se la parola all'indirizzo 0000:01FEh Φ FFFFh, il virus non infetta nessun file.
  13714. 2) Quando il virus infetta i file, infetta tutti i file non infetti 
  13715. con estensione *.COM nella cartella in uso. 
  13716. Quando il numero di infezioni Φ minore di 2, inizia ad infettare 
  13717. tutti i file con estensione *.COM nella directory superiore finchΦ 
  13718. il numero Φ superire a 2 o ha raggiunto la directory principale. 
  13719. Controlla che la data di sistema sia il 4 luglio e che l'ora sia 
  13720. 0:00, 1:00, 2:00, 3:00, 4:00, o 5:00. Se ci sono queste condizioni, 
  13721. il virus distrugge tutti i dati del dischetto.
  13722.  
  13723. Metodo di rilevazione:
  13724. 1) Data ed ora dei file infetti sono cambiate.  
  13725. 2) Il Byte 0003h di un file con estensione *.COM infetto Φ 1Ah.
  13726. 3) Un file con estensione *.COM infetto mostra il seguente messaggio :
  13727.  
  13728.          "Abort, Retry, Ignore, Fail?" ,
  13729.          "Fail on INT 24"
  13730.    (2) - "Impotence error reading users disk"
  13731.    (0) - "Program too big to fit in memoria"
  13732.    (1) - "Cannot load COMMAND, system halted"
  13733.    (3)"Joker!" and "*.com."
  13734.  
  13735. 4)  Il virus mostra il messaggio quando esegue un file infetto.
  13736.  
  13737. [Klf-356]
  13738. Nome del Virus: Klf-356.
  13739. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13740. Lunghezza del Virus: 356 Byte.
  13741.  
  13742. Vettore PC agganciato: INT 21h, INT 24h.
  13743.  
  13744. Procedura eseguita:
  13745. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13746. in memoria alta.
  13747. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13748.  
  13749. Metodo di infezione:
  13750. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13751. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  13752. Se il programma da eseguire Φun file non infetto 
  13753. con estensione  *.COM, il virus lo infetta.
  13754.  
  13755. Danni: Nessuno.
  13756.  
  13757. Metodo di rilevazione: I file infetti aumentano di 356 Byte.
  13758.  
  13759. [April 998]
  13760. Nome del Virus: April 998.
  13761. Tipo di Virus: Virus da file.
  13762.             Infetta i file con estensione *.EXE maggiori di 10h.
  13763.             Il virus Φ residente in memoria.
  13764. Lunghezza del Virus: 998 Byte (file), 1.104 Byte (memoria).
  13765.  
  13766. Vettore PC agganciato: INT 21h.
  13767.  
  13768. Processo di infezione: Questo virus si diffonde eseguendo 
  13769. un programma infetto. Quando si esegue un file infetto in aprile 1998, 
  13770. controlla che sia giα residente in memoria. In questo caso esegue 
  13771. il file infetto. Il virus rimane residente in cima alla 
  13772. MCB (memoria control block) ma nel limite dei 640K del DOS.
  13773.  
  13774. Danni: Il virus scrive informazioni parassite sul drive C dal 
  13775. settore 0 al settore Feh quando la data di sistema Φ aprile di qualsiasi anno.
  13776.  
  13777. Sintomi: La memoria libera diminuisce di 1.104 Byte.
  13778.  
  13779. Note: Questo virus non infetta i file chiamati: "SCAN*", "CLEA*",
  13780. "VIRS*","F-PR*" OR "CPAV*"
  13781.  
  13782. [17-768]
  13783. Nome del Virus:  17-768.
  13784. Tipo di Virus: Virus da file.
  13785. Infetta i file con estensione *.COM ed *.EXE minori di 59.920 Byte. 
  13786. Residente in memoria.
  13787. Lunghezza del Virus: 768 (300h) Byte (file), 800 (320h) Byte (memoria).
  13788.  
  13789. Vettore PC agganciato: INT 09h, INT 21h.
  13790.  
  13791. Processo di infezione: Questo virus Φ una variante del virus November-17th: 
  13792. se la data di sistema Φ 17 novembre ed il valore di [40:46E] non Φ lo 
  13793. stesso del valore di backup del virus [40:46E],
  13794. quando il virus Φ in memoria, distugge il disco in uso iniziando dal 
  13795. settore 1 fino al settore 8. La prima volta che si esegue un programma 
  13796. infettato da November 17th, il virus si installa in memoria in cima 
  13797. alla memoria di sistema ma nel limite dei 640K del DOS.
  13798.  
  13799.  
  13800. Danni: Il virus distrugge il disco in uso dal settore 1 al settore 8. 
  13801. Sucessivamente il virus inserisce informazioni parassite in questi 
  13802. settori quando la data Φ il 17 novembre.
  13803.  
  13804. Sintomi: La lunghezza dei file aumenta di 855 Byte. 
  13805. La memoria libera accessibile diminuisce di 896 Byte.
  13806.  
  13807. Note: Il virus November 17th fu individuato nel febbraio 1992. 
  13808. La sua origine e la sua prima individuazione sono sconosciuti, 
  13809. ma si diffuse a Roma, nel dicembre del 1991. 
  13810. November 17th Φ un virus residente in memoria ed infetta i file 
  13811. con estensione *.EXE ed *.COM, compreso il COMMAND.COM.
  13812.  
  13813. [Jeff]
  13814. Nome del Virus: Jeff.
  13815. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13816. Lunghezza del Virus: 815-820 Byte.
  13817.  
  13818. Procedura eseguita:
  13819. Il virus cerca un file non infetto con estensione *.COM nella cartella 
  13820. in uso, quindi lo infetta. Infetta solo un file alla volta.
  13821.  
  13822. Danni: Nessuno.
  13823.  
  13824. Note:
  13825. 1) Non residente in memoria.
  13826. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13827. non Φ stato agganciato.
  13828.  
  13829. Metodo di rilevazione: I file infetti aumentano di 815-820 Byte.
  13830.  
  13831. [Ill]
  13832. Nome del Virus: Ill.
  13833. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13834. Lunghezza del Virus: 1.016 Byte.
  13835.  
  13836. Procedura eseguita:
  13837. Il virus cerca un file non infetto con estensione *.COM nella 
  13838. cartella in uso, quindi lo infetta. Infetta solo un file alla volta.
  13839.  
  13840. Danni: Nessuno.
  13841.  
  13842. Note:
  13843. 1) Non residente in memoria.
  13844. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13845. non Φ stato agganciato.
  13846.  
  13847. Metodo di rilevazione: I file infetti aumentano di 1.016 Byte.
  13848.  
  13849. [Iero-512-560]
  13850. Nome del Virus: Iero-512-560.
  13851. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13852. Lunghezza del Virus: 512 o 560 Byte.
  13853.  
  13854. Vettore PC agganciato: INT 21h, INT 08h.
  13855.  
  13856. Procedura eseguita:
  13857. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13858. in memoria alta.
  13859. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13860.  
  13861. Metodo di infezione:
  13862. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13863. Se il programma da eseguire Φ un file non infetto con 
  13864. estensione  *.COM, il virus lo infetta.
  13865. 2) Intercetta l'INT 08h per controllare l'ora di sistema. 
  13866. Ad un'ora scelta a caso, il virus mostra il seguente messaggio:
  13867.  
  13868.     "Mulier pulchr aest janua diab oli , .. via iniq uitatis,
  13869.     scorpion is percussio. .St. Ieronim.."
  13870.  
  13871. Danni: Nessuno.
  13872.  
  13873. Note:
  13874. 1) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13875. non Φ stato agganciato.
  13876. 2) Con il virus residente in memoria la memoria libera accessibile 
  13877. diminuisce di 1. Si pu≥ rilevare usando MEM.EXE.
  13878.  
  13879. Metodo di rilevazione: I file infetti aumentano di 512 o 560 Byte.
  13880.  
  13881. [Iernim]
  13882. Nome del Virus: Iernim.
  13883. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13884. Lunghezza del Virus: 570 or 600 Byte.
  13885.  
  13886. Vettore PC agganciato: INT 21h, INT 08h.
  13887.  
  13888. Procedura eseguita:
  13889. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13890. in memoria alta.
  13891. 2) Intercetta l'INT 21h e torna alla funzione originale.
  13892.  
  13893. Metodo di infezione:
  13894. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13895. Se il programma da eseguire Φ un file non infetto 
  13896. con estensione  *.COM, il virus lo infetta.
  13897. 2) Intercetta l'INT 08h per controllare l'ora di sistema. 
  13898. In un momento scelto a caso, il virus mostra il seguente messaggio:
  13899.  
  13900.     "Mulier pulchra est janua diaboli , .. via iniquitatis,
  13901.     scorpionis percussio ..St. Ieronim.."
  13902.  
  13903. Danni: Nessuno.
  13904.  
  13905. Note:
  13906. 1) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13907. non Φ stato agganciato. 
  13908.  2) Con il virus residente in memoria la memoria libera 
  13909. accessibile diminuisce di 1. Si pu≥ rilevare usando MEM.EXE.
  13910.  
  13911. Metodo di rilevazione: I file infetti aumentano di 570 o 600 Byte.
  13912.  
  13913. [Horror]
  13914. Nome del Virus: Horror.
  13915. Tipo di Virus: Virus da file. 
  13916. (Infetta i file con estensione *.COM ed *.EXE).
  13917. Lunghezza del Virus: 1.112-1.182 Byte.
  13918.  
  13919. Vettore PC agganciato: INT 21h, INT 24h.
  13920.  
  13921. Procedura eseguita:
  13922. 1) Controlla che sia residente in memoria. Se "NO", si carica
  13923.    in memoria alta.
  13924. 2) Intercetta l'INT 21h.
  13925. 3) Controlla che il COMMAND.COM che ha avviato il sistema sia infetto. 
  13926. Se "NO", il virus lo infetta e torna alla funzione originale.
  13927.  
  13928. Metodo di infezione:
  13929. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  13930. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  13931. Se il programma da eseguire Φ un file non infetto con 
  13932. estensione *.COM o *.EXE, il virus lo infetta.
  13933.  
  13934. Danni: Distrugge tutti i dati sull'hard disk. 
  13935. (Ogni variante di questo virus ha una propria ora di infezione).
  13936.  
  13937. Note: Il software Soft-mice Φ distrutto dai file infetti 
  13938. con estensione *.EXE.
  13939.  
  13940. Metodo di rilevazione: I file infetti aumentano di 1.112-1.182 Byte.
  13941.  
  13942. [I-B]
  13943. Nome del Virus: I-B.
  13944. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13945.  
  13946. Procedura eseguita:
  13947.  Il virus cerca tutti i file non infetti con estensione *.COM 
  13948. in tutte le directory e li infetta. 
  13949. Questo virus controlla che sia luned∞. 
  13950. Se "SI", il virus distrugge tutti i dati sull'hard disk.
  13951.  
  13952. Danni:
  13953. 1) A volte distrugge tutti i dati sull'hard disk.
  13954. 2) Sovrascrive il file originale con il codice virale, 
  13955. questo corrompe i file.
  13956.  
  13957. Note:
  13958. 1) Non residente in memoria.
  13959. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13960. non Φ stato agganciato.
  13961.  
  13962. [Cr-2480b]
  13963. Nome del Virus: Cr-2480b.
  13964. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13965. Lunghezza del Virus: 2.480 Byte.
  13966.  
  13967. Procedura eseguita:
  13968. Il virus cerca un file non infetto con estensione *.COM nella 
  13969. cartella in uso, quindi lo infetta. (Infetta solo un file alla volta).
  13970.  
  13971. Danni: Nessuno.
  13972.  
  13973. Note:
  13974. 1) Non residente in memoria.
  13975. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  13976. non Φ stato agganciato.
  13977.  
  13978. Metodo di rilevazione: I file infetti aumentano di 2.480 Byte.
  13979.  
  13980. [Md-354]
  13981. Nome del Virus: Md-354.
  13982. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  13983. Lunghezza del Virus: 354 Byte.
  13984.  
  13985. Procedura eseguita:
  13986. Il virus cerca un file non infetto con estensione *.COM nella 
  13987. cartella in uso, quindi lo infetta. (Infetta solo un file alla volta).
  13988.  
  13989. Danni: Nessuno.
  13990.  
  13991. Note:
  13992. 1) Non residente in memoria.
  13993. 2) Appare un messaggio d'errore quando scrive perchΦ 
  13994. l'INT 24h non Φ stato agganciato.
  13995.  
  13996. Metodo di rilevazione: I file infetti aumentano di 354 Byte.
  13997.  
  13998. [Los-693]
  13999. Nome del Virus: Los-693.
  14000. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14001. Lunghezza del Virus: 693 Byte.
  14002.  
  14003. Vettore PC agganciato: INT 21h, INT 24h.
  14004.  
  14005. Procedura eseguita:
  14006. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14007.    in memoria alta.
  14008. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14009.  
  14010. Metodo di infezione:
  14011. 1) Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  14012. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  14013. Se il programma da eseguire Φ un file non infetto con estensione  *.COM, 
  14014. il virus lo infetta.
  14015.  
  14016. Danni:
  14017. C'Φ un flag del virus nella partizione (il valore iniziale Φ zero).
  14018. Il valore aumenta di 1 ogni volta che il virus infetta un file. 
  14019. Quando il flag Φ maggiore di 223, il virus intercetta l'INT 08h. 
  14020. Un minuto dopo, i caratteri cominciano a cadere sullo schermo. 
  14021. Il virus poi blocca il sistema.
  14022.  
  14023. Metodo di rilevazione: I file infetti aumentano di 693 Byte.
  14024.  
  14025. [Bung1422]
  14026. Nome del Virus: Bung1422.
  14027. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14028. Lunghezza del Virus: 1.442 Byte.
  14029.  
  14030. Vettore PC agganciato: INT 21h, INT 24h.
  14031.  
  14032. Procedura eseguita:
  14033. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14034. in memoria alta.
  14035. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14036. 3) Controlla che la data di sistema sia il 20 settembre. 
  14037. Se "SI", il virus
  14038.    mostra il seguente messaggio :
  14039.  
  14040.     "Jonhan Bonhn  - September 20 1980
  14041.     -  L E D  Z E P P E L I N  -"
  14042.  
  14043. Metodo di infezione:
  14044. 1) Intercetta l'INT 21H(AH=4Bh). Per prima cosa aggancia 
  14045. l'INT 24h per non lasciare tracce quando scrive. 
  14046. Se il programma da eseguire Φ un file con estensione *.COM non infetto, 
  14047. il virus lo infetta direttamente. Se il programma da eseguire 
  14048. Φ un file con estensione *.EXE, cerca un file non infetto 
  14049. con estensione *.COM e lo infetta. Infine, il virus ripristina l'INT 24h.
  14050.  
  14051. Danni: Nessuno.
  14052.  
  14053. Metodo di rilevazione: I file infetti aumentano di 1.422 Byte.
  14054.  
  14055. [Src-377]
  14056. Nome del Virus: Src-377.
  14057. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14058. Lunghezza del Virus: 377 Byte.
  14059.  
  14060. Procedura eseguita:
  14061.  Il virus cerca tutti i file non infetti  con estensione *.COM 
  14062. in tutte le directory e le infetta.
  14063. Danni:
  14064. Se l'hard disk ha pi∙ di una partizione ed il sistema Φ avviato 
  14065. dalla seconda partizione (D drive), 
  14066. tutti i dati di questo drive vengono alterati.
  14067.  
  14068. Note:
  14069. 1) Non residente in memoria.
  14070. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14071. non Φ stato agganciato.
  14072.  
  14073. Metodo di rilevazione: I file infetti aumentano di 377 Byte.
  14074.  
  14075. [Mini-195]
  14076. Nome del Virus: Mini-195.
  14077. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14078. Lunghezza del Virus: 195 o 218 Byte.
  14079.  
  14080. Procedura eseguita:
  14081.  Il virus cerca un file non infetto con estensione #*COM 
  14082. ("#" indica un carattere da 'A' a 'Z', come A*.COM, F*.COM, X*.COM) 
  14083. nella cartella in uso, e lo infetta.
  14084.  
  14085. Danni: Nessuno.
  14086.  
  14087. Note:
  14088. 1) Non residente in memoria.
  14089. 2) Appare un messaggio d'errore quando scrive perchΦ 
  14090. l'INT 24h non Φ stato agganciato.
  14091.  
  14092. Metodo di rilevazione: I file infetti aumentano di 195 o 218 Byte.
  14093.  
  14094. [Gold]
  14095. Nome del Virus: Gold.
  14096. Tipo di Virus: Virus da file. 
  14097. (Infetta i file con estensione *.COM ed *.EXE).
  14098. Lunghezza del Virus: 612 Byte.
  14099.  
  14100. Vettore PC agganciato: INT 21h.
  14101.  
  14102. Procedura eseguita:
  14103. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14104. in memoria alta.
  14105. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14106.  
  14107. Metodo di infezione:
  14108. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14109. Se il programma da eseguire Φ un file non infetto 
  14110. con estensione *.COM o *.EXE, il virus lo infetta.
  14111. Dopo aver infettato il file, il virus ha il 50% possibilitα 
  14112. di tornare alla funzione originale. Un'altra possibilitα Φ 
  14113. che il virus mostri dei caratteri a caso e chiuda senza eseguire 
  14114. la funzione originale. 
  14115.  
  14116. Danni: Nessuno.
  14117.  
  14118. Note:
  14119.  
  14120. Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14121. non Φ stato agganciato.
  14122.  
  14123. Metodo di rilevazione: I file infetti aumentano di 612 Byte.
  14124.  
  14125. [Hard-Day]
  14126. Nome del Virus: Hard-Day.
  14127. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14128. Lunghezza del Virus: 662 Byte.
  14129.  
  14130. Vettore PC agganciato: INT 21h.
  14131.  
  14132. Procedura eseguita:
  14133. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14134.    in memoria alta.
  14135. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14136.  
  14137. Metodo di infezione:
  14138. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14139. Se il programma da eseguire Φ un file non infetto con 
  14140. estensione  COM file, il virus lo infetta.
  14141.  
  14142. Danni:
  14143. Se la data corrente Φ luned∞ e l'ora Φ dopo le 18:00,
  14144. il virus blocca il sistema dopo aver mostrato il seguente messaggio:
  14145.  
  14146.     "Hard day's night !"
  14147.  
  14148. Note:
  14149. 3) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14150. non Φ stato agganciato.
  14151.  
  14152. Metodo di rilevazione: I file infetti aumentano di 662 Byte.
  14153.  
  14154. [In83-584]
  14155. Nome del Virus: In83-584.
  14156. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14157. Lunghezza del Virus: 584 Byte.
  14158.  
  14159. Vettore PC agganciato: INT 21h, INT 24h.
  14160.  
  14161. Procedura eseguita:
  14162. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14163.    in memoria alta.
  14164. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14165.  
  14166. Metodo di infezione:
  14167. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14168. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  14169. quando scrive. Se il programma da eseguire Φ un file non 
  14170. infetto con estensione *.COM, il virus lo infetta.
  14171.  
  14172. Danni: Nessuno.
  14173.  
  14174. Metodo di rilevazione: I file infetti aumentano di 584 Byte.
  14175.  
  14176. [Tankard]
  14177. Nome del Virus: Tankard.
  14178. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14179. Lunghezza del Virus: 493 Byte.
  14180.  
  14181. Vettore PC agganciato: INT 21h, INT 24h.
  14182.  
  14183. Procedura eseguita:
  14184. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14185.    in memoria alta.
  14186. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14187.  
  14188. Metodo di infezione:
  14189. 1) Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  14190. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  14191. quando scrive. Se il programma da eseguire Φ un file non 
  14192. infetto con estensione *.COM file, il virus lo infetta.
  14193.  
  14194. Danni: Nessuno.
  14195.  
  14196. Metodo di rilevazione: I file infetti aumentano di 493 Byte.
  14197.  
  14198. [1241]
  14199. Nome del Virus: 1241
  14200. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  14201. Lunghezza del Virus: 1.560-1.570 Byte.
  14202.  
  14203. Vettore PC agganciato: INT 21h.
  14204.  
  14205. Procedura eseguita:
  14206. Il virus controlla che la data corrente sia il 13 novembre 1990. 
  14207. Se "SI", il virus mostra il seguente messaggio:
  14208.  
  14209.     "St Cruz, Dili, 1991 Nov 12.
  14210.     Lusitania Expresso,
  14211.     Freedom for East Timor !"
  14212.  
  14213. Quindi riavvia il sistema. Altrimenti controlla che sia residente 
  14214. in memoria. Se "NO", si carica in memoria alta. Infine intercetta 
  14215. l'INT 21h e torna alla funzione originale.
  14216.  
  14217. Metodo di infezione:
  14218. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14219. Se il programma da eseguire Φ un file non infetto con 
  14220. estensione *.COM o *.EXE, il virus lo infetta.
  14221.  
  14222. Danni: Nessuno.
  14223.  
  14224. Metodo di rilevazione: I file infetti aumentano di 1.560-1.570 Byte.
  14225.  
  14226. [104]
  14227. Nome del Virus: 104.
  14228. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14229. Lunghezza del Virus: 400 Byte.
  14230.  
  14231. Vettore PC agganciato: INT 21h.
  14232.  
  14233. Procedura eseguita:
  14234. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14235. in memoria alta.
  14236. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14237.  
  14238. Metodo di infezione:
  14239. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14240. Se il programma da eseguire Φ un file non infetto con 
  14241. estensione  *.COM file, il virus lo infetta.
  14242.  
  14243. Danni: Nessuno.
  14244.  
  14245. Note:
  14246. Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14247. non Φ stato agganciato.
  14248.  
  14249. Metodo di rilevazione: I file infetti aumentano di 400 Byte.
  14250.  
  14251. [Trident]
  14252. Nome del Virus: Trident.
  14253. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  14254. Lunghezza del Virus: 2.385-2.395 Byte.
  14255.  
  14256. Vettore PC agganciato: INT 21h, INT 24h.
  14257.  
  14258. Procedura eseguita:
  14259. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14260.    in memoria alta.
  14261. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14262.  
  14263. Metodo di infezione:
  14264. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14265. Per prima cosa aggancia l'INT 24h per non lasciare 
  14266. tracce quando scrive.
  14267. 2) Controlla che il comando DIR sia usato. 
  14268. Se "SI", tutti i file puliti, con estensione *.EXE e *.COM 
  14269. aperti con questo comando, diventano infetti.
  14270.  
  14271. Danni: Nessuno.
  14272.  
  14273. Metodo di rilevazione: I file infetti aumentano di 2.385-2.395 Byte.
  14274.  
  14275. [Explode]
  14276. Nome del Virus: Explode.
  14277. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14278.  
  14279. Procedura eseguita:
  14280. 1) Cerca tutti i file non infetti  con estensione *.COM nella 
  14281. cartella in uso, quindi li infetta.
  14282. 2) Controlla che il mese corrente sia aprile o maggio. 
  14283. Se "SI", il
  14284.    virus mostra il seguente messaggio :
  14285.  
  14286.      "Your hard drive is about to explode !"
  14287.  
  14288.    Il virus distrugge tutti i dati sull'hard disk. 
  14289. In caso non sia nΦ aprile nΦ maggio, il virus mostra:
  14290.  
  14291.      "Program too big to fit in memoria."
  14292.  
  14293. Danni:
  14294. 1) Alcune volte distrgge tutti i dati sull'hard disk.
  14295. 2) Sovrascrive il file originale con il codice virale, 
  14296. questo altera i file.
  14297.  
  14298. Note:
  14299. 1) Non residente in memoria.
  14300. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14301. non Φ stato agganciato.
  14302.  
  14303. [End-Of]
  14304. Nome del Virus: End-Of..
  14305. Tipo di Virus: Virus da file (Infetta i file con estensione *.COM).
  14306. Lunghezza del Virus: 783 Byte.
  14307.  
  14308. Vettore PC agganciato: INT 21h.
  14309.  
  14310. Procedura eseguita:
  14311. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14312.    in memoria alta.
  14313. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14314.  
  14315. Metodo di infezione:
  14316. 1) Intercetta l'INT 21H(AH=3Bh) per infettare i file. 
  14317. Quando accede ad altre cartelle, tutti i file non infetti 
  14318. con estensione *.COM nella directory originale vengono infettati.
  14319.  
  14320. Danni: Nessuno.
  14321.  
  14322. Note:
  14323. Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14324. non Φ stato agganciato.
  14325.  
  14326. Metodo di rilevazione: I file infetti aumentano di 783 Byte.
  14327.  
  14328. [Copyr-Ug]
  14329. Nome del Virus: Copyr-Ug.
  14330. Tipo di Virus: Virus da file. (Infetta i file con 
  14331. estensione *.COM ed *.EXE).
  14332. Lunghezza del Virus: 766 Byte.
  14333.  
  14334. Vettore PC agganciato: INT 21h.
  14335.  
  14336. Procedura eseguita:
  14337. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14338. in memoria alta.
  14339. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14340.  
  14341. Metodo di infezione:
  14342. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14343. Se il programma da eseguire Φ un file non infetto con 
  14344. estensione *.COM o *.EXE, il virus lo infetta.
  14345.  
  14346. Danni: Nessuno.
  14347.  
  14348. Note:
  14349. Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14350. non Φ stato agganciato.
  14351.  
  14352. Metodo di rilevazione: I file infetti aumentano di 766 Byte.
  14353.  
  14354. [Chuang]
  14355. Nome del Virus: Chuang.
  14356. Tipo di Virus: Virus da file. (Infetta i file con 
  14357. estensione *.COM ed *.EXE).
  14358. Lunghezza del Virus: 970 Byte.
  14359.  
  14360. Procedura eseguita:
  14361. 1) Cerca i file non infetti con estensione *.COM nella cartella in uso,
  14362.    quindi li infetta. (Infetta solo un file alla volta).
  14363. 2) Controlla che il giorno corrente sia successivo al 12, e l'ora 
  14364. sia  22:00 o pi∙ tardi. Se ci sono queste condizioni, 
  14365. il virus distrugge tutti i dati sull'hard disk.
  14366.  
  14367. Danni:   Il virus alcune volte distrugge tutti i dati sull'hard disk.
  14368.  
  14369. Note:
  14370. 1) Non residente in memoria.
  14371. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14372. non Φ stato agganciato.
  14373.  
  14374. Metodo di rilevazione: I file infetti aumentano di 970 Byte.
  14375.  
  14376. [Ancient]
  14377. Nome del Virus: Ancient.
  14378. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14379. Lunghezza del Virus: 783 Byte.
  14380.  
  14381. Procedura eseguita:
  14382. 1) Cerca i file non infetti con estensione *.COM nella cartella in uso,
  14383.    quindi li infetta. (Infetta solo un file alla volta).
  14384. 2) Pulisce lo schermo o mostra diversi colori di ' * ' 
  14385. finchΦ viene premuto un tasto. A quel punto, viene emesso 
  14386. uno strano suono per 5 minuti. DopodichΦ il virus torna 
  14387. al programma originale.
  14388.  
  14389. Danni: Nessuno.
  14390.  
  14391. Note:
  14392. 1) Non residente in memoria.
  14393. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14394. non Φ stato agganciato.
  14395.  3) Reinfetta i file.
  14396.  
  14397. Metodo di rilevazione: I file infetti aumentano di 783 Byte.
  14398.  
  14399. [Adolf_Hitler]
  14400. Nome del Virus: Adolf_Hitler.
  14401. Tipo di Virus: Virus da fil. (Infetta i file con estensione *.COM).
  14402. Lunghezza del Virus: 475 Byte.
  14403.  
  14404. Vettore PC agganciato: INT 21h, INT 24h.
  14405.  
  14406. Procedura eseguita:
  14407. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14408.    in memoria alta.
  14409. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14410.  
  14411. Metodo di infezione:
  14412. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14413. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  14414. quando scrive. Se il programma da eseguire Φ un file non 
  14415. infetto con estensione *.COM, il virus lo infetta.
  14416.  
  14417. Danni: Nessuno.
  14418.  
  14419. Metodo di rilevazione: I file infetti aumentano di 475 Byte.
  14420.  
  14421. [Fob]
  14422. Nome del Virus: Fob.
  14423. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14424. Lunghezza del Virus: .1.750-1950 Byte.
  14425.  
  14426. Procedura eseguita:
  14427. 1) Cerca i file non infetti con estensione *.COM nella cartella in uso,
  14428.    quindi li infetta. (Infetta un solo file alla volta). 
  14429. Ci sono il 50% di possibilitα che il virus mostri un messaggio 
  14430. chiedendo all'utente di inserire la parola: "SLOVAKIA." 
  14431. Il virus aspetta fino a quando l'utente non inserise questa parola, 
  14432. quindi termina il programma.
  14433.  
  14434. Danni: Nessuno.
  14435.  
  14436. Note:
  14437. 1) Non residente in memoria.
  14438. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14439. non Φ stato agganciato.
  14440.  
  14441. Metodo di rilevazione: I file infetti chiedendo all'utente di 
  14442. inserire la parola: "SLOVAKIA." e non smettono finchΦ l'utente 
  14443. non la digita.
  14444.  
  14445. [Signs]
  14446. Nome del Virus: Signs.
  14447. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14448. Lunghezza del Virus: 720 Byte.
  14449.  
  14450. Vettore PC agganciato: INT 21h, INT 24h.
  14451.  
  14452. Procedura eseguita:
  14453. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14454.    in memoria alta.
  14455. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14456. 3) Controlla che il giorno corrente sia venerd∞. 
  14457. Se "SI", l'immagine sullo schermo gira per un minuto.
  14458.  
  14459. Metodo di infezione:
  14460. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file.
  14461. Per prima cosa aggancia l'INT 24h per non lasciare tracce quando scrive. 
  14462. Se il programma da eseguire Φ un file non infetto con estensione  *.COM, 
  14463. il virus lo infetta.
  14464.  
  14465. Danni: Nessuno.
  14466.  
  14467. Metodo di rilevazione: I file infetti aumentano di 720 Byte.
  14468.  
  14469. [Shield]
  14470. Nome del Virus: Shield.
  14471. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14472. Lunghezza del Virus: 172 Byte.
  14473.  
  14474. Vettore PC agganciato: INT 21h.
  14475.  
  14476. Procedura eseguita:
  14477. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14478.    in memoria alta.
  14479. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14480.  
  14481. Metodo di infezione:
  14482. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14483. Se il programma da eseguire Φ un file non infetto con 
  14484. estensione *. COM, il virus lo infetta.
  14485.  
  14486. Danni: Nessuno.
  14487.  
  14488. Note:
  14489. 1) Appare un messaggio d'errore quando scrive perchΦ 
  14490. l'INT 24h non Φ stato agganciato.
  14491. 2) La funzione del programma infetto Φ diversa dall'originale. 
  14492. I file infetti non sono in grado di infettare altri file ma 
  14493. possono mostrare un messaggio se il mese corrente Φ febbraio. 
  14494. Il messaggio Φ il seguente:
  14495.  
  14496.    "I greet you user .
  14497.     I am COM-CHILD, son of The Breeder Virus.
  14498.     Look out for the RENAME-PROBLEM !"
  14499.  
  14500. Metodo di rilevazione: I file infetti aumentano di 172 Byte.
  14501.  
  14502. [Wishes]
  14503. Nome del Virus: Wishes.
  14504. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  14505. Lunghezza del Virus: 970 Byte.
  14506.  
  14507. Vettore PC agganciato: INT 21h, INT 24h.
  14508.  
  14509. Procedura eseguita:
  14510. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14511.    in memoria alta.
  14512. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14513. 3) Controlla che il giorno corrente sia venerd∞ 13. Se "SI",
  14514.    il virus distrugge tutti i dati sull'hard disk.
  14515.  
  14516. Metodo di infezione:
  14517. 1) Intercetta l'INT 21H (AH=4Bh) per infettare i file. 
  14518. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  14519. quando scrive. Se il programma da eseguire Φ un file non 
  14520. infetto con estensione *.COM o *.EXE, il virus lo infetta.
  14521.  
  14522. Danni: Il virus alcune volte distrugge tutti i dati sull'hard disk.
  14523.  
  14524. Metodo di rilevazione: I file infetti aumentano di 970 Byte.
  14525.  
  14526. [439]
  14527. Nome del Virus: 439.
  14528. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14529. Lunghezza del Virus: 439 Byte.
  14530.  
  14531. Vettore PC agganciato: INT 21h, INT 24h.
  14532.  
  14533. Procedura eseguita:
  14534. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14535.    in memoria alta.
  14536. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14537.  
  14538. Metodo di infezione:
  14539. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14540. Per prima cosa aggancia l'INT 24h per non lasciare tracce 
  14541. quando scrive. Se il programma da eseguire Φ un file non 
  14542. infetto con estensione *.COM, il virus lo infetta.
  14543.  
  14544. Danni: Nessuno.
  14545.  
  14546. Metodo di rilevazione: I file infetti aumentano di 439 Byte.
  14547.  
  14548. [4-A]
  14549. Nome del Virus: 4-A.
  14550. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14551. Lunghezza del Virus: 450-460 Byte.
  14552.  
  14553. Procedura eseguita:
  14554.  Il virus mostra il seguente messaggio :
  14555.  
  14556.     "-----Hello  , I am virus ! -----".
  14557.  
  14558.  Il virus cerca un file non infetto con estensione *.COM 
  14559. nella cartella in uso e lo infetta. (Infetta solo un file alla volta).
  14560.  
  14561. Danni: Nessuno.
  14562.  
  14563. Note:
  14564. 1) Non residente in memoria.
  14565. 3) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14566. non Φ stato agganciato.
  14567.  
  14568. Metodo di rilevazione:
  14569. 1) I file infetti mostrano il messaggio sopra riportato quando vengono eseguiti.
  14570. 2) I file infetti aumentano di 450-460 Byte.
  14571.  
  14572. [330]
  14573. Nome del Virus: 330.
  14574. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14575. Lunghezza del Virus: 330 Byte.
  14576.  
  14577. Procedura eseguita:
  14578. 1) Cerca un file non infetto con estensione *.COM nella cartella in uso
  14579.    e lo infetta. (Infetta solo un file alla volta).
  14580. 2) Controlla che il mese corrente sia Luglio. Se "SI", il  virus
  14581.    mostra il seguente messaggio :
  14582.  
  14583.     "[330] by ICE-9."
  14584.  
  14585. Danni: Nessuno.
  14586.  
  14587. Note:
  14588. 1) Non residente in memoria.
  14589. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14590. non Φ stato agganciato.
  14591.  
  14592. Metodo di rilevazione: I file infetti aumentano di 330 Byte.
  14593.  
  14594. [203]
  14595. Nome del Virus: 203.
  14596. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14597. Lunghezza del Virus: 203 Byte.
  14598.  
  14599. Procedura eseguita:
  14600. Il virus cerca un file non infetto con estensione *.COM nella 
  14601. cartella in uso, quindi lo infetta. (Infetta solo un file alla volta).
  14602.  
  14603. Danni: Nessuno.
  14604.  
  14605. Note:
  14606. 1) Non residente in memoria.
  14607. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14608. non Φ stato agganciato.
  14609.  
  14610. Metodo di rilevazione: I file infetti aumentano di 203 Byte.
  14611.  
  14612. [Mr-Vir]
  14613. Nome del Virus: Mr-Vir.
  14614. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14615. Lunghezza del Virus: 508 Byte.
  14616.  
  14617. Procedura eseguita:
  14618.  Il virus cerca un file non infetto con estensione *.COM nella 
  14619. cartella in uso, quindi lo infetta. (Infetta solo un file alla volta).
  14620.  
  14621. Danni: Nessuno.
  14622.  
  14623. Note:
  14624. 1) Non residente in memoria.
  14625. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14626. non Φ stato agganciato.
  14627.  
  14628. Metodo di rilevazione: I file infetti aumentano di 508 Byte.
  14629.  
  14630. [Nazgul]
  14631. Nome del Virus: Nazgul.
  14632. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14633. Lunghezza del Virus: 266 Byte.
  14634.  
  14635. Procedura eseguita:
  14636. Il virus cerca tutti i file non infetti  con estensione *.COM 
  14637. nella cartella in uso e li infetta.
  14638.  
  14639. Danni: Nessuno.
  14640.  
  14641. Note:
  14642. 1) Non residente in memoria.
  14643. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14644. non Φ stato agganciato.
  14645.  
  14646. Metodo di rilevazione: I file infetti aumentano di 266 Byte.
  14647.  
  14648. [Napc]
  14649. Nome del Virus: Napc.
  14650. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM ed *.EXE).
  14651. Lunghezza del Virus: 729 Byte.
  14652.  
  14653. Procedura eseguita:
  14654. Il virus cerca tutti i file puliti con estensione *.COM ed *.EXE 
  14655. nella cartella in uso, quindi li infetta.
  14656.  
  14657. Danni: Nessuno.
  14658.  
  14659. Note:
  14660. 1) Non residente in memoria.
  14661. 2) Appare un messaggio d'errore quando scrive perchΦ l'INT 24h 
  14662. non Φ stato agganciato.
  14663.  
  14664. Metodo di rilevazione: I file infetti aumentano di 729 Byte.
  14665.  
  14666. [Little]
  14667. Nome del Virus: Little.
  14668. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14669. Lunghezza del Virus: 665 Byte.
  14670.  
  14671. Procedura eseguita:
  14672. Il virus cerca i file con estensione *.COM non infetti nella 
  14673. cartella in uso, quindi li infetta. (Infetta solo un file alla volta).
  14674.  
  14675. Danni: Nessuno.
  14676.  
  14677. Note:
  14678. 1) Non residente in memoria.
  14679. 2) Appare un messaggio d'errore mentre scrive in quanto non 
  14680. Φ stato agganciato l'INT 24h.
  14681.  
  14682. Metodo di rilevazione: I file infetti aumentano di 665 Byte.
  14683.  
  14684. [Atte-629]
  14685. Nome del Virus: Atte-629.
  14686. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14687. Lunghezza del Virus: 629 Byte.
  14688.  
  14689. Procedura eseguita:
  14690. Il virus cerca i file con estensione *.COM non infetti nella 
  14691. cartella in uso, quindi li infetta. (Infetta solo un file alla volta).
  14692.  
  14693. Danni: Nessuno.
  14694.  
  14695. Note:
  14696. 1) Non residente in memoria.
  14697. 2) Appare un messaggio d'errore mentre scrive in quanto non Φ 
  14698. stato agganciato l'INT 24h.
  14699.  
  14700. Metodo di rilevazione: I file infetti aumentano di 629 Byte.
  14701.  
  14702. [A&A]
  14703. Nome del Virus: A&A.
  14704. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14705. Lunghezza del Virus: 506 Byte.
  14706.  
  14707. Vettore PC agganciato: INT 21h, INT 24h.
  14708.  
  14709. Procedura eseguita:
  14710. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14711.    nella memoria alta.
  14712. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14713.  
  14714. Metodo di infezione:
  14715. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14716. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione 
  14717. di sue tracce mentre scrive. Se il programma da eseguire Φ un 
  14718. file con estensione *.COM non infetto, il virus procede alla sua infezione.
  14719.  
  14720. Danni: Nessuno.
  14721.  
  14722. Metodo di rilevazione: I file infetti aumentano di 506 Byte.
  14723.  
  14724. [Magnitogorski-3]
  14725. Nome del Virus: Magnitogorski-3.
  14726. Tipo di Virus: Virus da file. (I file con estensione *.COM e *.EXE).
  14727. Lunghezza del Virus: 3.000 Byte.
  14728.  
  14729. Vettore PC agganciato: INT 21h, INT 24h.
  14730.  
  14731. Procedura eseguita:
  14732. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14733.    nella memoria alta.
  14734. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14735.  
  14736. Metodo di infezione:
  14737. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14738. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione 
  14739. di sue tracce mentre scrive. Se il programma da eseguire Φ un file 
  14740. con estensione *.COM o *.EXE non infetto, 
  14741. il virus procede alla sua infezione.
  14742.  
  14743. Danni: Nessuno.
  14744.  
  14745. Metodo di rilevazione: I file infetti aumentano di 3.000 Byte.
  14746.  
  14747. [Lpt-Off]
  14748. Nome del Virus: Lpt-Off.
  14749. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14750. Lunghezza del Virus: 256 Byte.
  14751.  
  14752. Vettore PC agganciato: INT 21h.
  14753.  
  14754. Procedura eseguita:
  14755. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14756.    nella memoria alta.
  14757. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14758.  
  14759. Metodo di infezione:
  14760. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14761. Se il programma da eseguire Φ un file con estensione *.COM 
  14762. non infetto, il  virus procede alla sua infezione.
  14763.  
  14764. Danni: Nessuno.
  14765.  
  14766. Note: Appare un messaggio d'errore mentre scrive in quanto 
  14767. non Φ stato agganciato l'INT 24h.
  14768.  
  14769. Metodo di rilevazione: I file infetti aumentano di 256 Byte.
  14770.  
  14771. [Kiwi-550]
  14772. Nome del Virus: Kiwi-550.
  14773. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  14774. Lunghezza del Virus: 550-570 Byte.
  14775.  
  14776. Vettore PC agganciato: INT 21h, INT 24h.
  14777.  
  14778. Procedura eseguita:
  14779. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14780.    nella memoria alta.
  14781. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14782.  
  14783. Metodo di infezione:
  14784. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14785. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione 
  14786. di sue tracce mentre scrive. Se il programma da eseguire Φ un file 
  14787. con estensione *.EXE non infetto, il virus procede alla sua infezione.
  14788.  
  14789. Danni: Nessuno.
  14790.  
  14791. Metodo di rilevazione: I file infetti aumentano di 550-570 Byte.
  14792.  
  14793. [Dennis-2]
  14794. Nome del Virus: Dennis-2.
  14795. Tipo di Virus: Virus da file. (I file con estensione *.COM ed *.EXE).
  14796. Lunghezza del Virus: 897 Byte.
  14797.  
  14798. Vettore PC agganciato: INT 21h.
  14799.  
  14800. Procedura eseguita:
  14801. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14802. nella memoria alta.
  14803. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14804.  
  14805. Metodo di infezione:
  14806. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14807. Se il programma da eseguire Φ un file con estensione *.COM o *.EXE 
  14808. non infetto, il virus procede alla sua infezione.
  14809.  
  14810. Danni: Nessuno.
  14811.  
  14812. Metodo di rilevazione: I file infetti aumentano di 897 Byte.
  14813.  
  14814. [Beer]
  14815. Nome del Virus: Beer.
  14816. Tipo di Virus: Virus da file.
  14817.  
  14818. Vettore PC agganciato: INT 21h, INT 24h.
  14819.  
  14820. Procedura eseguita:
  14821. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14822.    nella memoria alta.
  14823. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14824.  
  14825. Metodo di infezione:
  14826. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14827. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione 
  14828. di sue tracce mentre scrive. Se il programma da eseguire Φ un file 
  14829. non infetto, il virus procede alla sua infezione.
  14830.  
  14831. Danni: Nessuno.
  14832.  
  14833. Note: Questo virus ha almeno tre varianti.
  14834.  
  14835. [2560]
  14836. Nome del Virus: 2560.
  14837. Tipo di Virus: Virus da file. (I file con estensione *.COM ed *.EXE).
  14838. Lunghezza del Virus: 2.560 Byte.
  14839.  
  14840. Vettore PC agganciato: INT 21h, INT 24h.
  14841.  
  14842. Procedura eseguita:
  14843. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14844. nella memoria alta.
  14845. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14846.  
  14847. Metodo di infezione:
  14848. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14849. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione 
  14850. di sue tracce mentre scrive. Se il programma da eseguire Φ un 
  14851. file con estensione *.COM o *.EXE non infetto, il virus procede 
  14852. alla sua infezione.
  14853.  
  14854. Danni: Nessuno.
  14855.  
  14856. Metodo di rilevazione: I file infetti aumentano di 2.560 Byte.
  14857.  
  14858. [Atas-3321]
  14859. Nome del Virus: Atas-3321.
  14860. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM)
  14861. Lunghezza del Virus: 3.321 Byte.
  14862.  
  14863. Vettore PC agganciato: INT 21h, INT 24h.
  14864.  
  14865. Procedura eseguita:
  14866. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14867.    nella memoria alta.
  14868. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14869.  
  14870.  Il virus pu≥ eseguire i suoi programmi solo in DOS 3.3.
  14871.  
  14872. Metodo di infezione:
  14873. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14874. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione di sue 
  14875. tracce mentre scrive. Se il programma da eseguire Φ un file con 
  14876. estensione *.COM non infetto, il virus procede alla sua infezione.
  14877.  
  14878. Danni: Nessuno.
  14879.  
  14880. Metodo di rilevazione: I file infetti aumentano di 3.321 Byte.
  14881.  
  14882. [Ecu]
  14883. Nome del Virus: Ecu.
  14884. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  14885. Lunghezza del Virus: 711 Byte.
  14886.  
  14887. Vettore PC agganciato: INT 21h, INT 24h.
  14888.  
  14889. Procedura eseguita:
  14890. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14891. nella memoria alta.
  14892. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14893.  
  14894.  Il virus pu≥ eseguire i suoi programmi solo in DOS 3.3.
  14895.  
  14896. Metodo di infezione:
  14897. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14898. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione 
  14899. di sue tracce mentre scrive. Se il programma da eseguire Φ un file 
  14900. con estensione *.EXE non infetto, il virus procede alla sua infezione.
  14901.  
  14902. Danni: La maggior parte dei file infetti non possono essere eseguiti.
  14903.  
  14904. Metodo di rilevazione: I file infetti aumentano di 711 Byte.
  14905.  
  14906. [N1]
  14907. Nome del Virus: N1.
  14908. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14909. Lunghezza del Virus: 10.230-10.240 Byte.
  14910.  
  14911. Procedura eseguita:
  14912.  Il virus cerca i file con estensione *.COM non infetti nella 
  14913. cartella in uso, quindi li infetta. (Infetta un solo file alla volta). 
  14914. Il virus mostra poi il seguente messaggio :
  14915.  
  14916. "This File Has Been Infected By NUMBER One!"
  14917.  
  14918. Danni: Nessuno.
  14919.  
  14920. Note:
  14921. 1) Non residente in memoria.
  14922. 2) Appare un messaggio d'errore mentre scrive in quanto l'INT 24h 
  14923. non Φ stato agganciato.
  14924.  
  14925. Metodo di rilevazione: I file infetti mostrano il suddetto 
  14926. messaggio quando vengono eseguiti.
  14927.  
  14928. [Arcv-718]
  14929. Nome del Virus: Arcv-718.
  14930. Tipo di Virus: Virus da file. (I file con estensione *.COM ed *.EXE).
  14931. Lunghezza del Virus: 718 Byte.
  14932.  
  14933. Vettore PC agganciato: INT 21h.
  14934.  
  14935. Procedura eseguita:
  14936. 1) Controlla che sia residente in memoria. Se "NO", si carica
  14937.    nella memoria alta.
  14938. 2) Intercetta l'INT 21h e torna alla funzione originale.
  14939. 3) Controlla che la data corrente sia tra l'1 ed il 7 gennaio. 
  14940. Se "SI", il virus mostra il seguente messaggio e procede a bloccare il sistema:
  14941.  
  14942.      "Hello Dr Sol & Fido Lurve U lots...    "
  14943.  
  14944. Metodo di infezione:
  14945. 1) Intercetta l'INT 21H(AH=4Bh) per infettare i file. 
  14946. Se il programma da eseguire Φ un file con estensione *.COM o *.EXE 
  14947. non infetto, il virus procede alla sua infezione.
  14948.  
  14949. Danni: Il virus a volte blocca il sistema.
  14950.  
  14951. Metodo di rilevazione: I file infetti aumentano di 718 Byte.
  14952.  
  14953. [L-933]
  14954. Nome del Virus: L-933.
  14955. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14956. Lunghezza del Virus:  933-950 Byte.
  14957.  
  14958. Procedura eseguita:
  14959. 1) Cerca i file con estensione *.COM non infetti nella cartella in uso,
  14960.    quindi li infetta. (Infetta un solo file alla volta).
  14961. 2) Controlla la data corrente.
  14962.    i)  Se Φ il giorno 8 marzo, il virus distrugge tutti i dati sull'hard disk.
  14963.    ii) Se Φ il giorno 1 settembre, il virus si cancella.
  14964.  
  14965. Danni: Il virus a volte distrugge tutti i dati sull'hard disk.
  14966.  
  14967. Note:
  14968. 1) Non residente in memoria.
  14969. 2) Appare un messaggio d'errore mentre scrive in quanto l'INT 24h 
  14970. non Φ stato agganciato.
  14971.  
  14972. Metodo di rilevazione: I file infetti aumentano di 933-950 Byte.
  14973.  
  14974. [Alpha743]
  14975. Nome del Virus: Alpha743.
  14976. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  14977. Lunghezza del Virus: 743 Byte.
  14978.  
  14979. Procedura eseguita:
  14980. 1) Cerca i file con estensione *.COM non infetti nella cartella in uso,
  14981.    quindi li infetta. (Infetta un solo file alla volta).
  14982. 2) Controlla che l'anno corrente sia 1993 o successivi. 
  14983. Se il mese corrente Φ successivo a febbraio ed il giorno corrente Φ 5, il virus mostra il seguente messaggio:
  14984.  
  14985.         "Your PC has ALPHA virus.
  14986.          Brought to you by the ARCV
  14987.          Made in ENGLAND"
  14988.  
  14989. Danni: Nessuno.
  14990.  
  14991. Note:
  14992. 1) Non residente in memoria.
  14993. 2) Appare un messaggio d'errore mentre scrive in quanto l'INT 24h 
  14994. non Φ stato agganciato.
  14995.  
  14996. Metodo di rilevazione: I file infetti aumentano di 743 Byte.
  14997.  
  14998. [Clint]
  14999. Nome del Virus: Clint.
  15000. Tipo di Virus: Virus da file. (I file con estensione *.COM ed *.EXE).
  15001.  
  15002. Procedura eseguita:
  15003. 1) Cerca i file con estensione *.COM o *.EXE non infetti nella 
  15004. cartella in uso, quindi li infetta. (Infetta quattro file alla volta).
  15005. 2) Mostra il seguente messaggio:
  15006.  
  15007.    "memoria allocation error !"
  15008.  
  15009. Danni: Il virus sovrascrive il file originale con il proprio 
  15010. codice e questo corrompe i file.
  15011.  
  15012. Note:
  15013. 1) Non residente in memoria.
  15014. 2) Appare un messaggio d'errore mentre scrive in quanto 
  15015. l'INT 24h non Φ stato agganciato.
  15016.  
  15017. Metodo di rilevazione: I file infetti mostrano il suddetto 
  15018. messaggio quando vengono eseguiti. 
  15019.  
  15020. [Love-Child-2710]
  15021. Nome del Virus: Love-Child-2710.
  15022. Tipo di Virus: Virus da file. (Infetta i file con estensione *.COM).
  15023. Lunghezza del Virus: 2.710 Byte.
  15024.  
  15025. Vettore PC agganciato: INT 13h, INT 24h.
  15026.  
  15027. Procedura eseguita:
  15028. 1) Controlla che la data corrente sia uno dei seguenti giorni:
  15029. 5 novembre, 22 febbraio, 23 giugno, 24 agosto, 6 ottobre o che il 
  15030. sistema non sia DOS 3.3. Se sono soddisfatte queste condizioni, 
  15031. il virus distrugge la Partizione e parti di FAT. 
  15032. Se le condizioni non sono soddisfatte, il virus controlla che 
  15033. sia residente in memoria. Se "NO", si carica nella memoria alta.
  15034. 2) Intercetta l'INT 13h e torna alla funzione originale.
  15035.  
  15036. Metodo di infezione:
  15037. 1) Intercetta l'INT 13H per infettare i file. 
  15038. Per prima cosa aggancia l'INT 24h per prevenire la divulgazione 
  15039. di sue tracce mentre scrive. Se il programma da eseguire Φ un file 
  15040. con estensione *.COM non infetto, il virus procede alla sua infezione.
  15041.  
  15042. Danni: Il virus a volte distrugge la Partizione e parti di FAT.
  15043.  
  15044. Metodo di rilevazione: I file infetti aumentano di 2.710 Byte.
  15045.  
  15046. [Basedrop]
  15047. Nome del Virus: Basedrop.
  15048. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  15049.  
  15050. Procedura eseguita:
  15051. 1) Esiste il 25% di possibilitα che il virus ricerchi un file con 
  15052. estensione *.EXE non infetto nella cartella in uso, quindi lo infetti. 
  15053. (Infetta un solo file alla volta).
  15054. 2) Esiste il 25% di possibilitα che il virus esporti la suddetta procedura. 
  15055. Compare quindi un messaggio che chiede di inviare la parola: "SLOVAKIA."  
  15056. Il virus attende fino all'invio di questa parola. Il virus quindi termina.
  15057. 3) Esiste il 50% di possibilitα che il programma 
  15058. del virus non infetti i file.
  15059.  
  15060. Danni: Nessuno.
  15061.  
  15062. [Arianna]
  15063. Nome del Virus:  ARIANNA.
  15064. Tipo di Virus: Virus multipartito.
  15065. 1. File infetto residente in memoria alta. 
  15066. Il virus ARIANNA infetta solo i file con estensione *.EXE minori 
  15067. di 70000H Byte e maggiori di 1770H Byte.
  15068. 2. Virus del settore di partizione. Questo virus sovrascrive gli ultimi 
  15069. 9 settori dell'hard drive.
  15070. Lunghezza del Virus: 3.426 Byte. (I file con estensione *.EXE), 
  15071. 3586 Byte (memoria).
  15072.  
  15073. Vettore PC agganciato:  INT 21h.
  15074.  
  15075. Processo di infezione: Questo virus viene diffuso dall'esecuzione 
  15076. di un programma infetto o da un computer con una Partizione infetta.
  15077. Quando viene eseguito un file infettato da ARIANNA, 
  15078. il virus controlla che sia giα residente in memoria verificando 
  15079. che il valore di ritorno di AX sia uguale a 0 dopo l'INT 2f(ax=FE01). 
  15080. Se il virus Φ giα in memoria esegue il programma infetto. 
  15081. Il codice del virus rimane residente nella memoria alta.
  15082.  
  15083. Danni: Diminuisce la memoria disponibile. I file infetti 
  15084. aumentano di 3.426 Byte.
  15085.  
  15086. Sintomi: Mentre il virus ARIANNA Φ in memoria non si pu≥ 
  15087. cambiare la partizione dell'hard disk per non danneggiare il settore di 
  15088. partizione pulendolo. Il modo per pulire il sistema dal virus ARIANNA Φ 
  15089. avviare il computer con un dischetto di sistema pulito e sovrascrivere 
  15090. la partizione infetta con il No.9.
  15091.  
  15092. [Boza]
  15093. Nome del Virus: Boza.
  15094. Pseudonimo: Bizatch.
  15095. Tipo di Virus: Virus da file. (Infetta i file con estensione *.EXE).
  15096. Lunghezza del Virus: 2.680 Byte.
  15097.  
  15098. Procedura eseguita:
  15099. Quando viene eseguito un file infetto, il virus non si installa nella memoria. 
  15100. Infetta i file che sono in Microsoft Win32.
  15101. Il formato dei file Φ Portable Executable (PE) ci≥ significa che il virus infetta 
  15102. solo i file eseguibili di Win95 e Win32S. Il virus cerca di infettare pi∙ di tre 
  15103. file nella directory corrente; tuttavia, a causa di alcuni bachi nel programma 
  15104. possono essere alterati i file infetti. 
  15105. Quando la data di sistema raggiunge il giorno 31 di qualsiasi mese il virus mostra 
  15106. il seguente messaggio:
  15107.  
  15108.   "The taste of fame just got tastier!
  15109.    VLAD Australia does it again with
  15110.    the world's first Win95 Virus.
  15111.  
  15112.    From the old school to the new.
  15113.  
  15114.    Metabolis
  15115.    Qark
  15116.    Darkman
  15117.    Automag
  15118.    Antigen
  15119.    RhinceWind
  15120.    Quantum
  15121.    Absolute Overload
  15122.    CoKe"
  15123.  
  15124.  Il virus inoltre, contiene la seguente stringa:
  15125.  
  15126.   "Please note: the name of this virus is [Bizatch]
  15127.    written by Quantum of VLAD"
  15128.  
  15129. [Word_Demonstrate]
  15130. Nome del virus: Word.Demonstrate (Demonstration Macro Virus).
  15131. Tipo di virus: Word.Demonstrate (Demonstration Macro Virus).
  15132. Lunghezza del Virus: N/A.
  15133.  
  15134. Descrizione: Il virus infetta i documenti di MS WORD.
  15135.  
  15136. Questo virus Φ formato dalla seguente macro:
  15137.  
  15138. AutoClose
  15139.  
  15140. Quando viene aperto un file infetto, il virus infetta il modello principale 
  15141. "normal.dot" inserendo una singola macro.
  15142.  
  15143. Una volta che il virus Φ attivo, infetta tutti i nuovi documenti che
  15144. vengono chiusi.
  15145.  
  15146.  
  15147. [Winexcel.DMV]
  15148. Nome del Virus: Winexcel.DMV (Demonstration Macro Virus).
  15149. Tipo di Virus: Virus da macro di Excel.
  15150. Lunghezza del Virus: N/A.
  15151.  
  15152. Descrizione: Questo virus infetta i documenti di MS EXCEL.
  15153. Questo virus consiste nelle seguenti macro:
  15154.  
  15155.     Autoclose
  15156.  
  15157. Quando viene chiuso un file infetto, il virus aggiunge una singola macro 
  15158. alle macro del file. Di conseguenza i file che sono stati chiusi hanno 
  15159. anche la macro del virus.
  15160.  
  15161. Questo virus non Φ in grado di essere eseguito per un bug del programma.
  15162.  
  15163.  
  15164. [Word_Xenixos]
  15165. Nome del Virus: Word.Xenixos.
  15166. Pseudonimo: Nemesis, Xos, Evil One, Xenixos:De.
  15167. Tipo di Virus: Virus da macro di Word.
  15168. Lunghezza del Virus: 31.342 Byte (11 Macro).
  15169. Tipo di infezione: Il virus infetta documenti e modelli principali di 
  15170. Microsoft Word versione tedesca.
  15171.  
  15172.  
  15173. Sintomi: Aggiunta di testo ai documenti stampati.
  15174. Formattazione del drive C:\ .
  15175.              Cambiamento di C:\AUTOEXEC.BAT.
  15176.              Mostra di finestre.
  15177.  
  15178. Descrizione: Questo virus infetta  i documenti di MS Word .
  15179. Xenixos Φ il primo virus da macro scritto espressamente per la versione 
  15180. tedesca di Microsoft Word. Tutti i nomi delle macro sono in tedesco, 
  15181. quindi Φ attivo solamente con la versione tedesca di Word. 
  15182. Il virus Φ stato trovato in Austria, e quindi inviato su Usenet.
  15183.  
  15184. Le seguenti macro possono essere trovate nei documenti infetti 
  15185. e visualizzate con il comando:
  15186. Datei|Dokumentvorlage|Organisieren|Makros.
  15187.  
  15188. "AutoExec"
  15189. "AutoOpen"
  15190. "DateiBeenden"
  15191. "DateiDrucken"
  15192. "DateiDruckenStandard"
  15193. "DateiOeffnen"
  15194. "DateiSpeichern"
  15195. "DateiSpeichernUnter"
  15196. "Drop"
  15197. "Dummy"
  15198. "ExtrasMakro"
  15199.  
  15200. L'infezione del modello principale (NORMAL:DOT) include 
  15201. anche le seguenti macro:
  15202.  
  15203. "AutoClose"
  15204. "AutoExit"
  15205. "AutoNew"
  15206.  
  15207.  
  15208. Tutti contengono la macro vuota "Dummy".
  15209.  
  15210. Quando viene aperto un documento infetto, Xenixon infetta il 
  15211. modello principale a meno che la macro "DateiSpeichernUnter" s
  15212. ia ancora presente.  Xenixon si diffonde usando "DateiSpeichern" (salva file) e 
  15213. "DateiSpeichernUnter" (Salva file come..."). Tutte la macro sono Execute-Only, 
  15214. qundi non possono essere viste o modificate. 
  15215. I file chiamati "VIRUS.DOT" non sono infettati.
  15216.  
  15217. Durante l'infezione, Xenixon controlla la data del sistema 
  15218. e attiva diversi meccanismi (procedure) distruttivi regolati 
  15219. con la data. Durante il mese di maggio aggiunge a 
  15220. "C:\AUTOEXEC.BAT" il seguente testo:
  15221.  
  15222. "    @echo j format c: /u > nul   "
  15223.  
  15224. Questo comando formatta l'unitα C:\ se Φ presente il 
  15225. comando DOS "format".
  15226.  
  15227. Durante il mese di marzo, Xenixos cerca di attivare 
  15228. il virus per DOS "Neuroquila" usando lo script  DOS DEBUG. 
  15229. Questa parte del virus Φ imperfetta (cerca di creare un file 
  15230. con estensione *.EXE) e quindi il virus per DOS non infetta 
  15231. mai il sistema.
  15232.  
  15233. Il terzo meccanismo distruttivo valuta l'ora del sistema ed 
  15234. in caso di valori maggiori di 45 nel campo dei secondi, 
  15235. aggiunge la password "XENIXOS" al documento salvato.
  15236.  
  15237. Durante la stampa di un documento, Xenixos valuta ancora 
  15238. la data del sistema e in caso di valori minori di 30 nel campo 
  15239. dei secondi, aggiunge alla fine del documento stampato la seguente scritta:
  15240.  
  15241. "    Nemesis Corp. "
  15242.  
  15243. Xenixos comprende inoltre alcuni trucchi affinchΘ sia pi∙ difficile 
  15244. identificarlo. Spegne i suggerimenti che Word invia prima di 
  15245. salvare un modello principale modificato e sostituisce i comandi 
  15246. Tools\Macro con un codice che fa apparire sul video il 
  15247. seguente messaggio invece di attivare il viewer\editor delle macro di Word:
  15248.  
  15249. "  Diese Option ist derzeit leider nicht verfuegbar    "
  15250.  
  15251. (questo impedisce all'utente di poter vedere le macro del virus).
  15252.  
  15253. Quando viene avviato MS WORD, Xenixos copia parte delle 
  15254. sue macro e le salva con dei nuovi nomi 
  15255. (per esempio: "DateiSpeichern" -> "DateiSpeichernBak").
  15256. Quando un documento Φ aperto, Xenixos avvia il backup.
  15257.  
  15258. Il seguente messaggio Φ stato trovato nel codice del virus, 
  15259. anche se non Φ mai apparso:
  15260.  
  15261. " Brought to you by the Nemesis Corporation (c) 1996 "
  15262.  
  15263. In pi∙ Xenixos sostituisce la sezione "Compatibility" 
  15264. all'interno del file WIN.INI. Stabilisce la variabile "RR"CD"  
  15265. nel valore "0x0020401" e la variabile "Diag$" allo "0". 
  15266. La variabile "WIN.INI" pu≥ essere usata per disattivare il virus. 
  15267. Impostatndo la variabile "Diag$" su "1" si possono prevenire 
  15268. la maggior parte dei meccanismi distruttivi.
  15269.  
  15270. Alcuni replicanti di Xenixos fanno anche apparire il 
  15271. seguente messaggio d'errore di Wordbasic:
  15272.  
  15273. "  Falscher Parameter  "
  15274.  
  15275.  
  15276. [Word_Wieder]
  15277. Nome del Virus: Word.Wieder.
  15278. Pseudonimo: Wieder, Pferd.
  15279. Tipo di Virus: Virus da macro di Word. 
  15280. Lunghezza del Virus: 638 Byte (2 Macro).
  15281. Sintomi: C:\Autoexec.bat Φ spostato e cancellato.
  15282. Paese di origine: Germania.
  15283. Descrizione: Questo virus infetta i documenti di MS Word .
  15284. Wieder non Φ un virus ma un cavallo di Troia fino a 
  15285. quando non infetta altri file.
  15286.  
  15287. La seguente macro non criptata pu≥ essere trovata nel documento infetto:
  15288. "AutoClose"
  15289. "AutoOpen"
  15290. Quando viene aperto un documento infetto, Wieder crea la 
  15291. Directory "C:\TROJA" e sposta il file di sistema "C:\AUTOEXEC.BAT" 
  15292. nella nuova directory. Dopo aver spostato il file, 
  15293. quello originale viene cancellato.
  15294.  
  15295. Quando sono chiusi documenti infetti viene visualizzato 
  15296. il seguente messaggio:
  15297.  
  15298. "Auf Wieder÷ffnen"
  15299. "P.S: Falls Sie Ihre AUTOEXEC.BAT - Datei"
  15300. "gerne wiederhaben moechten, sollten Sie einen"
  15301. "Blick in das neue Verzeichnis C:\TROJA werfen..."
  15302.  
  15303. Ogni documento creato con Word 2.0 che include il 
  15304. " Cavallo di Troia" comprende anche il seguente testo:
  15305.  
  15306. "Trojanisches Pferd "
  15307. "Wenn Sie diese Zeilen lesen, wurde bereits Ihre
  15308. AUTOEXEC.BAT- Datei aus dem"
  15309. "Hauptverzeichnis C:\ entfernt. Hoffentlich haben Sie
  15310. eine Kopie davon ?    "
  15311. "Genauso einfach waere es gewesen, Ihre Festplatte
  15312. zu loeschen und mit ein  "
  15313. "klein wenig mehr Aufwand koennte man auch einen Virus
  15314. installieren. "
  15315. (c) Stefan Kurtzhals
  15316.  
  15317.  
  15318. [Word_Wazzu]
  15319. Nome del Virus: Word.Wazzu.
  15320. Pseudonimo: WM.Wazzu.
  15321. Tipo di Virus: Virus da macro di Word.
  15322. Lunghezza del Virus: 632 Byte (1 Macro).
  15323. Sintomi: Le parole nel documento attivo sono cancellate.
  15324.           Viene inserita la parola 'wazzu' .
  15325. Paese di origine: Washington, Stati Uniti.
  15326. Descrizione: Questo virus infetta i documenti di MS Word. 
  15327. Wazzu.A ha solo una macro non criptata di 632 Byte, 
  15328. (la lettera iniziale non Φ maiuscola).
  15329.  
  15330. "autoopen"
  15331.  
  15332. Quando viene aperto un documento infetto, Wazzu.A controlla 
  15333. il nome del documento. In caso sia "NORMAL.DOT", la macro del 
  15334. virus Φ copiata dal modello principale (NORMAL.DOT) al documento aperto.
  15335. Altrimenti, NORMAL.DOT diventa infetto. Durante l'infezione, 
  15336. i documenti sono cambiati in modelli. Ci≥ Φ molto  comune per i virus da macro.
  15337.  
  15338. Wazzu non bypassa i suggrimenti di Microsoft Word prima di 
  15339. salvare il file NORMAL.DOT. Inoltre
  15340. Wazzu.A non controlla che il documento sia giα infetto. 
  15341. Sovrascrive semplicemente la macro "autoopen".
  15342.  
  15343. Wazzu ha un procedimento distruttivo. 
  15344. Sceglie un numero a caso tra 0 ed 1 e se il numero Φ minore 
  15345. di 0.2 (20% di probabilitα), il virus sposta una parola del 
  15346. documento da un posto all'altro. Questo viene ripetuto per tre volte. 
  15347. Cos∞ la probabilitα che una parola possa essere spostata Φ del 48.8%. 
  15348. Dopo tre volte, Wazzu prende un ultimo numero casualmente 
  15349. (compreso tra 0 ed 1) e se il valore Φ superiore a 0.25 (probabilitα del 25%), 
  15350. la parola Wazzu viene inserita nel documento.
  15351.  
  15352. Dopo che un documento Φ stato pulito, deve essere 
  15353. controllato con attenzione, perchΘ la possibilitα che il 
  15354. documento sia stato cambiato (parole cambiate o aggiunte) 
  15355. Φ superiore al 61%. Questo pu≥ risultare una grande perdita di 
  15356. tempo per documenti molto grandi.
  15357.  
  15358. Wazzu Φ il soprannome della Washington State University.
  15359. Da quando Wazzu.A usa la macro "autoopen", lavora anche con altre 
  15360. versioni di Microsoft Word, come per esempio la versione tedesca.
  15361. (c) Stefan Kurtzhals
  15362.  
  15363.  
  15364. [Word_Reflex]
  15365. Nome del Virus: Word.Reflex.
  15366. Pseudonimo: RedDwarf.
  15367. Tipo di Virus: Virus da macro di Word.
  15368. Lunghezza del Virus: 897 Byte nei file con estensione *.DOC e 1.226
  15369. Byte nei file con estensione *.DOT (3 o 4 Macro)
  15370. Sintomi: Mostra un messaggio in Windows.
  15371. Paese di origine: Irlanda.
  15372. Descrizione: Questo virus infetta Documenti di MS Word.
  15373. Cancellare le macro del virus dai documenti infetti.
  15374. (AutoOpen, FClose, FileClose, FA).
  15375. Reflex contiene tre macro cifrate (Execute-Only) di 897 Byte.
  15376. "AutoOpen"
  15377. "FClose"
  15378. "FileCLose"
  15379. Un modello principale infetto contiene una o pi∙ macro ("FA"). 
  15380. Reflex spegne i suggerimenti di Word per essere sicuro di nascondere 
  15381. l'infezione del modello principale (NORMAL.DOT). I documenti infetti 
  15382. sono salvati con la password "Guardian." Sono anche convertiti in un modello. 
  15383. Cosa molto comune per i virus da macro. 
  15384.  
  15385. Reflex fu scritto in occasione di una conferenza sugli antivirus dopo 
  15386. che la Anti-Virus company lanci≥ la sfida agli hacker di riuscire a 
  15387. sconfiggere la loro nuova tecnologia. Ad ogni autore di un nuovo virus 
  15388. da macro non identificabile con il loro prodotto, fu promesso champagne 
  15389. come ricompensa.
  15390.  
  15391. Quando Reflex infetta un file mostra il seguente messaggio:
  15392. "Now, Where's that Jerbil of Bubbly? "
  15393.  
  15394. Alcuni replicanti di Reflex mostrano anche il segunte 
  15395. messaggio d'errore di Wordbasic:
  15396.  
  15397. "Document not open"
  15398.  
  15399.  
  15400. [Word_Polite]
  15401. Nome del Virus: Word.Polite.
  15402. Pseudonimo: WW2Demo.
  15403. Tipo di Virus: Virus da macro di Word.
  15404. Lunghezza del Virus: 1.918 Byte (2 Macro).
  15405. Sintomi: Mostra un messaggio video.
  15406. Paese di origine: Stati Uniti.
  15407. Descrizione: Questo virus infetta Documenti di MS Word.
  15408.  
  15409. Polite fu il primo virus creato per la versione 2.0 di Microsoft MS Word. 
  15410. Lavora ancora con versioni sucessive perchΦ le nuove release di Word 
  15411. sono compatibili con le vecchie.
  15412.  
  15413. Polite consiste in due macro non criptate di 1.918 Byte.
  15414. "FileClose"
  15415. "FileSave as"
  15416. Polite pu≥ essere chiamato un virus dimostrativo ed Φ difficile che si 
  15417. diffonda. Prima di infettare, mostra una finestra con la seguente domanda:
  15418.  
  15419. " Shall I infect the file ? " (posso infettare il file?)
  15420.  
  15421. Se l'utente risponde usando il tasto "No", nessun documento viene 
  15422. infettato. Mentre chiede il permesso per infettare un file, non chiede 
  15423. se pu≥ infettare il modello di documento principale (NORMAL.DOT).
  15424.  
  15425. Infettando il modello principale o quando viene chiuso un documento 
  15426. infetto, Polite mostra il seguente messaggio:
  15427.  
  15428. "I am alive! "
  15429.  
  15430.  
  15431. Una volta che Polite ha infettato un documento di Word 6.0/7.0 
  15432. non pu≥ pi∙ infettare nessun documento di Word 2.0.
  15433.  
  15434. Il modello di documento principale (NORMAL.DOT) diventa infetto 
  15435. quando viene chiuso un documento infetto (solo quando non c'Φ la 
  15436. macro FileClose). I documenti diventano infetti usando il comando 
  15437. "FileSave as". Polite pur non usando nessuna Auto-macros non pu≥ 
  15438. essere bloccato dal parametro /m.
  15439.  
  15440. Polite non lavora con versioni straniere di Microsoft
  15441. Word, da quando usa le macro inglesi chiamate "FileSave as"
  15442. e "FileClose".
  15443.  
  15444. (c) Stefan Kurtzhals
  15445.  
  15446.  
  15447. [Word.Pheeew]
  15448. Nome del Virus: Word.Pheeew.
  15449. Pseudonimo: Dutch, NietGoed, Pheeew:NL.
  15450. Tipo di Virus: Virus da macro di Word.
  15451. Lunghezza del Virus: 2.759 Byte (4 Macro).
  15452. Sintomi: Mostra un testo, cancella file in C:\ ed in C:\DOS.
  15453. Paese di origine: Sconosciuto.
  15454. Descrizione: Questo virus infetta Documenti di MS Word.
  15455.  
  15456. Pheeew Φ il primo virus da macro tedesco ed Φ basato sul virus da macro 
  15457. Concept. Pheeew ha inoltre 4 macro non codificate:
  15458.  
  15459. "AutoOpen"
  15460. "IkWordNietGoed1"
  15461. "IkWordNietGoed2"
  15462. "Lading"
  15463.  
  15464. Quando viene aperto un documento infetto, Pheeew controlla che ci sia 
  15465. stata un'infezione precedente del modello principale (NORMAL.DOT). 
  15466. Pheeew fa questo cercando il nome di due macro "Lading" e "BestandOpslaanAls".
  15467. Quando il NORMAL.DOT non Φ infetto, Pheeew copia le proprie macro 
  15468. nel modello di documento principale. La macro "IkWordNietGoed2" Φ salvata con il nome "BestandOpslaanAls" ("FileSalva con nome ").
  15469.  
  15470. I documenti sono infettati quando Φ usato il comando " FileSalva con nome 
  15471. ". I documenti sono convertiti in file di modello. Ci≥ Φ molto comune 
  15472. per i virus da macro. Dopo l'infezione il virus mostra diverse finestre 
  15473. con il seguente testo:
  15474.  
  15475. Window "Important":
  15476. " Gotcha ! "
  15477. Window "FINAL WARNING!":
  15478. "STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC"
  15479.  
  15480. Cliccando sul tasto "No" dell'ultima finestra, viene attivata una 
  15481. procedura distruttiva. Tutti i file in "C:\" ed in"C:\DOS" sono cancellati 
  15482. (alcuni attributi dei file vengono bypassati).
  15483.  
  15484. Pheeew contiene inoltre il seguente testo:
  15485.  
  15486. "Done by the Catman "
  15487. Macro "Lading":
  15488. " Sub MAIN                                                         "
  15489. "   REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC             "
  15490. "   REM              *** WARNING ***                               "
  15491. "   REM You're computer could be killed right now!                 "
  15492. "   REM Thank to you and me it's still ok!                         "
  15493. "   REM Next time will be worse!                                   "
  15494. "   REM              *** PHEEEW! ***                               "
  15495. "   REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC             "
  15496. " End Sub                                                          "
  15497. Pheeew lavora solamente con la versione tedesca di Microsoft Word.
  15498.  
  15499. (c) Stefan Kurtzhals
  15500.  
  15501.  
  15502. [Word_PCW]
  15503. Nome del Virus: Word.PCW.
  15504. Pseudonimo: Birthday, B-Day, Suzanne.
  15505. Tipo di Virus: Virus da macro di Word.
  15506. Lunghezza del Virus: 1.039 Byte (2 Macro).
  15507. Sintomi: Mostra messaggi.
  15508. Paese di origine: Rivista di computer tedesca.
  15509. Descrizione: Questo virus infetta Documenti di MS Word.
  15510.  
  15511. PCW contiene due macro cifrate (Execute-Only) di 1.039 Byte.
  15512. "AutoOpen"
  15513. "DateiSpeichernUnter"
  15514. Fu scelto questo nome perchΘ fu pubblicato su una rivista tedesca 
  15515. "PC Welt". Ci aspettiamo di vedere altre varianti di questo virus, 
  15516. da quando il suo codice Φ accessibile al pubblico.
  15517.  
  15518. Aprendo un documento infetto, PCW infetta il modello principale (NORMAL.DOT). 
  15519. Altri documenti vengono infettati quando Φ usato il comando "DateiSpeichernUnter". 
  15520. I documenti infetti vengono internamente convertiti in file di modello. 
  15521. Ci≥ Φ molto comune per i virus da macro. PCW Φ conosciuto anche con il nome:
  15522. "Birthday", dato che mostra la seguente finestra:
  15523.  
  15524. " Happy Birthday! Herzlichen Glⁿckwunsch... "
  15525.  
  15526. PCW usa nomi di macro tedesche quindi lavora solo con la versione 
  15527. tedesca di Microsoft Word.
  15528.  
  15529.  
  15530. [Word_Nuclear]
  15531. Nome del Virus: Word.Nuclear.
  15532. Pseudonimo: Alert.
  15533. Tipo di Virus: Virus da macro di Word.
  15534. Lunghezza del Virus: 10.556 Byte (9 Macro).
  15535. Sintomi: Aggiunge testo ai documenti stampati. Sono cancellati file 
  15536. di sistema il giorno 5 Aprile.
  15537. Paese di origine: Australia.
  15538. Descrizione: Questo virus infetta Documenti di MS Word.
  15539.  
  15540. Nuclear fu il secondo virus da macro trovato "In-the-Wild" (dopo Concept). 
  15541. Fu distribuito su Internet in un documento con informazioni sul virus Concept.
  15542. Fu il primo virus da macro che us≥ macro Execute-Only (Criptate) per 
  15543. rendere l'analisi molto pi∙ difficile.
  15544.  
  15545. Nuclear ha 9 macro lunghe10.556 Byte.
  15546.  
  15547. "AutoExec"
  15548. "AutoOpen"
  15549. "DropSuriv"
  15550. "FileExit"
  15551. "FilePrint"
  15552. "FilePrintDefault"
  15553. "FileSave as"
  15554. "InsertPayload"
  15555. "Payload"
  15556.  
  15557. Nuclear Φ attivato dalle macro "AutoExec"e "AutoOpen". 
  15558. Prima infetta il modello principale (NORMAL.DOT), controlla che 
  15559. ci sia stata un'infezione precedente. Non infetta se trova 
  15560. la macro "AutoExec".
  15561.  
  15562. Dopo che le macro del virus sono state trasferite al modello principale, 
  15563. Nuclear pu≥ richiamare qualche procedura distruttiva. In primo luogo 
  15564. cerca di bloccare il virus "Ph33r". Tra le 17:00 e le 17:59 crea un 
  15565. file di testo, comprendente la scritta DOS/Windows-EXE del virus"Ph33r". 
  15566. Quindi usa il comando DOS "DEBUG.EXE" per convertire il file in un 
  15567. file eseguibile. Crea inoltre il file batch "EXEC_PH.BAT" 
  15568. e lo chiama dal DOS.
  15569. L'ultima procedura di infezione Φ facoltativa, la finestra di DOS 
  15570. Φ chiusa immediatamente ed il virus "Ph33r" non infetta pi∙ il sistema.
  15571.  
  15572. In secondo luogo, infettando un documento, 
  15573. Nuclear controlla l'ora di sistema. 
  15574. Se il valore Φ superiore a 55 nel campo dei secondi, 
  15575. aggiunge il seguente testo ai documenti stampati:
  15576.  
  15577.  "And finally I would like to say: "
  15578.  
  15579.  "STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC
  15580.  
  15581. La terza procedura distruttiva Φ attivata il giorno 5 aprile, 
  15582. quando Nuclear cancella i file di sistema "C:\IO.SYS",
  15583. "C:\MSDOS.SYS" e "C:\COMMAND.COM.
  15584.  
  15585. Chiudendo un file, Nuclear.A spegne i suggerimenti di Word per 
  15586. essere sicuro di nascondere l'infezione del modello principale (NORMAL.DOT). 
  15587. Questa funzione protettiva di Word Φ tuttavia inefficace con Nuclear.
  15588.  
  15589. Nuclear infetta i documenti quando vengono salvati con "FileSave as", 
  15590. per cui tutti i documenti infetti sono trasformati internamente in file 
  15591. di modello. In pi∙, Nuclear non controlla che i documenti abbiano avuto 
  15592. una infezione precedente, sovrascrive semplicemente le macro esistenti.
  15593.  
  15594. Da quando Nuclear usa i nomi delle macro inglesi, come per esempio
  15595. "FileSave as", non lavora con versioni straniere di Microsoft Word, 
  15596. come per esempio la versione tedesca.
  15597. (c) Stefan Kurtzhals
  15598.  
  15599.  
  15600. [Word_NOP]
  15601. Nome del Virus: Word.NOP.
  15602. Pseudonimo: Nop.A:De.
  15603. Tipo di Virus: Virus da macro di Word.
  15604. Lunghezza del Virus: 246 Byte (2 Macro).
  15605. Sintomi: Nessun sintomo distruttivo.
  15606. Paese di origine: Germania.
  15607. Descrizione: Questo virus infetta Documenti di MS Word.
  15608.  
  15609. NOP Φ il pi∙ piccolo virus da macro che si conosca essendo lungo 246 Byte. 
  15610. Infetta i documenti contenenti le seguenti due macro:
  15611.  
  15612. "AutoOpen"
  15613. "NOP"
  15614.  
  15615. NOP Φ molto primitivo ed necessita solo di pochi comandi per replicarsi. 
  15616. Entrambe le due macro non sono criptate. L'unica caratteristica 
  15617. particolare Φ che spegne i suggerimenti di Word prima di salvare 
  15618. il modello principale (NORMAL.DOT).
  15619.  
  15620. Quando viene aperto un documento infetto, il virus si trasferisce 
  15621. nel modello principale e rinomina "NOP" in "DateiSpeichernUnter" ("FileSave as").
  15622. Altri documenti diventano infetti quando vengono salvati. 
  15623. Infettando i documenti vengono anche convertiti in file di modello. 
  15624. Ci≥ Φ molto comune per i virus da macro.
  15625.  
  15626. NOP.A non ha una procedura distruttiva, controllo di errori o 
  15627. ricognizione di altri documenti infetti.
  15628. Le macro dei virus di altri documenti infetti vengono semplicemente 
  15629. sovrascritte. NOP.A usa la macro chiamata "DateiSpeichern" ("FileSave"), 
  15630. lavora quindi solo con la versione tedesca diMicrosoft Word.
  15631.  
  15632. (c) Stefan Kurtzhals
  15633.  
  15634.  
  15635. [Word_NF]
  15636. Nome del Virus: Word.NF.
  15637. Pseudonimo: Names, NF:De.
  15638. Tipo di Virus: Virus da macro di Word.
  15639. Lunghezza del Virus: 4.209 Byte (6 Macro).
  15640. Sintomi: Mostra finestre.
  15641. Paese di origine: Stati Uniti.
  15642. Descrizione: Questo virus infetta Documenti di MS Word.
  15643.  
  15644. NF contiene due macro criptate (Execute-Only) di 286 Byte.
  15645.  
  15646. "AutoClose"
  15647. "NF"
  15648.  
  15649. Quando viene aperto un documento infetto, NF infetta il modello principale 
  15650. (NORMAL.DOT). Altri documenti diventano infetti quando vengono chiusi. 
  15651. Infettando i documenti vengono anche convertiti in file di modello. 
  15652. Ci≥ Φ molto comune per i virus da macro.
  15653.  
  15654. Infettando, NF mostra il seguente messaggio in cima allo schrmo:
  15655.  
  15656. "Traced!"
  15657.  
  15658. NF Φ uno dei pochi virus da macro non-distruttivi.
  15659.  
  15660. [Word_MDMA]
  15661. Nome del Virus: Word.MDMA.
  15662. Pseudonimo: StickyKeys, MDMA-DMV.
  15663. Tipo di Virus: Virus da macro di Word.
  15664. Lunghezza del Virus: 1.635 Byte (1 Macro).
  15665. Sintomi: Vengono cancellati file.
  15666. Paese di origine: Stati Uniti.
  15667. Descrizione: Questo virus infetta Documenti di MS Word.
  15668.  
  15669. MDMA Φ il primo virus che lavora su Windows, Windows 95, 
  15670. Macintosh e Windows NT.
  15671. Pu≥ essere un virus da macro molto distruttivo. 
  15672. Agli utenti di Word Φ caldamente raccomandato di controllare 
  15673. il proprio sistema con degli aggiornati programmi anti-virus.
  15674.  
  15675. MDMA contiene solo una macro di 1.635 Byte.
  15676.  
  15677. "AutoClose"
  15678.  
  15679. Quando viene aperto un documento infetto e poi chiuso, MDMA infetta 
  15680. il modello principale (NORMAL.DOT).
  15681. Altri documenti diventano infetti quando vengono chiusi ("Auto-Close"). 
  15682. Infettando i documenti vengono anche convertiti in file di modello. 
  15683. Ci≥ Φ molto comune per i virus da macro.
  15684.  
  15685. Se un documento infetto viene caricato il primo giorno del mese, 
  15686. MDMA attiva la sua procedura distruttiva. A seconda dei sistemi 
  15687. operativi vengono attuate le seguenti procedure:
  15688.  
  15689. Windows:
  15690. --------
  15691. Kill "c:\shmk."; "deltree /y c:" is added to autoexec.bat
  15692. Questa cancella tutte le directory in drive C:\.
  15693.  
  15694. Windows NT:
  15695. -----------
  15696. Kill "*.*"; Kill "c:\shmk."
  15697. Questa cancella tutti i file in drive C:\.
  15698.  
  15699. Macintosh:
  15700. ----------
  15701. Kill MacID$("****")
  15702. Questa cancella tutti i file nell'hard drive.
  15703.  
  15704. Windows 95:
  15705. -----------
  15706. Kill "c" \shmk."; Kill "c:\windows\*.hlp";
  15707. Kill "c:\windows\system\*.cpl"
  15708. SetPrivateProfileString ("HKEY_CURRENT_USER\Control
  15709. Panel\Accessibility\Stickykeys", "On", "1", "")
  15710. SetPrivateProfileString
  15711. ("HKEY_LOCAL_MACHINE\Network\Logon","ProcessLoginScript", "00","")
  15712. SetPrivateProfileString ("HKEY_CURRENT_USER\Control
  15713. Panel\Accessibility\HighContrst", "On", "1", "")
  15714.  
  15715. MDMA mostra la seguente finestra:
  15716.  
  15717. "  You are infected with MDMA_DMV. Brought to you
  15718. by MDMA (Many Delinquent  "
  15719. "  Modern Anarchists)."
  15720.  
  15721. Per combattere i virus da macro distruttivi, come per esmpio MDMA, 
  15722. consigliamo agli utenti di usare programmi anti-virus aggiornati.
  15723.  
  15724. Microsoft ha anche rilasciato una nuova versione di Microsoft Word, 
  15725. che avvisa ogni volta che viene caricata una macro sospetta.
  15726. L'utente pu≥ decidere se disabilitare la macro.
  15727.  
  15728. L'upgrade di Microsoft Word Φ acquistabile con modica spesa da Microsoft.
  15729.  
  15730.  
  15731. [Word_Maddog]
  15732. Nome del Virus: Word.Maddog.
  15733. Tipo di Virus: Virus da macro di Word.
  15734. Lunghezza del Virus: 4.209 Byte (6 Macro).
  15735. Sintomi: I documenti contengono la stringa "MadDog".
  15736. Paese di origine: Georgia, Stati Uniti.
  15737. Descrizione: Questo virus infetta Documenti di MS Word.
  15738.  
  15739. Maddog contiene 6 macro di 4.209 Byte.
  15740.  
  15741. "AutoOpen"
  15742. "AutoClose"
  15743. "AutoExec"
  15744. "FileClose"
  15745. "FcFinish"
  15746. "AopnFinish"
  15747.  
  15748. Quando viene aperto un documento infetto, MadDog infetta il 
  15749. modello di documento principale (NORMAL.DOT). 
  15750. Altri documenti sono infettati quando vengono chiusi con 
  15751. il comando "FileClose". Chiudendo i documenti, MadDog
  15752. salva molte volte in "Temp1" , quindi salva il documento in uso.
  15753. I documenti infetti sono salvati internamente in file di modello. 
  15754. Ci≥ Φ molto comune per i virus da macro. 
  15755.  
  15756. I documenti infetti contengono la stringa "MadDog".
  15757.  
  15758. [Word.Tele]
  15759. Nome del Virus: Word.Tele.
  15760. Pseudonimo: LBYNJ:De, Telefonica, Tele, TEC, Tele-Sex.
  15761. Tipo di Virus: Virus da macro di Word.
  15762. Lunghezza del Virus: 22.256 Byte (7 Macro).
  15763. Sintomi: Infezione basata sul virus Kampana.3784 DOS, aggiunge 
  15764. testo ai documenti stampati.
  15765. Paese di origine: Germania.
  15766. Descrizione: Questo virus infetta Documenti di MS Word.
  15767.  
  15768. LBYNJ Φ un altro virus da macro, che probabilmente Φ basato su 
  15769. altri virus da macro precedenti, come Xenixos. 
  15770. Le 7 macro criptate (Execute-Only) di LBYNJ sono di 22.256 Byte.
  15771.  
  15772. "AutoExec"
  15773. "AutoOpen"
  15774. "DateiBeenden"
  15775. "DateiDrucken"
  15776. "DateiNeu"
  15777. "DateiOeffnen"
  15778. "Telefonica"
  15779.  
  15780. La macro "AutoExec" include la routine di infezione del 
  15781. modello principale (NORMAL.DOT), che non si infetta quando 
  15782. Φ nel file WIN.INI. La stringa "0x0030303" Φ impostata "LBYNJ".
  15783.  
  15784. "AutoExec" chiama inoltre la procedura distruttiva della 
  15785. macro "Telefonica". "AutoOpen" avvia la macro "AutoExec", 
  15786. ci≥ significa che il  NORMAL.DOT Φ infettato quando viene 
  15787. aperto un documento infetto. LBYNJ usa la macro "Telefonica" 
  15788. per verificare precedenti infezioni. Non infetta il modello 
  15789. principale se la macro Φ ancora presente.
  15790.  
  15791. I documenti sono infettati da "DateiBeenden" ("FileClose"), 
  15792. "DateiNeu" ("FileNew") e "DateiOeffnen" ("FileOpen"), poichΦ 
  15793. alla fine di "DateiOeffnen" ("FileOpen") la macro "Telefonica" Φ chiamata ancora.
  15794. Nella sezione "Compatibility", la stringa "0x0030303" Φ impostata su "LBYNJ".
  15795.  
  15796. LBYNJ possiede due procedure distruttive. La prima si trova nella 
  15797. macro "DateiDrucken" (FilePrint). Alla stampa di un documento, 
  15798. LBYNJ controlla l'ora di sistema ed in caso vi sia un valore 
  15799. inferiore a 10 nel campo dei secondi,
  15800. aggiunge il seguente testo alla fine del documento stampato:
  15801.  
  15802. " Lucifer by Nightmare Joker (1996) "
  15803.  
  15804. La seconda procedura Φ attivata dalla macro "Telefonica" quando 
  15805. il campo dei secondi ha un valore di  0 o 1.
  15806. ("Telefonica" Φ chiamata da "AutoOpen", "AutoExec" e "DateiOeffnen"). 
  15807. LBYNJ crea uno script di Debug (nome del file: TELEFONI.SCR) nella 
  15808. cartella "C:\DOS" che contiene il virus di DOS "Kampana.3784".
  15809.  
  15810. Dopo aver creato il file script, LBYNJ esegue il file batch 
  15811. "TELEFONI.BAT" che usa il comando DOS "DEBUG.EXE" per convertire 
  15812. il file script del virus eseguibile basato sul DOS e lo avvia.
  15813. (c) Stefan Kurtzhals
  15814.  
  15815.  
  15816. [Word_Irish]
  15817. Nome del Virus: Word.Irish.
  15818. Tipo di Virus: Virus da macro di Word.
  15819. Lunghezza del Virus: 4.152 Byte (4 Macro).
  15820. Sintomi: Mostra finestre.
  15821. Paese di origine: USA.
  15822. Descrizione: Questo virus infetta Documenti di MS Word.
  15823.  
  15824. Irish contiene 4 macro di 4.152 Byte.
  15825.  
  15826. "AutoOpen"
  15827. "WordHelp"
  15828. "AntiVirus"
  15829. "WordHelpNT"
  15830.  
  15831. Aprendo un documento infetto, Irish infetta il modello principale 
  15832. (NORMAL.DOT). Un modello di documento principale infetto contiene 
  15833. la macro "FileSave", anzichΦ "AutoOpen". Inoltre i documenti sono 
  15834. infettati quando viene usato il comando "FileSave". 
  15835. I documenti infetti sono convertiti internamente in file di modello. 
  15836. Ci≥ Φ molto comune per i virus da macro.
  15837.  
  15838. Due delle macro, "WordHelp" e "WordHelpNT", non si eseguono automaticamente. 
  15839. Tuttavia, quando vengono eseguite manualmente dall'utente, 
  15840. cambiano il colore del desktop di Windows in verde.
  15841.  
  15842. La macro "WordHelpNT" contiene una procedura che cerca di attivare 
  15843. lo screen saver e mostra il seguente messaggio: 
  15844.  
  15845. "Happy Saint Patties Day "
  15846.  
  15847. Tuttavia la procedura sembra essere difettosa e non lavora con 
  15848. Windows 95 (Irish esiste solo in Microsoft Word).
  15849.  
  15850.  
  15851. [Word_DMV]
  15852. Nome del Virus: Word.DMV.
  15853. Pseudonimo: Impost, Imposter.A, Imposter.
  15854. Tipo di Virus: Virus da macro di Word.
  15855. Lunghezza del Virus: 907 Byte (2 Macro).
  15856. Sintomi: Mostra una finestra con il testo: "DMV".
  15857. Paese di origine: Inghilterra.
  15858. Descrizione: Questo virus infetta Documenti di MS Word.
  15859.  
  15860. DMV Φ basato sul virus Concept, con solo 2 macro non criptate.
  15861.  
  15862. "FileClose"
  15863. "DMV"   (FileSave as in NORMAL.DOT)
  15864.  
  15865. Il modello principale (NORMAL.DOT) diventa infetto quando viene 
  15866. chiuso un documento infetto e non sono presenti le macro "DMV" e 
  15867. "FileSave as". Quando Imposter.A copia la macro "DMV", 
  15868. la rinomina come "FileSave as" e mostra la seguente finestra:
  15869.  
  15870.  "DMV"
  15871.  
  15872. Altri documenti vengono infettati quando Φ usato il comando "FileSave as".  
  15873. Imposter cambia i nuovi documenti infetti in file di modello. 
  15874. Ci≥ Φ comune a molti virus da macro. Il seguente testo Φ trovato 
  15875. in DMV, ma non viene mostrato:
  15876.  
  15877. " just to prove another point "
  15878.  
  15879. (Questo testo Φ basato sul virus Concept, che ha 
  15880. "this is enough to prove my point" nel proprio codice).
  15881.  
  15882. Dato che usa i nomi delle macro inglesi, il virus DMV 
  15883. lavora solamente con la versione inglese di Microsoft Word.
  15884.  
  15885. (c)  Stefan Kurtzhals
  15886.  
  15887.  
  15888. [Word_Hot]
  15889. Nome del Virus: Word.Hot.
  15890. Pseudonimo: WM.Hot.
  15891. Tipo di Virus: Virus da macro di Word.
  15892. Lunghezza del Virus: 5.515 Byte (4 Macro).
  15893. Sintomi: E' cancellato il testo nei documenti.
  15894. Paese di origine: Sconosciuto.
  15895. Descrizione: Questo virus infetta Documenti di MS Word.
  15896.  
  15897. Hot Φ un virus complesso con 4 virus criptati. 
  15898. Quando Φ aperto un documento infetto il virus Φ attivato dalla 
  15899. macro AutoOpen. Alcuni replicanti di Hot mostrano anche il 
  15900. seguente messaggio d'errore:
  15901.  
  15902. "Unable to load the specified library"
  15903.  
  15904. Dapprima Hot spegne i suggerimenti di Word per essere sicuro di 
  15905. nascondere l'infezione del modello principale (NORMAL.DOT).
  15906. Controlla anche il file "WINWORD6.INI" cercando il seguente testo:
  15907.  "QLHot". Se non esiste, Hot registra una "hot date", 14 giorni dopo. 
  15908. Se questa variabile non Φ giα stata impostata, il modello principale diventa infetto.
  15909.  
  15910. La macro InsertPBreak/InsertPageBreak, come il suo nome suggerisce, 
  15911. inserisce un'interruzione di pagina nel documento corrente. 
  15912. E' anche usata dal virus per controllare che il documento sia giα stato infettato.
  15913.  
  15914. Alcune macro sono rinominate quando vengono copiate con il comando 
  15915. "MacroCopy" di WordBasic:
  15916.  
  15917. "AutoOpen"          diventa  "StartOfDoc"
  15918. "DrawBringInFrOut" diventa "AutoOpen"
  15919. "InsertPBreak" diventa "InsertPageBreak"
  15920. "ToolsRepaginat" diventa "FileSave"
  15921.  
  15922. Inoltre il modello principale contiene le seguenti macro:
  15923.  
  15924. "FileSave" (simile a "ToolsRepaginat")
  15925. "StartOfDoc" (simile a "AutoOpen")
  15926.  
  15927. Hot usa anche funzioni speciali del file di Windows "KERNEL.EXE" 
  15928. (Win API). Usa API per trovare il percorso in Windows e per aprire 
  15929. i file che provvedono a semplici funzioni.
  15930. Potrebbe essere notato che molte altre opzioni sono disponibili 
  15931. all'autore del virus.
  15932.  
  15933. La procedura distruttiva, che Φ attivata al sopraggiungere della 
  15934. "hot date" regolata nella sezione "QLHot" nel file WINWORD6.ini,
  15935.  cancella il testo dai documenti attivi. Questa procedura Φ 
  15936. bypassata se Φ presente il file EGA5.CPI nella cartella "C:\DOS".
  15937.  
  15938. Un commento nel codice virale spiega che questa Φ una "creatura" 
  15939. scritta per proteggere l'autore del virus ed i suoi amici. 
  15940. (c) Stefan Kurtzhals
  15941.  
  15942.  
  15943.  
  15944.  
  15945.  
  15946. [Word-Hassle]
  15947.  
  15948. Nome del Virus: Word.Hassle.
  15949. Pseudonimo: Bogus.
  15950. Tipo di Virus: Virus da macro di Word.
  15951. Lunghezza del Virus: 8.283 Byte (7 Macro).
  15952. Sintomi: Mostra finestre.
  15953. Paese di origine: USA.
  15954. Descrizione: Questo virus infetta Documenti di MS Word.
  15955.  
  15956. Hassle contiene 7 macro cifrate (Execute-Only) di 8.283 Byte.
  15957.  
  15958. "AutoClose"
  15959. "Tools\Macro"
  15960. "Microsoft01"
  15961. "Microsoft02"
  15962. "Microsoft03"
  15963. "Microsoft04"
  15964. "Microsoft05"
  15965.  
  15966. Quando viene aperto un documento infetto, Hassle infetta 
  15967. il modello principale (NORMAL.DOT). Hassle usa la tecnica 
  15968. macro stealth per nascondersi. Utilizza la macro "Tools\Macro" per 
  15969. rendere pi∙ difficile l'individuazione del documento infetto. 
  15970. Se l'utente seleziona un qualsiasi comando, il virus mostra le seguenti 
  15971. finestre e chiude Microsoft Word:
  15972.  
  15973. " Out of Memory or System Resources"
  15974.  
  15975. Hassle Φ uno dei pochi virus da macro non distruttivo. 
  15976. Infetta solo altri file e mostra la seguente finestra di testo:
  15977.  
  15978. "Are you sure to Quit?"
  15979.  
  15980. Questo avviene solo raramente, con una probabilitα del  5%.
  15981.  
  15982. Un'altra procedura chiede all'utente di registrare il software Microsoft. 
  15983. Hassle accetta solo una risposta, che Φ la seguente:
  15984.  
  15985. "Bill Gates", "Microsoft" e "666".
  15986.  
  15987. Ogni volta che l'utente seleziona il comando Tools/Macro, 
  15988. Hassle mostra il seguente messaggio nella parte bassa dello schermo:
  15989.  
  15990. " Microsoft Word Assistant Version 6.2".
  15991.  
  15992.  
  15993. [Word_HiSexy]
  15994. Nome del Virus: Word.HiSexy.
  15995. Pseudonimo: Guess, Teaside, Phantom.
  15996. Tipo di Virus: Virus da macro di Word.
  15997. Lunghezza del Virus: 1.126 Byte (1 Macro).
  15998. Sintomi: Viene stampato od inserito testo in documenti. 
  15999. I documenti aperti vengono chiusi immediatamente.
  16000. Paese di origine: Germania.
  16001. Descrizione: Questo virus infetta Documenti di MS Word.
  16002.  
  16003. Hisexy ha solo una macro di 1.126 Byte.
  16004.  
  16005. "AutoOpen"
  16006.  
  16007. Hisexy ha una caratteristica inusuale paragonato agli altri 
  16008. virus da macro. Usa solo la macro Execute-Only, "AutoOpen," e 
  16009. non usa macro comuni come FileSave as per infettare altri file. 
  16010. Tutti i procedimenti di infezione per infettare il NORMAL.DOT ed 
  16011. i documenti sono nella macro "AutoOpen".
  16012.  
  16013. Quando viene aperto un documento infetto, Hisexy controlla che le 
  16014. variabili del documento siano impostate su "populated." 
  16015. Se "NO", un nuovo modello principale (NORMAL.DOT) Φ creato e la 
  16016. macro del virus "AutoOpen" Φ copiata nel nuovo documento. 
  16017. Fatto questo, le variabili sonoregolate su "populated" per marcare 
  16018. un file come infetto. Se la variabile Φ giα regolata, il virus 
  16019. infetta il nuovo documento trasferendo la macro "AutoOpen" 
  16020. usando il comando MakroCopy. Guess Φ il primo virus da macro 
  16021. che usa le variabili di un documento come meccanismo di 
  16022. controllo per altri documenti infetti.
  16023.  
  16024. A causa di un errore nel codice del programma, il virus 
  16025. non si replica correttamente.
  16026.  
  16027. Da un numero scelto casualmente (tra 0 e 100), Hisexy 
  16028. attiva diverse procedure distruttive. Cambia la misure 
  16029. dei caratteri in uso o crea un nuovo documento (NORMAL.DOT) 
  16030. con il seguente testo:
  16031.  
  16032. "The word is out."
  16033. "The word is spreading..."
  16034. "The Phantom speaks..."
  16035. "Sedbergh"
  16036. "is CRAP"
  16037. "The word spreads..."
  16038.  
  16039. Il testo viene stampato. Il seguente testo Φ inserito nel 
  16040. documento attivo a seconda del numero scelto:
  16041.  
  16042. "This school is really good.  NOT"
  16043. "We all love Mr. Hirst."
  16044. "M.R.Beard"
  16045. "This network is REALLY fast."
  16046. "Hi Sexy!"
  16047. "Who's been typing on my computer?"
  16048. "Well helloooo there!"
  16049. "Guess who?"
  16050.  
  16051. Una volta ogni tanto, il documento attivo Φ chiuso da Guess.
  16052. Dato che Guess usa solo la "AutoOpen" lavora anche con altre 
  16053. versioni di Microsoft Word come la versione tedesca.
  16054. (c) Stefan Kurtzhals
  16055.  
  16056.  
  16057. [Word_Goldfish]
  16058. Nome del Virus: Word.Goldfish.
  16059. Pseudonimo: Fishfood.
  16060. Tipo di Virus: Virus da macro di Word.
  16061. Lunghezza del Virus: 1.906 Byte (2 Macro).
  16062. Sintomi: Mostra finestre.
  16063. Paese di origine: USA.
  16064. Descrizione: Questo virus infetta Documenti di MS Word.
  16065.  
  16066. Goldfish contiene 2 macro cifrate (Execute-Only) di 1.906 Byte.
  16067.  
  16068. "AutoOpen"
  16069. "AutoClose"
  16070.  
  16071. Quando viene aperto un documento infetto, Goldfish infetta il 
  16072. modello principale (NORMAL.DOT). Altri documenti sono infettati 
  16073. quando vengono aperti ("AutoOpen"). I documenti infetti sono 
  16074. convertiti internamente in file di modello. Ci≥ Φ molto comune 
  16075. per i virus da macro.
  16076.  
  16077. Goldfish Φ uno dei pochi virus da macro non distruttivo.
  16078. Infetta solo altri file e mostra una finestra con il seguente testo:
  16079.  
  16080. "I am the goldfish, I am hungry, feed me."
  16081.  
  16082. Il messaggio non scompare finchΦ l'utente non digita una risposta 
  16083. accettabile. Le risposte possibili sono:
  16084.  
  16085. "fishfood", "worms", "worm", "pryme" e "core".
  16086.  
  16087. [Word_Friendly]
  16088. Nome del Virus: Word.Friendly.
  16089. Pseudonimo: Friends, Friendly:De.
  16090. Tipo di Virus: Virus da macro di Word.
  16091. Lunghezza del Virus: 9.867 (20 Macro).
  16092. Sintomi: Mostra un testo.
  16093. Paese di origine: Germania.
  16094. Descrizione: Questo virus infetta Documenti di MS Word.
  16095.  
  16096. Friendly sembra essere dello stesso autore del virus <LBYNJ>, 
  16097. da quando include la referenza "Nightmare Joker." 
  16098. Lo stesso autore ha scritto molti altri virus da macro ed 
  16099. Φ l'autore del primo kit per un generatore di virus da macro. 
  16100. Friendly Φ un complesso virus da macro contenente 20 macro:
  16101.  
  16102. "Abbrechen"
  16103. "AutoExec"
  16104. "AutoOpen"
  16105. "Cancel"
  16106. "DateiBeenden"
  16107. "DateiNeu"
  16108. "DateiOeffnen"
  16109. "DateiSchliessen"
  16110. "DateiSpeichern"
  16111. "DateiSpeichernUnter"
  16112. "ExtrasMacro"
  16113. "ExtrasMakro"
  16114. "Fast"
  16115. "FileExit"
  16116. "FileNew"
  16117. "FileOpen"
  16118. "FileSave"
  16119. "FileSave as"
  16120. "Infizieren"
  16121. "Talk"
  16122.  
  16123. Friendly rappresenta lo sforzo di scrivere un virus per pi∙ di un linguaggio. 
  16124. Tutti i nomi delle macro sono tradotti ed internamente sono usati i 
  16125. comandi delle macro inglesi.  Osservando le correnti impostazioni 
  16126. (DM - German Marks), Friendly rileva se Φ stato avviato sulla versione 
  16127. tedesca di Microsoft Word. Dimostra come l'autore non avesse una copia 
  16128. attuale della versione inglese di Word dato che alcuni nomi di macro 
  16129. sono stati tradotti non correttamente. (ExtrasMacro invece di Tools\Macro). 
  16130. Friendly tuttavia non lavora con altre versioni di Word oltre quella tedesca.
  16131.  
  16132. Quando viene aperto un documento infetto, Friendly cerca di infettare 
  16133. il modello principale (NORMAL.DOT). Controlla che il modello principale 
  16134. abbia avuto un'infezione precedente cercando il testo "Friendly", 
  16135. Author = Nightmare". Dopo che le macro sono state trasferite, 
  16136. la procedura distruttiva Φ chiamata dalla macro "Fast".
  16137.  
  16138. Friendly infetta altri documenti ogni volta che ne vengono creati di 
  16139. nuovi, che viene annullata un'azione, ed ogni volta che i documenti 
  16140. sono aperti, chiusi, salvati o escono da Word. Come Φ comune per 
  16141. molti virus da macro, un documento infetto Φ convertito internamente 
  16142. in un file di modello.
  16143. Friendly non controlla eventuali infezioni del documento precedenti. 
  16144. Sovrascrive semplicemente le macro esistenti.
  16145.  
  16146. La procedura distruttiva, dentro alla macro "Fast", si attiva quando 
  16147. l'ora di sistema ha il valore dei secondi minore di 2. Friendly quindi 
  16148. crea uno script di debug nella cartella C:\DOS e la segna eseguibile 
  16149. usando il comando DOS DEBUG.EXE. In pi∙, Friendly immette informazioni 
  16150. in AUTOEXEC.BAT, cosi che il virus basato sul DOS sia avviato dopo il 
  16151. sucesivo riavvio. Il virusbasato sul DOS dentro a Friendly Φ lungo 395 
  16152. Byte ed Φ un virus companion residente in memoria cifrato con CryptCOM.
  16153.  
  16154. Friendly mostra il seguente testo il giorno 1 gennaio:
  16155.  
  16156. " Ein gutes neues Jahr !"
  16157.  
  16158. ed infetta i file con estensione *.EXE in esecuzione. Sono creati dei 
  16159. nuovi file con estensione *.COM con lo stesso nome dei file di 
  16160. estensione *.EXE e con gli attributi:
  16161.  
  16162. "READ-ONLY" e "HIDDEN"
  16163.  
  16164. Se il virus Φ attivo, viene mostrato il seguente testo quando un utente 
  16165. cerca di vedere la lista delle macro:
  16166.  
  16167. "You can't do that!"
  16168. "I'm very anxious!"
  16169. "Hello my friend!"
  16170. "<< Friends >> Virus"
  16171.  
  16172. (traduzione:)
  16173.  
  16174. "Du kannst das nicht tun!"
  16175. "Ich bin sehr aengstlich!"
  16176. "Hallo mein Freund!"
  16177. "<< Friends >> Virus"
  16178.  
  16179. Dopo il giorno 1 maggio, Friendly mostra il seguente testo quando 
  16180. infetta dei documenti per l prima volta (eccetto per il NORMAL.DOT):
  16181.  
  16182. (traduzione:)
  16183.  
  16184. "Hello my Friend!"
  16185. "I'm the << Friends >> Virus and how are you?"
  16186. "Can you give me your name, please?"
  16187. "Hello .... I have a good and a bad message for you! The
  16188. bad message is that" "you have now a Virus on your
  16189. Harddisk and the good message is that I'm "harmless
  16190. and useful. Press OK!"
  16191. "If you don't kill me, I will insert a programme in your
  16192. AutoExec.bat thats "your Keyboard accelerated.
  16193. Please .... don't kill me. Goodbye!"
  16194.  
  16195. I nomi inseriti vengono poi mostrati.
  16196.  
  16197. Tutto il testo viene mostrato una sola volta.
  16198.  
  16199. Friendly mostra anche diversi messaggi d'errore di Wordbasic come:
  16200.  
  16201. "Unbekannte(r) Befehl, Subroutine oder Funktion"
  16202.  
  16203. o
  16204.  
  16205. "Syntaxfehler"
  16206. (c) Stefan Kurtzhals
  16207.  
  16208.  
  16209. [Word_FMT.Trojan]
  16210. Nome del Virus: Word.FMT.Trojan.
  16211. Pseudonimo: FormatC, Trojan.FC.
  16212. Tipo di Virus: Virus da macro di Word.
  16213. Lunghezza del Virus: 81 Byte (1 Macro).
  16214. Sintomi: C:\ Φ formattato.
  16215. Paese di origine: Inviato su Usenet.
  16216. Descrizione: Questo virus infetta Documenti di MS Word.
  16217.  
  16218. FormatC consiste in solo una macro:
  16219.  
  16220. "AutoOpen"
  16221.  
  16222. FormatC non Φ un virus ma un cavallo di Troia, che non si replica. 
  16223. Questo cavallo di Troia contiene solo una macro criptata, che Φ "AutoOpen".
  16224.  
  16225. Quando viene aperto un documento infetto, il cavallo di Troia
  16226. avvia la procedura distruttiva, che scrive " Format C: /U " 
  16227. in una minuscola casella di DOS quindi formatta il drive C.  
  16228. E' difficile che si diffonda dato che non infetta altri file.
  16229.  
  16230. FormatC fu anche immesso su Usenet, determinando la perdita 
  16231. di dati a qualche utente.
  16232.  
  16233. (c) Stefan Kurtzhals
  16234.  
  16235.  
  16236. [Word_Doggie]
  16237. Nome del Virus: Word.Doggie.
  16238. Pseudonimo: Nessuno.
  16239. Tipo di Virus: Virus da macro di Word.
  16240. Lunghezza del Virus: 610 Byte (3 Macro).
  16241. Sintomi: Mostra finestre.
  16242. Paese di origine: USA.
  16243. Descrizione: Questo virus infetta documenti di MS Word.
  16244.  
  16245. Doggie contiene 3 macro di 610 Byte.
  16246.  
  16247. "Doggie"
  16248. "AutoOpen"
  16249. "FileSave as"
  16250.  
  16251. Aprendo un documento infetto, Doggie infetta il modello principale (NORMAL.DOT). 
  16252. Alri documenti sono infettati usando il comando "FileSave as".
  16253. I documenti infetti vengono convertiti internamente in file di modello, 
  16254. evenienza molto comune per un virus da macro.
  16255.  
  16256. Doggie Φ uno dei pochi virus da macro non distruttivo.
  16257. Infetta solo altri file e mostra il seguente mesaggio:
  16258.  
  16259. "Doggie "
  16260.  
  16261. Dato che Doggie ha nomi di macro in inglese ("FileSave as")
  16262. Lavora solo con la versione inglese di Microsoft Word.
  16263.  
  16264.  
  16265.  
  16266.  
  16267.  
  16268.  
  16269.  
  16270.  
  16271. [WORD_WW2DEMO]
  16272.  
  16273. Nome del Virus: Word.WW2Demo.
  16274. Pseudonimo: WM.DMV.
  16275. Tipo di Virus: Virus da macro di Word.
  16276. Lunghezza del Virus: 3.002 Byte (1 Macro).
  16277. Sintomi: Mostra messaggi.
  16278. Paese di origine: Stati Uniti, anche immesso in Usenet.
  16279. Descrizione: Questo virus infetta Documenti di MS Word.
  16280.  
  16281. Demonstration contiene 1 di 3.002 Byte.
  16282.  
  16283. "AutoClose"
  16284.  
  16285. DMV fu il primo virus da macro scritto da Joel McNamara, 
  16286. che pubblic≥ un articolo dettagliato sui virus da macro. 
  16287. Si suppone che DMV abbia dato spunto ad altri autori di virus 
  16288. per scrivere virus da macro di Word. Dato che l'articolo non 
  16289. fu pubblicato prima della scoperta di Concept, gli autori di 
  16290. virus furono spronati ad utilizzare altre tecniche.
  16291. Joel McNamara pubblic≥ inoltre un virus da macro di Excel, 
  16292. per≥ non operativo (Excel.DMV.A)
  16293.  
  16294. Quando viene chiuso un documento infetto, DMV infetta 
  16295. il modello principale (NORMAL.DOT). Alri documenti sono 
  16296. infetttati quando vengono chiusi. Vengono anche convertiti 
  16297. internamente in file di modello, evenienza molto comune per 
  16298. un virus da macro. 
  16299.  
  16300. Infettando, Demonstration mostra la seguente stringa sullo schermo:
  16301.  
  16302. " Counting global macros"
  16303. "AutoClose macro virus is already installed in
  16304. NORMAL.DOT."
  16305. "Infected NORMAL.DOT with a copy of AutoClose
  16306. macro virus. "
  16307. "AutoClose macro virus already present in this document."
  16308. "Saved current document as template."
  16309. "Infected current document with copy of AutoClose
  16310. macro virus."
  16311. " Macro virus has been spread. Now execute some other code
  16312. (good, bad, or indifferent)."
  16313.  
  16314.  
  16315. [WORD_Divina]
  16316. Nome del Virus: Word.Divina.
  16317. Pseudonimo: Roberta.
  16318. Tipo di Virus: Virus da macro di Word.
  16319. Lunghezza del Virus: 2.357 Byte (1 Macro).
  16320. Sintomi: Beep e pause quando vengono mostrati i messaggi. Mostra finestre di testo.
  16321. Paese di origine: Italia.
  16322. Descrizione: Questo virus infetta Documenti di MS Word.
  16323.  
  16324. Divina fu probabilmente scritto dall'autore del virus da macro 
  16325. Date e si Φ diffuso a Malta, Spagna ed Italia
  16326. Divina contiene solo una macro criptata (Execute-Only) di 2.357 Byte.
  16327.  
  16328. "AutoClose"
  16329.  
  16330. Divina infetta il modello principale (NORMAL.DOT) quando viene 
  16331. aperto e poi chiuso un documento infetto. Altri documenti sono 
  16332. infettati quando sono chiusi usando il comando "AutoClose".
  16333.  
  16334. Divina ha due procedure. La prima controlla l'ora di sistema, 
  16335. ed in caso di un valore 17 nel campo dei minuti, 
  16336. mostra una serie di finestre. Tra una e l'altra fa una pausa ed emette un beep.
  16337. Sono mostrate le seguenti finestre:
  16338.  
  16339. "ROBERTA TI AMO!"
  16340.  
  16341. "Virus 'ROBERTA' is running. Hard Disk damaged.
  16342. Start antivirus?"
  16343.  
  16344. "Exit from system and low level format are recommended."
  16345.  
  16346. "Exit from System?"
  16347.  
  16348. Dopo l'ultimo messaggio Divina cerca di chiudere Windows.
  16349.  
  16350. La seconda pocedura Φ attivata il giorno 21 maggio. 
  16351. Divina controlla ancora l'ora di sistema e se il documento 
  16352. Φ stato chiuso tra il decimo ed il ventesimo minuto o tra il 
  16353. quarantesimo ed il cinquantesimo, mostra altre 2 finestre.
  16354.  
  16355. "DIVINA IS THE BEST!"
  16356.  
  16357. seguito da un'altra finestra con un messaggio in italiano.
  16358. Divina non contiene procedure distruttive. L'unico problema 
  16359. con Divina Φ di indurre al panico l'utente formattando a basso 
  16360. livello il suohard disk. 
  16361.  
  16362.  
  16363. [Word_Date]
  16364. Nome del Virus: Word.Date.
  16365. Pseudonimo: AntiDMV, Infezione.
  16366. Tipo di Virus: Virus da macro di Word.
  16367. Lunghezza del Virus: 1.042 Byte (1 Macro).
  16368. Sintomi: Rimozione della macro AutoClose dai documenti.
  16369. Paese di origine: Stati Uniti.
  16370. Descrizione: Questo virus infetta Documenti di MS Word.
  16371.  
  16372. Date fu probabilmente scritto dall'autore del virus Divina. 
  16373. Contiene solo una macro criptata (Execute-Only) di 1.042  Byte.
  16374.  
  16375. "AutoOpen"
  16376.  
  16377. Quando viene aperto un documento infetto, Date infetta il modello 
  16378. di documento principale (NORMAL.DOT). Altri documenti sono infettati 
  16379. quando vengono aperti. L'infezione avviene solo il giorno 1 giugno 1996. 
  16380. Quando sarα letto questo articolo, Date non dovrebbe essere una minaccia 
  16381. per nessuno anche se ci potrebbero essere in giro dei documenti infetti.
  16382.  
  16383. Date Φ anche conosciuto con il nome AntiDMV. 
  16384. Fu scelto questo nome perchΘ rimuove la macro "AutoClose" dai documenti. 
  16385. Il virus "DMV" possiede solamente una macro "AutoClose" che pu≥ tuttavia 
  16386. essere rimossa dal virus Date.
  16387.  
  16388.  
  16389. [WORD_CONCEPT-G]
  16390. Nome del Virus: Word_Concept.G.
  16391. Pseudonimo: Parasite, Parasite 0.8, P-Site.
  16392. Tipo di Virus: Virus da macro di Word.
  16393. Lunghezza del Virus: 3.670 Byte (7 Macro) nei file con estensione *.DOC, 
  16394. 3.450  Byte (7 Macro) nel modello principale.
  16395. Sintomi: Mostra finestre. Modifica i documenti.
  16396. Paese di origine: Stati Uniti.
  16397. Descrizione: Questo virus infetta Documenti di MS Word.
  16398.  
  16399. Concept.G contiene 7 macro criptate (Execute-Only) di 3.670 Byte.
  16400.  
  16401. "K"
  16402. "A678"
  16403. "Para"
  16404. "Site"
  16405. "I8U9Y13"
  16406. "Paylaod"
  16407. "AutoOpen"
  16408.  
  16409. Concept .G si attiva quando viene aperto un documento infetto (AutoOpen). 
  16410. Una volta attivato, Concept.G
  16411. infetta il modello principale (NORMAL.DOT).
  16412. I documenti infetti vengono convertiti internamente in file di modello,
  16413. evenienza molto comune per un virus da macro.
  16414.  
  16415. Concept.G possiede diverse procedure. La prima sostituisce le seguenti 
  16416. parole nei documenti infetti:
  16417.  
  16418. "and" con "not"
  16419.  
  16420. La seconda procedura Φ un po' pi∙ ampia.
  16421. Concept.G controlla la data di sistema per un valore specifico nella 
  16422. sezione dei giorni. In caso sia 16 (ogni giorno 16 del mese) attiva 
  16423. la propria procedura. Quindi sostituisce le seguenti letter\parole 
  16424. nei documenti infetti:
  16425.  
  16426. "." (dot) con "," (comma)
  16427. "and" con "not"
  16428. "a" con  "e"
  16429.  
  16430. Come il codice di Concept.G, Φ una beta release.
  16431. Invece di versione 1.0 (Concept.F) Φ la versione 0.8.
  16432.  
  16433. [WORD_CONCEPT]
  16434. Nome del Virus: Word_Concept.
  16435. Pseudonimo: Prank, WW6Macro, WBMV, WW6Infector, Winword.
  16436. Tipo di Virus: Virus da macro di Word.
  16437. Lunghezza del Virus: 1.968 Byte (4 Macro).
  16438. Sintomi: Mostra una finestra con un "1" .
  16439. Paese di origine: Stati Uniti.
  16440. Descrizione: Questo virus infetta Documenti di MS Word.
  16441.  
  16442. Concept fu il primo virus da macro trovato "In-the-Wild".
  16443. Fu scoperto in luglio-agosto 1995. Adesso Φ il virus pi∙ comune. 
  16444. I virus da macro, come Concept, non dipendono dal sistema operativo. 
  16445. Lavorano con Windows, Windows 95, Windows NT e Macintosh.
  16446.  
  16447. I virus da macro di Word lavorano solamente fino a quando 
  16448. Microsoft Word Φ attivo. Tuttavia possono procurare danni permanenti 
  16449. (per esempio cancellare importanti file di sistema).
  16450.  
  16451. Concept.A contiene 4 macro non criptate di 1.968 Byte.
  16452.  
  16453. "AAAZAO"
  16454. "AAAZFS"
  16455. "AutoOpen"
  16456. "Payload"
  16457.  
  16458. Concept.A si attiva quando viene aperto un documento infetto (AutoOpen). 
  16459. Una volta attivato, Concept.A controlla eventuali precedenti 
  16460. infezioni del modello di documento principale (normal.dot). 
  16461. Fa questo cercando le macro "Payload" e "FileSave as".
  16462.  
  16463. Se nessuna delle macro Φ presente, Concept.A copia le sue macro.
  16464. nel modello principale usando il comando
  16465. "MacroCopy". La macro "AAAZFS" Φ salvata con il nome "FileSave as".
  16466.  
  16467. Un file infetto NORMAL.DOT contiene le seguenti macro:
  16468.  
  16469. "AAAZAO"
  16470. "AAAZFS"
  16471. "FileSave as"
  16472. "Payload"
  16473.  
  16474. Dopo aver infettato il modello di documento principale, 
  16475. Concept penetra nel file Win.ini. Colloca "WW6I=1" e 
  16476. compare una finestra contenente un "1".
  16477.  
  16478. Concept.A non contiene procedure distruttive,
  16479. anche se contiene una macro chiamata "Payload".
  16480. La macro "Payload" Φ vuota eccetto per la seguente informazione:
  16481.  
  16482. "That's enough to prove my point"
  16483.  
  16484. Il testo seguente Φ presente nel codice del virus, ma non Φ mai apparso:
  16485.  
  16486. "Payload is just for fun"
  16487.  
  16488. Dato che Concept.A usa macro con nomi in inglese, lavora solo con 
  16489. la versione inglese di Microsoft Word.
  16490.  
  16491. Concept.A fu accidentalmente distribuito in diversi CD (incluso un CD di Microsoft). 
  16492. Questa Φ una delle ragioni per cui Concept.A Φ attualmente il virus pi∙ comune.
  16493.  
  16494. (c) Stefan Kurtzhals
  16495.  
  16496.  
  16497. [Winword_Colors]
  16498. Nome del Virus: Winword.Colors.
  16499. Pseudonimo: Rainbow, Colo-a.
  16500. Tipo di Virus: Virus da macro di Word.
  16501. Lunghezza del Virus: 6.470 Byte (9 Macro).
  16502. Sintomi: Cambia il colore degli oggeti di Windows .
  16503. Paese di origine: Portogallo.
  16504. Descrizione: Questo virus infetta Documenti di MS Word.
  16505.  
  16506. Colors Φ un complesso virus da macro con 9 macro Execute-Only:
  16507.  
  16508. "AutoClose"
  16509. "AutoExec"
  16510. "AutoOpen"
  16511. "FileExit"
  16512. "FileNew"
  16513. "FileSave"
  16514. "FileSave as"
  16515. "macros"
  16516. "Tools\Macros"
  16517.  
  16518. Colors Φ il primo virus da macro che pu≥ giα infettare, anche quando
  16519. tutte le Auto-Macro sono disattivate. Inoltre cerca di nascondersi in modo 
  16520. che l'utente non possa usare il comando "Tools/Macro" per cercare la lista 
  16521. delle macro e scoprire cos∞ il virus.
  16522. Il virus viene eseguito quando si cerca di farlo. Invece,
  16523. bisognerebbe usare il comando File/Templates/Organizer/Macros
  16524. per rilevare e cancellare le macro alterate. Colors
  16525. ha anche una modalitα di Debug, in cui le macro non vengono salvate come 
  16526. Execute-Only (criptate).
  16527.  
  16528. Con l'attivazione da una delle sue macro (ad eccezione di AutoExec), 
  16529. Colors cerca di infettare il modello di documento principale (normal.dot), 
  16530. attraverso cui spegne i suggerimenti di
  16531. Microsoft Word prima di salvare. Colors controlla che tutte le macro 
  16532. siano presenti nel modello principale. Se "NO", trsferisce le sue 
  16533. sostituendole con quelle presenti.
  16534.  
  16535. Il modello di documento principale diviene infetto quando un documento 
  16536. infetto viene aperto, salvato, chiuso o si esce da Microsoft Word. 
  16537. Altri documenti divengono infetti quando un file viene creato 
  16538.  (File/Nuovo) o salvato (File/Salva, File/Salva con nome).
  16539. Colors.A controlla ancora la lista delle macro per vedere che il 
  16540. documento sia giα stato infettato.
  16541.  
  16542. La procedura distruttiva, come altre funzioni, Φ nella macro "macros". 
  16543. La procedura (una sub-routine "objective") Φ attivata dalla chiamata 
  16544. di ogni macro, eccetto AutoExec. AutoExec, che Φ vuota.
  16545.  Fu probabilmente fatta per sovrascrivere una esistente macro anti-virus.
  16546.  
  16547. Colors.A crea una variabile nella sezione [Windows]
  16548. di Win.ini con il nome "countersu," che conteggia partendo da
  16549. zero. Dopo ogni 300 chiamate, Colors cambia il colore delle linguette 
  16550. di 21 elementi del desktop di Windows.
  16551. Lo sfondo, i tasti ed i bordi avranno dei nuovi colori selezionati a 
  16552. caso, conferendo al desktop un look originale.
  16553.  
  16554. Questo virus non lavora su Microsoft Word per Macintosh.
  16555.  
  16556. (c) Stefan Kurtzhals
  16557.  
  16558.  
  16559. [WINWORD_COLORS.D]
  16560. Nome del Virus: Winword.Colors.D.
  16561. Pseudonimo: Colo-d, WM.Colors.
  16562. Tipo di Virus: Virus da macro di Word.
  16563. Lunghezza del Virus: 19.688 Byte (9 Macro).
  16564. Sintomi: Mostra messaggi d'errore.
  16565. Paese di origine: Sconosciuto.
  16566. Descrizione: Questo virus infetta Documenti di MS Word.
  16567.  
  16568. Colors.D Φ un complesso virus da macro con 9 macro Execute-Only.
  16569.  
  16570. "AutoClose"
  16571. "AutoExec"
  16572. "AutoOpen"
  16573. "FileExit"
  16574. "FileNew"
  16575. "FileSave"
  16576. "FileSave as"
  16577. "macros"
  16578. "Tools\Macros"
  16579.  
  16580. Colors.D sembra essere una combinazione tra il virus Colors.A e la 
  16581. soluzione per virus da macro Microsoft "Scanprot." Si raccomanda di 
  16582. non usare il comando Tools/Macro per cercare le macro di Colors.B. 
  16583. Il virus viene eseguito dopo che si cerca di fare questo. 
  16584. Bisogna usare invece il comando File/Templates/Organizer/Macros 
  16585. per individuare, cancellare o altrare le macro.
  16586.  
  16587. Anche se Colors.D ha una porzione di anti-virus nel proprio codice, 
  16588. Φ in grado di diffondersi ed infettare il modello principale 
  16589. (NORMAL.DOT) e nuovi documenti.
  16590.  
  16591. Colors.D mostra i seguenti messaggi d'errore:
  16592.  
  16593. "Unknown Command, Subroutine, or Function"
  16594.  
  16595.  
  16596. [WORD_CLOCK]
  16597. Nome del Virus: Word_Clock.
  16598. Pseudonimo: Clock:De, WM.Extra.
  16599. Tipo di Virus: Virus da macro di Word.
  16600. Lunghezza del Virus: 3.795 Byte (11 Macro).
  16601. Sintomi: Mostra finestre.
  16602. Paese di origine: USA.
  16603. Descrizione: Questo virus infetta Documenti di MS Word.
  16604.  
  16605. Clock contiene 11 macro criptate (Execute-Only) di 3.795 Byte.
  16606.  
  16607. "Action"
  16608. "Oeffnen"
  16609. "AutoExec"
  16610. "AutoOpen"
  16611. "Speichern"
  16612. "Extrasmakro"
  16613. "DateiSchliessen"
  16614. "Datumunduhrzeit"
  16615. "Dateidokvorlagen"
  16616. "Dateiallesspeichern"
  16617.  
  16618. Clock utilizza la tecnica macro stealth per nascondersi. Usa
  16619. "ExtrasMakro" ("Tools\Macro") e "DateiDokVorlagen"
  16620. ("File Templates") per rendere pi∙ dificile il rilevamento di un documento infetto.
  16621.  
  16622. Quando viene aperto un documento infetto, Clock
  16623. infetta il modello principale (NORMAL.DOT). Per nascondere
  16624. l'infezione chiude i suggerimenti di Word prima di salvare il 
  16625. modello principale modificato. I documenti infetti sono convertiti 
  16626. internamente in file di modello, evenienza molto comune per un virus da macro.  
  16627.  
  16628. Quando viene aperto un documento infetto dopo il giorno 26 di 
  16629. ogni mese, Clock mostra una finestra contenente l'ora. 
  16630. Inoltre attiva una delle sue procedure distruttive, 
  16631. che imposta il campo dei secondi dell'ora di sistema sul valore 33. 
  16632. Clock fa ci≥ ogni 2 o 3 minuti, con il risultato che 
  16633. l'ora di sistema perde precisione.
  16634.  
  16635. La seconda procedura si avvia nel 1997. 
  16636. Clock rileva l'ora di sistema ed in caso il valore dei minuti 
  16637. sia minore di 5, attiva le macro "FileOpen" e "FileSave".
  16638.  
  16639. Questo pu≥ accadere solamente nei seguenti giorni del mese:
  16640.  
  16641. 1
  16642. 2
  16643. 13
  16644. 21
  16645. 27.
  16646.  
  16647. Dato che Clock i nomi delle macro in tedesco, 
  16648. lavora solamente con la versione tedesca di Microsoft Word.
  16649.  
  16650.  
  16651. [WORD_BueroNeu]
  16652. Nome del Virus: Word.BueroNeu.
  16653. Pseudonimo: Buero:De, BuroNeu, Bureau.
  16654. Tipo di Virus: Virus da macro di Word.
  16655. Lunghezza del Virus: 697 Byte (2 Macro).
  16656. Sintomi: Cancella i file. Rinomina i file.
  16657. Paese di origine: Germania.
  16658. Descrizione: Questo virus infetta Documenti di MS Word.
  16659.  
  16660. Buero possiede due macro criptate (Execute-Only) di 697 Byte.
  16661.  
  16662. "AutoOpen"
  16663. "BueroNeu"
  16664.  
  16665. Quando viene aperto un documento infetto, Buero infetta il
  16666. modello principale (NORMAL.DOT). Il modello principale
  16667. include la macro "DateiSpeichern" invece di "AutOpen." 
  16668. Altri documenti si infettano con il comando "DateiSpeichern" 
  16669. ("FileSave"). I documenti infetti sono convertiti internamente 
  16670. in file di modello, evenienza molto comune per i virus da macro.
  16671.  
  16672. Infettando, Buero attiva le proprie procedure distruttive.
  16673. Dopo il giorno 15 agosto 1996, Buero rinomina il file di sistema 
  16674. "IO.SYS" con "IIO.SYS." Questo rende il computer inavviabile. 
  16675. La seconda procedura distruttiva cerca i file C:\*.DOC e li cancella.
  16676.  
  16677. Dato che Buero possiede i nomi delle macro in tedesco ("DateiSpeichern"),
  16678. lavora solamente con la versione tedesca di Microsoft Word.
  16679.  
  16680.  
  16681. [WORD_BOOM]
  16682. Nome del Virus: Word.Boom.
  16683. Pseudonimo: Boombastic, Boom:De.
  16684. Tipo di Virus: Virus da macro di Word.
  16685. Lunghezza del Virus: 2.863 Byte (4 Macro).
  16686. Sintomi: La procedura si attiva alle ore 13:13:13 ogni giorno 
  16687. 13 dopo febbraio 1996.
  16688. Viene rinominata la struttura del menu di Word ed Φ creato e 
  16689. stampato un nuovo testo del modello principale.
  16690. Paese di origine: Germania.
  16691. Descrizione: Questo virus infetta Documenti di MS Word.
  16692.  
  16693. Boom Φ un virus da macro con 4 macro criptate (Execute-Only).
  16694.  
  16695. "AutoOpen"
  16696. "AutoExec"
  16697. "DateiSpeichernUnter"
  16698. "System"
  16699.  
  16700. Oltre a Xenixos, Boom Φ il secondo virus da macro scritto per 
  16701. la versione tedesca di Microsoft Word. Boom
  16702. Φ diverso dagli altri virus da macro conosciuti e non si sa se 
  16703. Φ una variante di un altro virus da macro. Boom lavora solamente 
  16704. con la versione tedesca di Microsoft Word. Altre versioni permettono 
  16705. a  Boom di infettatre il modello principale (Normal.dot) 
  16706. e non i documenti. Questo limita la diffusione di Boom agli 
  16707. utenti tedeschi di Word.
  16708.  
  16709. Nella macro "AutoOpen" c'Φ la routine di infezione per il 
  16710. modello principale (Normal.dot). Ogni volta che viene aperto 
  16711. un documento infetto, Normal.dot diventa infetto.
  16712. Boom non usa il comando "KopiereMakro", usa invece "Organisiere.Kopiere."
  16713. Prima di trasferire le proprie macro, l'opzione FastSave 
  16714. viene disabilitata. Inoltre, Boom bypassa i suggerimenti di Word 
  16715. ogni volta che viene salvato un Normal.dot modificato.
  16716.  
  16717. La macro "AutoExec," (chiamata ad ogni avvio di Microsoft Word), 
  16718. ha un meccanismo di rilevamento dell'ora
  16719. che chiama le macro "System" ogni volta che l'ora segna le 13:13:13 
  16720. (ogni giorno 13 del mese). La macro "System" contiene la procedura distruttiva.
  16721. "AutoExec" Φ anche chiamata dalle macro del virus "AutoOpen"e 
  16722. "DateiSpeichernUnter" quando viene aperto o salvato un documento.
  16723.  
  16724. La procedura distruttiva rinomina la struttura del menu di Word:
  16725.  
  16726. Datei       ->    Mr.Boombastic
  16727. Bearbeiten  ->    and
  16728. Ansicht     ->    Sir WIXALOT
  16729. Einfuegen   ->    are
  16730. Format      ->    watching
  16731. Extras      ->    you
  16732. Tabelle     ->    !
  16733. Fenster     ->    !
  16734. Hilfe       ->    !
  16735.  
  16736. Tra ogni comando di rinomina il virus include pause ed emette un suono. 
  16737. Dopo che i nomi del menu sono stati cambiati, 
  16738. Boom crea un nuovo modello principale (Normal.dot) 
  16739. ed inserisce il seguente testo:
  16740.  
  16741. "Greetings from Mr. Boombastic and Sir WIXALOT !!! "
  16742. "Oskar L., wir kriegen dich!!!"
  16743. "Dies ist eine Initiative des Institutes zur Vermeidung und
  16744. Verbreitung von " "Peinlichkeiten, durch in der
  16745.  
  16746. Oeffentlichkeit stehende Personen, unter der"
  16747.  
  16748. "Schirmherrschaft von Rudi S. !"
  16749.  
  16750. Questo testo verrα stampato da Boom.
  16751.  
  16752. Boom contiene anche testi supplementari come:
  16753.  
  16754. "Mr. Boombastic and Sir WIXALOT !!!"
  16755.  
  16756. Procedure distruttive supplementari sono state modificate da 
  16757. "REM's" in commenti e vengono quindi disattivate. 
  16758.  
  16759. (c) Stefan Kurtzhals
  16760.  
  16761.  
  16762. [Word_Bandung]
  16763. Nome del Virus: Word.Bandung.
  16764. Pseudonimo: Nessuno.
  16765. Tipo di Virus: Virus da macro di Word.
  16766. Lunghezza del Virus: 4.262 Byte (6 Macro).
  16767. Sintomi: Mostra la creazione di nuovi file di windows  .      
  16768. Paese di origine: Bandung, Indonesia.
  16769. Descrizione: Questo virus infetta i documenti di MS Word.
  16770.  
  16771. Bandung contiene 6 macro della lunghezza di 4.262 Byte.
  16772.  
  16773. "AutoExec"
  16774. "AutoOpen"
  16775. "File/Salva"
  16776. "File/Salva con nome"
  16777. "Strumenti/macro"
  16778. "Toolscustomize"
  16779.  
  16780. Quando viene aperto un documento infetto, Bandung infetta 
  16781. il modello di documento principale (NORMAL.DOT). 
  16782. Altri documenti sono infettati con i comandi "File/Salva" 
  16783. e "File/Salva con nome".
  16784. I documenti infetti vengono convertiti internamente in file 
  16785. di modello, evenienza molto comune per un virus da macro.
  16786.  
  16787. Bandung utilizza inoltre la tecnica macro stealth per nascondersi.
  16788. Usa "Strumenti/Macro" per rendere pi∙ difficile 
  16789. l'identificazione di un documento infetto.
  16790.  
  16791. Con l'infezione Bandung attiva le sue procedure distruttive.
  16792.  
  16793. Crea il file C:\PESAN.TXT con il seguente messaggio:
  16794.  
  16795. "Anda rupanya sedang sial, semua file di mesin ini kecuali
  16796. yang berada  "
  16797. "di direktori WINDOWS dan WINWORD telah hilang,
  16798. jangan kaget, ini bukan " "ulah Anda, tapi ini hasil
  16799. pekerjaan saya...Barang siapa yang berhasil  "
  16800. "    menemukan cara menangkal virus ini, saya aka" +
  16801. "n memberi listing"
  16802. "virus ini untuk Anda !!! Dan tentu saja saya akan terus
  16803. datang kesini"
  16804. " untuk memberi Anda salam dengan virus-virus terbaru
  16805. dari saya...selamat ! "
  16806. " Bandung, Selasa,"
  16807.  
  16808. Al messaggio seguono giorno, mese, anno corrente, data ed ora. 
  16809.  
  16810. Esempio:           29 agosto 1996, Jam: 18:09
  16811.  
  16812. Bandung mostra inoltre il seguente messaggio d'errore:
  16813.  
  16814. "                           Fail on step 29296                     "
  16815. e
  16816.  
  16817. "No such macro or command"
  16818.  
  16819.  
  16820. [Word_Atom]
  16821. Nome del Virus: Word.Atom.
  16822. Pseudonimo: Atomic, WM.Atom.
  16823. Tipo di Virus: Virus da macro di Word.
  16824. Lunghezza del Virus: 1.029 Byte (4 Macro).
  16825. Sintomi: Cancella i file nelle directory. I documenti sono protetti da password.
  16826. Paese di origine: Ucraina.
  16827. Descrizione: Questo virus infetta i documenti di MS Word.
  16828.  
  16829. Atom.A possiede 4 macro criptate (Execute-Only) di 1.029 Byte.
  16830.  
  16831. "Atom"
  16832. "AutoOpen"
  16833. "File/Apri"
  16834. "File/Salva con nome"
  16835.  
  16836. Una volta aperto un file infetto, il modello di documento 
  16837. principale (Normal.dot) diviene infetto se la macro "Atom" 
  16838. non Φ giα inclusa nella lista macro. Le macro vengono trasferite 
  16839. con il comando MacroCopy, quindi viene chiamata la procedura distruttiva.
  16840.  
  16841. Atom.A infetta i documenti in due modi, sia quando viene aperto 
  16842. (File/Apri) che quando viene salvato un documento (File/Salva con nome).
  16843. FinchΦ Atom.A non toglie i suggerimenti mentre salva il modello di 
  16844. documento principale (Normal.dot). All'utente Φ consigliato salvare 
  16845. le modifiche al modello di documento principale (Normal.dot) 
  16846. al termine di una sessione. I documenti infetti vengono convertiti 
  16847. internamente in modelli principali, evenienza molto comune per un virus da macro.
  16848.  
  16849. Chiamando la macro "File/Salva con nome" del virus, Atom.A 
  16850. controlla che l'ora di sistema abbia 13 nel campo dei secondi. 
  16851. In questo caso Atom.A aggiunge la password "ATOM#1" al documento salvato.
  16852.  
  16853. La procedura distruttiva nella macro "Atom" si pensava venisse 
  16854. attivata solo il giorno 13 dicembre. A causa di un errore di 
  16855. programmazione viene invece attivata il giorno 13 di ogni mese. 
  16856. Atom.A cancella  tutti i file nella directory corrente.
  16857.  
  16858. Atom.A non lavora con una versione di Microsoft Word non in inglese, 
  16859. dato che utilizza nomi di macro in inglese.
  16860. (c) Stefan Kurtzhals
  16861.  
  16862.  
  16863. [Excel_Laroux.A]
  16864. Nome del virus: Excel.Laroux.A.
  16865. Tipo di Virus: Virus da macro di Word.
  16866. Numero di moduli: 1.
  16867. Nome del modulo: laroux.
  16868. Sub-Routine: Auto_Open, Check_Files.
  16869. Paese di origine: USA.
  16870. Data di origine: 1996.
  16871. Payload: No.
  16872. Rilevato In The Wild: Si.
  16873. Descrizione: Laroux Φ il primo virus da macro scritto per Microsoft Excel.
  16874.  
  16875. Quando viene aperto un file infetto (Auto_Open), viene chiamata la 
  16876. macro "Check_files" (dalla macro Auto_Open) e
  16877. PERSONAL.XLS (simile a NORMAL.DOT di Word) diviene infetto. 
  16878. Altri file divengono infetti quando sono attivati (OnSheetActivate).
  16879.  
  16880. Le seguenti sezioni della sezione "File Properties" sono chiarite 
  16881. da cleared Laroux:
  16882.  
  16883. Titolo
  16884. Soggetto
  16885. Autore
  16886. Parole chive
  16887. Commenti
  16888.  
  16889. Laroux non Φ distruttivo e la sua macro (laroux) non Φ nascosta 
  16890. all'operatore. Pu≥ essere localizzato con l'opzione Tools/Macro di Word.
  16891.  
  16892. [Excel_Robocop]
  16893. Nome del virus: Excel.Robocop.
  16894. Tipo di Virus: Virus da macro di Word.
  16895. Numero di moduli: 2.
  16896. Nome del modulo: ROBO, COP.
  16897. Sub-Routine: Auto_Open.
  16898. Paese di origine: Germania.
  16899. Data di origine: Sconosciuta.
  16900. Payload: Si.
  16901. Rilevato In The Wild: No.
  16902. Descrizione: Robocop Φ un virus da macro di Excel che fu 
  16903. pubblicato su Internet.
  16904.  
  16905. Quando viene aperto un file infetto (Auto_Open chiamato da ROBO),
  16906. il PERSONAL.XLS diviene infetto. Altri file sono infettati quando 
  16907. vengono aperti (SheetActivate).
  16908.  
  16909. Il giorno 1 marzo di ogni anno, Robocop inserisce nel documento aperto 
  16910. il seguente testo:
  16911.  
  16912. "   ROBOCOP Nightmare Joker [SLAM]   "
  16913.  
  16914.  
  16915. [Excel_Sofa (a.k.a. MicroSofa)]
  16916. Nome del virus: Excel.Sofa (a.k.a. MicroSofa).
  16917. Tipo di Virus: Virus da macro di Word.
  16918. Numero di moduli: 1.
  16919. Nome del modulo: (11 spazi).
  16920. Sub-Routines: Auto_Open, Auto_Range, Auto_Close, Current_Open.
  16921. Paese di origine: USA
  16922. Data di origine: Sconosciuta.
  16923. Distruttivo: No.
  16924. Rilevato In The Wild: No.
  16925. Descrizione: Sofa fu il secondo virus da macro di Excel (dopo Laroux).
  16926.  
  16927. Quando viene aperto un file infetto, il titolo "Microsoft Excel" 
  16928. viene cambiato in "Microsofa Excel" e la procedura di infezione 
  16929. Φ descritta sopra.
  16930.  
  16931. Inizialmente Sofa cerca il file BOOK.XLT. Se non lo trova, 
  16932. il sistema non viene ancora infettato e compare il seguente messaggio:
  16933.  
  16934. "   Microsoft Excel has detected a corrupted add-in file   "
  16935. "   Click OK to repair this file   "
  16936.  
  16937. Sofa crea quindi il file infetto e mostra:
  16938.  
  16939. "   File successfully repaired!   "
  16940.  
  16941. Al successivo utilizzo di Excel, il file BOOK.XLT infetto
  16942. viene caricato nel sistema ed i file seguenti divengono infetti.
  16943.  
  16944.  
  16945. [Excel_Legend]
  16946. Nome del virus: Excel.Legend.
  16947. Tipo di Virus: Virus da macro di Word.
  16948. Numero di moduli: 1.
  16949. Nome del modulo: Legend.
  16950. Sub-Routine: Auto_Open, Infect.
  16951. Paese di origine: USA.
  16952. Data di origine: Sconosciuta.
  16953. Distruttivo: No.
  16954. Rilevato In The Wild: No.
  16955. Descrizione: Legend Φ un altro virus da macro di Excel 
  16956. che fu pubblicato su Internet.
  16957.  
  16958. Quando viene aperto un file infetto, "Auto_Open" imposta la
  16959. sub-routine "Infect" come un SheetActivate. Come risultato tutte le 
  16960. sheets attivate chiamano la sub-routine "Infect" e
  16961. PERSONAL.XLS o la active sheet divengono infetti.
  16962.  
  16963. Per rendere pi∙ difficile il riconoscimento di un'infezione, Legend
  16964. rimuove l'opzione Tools/Macro (chiamata tecnica macro stealth).
  16965.  
  16966. Legend non infetta i file se il nome dell'utente Φ "   Pyro   "
  16967. ed il nome dell'organizzazione Φ: "   VBB   ".
  16968.  
  16969. Legend mostra il seguente messaggio:
  16970.  
  16971. "   Pyro [VBB]   "
  16972. "   You've Been Infected By Legend!   "
  16973.  
  16974.  
  16975. [Lotus.Green_Stripe]
  16976. Nome del virus: Lotus.Green_Stripe.
  16977. Tipo di Virus: Virus da macro di Word..
  16978. Misura: 6.256 Byte.
  16979. Paese di origine: USA.
  16980. Data di origine: 1996.
  16981. Payload: Si.
  16982. Rilevato In The Wild: No.
  16983. Descrizione:
  16984.  
  16985. Green_Stripe Φ il primo virus dimostrativo scritto per Lotus.
  16986. AmiPro. Mentre i virus da macro di Microsoft Word si diffondono 
  16987. molto rapidamente, Green_Stripe Φ molto improbabile che si diffonda 
  16988. in the wild.
  16989. AmiPro mantiene i suoi file da macro separati dal documento e perci≥ 
  16990. non si diffonde molto. Per assicurare l'infezione di entrambi i file, 
  16991. il documento e le macro devono essere stati trasmessi.
  16992. Ci≥ Φ molto improbabile che accada quando un utente invia un file 
  16993. infetto via e-mail.
  16994.  
  16995. Quando viene aperto un file infetto, la macro (*.smm) Φ attivata. 
  16996. A questo punto Green_Stripe attraverso la directory del documento 
  16997. cerca di aprire ogni file infetto (.sam). L'operatore vedrα i file 
  16998. aprirsi e chiudersi molto velocemente e questo dovrebbe allarmarlo. 
  16999. Green_Stripe crea un messaggio di errore quando cerca di aprire 
  17000. un file giα aperto.
  17001. Nuovi file da macro infetti vengono salvati con estensione *.smm 
  17002. e nascosti.
  17003.  
  17004. Ulteriori documenti divengono infetti se salvati con l'opzione "Salva" 
  17005. o "Salva con nome". Un altro segnale che deve far insospettire Φ 
  17006. la casella "Salva con nome", che risulta diversa rispetto a quella 
  17007. originale. La nuova casella possiede il seguente titolo:
  17008.  
  17009. "   Macro Get String   "
  17010.  
  17011. GreenStripe attiva la sua procedura distruttiva quando viene salvato 
  17012. un file infetto. Sostituisce la parola "its" con "it is". 
  17013. Questa parte del virus non Φ sempre in funzione.
  17014.  
  17015.  
  17016. [Word_Alliance]
  17017. Nome del virus: Word.Alliance.
  17018. Tipo di Virus: Virus da macro di Word.
  17019. Numero di Macro: 1.
  17020. Criptato: No.
  17021. Nome della Macro: AutoOpen.
  17022. Lunghezza della Macro: 352 Byte.
  17023. Paese di origine: USA.
  17024. Data di origine: Estate 1996.
  17025. Distruttivo: No.
  17026. Rilevato In The Wild: No.
  17027. Descrizione:
  17028.  
  17029. All'apertura di un documento infetto, Alliance infetta il 
  17030. modello di documento principale (NORMAL.DOT). 
  17031. Altri documenti vengono infettati quando vengono aperti ("AutoOpen").
  17032.  
  17033. Alliance Φ infettante solo:
  17034.  
  17035. Il giorno 2 di ogni mese.
  17036. Il giorno 7 di ogni mese.
  17037. Il giorno 11 di ogni mese.
  17038. Il giorno 12 di ogni mese.
  17039.  
  17040. Alliance aggiunge alla sezione File/Proprietα il seguente commento:
  17041.  
  17042. "   You have been infected by the Alliance   "
  17043.  
  17044.  
  17045. [Word_Alien.A]
  17046. Nome del virus: Word.Alien.A.
  17047. Tipo di Virus: Virus da macro di Word.
  17048. Numero di Macro: 3.
  17049. Criptato: Si.
  17050. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome.
  17051. Lunghezza della Macro: 7.037 Byte.
  17052. Paese di origine: India.
  17053. Data di origine: Novembre 1996.
  17054. Payload: Si.
  17055. Rilevato In The Wild: No.
  17056. Descrizione:
  17057.  
  17058. Alien infetta il modello di documento principale (normal.dot) 
  17059. quando viene aperto un file infetto. Altri documenti divengono 
  17060. infetti quando vengono aperti o chiusi. 
  17061.  
  17062. Prima di infettare, Alien controlla la stringa "Alien." Se Φ giα presente,  
  17063. non procede all'infezione.
  17064.  
  17065. Le opzioni "ToolsCustomize" e "Strumenti/Macro" vengono rimosse da Alien 
  17066. per rendere pi∙ difficile l'identificazione di un file infetto 
  17067. (chiamata tecnica macro stealth).
  17068.  
  17069. Con una probabilitα del 50% Alien mostra il seguente messaggio, 
  17070. il giorno 1 agosto, e nasconde il "program manager" in Windows 3.x:
  17071.  
  17072. "   Another Year of Survival   "
  17073.  
  17074. Non si Φ pi∙ in grado di chiudere Windows.
  17075.  
  17076. Con una probabilitα del 50% Alien mostra il seguente messaggio:
  17077.  
  17078. "   It's Sunday & I intend to relax   "
  17079.  
  17080. Alien cerca quindi di nascondere il "program manager" e termina
  17081. Microsoft Word senza salvare il documento attivo.  
  17082.  
  17083. Alien mostra diversi messaggi:
  17084.  
  17085. "   You Fascinate Me.   "
  17086. "   Look No Furhter...   "
  17087. "   Hi Beautiful !  "
  17088. "   I'll Be Back !  "
  17089. "   Three Cheers For The Alien. Hip Hip Hooray !   "
  17090. "   Don't Believe the Hype !   "
  17091. "   Always Back Up Your Data.   "
  17092. "   Don't Believe All Tips !   "
  17093. "   Never Trust An Alien !   "
  17094. "   Never Open Other Files !   "
  17095. "   The 'Alien' Virus Has Arrived !   "
  17096. "   The Alien Lives...   "
  17097. "   Longer File Names Should Be Used.   "
  17098.  
  17099.  
  17100.  
  17101. [Word_Alien.B]
  17102. Nome del virus: Word.Alien.B.
  17103. Tipo di Virus: Virus da macro di Word.
  17104. Numero di Macro: 3.
  17105. Criptato: Si.
  17106. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome.
  17107. Lunghezza della Macro: 7.463 Byte.
  17108. Paese di origine: Stati Uniti.
  17109. Data di origine: Primavera 1997.
  17110. Payload: Si.
  17111. Rilevato In The Wild: No.
  17112. Descrizione:
  17113.  
  17114. Alien.B infetta il modello di documento principale (normal.dot) 
  17115. quando viene aperto un documento infetto. Altri documenti divengono 
  17116. infetti quando vengono aperti o chiusi. 
  17117.  
  17118. Le opzioni "ToolsCustomize" e "Strumenti/Macro" vengono rimosse da
  17119. Alien.B per rendere pi∙ difficile l'identificazione di un file infetto 
  17120. (chiamata tecnica macro stealth).
  17121.  
  17122. La  differenza maggiore tra questa nuova edizione ed il precedente 
  17123. virus Alien.A Φ che Alien.B contiene dei codici alterati.
  17124.  
  17125. Per ulteriori informazioni si rimanda alla descrizione del virus Alien.A.
  17126.  
  17127.  
  17128. [Word_Alien.C]
  17129. Nome del virus: Word.Alien.C.
  17130. Tipo di Virus: Virus da macro di Word.
  17131. Numero di Macro: 3.
  17132. Criptato: Si.
  17133. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome.
  17134. Lunghezza della Macro: 7.463 Byte.
  17135. Paese di origine: Stati Uniti.
  17136. Data di origine: Primavera 1997.
  17137. Payload: Si.
  17138. Rilevato In The Wild: No.
  17139. Descrizione:
  17140.  
  17141. Alien.C infetta il modello di documento principale (normal.dot) 
  17142. quando viene aperto un file infetto. Altri documenti divengono 
  17143. infetti quando vengono aperti o chiusi. 
  17144.  
  17145. Le opzioni "ToolsCustomize" e "Strumenti/Macro" vengono rimosse 
  17146. da Alien.C per rendere pi∙ difficile l'identificazione di un file 
  17147. infetto (chiamata tecnica macro stealth).
  17148.  
  17149. La  differenza maggiore tra questa nuova edizione ed il precedente 
  17150. virus Alien.A Φ che Alien.C contiene dei codici modificati.
  17151.  
  17152. Per ulteriori informazioni si rimanda alla descrizione del virus Alien.A.
  17153.  
  17154. [Word_Alien.D]
  17155. Nome del virus: Word.Alien.D.
  17156. Tipo di Virus: Virus da macro di Word.
  17157. Numero di Macro: 3.
  17158. Criptato: Si.
  17159. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome.
  17160. Lunghezza della Macro: 7.463 Byte.
  17161. Paese di origine: Regno Unito.
  17162. Data di origine: Primavera 1997.
  17163. Payload: Si.
  17164. Rilevato In The Wild: No.
  17165. Descrizione:
  17166.  
  17167. Alien.D infetta il modello di documento principale (normal.dot) 
  17168. quando viene aperto un documento infetto. Altri documenti divengono 
  17169. infetti quando vengono aperti o chiusi.
  17170.  
  17171. Le opzioni "ToolsCustomize" e "Strumenti/Macro" vengono rimosse da 
  17172. Alien.D per rendere pi∙ difficile l'identificazione di un file infetto 
  17173. (chiamata tecnica macro stealth).
  17174.  
  17175. La  differenza maggiore tra questa nuova edizione ed il precedente 
  17176. virus Alien.A Φ che Alien.D contiene un byte corrotto nella sua macro AutoOpen.
  17177.  
  17178. Per ulteriori informazioni si rimanda alla descrizione del virus Alien.A.
  17179.  
  17180.  
  17181. [Word_Alien.E]
  17182. Nome del virus: Word.Alien.E.
  17183. Tipo di Virus: Virus da macro di Word.
  17184. Numero di Macro: 3.
  17185. Criptato: Si.
  17186. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome.
  17187. Lunghezza della Macro: 5.061Byte.
  17188. Paese di origine: Sconosciuto.
  17189. Data di origine: Primavera 1997.
  17190. Payload: Si.
  17191. Rilevato In The Wild: No.
  17192. Descrizione:
  17193.  
  17194. Alien.E infetta il modello di documento principale (normal.dot) quando viene 
  17195. aperto un documento infetto. Altri documenti divengono infetti 
  17196. quando vengono aperti o chiusi.
  17197.  
  17198. Le opzioni "ToolsCustomize" e "Strumenti/Macro" vengono rimosse 
  17199. da Alien.E per rendere pi∙ difficile l'identificazione di un 
  17200. file infetto (chiamata tecnica macro stealth).
  17201.  
  17202.  
  17203. La  differenza maggiore tra questa nuova edizione ed il precedente 
  17204. virus Alien.A Φ che Alien.E contiene dei codici modificati.
  17205.  
  17206. Per ulteriori informazioni si rimanda alla descrizione del virus Alien.A.
  17207.  
  17208.  
  17209. [Word_Alien.F]
  17210. Nome del virus: Word.Alien.F.
  17211. Tipo di Virus: Virus da macro di Word.
  17212. Numero di Macro: 3.
  17213. Criptato: Si.
  17214. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome.
  17215. Lunghezza della Macro: 8.201Byte.
  17216. Paese di origine: Stati Uniti.
  17217. Data di origine: Primavera 1997.
  17218. Payload: Si.
  17219. Rilevato In The Wild: No.
  17220. Descrizione:
  17221.  
  17222. Alien.F infetta il modello di documento principale (normal.dot) 
  17223. quando viene aperto un documento infetto. Altri documenti divengono 
  17224. infetti quando vengono aperti o chiusi.
  17225.  
  17226. Le opzioni "ToolsCustomize" e "Strumenti/Macro" vengono rimosse 
  17227. da Alien.F per rendere pi∙ difficile l'identificazione di un 
  17228. file infetto (chiamata tecnica macro stealth).
  17229.  
  17230. La  differenza maggiore tra questa nuova edizione ed il precedente 
  17231. virus Alien.A Φ che Alien.F contiene una macro 
  17232. "File/Salva con nome" corrotta.
  17233.  
  17234. Per ulteriori informazioni si rimanda alla descrizione del virus Alien.A.
  17235.  
  17236. [Word_Anak.A]
  17237. Nome del virus: Word.Anak.A.
  17238. Tipo di Virus: Virus da macro di Word.
  17239. Numero di Macro: 5.
  17240. Criptato: Si.
  17241. Nomi delle Macro: anakAE, AutoOpen,anakAO, anakSA, anakSMU, 
  17242. (AutoExec, File/Salva).
  17243. Lunghezza della Macro: 5.578 Byte nei documenti, 4.737 Byte 
  17244. nel modello di documento principale.
  17245. Paese di origine: Indonesia.
  17246. Data di origine: Marzo 1997.
  17247. Payload: Si.
  17248. Rilevato In The Wild: No.
  17249. Descrizione:
  17250.  
  17251. Anak infetta il modello di documento principale (normal.dot) 
  17252. quando viene aperto un documento infetto. Altri documenti 
  17253. divengono infetti quando vengono salvati (FileSalva).
  17254.  
  17255. Anak rimuove Strumenti/Macro, FileTemplates, e 
  17256. ToolsCustomize
  17257. per rendere pi∙ difficile l'identificazione di un file infetto 
  17258. (chiamata tecnica macro stealth).
  17259.  
  17260. Alla fine di ogni mese (partendo dal giorno 26), Anak crea un nuovo 
  17261. file e vi inserisce il seguente testo:
  17262.  
  17263. "   ...i n t r o d u c i n g...anakSMU Semarang, March 1997   "
  17264.  
  17265. Anak modifica inoltre il file C:\AUTOEXEC.BAT per aggiungersi 
  17266. al registro di sistema:
  17267.  
  17268. "   @ECHO OFF                                                      "
  17269. "   REM ---------------------------------------------------------  "
  17270. "   REM anakSMU wont destroy your REGEDIT, Just wanna be there :)  "
  17271. "   REM          email: anakSMU@TheOffice.net"                     "
  17272. "   REM ---------------------------------------------------------  "
  17273.  
  17274. Anak mostra il seguente messaggio:
  17275.  
  17276. "   Yeah!, I wish I were anakSMU.   "
  17277.  
  17278.  
  17279.  
  17280. [Word_Andry.A]
  17281. Nome del virus: Word.Andry.A.
  17282. Tipo di Virus: Virus da macro di Word.
  17283. Numero di Macro: 1.
  17284. Criptato: Si.
  17285. Nomi delle Macro: AutoOpen.
  17286. Lunghezza della Macro: 6.896 Byte.
  17287. Paese di origine: Indonesia.
  17288. Data di origine: Primavera 1997.
  17289. Distruttivo: Si.
  17290. Rilevato In The Wild: No.
  17291. Descrizione:
  17292.  
  17293. Andry.A infetta il modello di documento principale (normal.dot) ) 
  17294. quando viene aperto un documento infetto. Altri documenti divengono 
  17295. infetti quando vengono aperti (AutoOpen).
  17296.  
  17297. Andry nasconde FileTemplate, Formato/Stile, Strumenti/Customize,
  17298. Strumenti/Macro, e Visualizza/Barra degli strumenti per rendere 
  17299. pi∙ difficile l'identificazione di un file infetto 
  17300. (chiamata tecnica macro stealth).
  17301. Si avvisa di non usare tali comandi dopo che Andry ha attaccato 
  17302. la sua macro virale a questi comandi.
  17303.  
  17304. Il giorno 1 marzo, Andry cripta i suoi documenti infetti con la 
  17305. seguente password:
  17306.  
  17307. "   Andry Christian   "
  17308.  
  17309. Se si trova un documento con una password sconosciuta, scaricare 
  17310. una copia di WinWord Password Recovery Tool
  17311. (wwprt). E' disponibile al sito: www.vdsarg.com.
  17312.  
  17313. Quando viene aperto un documento ed il  campo dei secondi mostra 1 o 3,
  17314. Andry sostituisce tutto il testo con:
  17315.  
  17316. "   Hello...Andry Christian WordMacro Virus is Here...."
  17317.  
  17318. Sempre il giorno 1 marzo, Andry mostra il seguente messaggio e 
  17319. chiede all'operatore un input:
  17320.  
  17321. "   HACKERS Labs '96 - Hackware Technology Research   "
  17322. "   ANDRY [CHRISTIAN] VIRUS DA MACRO DI WORD IS HERE !!!   "
  17323. "   DO YOU SUPPORT MY VIRUS ?   "
  17324.  
  17325. Se "Si", non succede nulla.
  17326. Se "No", Andry sovrascrive il file AUTOEXEC.BAT e cerca di 
  17327. formattare l'hard disk.
  17328.  
  17329. "   @ECHO OFF   "
  17330. "   CLS   "
  17331. "   ECHO Please wait . . .   "
  17332. "   FORMAT C: /U /C /S /AUTOTEST > NUL   "
  17333.  
  17334. Si pu≥ ritrovare nel codice del virus il seguente commento: 
  17335. "====================================================================="
  17336. "  Source Code of Andry Christian WordMacro Virus 0.99 - _eta Release "
  17337. "====================================================================="
  17338. "   Virographer by Andry [Christian] in [Batavia] City, of INDONESIA  "
  17339. " Viroright (C) 1996-1999 Hackware Technology Research - HACKERS Labs."
  17340. "  Multi Platform, Multi Infector, Stealth, OneMacro, Encryption, etc "
  17341. "   Last Update by 01-Maret-1996 & 01:03 PM - Found Bugs...? Call Me  "
  17342. "====================================================================="
  17343. "   HACKERS Labs. -> WE ARE A BIG FAMILY OF THE VIRUS CREATOR's TEAM  "
  17344. "====================================================================="
  17345.  
  17346.  
  17347. [Word_Appder.A]
  17348. Nome del virus: Word.Appder.A (a.k.a.FunYour).
  17349. Tipo di Virus: Virus da macro di Word.
  17350. Numero di Macro: 2 o 3.
  17351. Criptato: No.
  17352. Nomi delle Macro: Appder, AutoOpen, AutoClose.
  17353. Lunghezza della Macro: 1.912 Byte nei file .doc, 1.126 Byte nel 
  17354. modello di documento principale.
  17355. Paese di origine: Sconosciuto.
  17356. Data di origine: Sconosciuta.
  17357. Distruttivo: Si.
  17358. Rilevato In The Wild: No.
  17359. Descrizione:
  17360.  
  17361. Appder infetta il modello di documento principale (normal.dot) 
  17362. quando viene aperto un documento infetto. Altri documenti 
  17363. divengono infetti quando vengono chiusi.
  17364.  
  17365. Appder aggiunge un valore "NTTHNTA=xx" alla sezione [Microsoft Word] 
  17366. di winword6.ini ed aumenta il valore di uno mentre infetta i documenti.
  17367. Al raggiungimento del valore di 20, Appder attiva la sua procedura 
  17368. distruttiva e cancella i seguenti file:
  17369.  
  17370. C:\DOC\*.exe
  17371. C:\DOC\*.com
  17372. C:\WINDOWS\*.exe
  17373. C:\WINDOWS\SYSTEM\*.TTF
  17374. C:\WINDOWS\SYSTEM\*.FOT
  17375.  
  17376. Come conseguenza, Windows 3.x non lavora correttamente.
  17377.  
  17378.  
  17379. [Word_Appder.B (a.k.a.FunYour)].
  17380. Nome del virus: Word.Appder.B (a.k.a.FunYour).
  17381. Tipo di Virus: Virus da macro di Word.
  17382. Numero di Macro: 2 o 3.
  17383. Criptato: No.
  17384. Nomi delle Macro: Appder, AutoOpen, AutoClose.
  17385. Lunghezza della Macro: 1.528 Byte nei documenti, 934 Byte nel 
  17386. modello di documento principale.
  17387. Paese di origine: Sconosciuto.
  17388. Data di origine: Sconosciuta.
  17389. Distruttivo: No.
  17390. Rilevato In The Wild: Si.
  17391. Descrizione:
  17392.  
  17393. La differenza tra questa nuova versione e l'originale virus Appder.A
  17394. Φ che la procedura Φ stata cancellata da un codice di macro, quindi 
  17395. Appder.B non cancella tutti i file.
  17396.  
  17397. Appder.B infetta il modello di documento principale (normal.dot) 
  17398. quando viene aperto un documento infetto. Altri documenti divengono 
  17399. infetti quando vengono chiusi. (AutoClose).
  17400.  
  17401.  
  17402. [WordAppder.C (a.k.a.FunYour)]
  17403.  
  17404. Nome del virus: Word.Appder.C (a.k.a.FunYour).
  17405. Tipo di Virus: Virus da macro di Word.
  17406. Numero di Macro: 2 o 3.
  17407. Criptato: No.
  17408. Nomi delle Macro: Appder, AutoOpen, AutoClose.
  17409. Lunghezza della Macro: 1.912 Byte nei file .doc, 1.126 Byte nel 
  17410. modello di documento principale.
  17411. Paese di origine: Sconosciuto.
  17412. Data di origine: Sconosciuta.
  17413. Distruttivo: Si.
  17414. Rilevato In The Wild: No.
  17415. Descrizione:
  17416.  
  17417. La differenza tra questa nuova versione e l'originale virus Appder.A 
  17418. Φ che Appder.C possiede un Byte modificato.
  17419.  
  17420. Appder.C infetta il modello di documento principale (normal.dot) 
  17421. quando viene aperto un documento infetto. Altri documenti divengono 
  17422. infetti quando vengono chiusi. (AutoClose).
  17423.  
  17424. Appder.C aggiunge un valore "NTTHNTA=xx" alla sezione [Microsoft Word] 
  17425. di winword6.ini ed aumenta il valore di uno mentre infetta i documenti.
  17426. Al raggiungimento del valore di 20, Appder.C attiva la sua procedura 
  17427. distruttiva e cancella i seguenti file:
  17428.  
  17429. C:\DOC\*.exe
  17430. C:\DOC\*.com
  17431. C:\WINDOWS\*.exe
  17432. C:\WINDOWS\SYSTEM\*.TTF
  17433. C:\WINDOWS\SYSTEM\*.FOT
  17434.  
  17435. Come conseguenza, Windows 3.x non lavora correttamente.
  17436.  
  17437.  
  17438. [Word_Atom.A (a.k.a Atomic)]
  17439. Nome del virus: Word.Atom.A (a.k.a. Atomic).
  17440. Tipo di Virus: Virus da macro di Word.
  17441. Numero di Macro: 4.
  17442. Criptato: Si.
  17443. Nomi delle Macro: Atom, AutoOpen, File/Apri, File/Salva con nome.
  17444. Lunghezza della Macro: 1.029 Byte.
  17445. Paese di origine: Ucraina.
  17446. Data di origine: Febbraio 1996.
  17447. Distruttivo: Si.
  17448. Rilevato In The Wild: S.i
  17449. Descrizione:
  17450.  
  17451. Atom infetta il modello di documento principale (Normal.dot) quando viene 
  17452. aperto un documento infetto. Altri documenti divengono infetti quando un 
  17453. documento viene aperto (File/Apri) o salvato (File/Salva con nome).
  17454.  
  17455. Quando viene chiamata la macro "File/Salva con nome", Atom controlla che 
  17456. l'ora di sistema abbia 13 nel campo dei secondi. 
  17457. In questo caso, Atom aggiunge la password "ATOM#1" per salvare il documento.
  17458.  
  17459. La procedura distruttiva in "Atom" viene attivata il giorno 13 di 
  17460. ogni mese. In questa data, Atom cancella tutti i file nella directory corrente.
  17461.  
  17462.  
  17463. [Word_Atom.B]
  17464. Nome del virus: Word.Atom.B.
  17465. Tipo di Virus: Virus da macro di Word.
  17466. Numero di Macro: 4.
  17467. Criptato: Si.
  17468. Nomi delle Macro: Atom, AutoOpen, File/Apri, File/Salva con nome.
  17469. Lunghezza della Macro: 1.053 Byte.
  17470. Paese di origine: Sconosciuto.
  17471. Data di origine: Dicembre 1996.
  17472. Distruttivo: Si.
  17473. Rilevato In The Wild: No.
  17474. Descrizione:
  17475.  
  17476. La differenza tra questa nuova versione ed il virus Atom.A originale 
  17477. Φ di secondaria importanza. Essa non altera la funzionalitα 
  17478. di questa nuova versione. 
  17479.  
  17480. Per ulteriori informazioni si rimanda alla descrizione del virus Atom.A.
  17481.  
  17482.  
  17483. [Word_Atom.C]
  17484. Nome del virus: Word.Atom.C.
  17485. Tipo di Virus: Virus da macro di Word.
  17486. Numero di Macro: 4.
  17487. Criptato: Si.
  17488. Nomi delle Macro: Atom, AutoOpen, File/Apri, File/Salva con nome.
  17489. Lunghezza della Macro: 1.026 Byte.
  17490. Paese di origine: Sconosciuto.
  17491. Data di origine: Dicembre 1996.
  17492. Distruttivo: Si.
  17493. Rilevato In The Wild: No.
  17494. Descrizione:
  17495.  
  17496. La differenza tra questa nuova versione ed il virus Atom.A originale 
  17497. Φ di secondaria importanza. Essa non altera la funzionalitα 
  17498. di questa nuova versione. 
  17499.  
  17500. Per ulteriori informazioni si rimanda alla descrizione 
  17501. del virus Atom.A.
  17502.  
  17503.  
  17504. [Word_Atom.D]
  17505. Nome del virus: Word.Atom.D.
  17506. Tipo di Virus: Virus da macro di Word.
  17507. Numero di Macro: 4.
  17508. Criptato: Si.
  17509. Nomi delle Macro: Atom, AutoOpen, File/Apri, File/Salva con nome.
  17510. Lunghezza della Macro: 1.024 Byte.
  17511. Paese di origine: Sconosciuto.
  17512. Data di origine: Dicembre 1996.
  17513. Distruttivo: Si.
  17514. Rilevato In The Wild: No.
  17515. Descrizione:
  17516.  
  17517. La differenza tra questa nuova versione ed il virus Atom.A originale 
  17518. Φ di secondaria importanza. Essa non altera la funzionalitα 
  17519. di questa nuova versione. 
  17520.  
  17521. Per ulteriori informazioni si rimanda alla descrizione del virus Atom.A.
  17522.  
  17523. [Word_Atom.E]
  17524. Nome del virus: Word.Atom.E.
  17525. Tipo di Virus: Virus da macro di Word.
  17526. Numero di Macro: 4.
  17527. Criptato: Si.
  17528. Nomi delle Macro: Atom, AutoOpen, File/Apri, File/Salva con nome.
  17529. Lunghezza della Macro: 1.017 Byte.
  17530. Paese di origine: Sconosciuto.
  17531. Data di origine: Dicembre 1996.
  17532. Distruttivo: Si.
  17533. Rilevato In The Wild: No.
  17534. Descrizione:
  17535.  
  17536. La differenza tra questa nuova versione ed il virus Atom.A 
  17537. originale Φ di secondaria importanza. Essa non altera 
  17538. la funzionalitα di questa nuova versione. 
  17539.  
  17540. L'errore di programmazione di Atom.A, che attiva la procedura 
  17541. il giorno 13 di ogni mese, in questa nuova versione Φ stato 
  17542. fissato. Atom.E si attiva solo il giorno 13 dicembre.
  17543.  
  17544. Per ulteriori informazioni si rimanda alla descrizione del virus Atom.A.
  17545.  
  17546.  
  17547. [Word_Atom.F]
  17548. Nome del virus: Word.Atom.F.
  17549. Tipo di Virus: Virus da macro di Word.
  17550. Numero di Macro: 4.
  17551. Criptato: Si.
  17552. Nomi delle Macro: Atom, AutoOpen, File/Apri, File/Salva con nome.
  17553. Lunghezza della Macro: 1022 Byte.
  17554. Paese di origine: Sconosciuto.
  17555. Data di origine: Dicembre 1996.
  17556. Distruttivo: Si.
  17557. Rilevato In The Wild: No.
  17558. Descrizione:
  17559.  
  17560. La differenza tra questa nuova versione ed il virus Atom.A 
  17561. originale Φ di secondaria importanza. Essa non altera la 
  17562. funzionalitα di questa nuova versione. 
  17563.  
  17564. Per ulteriori informazioni vedere la descrizione del virus Atom.A.
  17565.  
  17566.  
  17567. [Word_Atom.G:De (a.k.a Atomic)]
  17568. Nome del virus: Word.Atom.G:De (a.k.a. Atomic).
  17569. Tipo di Virus: Virus da macro di Word.
  17570. Numero di Macro: 4.
  17571. Criptato: Si.
  17572. Nomi delle Macro: Atom, AutoOpen, DateiOeffnen, DateiSpeichernUnter.
  17573. Lunghezza della Macro: 1120 Byte.
  17574. Paese di origine: Germania.
  17575. Data di origine: Febbraio 1996.
  17576. Distruttivo: Si.
  17577. Rilevato In The Wild: No.
  17578. Descrizione:.
  17579.  
  17580. Atom.G infetta il modello di documento principale (Normal.dot) 
  17581. quando viene aperto un documento infetto. Altri documenti si 
  17582. infettano quando vengono aperti (DateiOeffnen) o quando 
  17583. vengono salvati (DateiSpeichernUnter).
  17584.  
  17585. Quando viene chiamata la macro "DateiSpeichernUnter", Atom.G
  17586. controlla che l'ora di sistema abbia 13 nel secondo campo. 
  17587. In questo caso, Atom aggiunge la password "ATOM#1" per salvare il documento.
  17588.  
  17589. La procedura distruttiva in "Atom" viene attivata il giorno 13 dicembre.
  17590. In questa data, Atom cancella tutti i file nella directory in uso.
  17591.  
  17592.  
  17593. Atom.G lavora solo con la versione tedesca di Microsoft
  17594. Word, in quanto utilizza una un linguaggio specifico delle macro.
  17595.  
  17596.  
  17597. [Word_Atom.H (a.k.a Adultsex)]
  17598. Nome del virus: Word.Atom.H (a.k.a. Adultsex).
  17599. Tipo di Virus: Virus da macro di Word.
  17600. Numero di Macro: 4.
  17601. Criptato: Si.
  17602. Nomi delle Macro: Atom, AutoOpen, File/Apri, File/Salva con nome.
  17603. Lunghezza della Macro: 1302 Byte.
  17604. Paese di origine: Sconosciuto.
  17605. Data di origine: Febbraio 1996.
  17606. Distruttivo: Si.
  17607. Rilevato In The Wild: No.
  17608. Descrizione:
  17609. La differenza tra questa nuova versione ed il virus Atom.A originale 
  17610. Φ che in questa la procedura Φ stata modificata.
  17611.  
  17612. AnzichΘ cancellare file, Atom.H, all'apertura di un documento,
  17613. mostra il seguente messaggio:
  17614.  
  17615.         "KISS ME FUCK ME LOVE ME BITCH SUCK MY DICK ADULT SEX  !!
  17616.         I LOVE SEX DRUGS CLASS A DRUGS YEAH MAN !
  17617.         I ASK YOU MY DARLING FOR ANAL SEX GIVE IT TO ME !
  17618.         EVER DANCED WITH THE DEVIL ON THE MOONLIGHT ?
  17619.         PREY FOR YOUR CUNT YOU SEXY HORNEY BITCH"
  17620.  
  17621. La password aggiunta ad un documento salvato cambia da "ATOM#1" 
  17622. a "ADULTSEX#1."
  17623.  
  17624. Per ulteriori informazioni vedere la descrizione del virus Atom.A.
  17625.  
  17626.  
  17627. [Word_Attack.A]
  17628. Nome del virus: Word.Attack.A.
  17629. Tipo di Virus: Virus da macro di Word.
  17630. Numero di Macro: 8.
  17631. Criptato: Si.
  17632. Nomi delle Macro: AutoOpen, Active, Attack, File/Apri, File/Salva con nome, 
  17633. InActive, Organizer, Strumenti/Macro.
  17634. Lunghezza della Macro: 8201 Byte.
  17635. Paese di origine: Regno Unito.
  17636. Data di origine: Primavera 1997.
  17637. Payload: Si.
  17638. Rilevato In The Wild: No.
  17639. Descrizione:
  17640.  
  17641. Attack.A infetta il modello di documento principale (normal.dot) 
  17642. quando viene aperto un documento infetto. Altri documenti divengono 
  17643. infetti quando vengono aperti (File/Apri) o quando vengono salvati (File/Salva con nome).
  17644.  
  17645. Attack utilizza Strumenti/Macro per rendere pi∙ difficile 
  17646. l'identificazione di un file infetto (chiamata tecnica macro stealth).
  17647.  
  17648. Attack possiede diverse procedure:
  17649.  
  17650. 1. Cancella i file.
  17651. 2. Cambia gli attributi del file da nascondere.
  17652. 3. Sostituisce il testo con:
  17653.  
  17654. "   This is Microsoft Bang!**Virus**---   "
  17655.  
  17656. 4. Mette la seguente password ai documenti salvati:
  17657.  
  17658. "   Virii   "
  17659.  
  17660. Se si trova un documento con una password sconosciuta, 
  17661. scaricare una copia di WinWord Password Recovery Tool (wwprt).
  17662. E' disponibile al sito: www.vdsarg.com.
  17663.  
  17664.  
  17665. [Word_Badboy.A]
  17666. Nome del virus: Word.Badboy.A.
  17667. Tipo di Virus: Virus da macro di Word.
  17668. Numero di Macro: 5.
  17669. Criptato: Si.
  17670. Nomi delle Macro: BadBoy, File/Nuovo, AutoExec, AutoOpen, 
  17671. File/Salva con nome.
  17672. Lunghezza della Macro: 1873 Byte.
  17673. Paese di origine: Sconosciuto.
  17674. Data di origine: Sconosciuta.
  17675. Payload: Si.
  17676. Rilevato In The Wild: No.
  17677. Descrizione:
  17678.  
  17679. Badboy infetta il modello di documento principale (normal.dot) 
  17680. quando viene aperto un documento infetto. Altri documenti 
  17681. divengono infetti quando sono salvati con il comando "File/Salva con nome".
  17682.  
  17683. Quando viene aperto un file infetto il giorno 1 o 13 del mese 
  17684. (normal.dot Φ giα infetto), Badboy mostra il seguente messaggio
  17685. e aggiunge la password "gangsta" al documento attivo:
  17686.  
  17687. "   Bad Boy BadBoy, What u gonna do "
  17688. "   What u gonna do when they come for you   "
  17689. "   The Gangsta owns you !   "
  17690. "   Have a happy new year !   "
  17691.  
  17692. Badboy modifica inoltre il File Summary info in:
  17693.  
  17694. "   Author = Kenny-G sux   "
  17695. "   Keywords = Gangsta Rappa   "
  17696. "   Comments = The Mutha mix   "
  17697.  
  17698. Per rendere pi∙ difficile l'identificazione di un file infetto Badboy
  17699. Rimuove i men∙ Strumenti/Macro, Tools/Customize e File/Templates
  17700.  (chiamata tecnica macro stealth).
  17701.  
  17702.  
  17703. [Word_Bandung.A (a.k.a. Jakarta)]
  17704. Nome del virus: Word.Bandung.A (a.k.a. Jakarta).
  17705. Tipo di Virus: Virus da macro di Word.
  17706. Numero di Macro: 6.
  17707. Criptato: No.
  17708. Nomi delle Macro: AutoExec, AutoOpen, File/Salva, File/Salva con nome 
  17709. Strumenti/Macro, Toolscustomize.
  17710. Lunghezza della Macro: 4262 Byte.
  17711. Paese di origine: Bandung, Indonesia.
  17712. Data di origine: Agosto/Settembre 1996.
  17713. Distruttivo: Si.
  17714. Rilevato In The Wild: Si.
  17715. Descrizione:
  17716.  
  17717. Bandung infetta il modello di documento principale (Normal.dot) 
  17718. quando viene aperto un documento infetto. Altri documenti vengono 
  17719. infettati con i comandi "File/Salva" e "File/Salva con nome".
  17720.  
  17721. Bandung utilizza la tecnica macro stealth per nascondersi. Usa
  17722. "Strumenti/Macro" per rendere pi∙ difficile l'identificazione 
  17723. di un file infetto (chiamata tecnica macro stealth).
  17724.  
  17725. La procedura distruttiva si attiva quando parte Microsoft Word. 
  17726. Controlla che la data sia successiva al giorno 19 del mese e 
  17727. l'ora successiva alle 11:00. Se "SI" Bandung
  17728. cancella tutti i file in tutte le directory.
  17729. Fanno eccezione i file situati nelle seguenti directory:
  17730.  
  17731. C:\WINDOWS
  17732. C:\WINWORD
  17733. C:\WINWORD6
  17734.  
  17735. Dopo la cancellazione dei file, Bandung crea il file
  17736. C:\PESAN.TXT.
  17737.  
  17738. Il file contiene il seguente testo in indonesiano (tradotto in inglese):
  17739.  
  17740. "   You are unlucky, all files on this machine have been deleted,   "
  17741. "   except for WINDOWS and WINWORD, don't panic, this is  "
  17742. "   not your fault, but this the result of my work......Whoever  "
  17743. "   is able to find a way to combat this virus, I will give the   "
  17744. "   virus listing to you!!!! And of course I will constantly  "
  17745. "   return to greet you with my new viruses .....good luck !  "
  17746. "   Bandung Monday, June 28 1996, 13:00 pm   "
  17747.  
  17748. Un'altra procedura sostituisce la lettera "a" con "#@." 
  17749. Questo si verifica quando viene chiamata la macro "ToolsCustomize".
  17750.  
  17751. Bandung mostra anche dei messaggi d'errore di WordBasic.
  17752.  
  17753.  
  17754. [Word_Bandung.B]
  17755. Nome del virus: Word.Bandung.B.
  17756. Tipo di Virus: Virus da macro di Word.
  17757. Numero di Macro: 6.
  17758. Criptato: No.
  17759. Nomi delle Macro: AutoExec, AutoOpen, FileSalva, File/Salva con nome, 
  17760. Strumenti/macro, Toolscustomize.
  17761. Lunghezza della Macro: 4262 Byte.
  17762. Paese di origine: Bandung, Indonesia.
  17763. Data di origine: Agosto/Settembre 1996.
  17764. Distruttivo: No.
  17765. Rilevato In The Wild: No.
  17766. Descrizione:
  17767.  
  17768. La differenza tra questa nuova versione e il virus Bandung.A originale Φ 
  17769. che AutoExec, Strumenti/Macro e ToolsCustomize Macro sono alterati.
  17770.  
  17771. A causa della variazione, Bandung.B non attiva la sua
  17772. procedura distruttiva. Al posto della attivazione della procedura, 
  17773. compaiono vari messaggi d'errore.  Bandung.B Φ ancora in grado 
  17774. di infettare il modello di documento principale ed altri documenti.
  17775.  
  17776. Bandung utilizza "Strumenti/macro" per rendere pi∙ difficile 
  17777. l'identificazione di un file infetto (chiamata tecnica macro stealth).
  17778.  
  17779. [Word_Bandung.C]
  17780. Nome del virus: Word.Bandung.C.
  17781. Tipo di Virus: Virus da macro di Word.
  17782. Numero di Macro: 6.
  17783. Criptato: No.
  17784. Nomi delle Macro: AutoExec, AutoOpen, File/Salva, File/Salva con nome,
  17785. Strumenti/macro, Toolscustomize.
  17786. Lunghezza della Macro: 5428 Byte.
  17787. Paese di origine: Bandung, Indonesia.
  17788. Data di origine: Dicembre 1996.
  17789. Payload: Si.
  17790. Rilevato In The Wild: No.
  17791. Descrizione:
  17792.  
  17793. La differenza tra questa nuova versione e il virus Bandung.A 
  17794. originale Φ che la macro "AutoExec" Φ sostituita con la macro "AutoOpen" 
  17795. alterata dal virus Rapi.
  17796.  
  17797. La procedura sostituisce la lettera "a" con "#@." 
  17798. Questo si verifica quando viene chiamata la macro "ToolsCustomize".
  17799.  
  17800. Bandung.C utilizza "Strumenti/Macro" per rendere pi∙ difficile 
  17801. l'identificazione di un file infetto (chiamata tecnica macro stealth).
  17802.  
  17803. A causa del nuovo codice macro, Bandung.C mostra un messaggio di 
  17804. errore di sintassi ogni volta che viene avviato Microsoft Word.
  17805.  
  17806. [Word_Bandung.D]
  17807. Nome del virus: Word.Bandung.D.
  17808. Tipo di Virus: Virus da macro di Word.
  17809. Numero di Macro: 6.
  17810. Criptato: No.
  17811. Nomi delle Macro: AutoExec, AutoOpen, File/Salva, File/Salva con nome, 
  17812. Strumenti/macro, Toolscustomize.
  17813. Lunghezza della Macro: 4262 Byte.
  17814. Paese di origine: Bandung, Indonesia.
  17815. Data di origine: Dicembre 1996.
  17816. Distruttivo: Si.
  17817. Rilevato In The Wild: No.
  17818. Descrizione:
  17819.  
  17820. La differenza tra questa nuova versione e il virus Bandung.A 
  17821. originale Φ che la macro "AutoExec" Φ alterata.
  17822. Anche se la variazione Φ nella macro "AutoExec", Bandung.D 
  17823. attiva la sua procedura distruttiva quando si avvia Microsoft Word.
  17824.  
  17825. Un'altra procedura sostituisce la lettera "a" con "#@." 
  17826. Questo si verifica quando viene chiamata la macro "ToolsCustomize.
  17827.  
  17828. Bandung.D usa la tecnica macro stealth per nascondersi. 
  17829. Bandung.D utilizza "Strumenti/Macro" per rendere pi∙ difficile 
  17830. l'identificazione di un file infetto (chiamata tecnica macro stealth).
  17831.  
  17832.  
  17833. A causa della sua alterazione, Bandung.D mostra dei messaggi d'errore.
  17834.  
  17835. Per ulteriori informazioni vedere la descrizione del virus Bandung.A.
  17836.  
  17837.  
  17838. [Word_Bandung.E]
  17839. Nome del virus: Word.Bandung.E
  17840. Tipo di Virus: Virus da macro di Word
  17841. Numero di Macro: 6
  17842. Criptato: No
  17843. Nomi delle Macro: AutoExec, AutoOpen, File/Salva, File/Salva con nome, 
  17844. Strumenti/macro, Toolscustomize
  17845. Lunghezza della Macro: 4262 Byte
  17846. Paese di origine: Bandung, Indonesia
  17847. Data di origine: Gennaio 1997
  17848. Payload: Si
  17849. Rilevato In The Wild: No
  17850. Descrizione:
  17851.  
  17852. La differenza tra questa nuova versione e il virus Bandung.A 
  17853. originale Φ l'alterazione della macro "AutoExec".
  17854.  
  17855. La procedura sostituisce la lettera "a" con "#@." Questo si 
  17856. verifica quando viene chiamata la macro "ToolsCustomize".
  17857.  
  17858. Bandung.E usa "Strumenti/Macro" per rendere pi∙ difficile 
  17859. l'identificazione di un file infetto (chiamata tecnica macro stealth).
  17860.  
  17861. A causa della sua alterazione, Bandung.E non esegue mai la sua
  17862. procedura distruttiva. Al suo posto compare il seguente messaggio 
  17863. di errore di Wordbasic:
  17864.  
  17865. "   Out of Memory   "
  17866.  
  17867.  
  17868. [Word_Bandung.G]
  17869. Nome del virus: Word.Bandung.G
  17870. Tipo di Virus: Virus da macro di Word
  17871. Numero di Macro: 6
  17872. Criptato: No
  17873. Nomi delle Macro: AutoExec, AutoOpen, File/Salva, File/Salva con nome, 
  17874. Strumenti/Macro, ToolsCustomize
  17875. Lunghezza della Macro: 1990 Byte
  17876. Paese di origine: Bandung, Indonesia
  17877. Data di origine: Gennaio 1997
  17878. Payload: Si
  17879. Rilevato In The Wild: No
  17880. Descrizione:
  17881.  
  17882. L'unica differenza tra questa nuova versione e il virus Bandung.A 
  17883. originale Φ la macro "AutoExec".
  17884. Bandung.G contiene solo due linee. Una linea Φ vuota mentre l'altra 
  17885. contiene il comando "DisableAutoMacro".
  17886.  
  17887. La procedura sostituisce la lettera "a" con "#@." Questo si verifica 
  17888. quando viene chiamata la macro "ToolsCustomize".
  17889.  
  17890. Bandung.G non ha la procedura distruttiva dal virus
  17891. Bandung.A originale.
  17892.  
  17893.  
  17894.  
  17895. [Word_Bandung.I]
  17896. Nome del virus: Word.Bandung.I
  17897. Tipo di Virus: Virus da macro di Word
  17898. Numero di Macro: 6
  17899. Criptato: No
  17900. Nomi delle Macro: AutoExec, AutoOpen, File/Salva, File/Salva con nome, 
  17901. Strumenti/Macro, ToolsCustomize
  17902. Lunghezza della Macro: 1988 Byte
  17903. Paese di origine: Bandung, Indonesia
  17904. Data di origine: Febbraio 1997
  17905. Distruttivo: No
  17906. Rilevato In The Wild: No
  17907. Descrizione:
  17908.  
  17909. L'unica differenza tra questa nuova versione e il virus Bandung.A 
  17910. originale Φ la macro "AutoExec".
  17911. Bandung.I contiene solo tre linee tratte da una soluzione anti-virus, 
  17912. che disabilita tutte le autoMacro.
  17913.  
  17914. Bandung.G non ha la procedura distruttiva dal virus
  17915. Bandung.A originale.
  17916.  
  17917. Per ulteriori informazioni vedere la descrizione del virus Bandung.A.
  17918.  
  17919.  
  17920. [Word_Bertik.A]
  17921. Nome del virus: Word.Bertik.A
  17922. Tipo di Virus: Virus da macro di Word
  17923. Numero di Macro: 5
  17924. Criptato: Si
  17925. Nomi delle Macro: XXXAO, XXXFS, XXXFSA, Payload, AutoOpen  
  17926. (YYYAO, File/Salva, File/Salva con nome)
  17927. Lunghezza della Macro: 2988 Byte
  17928. Paese di origine: Sconosciuto
  17929. Data di origine: Primavera 1997
  17930. Payload: Si
  17931. Rilevato In The Wild: Si
  17932. Descrizione:
  17933.  
  17934. Bertik.A infetta il modello di documento principale (normal.dot) 
  17935. quando viene aperto un documento infetto. Altri documenti divengono 
  17936. infetti quando sono aperti (AutoOpen) o salvati
  17937. (File/Salva e File/Salva con nome).
  17938.  
  17939. Bertik non Φ distruttivo, copia solo il file WINWORD.HLP nella directory 
  17940. del modello principale. Questo si verifica ogni volta che Bertik infetta 
  17941. un nuovo documento. Durante il processo di copiatura,
  17942. WINWORD.HLP Φ rinominato al numero.WRD, dove "number" 
  17943. incrementa ad ogni infezione.
  17944.  
  17945. A causa della misura di WINWORD.HLP, Bertik pu≥ riempire lo spazio dell'hard drive. Dopo un'infezione di Bertik, la directory del modello principale dovrebbe essere controllata ai file "*.WRD".
  17946.  
  17947. Bertik fa comparire il seguente messaggio quando trova un hard drive pieno:
  17948.  
  17949. "   !!!Made by virus Bertik 1 !!!   "
  17950.  
  17951.  
  17952. [Word_Birthday.A:De (a.k.a. PCW)]
  17953. Nome del virus: Word.Birthday.A:De (a.k.a. PCW).
  17954. Tipo di Virus: Virus da macro di Word.
  17955. Numero di Macro: 2.
  17956. Criptato: Si.
  17957. Nomi delle Macro: AutoOpen, DateiSpeichernUnter.
  17958. Lunghezza della Macro: 1039 Byte.
  17959. Paese di origine: Germania: rivista di computer tedesca.
  17960. Data di origine: Luglio 1996.
  17961. Distruttivo: No.
  17962. Rilevato In The Wild: No.
  17963. Descrizione:
  17964.  
  17965. Birthday infetta il modello di documento principale (normal.dot) 
  17966. quando viene aperto un file infetto. Altri documenti divengono 
  17967. infetti quando viene usato il comando "DateiSpeichernUnter".
  17968.  
  17969. Compare il seguente messaggio:
  17970.  
  17971. "   Happy Birthday! Herzlichen Glⁿckwunsch...  "
  17972.  
  17973.  
  17974. [Word_Boom.A:De (a.k.a. Boombastic)]
  17975. Nome del virus: Word.Boom.A:De (a.k.a. Boombastic)
  17976. Tipo di Virus: Virus da macro di Word
  17977. Numero di Macro: 4
  17978. Criptato: Si
  17979. Nomi delle Macro: AutoExec, AutoOpen, DateiSpeichernUnter,
  17980. System
  17981. Lunghezza della Macro: 2863 Byte
  17982. Paese di origine: Germania
  17983. Data di origine: Luglio 1996
  17984. Payload: Si
  17985. Rilevato In The Wild: Si
  17986. Descrizione:
  17987.  
  17988. Boom Φ il secondo virus da macro scritto per la versione 
  17989. tedesca di Microsoft Word.
  17990.  
  17991. La procedura distruttiva di Boom rinomina la struttura 
  17992. del menu di Word  con:
  17993.  
  17994. Datei       ->    Mr.Boombastic
  17995. Bearbeiten  ->    and
  17996. Ansicht     ->    Sir WIXALOT
  17997. Einfuegen   ->    are
  17998. Format      ->    watching
  17999. Extras      ->    you
  18000. Tabelle     ->    !
  18001. Fenster     ->    !
  18002. Hilfe       ->    !
  18003.  
  18004. Viene inviata una musica allo speaker del PC durante il processo 
  18005. di rinomina. Dopo la modifica, Boom crea un nuovo
  18006. modello di documento principale ed inserisce il seguente testo:
  18007.  
  18008. "   Greetings from Mr. Boombastic and Sir WIXALOT !!!   "
  18009.  
  18010. "   Oskar L., wir kriegen dich!!!   "
  18011.  
  18012. "Dies ist eine Initiative des Institutes zur Vermeidung und
  18013. Verbreitung von "
  18014.  
  18015. "  Peinlichkeiten, durch in der Oeffentlichkeit stehende Personen,
  18016. unter der   "
  18017.  
  18018. "               Schirmherrschaft von Rudi S. !                  "
  18019.  
  18020. Boom stampa questo testo.
  18021.  
  18022. [Word_Box.B]
  18023. Nome del virus: Word.Box.B
  18024. Tipo di Virus: Virus da macro di Word
  18025. Numero di Macro: 7
  18026. Criptato: Si
  18027. Nomi delle Macro: Box, Dead, AutoOpen, AutoClose, File/Stampa, 
  18028. FilePrint default, Strumenti/Macro
  18029. Lunghezza della Macro: 1988 Byte
  18030. Paese di origine: Taiwan
  18031. Data di origine: Febbraio 1997
  18032. Distruttivo: Si
  18033. Rilevato In The Wild: No
  18034. Descrizione:
  18035.  
  18036. Box.B infetta il modello di documento principale ed altri documenti 
  18037. quando un documento infetto viene aperto (AutoOpen) o chiuso (AutoClose).
  18038.  
  18039. Box.B utilizza "Strumenti/Macro" per rendere pi∙ difficile 
  18040. l'identificazione di un file infetto (chiamata tecnica macro stealth).
  18041.  
  18042. Box.B Φ formato da diverse procedure distruttive. Una procedura
  18043. formatta il drive C:\ , un'altra blocca il virus basato sul DOS 
  18044. "One Half.3544".
  18045.  
  18046. Una terza procedura mostra il seguente messaggio e lo aggiunge ai documenti stampati:
  18047.  
  18048. "   Taiwan Super No. 1 Macro Virus   "
  18049. "   Twno1-S   "
  18050. "   Today is my Birthday   "
  18051.  
  18052. Box.B lavora solo con la versione cinese di Microsoft Word.
  18053.  
  18054.  
  18055. [Word_Buero.A (a.k.a Bureau, BuroNeu)]
  18056. Nome del virus: Word.Buero.A (a.k.a Bureau, BuroNeu)
  18057. Tipo di Virus: Virus da macro di Word
  18058. Numero di Macro: 2
  18059. Criptato: Si
  18060. Nomi delle Macro: AutoOpen (DateiSpeichern), BueroNeu
  18061. Lunghezza della Macro: 697 Byte
  18062. Paese di origine: Germania
  18063. Data di origine: Agosto 1996
  18064. Distruttivo: Si
  18065. Rilevato In The Wild: Si
  18066. Descrizione:
  18067.  
  18068. Buero Φ un altro virus da macro scritto per la versione 
  18069. tedesca di  Microsoft Word.
  18070.  
  18071. Buero infetta il modello di documento principale (Normal.dot) quando 
  18072. viene aperto un documento infetto. Altri documenti divengono infetti 
  18073. con il comando "DateiSpeichern" (solo nel modello di documento principale).
  18074.  
  18075. Dopo la data 15 agosto 1996, Buero rinomina il file di sistema
  18076. "IO.SYS" a "IIO.SYS." Questa operazione impedisce l'avvio del computer.  
  18077. La seconda procedura distruttiva cerca i file
  18078. C:\*.DOC e li cancella.
  18079.  
  18080. [Word_Cap.a]
  18081. Nome del virus: Word.Cap.a
  18082. Tipo di Virus: Virus da macro di Word
  18083. Numero di Macro: diverse
  18084. Criptato: Si
  18085. Nomi delle Macro: CAP
  18086. Lunghezza della Macro: diverse
  18087. Paese di origine: Sconosciuto
  18088. Data di origine: Dicembre 1996
  18089. Distruttivo: No
  18090. Rilevato In The Wild: Si
  18091. Descrizione:
  18092.  
  18093. Cap.A Φ un altro complesso virus da macro in grado di diffondere 
  18094. in varie versioni locali di Microsoft Word. Mentre alcune
  18095. macro mantengono lo stesso nome, ad altre vengono automaticamente 
  18096. assegnati nuovi nomi dalla versione locale di Word.
  18097.  
  18098. Quando Cap.A infetta il modello di documento principale, cancella 
  18099. tutte le macro esistenti. Infetta il modello di documento principale 
  18100. quando viene aperto un documento infetto.
  18101.  
  18102. Cap.A utilizza "Strumenti/Macro" e "FileTemplates" per rendere pi∙ 
  18103. difficile l'identificazione di un file infetto
  18104.  (chiamata tecnica macro stealth).
  18105.  
  18106.  
  18107. [Word_Cebu.A]
  18108. Nome del virus: Word.Cebu.A
  18109. Tipo di Virus: Virus da macro di Word
  18110. Numero di Macro: 4 o pi∙
  18111. Criptato: Si
  18112. Nomi delle Macro: AutoOpen, AutoClose, AutoExec, MSRun
  18113. Lunghezza della Macro: 1237 Byte
  18114. Paese di origine: Hong Kong
  18115. Data di origine: Primavera 1997
  18116. Distruttivo: Si
  18117. Rilevato In The Wild: No
  18118. Descrizione:
  18119.  
  18120. Cebu infetta il modello di documento principale quando viene aperto 
  18121. un documento infetto. Altri documenti divengono infetti quando sono 
  18122. aperti (AutoOpen) o chiusi (AutoClose).
  18123.  
  18124. Quando Cebu si attiva (probabilitα di 59/60), sostituisce la parola
  18125. " Asian " con " Cebu ". Ci≥ si verifica quando Φ avviato Microsoft
  18126. Word (AutoExec) e 5 minuti pi∙ tardi (probabilitα di 2/15).
  18127.  
  18128. Cebu Φ uno dei poche virus da macro che copia le macro dell'utente,
  18129. perci≥ pu≥ esistere con 4 o pi∙ macro.
  18130. Si raccomanda di disinstallare le soluzioni anti-virus 
  18131. (come Scanprot) in modo da prevenire l'intercettazione di macro 
  18132. da parte di Cebu.
  18133.  
  18134.  
  18135. [Word_Cebu.B]
  18136. Nome del virus: Word.Cebu.B
  18137. Tipo di Virus: Virus da macro di Word
  18138. Numero di Macro: 4 o pi∙
  18139. Criptato: Si
  18140. Nomi delle Macro: AutoOpen, AutoClose, AutoExec, MSRun
  18141. Lunghezza della Macro: 1976 Byte
  18142. Paese di origine: Sconosciuto
  18143. Data di origine: Maggio 1997
  18144. Distruttivo: Si
  18145. Rilevato In The Wild: No
  18146. Descrizione:
  18147.  
  18148. Cebu.B infetta il modello di documento principale quando viene 
  18149. aperto un documento infetto. Altri documenti divengono infetti 
  18150. quando vengono aperti (AutoOpen) o chiusi (AutoClose).
  18151.  
  18152. La differenza maggiore tra questa nuova versione ed il virus Cebu.A 
  18153. Φ che Cebu.B possiede dei codici modificati e contiene 
  18154. inoltre diversi bug.
  18155.  
  18156. Per ulteriori informazioni vedere la descrizione del virus Cebu.A.
  18157.  
  18158.  
  18159. [Word_Chaos.A]
  18160. Nome del virus: Word.Chaos.A
  18161. Tipo di Virus: Virus da macro di Word
  18162. Numero di Macro: 4
  18163. Criptato: Si
  18164. Nomi delle Macro: File/Apri (TempFile/Apri), File/Salva (TempFile/Salva), 
  18165. AutoExec (TempAutoExec), TempAutoOpen (AutoOpen)
  18166. Lunghezza della Macro: 2810 Byte
  18167. Paese di origine: Sconosciuto
  18168. Data di origine: Giugno 1996
  18169. Distruttivo: Si
  18170. Rilevato In The Wild: No
  18171. Descrizione:
  18172.  
  18173. Chaos infetta il modello di documento principale quando viene aperto
  18174.  un documento infetto.  Altri documenti divengono infetti quando sono
  18175. aperti (File/Apri) o chiusi (File/Salva).
  18176.  
  18177. Avviando Word (AutoExec), Chaos colloca il seguente testo
  18178. nella barra di stato: (l'operatore lo riconosce e lo cancella)
  18179.  
  18180. "   number/500   "
  18181.  
  18182. Quando un numero random del lato sinistro raggiunge 500, 
  18183. Chaos cerca di bloccare il computer.
  18184.  
  18185.  
  18186. [Word_Clock.A:De (a.k.a Extra)]
  18187. Nome del virus: Word.Clock.A:De (a.k.a Extra)
  18188. Tipo di Virus: Virus da macro di Word
  18189. Numero di Macro: 11
  18190. Criptato: Si
  18191. Nomi delle Macro: Action, AutoExec, AutoOpen, Extrasmakro, 
  18192. DateiSchliessen, Datumunduhrzeit, DateiDokVorlagen, Dateiallesspeichern, 
  18193. Oeffnen, Speichern
  18194. Lunghezza della Macro: 3795 Byte
  18195. Paese di origine: USA
  18196. Data di origine: Estate 1996
  18197. Payload: Si
  18198. Rilevato In The Wild: No
  18199. Descrizione:
  18200.  
  18201. Clock Φ un altro virus da macro scritto per la versione tedesca di
  18202. Microsoft Word.
  18203.  
  18204. Utilizza "ExtrasMakro" e "DateiDokVorlagen" per rendere pi∙ difficile 
  18205. l'identificazione di un documento infetto (chiamata tecnica macro stealth).
  18206.  
  18207. Quando viene aperto un documento infetto dopo il giorno 26 di ogni mese, 
  18208. l'orologio mostra una finestra contenente l'ora. Attiva inoltre una delle 
  18209. sue procedure, che imposta l'ora di sistema al valore di 33 nel campo 
  18210. dei secondi. L'orologio fa questo ogni 2 -3 minuti, con il risultato 
  18211. di una minore precisione dell'ora di sistema.
  18212.  
  18213. La seconda procedura parte nel 1997. L'orologio controlla l'ora di 
  18214. sistema, ed in caso di un valore dei minuti inferire a 5 , 
  18215. perde il controllo delle macro "File/Apri"e "File/Salva".
  18216.  
  18217. Questo succede solo:
  18218.  
  18219. Il giorno 1di ogni mese
  18220. Il giorno 2 di ogni mese
  18221. Il giorno 13 di ogni mese
  18222. Il giorno 21di ogni mese
  18223. Il giorno 27 di ogni mese
  18224.  
  18225. [Word_Colors.A (a.k.a Rainbow)]
  18226. Nome del virus: Word.Colors.A (a.k.a Rainbow)
  18227. Tipo di Virus: Virus da macro di Word
  18228. Numero di Macro: 9
  18229. Criptato: Si
  18230. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, 
  18231. File/Nuovo, File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18232. Lunghezza della Macro: 6470 Byte
  18233. Paese di origine: Portogallo
  18234. Data di origine: Inviato su Usenet ottobre 1995
  18235. Payload: Si
  18236. Rilevato In The Wild: Si
  18237. Descrizione:
  18238.  
  18239. Colors Φ il primo virus da macro che pu≥ giα infettare, anche quando
  18240. tutte le Auto-Macro sono disattivate. Utilizza "Srumenti/Macro" 
  18241. per rendere pi∙ difficile l'identificazione di un documento infetto 
  18242. (chiamata tecnica macro stealth).
  18243.  
  18244. Con l'attivazione da una delle sue macro (ad eccezione di AutoExec), 
  18245. Colors cerca di infettare il modello di documento principale (normal.dot).
  18246. Controlla che tutte le sue macro siano giα presenti nel modello di 
  18247. documento principale, se "NO"  trasferisce le macro del virus o 
  18248. sostituisce quelle giα esistenti.
  18249.  
  18250. Il modello di documento principale diviene infetto quando un 
  18251. documento infetto viene aperto, salvato, chiuso o si esce da 
  18252. Microsoft Word. Altri documenti divengono infetti quando 
  18253. un file viene creato 
  18254.  (File/Nuovo) o salvato (File/Salva, File/Salva con nome).
  18255.  
  18256. La procedura distruttiva Φ localizzata nella macro "Macro".
  18257. Una volta attivato, Colors crea una variabile nella sezione [Windows]
  18258. di Win.ini con il nome "countersu," che conteggia partendo da
  18259. zero. Dopo ogni 300 chiamate, Colors cambia il colore delle 
  18260. linguette di 21 elementi del desktop di Windows.
  18261. Lo sfondo, i tasti ed i bordi avranno dei nuovi colori selezionati 
  18262. a caso, conferendo al desktop un look originale.
  18263.  
  18264.  
  18265. [Word_Colors.B (a.k.a Colo-b)]
  18266. Nome del virus: Word.Colors.B (a.k.a Colo-b)
  18267. Tipo di Virus: Virus da macro di Word
  18268. Numero di Macro: 9
  18269. Criptato: Si
  18270. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, 
  18271. File/Nuovo, File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18272. Lunghezza della Macro: 7006 Byte
  18273. Paese di origine: Portogallo
  18274. Data di origine: Aprile 1996
  18275. Payload: Si
  18276. Rilevato In The Wild: No
  18277. Descrizione:
  18278.  
  18279. Colors.B sembra essere una nuova versione del precedente virus 
  18280. Colors.A. Tutte le macro sembrano identiche a Colors.A,
  18281. tranne la macro "AutoOpen", che sembra provenire dal virus
  18282. Concept. Sembra che un documento infetto di Colors sia stato 
  18283. reinfettato da Concept, che ha sostituito con una sua macro 
  18284. la macro  "AutoOpen".
  18285.  
  18286. Colors.B Φ giα in grado di replicarsi, anche se ha il nuovo 
  18287. codice del virus da un virus diverso. Colors.B Φ il primo virus 
  18288. il cui codice proviene dalla combinazione di due differenti 
  18289. virus (Colors.A e
  18290. Concept.A).
  18291.  
  18292. [Word_Colors.C (a.k.a Colo-c)]
  18293. Nome del virus: Word.Colors.C (a.k.a Colo-c)
  18294. Tipo di Virus: Virus da macro di Word
  18295. Numero di Macro: 9
  18296. Criptato: Si
  18297. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, File/Nuovo, 
  18298. File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18299. Lunghezza della Macro: 6493 Byte
  18300. Paese di origine: Sconosciuto
  18301. Data di origine: Luglio 1996
  18302. Payload: Si
  18303. Rilevato In The Wild: No
  18304. Descrizione:
  18305.  
  18306. Colors.C sembra essere una versione alterata del virus Colors.A. 
  18307. Questo successivo esempio di virus infettava il modello di 
  18308. documento principale (normal.dot) e nuovi documenti i quali 
  18309. erano per≥ incapaci di infettare altri documenti. 
  18310. Solo la prima generazione era in grado di infettare altri file.
  18311.  
  18312. Colors.C non Φ quindi in grado di sopravvivere a lungo.
  18313.  
  18314.  
  18315. [Word_Colors.D (a.k.a Colo-d)]
  18316. Nome del virus: Word.Colors.D (a.k.a Colo-d)
  18317. Tipo di Virus: Virus da macro di Word
  18318. Numero di Macro: 9
  18319. Criptato: Si
  18320. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, 
  18321. File/Nuovo, File/Salva, File/Salva con nome, Macro, 
  18322. Strumenti/Macro
  18323. Lunghezza della Macro: 19688 Byte
  18324. Paese di origine: Sconosciuto
  18325. Data di origine: Agosto 1996
  18326. Payload: Si
  18327. Rilevato In The Wild: No
  18328. Descrizione:
  18329.  
  18330. Colors.D sembra sia la combinazione del precedente virus Colors.A 
  18331. e la soluzione per virus da macro di Microsoft  "Scanprot".
  18332.  
  18333. Malgrado Colors.D possegga nel suo codice una soluzione anti-virus, 
  18334. Φ ancora in grado di diffondersi ed infettare modello 
  18335. di documento principale (normal.dot) ed altri documenti.
  18336.  
  18337.  
  18338. [Word_Colors.E]
  18339. Nome del virus: Word.Colors.E
  18340. Tipo di Virus: Virus da macro di Word
  18341. Numero di Macro: 9
  18342. Criptato: Si
  18343. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, 
  18344. File/Nuovo, File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18345. Lunghezza della Macro: 6290 Byte
  18346. Paese di origine: Sconosciuto
  18347. Data di origine: Autunno 1996
  18348. Distruttivo: No
  18349. Rilevato In The Wild: No
  18350. Descrizione:
  18351.  
  18352. L'unica differenza tra questa nuova versione ed il virus
  18353. Colors.A Φ che la macro "AutoOpen" Φ stata sostituita con una
  18354. inoffensiva. Questo non ha effetto sul virus. Colors.E Φ 
  18355. infatti in grado di attivarsi ed infettare altri documenti.
  18356.  
  18357.  
  18358. [Word_Colors.F]
  18359. Nome del virus: Word.Colors.F
  18360. Tipo di Virus: Virus da macro di Word
  18361. Numero di Macro: 9
  18362. Criptato: Si
  18363. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, File/Nuovo, 
  18364. File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18365. Lunghezza della Macro: 6402 Byte
  18366. Paese di origine: Sconosciuto
  18367. Data di origine: Autunno 1996
  18368. Distruttivo: No
  18369. Rilevato In The Wild: No
  18370. Descrizione:
  18371.  
  18372. L'unica differenza tra questa nuova versione ed il virus
  18373. Colors.A Φ che la macro "AutoOpen" Φ stata sostituita con una
  18374. nuova. Questo non ha effetto sul virus. Colors.F Φ infatti in 
  18375. grado di attivarsi ed infettare altri documenti.
  18376.  
  18377.  
  18378. [Word_Colors.G]
  18379. Nome del virus: Word.Colors.G
  18380. Tipo di Virus: Virus da macro di Word
  18381. Numero di Macro: 9
  18382. Criptato: Si
  18383. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, 
  18384. File/Nuovo, File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18385. Lunghezza della Macro: 7006 Byte
  18386. Paese di origine: Sconosciuto
  18387. Data di origine: Gennaio1997
  18388. Distruttivo: No
  18389. Rilevato In The Wild: No
  18390. Descrizione:
  18391.  
  18392. Colors.G Φ una versione minore del vecchio virus Colors.B.
  18393.  
  18394. L'unica differenza tra questa nuova versione ed il virus Colors.B 
  18395. Φ che la macro "AutoOpen" Φ stata sostituita con una macro criptata 
  18396. di
  18397. Concept. Inoltre, la macro "Strumenti/Macro" da Colors.B Φ alterata. 
  18398. A causa del diverso codice del virus, Colors.B
  18399. non si attiva quando viene aperto un documento infetto.
  18400.  
  18401. Colors.F utilizza "Strumenti/Macro" per rendere pi∙ difficile 
  18402. l'identificazione di un documento infetto (chiamata tecnica macro stealth).
  18403.  
  18404. Per ulteriori informazioni vedere la descrizione del virus Colors.A.
  18405.  
  18406.  
  18407. [Word_Colors.H]
  18408. Nome del virus: Word.Colors.H
  18409. Tipo di Virus: Virus da macro di Word
  18410. Numero di Macro: 9
  18411. Criptato: Si
  18412. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, File/Nuovo, 
  18413. File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18414. Lunghezza della Macro: 9984 Byte
  18415. Paese di origine: Sconosciuto
  18416. Data di origine: Gennaio 1997
  18417. Distruttivo: No
  18418. Rilevato In The Wild: No
  18419. Descrizione:
  18420.  
  18421. Colors.H Φ una versione minore basata sul vecchio virus Colors.A 
  18422. e su la soluzione anti-virus da macro "WWFix" di Datafellows.
  18423. Anche se Colors.H possiede un anti-virus nel suo codice, Φ giα in 
  18424. grado di diffondersi ed infettare altri documenti.
  18425.  
  18426. Quando viene aperto un documento infetto, la nuova macro AutoOpen
  18427. cerca nel sistema il virus Concept. Dopo lo
  18428. scan cerca di installare le macro protettive che non sono presenti. 
  18429. Come conseguenza Colors.H mostra il seguente messaggio d'errore:
  18430.  
  18431. "   Document is not open   "
  18432.  
  18433. Colors.H utilizza "Strumenti/Macro" per rendere pi∙ difficile 
  18434. l'identificazione di un documento infetto (chiamata tecnica macro stealth).
  18435.  
  18436. Per ulteriori informazioni vedere la descrizione del virus Colors.A.
  18437.  
  18438. [Word_Colors.I]
  18439. Nome del virus: Word.Colors.I
  18440. Tipo di Virus: Virus da macro di Word
  18441. Numero di Macro: 8
  18442. Criptato: Si
  18443. Nomi delle Macro: AutoExec, AutoOpen, AutoClose, File/Esci, File/Salva, 
  18444. File/Salva con nome, Strumenti/Macro, Macro
  18445. Lunghezza della Macro: 6117 Byte
  18446. Paese di origine: Sconosciuto
  18447. Data di origine: 1997
  18448. Distruttivo: No
  18449. Rilevato In The Wild: No
  18450. Descrizione:
  18451.  
  18452. Colors.I Φ una nuova versione dell'originale virus Colors.A.
  18453. La differenza maggiore Φ la macro "AutoOpen" che probabilmente
  18454. proviene da un altro virus.
  18455. Questa nuova macro copia le macro "AutoOpen", "AutoClose" e
  18456. "File/Salva con nome" nel modello di documento principale invece 
  18457. di chiamare le routine nella macro "Macro".
  18458. Inoltre, Colors.I non possiede nessuna macro "File/Nuovo".
  18459.  
  18460. Colors.I infetta quando un documento infetto viene chiuso (AutoClose), 
  18461. salvato (File/Salva and File/Salva con nome) e quando viene utilizzato 
  18462. il comando Strumenti/Macro.
  18463.  
  18464. Colors.I usa "Strumenti/Macro" per rendere pi∙ difficile 
  18465. l'identificazione di un file infetto 
  18466. (chiamata tecnica macro stealth).
  18467.  
  18468. Per ulteriori informazioni vedere la descrizione 
  18469. del virus Colors.A.
  18470.  
  18471.  
  18472. [Word_Color.J]
  18473. Nome del virus: Word.Colors.J
  18474. Tipo di Virus: Virus da macro di Word
  18475. Numero di Macro: 9
  18476. Criptato: Si
  18477. Nomi delle Macro: AutoClose, AutoExec, AutoOpen, File/Esci, 
  18478. File/Nuovo, File/Salva, File/Salva con nome, Macro, Strumenti/Macro
  18479. Lunghezza della Macro: 6983 Byte
  18480. Paese di origine: Sconosciuto
  18481. Data di origine: Febbraio 1997
  18482. Distruttivo: No
  18483. Rilevato In The Wild: No
  18484. Descrizione:
  18485.  
  18486. Colors.J Φ una versione minore del virus Colors.B.
  18487. La sola differenza tra i due Φ una linea di un codice irrilevante.
  18488.  
  18489. Colors.J usa "Strumenti/Macro" per rendere pi∙ difficile 
  18490. l'identificazione di un file infetto (chiamata tecnica macro stealth).
  18491.  
  18492. Per ulteriori informazioni vedere la descrizione del 
  18493. virus Colors.B.
  18494.  
  18495.  
  18496. [Word_Colors.K]
  18497. Nome del virus: Word.Colors.K
  18498. Tipo di Virus: Virus da macro di Word
  18499. Numero di Macro: 9
  18500. Criptato: Si
  18501. Nomi delle Macro: Macro, File/Nuovo, AutoExec, AutoOpen, File/Esci, 
  18502. File/Salva, AutoClose, File/Salva con nome, Strumenti/Macro
  18503. Lunghezza della Macro: 6288 Byte
  18504. Paese di origine: Sconosciuto
  18505. Data di origine: Febbraio 1997
  18506. Distruttivo: No
  18507. Rilevato In The Wild: No
  18508. Descrizione:
  18509.  
  18510. Colors.K Φ una nuova versione del virus originale Colors.A.
  18511. La sola differenza tra i due Φ la macro"AutoOpen", che con sole tre 
  18512. linee, Φ stata agganciata ad un altro documento.
  18513.  
  18514. Per ulteriori informazioni vedere la descrizione del virus Colors.A.
  18515.  
  18516.  
  18517. [Word_Concept.A (a.k.a Prank, WW6Macro, Winword, WBMV)]
  18518. Nome del virus: Word.Concept.A (a.k.a Prank, WW6Macro, Winword, WBMV)
  18519. Tipo di Virus: Virus da macro di Word
  18520. Numero di Macro: 4
  18521. Criptato: No
  18522. Nomi delle Macro: AutoOpen, AAAZAO, AAAZFS (File/Salva con nome), Payload
  18523. Lunghezza della Macro: 1968 Byte
  18524. Paese di origine: USA
  18525. Data di origine: Luglio 1995
  18526. Distruttivo:  No
  18527. Rilevato In The Wild: Si
  18528. Descrizione:
  18529.  
  18530. Concept Φ stato il primo virus da macro ad essere trovato "In-the-Wild." 
  18531. Fu scoperto a luglio/agosto 1995 ed ora rappresenta il virus pi∙ comune.
  18532.  
  18533. Concept si attiva quando viene aperto un documento infetto
  18534. (AutoOpen).  Una volta attivato, Concept controlla eventuali 
  18535. precedenti infezioni del modello di documento principale (normal.dot). 
  18536. Se nessuna delle macro Φ presente, Concept copia le sue macro.
  18537. La macro "AAAZFS" viene salvata con il nome "File/Salva con nome."
  18538.  
  18539. Dopo aver infettato il modello di documento principale, 
  18540. Concept penetra nel file Win.ini. Colloca "WW6I=1" e 
  18541. compare una finestra contenente un "1".
  18542.  
  18543. Concept non contiene nessuna procedura distruttiva, 
  18544. anche se possiede la macro chiamata "Payload. La macro" The "Payload"
  18545. Φ vuota ad eccezione del seguente testo:
  18546.  
  18547. "   That's enough to prove my point   "
  18548.  
  18549.  
  18550. [Word_Concept.B]
  18551. Nome del virus: Word.Concept.B
  18552. Tipo di Virus: Virus da macro di Word
  18553. Numero di Macro: 4
  18554. Criptato: No
  18555. Nomi delle Macro: AutoOpen, AAAZAO, 
  18556. AAAZFS (File/Salva con nome), Payload
  18557. Lunghezza della Macro: 2016 Byte
  18558. Paese di origine: Francia
  18559. Data di origine: Primavera 1996
  18560. Distruttivo: No
  18561. Rilevato In The Wild: Si
  18562. Descrizione:
  18563.  
  18564. L'unica differenza tra Concept.A e Concept.B Φ che l'autore 
  18565. del virus ha tradotto la macro "File/Salva con nome" nel 
  18566. corrispondente termine francese.  Per questo motivo 
  18567. questa versione lavora solo con la versione francese di Microsoft Word.
  18568.  
  18569.  
  18570. [Word_Concept.C]
  18571. Nome del virus: Word.Concept.C
  18572. Tipo di Virus: Virus da macro di Word
  18573. Numero di Macro: 4
  18574. Criptato: No
  18575. Nomi delle Macro: AutoOpen, F1, F2, Boom, File/Salva con nome
  18576. Lunghezza della Macro: 1834 Byte nei file con estensione *.doc, 1559 
  18577. Byte nei file nei file con estensione *.dot 
  18578. Paese di origine: Sconosciuto
  18579. Data di origine: Estate 1996
  18580. Distruttivo: No
  18581. Rilevato In The Wild: No
  18582. Descrizione:
  18583.  
  18584. La differenza tra questa nuova versione ed il virus Concept originale 
  18585. risiede nei nomi delle macro e nel contenuto della macro "Boom".  
  18586. Concept.C si attiva quando viene aperto un documento infetto (AutoOpen).
  18587. Altri documenti divengono infetti quando vengono salvati con il 
  18588. comando "File/Salva con nome".
  18589.  
  18590. Concept.C fa comparire una finestra contenente un " 1 ".
  18591.  
  18592. La macro "Boom" contiene un altro messaggio, non ancora apparso:
  18593.  
  18594. "   Fight racism; Smash Fascizm   "
  18595.  
  18596.  
  18597. [Word_Concept.D]
  18598. Nome del virus: Word.Concept.D (a.k.a. Haha)
  18599. Tipo di Virus: Virus da macro di Word
  18600. Numero di Macro: 4
  18601. Criptato: 3 delle 4 macro  
  18602. Nomi delle Macro: AutoOpen (File/Salva con nome), EditSize, FileSort, 
  18603. HaHa
  18604. Lunghezza della Macro: 2129 Byte nei file nei file con estensione *.doc, 
  18605.  2041 Byte nei file nei file con estensione *.dot
  18606. Paese di origine: Sconosciuto
  18607. Data di origine: Estate 1996
  18608. Payload     Si
  18609. Rilevato In The Wild: No
  18610. Descrizione:
  18611.  
  18612. Concept.D si attiva quando viene aperto un file infetto
  18613. (AutoOpen).  Altri documenti divengono infetti quando vengono salvati 
  18614. con il comando File/Salva con nome.
  18615.  
  18616. All'infezione di un nuovo documento, Concept.D modifica in bianco il 
  18617. colore di tutti i testi esistenti, ci≥ da l'impressione che tutto il 
  18618. testo scompaia (o sia stato cancellato).
  18619. Concept.D aggiunge quindi al documento attivo il seguente testo:
  18620.  
  18621. " i said: say goodbye to all your stuff (look at that hard drive
  18622. spin!). "
  18623.  
  18624. Nel tentativo di salvare un documento infetto, Concept.D cerca di salvare 
  18625. il documento 100 volte, causando un funzionamento irregolare del disco.
  18626.  
  18627.  
  18628. [Word_Concept.E]
  18629. Nome del virus: Word.Concept.E
  18630. Tipo di Virus: Virus da macro di Word
  18631. Numero di Macro: 4
  18632. Criptato: No
  18633. Nomi delle Macro: AutoOpen (File/Salva con nome), AAAZAO, AAAZFS, Load
  18634. Lunghezza della Macro: 1657 Byte nei file nei file con estensione *.doc, 
  18635. 1472 Byte nei file nei file con estensione *.dot
  18636. Paese di origine: Sconosciuto
  18637. Data di origine: Estate 1996
  18638. Payload : Si
  18639. Rilevato In The Wild: No
  18640. Descrizione:
  18641.  
  18642. La differenza tra questa nuova versione ed il virus
  18643. Concept risiede nei nomi delle macro e nel contenuto della macro "Load".
  18644. Concept.E si attiva quando viene aperto un documento infetto
  18645. (AutoOpen).  Altri documenti divengono infetti quando vengono salvati 
  18646. con il comando File/Salva con nome.
  18647.  
  18648. All'infezione di un nuovo documento, Concept.E fa comparire una 
  18649. finestra contenente un " 1 ".
  18650.  
  18651. Concept.E possiede un codice virale che cerca di salvare il documento 
  18652. attivo nella directory T:\VIR.
  18653.  
  18654.  
  18655. [Word_Concept.F (a.k.a. Parasite 1.0, P-Site)]
  18656. Nome del virus: Word.Concept.F (a.k.a. Parasite 1.0, P-Site)
  18657. Tipo di Virus: Virus da macro di Word
  18658. Numero di Macro: 7
  18659. Criptato: Si
  18660. Nomi delle Macro: K, A678, Para, Site, I8U9Y13, Paylaod, AutoOpen
  18661. Lunghezza della Macro: 3673 Byte nei file nei file con estensione *.doc, 
  18662. 3453 Byte nei file nei file con estensione *.dot
  18663. Paese di origine: USA
  18664. Data di origine: Luglio 1996
  18665. Distruttivo: Si
  18666. Rilevato In The Wild: Si
  18667. Descrizione:
  18668.  
  18669. Concept.F possiede diverse procedure. La prima sostituisce nei documenti 
  18670. infetti la seguente parola:
  18671.  
  18672. "and" con "not".
  18673.  
  18674. La seconda procedura Φ un po' pi∙ complessa.
  18675. Concept.F controlla l'ora di sistema cercando un determinato valore 
  18676. nel campo dei giorni. Se Φ presente un 16 (il 16 di ogni mese), 
  18677. attiva le sue procedura. Sostituisce quindi nei documenti 
  18678. infetti le seguenti lettere/parole:
  18679.  
  18680. "." (dot) con "," (virgola)
  18681.  
  18682. "and" con "not"
  18683.  
  18684. "a" con "e"
  18685.  
  18686. Questa nuova versione di Concept fa anche comparire la seguente finestra:
  18687.  
  18688. "   Parasite Virus 1.0   "
  18689.  
  18690. "   Your computer is infected with the Parasite Virus, Version 1.0!   "
  18691.  
  18692.  
  18693. [Word_Concept.G (a.k.a. Parasite 0.8, P-Site)]
  18694. Nome del virus: Word.Concept.G (a.k.a. Parasite 0.8, P-Site)
  18695. Tipo di Virus: Virus da macro di Word
  18696. Numero di Macro: 7
  18697. Criptato: Si
  18698. Nomi delle Macro: K, A678, Para, Site, I8U9Y13, Paylaod, AutoOpen
  18699. Lunghezza della Macro: 3670 Byte nei file nei file con estensione *.doc, 
  18700. 3450 Byte nei file nei file con estensione *.dot
  18701. Paese di origine: USA
  18702. Data di origine: Luglio/Agosto 1996
  18703. Distruttivo: Si
  18704. Rilevato In The Wild: No
  18705. Descrizione:
  18706.  
  18707. In base al codice del virus Concept.G, questa nuova versione Φ  una
  18708. beta release del virus Concept.F (versione 1.0).
  18709. Concept.G possiede diverse procedura. La prima sostituisce nei documenti 
  18710. infetti le seguenti parole:
  18711.  
  18712. "and" con "not"
  18713.  
  18714. La seconda procedura Φ un po' pi∙ complessa. Concept.G
  18715. controlla l'ora di sistema cercando un determinato valore 
  18716. nel campo dei giorni.
  18717. Se Φ presente un 16 (il 16 di ogni mese), attiva le sue procedure. 
  18718. Sostituisce quindi nei documenti infetti le seguenti lettere/parole:
  18719.  
  18720. "." (dot) con "," (virgola)
  18721.  
  18722. "and" con "not"
  18723.  
  18724. "a" con "e"
  18725.  
  18726.  
  18727. [Word_Concept.I]
  18728. Nome del virus: Word.Concept.I
  18729. Tipo di Virus: Virus da macro di Word
  18730. Numero di Macro: 4 o 5
  18731. Criptato: No
  18732. Nomi delle Macro: AAAEED, AAAUUO, IPayload, DocClose, ToolsSpelling
  18733. Lunghezza della Macro: 2885 Byte
  18734. Paese di origine: USA
  18735. Data di origine: Settembre 1996
  18736. Distruttivo: No
  18737. Rilevato In The Wild: No
  18738. Descrizione:
  18739.  
  18740. Concept.I si attiva quando viene chiuso un documento infetto (DocClose).
  18741.  
  18742. Altri documenti divengono infetti in due modi diversi.
  18743. Infetta quando si seleziona l'opzione "Tools/Spelling" o
  18744. Quando viene chiuso un documento infetto (DocClose).
  18745. A seconda della routine di infezione selezionata, un nuovo documento 
  18746. infetto conterrα 5 macro (routine di infezione DocClose) o
  18747. soltanto 4 macro (routine di infezione Tools/Spelling).
  18748.  
  18749. All'infezione di un nuovo documento, Concept.I fa comparire una 
  18750. finestra contenente un " 1 ".
  18751.  
  18752.  
  18753. [Word_Concept.J (a.k.a. Parasite.B)]
  18754. Nome del virus: Word.Concept.J (a.k.a. Parasite.B)
  18755. Tipo di Virus: Virus da macro di Word
  18756. Numero di Macro: 7
  18757. Criptato: Si
  18758. Nomi delle Macro: K, A678, Para, Site, Payload, AutoOpen
  18759. Lunghezza della Macro: 3326 Byte nei file .doc, 3042 Byte nei file .dot
  18760. Paese di origine: USA
  18761. Data di origine: Estate 1996
  18762. Distruttivo: Si
  18763. Rilevato In The Wild: Si
  18764. Descrizione:
  18765.  
  18766. La maggior differenza tra questa nuova versione e Concept.G
  18767. risiede nel non possedere la macro "I8U9YB"  (AutoExit nel
  18768. modello di documento principale).
  18769.  
  18770. Inoltre, non sostituisce "." (dot) con "," (virgola) il 16 di ogni mese.
  18771.  
  18772. Concept.J possiede altre procedure. controlla l'ora di 
  18773. sistema cercando un determinato valore nel campo dei giorni.
  18774. Se Φ presente un 16 (il 16 di ogni mese) attiva le sue procedure. 
  18775. Sostituisce quindi nei documenti infetti le seguenti lettere/parole:
  18776.  
  18777. "and" con "not"
  18778.  
  18779. "e" con "a" (Concept.G sostituiva "a" con "e").
  18780.  
  18781.  
  18782. [Word_Concept.K:NL (a.k.a. Pheeew)]
  18783. Nome del virus: Word.Concept.K:NL (a.k.a. Pheeew)
  18784. Tipo di Virus: Virus da macro di Word
  18785. Numero di Macro: 4
  18786. Criptato: No
  18787. Nomi delle Macro: AutoOpen, IkWordNietGoed1, IkWordNietGoed2, Lading
  18788. Lunghezza della Macro: 2759 Byte
  18789. Paese di origine: Sconosciuto
  18790. Data di origine: Sconosciuta
  18791. Distruttivo: Si
  18792. Rilevato In The Wild: No
  18793. Descrizione:
  18794.  
  18795. Concept.K Φ il primo macro virus di Dutch.
  18796.  
  18797. Quando viene aperto un documento infetto, Concept.K controlla che ci 
  18798. sia una precedente infezione del modello di documento principale 
  18799. (normal.dot) cercando i nomi delle due macro "Lading" e
  18800. "BestandOpslaanAls". Se il modello di documento principale non Φ 
  18801. infetto, Concept.K copia le sue macro virali nel modello 
  18802. di documento principale.
  18803. La macro "IkWordNietGoed2" Φ salvata sotto il nome di
  18804. "BestandOpslaanAls" ("File/Salva con nome").
  18805.  
  18806. Altri documenti divengono infetti quando viene utilizzato il 
  18807. comando "File/Salva con nome". Dopo l'infezione il virus 
  18808. mostra una serie di finestre con il seguente testo:
  18809.  
  18810. Window 'Important':
  18811.  
  18812. "   Gotcha !   "
  18813.  
  18814. Window 'FINAL WARNING!':
  18815.  
  18816. "   STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC   "
  18817.  
  18818. Se si preme il tasto "No" sull'ultima finestra, viene attivata una 
  18819. procedura distruttiva. Tutti i file delle directory "C:\" e "C:\DOS"
  18820. sono cancellati. Questo rende inavviabile il computer.
  18821.  
  18822.  
  18823. [Word_Concept.L (a.k.a. BlastC)]
  18824. Nome del virus: Word.Concept.L (a.k.a. BlastC)
  18825. Tipo di Virus: Virus da macro di Word
  18826. Numero di Macro: 7
  18827. Criptato: No
  18828. Nomi delle Macro: Alignment, AutoOpen, BorderSet, File/Salva con nome, 
  18829. AutoClose, ExitRoutine, BlastCDrive
  18830. Lunghezza della Macro: 3744 Byte
  18831. Paese di origine: USA
  18832. Data di origine: Sconosciuta
  18833. Payload: Si
  18834. Rilevato In The Wild: No
  18835. Descrizione:
  18836.  
  18837. Concept.L si attiva quando viene aperto un documento infetto
  18838. (AutoOpen).  Altri documenti divengono infetti al momento del 
  18839. loro salvataggio (File/Salva con nome).
  18840.  
  18841. Concept.L mostra 2 messaggi:
  18842.  
  18843. All'attivazione:
  18844.  
  18845. "   Welcome to the 'WINWORD.BLAST_C' macro virus...   "
  18846.  
  18847. Dopo l'infezione del modello di documento principale (Normal.dot):
  18848.  
  18849. "   Uh Ohhh. NORMAL.DOT just got infected...   "
  18850.  
  18851. Alla chiusura del documento attivo il 24 di ogni mese, Concept.L 
  18852. farα partire la sua procedura distruttiva. Farα partire il File Manager 
  18853. e cancellerα la directory C:\DELETEME.
  18854.  
  18855.  
  18856. [Word_Concept.M (a.k.a. New_Horizon)]
  18857. Nome del virus: Word.Concept.M (a.k.a. New_Horizon)
  18858. Tipo di Virus: Virus da macro di Word
  18859. Numero di Macro: 5
  18860. Criptato: No
  18861. Nomi delle Macro: Alignment, AutoOpen, BorderSet, File/Salva con nome, 
  18862. AutoClose, ExitRoutine
  18863. Lunghezza della Macro: 2432 Byte nei file .doc, 2055 Byte nel modello 
  18864. di documento principale
  18865. Paese di origine: USA
  18866. Data di origine: Sconosciuta
  18867. Distruttivo: No
  18868. Rilevato In The Wild: No
  18869. Descrizione:
  18870.  
  18871. Concept.M si attiva quando viene aperto un documento infetto
  18872. (AutoOpen).  Altri documenti divengono infetti al momento del loro 
  18873. salvataggio con il comando "File/Salva con nome".
  18874.  
  18875. Questa nuova versione di Concept mostra 2 messaggi:
  18876.  
  18877. All'attivazione:
  18878.  
  18879.  "   Uh Ohhh. NORMAL.DOT just got infected...   "
  18880.  
  18881. All'apertura di un documento infetto:
  18882.  
  18883. "   Welcome to the Winword.New_Horizons macro virus   "
  18884.  
  18885.  
  18886. [Word_Concept.N (a.k.a. Concept.hcr)]
  18887. Nome del virus: Word.Concept.N (a.k.a. Concept.hcr)
  18888. Tipo di Virus: Virus da macro di Word
  18889. Numero di Macro: 4
  18890. Criptato: Si
  18891. Nomi delle Macro: File/Salva con nome, XAAZAO, XAAZFS, XayLoad
  18892. Lunghezza della Macro: 1968 Byte
  18893. Paese di origine: Sconosciuto
  18894. Data di origine: Novembre 1996
  18895. Distruttivo: No
  18896. Rilevato In The Wild: No
  18897. Descrizione:
  18898.  
  18899. Concept.N Φ una nuova versione del virus Concept.A.
  18900.  
  18901. Tutti i nomi delle sue macro iniziano con la lettera "X" (tranne
  18902. File/Salva con nome). Perci≥, Concept.N viene classificato come virus, 
  18903. dato che non si replica naturalmente.
  18904.  
  18905.  
  18906. [Word_Concept.O:Tw]
  18907. Nome del virus: Word.Concept.O:Tw
  18908. Tipo di Virus: Virus da macro di Word
  18909. Numero di Macro: 4
  18910. Criptato: No
  18911. Nomi delle Macro: AutoOpen, Payload, AAAZAO, AAAZFS
  18912. Lunghezza della Macro: 1968 Byte nei documenti
  18913. Paese di origine: Sconosciuto
  18914. Data di origine: 1996
  18915. Distruttivo: No
  18916. Rilevato In The Wild: Si
  18917. Descrizione:
  18918.  
  18919. La differenza maggiore tra questa nuova versione e l'originale
  18920. Concept.A Φ che il virus Concept.O lavora solo con la versione 
  18921. cinese di Microsoft Word.
  18922.  
  18923. Concept.O infetta il modello di documento principale quando 
  18924. viene aperto un file infetto (AutoOpen). Altri documenti divengono infetti
  18925. Quando vengono salvati con il comando "File/Salva con nome".
  18926.  
  18927. Per ulteriori informazioni vedere la descrizione del 
  18928. virus Concept.A.
  18929.  
  18930.  
  18931. [Word_Concept.Q]
  18932. Nome del virus: Word.Concept.Q
  18933. Tipo di Virus: Virus da macro di Word
  18934. Numero di Macro: 4
  18935. Criptato: No
  18936. Nomi delle Macro: AutoOpen, Payload, AAAZAO, AAAZFS
  18937. Lunghezza della Macro: 1959 Byte nei documenti, 1652 Byte nel 
  18938. modello di documento principale
  18939. Paese di origine: Sconosciuto
  18940. Data di origine: 1996
  18941. Distruttivo: No
  18942. Rilevato In The Wild: Si
  18943. Descrizione:
  18944.  
  18945. La differenza tra questa nuova versione ed il virus
  18946. Concept originale Φ il contenuto della macro "Payload".
  18947. Concept.Q non contiene il commento "That's enough to
  18948. prove my point."
  18949.  
  18950. Concept.Q infetta il modello di documento principale quando 
  18951. viene aperto un documento infetto (AutoOpen). Altri documenti 
  18952. divengono infetti al momento del loro salvataggio con 
  18953. il comando "File/Salva con nome".
  18954.  
  18955. Per ulteriori informazioni vedere la descrizione del virus 
  18956. Concept.A.
  18957.  
  18958.  
  18959. [Word_Concept.R (a.k.a Sutra, Diamond)]
  18960. Nome del virus: Word.Concept.R (a.k.a Sutra, Diamond)
  18961. Tipo di Virus: Virus da macro di Word
  18962. Numero di Macro: 4
  18963. Criptato: No
  18964. Nomi delle Macro: AutoOpen (File/Salva con nome), CTFISTCCLLESS11, 
  18965. "CTFBORNIN83" DiamondSutra, File/Salva con nome
  18966. Lunghezza della Macro: 4069 Byte nei file .doc, 3221 Byte nel 
  18967. modello di documento principale
  18968. Paese di origine: Sconosciuto
  18969. Data di origine: Sconosciuta
  18970. Distruttivo: No
  18971. Rilevato In The Wild: No
  18972. Descrizione:
  18973.  
  18974. Questa nuova versione differisce dal virus originale Concept.A 
  18975. solo per poche aggiunte e per il cambiamento di alcuni nomi delle macro.
  18976.  
  18977. Quando Concept.R infetta il modello di documento principale 
  18978. compaiono diversi messaggi :
  18979.  
  18980. "   SHOSHI-11=TCCL6F200P,in 1983, Japan!!!!!   "
  18981.  
  18982. "   SHOSHIisCTFexactly, inYYY with pwd 901109, BUT less 11years   "
  18983. "   BUT SEEMS & CHAR === EXACT   "
  18984.  
  18985. "   Guy who understand 29 and Prajnaparamita Diamond Sutra   "
  18986. "   governors noble truth within the self self self self self so   "
  18987. "   CTF=TCCL-11 BUT CTF in 1983   "
  18988.  
  18989. "  CTF's wife is LTC.JAC 24 ; CTF = SUN SUN SUN SUN + 4 CRUELTY   "
  18990.  
  18991. "   You will then tell your friends and your friends will tell   "
  18992. "   others and other .. other other other other other other !!!!!   "
  18993. "   till till till the sun rises in the east which means   "
  18994. "   CTF=TCCLby all sense   "
  18995.  
  18996. Quando un documento diviene infetto, Concept.R aggiunge un comando 
  18997. AutoCorrect che sostituisce "teh" con "Shoshi in 1983 is
  18998. the Sun." questa procedura lavora solamente con la versione di 
  18999. Microsoft Word (Word 7.0) per Windows 95.
  19000.  
  19001.  
  19002. [Word_Concept.V]
  19003. Nome del virus: Word.Concept.V
  19004. Tipo di Virus: Virus da macro di Word
  19005. Numero di Macro: 3
  19006. Criptato: No
  19007. Nomi delle Macro: AutoOpen, MSlothAE, MSlothSA
  19008. Lunghezza della Macro: 1484 Byte
  19009. Paese di origine: USA
  19010. Data di origine: Gennaio 1997
  19011. Payload: Si
  19012. Rilevato In The Wild: No
  19013. Descrizione:
  19014.  
  19015. Concept.V Φ una nuova versione che si basa sui virus Concept e Wazzu.H.  
  19016. Include la procedura di Wazzu.H, nella macro
  19017. "AutoExec" (MSlothAE nei documenti), e la 
  19018. "AutoOpen" ("File/Salva con nome" nel modello di documento principale) 
  19019. di Concept.
  19020.  
  19021. Anche se questa nuova versione si basa su due differenti virus,
  19022. Φ in grado di diffondersi ed infettare altri documenti.
  19023.  
  19024. Per ulteriori informazioni vedere le descrizioni dei virus Wazzu.H e
  19025. Concept.A.
  19026.  
  19027.  
  19028. [Word_Concept.Y]
  19029. Nome del virus: Word.Concept.Y
  19030. Tipo di Virus: Virus da macro di Word
  19031. Numero di Macro: 4
  19032. Criptato: No
  19033. Nomi delle Macro: AAAZAO, AAAZFS, Payload, AutoOpen
  19034. Lunghezza della Macro: 1992 Byte
  19035. Paese di origine: Sconosciuto
  19036. Data di origine: 1997
  19037. Distruttivo: No
  19038. Rilevato In The Wild: No
  19039. Descrizione:
  19040.  
  19041. Concept.Y Φ una nuova versione che si basa sul virus Concept.A.  
  19042. La differenza maggiore tra i due virus risiede nella macro "Payload",
  19043.  che possiede la seguente aggiunta nel suo codice della macro:
  19044.  
  19045. "   (For testing only...)   "
  19046.  
  19047. Per ulteriori informazioni vedere la descrizione del virus Concept.A.
  19048.  
  19049. [Word_Concept.Z]
  19050. Nome del virus: Word.Concept.Z
  19051. Tipo di Virus: Virus da macro di Word
  19052. Numero di Macro: 4
  19053. Criptato: No
  19054. Nomi delle Macro: AutoOpen, AAAAAB, AAAAAC, AAAAAD 
  19055. (AAAAAA, File/Salva, File/Salva con nome, Strumenti/Macro)
  19056. Lunghezza della Macro: 1774 Byte
  19057. Paese di origine: Sconosciuto
  19058. Data di origine: 1996
  19059. Distruttivo: No
  19060. Rilevato In The Wild: Si
  19061. Descrizione:
  19062.  
  19063. Concept.Z si attiva quando viene aperto un documento infetto
  19064. (AutoOpen).  Altri documenti divengono infetti quando vengono salvati 
  19065. con i comandi "File/Salva" e "File/Salva con nome".
  19066.  
  19067. Dopo aver infettato il modello di documento principale, 
  19068. Concept.Z entra nel file WINWORD6.INI. Imposta "WW6I=1."
  19069.  
  19070. Concept.Z cerca di nascondersi attraverso "Strumenti/Macro"
  19071. (chiamata tecnica macro stealth). Non contiene nessuna
  19072. procedura distruttiva.
  19073.  
  19074.  
  19075. [Word_CountTen.A (a.k.a. SaveCount)]
  19076. Nome del virus: Word.CountTen.A (a.k.a. SaveCount)
  19077. Tipo di Virus: Virus da macro di Word
  19078. Numero di Macro: 3
  19079. Criptato: Si
  19080. Nomi delle Macro: AutoOpen File/Salva, File/Salva con nome
  19081. Lunghezza della Macro: 956 Byte
  19082. Paese di origine: Stati Uniti
  19083. Data di origine: Dicembre 1996
  19084. Distruttivo: Si
  19085. Rilevato In The Wild: Si
  19086. Descrizione:
  19087.  
  19088. CountTen infetta i documenti un documento infetto viene aperto e 
  19089. salvato con i comandi "File/Salva" e File/Salva con nome".
  19090.  
  19091. Quando CountTen infetta un file, imposta la variabile "SaveCount."
  19092. Quando viene salvato un file infetto, questa variabile aumenta. 
  19093. Questa tecnica Φ utilizzata per essere al corrente del numero di 
  19094. volte che un documento infetto Φ stato salvato. Al raggiungimento di 10,
  19095. CountTen mette la seguente password:
  19096.  
  19097. "   What the hell are you doing?   "
  19098.  
  19099. Questa password Φ troppo lunga per la casella password di
  19100. Microsoft Word e perci≥ non si pu≥ modificare la password.
  19101.  
  19102. Per avere accesso al file criptato password, rimuovere la macro 
  19103. virale e creare una macro "AutoOpen" con le seguenti informazioni
  19104. nel modello di documento principale (NORMAL.DOT):
  19105.  
  19106. Sub Main
  19107. ToolsUnprotectDocument.DocumentPassword="What the hell
  19108. are you doing?"
  19109. End Sub
  19110.  
  19111.  
  19112. [Word_Daniel.A (a.k.a Daniel_1F)]
  19113. Nome del virus: Word.Daniel.A (a.k.a Daniel_1F)
  19114. Tipo di Virus: Virus da macro di Word
  19115. Numero di Macro: 2
  19116. Criptato: Si
  19117. Nomi delle Macro: AutoOpen (Word6Menu), MacroManager
  19118. Lunghezza della Macro: 2718 Byte
  19119. Paese di origine: Sconosciuto
  19120. Data di origine: Settembre 1996
  19121. Distruttivo: Si
  19122. Rilevato In The Wild: No
  19123. Descrizione:
  19124.  
  19125. Daniel si attiva quando viene aperto un documento infetto
  19126. (AutoOpen).
  19127.  
  19128. Rimuovendo l'opzione Tools/Macro, Daniel cerca di rendere pi∙ difficile 
  19129. l'identificazione di un file infetto (chiamata tecnica macro
  19130. stealth).
  19131.  
  19132. Daniel ridefinisce il menu File/Save. Al posto della azione originale,
  19133. girerα MacroManager.
  19134.  
  19135. Quando viene aperto un file con una estensione non standard (non .doc o .dot), 
  19136. Daniel cambierα le informazioni nel riepilogo di un documento.
  19137. Alla parola chiave "Daniel_Stone" si pu≥ ritrovare il seguente commento:
  19138.  
  19139. "   All information should be free   "
  19140.  
  19141.  
  19142. [Word_Dark.A (a.k.a. DarkSide)]
  19143. Nome del virus: Word.Dark.A (a.k.a. DarkSide)
  19144. Tipo di Virus: Virus da macro di Word
  19145. Numero di Macro: 4
  19146. Criptato: Si
  19147. Nomi delle Macro: AutoClose, DarkSide1, HerramMacro, Strumenti/Macro
  19148. Lunghezza della Macro: 1304 Byte
  19149. Paese di origine: Per∙
  19150. Data di origine: Sconosciuta
  19151. Payload: Si
  19152. Rilevato In The Wild: No
  19153. Descrizione:
  19154.  
  19155. Dark infetta il modello di documento principale (normal.dot) 
  19156. quando viene chiuso un documento infetto. Altri documenti si inffettano 
  19157. quando vengono anch'essi chiusi.
  19158.  
  19159. All'infezione Dark crea il file DARKSIDE.1 nella directory di un file infetto. 
  19160. Il file contiene il seguente messaggio:
  19161.  
  19162. "    ATENCION: esta computadora ha sido infectada!.   "
  19163. "    DarkSide1 sin una computadora es como Billy   "
  19164. "    The Kid sin un revolver! !   "
  19165. "    ... Virus DarkSide1 creado en la ciudad de Lima en enero de 1997 "
  19166. "    -=] DarkSide1 Is a peruvian virus writer [=-    "
  19167.  
  19168. Per rendere pi∙ difficile l'identificazione di un file infetto,
  19169. Dark sovrascrive le opzioni Tools/Macro e Herram/Macro 
  19170. con il proprio codice (chiamata tecnica macro stealth).
  19171.  
  19172.  
  19173. [Word_Date.A (a.k.a. AntiDMV, Infezione)]
  19174. Nome del virus: Word.Date.A (a.k.a. AntiDMV, Infezione)
  19175. Tipo di Virus: Virus da macro di Word
  19176. Numero di Macro: 1
  19177. Criptato: Si
  19178. Nomi delle Macro: AutoOpen
  19179. Lunghezza della Macro: 1042 Byte
  19180. Paese di origine: USA
  19181. Data di origine: 1996
  19182. Distruttivo: Si
  19183. Rilevato In The Wild: Si
  19184. Descrizione:
  19185.  
  19186. Date infetta il modello di documento principale (normal.dot) ogni volta 
  19187. che viene aperto un documento infetto. Altri documenti divengono infetti 
  19188. quando sono aperti.
  19189.  
  19190. L'infezione si verifica solo fino al giorno 1 giugno 1996. Al momento della 
  19191. lettura di questo documento, Date non dovrebbe pi∙ rappresentare una minaccia 
  19192. anche se i documenti infetti potrebbero essere ancora in circolazione.
  19193.  
  19194. Date Φ anche conosciuto come AntiDMV. Fu scelto questo nome in quanto rimuove 
  19195. dai documenti la macro "AutoClose". Il virus da macro "DMV," che possiede 
  19196. solo una macro "AutoClose", pu≥ essere rimosso con il virus Date.
  19197.  
  19198.  
  19199. [Word_Dedicato.A:It]
  19200. Nome del virus: Word.Dedicato.A:It
  19201. Tipo di Virus: Virus da macro di Word
  19202. Numero di Macro: 1
  19203. Criptato: Si
  19204. Nomi delle Macro: AutoClose
  19205. Lunghezza della Macro: 742 Byte
  19206. Paese di origine: Italia
  19207. Data di origine: Aprile 1997
  19208. Payload: Si
  19209. Rilevato In The Wild: No
  19210. Descrizione:
  19211.  
  19212. Dedicato infetta il modello di documento principale quando viene 
  19213. chiuso un documento infetto. Altri documenti divengono infetti quando 
  19214. sono anch'essi chiusi (AutoClose).
  19215.  
  19216. Dedicato utilizza comandi di linguaggio specifici, per questo lavora 
  19217. solo con la versione italiana di Microsoft Word.
  19218.  
  19219. Nella macro AutoClose si pu≥ ritrovare il seguente commento:
  19220.  
  19221. "   REM Questo MacroVirus e' dedicato alla mia ex-ragazza   "
  19222. "   REM Federica, che anche se molti diranno il contrario..   "
  19223. "   REM io ho amato tanto...e ora mi manca...   (Gianlu)   "
  19224.  
  19225. Quando Dedicato si attiva (i giorni 8 e 20 di ogni mese), compaiono 
  19226. i seguenti 3 messaggi:
  19227.  
  19228. "   ....MacroVirus Federica in esecuzione....   "
  19229.  
  19230. "   ....Federica Mi Manchi....   "
  19231.  
  19232. "   Master Boot Sector Damaged   "
  19233.  
  19234.  
  19235. [Word_Dietzel.A]
  19236. Nome del virus: Word.Dietzel.A
  19237. Tipo di Virus: Virus da macro di Word
  19238. Numero di Macro: 5
  19239. Criptato: Si
  19240. Nomi delle Macro: DATEISchliessen, EXTRASMakro, DATEIDokVorlagen, 
  19241. DATEISpeichernUnter, DATEIBeenden
  19242. Lunghezza della Macro: 3987 Byte
  19243. Paese di origine: Germania
  19244. Data di origine: Agosto 1996
  19245. Distruttivo: No
  19246. Rilevato In The Wild: No
  19247. Descrizione:
  19248.  
  19249. L'attivazione di Dietzel si verifica quando viene chiuso un documento 
  19250. infetto (DATEISchliessen) o quando si esce da Microsoft Word (DATEIBeenden).
  19251.  
  19252. Per rendere pi∙ difficile il riconoscimento di un programma infetto, 
  19253. Dietzel sostituisce l'opzione Tools/Macro con una finestra di dialogo
  19254. molto simile all'originale (chiamata tecnica macro stealth).  
  19255. Mostra la macro solo nel modello di documento principale, 
  19256. ad eccezione delle macro del virus. 
  19257.  
  19258. La routine di Dietzel Φ molto simile a quella dei virus companion 
  19259. tradizionali. Il documento originale rimane intatto,
  19260. mentre per ogni documento salvato Dietzel crea una copia del
  19261. modello di documento principale infetto. Questo nuovo file viene 
  19262. collocato nella stessa directory ma con una estensione .BAK. 
  19263. Il documento salvato viene quindi registrato secondo questo 
  19264. nuovo file di modello infetto.
  19265. Ogni volta che viene chiuso un documento infetto, il file di 
  19266. modello infetto associato sarα caricato come un modello 
  19267. di documento principale.
  19268.  
  19269.  
  19270. [Word_Divina.A (a.k.a. Roberta)]
  19271. Nome del virus: Word.Divina.A (a.k.a. Roberta)
  19272. Tipo di Virus: Virus da macro di Word
  19273. Numero di Macro: 1
  19274. Criptato: Si
  19275. Nomi delle Macro: AutoClose
  19276. Lunghezza della Macro: 2357 Byte
  19277. Paese di origine: Italia
  19278. Data di origine: 1996
  19279. Distruttivo: No
  19280. Rilevato In The Wild: Si
  19281. Descrizione:
  19282.  
  19283. Divina infetta il modello di documento principale (normal.dot) 
  19284. quando viene aperto o chiuso un documento infetto. 
  19285. Altri documenti divengono infetti quando sono chiusi con il comando "AutoClose".
  19286.  
  19287. Divina possiede due procedure. 
  19288. La prima procedura controlla l'ora del sistema, e se Φ presente 
  19289. il valore 17 nel campo dei minuti, comparirα una serie di finestre. 
  19290. Alla comparsa di ogni finestra segue una pausa ed un beep.
  19291.  
  19292. "   ROBERTA TI AMO!   "
  19293.  
  19294. "   Virus 'ROBERTA' is running. Hard Disk damaged. Start antivirus?   "
  19295.  
  19296. "   Exit from system and low level format are recommended.   "
  19297.  
  19298. "   Exit from System?   "
  19299.  
  19300. Dopo l'ultimo messaggio Divina cerca di uscire da Windows.
  19301.  
  19302. La seconda procedura viene attivata il 21 maggio. Divina controllerα 
  19303. nuovamente l'ora del sistema, e se un documento Φ stato chiuso 
  19304. tra i 10 ed i 20 o tra i 40 ed i 50 minuti, compariranno altre 2 finestre.
  19305.  
  19306. "   DIVINA IS THE BEST!   "
  19307.  
  19308. Anche se Divina non contiene nessuna procedure distruttiva,
  19309. si dovrebbe eseguire una formattazione a basso livello 
  19310. del proprio hard drive.
  19311.  
  19312.  
  19313. [Word_Divina.B (a.k.a. Roberta)]
  19314. Nome del virus: Word.Divina.B (a.k.a. Roberta)
  19315. Tipo di Virus: Virus da macro di Word
  19316. Numero di Macro: 1
  19317. Criptato: Si
  19318. Nomi delle Macro: AutoClose
  19319. Lunghezza della Macro: 1774 Byte
  19320. Paese di origine: Italia
  19321. Data di origine: 1996
  19322. Distruttivo: No
  19323. Rilevato In The Wild: No
  19324. Descrizione:
  19325.  
  19326. La differenza maggiore tra questa versione ed il virus 
  19327. Divina.A originale, Φ l'assenza della seconda procedura nel 
  19328. virus Divina.B, che si attiva il 21 maggio.
  19329.  
  19330. Divina.B infetta il modello di documento principale (normal.dot) 
  19331. quando viene aperto o chiuso un documento infetto. 
  19332. Altri documenti divengono infetti quando sono chiusi con il 
  19333. comando "AutoClose".
  19334.  
  19335. Divina.B possiede una procedura che controlla l'ora del sistema. 
  19336. In caso di un valore di 17 nel campo dei minuti, compare una serie 
  19337. di finestre. Alla comparsa di ogni finestra segue una pausa ed un beep.
  19338.  
  19339.  
  19340. "   ROBERTA TI AMO!   "
  19341.  
  19342. "   Hard Disk damaged   "
  19343.  
  19344. "   Exit from system and low level format are recommended.   "
  19345.  
  19346. "   Exit from System?   "
  19347.  
  19348.  
  19349. Dopo l'ultimo messaggio Divina cerca di uscire da Windows.
  19350.  
  19351. Anche se Divina .B non contiene nessuna procedura distruttiva,
  19352. si dovrebbe eseguire una formattazione a basso livello 
  19353. del proprio hard drive.
  19354.  
  19355.  
  19356. [Word_Divina.C (a.k.a. Roberta)]
  19357. Nome del virus: Word.Divina.C (a.k.a. Roberta)
  19358. Tipo di Virus: Virus da macro di Word
  19359. Numero di Macro: 1
  19360. Criptato: Si
  19361. Nomi delle Macro: AutoClose
  19362. Lunghezza della Macro: 3234 Byte
  19363. Paese di origine: Italia
  19364. Data di origine: 1996
  19365. Distruttivo: No
  19366. Rilevato In The Wild: No
  19367. Descrizione:
  19368.  
  19369. Divina.C Φ una versione riscritta di Divina. Non contiene la 
  19370. seconda procedura, che viene attivata il 21 maggio.
  19371.  
  19372. Divina.C infetta il modello di documento principale (normal.dot) 
  19373. quando viene aperto e poi chiuso un documento infetto. 
  19374. Altri documenti divengono infetti quando sono chiusi (AutoClose).
  19375.  
  19376. Divina.C possiede una procedura che controlla l'ora del sistema. 
  19377. In caso di un valore di 17 nel campo dei minuti, compare una serie di finestre. Alla comparsa di ogni finestra segue una pausa ed un beep.
  19378.  
  19379.  Dopo l'ultimo messaggio Divina cerca di uscire da Windows.
  19380.  
  19381.  
  19382. [Word_Divina.D (a.k.a. Roberta)]
  19383. Nome del virus: Word.Divina.D (a.k.a. Roberta)
  19384. Tipo di Virus: Virus da macro di Word
  19385. Numero di Macro: 1
  19386. Criptato: Si
  19387. Nomi delle Macro: AutoClose
  19388. Lunghezza della Macro: 3234 Byte
  19389. Paese di origine: Italia
  19390. Data di origine: 1996
  19391. Distruttivo: No
  19392. Rilevato In The Wild: Si
  19393. Descrizione:
  19394.  
  19395. La differenza maggiore tra questa versione e Divina.C Φ che il 
  19396. codice Φ stato leggermente cambiato.
  19397. Divina.D infetta il modello di documento principale (normal.dot) 
  19398. quando viene aperto e poi chiuso un documento infetto. 
  19399. Altri documenti divengono infetti quando sono chiusi (AutoClose).
  19400.  
  19401. Divina.D possiede una procedura che controlla l'ora del sistema. 
  19402. In caso di un valore di 17 nel campo dei minuti, compare una 
  19403. serie di finestre. Alla comparsa di ogni finestra 
  19404. segue una pausa ed un beep.
  19405.  
  19406.  Dopo l'ultimo messaggio Divina.D cerca di uscire da Windows
  19407.  
  19408.  
  19409. [Word_Divina.E (a.k.a. Roberta)]
  19410. Nome del virus: Word.Divina.E (a.k.a. Roberta)
  19411. Tipo di Virus: Virus da macro di Word
  19412. Numero di Macro: 1
  19413. Criptato: Si
  19414. Nomi delle Macro: AutoClose
  19415. Lunghezza della Macro: 3295 Byte
  19416. Paese di origine: Italia
  19417. Data di origine: 1996
  19418. Distruttivo: No
  19419. Rilevato In The Wild: No
  19420. Descrizione:
  19421.  
  19422. La differenza maggiore tra questa versione e Divina.C Φ che 
  19423. il codice Φ stato leggermente cambiato.
  19424. Divina.E contiene 2 linee composte da "*".
  19425.  
  19426. Divina.E infetta il modello di documento principale (normal.dot) 
  19427. quando un documento infetto viene aperto e poi chiuso. 
  19428. Altri documenti divengono infetti quando sono chiusi (AutoClose).
  19429.  
  19430. Divina.E possiede una procedura che controlla l'ora del sistema. 
  19431. In caso di un valore di 17 nel campo dei minuti, compare una serie 
  19432. di finestre. Alla comparsa di ogni finestra segue una pausa ed un beep.
  19433.  
  19434.  Dopo l'ultimo messaggio Divina.E cerca di uscire da Windows
  19435.  
  19436.  
  19437. [Word_Divina.F (a.k.a. Roberta)]
  19438. Nome del virus: Word.Divina.F (a.k.a. Roberta)
  19439. Tipo di Virus: Virus da macro di Word
  19440. Numero di Macro: 1
  19441. Criptato: Si
  19442. Nomi delle Macro: AutoClose
  19443. Lunghezza della Macro: 3234 Byte
  19444. Paese di origine: Italia
  19445. Data di origine: 1997
  19446. Distruttivo: No
  19447. Rilevato In The Wild: No
  19448. Descrizione:
  19449.  
  19450. La differenza maggiore tra questa versione e il precedente 
  19451. virus Divina Φ che il codice Φ stato leggermente cambiato.
  19452. .
  19453.  
  19454. Divina.F infetta il modello di documento principale (normal.dot) 
  19455. quando viene aperto e poi chiuso un documento infetto. 
  19456. Altri documenti divengono infetti quando sono chiusi (AutoClose).
  19457.  
  19458. Per ulteriori informazioni, vedere la descrizione del virus Divina .
  19459.  
  19460.  
  19461. [Word_DMV.A (a.k.a. Demonstration)]
  19462. Nome del virus: Word.DMV.A (a.k.a. Demonstration)
  19463. Tipo di Virus: Virus da macro di Word
  19464. Numero di Macro: 1
  19465. Criptato: No
  19466. Nomi delle Macro: AutoClose
  19467. Lunghezza della Macro: 3002 Byte
  19468. Paese di origine: USA
  19469. Data di origine: Autunno 1994
  19470. Distruttivo: No
  19471. Rilevato In The Wild: No
  19472. Descrizione:
  19473.  
  19474. DMV fu il primo virus da macro scritto da Joel McNamara, 
  19475. che pubblic≥ un articolo dettagliato sui virus da macro. 
  19476. Si suppone che
  19477. DMV abbia dato spunto ad altri autori di virus per scrivere 
  19478. virus da macro di Word. Dato che l'articolo non fu pubblicato 
  19479. prima della scoperta di Concept, gli autori di virus furono 
  19480. spronati ad utilizzare un'altra tecnica.
  19481. Joel McNamara pubblic≥ inoltre un virus da macro di Excel, 
  19482. che non Φ funzionante (Excel.DMV.A)
  19483.  
  19484. DMV infetta il modello di documento principale (normal.dot) 
  19485. quando viene chiuso un documento infetto. Altri documenti 
  19486. divengono infetti quando vengono anch'essi chiusi.
  19487.  
  19488. All'infezione, DMV mostra i seguenti messaggi:
  19489.  
  19490. "   Counting global Macro   "
  19491.  
  19492. "   AutoClose macro virus is already installed in NORMAL.DOT.   "
  19493.  
  19494. "   Infected NORMAL.DOT with a copy of AutoClose macro virus.   "
  19495.  
  19496. "   AutoClose macro virus already present in this document.   "
  19497.  
  19498. "   Saved current document as template.   "
  19499.  
  19500. "   Infected current document with copy of AutoClose macro virus.   "
  19501.  
  19502. "   Macro virus has been spread. Now execute some other code   "
  19503. "                 (good, bad, or indifferent).                 "
  19504.  
  19505.  
  19506. [Word_DMV.B (a.k.a. Waverly)]
  19507. Nome del virus: Word.DMV.B (a.k.a. Waverly)
  19508. Tipo di Virus: Virus da macro di Word
  19509. Numero di Macro: 1
  19510. Criptato: No
  19511. Nomi delle Macro: AutoClose
  19512. Lunghezza della Macro: 1249 Byte
  19513. Paese di origine: Australia
  19514. Data di origine: 10\06
  19515. Payload: Si
  19516. Rilevato In The Wild: No
  19517. Descrizione:
  19518.  
  19519. DMV.B infetta il modello di documento principale (normal.dot) quando 
  19520. viene chiuso un documento infetto. Altri documenti divengono infetti 
  19521. quando vengono anch'essi chiusi.
  19522.  
  19523. Se il secondo campo Φ maggiore di 45 ed il mese Φ ottobre o successivo, 
  19524. DMV.B aggiunge il seguente testo alla fine del documento attivo:
  19525.  
  19526. " We are citizens of Australia.   "
  19527. " We are youth of Victoria.   "
  19528. " We are victims of Mount Waverley Secondary College.   "
  19529. " We tolerated your discipline.   "
  19530. " We stomached your abuse.   "
  19531. " We bore your unprofessionalism.   "
  19532. " We toed the line to protect the bullshit image of YOUR school.   "
  19533. " We watched our friends be pressured out of your school,   "
  19534. " just so you could keep your fucking pass rate figures up.   "
  19535. " And now the world will see, through the spread of this virus
  19536. " just how TOTALLY FUCKED UP we are!   "
  19537. " Parents: yeah- go ahead send your kids to a school where about half
  19538. " of us use drugs. You won't see those figures in the glossy brochure."
  19539. " This community announcement was proudly sponsored by:   "
  19540. " M.W.S.C. Year 12 Class Of '96. - in YOUR face.   "
  19541.  
  19542.  
  19543.  
  19544. [Word_DMV.C]
  19545. Nome del virus: Word.DMV.C
  19546. Tipo di Virus: Virus da macro di Word
  19547. Numero di Macro: 1
  19548. Criptato: No
  19549. Nomi delle Macro: AutoClose
  19550. Lunghezza della Macro: 2990 Byte
  19551. Paese di origine: Sconosciuto
  19552. Data di origine: Sconosciuta
  19553. Distruttivo: No
  19554. Rilevato In The Wild: No
  19555. Descrizione:
  19556.  
  19557. La differenza tra questa nuova versione ed il virus
  19558. DMV.A originale Φ che alcuni codici del virus sono stati riformattati 
  19559. ed alcune parti sono state perse (indirizzo e-mail).
  19560.  
  19561. DMV.C infetta il modello di documento principale (normal.dot) 
  19562. quando viene chiuso un documento infetto. Altri documenti divengono 
  19563. infetti quando vengono anch'essi chiusi.
  19564.  
  19565. Compare il seguente messaggio quando il modello di documento 
  19566. principale Φ stato infettato:
  19567.  
  19568. "   Counting global Macro   "
  19569. "   Infected NORMAL.DOT with copy of AutoClose macro virus   "
  19570. "   Macro vir. has been spread. Now execute some other code.   "
  19571.  
  19572. Quando un nuovo documento diviene infetto (il modello di documento 
  19573. principale Φ giα infetto), DMV mostra il seguente messaggio:
  19574.  
  19575. "   AutoClose macro vir. is already installed in NORMAL.DOT   "
  19576. "   Saved current document as template.   "
  19577. "   Infected current .doc with copy of AutoClose macro vir.   "
  19578. "   Macro vir. has been spread. Now execute some other code.   "
  19579.  
  19580. Il codice del virus contiene al suo inizio il seguente messaggio:
  19581.  
  19582. "   REM This demonstrates an application-specific document virus   "
  19583. "   REM generated by an automatic macro in Microsoft Word for   "
  19584. "   REM Windows 6.0. Code is executed each time a document is closed."
  19585. "   REM This macro is only a demonstration, and does not perform any "
  19586. "   REM Distruttivo actions.   "
  19587.  
  19588. "   REM The purpose of this code is to reveal a significant security "
  19589. "   REM risk in software that supports macro languages with   "
  19590. "   REM auto-loading capabilities.  Current virus detection tools are"
  19591. "   REM not presently capable of detecting this type of virus, and   "
  19592. "   REM most users are blissfully unaware that threats can come from "
  19593. "   REM documents.   "
  19594.  
  19595. "   REM Paste this code in the macro Window of a Word document   "
  19596. "   REM template. Save the macro as AutoClose.  Enter some random   "
  19597. "   REM text in the main word processing window and save the document."
  19598. "   REM Now copy the file, naming the new file VIRUS.DOC.  Open   "
  19599. "   REM VIRUS.DOC in Word.  It will appear as a normal document, but  "
  19600. "   REM when you close the document, the virus will execute.   "
  19601.  
  19602. "   REM Message boxes display progress as the code is executed.   "
  19603. "   REM Code is commented.   "
  19604.  
  19605. "   REM Joel McNamara, December 17, 1994   "
  19606.  
  19607.  
  19608. [Word_Doggie.A]
  19609. Nome del virus: Word.Doggie.A
  19610. Tipo di Virus: Virus da macro di Word
  19611. Numero di Macro: 3
  19612. Criptato: No
  19613. Nomi delle Macro: AutoOpen, Doggie, File/Salva con nome
  19614. Lunghezza della Macro: 610 Byte
  19615. Paese di origine: USA
  19616. Data di origine: Estate 1996
  19617. Distruttivo: No
  19618. Rilevato In The Wild: No
  19619. Descrizione:
  19620.  
  19621. Doggie infetta il modello di documento principale (normal.dot) quando 
  19622. viene aperto un documento infetto. Altri documenti divengono infetti 
  19623. con il comando "File/Salva con nome".
  19624.  
  19625. Doggie Φ uno dei pochi virus da macro non distruttivi. Infetta solo 
  19626. altri file e mostra il messaggio:
  19627.  
  19628.  
  19629. "    Doggie   "
  19630.  
  19631.  
  19632. [Word_Drugs.A:De]
  19633. Nome del virus: Word.Drugs.A:De
  19634. Tipo di Virus: Virus da macro di Word
  19635. Numero di Macro: 9
  19636. Criptato: Si
  19637. Nomi delle Macro: AutoOpen, Dateidrucken, DateidruckenStandard,
  19638. DateiSpeichern, DateiSpeichernUnter, DateiSchliessen, DokumentSchliessen, 
  19639. DateiDokVorlagen, ExtrasMakro
  19640. Lunghezza della Macro: 8013 Byte
  19641. Paese di origine: Germania
  19642. Data di origine: Marzo 1997
  19643. Distruttivo: Si
  19644. Rilevato In The Wild: No
  19645. Descrizione:
  19646.  
  19647. Drugs infetta il modello di documento principale quando viene aperto 
  19648. un documento infetto (AutoOpen).
  19649.  
  19650. Drugs utilizza comandi di linguaggio specifici, per questo lavora solo 
  19651. con la versione tedesca di Microsoft Word.
  19652. Usa "ExtrasMakro" e nasconde DokumentVorlagen per rendere pi∙ difficile 
  19653. l'identificazione di un documento infetto (chiamata tecnica
  19654. macro stealth).
  19655.  
  19656. Drugs contiene diverse procedure distruttive.
  19657.  
  19658. 1. Cancella tutti i file con estensione *.DLL nella seguente directory:
  19659.    C:\WINDOWS\SYSTEM
  19660. 2. Sostituisce delle parole nei documenti stampati:
  19661.    "und" con "oder"
  19662.    "da▀" con "das"
  19663.    "nΣmlich" con "nΣhmlich"
  19664. 3. Inserisce interruzioni di pagina.
  19665.  
  19666.  
  19667.  
  19668. [Word_Dub.A]
  19669. Nome del virus: Word.Dub.A
  19670. Tipo di Virus: Virus da macro di Word
  19671. Numero di Macro: 13
  19672. Criptato: Si
  19673. Nomi delle Macro: AutoExec, NewDocInsert, Strumenti/Macro, FileTemplates, 
  19674. File/Salva con nome, FcDub, AeDub, Annhilator, Message SearchDestroyer, 
  19675. ExeKiller, KillIt (FileClose)
  19676. Lunghezza della Macro: 22669 Byte nei documenti, 25325 Byte nel 
  19677. modello di documento principale
  19678. Paese di origine: Baku, Azerbaijan
  19679. Data di origine: Primavera 1997
  19680. Distruttivo: Si
  19681. Rilevato In The Wild: No
  19682. Descrizione:
  19683.  
  19684. Quando Dub diventa attivo, cerca nel drive C:\  i documenti (C:\*.DOC). 
  19685. Infetta tutti i documenti che hanno il formato 6/7 di Word.
  19686.  
  19687. Dopo ogni infezione, Dub scrive un file log dove segna tutti i 
  19688. documenti alterati (il testo esistente Φ sostituito con "666").
  19689.  
  19690. Dub.A usa "Strumenti/Macro" e "FileTemplates" per rendere pi∙ 
  19691. difficile l'identificazione di un file infetto (chiamata tecnica
  19692. macro stealth). Si consiglia di non accedere ai due suddetti menu, 
  19693. in quanto risulterα in esecuzione il codice virale di Dub.
  19694.  
  19695. Dub contiene diverse procedure:
  19696.  
  19697. 1. Quando viene salvato un documento infetto (File/Salva con nome) 
  19698. alle ore 4:00, Dub mostra il seguente messaggio:
  19699.  
  19700.     "   Do you believe in Satan?   "
  19701.  
  19702. 2. Quando parte Microsoft Word (AutoExec) il 13 di ogni mese, 
  19703. Dub cerca di cancellare i seguenti file:
  19704.    *.EXE.
  19705.  
  19706. 3. All'infezione, tutto il testo esistente Φ sostituito con " 666 ".
  19707.  
  19708.  
  19709. [Word_Dzt.A]
  19710. Nome del virus: Word.Dzt.A
  19711. Tipo di Virus: Virus da macro di Word
  19712. Numero di Macro: 2
  19713. Criptato: Si
  19714. Nomi delle Macro: AutoOpen (File/Salva), File/Salva con nome
  19715. Lunghezza della Macro: 2033 Byte
  19716. Paese di origine: Indonesia
  19717. Data di origine: Aprile 1996
  19718. Distruttivo: No
  19719. Rilevato In The Wild: Si
  19720. Descrizione:
  19721.  
  19722. Dzt.A si attiva quando viene aperto un documento infetto
  19723. (AutoOpen).  Altri documenti divengono infetti quando sono 
  19724. salvati con i comandi "File/Salva" e "File/Salva con nome".
  19725.  
  19726. Mentre infetta un documento, Dzt.A aggiunge il seguente 
  19727. testo alla sezione Commenti di File|Properties:
  19728.  
  19729. "   DZT   "
  19730.  
  19731.  
  19732. [Word_Dzt.B]
  19733. Nome del virus: Word.Dzt.B
  19734. Tipo di Virus: Virus da macro di Word
  19735. Numero di Macro: 1
  19736. Criptato: Si
  19737. Nomi delle Macro: AutoOpen (File/Salva)
  19738. Lunghezza della Macro: 1214 Byte
  19739. Paese di origine: Indonesia
  19740. Data di origine: Aprile 1996
  19741. Distruttivo: No
  19742. Rilevato In The Wild: Si
  19743. Descrizione:
  19744.  
  19745. Dzt.B si attiva quando viene aperto un documento infetto
  19746. (AutoOpen).  Altri documenti divengono infetti quando sono 
  19747. salvati con il comando "File/Salva".
  19748.  
  19749. La differenza maggiore tra questa nuova versione e il virus
  19750. Dzt.A originale Φ che la macro "File/Salva con nome" viene persa.
  19751.  
  19752.  
  19753. [Word_Dzt.C]
  19754. Nome del virus: Word.Dzt.C
  19755. Tipo di Virus: Virus da macro di Word
  19756. Numero di Macro: 1
  19757. Criptato: Si
  19758. Nomi delle Macro: File/Salva con nome
  19759. Lunghezza della Macro: 819 Byte
  19760. Paese di origine: Indonesia
  19761. Data di origine: Aprile 1996
  19762. Distruttivo: No
  19763. Rilevato In The Wild: Si
  19764. Descrizione:
  19765.  
  19766. La differenza maggiore tra questa nuova versione e il virus
  19767. Dzt.A originale Φ che la macro "AutoOpen"  viene persa. 
  19768.  
  19769. Con molta probabilitα, Dzt.C fu creato da una vecchia versione di 
  19770. un popolare prodotto anti-virus. La routine di disinfezione era difettosa e
  19771. dimentic≥ di rimuovere la macro "AutoOpen".
  19772.  
  19773.  
  19774. [Word_Dzt.D]
  19775. Nome del virus: Word.Dzt.D
  19776. Tipo di Virus: Virus da macro di Word
  19777. Numero di Macro: 2
  19778. Criptato: Si
  19779. Nomi delle Macro: AutoOpen (File/Salva), File/Salva con nome
  19780. Lunghezza della Macro: 2584 Byte
  19781. Paese di origine: Indonesia
  19782. Data di origine: Aprile 1996
  19783. Distruttivo: No
  19784. Rilevato In The Wild: No
  19785. Descrizione:
  19786.  
  19787. La differenza maggiore tra questa nuova versione ed il virus Dzt.A 
  19788. originale Φ che il commento nella sezione File|Properties
  19789. Cambia da "DZT" a "DZT'96."
  19790.  
  19791. La macro "File/Salva con nome" Φ inoltre parzialmente alterata.
  19792.  
  19793. Per ulteriori informazioni vedere la descrizione del virus Dzt.A.
  19794.  
  19795.  
  19796. [Word_Easy.A (a.k.a. EasyMan)]
  19797. Nome del virus: Word.Easy.A (a.k.a. EasyMan)
  19798. Tipo di Virus: Virus da macro di Word
  19799. Numero di Macro: 1
  19800. Criptato: Si
  19801. Nomi delle Macro: AutoOpen
  19802. Lunghezza della Macro: 1090 Byte
  19803. Paese di origine: Austria
  19804. Data di origine: Settembre 1996
  19805. Distruttivo: Si
  19806. Rilevato In The Wild: No
  19807. Descrizione:
  19808.  
  19809. Easy si attiva quando viene aperto un documento infetto
  19810. (AutoOpen). Se la macro"AutoOpen" Φ giα presente nel modello di 
  19811. documento principale, Easy non infetta.
  19812.  
  19813. Il testo seguente verrα inserito all'inizio di un documento aperto
  19814. ad una data e con un colore scelti a caso:
  19815.  
  19816. "   It's Easy Man   "
  19817.  
  19818. Successivamente Easy mostra il testo seguente nella barra di stato:
  19819.  
  19820. "   Word.EasyMan, written by Spooky   "
  19821.  
  19822.  
  19823. [Word_Epidemic.A]
  19824. Nome del virus: Word.Epidemic.A
  19825. Tipo di Virus: Virus da macro di Word
  19826. Numero di Macro: 2
  19827. Criptato: Si
  19828. Nomi delle Macro: AutoOpen, AutoExec
  19829. Lunghezza della Macro: 38746 Byte
  19830. Paese di origine: Taiwan
  19831. Data di origine: Gennaio 1997
  19832. Distruttivo: Si
  19833. Rilevato In The Wild: No
  19834. Descrizione:
  19835.  
  19836. Quando viene aperto un documento infetto, Epidemic infetta il
  19837. modello di documento principale (normal.dot). Altri documenti 
  19838. divengono infetti quando sono aperti (AutoOpen) o quando parte 
  19839. Microsoft Word (AutoExec).
  19840.  
  19841. Epidemic possiede diverse procedure distruttive:
  19842.  
  19843. 1. Il 27 aprile, Epidemic formatta l'hard disk (simile a FormatC).
  19844. 2. Il 17 giugno, usa DEBUG.EXE per spostare le istruzioni del virus 
  19845. basato sul DOS "Natas" nel file con estensione *.COM in C:\MOUSE. 
  19846. Modifica inoltre C:\AUTOEXEC.BAT per chiamare C:\MOUSE.COM al successivo avvio.
  19847. 3. Il 10 ottobre, cancella i seguenti file:
  19848.    "   C:\IO.SYS   "
  19849.    "   C:\MSDOS.SYS   "
  19850.    "   C:\COMMAND.COM   "
  19851.  
  19852.    Questa operazione renderα inavviabile il computer.
  19853.  
  19854. Compare quindi il seguente messaggio:
  19855.  
  19856. "   EPIDEMIC  Macro  Virus  V1.1   "
  19857.  
  19858. Epidemic lavora solo con la versione cinese di Microsoft Word.
  19859.  
  19860.  
  19861. [Word_Trojan.FormatC (a.k.a. TrojanFormat)]
  19862. Nome del virus: Word.Trojan.FormatC (a.k.a. TrojanFormat)
  19863. Tipo di Virus: Virus da macro di Word
  19864. Numero di Macro: 1
  19865. Criptato: No
  19866. Nomi delle Macro: AutoOpen
  19867. Lunghezza della Macro: 81 Byte
  19868. Paese di origine: Inviato su Usenet
  19869. Data di origine: Sconosciuta
  19870. Distruttivo: Si
  19871. Rilevato In The Wild: No
  19872. Descrizione:
  19873.  
  19874. FormatC non Φ un virus ma un cavallo di Troia, che non si replica.
  19875.  
  19876. Quando viene aperto un documento infetto, il cavallo di Troia attiva 
  19877. la procedura distruttiva, che scrive in una piccola finestra di DOS 
  19878. " Format C: /U " quindi formatta il drive C.
  19879.  
  19880. FormatC non diffonde facilmente dato che non infetta altri file.
  19881.  
  19882.  
  19883. [Word_Friendly.A:De]
  19884. Nome del virus: Word.Friendly.A:De
  19885. Tipo di Virus: Virus da macro di Word
  19886. Numero di Macro: 20
  19887. Criptato: No
  19888. Nomi delle Macro: Abbrechen, AutoExec, AutoOpen, Cancel, DateiBeenden, 
  19889. DateiNeu, DateiOeffnen, DateiSchliessen, DateiSpeichern, 
  19890. DateiSpeichernUnter, ExtrasMacro, ExtrasMakro, Fast, File/Esci, 
  19891. File/Nuovo, File/Apri, File/Salva, File/Salva con nome, Infizieren, Talk
  19892. Lunghezza della Macro: 9867 Byte
  19893. Paese di origine: Germania
  19894. Data di origine: Maggio 1996
  19895. Distruttivo: Si
  19896. Rilevato In The Wild: No
  19897. Descrizione:
  19898.  
  19899. Friendly rappresenta lo sforzo di scrivere un virus per diverse 
  19900. lingue in modo da ovviare agli errori di traduzione (ExtrasMacro
  19901. al posto di Strumenti/Macro) Friendly lavora solo con la versione 
  19902. tedesca di Microsoft Word.
  19903.  
  19904. Friendly cerca di infettare il modello di documento principale (normal.dot) 
  19905. quando viene aperto un documento infetto. Controlla un'eventuale precedente 
  19906. infezione del modello di documento principale cercando il testo "Friendly", 
  19907. Author = Nightmare". Dopo che la macro Φ stata trasferita la procedura 
  19908. distruttiva viene chiamata dalla macro "Fast".
  19909.  
  19910. Friendly infetta altri documenti ogni volta che ne viene creato uno nuovo, 
  19911. che un'azione viene cancellata, che vengono aperti, chiusi salvati dei 
  19912. documenti o che si esce da Word. Friendly non controlla una precedente 
  19913. infezione del documento. Sovrascrive semplicemente le macro esistenti.
  19914.  
  19915. La procedura distruttiva, nella macro "Fast", viene chiamata
  19916. quando l'orologio di sistema ha il valore dei secondi inferiore a 2.
  19917. Friendly crea quindi uno script di debug nella directory C:\DOS 
  19918. ed esegue il comando DOS DEBUG.EXE. Inoltre, Friendly aggiunge un'entrata 
  19919. in AUTOEXEC.BAT, cos∞ il virus basato su DOS si attiva al successivo riavvio. 
  19920. Il virus basato sul DOS dentro a Friendly ha una lunghezza di 395 Byte ed Φ 
  19921. un virus companion residente in memoria criptato con CryptCOM.
  19922.  
  19923. Friendly mostra il 1 gennaio il seguente testo:
  19924.  
  19925. "   Ein gutes neues Jahr !   "
  19926.  
  19927. ed infetta i file con estensione *.EXE all'esecuzione. File con 
  19928. estensione *.COM vengono creati con lo stesso nome dei
  19929. file con estensione *.EXE e con gli attributi "READ-ONLY"
  19930. e "HIDDEN."
  19931.  
  19932. Se il virus Φ attivo, compare il seguente testo quando
  19933. si cerca di far comparire la lista della macro:
  19934.  
  19935. "You can't do that!"
  19936. "I'm very anxious!"
  19937. "Hello my friend!"
  19938. "<< Friends >> Virus"
  19939.  
  19940. (tradotto:)
  19941.  
  19942. "Du kannst das nicht tun!"
  19943. "Ich bin sehr aengstlich!"
  19944. "Hallo mein Freund!"
  19945. "<< Friends >> Virus"
  19946.  
  19947. Dopo il 1 maggio, Friendly mostra il seguente testo quando infetta 
  19948. dei documenti per la prima volta (tranne NORMAL.DOT).
  19949.  
  19950. "Hallo mein Freund!"
  19951. "Ich bin der << Friends >> Virus und wie heißt du?"
  19952. "Gib doch bitte anschließend unten deinen Namen ein:"
  19953. "Also ..... ich habe eine gute und eine schlechte Nachricht fuer
  19954. dich!"
  19955. "Die schlechte Nachricht ist, daß ich mich auf deiner Platte
  19956. eingenistet"
  19957. "habe und die gute ist, daß ich aber ein freundlicher und auch
  19958. nuetzlicher"
  19959. "Virus bin. Druecke bitte OK fuer Weiter!"
  19960. "Wenn du mich nicht killst, dann fuege ich ein Programm in deine"
  19961. "Autoexec.bat ein, daß deine lame Tastatur etwas auf Touren bringt."
  19962. "Also ...., gib dir einen Ruck und kill mich nicht. Goodbye!"
  19963.  
  19964. (tradotto:)
  19965.  
  19966. "Hello my Friend!"
  19967. "I'm the << Friends >> Virus and how are you?"
  19968. "Can you give me your name, please?"
  19969. "Hello .... I have a good and a bad message for you! The bad message is
  19970. that"
  19971. "you have now a Virus on your Harddisk and the good message is that
  19972. I'm"
  19973. "harmless and useful. Press OK!"
  19974.  
  19975. "If you don't kill me, I will insert a programme in your AutoExec.bat
  19976. thats"
  19977. "your Keyboard accelerated. Please .... don't kill me. Goodbye!"
  19978.  
  19979. Comparirα quindi il nome inviato.
  19980.  
  19981.  
  19982. [Word_Fury.A (a.k.a. Greenfury)]
  19983. Nome del virus: Word.Fury.A (a.k.a. Greenfury)
  19984. Tipo di Virus: Virus da macro di Word
  19985. Numero di Macro: 4
  19986. Criptato: Si
  19987. Nomi delle Macro:  GreenFury, GGGFFF (FileSalvaConNome), FFFGGG, AutoOpen
  19988. Lunghezza della Macro:  2322
  19989. Paese di origine: Sconosciuto
  19990. Data di origine: Sconosciuta
  19991. Distruttivo: Si
  19992. Rilevato In The Wild: No
  19993. Descrizione:
  19994.  
  19995. Fury Φ un altro virus che lavora solo con la versione italiana 
  19996. di Microsoft Word.
  19997.  
  19998. Fury infetta il modello di documento principale (normal.dot) quando 
  19999. viene aperto un documento infetto. Altri documenti divengono infetti 
  20000. quando sono salvati con il comando "FileSalvaConNome --> tradotto:
  20001. FileSaveAs".
  20002.  
  20003. Quando Fury viene caricato in una versione di Word non italiana, 
  20004. cancella tutti i file nella directory corrente.
  20005.  
  20006. Fury mette una password casuale al documento attivo.
  20007.  
  20008.  
  20009. [Word_FutureNot.A (a.k.a. Anti-IVX, Future)]
  20010. Nome del virus: Word.FutureNot.A (a.k.a. Anti-IVX, Future)
  20011. Tipo di Virus: Virus da macro di Word
  20012. Numero di Macro: 1 o 2 (nel modello di documento principale)
  20013. Criptato: No
  20014. Nomi delle Macro: AutoOpen (File/Salva con nome)
  20015. Lunghezza della Macro: Polimorfica
  20016. Paese di origine: Sconosciuto
  20017. Data di origine: 1997
  20018. Distruttivo: No
  20019. Rilevato In The Wild: No
  20020. Descrizione:
  20021.  
  20022. FutureNot Φ il primo virus da macro polimorfico.
  20023.  
  20024. Quando viene aperto un documento infetto, FutureNot infetta il
  20025. modello di documento principale. Crea due macro nel modello di 
  20026. documento principale.
  20027. Una Φ sempre "File/Salva con nome" e la seconda Φ una copia di
  20028. "AutoOpen" con un nome scelto a caso
  20029.  
  20030. Mentre la seconda macro rimane la stessa, la macro File/Salva con 
  20031. nome cambia a causa dei commenti selezionati a caso.
  20032. Aggiunge il seguente commento al termine del file:
  20033.  
  20034. "    @ATTRIB -R C:\MSOFFICE\WINWORD\TEMPLATE\NORMAL.DOT > NUL   "
  20035.  
  20036. Questo elimina l'attributo Read-Only dal modello di documento principale.
  20037.  
  20038.  
  20039. [Word_Gangsterz.A (a.k.a Big Daddy Cool, Daddy)]
  20040. Nome del virus: Word.Gangsterz.A (a.k.a Big Daddy Cool, Daddy)
  20041. Tipo di Virus: Virus da macro di Word
  20042. Numero di Macro: 2
  20043. Criptato: Si
  20044. Nomi delle Macro: Gangsterz, Paradise
  20045. Lunghezza della Macro: 4250 Byte
  20046. Paese di origine: Germania
  20047. Data di origine: Sconosciuta
  20048. Payload: Si
  20049. Rilevato In-The-Wild: No
  20050. Descrizione:
  20051.  
  20052. Gangsterz utilizza un nuovo meccanismo di attivazione. 
  20053. AnzichΘ usare le macro automatiche (AutoOpen, etc.) o ridefinire 
  20054. i comandi di Word, usa assegnare delle chiavi per far partire le sue macro.
  20055.  
  20056. La macro "Gangsterz" Φ associata alla pressione del tasto space e 
  20057. la macro "Paradise" alla pressione di "e." se si preme uno di queste due
  20058. tasti mentre si lavora in un documento infetto, le macro associate 
  20059. vengono attivate.
  20060.  
  20061. Se un documento viene infettato il giorno 1 gennaio, viene creato 
  20062. un nuovo documento con il seguente testo:
  20063.  
  20064. "   Big_Daddy_Cool virus generated by NJ   "
  20065.  
  20066. e lo riempie con uno scorrere di O.
  20067.  
  20068. Se il valore di  XOP, regolato nella sezione [intl] di win.ini, 
  20069. Φ impostato su "Installed", Gangsterz crea un file di batch (XOP.bat) 
  20070. dopo che il virus si attiva. Aggiunge una linea al file C:\AUTOEXEC.BAT 
  20071. per far partire il virus.
  20072.  
  20073.  
  20074. [Word_Goldfish.A (a.k.a Fishfood)]
  20075. Nome del virus: Word.Goldfish.A (a.k.a Fishfood)
  20076. Tipo di Virus: Virus da macro di Word
  20077. Numero di Macro: 2
  20078. Criptato: Si
  20079. Nomi delle Macro: AutoOpen, AutoClose
  20080. Lunghezza della Macro: 9867 Byte
  20081. Paese di origine: USA
  20082. Data di origine: Luglio 1996
  20083. Distruttivo: No
  20084. Rilevato In The Wild: No
  20085. Descrizione:
  20086.  
  20087. Goldfish infetta il modello di documento principale (normal.dot) 
  20088. quando viene aperto un documento infetto. Altri documenti divengono 
  20089. infetti quando vengono anch'essi aperti ("AutoOpen").
  20090. Goldfish Φ uno dei pochissimi virus da macro non-distruttivi. 
  20091. Infetta solo altri file e mostra il seguente messaggio:
  20092.  
  20093. "   I am the goldfish, I am hungry, feed me.  "
  20094.  
  20095. Il messaggio non scompare fino a quando non si digita una risposta 
  20096. accettabile. Le risposte valide sono:
  20097.  
  20098. "fishfood"
  20099. "worms"
  20100. "worm"
  20101. "pryme"
  20102. "core"
  20103.  
  20104.  
  20105. [Word_GoodNight.A]
  20106. Nome del virus: Word.GoodNight.A
  20107. Tipo di Virus: Virus da macro di Word
  20108. Numero di Macro: 10
  20109. Criptato: No
  20110. Nomi delle Macro: Exit, AutoExec, AutoExit, AutoOpen,
  20111. File/Apri, File/Salva, AutoClose, FileClose, File/Salva con nome, 
  20112. FileCloseAll
  20113. Lunghezza della Macro: 4992 Byte
  20114. Paese di origine: Sconosciuto
  20115. Data di origine: Primavera 1997
  20116. Payload: Si
  20117. Rilevato In-The-Wild: Si
  20118. Descrizione:
  20119.  
  20120. GoodNight.A infetta il modello di documento principale (normal.dot) 
  20121. quando viene aperto un documento infetto. Altri documenti sono infettati 
  20122. quando vengono chiusi (AutoClose, FileClose, AutoExit,
  20123. and FileCloseAll) o salvati (File/Salva and File/Salva con nome).
  20124.  
  20125. Quando GoodNight si attiva, cerca di uscire da Microsoft Word.
  20126.  
  20127. GoodNight.A si trasforma in GoodNight.A1 (9 macro con 4431
  20128. Byte) e poi in GoodNight.A2 (6 macro con 2763 Byte).
  20129. GoodNight.A2 non Φ in grado di diffondere ulteriormente, 
  20130. non infetta altri documenti.
  20131.  
  20132.  
  20133. [Word_Haggis.A]
  20134. Nome del virus: Word.Haggis.A
  20135. Tipo di Virus: Virus da macro di Word
  20136. Numero di Macro: 1
  20137. Criptato: Si
  20138. Nomi delle Macro: AutoOpen
  20139. Lunghezza della Macro: 300 Byte
  20140. Paese di origine: Sconosciuto
  20141. Data di origine: Primavera 1997
  20142. Payload: Si
  20143. Rilevato In-The-Wild: No
  20144. Descrizione:
  20145.  
  20146. Haggis infetta il modello di documento principale quando viene 
  20147. aperto un documento infetto. Altri documenti divengono infetti 
  20148. quando sono anch'essi aperti (AutoOpen).
  20149.  
  20150. Haggis rimuove "Strumenti/Macro" per rendere pi∙ difficile 
  20151. l'identificazione di un documento infetto (chiamata tecnica macro stealth).
  20152.  
  20153. Quando Haggis si attiva, imposta la password "   Haggis   " 
  20154. per attivare il documento.
  20155.  
  20156. Se si trova un documento con una password sconosciuta, scaricare 
  20157. una copia di WinWord Password Recovery Tool
  20158. (wwprt). E' disponibile all'indirizzo: www.vdsarg.com.
  20159.  
  20160.  
  20161. [Word_Hassle.a (a.k.a Bogus)]
  20162. Nome del virus: Word.Hassle.a (a.k.a Bogus)
  20163. Tipo di Virus: Virus da macro di Word
  20164. Numero di Macro: 7
  20165. Criptato: Si
  20166. Nomi delle Macro: AutoClose, Strumenti/Macro, Microsoft01, 
  20167. Microsoft02, Microsoft03, Microsoft04, Microsoft05
  20168. Lunghezza della Macro: 8283 Byte
  20169. Paese di origine: USA
  20170. Data di origine: Agosto 1996
  20171. Distruttivo: No
  20172. Rilevato In The Wild: No
  20173. Descrizione:
  20174.  
  20175. Hassle Φ un altro virus che utilizza la macro "Strumenti/Macro" 
  20176. per rendere pi∙ difficile l'identificazione di un documento infetto 
  20177. (chiamata tecnica macro stealth).
  20178.  
  20179. Se si seleziona un comando qualsiasi, il virus mostra il seguente 
  20180. messaggio e chiude Microsoft Word:
  20181.  
  20182. "   Out of Memory or System Resources   "
  20183.  
  20184. Hassle Φ uno dei pochissimi virus da macro non distruttivo. 
  20185. Infetta solo altri file e mostra la seguente finestra:
  20186.  
  20187. "   Are you sure to Quit?   "
  20188.  
  20189. questo si verifica raramente, con il 5% di probabilitα.
  20190.  
  20191. Un'altra procedura chiede all'utente di registrare un software 
  20192. con Microsoft.
  20193. Hassle accetterα solo:
  20194.  
  20195. "Bill Gates", "Microsoft" e "666"
  20196.  
  20197. Ogni volta che si seleziona il comando Tools/Macro, Hassle
  20198. mostrerα il seguente testo sullo schermo in basso:
  20199.  
  20200. "   Microsoft Word Assistant Version 6.2   "
  20201.  
  20202.  
  20203. [Word_Hellga.A (a.k.a DNZ, Hellgate)]
  20204. Nome del virus: Word.Hellga.A (a.k.a DNZ, Hellgate)
  20205. Tipo di Virus: Virus da macro di Word
  20206. Numero di Macro: 10
  20207. Criptato: Si
  20208. Nomi delle Macro: AutoClose, DnZ, EditCut, EditCopy, File/Nuovo,
  20209. File/Esci, FileTemplates, ToolsSpelling, Strumenti/Macro, 
  20210. ToolsCustomize
  20211. Lunghezza della Macro: 2498 Byte
  20212. Paese di origine: Sconosciuto
  20213. Data di origine: Sconosciuta
  20214. Payload: Si
  20215. Rilevato In-The-Wild: No
  20216. Descrizione:
  20217.  
  20218. Hellga infetta ogni volta che viene chiamata la macro "DnZ" da una 
  20219. delle macro del virus. Infetta quindi il modello di 
  20220. documento principale (normal.dot) ed altri documenti. Hellga 
  20221. aggiunge inoltre la regolazione "Program=Installed" alla sezione [Demo] 
  20222. di win.ini (cartella di Windows).
  20223.  
  20224. Il seguente messaggio compare il 9 marzo di ogni anno:
  20225.  
  20226. "   WM.DnZ   "
  20227. "   Written by Bill_HellGateS   "
  20228.  
  20229.  
  20230. [Word_Helper.A]
  20231. Nome del virus: Word.Helper.A
  20232. Tipo di Virus: Virus da macro di Word
  20233. Numero di Macro: 1
  20234. Criptato: Si
  20235. Nomi delle Macro: AutoClose
  20236. Lunghezza della Macro: 409 Byte
  20237. Paese di origine: Sconosciuto
  20238. Data di origine: Sconosciuta
  20239. Payload: Si
  20240. Rilevato In-The-Wild: Si
  20241. Descrizione:
  20242.  
  20243. Helper infetta il modello di documento principale (normal.dot)
  20244. quando viene chiuso un documento infetto. 
  20245. Altri documenti divengono infetti quando sono anch'essi chiusi.
  20246.  
  20247. Quando un documento viene chiuso il giorno 10 di ogni mese, Helper
  20248. attiva la sua procedura distruttiva. Imposta la seguente password
  20249. per salvare il documento:
  20250.  
  20251. "   help   "
  20252.  
  20253.  
  20254. [Word_Helper.B]
  20255. Nome del virus: Word.Helper.B
  20256. Tipo di Virus: Virus da macro di Word
  20257. Numero di Macro: 1
  20258. Criptato: Si
  20259. Nomi delle Macro: AutoClose
  20260. Lunghezza della Macro: 409 Byte
  20261. Paese di origine: Sconosciuto
  20262. Data di origine: 1997
  20263. Payload: No
  20264. Rilevato In-The-Wild: Si
  20265. Descrizione:
  20266.  
  20267. Helper.B infetta il modello di documento principale (normal.dot)
  20268. quando viene chiuso un documento infetto. 
  20269. Altri documenti divengono infetti quando sono anch'essi chiusi.
  20270.  
  20271. La maggior differenza tra questa nuova versione ed il virus 
  20272. Helper.A originale Φ che la procedura Φ stata modificata.
  20273. In seguito ad un errore, Helper.B non salva i documenti 
  20274. con la password "help".
  20275.  
  20276.  
  20277. [Word_Helper.C]
  20278. Nome del virus: Word.Helper.C
  20279. Tipo di Virus: Virus da macro di Word
  20280. Numero di Macro: 1
  20281. Criptato: Si
  20282. Nomi delle Macro: AutoClose
  20283. Lunghezza della Macro: 410 Byte
  20284. Paese di origine: Europa
  20285. Data di origine: Aprile 1997
  20286. Payload: No
  20287. Rilevato In-The-Wild: No
  20288. Descrizione:
  20289.  
  20290. Helper.C infetta il modello di documento principale (normal.dot) 
  20291. quando viene chiuso un documento infetto. 
  20292. Altri documenti divengono infetti quando sono anch'essi chiusi.
  20293.  
  20294. La maggior differenza tra questa nuova versione ed il virus 
  20295. Helper originale Φ che qualcuno cerc≥ di cambiare la data 
  20296. d'attivazione e la password.
  20297.  
  20298. Helper.C non attiva la sua procedura da quando un importante
  20299. modifica nel suo codice Φ andata persa.
  20300.  
  20301.  
  20302. [Word_Helper.D]
  20303. Nome del virus: Word.Helper.D
  20304. Tipo di Virus: Virus da macro di Word
  20305. Numero di Macro: 1
  20306. Criptato: Si
  20307. Nomi delle Macro: AutoClose
  20308. Lunghezza della Macro: 412 Byte
  20309. Paese di origine: Europa
  20310. Data di origine: Aprile 1997
  20311. Payload: No
  20312. Rilevato In-The-Wild: No
  20313. Descrizione:
  20314.  
  20315. Helper.D infetta il modello di documento principale (normal.dot) 
  20316. quando viene chiuso un documento infetto. 
  20317. Altri documenti divengono infetti quando sono anch'essi chiusi.
  20318.  
  20319. La maggior differenza tra questa nuova versione ed il virus 
  20320. Helper originale Φ che qualcuno cerc≥ di cambiare la data 
  20321. di attivazione e la password.
  20322.  
  20323. Helper.D non attiva la sua procedura da quando un importante
  20324. modifica nel suo codice Φ andata persa.
  20325.  
  20326.  
  20327. [Word_Helper.E]
  20328. Nome del virus: Word.Helper.E
  20329. Tipo di Virus: Virus da macro di Word
  20330. Numero di Macro: 1
  20331. Criptato: Si
  20332. Nomi delle Macro: AutoClose
  20333. Lunghezza della Macro: 416 Byte
  20334. Paese di origine: Europa
  20335. Data di origine: Aprile 1997
  20336. Payload: No
  20337. Rilevato In-The-Wild: No
  20338. Descrizione:
  20339.  
  20340. Helper.E infetta il modello di documento principale (normal.dot) 
  20341. quando viene chiuso un documento infetto. 
  20342. Altri documenti divengono infetti quando sono anch'essi chiusi.
  20343.  
  20344. La maggior differenza tra questa nuova versione ed il virus 
  20345. Helper originale Φ che qualcuno cerc≥ di cambiare l
  20346. a data di attivazione e la password.
  20347.  
  20348. Helper.E non attiva la sua procedura da quando un importante
  20349. modifica nel suo codice Φ andata persa.
  20350.  
  20351.  
  20352. [Word_Hiac.A]
  20353. Nome del virus: Word.Hiac.A
  20354. Tipo di Virus: Virus da macro di Word
  20355. Numero di Macro: 2
  20356. Criptato: Si
  20357. Nomi delle Macro: AutoClose, HI (AC)
  20358. Lunghezza della Macro: 576 Byte
  20359. Paese di origine: Australia
  20360. Data di origine: Primavera 1997
  20361. Distruttivo: No
  20362. Rilevato In The Wild: Si
  20363. Descrizione:
  20364.  
  20365. Hiac.A Φ un altro virus che non fa nient'altro che infettare altri file. 
  20366. L'infezione si verifica quando si chiude un documento (AutoClose).
  20367.  
  20368. Il suo codice Φ difettoso ed il file di modello di una parte dei 
  20369. documenti infetti non Φ impostato, per questo Φ improbabile che 
  20370. diffonda il suo codice ad altri file.
  20371.  
  20372.  
  20373. [Word_Hot.A]
  20374. Nome del virus: Word.Hot.A
  20375. Tipo di Virus: Virus da macro di Word
  20376. Numero di Macro: 4
  20377. Criptato: Si
  20378. Nomi delle Macro: AutoOpen, DrawBringInFrOut, InsertPBreak,
  20379. ToolsRepaginat, File/Salva con nome, StartOfDoc
  20380. Lunghezza della Macro: 5515 Byte
  20381. Paese di origine: Sconosciuto
  20382. Data di origine: Gennaio 1996
  20383. Distruttivo: Si
  20384. Rilevato In The Wild: Si
  20385. Descrizione:
  20386.  
  20387. Quando viene aperto un documento infetto il virus viene attivato 
  20388. dalla macro AutoOpen. Alcuni campioni copie di Hot mostrano il 
  20389. seguente messaggio d'errore:
  20390.  
  20391. "   Unable to load the specified library   "
  20392.  
  20393. Hot chiude i suggerimenti di Word per assicurare una infezione 
  20394. nascosta del modello di documento principale (normal.dot). 
  20395. Controlla inoltre il file "WINWORD6.INI" per verificare la 
  20396. presenza della sezione: "QLHot".
  20397. Se non Φ presente, Hot registra una "hot date", 14 days in the future.
  20398. Se questa versione non Φ giα set, il modello di documento 
  20399. principale diviene infetto.
  20400.  
  20401. L' InsertPBreak/InsertPageBreak inserisce un'interruzione di 
  20402. pagina nel documento corrente. Tuttavia viene anche usato dal 
  20403. virus per valutare che un documento sia stato giα infettato.
  20404.  
  20405. Alcune macro vengono rinominate quando sono copiate usando 
  20406. il comando di WordBasic "MacroCopy":
  20407.  
  20408. "AutoOpen" diventa "StartOfDoc"
  20409. "DrawBringInFrOut" diventa "AutoOpen"
  20410. "InsertPBreak" diventa "InsertPageBreak"
  20411. "ToolsRepaginat" diventa "File/Salva"
  20412.  
  20413. Inoltre, il modello di documento principale contiene le 
  20414. seguenti macro:
  20415.  
  20416. "File/Salva" (simile a "ToolsRepaginat")
  20417. "StartOfDoc" (simile a "AutoOpen")
  20418.  
  20419. Hot usa funzioni speciali del file di Windows  "KERNEL.EXE" (Win API). 
  20420. Usa API per trovare il percorso di Windows ed aprire i file 
  20421. con funzioni semplici.
  20422. Si deve notare che molte altre opzioni erano utilizzabili 
  20423. dall'autore del virus 
  20424.  
  20425. La procedura distruttiva, che Φ raggiunta all'arrivo della 
  20426. "hot date" impostata nella sezione "QLHot" nel file WINWORD6.ini, 
  20427. cancella il testo dal documento attivo corrente. 
  20428. Questa procedura viene aggirata se il file EGA5.CPI Φ presente 
  20429. nella directory "C:\DOS".
  20430.  
  20431. Un commento nel codice del virus  suggerisce che si tratta di un
  20432. "caratteristica" creata per proteggere l'autore del virus ed i suoi amici.
  20433.  
  20434.  
  20435. [Word_Hunter.A:De (a.k.a. Headhunter V 3.0)]
  20436. Nome del virus: Word.Hunter.A:De (a.k.a. Headhunter V 3.0)
  20437. Tipo di Virus: Virus da macro di Word
  20438. Numero di Macro: 3
  20439. Criptato: Si
  20440. Nomi delle Macro: AutoOpen, DateiNeu, ExtrasMakro
  20441. Lunghezza della Macro: 1051 Byte
  20442. Paese di origine: Germania
  20443. Data di origine: Primavera 1997
  20444. Payload: Si
  20445. Rilevato In-The-Wild: No
  20446. Descrizione:
  20447.  
  20448. Hunter.A non infetta il modello di documento principale. 
  20449. Salva un documento infetto nella directory Word STARTUP 
  20450. (WINWORD.DOT), che viene utilizzata per infettare documenti 
  20451. quando vengono creati (DateiNeu - translated: File/Nuovo).
  20452.  
  20453. Hunter.A utilizza"ExtrasMakro" per rendere pi∙ difficile 
  20454. l'identificazione di un documento infetto (chiamata tecnica macro stealth).
  20455.  
  20456. Quando Hunter.A si attiva (probabilitα di 1/60), compare il 
  20457. seguente messaggio:
  20458.  
  20459. "   One - You lock the target   "
  20460. "   Two - You bait the line    "
  20461. "   Three - You slowly spread the net   "
  20462. "   And Four - You catch the man   "
  20463.  
  20464. Hunter.A utilizza il linguaggio specifico delle Macro, 
  20465. perci≥ lavora solo con la versione tedesca di Microsoft Word.
  20466.  
  20467.  
  20468. [Word_Hunter.B:De (aka Headhunter V 3.1)]
  20469. Nome del virus: Word.Hunter.B:De (aka Headhunter V 3.1)
  20470. Tipo di Virus: Virus da macro di Word
  20471. Numero di Macro: 3
  20472. Criptato: Si
  20473. Nomi delle Macro: AutoOpen, DateiNeu, ExtrasMakro
  20474. Lunghezza della Macro: 1126 Byte
  20475. Paese di origine: Germania
  20476. Data di origine: Primavera 1997
  20477. Payload: Si
  20478. Rilevato In-The-Wild: No
  20479. Descrizione:
  20480.  
  20481. La differenza maggiore tra questa nuova versione e il virus
  20482. Hunter.A originale Φ che Hunter.B contiene dei codici modificati.
  20483.  
  20484. Hunter.B non infetta il modello di documento principale. 
  20485. Salva un documento infetto nella directory Word STARTUP 
  20486. (WINWORD.DOT), che viene utilizzata per infettare documenti 
  20487. quando vengono creati (DateiNeu - translated: File/Nuovo).
  20488.  
  20489. Hunter.B utilizza"ExtrasMakro" per rendere pi∙ difficile 
  20490. l'identificazione di un documento infetto (chiamata tecnica macro stealth).
  20491.  
  20492. Quando Hunter.B si attiva (probabilitα di 1/60), compare 
  20493. il seguente messaggio:
  20494.  
  20495. "   One - You lock the target   "
  20496. "   Two - You bait the line    "
  20497. "   Three - You slowly spread the net   "
  20498. "   And Four - You catch the man   "
  20499.  
  20500. Hunter.B utilizza il linguaggio specifico delle macro, 
  20501. perci≥ lavora solo con la versione tedesca di Microsoft Word.
  20502.  
  20503.  
  20504. [Word_Hunter.C:De (aka Headhunter V 3.5)]
  20505. Nome del virus: Word.Hunter.C:De (aka Headhunter V 3.5)
  20506. Tipo di Virus: Virus da macro di Word
  20507. Numero di Macro: 3
  20508. Criptato: Si
  20509. Nomi delle Macro: AutoOpen, DateiNeu, ExtrasMakro
  20510. Lunghezza della Macro: Polimorfica
  20511. Paese di origine: Germania
  20512. Data di origine: Primavera 1997
  20513. Payload: Si
  20514. Rilevato In-The-Wild: No
  20515. Descrizione:
  20516.  
  20517. La differenza maggiore tra questa nuova versione e i 
  20518. precedenti virus
  20519. Hunter Φ che Hunter.C aggiunge testo alle sue macro,
  20520. il che lo rende un virus polimorfico.
  20521.  
  20522. Hunter.C utilizza la stessa "ExtrasMakro" delle 
  20523. versioni A e B per rendere pi∙ difficile l'identificazione 
  20524. di un documento infetto (chiamata tecnica macro stealth).
  20525.  
  20526. Hunter.C utilizza il linguaggio specifico delle macro, 
  20527. peci≥ lavora solo con la versione tedesca di Microsoft Word.
  20528.  
  20529.  
  20530.  
  20531.  
  20532. [Word_Hybrid.A]
  20533. Nome del virus: Word.Hybrid.A
  20534. Tipo di Virus: Virus da macro di Word
  20535. Numero di Macro: 3
  20536. Criptato: Si
  20537. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome
  20538. Lunghezza della Macro: 2815 Byte
  20539. Paese di origine: Sconosciuto
  20540. Data di origine: Gennaio 1997
  20541. Distruttivo: No
  20542. Rilevato In The Wild: Si
  20543. Descrizione:
  20544.  
  20545. Come suggerisce il nome, il virus Hybrid Φ una combinazione di
  20546. virus con una macro della soluzione anti-virus.
  20547.  
  20548. La sua macro "AutoClose" macro Φ stata catturata da una ben 
  20549. nota soluzione anti-virus, finora inutile, chiamata ScanProt (scritta da
  20550. Microsoft).
  20551.  
  20552. Hybrid si attiva quando viene aperto un documento infetto.
  20553. Altri documenti divengono infetti quando sono salvati con il comando
  20554. "File/Salva con nome".
  20555.  
  20556. Hybrid Φ stato trovato In-the-Wild e pu≥ essere rilevato/disinfettato 
  20557. con qualsiasi soluzione anti-virus.
  20558.  
  20559.  
  20560. [Word_Hybrid.B]
  20561. Nome del virus: Word.Hybrid.B
  20562. Tipo di Virus: Virus da macro di Word
  20563. Numero di Macro: 1
  20564. Criptato: Si
  20565. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome
  20566. Lunghezza della Macro:  2815 Byte
  20567. Paese di origine: Sconosciuto
  20568. Data di origine: Febbraio 1997
  20569. Distruttivo: No
  20570. Rilevato In The Wild: No
  20571. Descrizione:
  20572.  
  20573. Hybrid.B Φ una nuova versione del virus originale Hybrid.A. 
  20574. La sola differenza tra i due virus Φ che la macro "AutoClose" , 
  20575. catturata dalla macro della soluzione anti-virus ScanProt, 
  20576. Φ alterata. A causa di questa modifica Microsoft Word 
  20577. mostra un messaggio di errore di Word Basic ogni volta 
  20578. che viene chiuso un documento.
  20579.  
  20580. "Unknown Command, Subroutine or Function"
  20581.  
  20582. Per ulteriori informazioni vedere la descrizione del virus Hybrid.A.
  20583.  
  20584.  
  20585. [Word_Hybrid.C]
  20586. Nome del virus: Word.Hybrid.C
  20587. Tipo di Virus: Virus da macro di Word
  20588. Numero di Macro: 3
  20589. Criptato: Si
  20590. Nomi delle Macro: AutoOpen, AutoClose, File/Salva con nome
  20591. Lunghezza della Macro: 2815 Byte
  20592. Paese di origine: Sconosciuto
  20593. Data di origine: Primavera 1997
  20594. Distruttivo: No
  20595. Rilevato In The Wild: No
  20596. Descrizione:
  20597.  
  20598. Hybrid.C Φ una nuova versione del virus Hybrid.A originale.  
  20599. L'unica differenza tra i due virus Φ che la macro "AutoClose", 
  20600. catturata dalla macro della soluzione anti-virus Scan Prot, 
  20601. Φ alterata. A causa di questa modifica Microsoft Word 
  20602. mostra un messaggio di errore quando si cerca di chiudere un file:
  20603.  
  20604. "   syntax error   "
  20605.  
  20606. Per ulteriori informazioni vedere la descrizione del virus Hybrid.A.
  20607.  
  20608. [Word_Imposter.A]
  20609. Nome del virus: Word.Imposter.A
  20610. Tipo di Virus: Virus da macro di Word
  20611. Numero di Macro: 2
  20612. Criptato: No
  20613. Nomi delle Macro: AutoClose, DMV (File/Salva con nome)
  20614. Lunghezza della Macro: 907 Byte
  20615. Paese di origine: Inghilterra
  20616. Data di origine: Marzo 1996
  20617. Distruttivo: No
  20618. Rilevato In The Wild: Si
  20619. Descrizione:
  20620.  
  20621. Imposter infetta il modello di documento principale (normal.dot) 
  20622. quando viene chiuso un documento infetto e le macro "DMV" e
  20623. "File/Salva con nome" non esistono. Quando Imposter.A copia la 
  20624. macro "DMV", la rinomina "File/Salva con nome" e compare il 
  20625. seguente messaggio:
  20626.  
  20627. "   DMV   "
  20628.  
  20629. Altri documenti divengono infetti quando viene usato il 
  20630. comando "File/Salva con nome".
  20631.  
  20632. Il seguente testo si pu≥ ritrovare all'interno di Imposter.A, 
  20633. ma non viene mostrato:
  20634.  
  20635. "   just to prove another point   "
  20636.  
  20637. Questo testo si basa sul virus Concept, che possiede "this is
  20638. enough to prove my point" nel suo codice.
  20639.  
  20640.  
  20641. [Word_Imposter.B]
  20642. Nome del virus: Word.Imposter.B
  20643. Tipo di Virus: Virus da macro di Word
  20644. Numero di Macro: 2
  20645. Criptato: No
  20646. Nomi delle Macro: AutoClose, DMV (File/Salva con nome)
  20647. Lunghezza della Macro: 907 Byte
  20648. Paese di origine: Inghilterra
  20649. Data di origine: Marzo 1996
  20650. Distruttivo: No
  20651. Rilevato In The Wild: No
  20652. Descrizione:
  20653.  
  20654. l'unica differenza tra questa nuova versione e il virus 
  20655. Imposter originale Φ l'ortografia del commento nel codice del virus.
  20656.  
  20657. Per ulteriori informazioni vedere la descrizione del virus Imposter.A.
  20658.  
  20659.  
  20660. [Word_Irish.A]
  20661. Nome del virus: Word.Irish.A
  20662. Tipo di Virus: Virus da macro di Word
  20663. Numero di Macro: 4
  20664. Criptato: No
  20665. Nomi delle Macro: AutoOpen, WordHelp, AntiVirus, WordHelpNT
  20666. Lunghezza della Macro: 4152 Byte
  20667. Paese di origine: USA
  20668. Data di origine: Primavera 1996
  20669. Distruttivo: No
  20670. Rilevato In The Wild: No
  20671. Descrizione:
  20672.  
  20673. Irish infetta il modello di documento principale (normal.dot) 
  20674. quando viene aperto un documento infetto. Altri documenti divengono 
  20675. infetti quando viene utilizzato il comando "File/Salva".
  20676.  
  20677. Due macro, "WordHelp" e "WordHelpNT", non girano automaticamente. 
  20678. Tuttavia, se vengono eseguiti manualmente, colorano di verde 
  20679. il Windows desktop.
  20680.  
  20681. La macro "WordHelpNT" contiene una procedura che cerca di attivare 
  20682. il salva schermo e compare il seguente messaggio:
  20683.  
  20684. "   Happy Saint Patties Day   "
  20685.  
  20686. La procedura per≥ sembra difettosa e non lavora con Windows 95 
  20687. (Irish esiste solo in Microsoft Word).
  20688.  
  20689.  
  20690. [Word_Italian.A]
  20691. Nome del virus:  Word.Italian.A
  20692. Tipo di Virus: Virus da macro di Word
  20693. Numero di Macro: 3
  20694. Criptato: Si
  20695. Nomi delle Macro: FileMacro, FileChiudi, FileEsci, FileSalva,
  20696. WordMacro1, WordMacro2
  20697. Lunghezza della Macro: 1438 Byte
  20698. Paese di origine: Italia
  20699. Data di origine: Gennaio 1996
  20700. Distruttivo: No
  20701. Rilevato In-The-Wild: No
  20702. Descrizione:
  20703.  
  20704. Italian Φ il primo virus scritto per la versione italiana di
  20705. Microsoft Word.
  20706.  
  20707. Quando viene aperto un documento infetto i giorni 7, 13, 17 o 31
  20708. di ogni mese compare il seguente messaggio:
  20709.  
  20710. "   Your PC is infected by   "
  20711. "   Word.Macro.ITALIAN Virus   "
  20712. "   Written Jan,1996.   "
  20713.  
  20714.  
  20715. [Word_Johnny.A(GoJohnny)]
  20716. Nome del virus: Word.Johnny.A (GoJohnny)
  20717. Tipo di Virus: Virus da macro di Word
  20718. Numero di Macro: 5 o 6
  20719. Criptato: Si, 4/5 o 5/6
  20720. Nomi delle Macro: Presentv, AutoOpen, Presentw, File/Salva con nome. 
  20721. Presentz, File/Salva, vGojohnny
  20722. Lunghezza della Macro:  3393 Byte nei file .doc, 4955 Byte nel 
  20723. modello di documento principale
  20724. Paese di origine: Sconosciuto
  20725. Data di origine: Sconosciuta
  20726. Payload: Si
  20727. Rilevato In-The-Wild: No
  20728. Descrizione:
  20729.  
  20730. Johnny infetta il modello di documento principale (normal.dot) 
  20731. quando viene aperto un file infetto. Altri documenti divengono 
  20732. infetti quando sono salvati con il comando "File/Save" o "File/Save as".
  20733.  
  20734. Quando Johhny si attiva, crea un nuovo documento avente il seguente testo:
  20735.  
  20736. "   NAIPESVOH REHM   "
  20737.  
  20738. successivamente inserisce il seguente messaggio 
  20739. sulla barra di stato:
  20740.  
  20741. "   Starting Autosave   "
  20742.  
  20743. Per rendere pi∙ difficile l'identificazione di un'infezione, 
  20744. Johnny chiude i suggerimenti di Word prima di infettare il modello 
  20745. di documento principale.
  20746.  
  20747.  
  20748. [Word_Johnny.B]
  20749. Nome del virus: Word.Johnny.B
  20750. Tipo di Virus: Virus da macro di Word
  20751. Numero di Macro: 5 (o 6)
  20752. Criptato: Si
  20753. Nomi delle Macro: AutoOpen, Presentv, Presentw, Presentz, vGoJohnny
  20754. Lunghezza della Macro: 3992 Byte
  20755. Paese di origine: Regno Unito
  20756. Data di origine: Gennaio 1997
  20757. Payload: Si
  20758. Rilevato In The Wild: No
  20759. Descrizione:
  20760.  
  20761. La differenza tra questa nuova versione e il virus
  20762. Johnny.A originale Φ che Johnny.B Φ in grado di infettare la versione 
  20763. francese di Microsoft Word.
  20764.  
  20765. Vengono cambiate le seguenti due macro:
  20766.  
  20767. "FichierEnregistre" al posto di "File/Salva" e "FichierEnregistreSous"
  20768. al posto di "File/Salva con nome".
  20769.  
  20770. Per ulteriori informazioni vedere la descrizione del virus Johnny.A.
  20771.  
  20772.  
  20773. [Word_Kerrang.A]
  20774. Nome del virus: Word.Kerrang.A
  20775. Tipo di Virus: Virus da macro di Word
  20776. Numero di Macro: 5
  20777. Criptato: Si
  20778. Nomi delle Macro: AutoExec, File/Apri, File/Salva con nome, 
  20779. FilePrintDefault, Strumenti/Macro
  20780. Lunghezza della Macro: 972 Byte
  20781. Paese di origine: Sconosciuto
  20782. Data di origine: Febbraio 1997
  20783. Distruttivo: Si
  20784. Rilevato In The Wild: No
  20785. Descrizione:
  20786.  
  20787. Kerrang si attiva quando viene aperto un documento infetto. Dopo che 
  20788. il modello di documento principale Φ stato infettato, disabilita 
  20789. la protezione da virus di Microsoft
  20790. Word ogni volta che viene fatto partire Microsoft Word (AutoExec).
  20791.  
  20792. Altri documenti divengono infetti quando sono salvati con i comandi
  20793.  File/Salva e File/Salva con nome.
  20794.  
  20795. Kerrang utilizza "Strumenti/Macro" per rendere pi∙ difficile 
  20796. l'identificazione di un file infetto (chiamata tecnica macro stealth). 
  20797. Quando si selezione questa opzione, Kerrang crea 65 nuovi documenti.
  20798.  
  20799. Kerrang possiede diverse procedure. Controlla l'ora di sistema, 
  20800. se sono le ore 18:00 (6:00 del pomeriggio) aggiunge al documento 
  20801. stampato il seguente testo:
  20802.  
  20803. "   Kerbaffely Urgo Kerranga! Kerranga!!!!   "
  20804.  
  20805. Successivamente usa la sua seconda procedura che cancella tutti 
  20806. i file con estensione *.DOC nella directory corrente.
  20807.  
  20808.  
  20809. [Word_KillDll.A]
  20810. Nome del virus: Word.KillDll.A
  20811. Tipo di Virus: Virus da macro di Word
  20812. Numero di Macro: 1
  20813. Criptato: No
  20814. Nomi delle Macro: AutoOpen
  20815. Lunghezza della Macro: 284 Byte
  20816. Paese di origine: Sconosciuto
  20817. Data di origine: Estate 1996
  20818. Distruttivo: Si
  20819. Rilevato In The Wild: No
  20820. Descrizione:
  20821.  
  20822. KillDLL si attiva quando viene aperto un documento infetto
  20823. (AutoOpen).
  20824.  
  20825. KillDLL Φ uno dei pochissimi virus distruttivi. Ad ogni avvio di Word, 
  20826. cancella tutti i file nella directory WINDOWS, unendo le estensioni:
  20827.  
  20828.   *.D??
  20829.  
  20830. I pi∙ colpiti sono i file .DLL ed i file .DRV, essenziali per 
  20831. Microsoft Windows.
  20832.  
  20833.  
  20834. [Word_KillPort.A]
  20835. Nome del virus: Word.KillProt.A
  20836. Tipo di Virus: Virus da macro di Word
  20837. Numero di Macro: 4
  20838. Criptato: Si
  20839. Nomi delle Macro: AutoExec, File/Apri, File/Salva con nome, Strumenti/Macro
  20840. Lunghezza della Macro: 2272 Byte
  20841. Paese di origine: Sconosciuto
  20842. Data di origine: 1997
  20843. Payload: Si
  20844. Rilevato In The Wild: No
  20845. Descrizione:
  20846.  
  20847. KillProt.A infetta il modello di documento principale quando viene 
  20848. aperto un documento infetto (File/Apri) o viene selezionato il 
  20849. comando Strumenti/Macro. Altri documenti divengono infetti 
  20850. quando sono aperti (File/Apri) o salvati (File/Salva con nome).
  20851.  
  20852. Venne scelto il nome KillProt perchΘ cancella le seguenti macro:
  20853.  
  20854. "AutoExit"
  20855. "InstVer"
  20856. "ShellOpen"
  20857.  
  20858. Sono tutte localizzate nella soluzione della macro anti-virus "ScanProt".
  20859.  
  20860. KillProt modifica anche le impostazioni di .INI nella cartell di Windows.
  20861. Crea la porte "Count=xxx" nella sezione "Infector".
  20862. Ogni volta che viene salvato un documento con il comando File/Salva con nome,
  20863. KillProt aumenta il valore. La procedura si attiva ogni 10 documenti salvati. 
  20864. Aggiunge quindi ai documenti salvati la seguente password:
  20865.  
  20866. "   WhatTheHell   "
  20867.  
  20868.  
  20869. [Word_MVDK1(Kit)]
  20870. Virus Kit Name: Word.MVDK1 (Kit)
  20871. Tipo di Virus: Virus da macro di Word
  20872. Lunghezza dei documenti: 23618 Byte
  20873. Numero di Macro: 5
  20874. Paese di origine: Russia
  20875. Data di origine: Estate 1996
  20876. Descrizione:
  20877.  
  20878. MVDK non genera virus pronti a partire (ready-to-run). 
  20879. Crea solo le istruzioni del virus, che Φ messo in formato di 
  20880. testo e salvata nella cartella C:\. I documenti infetti 
  20881. sono stati creati dall'autore.
  20882.  
  20883. La funzione per infettare il modello di documento principale 
  20884. ed i documenti viene posta in una macro principale, 
  20885. il cui nome le Φ stato dato dallo stesso autore del virus.
  20886. La macro AutoOpen macro Φ sempre presente, mentre altri metodi 
  20887. di infezione possono essere aggiunti (infezione di File/Apri, 
  20888. File/Nuovo e File/Salva).
  20889.  
  20890. MVDK possiede diverse procedure:
  20891.  
  20892. 1. cancellazione dei file di sistema
  20893.  
  20894. 2. salvataggio di file con una password 
  20895. (ad un determinato giorno ed ora)
  20896.  
  20897. 3. si inserisce in un programma DOS (o virus)
  20898.  
  20899. Come conseguenza, "File/Salva con nome" e "PayLoad" possono 
  20900. essere presenti nel codice del virus.
  20901.  
  20902.  
  20903. [Word_Kompu.A]
  20904. Nome del virus: Word.Kompu.A
  20905. Tipo di Virus: Virus da macro di Word
  20906. Numero di Macro: 2
  20907. Criptato: No
  20908. Nomi delle Macro: AutoOpen, AutoClose
  20909. Lunghezza della Macro: 517 Byte
  20910. Paese di origine: ?Russia?
  20911. Data di origine: Sconosciuta
  20912. Payload: Si
  20913. Rilevato In-The-Wild: No
  20914. Descrizione:
  20915.  
  20916. Kompu infetta il modello di documento principale (normal.dot) 
  20917. quando viene aperto un documento infetto. Altri documenti divengono 
  20918. infetti quando sono aperti o chiusi.
  20919.  
  20920. Il giorno 6 ed 8 di ogni mese, Kompu mostra il seguente messaggio:
  20921.  
  20922. "   Tahan kommi!, Mul on paha tuju!   "
  20923.  
  20924. Attende quindi un segnale dall'utente. Per poter chiudere la 
  20925. finestra del messaggio Φ necessario dare l'invio al seguente testo:
  20926.  
  20927. "   komm   "
  20928.  
  20929. Kompu aggiunge inoltre al documento stampato il seguente messaggio:
  20930.  
  20931. "   Naemm-Naemm-Naemm-Naemm-Amps-Amps-Amps-
  20932.     Amps-Kloemps-Kroeoek!   "
  20933.  
  20934.  
  20935. [Word_Lazy.A]
  20936. Nome del virus: Word.Lazy.A
  20937. Tipo di Virus: Virus da macro di Word
  20938. Numero di Macro: 2
  20939. Criptato: Si
  20940. Nomi delle Macro: AutoOpen, Lazy
  20941. Lunghezza della Macro: 664 Byte
  20942. Paese di origine: Sconosciuto
  20943. Data di origine: Primavera 1997
  20944. Payload: Si
  20945. Rilevato In-The-Wild: No
  20946. Descrizione:
  20947.  
  20948. Lazy infetta il modello di documento principale quando viene aperto 
  20949. un documento infetto. Altri documenti divengono infetti quando 
  20950. sono anch'essi aperti (AutoOpen).
  20951.  
  20952. Quando Lazy si attiva (Friday 13th), imposta una password al 
  20953. documento attivo.
  20954.  
  20955. Se si trova un documento con una password sconosciuta scaricare 
  20956. una copia di WinWord Password Recovery Tool
  20957. (wwprt). E' disponibile al sito: www.vdsarg.cow.
  20958.  
  20959.  
  20960. [Word_Lemon.A (aka Melon)]
  20961. Nome del virus: Word.Lemon.A (aka Melon)
  20962. Tipo di Virus: Virus da macro di Word
  20963. Numero di Macro: 2
  20964. Criptato: Si
  20965. Nomi delle Macro: AutoOpen, Lemon (Melon)
  20966. Lunghezza della Macro: 664 Byte
  20967. Paese di origine: Sconosciuto
  20968. Data di origine: Primavera 1997
  20969. Payload: Si
  20970. Rilevato In-The-Wild: No
  20971. Descrizione:
  20972.  
  20973. Lemon.A infetta il modello di documento principale quando viene 
  20974. aperto un documento infetto. Altri documenti divengono infetti
  20975. Quando vengono anch'essi aperti (AutoOpen).
  20976.  
  20977. Quando Lemon si attiva (probabilitα di 1/31), compare il 
  20978. seguente messaggio:
  20979.  
  20980. "   !!LEMON!!!!MELON!!   "
  20981. "   !!LEMON!!!!MELON!!   "
  20982.  
  20983.  
  20984. [Word_Lemon.B]
  20985. Nome del virus: Word.Lemon.B
  20986. Tipo di Virus: Virus da macro di Word
  20987. Numero di Macro: 1
  20988. Criptato: Si
  20989. Nomi delle Macro: AutoOpen
  20990. Lunghezza della Macro: 577 Byte
  20991. Paese di origine: Sconosciuto
  20992. Data di origine: Primavera 1997
  20993. Payload: No
  20994. Rilevato In-The-Wild: No
  20995. Descrizione:
  20996.  
  20997. Lemon.B infetta il modello di documento principale quando viene 
  20998. aperto un documento infetto. Altri documenti divengono infetti
  20999. Quando vengono anch'essi aperti (AutoOpen).
  21000.  
  21001. Lemon.B rimuove "ExtrasMakro" per rendere pi∙ difficile 
  21002. l'identificazione di un documento infetto (chiamata tecnica macro stealth).
  21003.  
  21004.  
  21005. [Word_Lunch.A]
  21006. Nome del virus: Word.Lunch.A
  21007. Tipo di Virus: Virus da macro di Word
  21008. Numero di Macro: 3
  21009. Criptato: No
  21010. Nomi delle Macro: AutoOpen (File/Salva), NEWAO, NEWFS
  21011. Lunghezza della Macro: 1579 Byte nei file .doc, 1718 Byte 
  21012. nel modello di documento principale
  21013. Paese di origine: Sconosciuto
  21014. Data di origine: Sconosciuta
  21015. Distruttivo: No
  21016. Rilevato In-The-Wild: No
  21017. Descrizione:
  21018.  
  21019. Lunch infetta il modello di documento principale (normal.dot) 
  21020. quando viene aperto un documento infetto. La macro "AutoOpen" 
  21021. viene
  21022. rinominata "File/Salva" quando Lunch infetta il modello di 
  21023. documento principale. Come conseguenza, altri documenti 
  21024. divengono infetti
  21025. quando sono salvati con il comando File/Salva.
  21026.  
  21027. Quando un documento infetto viene salvato alle ore 12:01, Lunch
  21028. mostra il seguente messaggio:
  21029.  
  21030. "   !Whatya doin'here? Take a lunch break!   "
  21031.  
  21032.  
  21033. [Word_Lunch.B]
  21034. Nome del virus: Word.Lunch.B
  21035. Tipo di Virus: Virus da macro di Word
  21036. Numero di Macro: 3
  21037. Criptato: No
  21038. Nomi delle Macro: AutoOpen (File/Salva), NEWAO, NEWFS
  21039. Lunghezza della Macro: 1375 Byte nei file .doc, 1463 Byte nel 
  21040. modello di documento principale
  21041. Paese di origine: Sconosciuto
  21042. Data di origine: Sconosciuta
  21043. Distruttivo: No
  21044. Rilevato In-The-Wild: No
  21045. Descrizione:
  21046.  
  21047. La differenza tra questa nuova versione ed il virus Lunch.A originale 
  21048. Φ che Lunch.B non controlla la presenza delle macro "File/Apri" 
  21049. e "AutoExit". Controlla invece la presenza della macro "File/Salva" 
  21050. prima di infettare il modello di documento principale (normal.dot).
  21051.  
  21052. Per ulteriori informazioni vedere la descrizione del virus Lunch.A.
  21053.  
  21054.  
  21055. [Word_Maddog.A]
  21056. Nome del virus: Word.Maddog.A
  21057. Tipo di Virus: Virus da macro di Word
  21058. Numero di Macro: 6
  21059. Criptato: No
  21060. Nomi delle Macro: AutoOpen, AutoClose, AutoExec, FileClose, AopnFinish, FcFinish
  21061. Lunghezza della Macro: 4209 Byte
  21062. Paese di origine: Sconosciuto
  21063. Data di origine: 1996
  21064. Distruttivo: Si
  21065. Rilevato In The Wild: No
  21066. Descrizione:
  21067.  
  21068. MadDog.A infetta il modello di documento principale (normal.dot) 
  21069. quando viene aperto un documento infetto. Altri documenti divengono 
  21070. infetti quando sono aperti e chiusi (FileClose). Alla chiusura di un 
  21071. documento, MadDog.A salva diverse volte "Temp.dot" e quindi salva il 
  21072. documento attivo. Crea inoltre il seguente file nella directory attiva:
  21073.  
  21074. "   Filename.dat   "
  21075.  
  21076. Quando viene chiuso un documento (AutoClose) tra le 8 e le 9 di sera, 
  21077. Maddog.A sostituisce la lettera "e" con la lettera "a".
  21078.  
  21079.  
  21080. [Word_Maddog.B]
  21081. Nome del virus: Word.Maddog.B
  21082. Tipo di Virus: Virus da macro di Word
  21083. Numero di Macro: 6
  21084. Criptato: No
  21085. Nomi delle Macro: AutoOpen, AutoClose, AutoExec, FileClose,
  21086. AopnFinish, FcFinish
  21087. Lunghezza della Macro: 4259 Byte
  21088. Paese di origine: Sconosciuto
  21089. Data di origine: 1996
  21090. Distruttivo: Si
  21091. Rilevato In The Wild: Si
  21092. Descrizione:
  21093.  
  21094. La differenza tra questa nuova versione ed il virus Maddog.A 
  21095. originale Φ che il codice Φ stato leggermente modificato.
  21096.  
  21097. MadDog.B infetta il modello di documento principale (normal.dot) 
  21098. quando viene aperto un documento infetto. Altri documenti divengono 
  21099. infetti quando sono aperti e chiusi (FileClose). Alla chiusura di un 
  21100. documento, MadDog.A salva diverse volte "Temp.dot" e quindi salva il 
  21101. documento attivo. Crea inoltre il seguente file nella directory attiva:
  21102.  
  21103. "   Filename.dat   "
  21104.  
  21105. Quando viene chiuso un documento (AutoClose) tra le 8 e le 9 di sera, 
  21106. Maddog.B sostituisce la lettera "e" con la lettera "a".
  21107.  
  21108.  
  21109. [Word_MDMA.A (a.k.a. StickyKeys, MDMA_DMV)]
  21110. Nome del virus: Word.MDMA.A (a.k.a. StickyKeys, MDMA_DMV)
  21111. Tipo di Virus: Virus da macro di Word
  21112. Numero di Macro: 1
  21113. Criptato: No
  21114. Nomi delle Macro: AutoClose
  21115. Lunghezza della Macro: 1635 Byte
  21116. Paese di origine: USA
  21117. Data di origine: Luglio 1996
  21118. Distruttivo: Si
  21119. Rilevato In The Wild: Si
  21120. Descrizione:
  21121.  
  21122. MDMA Φ il primo virus da macro che cerca di lavorare su Windows,
  21123. Windows 95, Macintosh e Windows NT. Pu≥ essere un virus molto distruttivo, 
  21124. si consiglia quindi agli utenti di Word di controllare il proprio sistema 
  21125. con un programma antivirus aggiornato.
  21126.  
  21127. MDMA infetta il modello di documento principale (normal.dot) 
  21128. quando viene aperto e poi chiuso un documento infetto. 
  21129. Altri documenti sono infettati quando vengono chiusi ("AutoClose").
  21130.  
  21131. Se viene caricato un documento infetto il giorno 1di ogni mese, 
  21132. MDMA attiva la sua procedura distruttiva. A causa di un bug nel
  21133. codice MDMA chiamerα sempre la procedura di Windows 95, anche se 
  21134. vi sono altre procedure per altri sistemi operativi.
  21135. Tutte le procedure sono:
  21136.  
  21137. Windows:
  21138. --------
  21139. Kill "c:\shmk."; "deltree /y c:" Φ aggiunta ad autoexec.bat
  21140.  
  21141. Questa cancella tutte le directory in drive C:\.
  21142.  
  21143. Windows NT:
  21144. -----------
  21145. Kill "*.*"; Kill "c:\shmk."
  21146.  
  21147. Questa cancella tutti i file in drive C:\.
  21148.  
  21149. Macintosh:
  21150. ----------
  21151. Kill MacID$("****")
  21152.  
  21153. Questa cancella tutti i file nell'hard drive.
  21154.  
  21155. Windows 95:
  21156. -----------
  21157. Kill "c" \shmk."; Kill "c:\windows\*.hlp";
  21158. Kill "c:\windows\system\*.cpl"
  21159. SetPrivateProfileString ("HKEY_CURRENT_USER\Control
  21160. Panel\Accessibility\Stickykeys", "On", "1", "")
  21161. SetPrivateProfileString
  21162. ("HKEY_LOCAL_MACHINE\Network\Logon","ProcessLoginScript", "00","")
  21163. SetPrivateProfileString ("HKEY_CURRENT_USER\Control
  21164. Panel\Accessibility\HighContrst", "On", "1", "")
  21165.  
  21166. Questa cancella importanti file di Windows.
  21167.  
  21168. MDMA mostra inoltre il seguente messaggio:
  21169.  
  21170. "  You are infected with MDMA_DMV. Brought to you by MDMA   "
  21171. "         (Many Delinquent Modern Anarchists).   "
  21172.  
  21173.  
  21174.  
  21175. [Word_MDMA.B (a.k.a. StickyKeys, MDMA_DMV)]
  21176. Nome del virus: Word.MDMA.B (a.k.a. StickyKeys, MDMA_DMV)
  21177. Tipo di Virus: Virus da macro di Word
  21178. Numero di Macro: 1
  21179. Criptato: Si
  21180. Nomi delle Macro: AutoClose
  21181. Lunghezza della Macro: 1635 Byte
  21182. Paese di origine: USA
  21183. Data di origine: 1996
  21184. Distruttivo: No
  21185. Rilevato In The Wild: No
  21186. Descrizione:
  21187.  
  21188. La differenza maggiore tra queste nuove versioni ed il virus MDMA.A Φ 
  21189. che la sua procedura Φ alterata. Microsoft Word non si cura delle 
  21190. macro alterate, perci≥ MDMA.B Φ ancora in grado di replicarsi.
  21191.  
  21192. MDMA.B infetta il modello di documento principale (normal.dot) 
  21193. quando viene aperto e poi chiuso un documento infetto. 
  21194. Altri documenti sono infettati quando vengono chiusi ("AutoClose").
  21195.  
  21196.  
  21197. [Word_MDMA.C (a.k.a. StickyKeys, MDMA_DMV)]
  21198. Nome del virus: Word.MDMA.C (a.k.a. StickyKeys, MDMA_DMV)
  21199. Tipo di Virus: Virus da macro di Word
  21200. Numero di Macro: 1
  21201. Criptato: No
  21202. Nomi delle Macro: AutoClose
  21203. Lunghezza della Macro: 1025 Byte
  21204. Paese di origine: USA
  21205. Data di origine: Ottobre 1996
  21206. Distruttivo: Si
  21207. Rilevato In The Wild: No
  21208. Descrizione:
  21209.  
  21210. La differenza maggiore tra queste nuove versioni ed il virus MDMA.A Φ 
  21211. che il codice risulta parzialmente modificato.
  21212.  
  21213. MDMA.C infetta il modello di documento principale (normal.dot) quando 
  21214. viene aperto e poi chiuso un documento infetto. 
  21215. Altri documenti sono infettati quando vengono chiusi ("AutoClose").
  21216.  
  21217. Alla chiusura di un documento infetto il giorno 20di ogni mese MDMA.C 
  21218. attiva la sua procedura distruttiva. Cerca di infettare i seguenti file:
  21219.  
  21220. C:\shmk.
  21221. Tutti i file *.hlp (Help) nella directory C:\Windows 
  21222. Tutti i file *.cpl nella cartella C:\Windows\System 
  21223.  
  21224. MDMA.C possiede inoltre una procedura per Macintosh, 
  21225. che non Φ mai stata eseguita.
  21226.  
  21227.  
  21228. [Word_MDMA.D (a.k.a. StickyKeys, MDMA_DMV)]
  21229. Nome del virus: Word.MDMA.D (a.k.a. StickyKeys, MDMA_DMV)
  21230. Tipo di Virus: Virus da macro di Word
  21231. Numero di Macro: 1
  21232. Criptato: No
  21233. Nomi delle Macro: AutoClose
  21234. Lunghezza della Macro: 744 Byte
  21235. Paese di origine: USA
  21236. Data di origine: Ottobre 1996
  21237. Distruttivo: No
  21238. Rilevato In The Wild: Si
  21239. Descrizione:
  21240.  
  21241. La differenza maggiore tra questa nuova versione ed il virus MDMA.A 
  21242. Φ la perdita di alcuni codici.
  21243.  
  21244. MDMA.D infetta il modello di documento principale (normal.dot) 
  21245. quando viene aperto e poi chiuso un documento infetto. 
  21246. Altri documenti sono infettati quando vengono chiusi ("AutoClose").
  21247.  
  21248. Mentre MDMA.C cerca di cancellare alcuni file dopo il giorno 
  21249. 20 di ogni mese, MDMA.D non contiene questa procedura distruttiva. 
  21250. Possiede solo una procedura per Macintosh, che non Φ mai stata eseguita.
  21251.  
  21252.  
  21253. [Word_MDMA.E (a.k.a. StickyKeys, MDMA_DMV)]
  21254. Nome del virus: Word.MDMA.E (a.k.a. StickyKeys, MDMA_DMV)
  21255. Tipo di Virus: Virus da macro di Word
  21256. Numero di Macro: 1
  21257. Criptato: No
  21258. Nomi delle Macro: AutoClose
  21259. Lunghezza della Macro: 735 Byte
  21260. Paese di origine: USA
  21261. Data di origine: 1996
  21262. Distruttivo: No
  21263. Rilevato In The Wild: No
  21264. Descrizione:
  21265.  
  21266. La differenza maggiore tra questa nuova versione ed il virus MDMA.D 
  21267. Φ la perdita di alcuni codici.
  21268.  
  21269. MDMA.E infetta il modello di documento principale (normal.dot) 
  21270. quando viene aperto e poi chiuso un documento infetto. 
  21271. Altri documenti sono infettati quando vengono chiusi ("AutoClose").
  21272.  
  21273. Mentre altre versioni di MDMA contengono procedure distruttive, 
  21274. MDMA.E non cancella nessun file.
  21275.  
  21276.  
  21277.  
  21278. [Word_Mind.A (aka Puritan)]
  21279. Nome del virus: Word.Mind.A (aka Puritan)
  21280. Tipo di Virus: Virus da macro di Word
  21281. Numero di Macro: 6 or 1
  21282. Criptato: No
  21283. Nomi delle Macro: AOB, FSAB, Retro, Puritan, File/Salva con nome, 
  21284. Strumenti/Macro
  21285. Lunghezza della Macro: 5415 (Mind.A) o 753 (Mind.A1)
  21286. Paese di origine: Sconosciuto
  21287. Data di origine: Primavera 1997
  21288. Distruttivo: No
  21289. Rilevato In-The-Wild: No
  21290. Descrizione:
  21291.  
  21292. Mind.A (Mind.A1) Φ un altro virus non in grado di infettare altri documenti. 
  21293. Perci≥ risulta difficile che si possano utilizzare documenti 
  21294. infetti con il virus Mind.
  21295.  
  21296. [Word_Mota.A]
  21297. Nome del virus: Word.Mota.A
  21298. Tipo di Virus: Virus da macro di Word
  21299. Numero di Macro: 5
  21300. Criptato: Si
  21301. Nomi delle Macro: No2, AutoExec, AutoOpen, File/Esci, File/Salva con nome
  21302. Lunghezza della Macro: 1578 Byte
  21303. Paese di origine: Sconosciuto
  21304. Data di origine: Primavera 1997
  21305. Distruttivo: No
  21306. Rilevato In-The-Wild: No
  21307. Descrizione:
  21308.  
  21309. Mota infetta il modello di documento principale quando viene 
  21310. aperto un documento infetto. Altri documenti divengono infetti 
  21311. quando sono salvati (File/Salva con nome).
  21312.  
  21313. Al "File/Esci", Mota disabilita la protezione anti-virus di 
  21314. Microsoft Word 7.0 ed il messaggio di preavviso prima di salvare
  21315. il modello di documento principale (normal.dot).
  21316.  
  21317. Quando Microsoft Word viene avviato (AutoExec) da un modello 
  21318. di documento principale infetto, Mota aggiunge al documento 
  21319. attivo il seguente testo:
  21320.  
  21321. "   Mota grows..   "
  21322.  
  21323.  
  21324.  
  21325. [Word_Muck.A]
  21326. Nome del virus: Word.Muck.A
  21327. Tipo di Virus: Virus da macro di Word
  21328. Numero di Macro: 6
  21329. Criptato: No
  21330. Nomi delle Macro: AutoOpen, AutoNew, AutoClose, AutoExit, 
  21331. File/Salva, File/Salva con nome
  21332. Lunghezza della Macro: 5329 Byte
  21333. Paese di origine: Africa
  21334. Data di origine: Primavera 1997
  21335. Distruttivo: No
  21336. Rilevato In-The-Wild: No
  21337. Descrizione:
  21338.  
  21339. Muck infetta il modello di documento principale quando viene 
  21340. aperto un documento infetto. Altri documenti divengono infetti 
  21341. quando sono salvati (File/Salva e File/Salva con nome).
  21342.  
  21343. Muck Φ un altro virus non distruttivo, mostra solo il messaggio
  21344. "   Muck   " con una probabilitα del 20%.
  21345.  
  21346. Muck contiene inoltre un codice di un inefficace programma 
  21347. antivirus. The Macro "AutoClose", "AutoExit" e "AutoNew"
  21348. Sono state prese da ScanProt.
  21349.  
  21350.  
  21351.  
  21352. [Word_Muck.B]
  21353. Nome del virus: Word.Muck.B
  21354. Tipo di Virus: Virus da macro di Word
  21355. Numero di Macro: 6
  21356. Criptato: No
  21357. Nomi delle Macro: AutoOpen, AutoNew, AutoClose, AutoExit, File/Salva
  21358.              File/Salva con nome
  21359. Lunghezza della Macro: 2781 Byte
  21360. Paese di origine: Africa
  21361. Data di origine: Primavera 1997
  21362. Distruttivo: No
  21363. Rilevato In-The-Wild: No
  21364. Descrizione:
  21365.  
  21366. Muck.B infetta il modello di documento principale quando 
  21367. viene aperto un documento infetto. Altri documenti divengono 
  21368. infetti quando sono salvati (File/Salva e File/Salva con nome).
  21369.  
  21370. La differenza maggiore tra questa nuova versione ed il virus 
  21371. Muck.A originale Φ che Muck.B prende altre macro dalla 
  21372. soluzione anti-virus della macro di Scan Prot (AutoClose and AutoNew).
  21373.  
  21374. Muck.B Φ un altro virus non distruttivo, mostra solo il messaggio
  21375. "   Muck   " con una probabilitα del 20%.
  21376.  
  21377.  
  21378.  
  21379. [Word_Muck.C]
  21380. Nome del virus: Word.Muck.C
  21381. Tipo di Virus: Virus da macro di Word
  21382. Numero di Macro: 6
  21383. Criptato: No
  21384. Nomi delle Macro: AutoOpen, AutoNew, AutoClose, AutoExit, 
  21385. File/Salva, File/Salva con nome
  21386. Lunghezza della Macro: 4327 Byte
  21387. Paese di origine: Sconosciuto
  21388. Data di origine: Primavera 1997
  21389. Distruttivo: No
  21390. Rilevato In-The-Wild: No
  21391. Descrizione:
  21392.  
  21393. Muck.C infetta il modello di documento principale quando viene 
  21394. aperto un documento infetto. Altri documenti divengono infetti 
  21395. quando sono salvati (File/Salva e File/Salva con nome).
  21396.  
  21397. La differenza maggiore tra questa nuova versione ed il virus 
  21398. Muck.A originale Φ che Muck.C ha trascurabili differenze del codice.
  21399. Le macro AutoClose e AutoNew sono identiche a quelle trovate 
  21400. nel virus Muck.B.
  21401.  
  21402. Muck.C Φ un altro virus non distruttivo, mostra solo il messaggio
  21403. "   Muck   " con una probabilitα del 20%.
  21404.  
  21405.  
  21406. [Word_Muck.D]
  21407. Nome del virus: Word.Muck.D
  21408. Tipo di Virus: Virus da macro di Word
  21409. Numero di Macro: 6
  21410. Criptato: No
  21411. Nomi delle Macro: AutoOpen, AutoNew, AutoClose, AutoExit, 
  21412. File/Salva, File/Salva con nome
  21413. Lunghezza della Macro: 1619 Byte
  21414. Paese di origine: Sconosciuto
  21415. Data di origine: Primavera 1997
  21416. Distruttivo: No
  21417. Rilevato In-The-Wild: No
  21418. Descrizione:
  21419.  
  21420. Muck.D infetta il modello di documento principale quando viene 
  21421. aperto un documento infetto. Altri documenti divengono infetti 
  21422. quando sono salvati (File/Salva e File/Salva con nome).
  21423.  
  21424. La differenza maggiore tra questa nuova versione ed il virus 
  21425. Muck.A originale Φ che Muck.D ha trascurabili differenze del codice.
  21426. La macro AutoNew Φ nuova mentre la macro AutoExit proviene dalla versione B.
  21427.  
  21428. Muck.D esiste anche come virus di Word 97. Fu convertita da una 
  21429. versione pi∙ vecchia di Word (6.0 o 7.0) a Word 8.0!
  21430.  
  21431. Muck.D Φ un altro virus non distruttivo, mostra solo il messaggio
  21432. "   Muck   " con una probabilitα del 20%.
  21433.  
  21434.  
  21435. [Word_Muck.E]
  21436. Nome del virus: Word.Muck.E
  21437. Tipo di Virus: Virus da macro di Word
  21438. Numero di Macro: 6
  21439. Criptato: No
  21440. Nomi delle Macro: AutoOpen, AutoNew, AutoClose, AutoExit, 
  21441. File/Salva, File/Salva con nome
  21442. Lunghezza della Macro: 1648 Byte
  21443. Paese di origine: Sconosciuto
  21444. Data di origine: Primavera 1997
  21445. Distruttivo: No
  21446. Rilevato In-The-Wild: No
  21447. Descrizione:
  21448.  
  21449. Muck.E infetta il modello di documento principale quando viene 
  21450. aperto un documento infetto. Altri documenti divengono infetti 
  21451. quando sono salvati (File/Salva e File/Salva con nome).
  21452.  
  21453. La differenza maggiore tra questa nuova versione ed il virus 
  21454. Muck.A originale Φ che Muck.E ha trascurabili differenze del codice.
  21455.  
  21456. Muck.E Φ un altro virus non distruttivo, mostra solo il messaggio
  21457. "   Muck   " con una probabilitα del 20%.
  21458.  
  21459.  
  21460. [Word_NF.A (a.k.a. Names)]
  21461. Nome del virus: Word.NF.A (a.k.a. Names)
  21462. Tipo di Virus: Virus da macro di Word
  21463. Numero di Macro: 2
  21464. Criptato: Si
  21465. Nomi delle Macro: AutoClose, NF
  21466. Lunghezza della Macro: 286 Byte
  21467. Paese di origine: USA
  21468. Data di origine: Estate 1996
  21469. Distruttivo: No
  21470. Rilevato In The Wild: No
  21471. Descrizione:
  21472.  
  21473. NF infetta i documenti che vengono chiusi (AutoClose). 
  21474. I documenti infetti vengono convertiti in file di modello, 
  21475. evenienza molto comune per un virus da macro.
  21476.  
  21477. All'infezione, NF mostra sullo schermo in basso il seguente messaggio:
  21478.  
  21479. "   Traced!    "
  21480.  
  21481.  
  21482. [Word_Niceday.A]
  21483. Nome del virus: Word.Niceday.A
  21484. Tipo di Virus: Virus da macro di Word
  21485. Numero di Macro: 4
  21486. Criptato: No
  21487. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, VOpen, AutoClose
  21488. Lunghezza della Macro: 886 Byte
  21489. Paese di origine: Sconosciuto
  21490. Data di origine: Sconosciuta
  21491. Distruttivo: No
  21492. Rilevato In-The-Wild: No
  21493. Descrizione:
  21494.  
  21495. Niceday infetta il modello di documento principale (normal.dot) 
  21496. quando viene aperto un documento infetto. Altri documenti sono 
  21497. infettati quando vengono chiusi (AutoClose).
  21498.  
  21499. Niceday si attiva ogni giorno dell'anno e mostra il messaggio:
  21500.  
  21501. "   Have a Nice Day   "
  21502.  
  21503. Niceday comprende parti del virus Concept. La macro "Payload"
  21504. Φ identica ad una presente nel virus Concept.A.
  21505.  
  21506.  
  21507. [Word_Niceday.B]
  21508. Nome del virus: Word.Niceday.B
  21509. Tipo di Virus: Virus da macro di Word
  21510. Numero di Macro: 4
  21511. Criptato: No
  21512. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen,
  21513. (VOpen, AutoClose)
  21514. Lunghezza della Macro: 886 Byte
  21515. Paese di origine: Sconosciuto
  21516. Data di origine: Inverno 1996
  21517. Distruttivo: No
  21518. Rilevato In-The-Wild: No
  21519. Descrizione:
  21520.  
  21521. Niceday.B infetta il modello di documento principale (normal.dot) 
  21522. quando viene aperto un documento infetto. Altri documenti 
  21523. sono infettati quando vengono chiusi (AutoClose).
  21524.  
  21525. La differenza maggiore tra questa versione ed il virus Niceday.A 
  21526. Φ che Niceday.B possiede dei codici modificati.
  21527.  
  21528.  
  21529. [Word_Niceday.C]
  21530. Nome del virus: Word.Niceday.C
  21531. Tipo di Virus: Virus da macro di Word
  21532. Numero di Macro: 4
  21533. Criptato: No
  21534. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen,
  21535. (VOpen, AutoClose)
  21536. Lunghezza della Macro: 886 Byte
  21537. Paese di origine: Sconosciuto
  21538. Data di origine: Inverno 1996
  21539. Distruttivo: No
  21540. Rilevato In-The-Wild: No
  21541. Descrizione:
  21542.  
  21543. Niceday.C infetta il modello di documento principale (normal.dot) 
  21544. quando viene aperto un documento infetto. Altri documenti 
  21545. sono infettati quando vengono chiusi (AutoClose).
  21546.  
  21547. La differenza maggiore tra questa nuova versione ed il virus 
  21548. Niceday.A Φ che Niceday.C possiede dei codici alterati.
  21549.  
  21550.  
  21551. [Word_Niceday.D]
  21552. Nome del virus: Word.Niceday.D
  21553. Tipo di Virus: Virus da macro di Word
  21554. Numero di Macro: 4
  21555. Criptato: No
  21556. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, (VOpen, AutoClose)
  21557. Lunghezza della Macro: 886 Byte
  21558. Paese di origine: Sconosciuto
  21559. Data di origine: Primavera 1997
  21560. Distruttivo: No
  21561. Rilevato In-The-Wild: No
  21562. Descrizione:
  21563.  
  21564. Niceday.D infetta il modello di documento principale (normal.dot) 
  21565. quando viene aperto un documento infetto. Altri documenti sono 
  21566. infettati quando vengono chiusi (AutoClose).
  21567.  
  21568. La differenza maggiore tra questa nuova versione ed il virus 
  21569. Niceday.A Φ che Niceday.D possiede la macro "Payload"
  21570. alterata.
  21571.  
  21572.  
  21573. [Word_Niceday.E]
  21574. Nome del virus: Word.Niceday.E
  21575. Tipo di Virus: Virus da macro di Word
  21576. Numero di Macro: 4
  21577. Criptato: No
  21578. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, (VOpen, AutoClose)
  21579. Lunghezza della Macro: 886 Byte
  21580. Paese di origine: Sconosciuto
  21581. Data di origine: Primavera 1997
  21582. Distruttivo: No
  21583. Rilevato In-The-Wild: No
  21584. Descrizione:
  21585.  
  21586. Niceday.E infetta il modello di documento principale (normal.dot) 
  21587. quando viene aperto un documento infetto. Altri documenti 
  21588. sono infettati quando vengono chiusi (AutoClose).
  21589.  
  21590. La differenza maggiore tra questa nuova versione ed il virus 
  21591. Niceday.A Φ che Niceday.E possiede le macro "Payload"
  21592. e "AutoExit" alterate.
  21593.  
  21594.  
  21595. [Word_Niceday.F]
  21596. Nome del virus: Word.Niceday.F
  21597. Tipo di Virus: Virus da macro di Word
  21598. Numero di Macro: 4
  21599. Criptato: No
  21600. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, 
  21601. (VOpen, AutoClose)
  21602. Lunghezza della Macro: 886 Byte
  21603. Paese di origine: Sconosciuto
  21604. Data di origine: Primavera 1997
  21605. Distruttivo: No
  21606. Rilevato In-The-Wild: Si
  21607. Descrizione:
  21608.  
  21609. Niceday.F infetta il modello di documento principale (normal.dot) 
  21610. quando viene aperto un documento infetto. Altri documenti sono 
  21611. infettati quando vengono chiusi (AutoClose).
  21612.  
  21613. La differenza maggiore tra questa nuova versione ed il virus 
  21614. Niceday.A Φ che Niceday.F possiede la macro "AutoExit" 
  21615. alterata diversamente.
  21616.  
  21617.  
  21618. [Word_Niceday.G]
  21619. Nome del virus: Word.Niceday.G
  21620. Tipo di Virus: Virus da macro di Word
  21621. Numero di Macro: 4
  21622. Criptato: No
  21623. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen,
  21624. (VOpen, AutoClose)
  21625. Lunghezza della Macro: 910 Byte
  21626. Paese di origine: Spagna
  21627. Data di origine: Primavera 1997
  21628. Distruttivo: No
  21629. Rilevato In-The-Wild: No
  21630. Descrizione:
  21631.  
  21632. Niceday.G infetta il modello di documento principale (normal.dot) 
  21633. quando viene aperto un documento infetto. Altri documenti sono 
  21634. infettati quando vengono chiusi (AutoClose).
  21635.  
  21636. La differenza maggiore tra questa nuova versione ed il precedente 
  21637. Niceday Φ che Niceday.G possiede un messaggio differente.
  21638. Compare " Pepe Truene, The mooooooooore Faster" al posto di 
  21639. "Have a NiceDay!".
  21640.  
  21641. Niceday.G possiede un commento addizionale nella macro "AutoClose".
  21642.  
  21643.  
  21644. [Word_Niceday.H]
  21645. Nome del virus: Word.Niceday.H
  21646. Tipo di Virus: Virus da macro di Word
  21647. Numero di Macro: 4
  21648. Criptato: No
  21649. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, (VOpen, AutoClose)
  21650. Lunghezza della Macro: 886 Byte
  21651. Paese di origine: Sconosciuto
  21652. Data di origine: Primavera 1997
  21653. Distruttivo: No
  21654. Rilevato In-The-Wild: No
  21655. Descrizione:
  21656.  
  21657. Niceday.H infetta il modello di documento principale (normal.dot) 
  21658. quando viene aperto un documento infetto. 
  21659. Altri documenti sono infettati quando vengono chiusi (AutoClose).
  21660.  
  21661. La differenza maggiore tra questa nuova versione ed i precedenti 
  21662. Niceday Φ che Niceday.H possiede la macro "Payload" alterata diversamente.
  21663.  
  21664.  
  21665. [Word_Niceday.I]
  21666. Nome del virus: Word.Niceday.I
  21667. Tipo di Virus: Virus da macro di Word
  21668. Numero di Macro: 4
  21669. Criptato: No
  21670. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, (VOpen, AutoClose)
  21671. Lunghezza della Macro: 886 Byte
  21672. Paese di origine: Sconosciuto
  21673. Data di origine: Primavera 1997
  21674. Distruttivo: No
  21675. Rilevato In-The-Wild: No
  21676. Descrizione:
  21677.  
  21678. Niceday.I infetta il modello di documento principale (normal.dot) 
  21679. quando viene aperto un documento infetto. Altri documenti sono 
  21680. infettati quando vengono chiusi (AutoClose).
  21681.  
  21682. La differenza maggiore tra questa nuova versione ed i precedenti 
  21683. Niceday Φ che Niceday.I possiede delle macro alterate diversamente.
  21684.  
  21685.  
  21686. [Word_Niceday.J]
  21687. Nome del virus: Word.Niceday.J
  21688. Tipo di Virus: Virus da macro di Word
  21689. Numero di Macro: 4
  21690. Criptato: No
  21691. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, (VOpen, AutoClose)
  21692. Lunghezza della Macro: 886 Byte
  21693. Paese di origine: Sconosciuto
  21694. Data di origine: Primavera 1997
  21695. Distruttivo: No
  21696. Rilevato In-The-Wild: No
  21697. Descrizione:
  21698.  
  21699. Niceday.J infetta il modello di documento principale (normal.dot) 
  21700. quando viene aperto un documento infetto. 
  21701. Altri documenti sono infettati quando vengono chiusi (AutoClose).
  21702.  
  21703. La differenza maggiore tra questa nuova versione ed i precedenti 
  21704. Niceday Φ che Niceday.J possiede la macro "Payload" alterata diversamente.
  21705.  
  21706.  
  21707. [Word_Niceday.K]
  21708. Nome del virus: Word.Niceday.K
  21709. Tipo di Virus: Virus da macro di Word
  21710. Numero di Macro: 4
  21711. Criptato: No
  21712. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, (VOpen, AutoClose)
  21713. Lunghezza della Macro: 886 Byte
  21714. Paese di origine: Sconosciuto
  21715. Data di origine: Giugno 1997
  21716. Distruttivo: No
  21717. Rilevato In-The-Wild: No
  21718. Descrizione:
  21719.  
  21720. Niceday.K infetta il modello di documento principale (normal.dot) 
  21721. quando viene aperto un documento infetto. 
  21722. Altri documenti sono infettati quando vengono chiusi (AutoClose).
  21723.  
  21724. La differenza maggiore tra questa nuova versione ed i precedenti 
  21725. Niceday Φ che Niceday.K possiede la macro "AutoExit" alterata diversamente.
  21726.  
  21727.  
  21728. [Word_Niceday.L]
  21729. Nome del virus: Word.Niceday.L
  21730. Tipo di Virus: Virus da macro di Word
  21731. Numero di Macro: 4
  21732. Criptato: No
  21733. Nomi delle Macro: VClose, Payload, AutoExit, AutoOpen, (VOpen, AutoClose)
  21734. Lunghezza della Macro: 909 Byte
  21735. Paese di origine: Sconosciuto
  21736. Data di origine: Giugno 1997
  21737. Distruttivo: No
  21738. Rilevato In-The-Wild: No
  21739. Descrizione:
  21740.  
  21741. Niceday.L infetta il modello di documento principale (normal.dot) 
  21742. quando viene aperto un documento infetto. 
  21743. Altri documenti sono infettati quando vengono chiusi (AutoClose).
  21744.  
  21745. La differenza maggiore tra questa nuova versione ed i precedenti 
  21746. Niceday Φ che Niceday.L possiede un messaggio diverso.
  21747. Compare " Your files will be deleted in 24 hours " al posto di 
  21748. " Have a NiceDay!".
  21749.  
  21750.  
  21751. [Word_Niki.A]
  21752. Nome del virus: Word.Niki.A
  21753. Tipo di Virus: Virus da macro di Word
  21754. Numero di Macro: 6
  21755. Criptato: Si
  21756. Nomi delle Macro: AutoExec, AutoOpen, FileApri, FileSalvaConNome, 
  21757. StrumMacro, NiKi
  21758. Lunghezza della Macro: 7939 Byte
  21759. Paese di origine: Italia
  21760. Data di origine: Sconosciuta
  21761. Distruttivo: Si
  21762. Rilevato In-The-Wild: No
  21763. Descrizione:
  21764.  
  21765. Niki Φ un altro virus da macro per la versione italiana di Microsoft
  21766. Word.
  21767.  
  21768. Niki infetta il modello di documento principale (normal.dot) quando 
  21769. viene aperto un documento infetto.  Altri documenti sono infettati 
  21770. quando vengono aperti (FileApri) e salvati (FileSalvaConNome).
  21771.  
  21772. Quando la macro "NiKi" viene attivata, Niki cancella tutti i file 
  21773. .doc e i file .dll nelle seguenti directory:
  21774.  
  21775. C:\MSOFFICE
  21776. C:\WINDOWS\SYSTEM
  21777.  
  21778.  
  21779. [Word_Nikita.A and Word.Nikita.A1]
  21780. Nome del virus: Word.Nikita.A and Word.Nikita.A1
  21781. Tipo di Virus: Virus da macro di Word
  21782. Numero di Macro: 2 o 1
  21783. Criptato: Si
  21784. Nomi delle Macro: AutoOpen, Fun
  21785. Lunghezza della Macro: 1028 Byte nei file .doc, 309 Byte nel modello 
  21786. di documento principale
  21787. Paese di origine: Sconosciuto
  21788. Data di origine: Sconosciuta
  21789. Distruttivo: Si
  21790. Rilevato In-The-Wild: No
  21791. Descrizione:
  21792.  
  21793. Nikita Φ un cavallo di troia, non un virus. Non si replica.
  21794.  
  21795. Nikita si attiva quando viene aperto un documento infetto. 
  21796. Compare una faccia che muove occhi e bocca, ed il seguente testo:
  21797.  
  21798. "   Hello Guys! Oh, please stay here and look!   "
  21799.  
  21800. (il testo Φ disponibile solo nel documento cavallo di Troia originale)
  21801.  
  21802. All'attivazione, la macro "Fun" viene salvata nel modello di documento 
  21803. principale sotto il nome "AutoOpen". Una volta che viene aperto un 
  21804. nuovo documento (da un documento infetto) la procedura si attiva e 
  21805. Nikita crea file, riempendo lentamente l'hard drive. 
  21806. I file contengono i seguenti file:
  21807.  
  21808. "   Nikita (1997) Nightmare Joker [SLAM]   "
  21809.  
  21810.  
  21811. [Word_NJ-WMDLK1.A (a.k.a. BlackKnight)]
  21812. Nome del virus: Word.NJ-WMDLK1.A (a.k.a. BlackKnight)
  21813. Tipo di Virus: Virus da macro di Word
  21814. Numero di Macro: 2
  21815. Criptato: Si
  21816. Nomi delle Macro: DQEQDIDT, GPDRCQJZ
  21817. Lunghezza della Macro: 3680 Byte
  21818. Paese di origine: Sconosciuto
  21819. Data di origine: Sconosciuta
  21820. Distruttivo: No
  21821. Rilevato In-The-Wild: No
  21822. Descrizione:
  21823.  
  21824. NJ-WMDLK1.A infetta il modello di documento principale (normal.dot) 
  21825. quando viene aperto un documento infetto e viene premuto il seguente tasto:
  21826.  
  21827. "   SPACE   " assegnato alla macro DQEQDIDT 
  21828.  
  21829. Altri documenti divengono infetti quando viene premuto ancora  
  21830. " SPACE ".
  21831.  
  21832. NJ-WMDLK1.A Φ semplice da individuare. Se viene premuto
  21833. " SPACE ", apparirα la lettera " E " e quando viene premuto
  21834. " E ", compare uno spazio vuoto (spacebar function).
  21835.  
  21836. Questo virus fu distribuito con NJ-WMDLK1.B e
  21837. NJ-WMDLK1.C nel kit per costruire un virus da macro.
  21838. Il kit Φ disponibile in 5 diverse versioni ed Φ in grado
  21839. di creare virus da macro e cavalli di Troia da macro.
  21840.  
  21841.  
  21842. [Word_NJ-WMDLK1.B (a.k.a. BlackEnd)]
  21843. Nome del virus: Word.NJ-WMDLK1.B (a.k.a. BlackEnd)
  21844. Tipo di Virus: Virus da macro di Word
  21845. Numero di Macro: 5
  21846. Criptato: Si
  21847. Nomi delle Macro: AutoNew, AutoClose, AutoExec, AutoOpen, BlackEnd
  21848. Lunghezza della Macro: 2102 Byte
  21849. Paese di origine: Sconosciuto
  21850. Data di origine: Sconosciuta
  21851. Payload: Si
  21852. Rilevato In-The-Wild: No
  21853. Descrizione:
  21854.  
  21855. NJ-WMDLK1.B infetta il modello di documento principale (normal.dot) 
  21856. quando viene aperto un documento infetto. Altri documenti sono 
  21857. infettati quando vengono aperti (AutoOpen), chiusi
  21858. (AutoClose), viene avviato Microsoft Word (AutoExec), 
  21859. e quando viene creato un nuovo file (AutoNew).
  21860.  
  21861. Il giorno 22 maggio di ogni anno, Nj-WMDLK1.B attiva la sua
  21862. procedura ed inserisce nel nuovo file di modello il seguente testo:
  21863.  
  21864. "   You are infected with the BlackEbd Virus! [D.K.]
  21865.  
  21866. Successivamente viene creato e lanciato il seguente:
  21867.  
  21868.  C:\DOSSYS.BAT
  21869.  
  21870. Il file contiene:
  21871.  
  21872. "   echo off   "
  21873. "   doskey Fun=setver win.com 3.00   "
  21874. "   echo off   "
  21875. "   Fun   "
  21876.  
  21877. il virus fu distribuito con NJ-WMDLK1.A e
  21878. NJ-WMDLK1.C nel kit per costruire un virus da macro.
  21879. Il kit Φ disponibile in 5 diverse versioni ed Φ in grado
  21880. di creare virus da macro e cavalli di Troia da macro.
  21881.  
  21882.  
  21883. [Word_NJ-WMVCK2.B (Kit) (a.k.a. NJK-gen)]
  21884. Virus Kit Name: Word.NJ-WMVCK2.B (Kit) (a.k.a. NJK-gen)
  21885. Tipo di Virus: Virus da macro di Word
  21886. Lunghezza della Macro: 264915 Byte
  21887. Numero di Macro: 20
  21888. Paese di origine: Germania
  21889. Data di origine: Luglio 1996
  21890. Descrizione:
  21891.  
  21892. Questo kit per costruire virus da macro fu il primo a comparire 
  21893. nell'estate del 1996. Fu scritto in Germania e lavora solo con la 
  21894. versione tedesca di Microsoft Word.
  21895.  
  21896. Tutti i virus creati con il kit possiedono in comune le seguenti 
  21897. caratteristiche:
  21898.  
  21899. 1. Composti da 7 o 8 macro
  21900.  
  21901. 2. 7 macro hanno un nome fisso
  21902.  
  21903. 3. il nome dell'ultima macro Φ scelto dall'utente 
  21904.  
  21905. Il kit offre la possibilitα di inserirsi in 9 predefiniti virus basati 
  21906. sul DOS. A causa di un bug nel codice della macro lavora solo l'inserimento 
  21907. per il virus BOZA.C. Boza.C viene classificato come virus e non infetta 
  21908. i file dell'utente. Tuttavia, il pericolo di una alterazione Φ sempre presente.
  21909.  
  21910. Tutti i virus controllano l'ora di sistema e se il valore nel campo dei 
  21911. secondi Φ 10, viene aggiunto il seguente testo al documento stampato:
  21912.  
  21913. "   Nightmare Joker's WMVCK   "
  21914.  
  21915. Il kit di costruzione permette anche di aggiungere testo aggiuntivo 
  21916. al documento stampato. L'utente che utilizza il kit deve solo scrivere 
  21917. il testo quando crea il virus. 
  21918.  
  21919. Con il kit si possono creare i seguenti virus:
  21920.  
  21921. 1.  WMVCK.Casino  - Questa versione inserisce Casino.2330.
  21922.  
  21923. 2.  WMVCK.VLS     - Questa versione inserisce VCL.Markt.1533.
  21924.  
  21925. 3.  WMVCK.MTE     - Questa versione inserisce MTE.Shocker.
  21926.  
  21927. 4.  WMVCK.Sirius  - Questa versione inserisce Sirius.Alive.4608.
  21928.  
  21929. 5.  WMVCK.SMEG    - Questa versione inserisce SMEG.Queeg.
  21930.  
  21931. 6.  WMVCK.Tequila - Questa versione inserisce Tequila.
  21932.  
  21933. 7.  WMVCK.VICE    - Questa versione inserisceVICE.05.Code.3952.
  21934.  
  21935. 8.  WMVCK.Uniform - Questa versione inserisce Uniform.
  21936.  
  21937. 9.  WMVCK.Boza.C  - Questa versione inserisce Boza.
  21938.  
  21939. 10. WMVCK.Tremor  - Questa versione inserisce Tremor.
  21940.  
  21941. 11. WMVCK.NoDrop  - Questa versione non inserisce virus.
  21942.  
  21943.  
  21944. [Word_NJ-WMDLK1.C (a.k.a. Grunt)]
  21945. Nome del virus: Word.NJ-WMDLK1.C (a.k.a. Grunt)
  21946. Tipo di Virus: Virus da macro di Word
  21947. Numero di Macro: 2
  21948. Criptato: Si
  21949. Nomi delle Macro: XxGRUNTxX1, XxGRUNTxX2
  21950. Lunghezza della Macro: 1461 Byte
  21951. Paese di origine: Sconosciuto
  21952. Data di origine: Sconosciuta
  21953. Distruttivo: No
  21954. Rilevato In-The-Wild: No
  21955. Descrizione:
  21956.  
  21957. NJ-WMDLK1.C infetta il modello di documento principale (normal.dot) 
  21958. quando viene aperto un documento infetto e viene premuto uno dei 
  21959. seguenti tasti:  
  21960.  
  21961. "   E   "  assegnato alla macro XxGRUNTxX1 
  21962. "   I   " assegnato alla macro XxGRUNTxX2 
  21963.  
  21964. Altri documenti divengono infetti quando si preme " E " or" I ".
  21965.  
  21966. Nel virus si pu≥ ritrovare il seguente testo: 
  21967.  
  21968. "   A Virus from Nightmare Joker's Demolition Kit!   "
  21969.  
  21970. Il virus fu distribuito con NJ-WMDLK1.A eNJ-WMDLK1.B in un kit 
  21971. di costruzione di virus da macro. Il kit Φ disponibile in 5 
  21972. diverse versioni ed Φ in grado di creare virus da macro e 
  21973. cavalli di Troia da macro.
  21974.  
  21975.  
  21976. [Word_NJ-WMDLK1.D (a.k.a. Archie)]
  21977. Nome del virus: Word.NJ-WMDLK1.D (a.k.a. Archie)
  21978. Tipo di Virus: Virus da macro di Word
  21979. Numero di Macro: 5
  21980. Criptato: Si
  21981. Nomi delle Macro: AutoNew, AutoClose, AutoExec, AutoOpen, 
  21982. BlackEnd
  21983. Lunghezza della Macro: 2102 Byte
  21984. Paese di origine: Sconosciuto
  21985. Data di origine: Sconosciuta
  21986. Payload: No
  21987. Rilevato In-The-Wild: No
  21988. Descrizione:
  21989.  
  21990. NJ-WMDLK1.D infetta il modello di documento principale (normal.dot) 
  21991. quando viene aperto un documento infetto. Altri documenti si infettano 
  21992. quando vengono aperti (AutoOpen), chiusi
  21993. (AutoClose), viene avviato Microsoft Word (AutoExec), e quando viene 
  21994. creato un nuovo file (AutoNew).
  21995.  
  21996. Si tratta di un virus creato con un kit di costruzione di virus da macro. 
  21997.  
  21998. Il kit Φ disponibile in 5 diverse versioni ed Φ in grado di creare 
  21999. virus da macro e cavalli di Troia da macro.
  22000.  
  22001.  
  22002. Nella macro "Archie" si pu≥ trovare il seguente testo:
  22003.  
  22004. " A Virus from Nightmare Joker's Demolition Kit!   "
  22005. " Translated into English by Dark Night (VBB)   "
  22006.  
  22007.  
  22008. [Word_Nomvir.A:De]
  22009. Nome del virus: Word.Nomvir.A:De
  22010. Tipo di Virus: Virus da macro di Word
  22011. Numero di Macro: 10
  22012. Criptato: Si
  22013. Nomi delle Macro: AutoExec, AutoNew, AutoOpen, DateiSpeichern,
  22014. DateiSpeichernUnter, DateiBeenden, ExtrasOptionen, DateiDokvorlagen, 
  22015. DateiDrucken, FuckIt,
  22016. Lunghezza della Macro: 5660 Byte
  22017. Paese di origine: Germania
  22018. Data di origine: Gennaio 1997
  22019. Payload: Si
  22020. Rilevato In-The-Wild: No
  22021. Descrizione:
  22022.  
  22023. Nomvir infetta il modello di documento principale (normal.dot) 
  22024. quando viene creato un nuovo documento (AutoNew) o avviato Microsoft 
  22025. Word (AutoExec).  Altri documenti si infettano quando sono salvati con 
  22026. i comandi DateiSpeichern o DateiSpeichernUnter.
  22027.  
  22028. Nomvir contiene diverse procedure distruttive. Cerca di sostituire parole 
  22029. con la parola "hell", cancella C:\Autoexec.bat
  22030. e C:\Config.sys, o aggiunge alla fine del documento il seguente testo: 
  22031.  
  22032. "   Fuck Microsoft & Bill Gates   "
  22033.  
  22034. Altre procedure vengono attivate il giorno 23 di ogni mese,
  22035. sabato 13, 1gennaio e 25 dicembre.
  22036. A queste date cerca di cancellare i seguenti:
  22037.  
  22038. "   C:\WINDOWS\USER.DAT   "
  22039. "   C:\WINDOWS\USER.DA0   "
  22040. "   C:\WINDOWS\SYSTEM.DA0   "
  22041. "   C:\WINDOWS\SYSTEM.DAT   "
  22042.  
  22043. Novir.A non attiva le proprie procedure se trova la sezione 
  22044. "Compatibility" in WIN.INI:
  22045. Nomvir=0x0690690"
  22046.  
  22047. Quando viene selezionato il menu Tools/Macro compare 
  22048. il seguente messaggio:
  22049.  
  22050. "   Nicht genⁿgend Arbeitsspeicher !   "
  22051.  
  22052. (tradotto: memoria insufficiente)
  22053.  
  22054. Quando viene selezionato il menu "DateiDokvorlagen"compare il 
  22055. seguente messaggio:
  22056.  
  22057. "   Interner Fehler !   "
  22058.  
  22059. (tradotto: Errore interno)
  22060.  
  22061.  
  22062. [Word_Nomvir.B:De]
  22063. Nome del virus: Word.Nomvir.B:De
  22064. Tipo di Virus: Virus da macro di Word
  22065. Numero di Macro: 10
  22066. Criptato: Si
  22067. Nomi delle Macro: AutoExec, AutoNew, AutoOpen, DateiSpeichern,
  22068. DateiSpeichernUnter, DateiBeenden, ExtrasOptionen, DateiDokvorlagen, 
  22069. DateiDrucken, FuckIt,
  22070. Lunghezza della Macro: 5660 Byte
  22071. Paese di origine: Germania
  22072. Data di origine: Gennaio 1997
  22073. Payload: Si
  22074. Rilevato In-The-Wild: No
  22075. Descrizione:
  22076.  
  22077. Nomvir.B infetta il modello di documento principale (normal.dot) quando 
  22078. viene creato un nuovo documento (AutoNew) o avviato Microsoft Word (AutoExec). 
  22079. Altri documenti si infettano quando sono salvati con i comandi 
  22080. DateiSpeichern o DateiSpeichernUnter.
  22081.  
  22082.  
  22083. La differenza maggiore tra questa nuova versione e la versione "A"
  22084. Φ che le macro "DateiDrucken" e "DateiBeenden"
  22085. non sono pi∙ alterate.
  22086.  
  22087. DateiBeenden (tradotto: FileClose) Φ responsabile di una nuova procedura. 
  22088. Con il 20% di probabilitα, Nomvir.B aggiunge una
  22089. password al documento attivo. Questa password Φ formata da 5
  22090. lettere (iATeS) pi∙ una sesta scelta a caso.
  22091.  
  22092. Per ulteriori informazioni vedere la descrizione del virus Nomvir.A.
  22093.  
  22094.  
  22095. [Word_Nop.A:De]
  22096. Nome del virus: Word.Nop.A:De
  22097. Tipo di Virus: Virus da macro di Word
  22098. Numero di Macro: 2
  22099. Criptato: No
  22100. Nomi delle Macro: AutoOpen, NOP (DateiSpeichern)
  22101. Lunghezza della Macro: 246 Byte
  22102. Paese di origine: Germania
  22103. Data di origine: Estate 1996
  22104. Distruttivo: No
  22105. Rilevato In The Wild: Si
  22106. Descrizione:
  22107.  
  22108. NOP.A Φ un virus molto primitivo e necessita di pochissimi comandi 
  22109. per replicarsi. L'unica particolaritα del virus NOP Φ che spegne i 
  22110. suggerimenti di Word prima di salvare il 
  22111. modello di documento principale (NORMAL.DOT).
  22112.  
  22113. Quando viene aperto un documento infetto, NOP si trasferisce 
  22114. nel modello di documento principale e rinomina "NOP" con "DateiSpeichern".
  22115. Altri documenti si infettano quando vengono salvati.
  22116.  
  22117.  
  22118. [Word_Nop.B:De]
  22119. Nome del virus: Word.Nop.B:De
  22120. Tipo di Virus: Virus da macro di Word
  22121. Numero di Macro: 2
  22122. Criptato: No
  22123. Nomi delle Macro: AutoOpen, NOP (DateiSpeichern)
  22124. Lunghezza della Macro: 250 Byte
  22125. Paese di origine: Germania
  22126. Data di origine: Estate 1996
  22127. Distruttivo: No
  22128. Rilevato In The Wild: No
  22129. Descrizione:
  22130.  
  22131. La differenza tra questa nuova versione ed il virus NOP.A Φ che
  22132. NOP.B non spegne i suggerimenti di Microsoft Word
  22133. Prima di salvare il modello di documento principale (normal.dot). 
  22134. Aggiunge anche la parola "Testvirus" nel punto di entrata.
  22135.  
  22136. Per ulteriori informazioni vedere la descrizione del virus NOP.A.
  22137.  
  22138.  
  22139. [Word_NOP.D]
  22140. Nome del virus: Word.NOP.D
  22141. Tipo di Virus: Virus da macro di Word
  22142. Numero di Macro: 1
  22143. Criptato: No
  22144. Nomi delle Macro: AutoOpen, NOP
  22145. Lunghezza della Macro: 234 Byte
  22146. Paese di origine: USA
  22147. Data di origine: Gennaio 1997
  22148. Distruttivo: No
  22149. Rilevato In The Wild: No
  22150. Descrizione:
  22151.  
  22152. NOP.D Φ una nuova versione basata sul virus Nop.A.
  22153. L'unica differenza tra i due virus Φ che NOP.D Φ in grado di 
  22154. infettare la versione inglese di Microsoft Word, mentre NOP.A 
  22155. lavora solo con la versione tedesca.
  22156.  
  22157. Per ulteriori informazioni vedere la descrizione del virus NOP.A.
  22158.  
  22159. [Word_NPad.A (DOEUNPAD)]
  22160. Nome del virus: Word.NPad.A (DOEUNPAD)
  22161. Tipo di Virus: Virus da macro di Word
  22162. Numero di Macro: 1
  22163. Criptato: Si
  22164. Nomi delle Macro: AutoOpen
  22165. Lunghezza della Macro: 1831 Byte
  22166. Paese di origine: Bandung, Indonesia
  22167. Data di origine: Marzo 1996
  22168. Payload: Si
  22169. Rilevato In The Wild: Si
  22170. Descrizione:
  22171.  
  22172. NPad si attiva quando viene aperto un documento infetto
  22173. (AutoOpen).
  22174.  
  22175. NPad.A modifica la sezione "compatibility" nel file
  22176. WIN.INI. Aggiunge un contatore con il nome di "NPAD328"
  22177. ed ogni volta che si attiva, aggiunge 1 al suo valore.
  22178. Raggiunto il valore 23 azzera il contatore e compare nella barra 
  22179. di stato il seguente messaggio:
  22180.  
  22181. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  22182.  
  22183.  
  22184. [Word_NPad.B]
  22185. Nome del virus: Word.NPad.B
  22186. Tipo di Virus: Virus da macro di Word
  22187. Numero di Macro: 1
  22188. Criptato: Si
  22189. Nomi delle Macro: AutoOpen
  22190. Lunghezza della Macro: 1831 Byte
  22191. Paese di origine: Bandung, Indonesia
  22192. Data di origine: Marzo 1996
  22193. Distruttivo: No
  22194. Rilevato In-The-Wild: No
  22195. Descrizione:
  22196.  
  22197. La differenza tra questa nuova versione ed il virus NPad
  22198. originale Φ che alcuni Byte, nel codice macro del virus, sono stati 
  22199. aggiornati Il risultato delle modifiche Φ un'istruzione non valida. 
  22200. NPad.B Φ in grado di infettare il modello di documento principale 
  22201. ed altri documenti, al raggiungimento della parte invalidata del 
  22202. codice della macro, mostra un messaggio d'errore di sintassi.
  22203.  
  22204. Il messaggio dal virus Npad originale non compare mai.
  22205.  
  22206.  
  22207. [Word_NPad.C]
  22208. Nome del virus: Word.NPad.C
  22209. Tipo di Virus: Virus da macro di Word
  22210. Numero     di Macro: 1
  22211. Criptato: Si
  22212. Nomi delle Macro: AutoOpen
  22213. Lunghezza della Macro: 1831 Byte
  22214. Paese di origine: Sconosciuto
  22215. Data di origine: Gennaio 1997
  22216. Distruttivo: No
  22217. Rilevato In-The-Wild: No
  22218. Descrizione:
  22219.  
  22220. NPad.C Φ una versione del vecchio virus NPad.A.
  22221. L'unica differenza tra i due virus Φ che NPad.C Φ una versione alterata, 
  22222. con alcuni Byte presi dal virus NPad.A.
  22223.  
  22224. Come risultato dell'alterazione, NPad.C esegue solo alcuni propri codici. 
  22225. L'infezione del modello di documento principale e di altri documenti 
  22226. Φ sempre attiva, tuttavia NPad.C non mostra mai il messaggio originale 
  22227. del virus NPad.A.
  22228. Mostra invece un messaggio d'errore di WordBasic
  22229.  
  22230.  
  22231.  
  22232. [Word_NPad.D]
  22233. Nome del virus: Word.NPad.D
  22234. Tipo di Virus: Virus da macro di Word
  22235. Numero di Macro: 1
  22236. Criptato: Si
  22237. Nomi delle Macro: AutoOpen
  22238. Lunghezza della Macro: 1831 Byte
  22239. Paese di origine: Indonesia
  22240. Data di origine: Gennaio 1997
  22241. Distruttivo: No
  22242. Rilevato In-The-Wild: No
  22243. Descrizione:
  22244.  
  22245. NPad.D Φ una versione meno importante del virus NPad.A.
  22246. L'unica differenza tra i due virus Φ che NPad.D Φ una versione alterata, 
  22247. con alcuni Byte presi dal virus NPad.A.
  22248.  
  22249. Come risultato dell'alterazione, NPad.D esegue solo alcuni propri codici. 
  22250. L'infezione del modello di documento principale e di altri documenti 
  22251. Φ sempre attiva, tuttavia NPad.D non mostra mai il messaggio 
  22252. originale del virus NPad.A.
  22253. Mostra invece un messaggio d'errore di WordBasic.
  22254.  
  22255.  
  22256. [Word_NPad.E]
  22257. Nome del virus: Word.NPad.E
  22258. Tipo di Virus: Virus da macro di Word
  22259. Numero di Macro: 1
  22260. Criptato: Si
  22261. Nomi delle Macro: AutoOpen
  22262. Lunghezza della Macro: 1831 Byte
  22263. Paese di origine: Sconosciuto
  22264. Data di origine: Gennaio 1997
  22265. Distruttivo: No
  22266. Rilevato In-The-Wild: No
  22267. Descrizione:
  22268.  
  22269. NPad.E Φ una versione meno importante del virus NPad.A.
  22270. L'unica differenza tra i due virus Φ che NPad.E Φ una versione alterata, 
  22271. con alcuni Byte presi dal virus NPad.A.
  22272.  
  22273. Come risultato dell'alterazione, NPad.E esegue solo alcuni propri codici. 
  22274. L'infezione del modello di documento principale e di altri documenti 
  22275. Φ sempre attiva, tuttavia NPad.E non mostra mai il messaggio 
  22276. originale del virus NPad.A.
  22277. Mostra invece un messaggio d'errore di WordBasic.
  22278.  
  22279.  
  22280. [Word_NPad.F]
  22281. Nome del virus: Word.NPad.F
  22282. Tipo di Virus: Virus da macro di Word
  22283. Numero di Macro: 1
  22284. Criptato: Si
  22285. Nomi delle Macro: AutoOpen
  22286. Lunghezza della Macro: 1831 Byte
  22287. Paese di origine: Sconosciuto
  22288. Data di origine: Gennaio 1997
  22289. Distruttivo: No
  22290. Rilevato In-The-Wild: No
  22291. Descrizione:
  22292.  
  22293. NPad.F Φ una versione meno importante del virus NPad.A.
  22294. L'unica differenza tra i due virus Φ che NPad.F Φ una versione alterata, 
  22295. con alcuni Byte presi dal virus NPad.A.
  22296.  
  22297. Come risultato dell'alterazione, NPad.F esegue solo alcuni propri codici. 
  22298. L'infezione del modello di documento principale e di altri documenti 
  22299. Φ sempre attiva, tuttavia NPad.F non mostra mai il messaggio originale 
  22300. del virus NPad.A.
  22301. Mostra invece un messaggio d'errore di WordBasic.
  22302.  
  22303.  
  22304. [Word_NPad.G]
  22305. Nome del virus: Word.NPad.G
  22306. Tipo di Virus: Virus da macro di Word
  22307. Numero di Macro: 1
  22308. Criptato: Si
  22309. Nomi delle Macro:  AutoOpen
  22310. Lunghezza della Macro: 1831 Byte
  22311. Paese di origine: Sconosciuto
  22312. Data di origine: Gennaio 1997
  22313. Distruttivo: No
  22314. Rilevato In-The-Wild: No
  22315. Descrizione:
  22316.  
  22317. NPad.G Φ una versione meno importante del virus NPad.A.
  22318. L'unica differenza tra i due virus Φ che NPad.G Φ una versione alterata, 
  22319. con alcuni Byte presi dal virus NPad.A.
  22320.  
  22321. Come risultato dell'alterazione, NPad.G esegue solo alcuni propri codici. 
  22322. L'infezione del modello di documento principale e di altri documenti 
  22323. Φ sempre attiva, tuttavia NPad.G non mostra mai il messaggio originale 
  22324. del virus NPad.A.
  22325. Mostra invece un messaggio d'errore di WordBasic
  22326.  
  22327.  
  22328. [Word_NPad.I]
  22329. Nome del virus: Word.NPad.I
  22330. Tipo di Virus: Virus da macro di Word
  22331. Numero di Macro: 1
  22332. Criptato: Si
  22333. Nomi delle Macro: AutoOpen
  22334. Lunghezza della Macro: 1831 Byte
  22335. Paese di origine: Sconosciuto
  22336. Data di origine: Gennaio 1997
  22337. Distruttivo: No
  22338. Rilevato In-The-Wild: No
  22339. Descrizione:
  22340.  
  22341. NPad.I Φ una versione meno importante del virus NPad.A.
  22342. L'unica differenza tra i due virus Φ che NPad.I Φ una versione alterata, 
  22343. con alcuni Byte presi dal virus NPad.A.
  22344.  
  22345. Come risultato dell'alterazione, NPad.I esegue solo alcuni propri codici. 
  22346. L'infezione del modello di documento principale e di altri documenti 
  22347. Φ sempre attiva, tuttavia NPad.I non mostra mai il messaggio originale 
  22348. del virus NPad.A.
  22349. Mostra invece un messaggio d'errore di WordBasic
  22350.  
  22351.  
  22352.  
  22353. [Word_NPad.M]
  22354. Nome del virus: Word.NPad.M
  22355. Tipo di Virus: Virus da macro di Word
  22356. Numero di Macro: 1
  22357. Criptato: Si
  22358. Nomi delle Macro: AutoOpen
  22359. Lunghezza della Macro: 1831 Byte
  22360. Paese di origine: Sconosciuto
  22361. Data di origine: 1997
  22362. Distruttivo: No
  22363. Rilevato In-The-Wild: No
  22364. Descrizione:
  22365.  
  22366. NPad.M Φ una versione meno importante del virus NPad.A.
  22367. L'unica differenza tra i due virus Φ che NPad.M Φ una versione alterata, 
  22368. con alcuni Byte presi dal virus NPad.A.
  22369.  
  22370. Come risultato dell'alterazione, NPad.M esegue solo alcuni propri codici. 
  22371. L'infezione del modello di documento principale e di altri documenti 
  22372. Φ sempre attiva, tuttavia NPad.M non mostra mai il messaggio originale 
  22373. del virus NPad.A.
  22374. Mostra invece un messaggio d'errore di WordBasic
  22375.  
  22376.  
  22377. [Word_NPad.AB]
  22378. Nome del virus: Word.NPad.AB
  22379. Tipo di Virus: Virus da macro di Word
  22380. Numero di Macro: 1
  22381. Criptato: Si
  22382. Nomi delle Macro: AutoOpen
  22383. Lunghezza della Macro: 1831 Byte
  22384. Paese di origine: Sconosciuto
  22385. Data di origine: 1996
  22386. Distruttivo: No
  22387. Rilevato In-The-Wild: No
  22388. Descrizione:
  22389.  
  22390. L'unica differenza tra questa nuova versione ed i precedenti virus 
  22391. NPad Φ che NPad.AB possiede delle differenze irrilevanti del codice.
  22392.  
  22393. NPad.AB modifica la sezione "compatibility" nel file
  22394. WIN.INI. Aggiunge un contatore dal nome "NPAD328"
  22395. Ed ogni volta che il virus si attiva, aggiunge 1 al suo valore.
  22396. Al raggiungimento del valore 23 azzera il contatore e mostra nella 
  22397. barra di stato il seguente messaggio:
  22398.  
  22399. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  22400.  
  22401. Infetta il modello di documento principale quando viene aperto un documento 
  22402. infetto. Altri documenti si infettano quando vengono aperti (AutoOpen).
  22403.  
  22404.  
  22405. [Word_NPad.AD]
  22406. Nome del virus: Word.NPad.AD
  22407. Tipo di Virus: Virus da macro di Word
  22408. Numero di Macro: 1
  22409. Criptato: Si
  22410. Nomi delle Macro: AutoOpen
  22411. Lunghezza della Macro: 1831 Byte
  22412. Paese di origine: Sconosciuto
  22413. Data di origine: Primavera 1997
  22414. Distruttivo: No
  22415. Rilevato In-The-Wild: No
  22416. Descrizione:
  22417.  
  22418. L'unica differenza tra questa nuova versione ed i precedenti virus
  22419. NPad Φ che NPad.AD possiede dei codici alterati.
  22420.  
  22421. Come risultato dell'alterazione, NPad.AD esegue solo alcuni dei suoi 
  22422. codici virali. Npad.AD infetta il modello di documento principale 
  22423. (normal.dot) quando viene aperto un documento infetto. 
  22424. Altri documenti si infettano quando vengono aperti.
  22425.  
  22426.  
  22427. [Word_NPad.AE]
  22428. Nome del virus: Word.NPad.AE
  22429. Tipo di Virus: Virus da macro di Word
  22430. Numero di Macro: 1
  22431. Criptato: Si
  22432. Nomi delle Macro: AutoOpen
  22433. Lunghezza della Macro: 1831 Byte
  22434. Paese di origine: Sconosciuto
  22435. Data di origine: Primavera 1997
  22436. Distruttivo: No
  22437. Rilevato In-The-Wild: No
  22438. Descrizione:
  22439.  
  22440. L'unica differenza tra questa nuova versione ed i precedenti virus
  22441. NPad Φ che NPad.AE possiede dei codici alterati.
  22442.  
  22443. Come risultato dell'alterazione, NPad.AE esegue solo alcuni dei suoi 
  22444. codici virali. Npad.AE infetta il modello di documento principale 
  22445. (normal.dot) quando viene aperto un documento infetto. 
  22446. Altri documenti si infettano quando vengono aperti.
  22447.  
  22448.  
  22449. [Word_NPad.AF]
  22450. Nome del virus: Word.NPad.AF
  22451. Tipo di Virus: Virus da macro di Word
  22452. Numero di Macro: 1
  22453. Criptato: Si
  22454. Nomi delle Macro: AutoOpen
  22455. Lunghezza della Macro: 1831 Byte
  22456. Paese di origine: Sconosciuto
  22457. Data di origine: Primavera 1997
  22458. Distruttivo: No
  22459. Rilevato In-The-Wild: No
  22460. Descrizione:
  22461.  
  22462. L'unica differenza tra questa nuova versione ed i precedenti virus
  22463. NPad Φ che NPad.AF possiede delle irrilevanti modifiche al codice 
  22464. e il contatore alterato.
  22465.  
  22466. L'infezione del modello di documento principale si verifica quando 
  22467. viene aperto un documento infetto. Altri documenti si infettano 
  22468. quando vengono aperti (AutoOpen).
  22469.  
  22470.  
  22471. [Word_NPad.AG]
  22472. Nome del virus: Word.NPad.AG
  22473. Tipo di Virus: Virus da macro di Word
  22474. Numero di Macro: 1
  22475. Criptato: Si
  22476. Nomi delle Macro: AutoOpen
  22477. Lunghezza della Macro: 1831 Byte
  22478. Paese di origine: Sconosciuto
  22479. Data di origine: Primavera 1997
  22480. Distruttivo: No
  22481. Rilevato In-The-Wild: No
  22482. Descrizione:
  22483.  
  22484. L'unica differenza tra questa nuova versione ed i precedenti virus
  22485. NPad Φ che NPad.AG possiede dei codici alterati.
  22486.  
  22487. Come risultato dell'alterazione, NPad.AG esegue solo alcuni dei 
  22488. suoi codici virali. Npad.AG infetta il modello di documento principale 
  22489. (normal.dot) quando viene aperto un documento infetto. 
  22490. Altri documenti si infettano quando vengono aperti.
  22491.  
  22492.  
  22493. [Word_NPad.AH]
  22494. Nome del virus: Word.NPad.AH
  22495. Tipo di Virus: Virus da macro di Word
  22496. Numero di Macro: 1
  22497. Criptato: Si
  22498. Nomi delle Macro: AutoOpen
  22499. Lunghezza della Macro: 1831 Byte
  22500. Paese di origine: Sconosciuto
  22501. Data di origine: Primavera 1997
  22502. Distruttivo: No
  22503. Rilevato In-The-Wild: No
  22504. Descrizione:
  22505.  
  22506. L'unica differenza tra questa nuova versione ed i precedenti virus
  22507. NPad Φ che NPad.AH possiede dei codici alterati.
  22508.  
  22509. Come risultato dell'alterazione, NPad.AH esegue solo alcuni 
  22510. dei suoi codici virali. Npad.AEH infetta il modello di documento 
  22511. principale (normal.dot) quando viene aperto un documento infetto. 
  22512. Altri documenti si infettano quando vengono aperti.
  22513.  
  22514.  
  22515. [Word_NPad.AI]
  22516. Nome del virus: Word.NPad.AI
  22517. Tipo di Virus: Virus da macro di Word
  22518. Numero di Macro: 1
  22519. Criptato: Si
  22520. Nomi delle Macro: AutoOpen
  22521. Lunghezza della Macro: 1831 Byte
  22522. Paese di origine: Sconosciuto
  22523. Data di origine: Primavera 1997
  22524. Distruttivo: No
  22525. Rilevato In-The-Wild: No
  22526. Descrizione:
  22527.  
  22528. L'unica differenza tra questa nuova versione ed i precedenti virus
  22529. NPad Φ che NPad.AI possiede dei codici alterati.
  22530.  
  22531. Come risultato dell'alterazione, NPad.AI esegue solo alcuni 
  22532. dei suoi codici virali. Npad.AEI infetta il modello di documento principale 
  22533. (normal.dot) quando viene aperto un documento infetto. 
  22534. Altri documenti si infettano quando vengono aperti.
  22535.  
  22536.  
  22537. [Word_NPad.AJ]
  22538. Nome del virus: Word.NPad.AJ
  22539. Tipo di Virus: Virus da macro di Word
  22540. Numero di Macro: 1
  22541. Criptato: Si
  22542. Nomi delle Macro: AutoOpen
  22543. Lunghezza della Macro: 1831 Byte
  22544. Paese di origine: Sconosciuto
  22545. Data di origine: Primavera 1997
  22546. Distruttivo: No
  22547. Rilevato In-The-Wild: No
  22548. Descrizione:
  22549.  
  22550. L'unica differenza tra questa nuova versione ed i precedenti virus
  22551. NPad Φ che NPad.AI possiede dei codici alterati.
  22552.  
  22553. Come risultato dell'alterazione, NPad.AJ esegue solo alcuni dei suoi 
  22554. codici virali. Npad.AEJ infetta il modello di documento principale 
  22555. (normal.dot) quando viene aperto un documento infetto. 
  22556. Altri documenti si infettano quando vengono aperti.
  22557.  
  22558.  
  22559. [Word_NPad.AK]
  22560. Nome del virus: Word.NPad.AK
  22561. Tipo di Virus: Virus da macro di Word
  22562. Numero di Macro: 1
  22563. Criptato: Si
  22564. Nomi delle Macro: AutoOpen
  22565. Lunghezza della Macro: 1831 Byte
  22566. Paese di origine: Sconosciuto
  22567. Data di origine: Primavera 1997
  22568. Distruttivo: No
  22569. Rilevato In-The-Wild: No
  22570. Descrizione:
  22571.  
  22572. La sola differenza tra questa nuova versione ed i precedenti
  22573. NPad Φ che NPad.AK possiede delle irrilevanti modifiche al codice.
  22574.  
  22575. NPad.AK modifica la sezione "compatibility" nel file WIN.INI. 
  22576. Aggiunge un contatore dal nome "NPAD328" ed ogni volta che il virus 
  22577. si attiva, aggiunge 1 al suo valore.
  22578. Al raggiungimento del valore 23 azzera il contatore e aggiunge alla 
  22579. barra di stato il seguente messaggio:
  22580.  
  22581. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  22582.  
  22583. Infetta il modello di documento principale quando viene aperto un 
  22584. documento infetto.  Altri documenti si infettano quando vengono 
  22585. aperti (AutoOpen).
  22586.  
  22587.  
  22588. [Word_NPad.AM]
  22589. Nome del virus: Word.NPad.AM
  22590. Tipo di Virus: Virus da macro di Word
  22591. Numero di Macro: 1
  22592. Criptato: Si
  22593. Nomi delle Macro: AutoOpen
  22594. Lunghezza della Macro: 1831 Byte
  22595. Paese di origine: Sconosciuto
  22596. Data di origine: Primavera 1997
  22597. Distruttivo: No
  22598. Rilevato In-The-Wild: No
  22599. Descrizione:
  22600.  
  22601. L'unica differenza tra questa nuova versione ed i precedenti virus
  22602. NPad Φ che NPad.AM possiede dei codici alterati.
  22603.  
  22604. Come risultato dell'alterazione, NPad.AM esegue solo alcuni 
  22605. dei suoi codici virali. Npad.AEM infetta il modello di documento 
  22606. principale (normal.dot) quando viene aperto un documento infetto. 
  22607. Altri documenti si infettano quando vengono aperti.
  22608.  
  22609.  
  22610. Nome del virus: Word.NPad.AN
  22611. Tipo di Virus: Virus da macro di Word
  22612. Numero di Macro: 1
  22613. Criptato: Si
  22614. Nomi delle Macro: AutoOpen
  22615. Lunghezza della Macro: 1831 Byte
  22616. Paese di origine: Svizzera
  22617. Data di origine: Primavera 1997
  22618. Distruttivo: No
  22619. Rilevato In-The-Wild: No
  22620. Descrizione:
  22621.  
  22622. L'unica differenza tra questa nuova versione ed i precedenti virus
  22623. NPad Φ che NPad.AM possiede dei codici alterati.
  22624.  
  22625. Come risultato dell'alterazione, NPad.AN esegue solo alcuni dei 
  22626. suoi codici virali. Npad.AEN infetta il modello di documento 
  22627. principale (normal.dot) quando viene aperto un documento infetto. 
  22628. Altri documenti si infettano quando vengono aperti.
  22629.  
  22630.  
  22631. [Word_NPad.AO]
  22632. Nome del virus: Word.NPad.AO
  22633. Tipo di Virus: Virus da macro di Word
  22634. Numero di Macro: 1
  22635. Criptato: Si
  22636. Nomi delle Macro: AutoOpen
  22637. Lunghezza della Macro: 1831 Byte
  22638. Paese di origine: Sconosciuto
  22639. Data di origine: Primavera 1997
  22640. Distruttivo: No
  22641. Rilevato In-The-Wild: No
  22642. Descrizione:
  22643.  
  22644. La sola differenza tra questa nuova versione ed i precedenti
  22645. NPad Φ che NPad.AO possiede delle irrilevanti modifiche al codice.
  22646.  
  22647. NPad.AO modifica la sezione "compatibility" nel file WIN.INI. 
  22648. Aggiunge un contatore dal nome "NPAD328" ed ogni volta che 
  22649. il virus si attiva, aggiunge 1 al suo valore.
  22650. Al raggiungimento del valore 23 azzera il contatore e aggiunge 
  22651. alla barra di stato il seguente messaggio:
  22652.  
  22653. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  22654.  
  22655. Infetta il modello di documento principale quando viene aperto 
  22656. un documento infetto.  Altri documenti si infettano quando 
  22657. vengono aperti (AutoOpen)
  22658.  
  22659. [Word_NPad.AN]
  22660. Nome del virus: Word.NPad.AN
  22661. Tipo di Virus: Virus da macro di Word
  22662. Numero di Macro: 1.
  22663. Criptato: Si.
  22664. Nomi delle Macro: AutoOpen.
  22665. Lunghezza della Macro: 1831 Byte.
  22666. Paese di origine: Svizzera.
  22667. Data di origine: Primavera 1997.
  22668. Distruttivo: No.
  22669. Rilevato In The Wild: No.
  22670. Descrizione:
  22671.  
  22672. L'unica differenza tra questa nuova variante  ed i precedenti virus
  22673. NPad Φ che NPad.AN ha alcuni codici alterati.
  22674.  
  22675. Come risultato dell'alterazione, NPad.AN esegue solo alcuni dei 
  22676. suoi codici virali. Npad.AN infetta il modello di documento 
  22677. principale (normal.dot) quando viene aperto un documento infetto. 
  22678. Altri documenti si infettano quando vengono aperti.
  22679.  
  22680.  
  22681. [Word_NPad.AO]
  22682. Nome del virus: Word.NPad.AO
  22683. Tipo di Virus: Virus da macro di Word
  22684. Numero di Macro: 1
  22685. Criptato: Si
  22686. Nomi delle Macro: AutoOpen
  22687. Lunghezza della Macro: 1831 Byte
  22688. Paese di origine: Sconosciuto
  22689. Data di origine: Primavera 1997
  22690. Distruttivo: No
  22691. Rilevato In The Wild: No
  22692. Descrizione:
  22693.  
  22694. L'unica differenza tra questa nuova variante  ed i precedenti virus
  22695. NPad Φ che NPad.AO ha alcuni codici alterati.
  22696.  
  22697. NPad.AO modifica la sezione "compatibility" nel file WIN.INI. 
  22698. Aggiunge un contatore dal nome "NPAD328" ed ogni volta che il 
  22699. virus si attiva, aggiunge 1 al suo valore.
  22700. Al raggiungimento del valore 23 azzera il contatore e aggiunge 
  22701. alla barra di stato il seguente messaggio
  22702.  
  22703.  
  22704. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  22705.  
  22706. Infetta il modello di documento principale quando viene aperto 
  22707. un documento infetto.  Altri documenti si infettano quando 
  22708. vengono aperti (AutoOpen)
  22709.  
  22710.  [Word_NPad.AP]
  22711. Nome del virus: Word.NPad.AP
  22712. Tipo di Virus: Virus da macro di Word
  22713. Numero di Macro: 1
  22714. Criptato: Si
  22715. Nomi delle Macro: AutoOpen
  22716. Lunghezza della Macro: 1831 Byte
  22717. Paese di origine: Sconosciuto
  22718. Data di origine: Primavera 1997
  22719. Distruttivo: No
  22720. Rilevato In The Wild: No
  22721. Descrizione:
  22722.  
  22723. L'unica differenza tra questa nuova variante  ed i precedenti virus
  22724. NPad Φ che NPad.AP ha meno variazioni del codice 
  22725. e meno procedure distruttive.
  22726.  
  22727. Come risultato dell'alterazione, NPad.AP esegue solo alcuni 
  22728. propri codici. 
  22729. Infezione del modello di documento principale si ha quando 
  22730. viene aperto un documento infetto. 
  22731. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22732.  
  22733.  
  22734. [Word_NPad.AQ]
  22735. Nome del virus: Word.NPad.AQ
  22736. Tipo di Virus: Virus da macro di Word
  22737. Numero di Macro: 1
  22738. Criptato: Si
  22739. Nomi delle Macro: AutoOpen
  22740. Lunghezza della Macro: 1831 Byte
  22741. Paese di origine: Sconosciuto
  22742. Data di origine: Primavera 1997
  22743. Distruttivo: No
  22744. Rilevato In The Wild: No
  22745. Descrizione:
  22746.  
  22747. L'unica differenza tra questa nuova variante  
  22748. ed i precedenti virus
  22749. NPad Φ che NPad.AQ ha meno variazioni del codice 
  22750. e meno procedure distruttive.
  22751.  
  22752. Come risultato dell'alterazione, NPad.AQ esegue solo 
  22753. alcuni propri codici. L'infezione del modello di documento 
  22754. principale si ha quando viene aperto un documento infetto. 
  22755. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22756.  
  22757.  
  22758. [Word_Npad.AS]
  22759. Nome del virus: Word.NPad.AS
  22760. Tipo di Virus: Virus da macro di Word
  22761. Numero di Macro: 1
  22762. Criptato: Si
  22763. Nomi delle Macro: AutoOpen
  22764. Lunghezza della Macro: 1831 Byte
  22765. Paese di origine: Sconosciuto
  22766. Data di origine: Primavera 1997
  22767. Distruttivo: No
  22768. Rilevato In The Wild: No
  22769. Descrizione:
  22770.  
  22771. L'unica differenza tra questa nuova variante  
  22772. ed i precedenti virus
  22773. NPad Φ che NPad.AS ha meno variazioni del codice e meno 
  22774. procedure distruttive.
  22775.  
  22776. Come risultato dell'alterazione, NPad.AS esegue solo alcuni 
  22777. propri codici. 
  22778. L'infezione del modello di documento principale si ha 
  22779. quando viene aperto un documento infetto. 
  22780. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22781.  
  22782.  
  22783. [Word_NPad.AU]
  22784. Nome del virus: Word.NPad.AU
  22785. Tipo di Virus: Virus da macro di Word
  22786. Numero di Macro: 1
  22787. Criptato: Si
  22788. Nomi delle Macro: AutoOpen
  22789. Lunghezza della Macro: 1831 Byte
  22790. Paese di origine: Australia
  22791. Data di origine: Primavera 1997
  22792. Distruttivo: No
  22793. Rilevato In The Wild: No
  22794. Descrizione:
  22795.  
  22796. L'unica differenza tra questa nuova variante  
  22797. ed i precedenti virus
  22798. NPad Φ che NPad.AU ha meno variazioni del codice e 
  22799. meno procedure distruttive.
  22800.  
  22801. Come risultato dell'alterazione, NPad.AU esegue solo 
  22802. alcuni propri codici. L'infezione del modello di documento 
  22803. principale si ha quando viene aperto un documento infetto. 
  22804. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22805.  
  22806.  
  22807. [Word_Npad.AV]
  22808. Nome del virus: Word.NPad.AV
  22809. Tipo di Virus: Virus da macro di Word
  22810. Numero di Macro: 1
  22811. Criptato: Si
  22812. Nomi delle Macro: AutoOpen
  22813. Lunghezza della Macro: 1831 Byte
  22814. Paese di origine: Sconosciuto
  22815. Data di origine: Primavera 1997
  22816. Distruttivo: No
  22817. Rilevato In The Wild: No
  22818. Descrizione:
  22819.  
  22820. L'unica differenza tra questa nuova variante  
  22821. ed i precedenti virus
  22822. NPad Φ che NPad.AV ha meno variazioni del codice 
  22823. e meno procedure distruttive.
  22824.  
  22825. Come risultato dell'alterazione, NPad.AV esegue solo 
  22826. alcuni propri codici. L'infezione del modello di documento 
  22827. principale si ha quando viene aperto un documento infetto. 
  22828. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22829.  
  22830.  
  22831. [Word_Npad.AW]
  22832. Nome del virus: Word.NPad.AW
  22833. Tipo di Virus: Virus da macro di Word
  22834. Numero di Macro: 1
  22835. Criptato: Si
  22836. Nomi delle Macro: AutoOpen
  22837. Lunghezza della Macro: 1831 Byte
  22838. Paese di origine: Olanda
  22839. Data di origine: Primavera 1997
  22840. Distruttivo: No
  22841. Rilevato In The Wild: No
  22842. Descrizione:
  22843.  
  22844. L'unica differenza tra questa nuova variante  
  22845. ed i precedenti virus
  22846. NPad Φ che NPad.AW ha un solo Byte modificato.
  22847.  
  22848. NPad.AW modifica la sezione "compatibility" all'interno del file
  22849. WIN.INI. Aggiunge un contatore chiamato "NPAD328"
  22850. Ed ogni volta che il virus viene attivato, aggiunge 1 
  22851. al proprio valore. Arrivato a 23 azzera il contatore e 
  22852. mostra il seguente messaggio sulla barra di stato:
  22853.  
  22854. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  22855.  
  22856. Infetta il modello di documento principale quando viene 
  22857. aperto un documento infetto.  
  22858. Altri documenti divengono infetti quando vengono aperti (AutoOpen).
  22859.  
  22860.  
  22861. [Word_NPad.AX]
  22862. Nome del virus; Word.NPad.AX
  22863. Tipo di Virus: Virus da macro di Word
  22864. Numero di Macro: 1
  22865. Criptato: Si
  22866. Nomi delle Macro: AutoOpen
  22867. Lunghezza della Macro: 1831 Byte
  22868. Paese di origine: Sconosciuto
  22869. Data di origine: Primavera 1997
  22870. Distruttivo: No
  22871. Rilevato In The Wild: No
  22872. Descrizione:
  22873.  
  22874. L'unica differenza tra questa nuova variante  ed i 
  22875. precedenti virus
  22876. NPad Φ che NPad.AX ha meno variazioni del codice e 
  22877. meno procedure distruttive.
  22878.  
  22879. Come risultato dell'alterazione, NPad.AX esegue solo 
  22880. alcuni propri codici. L'infezione del modello di documento 
  22881. principale si ha quando viene aperto un documento infetto. 
  22882. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22883.  
  22884.  
  22885. [Word _NPad.AY]
  22886. Nome del Virus: Word.NPad.AY
  22887. Tipo di Virus: Virus da macro di Word
  22888. Numero di Macro: 1
  22889. Criptato: Si
  22890. Nomi delle Macro: AutoOpen
  22891. Lunghezza della Macro: 1831 Byte
  22892. Paese di origine: Sconosciuto
  22893. Data di origine: Primavera 1997
  22894. Distruttivo: No
  22895. Rilevato In The Wild: No
  22896. Descrizione:
  22897.  
  22898. L'unica differenza tra questa nuova variante  ed i precedenti virus
  22899. NPad Φ che NPad.AY ha meno variazioni del codice e meno procedure distruttive.
  22900.  
  22901. Come risultato dell'alterazione, NPad.AY esegue solo alcuni propri codici. 
  22902. L'infezione del modello di documento principale si ha quando viene aperto 
  22903. un documento infetto. Altri documenti sono infettati 
  22904. quando vengono aperti (AutoOpen).
  22905.  
  22906.  
  22907. [Word_NPad.AZ]
  22908. Nome del virus: Word.NPad.AZ
  22909. Tipo di Virus: Virus da macro di Word
  22910. Numero di Macro: 1
  22911. Criptato: Si
  22912. Nomi delle Macro: AutoOpen
  22913. Lunghezza della Macro: 1831 Byte
  22914. Paese di origine: Sconosciuto
  22915. Data di origine: Primavera 1997
  22916. Distruttivo: No
  22917. Rilevato In The Wild: No
  22918. Descrizione:
  22919.  
  22920. L'unica differenza tra questa nuova variante  ed i 
  22921. precedenti virus
  22922. NPad Φ che NPad.AZ ha meno variazioni del codice e 
  22923. meno procedure distruttive.
  22924.  
  22925. Come risultato dell'alterazione, NPad.AZ esegue solo alcuni 
  22926. propri codici. L'infezione del modello di documento principale 
  22927. si ha quando viene aperto un documento infetto. Altri documenti 
  22928. sono infettati quando vengono aperti (AutoOpen).
  22929.  
  22930.  
  22931. [Word_NPad.BA]
  22932. Nome del virus: Word.NPad.BA
  22933. Tipo di Virus: Virus da macro di Word
  22934. Numero di Macro: 1
  22935. Criptato: Si
  22936. Nomi delle Macro: AutoOpen
  22937. Lunghezza della Macro: 1831 Byte
  22938. Paese di origine: Sconosciuto
  22939. Data di origine: Primavera 1997
  22940. Distruttivo: No
  22941. Rilevato In The Wild: No
  22942. Descrizione:
  22943.  
  22944. L'unica differenza tra questa nuova variante  ed i precedenti virus
  22945. NPad Φ che NPad.BA ha meno variazioni del codice e meno procedure distruttive.
  22946.  
  22947. Come risultato dell'alterazione, NPad.BA esegue solo alcuni 
  22948. propri codici. L'infezione del modello di documento principale 
  22949. si ha quando viene aperto un documento infetto. Altri documenti 
  22950. sono infettati quando vengono aperti (AutoOpen).
  22951.  
  22952.  
  22953. [Word _NPad.BC]
  22954. Nome del virus: Word.NPad.BC
  22955. Tipo di Virus: Virus da macro di Word
  22956. Numero di Macro: 1
  22957. Criptato: Si
  22958. Nomi delle Macro: AutoOpen
  22959. Lunghezza della Macro: 1831 Byte
  22960. Paese di origine: Australia
  22961. Data di origine: Primavera 1997
  22962. Distruttivo: No
  22963. Rilevato In The Wild: No
  22964. Descrizione:
  22965.  
  22966. L'unica differenza tra questa nuova variante  ed i precedenti virus
  22967. NPad Φ che NPad.BC ha meno variazioni del codice e meno procedure distruttive.
  22968.  
  22969. Come risultato dell'alterazione, NPad.BC esegue solo alcuni propri codici. 
  22970. L'infezione del modello di documento principale si ha quando viene aperto 
  22971. un documento infetto. 
  22972. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22973.  
  22974.  
  22975. [Word_NPad.BD]
  22976. Nome del virus: Word.NPad.BD
  22977. Tipo di Virus: Virus da macro di Word
  22978. Numero di Macro: 1
  22979. Criptato: Si
  22980. Nomi delle Macro: AutoOpen
  22981. Lunghezza della Macro: 1831 Byte
  22982. Paese di origine: Sconosciuto
  22983. Data di origine: Primavera 1997
  22984. Distruttivo: No
  22985. Rilevato In The Wild: No
  22986. Descrizione:
  22987.  
  22988. L'unica differenza tra questa nuova variante  ed i precedenti virus
  22989. NPad Φ che NPad.BD ha meno variazioni del codice e meno procedure distruttive.
  22990.  
  22991. Come risultato dell'alterazione, NPad.BD esegue solo alcuni propri codici. 
  22992. L'infezione del modello di documento principale si ha quando viene 
  22993. aperto un documento infetto. 
  22994. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  22995.  
  22996.  
  22997. [Word_NPad.BE]
  22998. Nome del virus: Word.NPad.BE
  22999. Tipo di Virus: Virus da macro di Word
  23000. Numero di Macro: 1
  23001. Criptato: Si
  23002. Nomi delle Macro: AutoOpen
  23003. Lunghezza della Macro: 1831 Byte
  23004. Paese di origine: Sconosciuto
  23005. Data di origine: Primavera 1997
  23006. Distruttivo: No
  23007. Rilevato In The Wild: No
  23008. Descrizione:
  23009.  
  23010. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23011. NPad Φ che NPad.BE ha meno variazioni del codice e meno procedure distruttive.
  23012.  
  23013. Come risultato dell'alterazione, NPad.BE esegue solo alcuni propri codici. 
  23014. L'infezione del modello di documento principale si ha quando viene 
  23015. aperto un documento infetto. 
  23016. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  23017.  
  23018.  
  23019. [Word_NPad.BF]
  23020. Nome del virus: Word.NPad.BF
  23021. Tipo di Virus: Virus da macro di Word
  23022. Numero di Macro: 1
  23023. Criptato: Si
  23024. Nomi delle Macro: AutoOpen
  23025. Lunghezza della Macro: 1831 Byte
  23026. Paese di origine: Sconosciuto
  23027. Data di origine: Primavera 1997
  23028. Distruttivo: No
  23029. Rilevato In The Wild: No
  23030. Descrizione:
  23031.  
  23032. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23033. NPad Φ che NPad.BF ha meno variazioni del codice e meno procedure distruttive.
  23034.  
  23035. Come risultato dell'alterazione, NPad.BF esegue solo alcuni 
  23036. propri codici. 
  23037. L'infezione del modello di documento principale si ha quando 
  23038. viene aperto un documento infetto. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  23039.  
  23040.  
  23041.  
  23042. [Word_NPad.BG]
  23043. Nome del virus: Word.NPad.BG
  23044. Tipo di Virus: Virus da macro di Word
  23045. Numero di Macro: 1
  23046. Criptato: Si
  23047. Nomi delle Macro: AutoOpen
  23048. Lunghezza della Macro: 1831 Byte
  23049. Paese di origine: Sconosciuto
  23050. Data di origine: Primavera 1997
  23051. Distruttivo: No
  23052. Rilevato In The Wild: No
  23053. Descrizione:
  23054.  
  23055. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23056. NPad Φ che NPad.BG ha meno variazioni del codice e meno procedure distruttive.
  23057.  
  23058. Come risultato dell'alterazione, NPad.BG esegue solo alcuni 
  23059. propri codici. L'infezione del modello di documento principale 
  23060. si ha quando viene aperto un documento infetto. 
  23061. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  23062.  
  23063.  
  23064. [Word_NPad.BI]
  23065. Nome del virus: Word.NPad.BI
  23066. Tipo di Virus: Virus da macro di Word
  23067. Numero di Macro: 1
  23068. Criptato: Si
  23069. Nomi delle Macro: AutoOpen
  23070. Lunghezza della Macro: 1831 Byte
  23071. Paese di origine: Sconosciuto
  23072. Data di origine: Primavera 1997
  23073. Distruttivo: No
  23074. Rilevato In The Wild: No
  23075. Descrizione:
  23076.  
  23077. L'unica differenza tra questa nuova variante  
  23078. ed i precedenti virus
  23079. NPad Φ che NPad.BI ha meno variazioni del codice 
  23080. e meno procedure distruttive.
  23081.  
  23082. Come risultato dell'alterazione, NPad.BI esegue 
  23083. solo alcuni propri codici. L'infezione del modello di 
  23084. documento principale si ha quando viene aperto un documento 
  23085. infetto. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  23086.  
  23087.  
  23088. [Word_NPad.H]
  23089. Nome del virus: Word.NPad.H
  23090. Tipo di Virus: Virus da macro di Word
  23091. Numero di Macro: 1
  23092. Criptato: Si
  23093. Nomi delle Macro: AutoOpen
  23094. Lunghezza della Macro: 1831 Byte
  23095. Paese di origine: Sconosciuto
  23096. Data di origine: 1996
  23097. Distruttivo: No
  23098. Rilevato In The Wild: No
  23099. Descrizione:
  23100.  
  23101. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23102. NPad Φ che NPad.H ha meno variazioni del codice e meno procedure distruttive.
  23103.  
  23104. Come risultato dell'alterazione, NPad.H esegue solo alcuni propri codici. 
  23105. L'infezione del modello di documento principale e di altri documenti 
  23106. Φ sempre attiva, tuttavia NPad.H non mostra mai il messaggio 
  23107. originale del virus NPad.A.
  23108.  
  23109.  
  23110. [Word_NPad.J]
  23111. Nome del virus: Word.NPad.J
  23112. Tipo di Virus: Virus da macro di Word
  23113. Numero di Macro: 1
  23114. Criptato: Si
  23115. Nomi delle Macro: AutoOpen
  23116. Lunghezza della Macro: 1831 Byte
  23117. Paese di origine: Sconosciuto
  23118. Data di origine: 1996
  23119. Distruttivo: No
  23120. Rilevato In The Wild: No
  23121. Descrizione:
  23122.  
  23123. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23124. NPad Φ che NPad.J ha meno variazioni del codice e meno procedure distruttive.
  23125.  
  23126. Come risultato dell'alterazione, NPad.J esegue solo alcuni propri codici. 
  23127. L'infezione del modello di documento principale e di altri documenti 
  23128. Φ sempre attiva, tuttavia NPad.J non mostra mai il 
  23129. messaggio originale del virus NPad.A.
  23130.  
  23131.  
  23132. [Word_NPad.K]
  23133. Nome del virus: Word.NPad.K
  23134. Tipo di Virus: Virus da macro di Word
  23135. Numero di Macro: 1
  23136. Criptato: Si
  23137. Nomi delle Macro: AutoOpen
  23138. Lunghezza della Macro: 1831 Byte
  23139. Paese di origine: Sconosciuto
  23140. Data di origine: 1996
  23141. Distruttivo: No
  23142. Rilevato In The Wild: No
  23143. Descrizione:
  23144.  
  23145. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23146. NPad Φ che NPad.K ha meno variazioni del codice e meno procedure distruttive.
  23147.  
  23148. Come risultato dell'alterazione, NPad.K esegue solo alcuni propri codici. 
  23149. L'infezione del modello di documento principale e di altri documenti Φ 
  23150. sempre attiva, tuttavia NPad.K non mostra mai il messaggio 
  23151. originale del virus NPad.A.
  23152.  
  23153.  
  23154. [Word_NPad.L]
  23155. Nome del virus: Word.NPad.L
  23156. Tipo di Virus: Virus da macro di Word
  23157. Numero di Macro: 1
  23158. Criptato: Si
  23159. Nomi delle Macro: AutoOpen
  23160. Lunghezza della Macro: 1831 Byte
  23161. Paese di origine: Sconosciuto
  23162. Data di origine: 1996
  23163. Distruttivo: No
  23164. Rilevato In The Wild: No
  23165. Descrizione:
  23166.  
  23167. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23168. NPad Φ che NPad.L ha meno variazioni del codice e meno procedure distruttive.
  23169.  
  23170. Come risultato dell'alterazione, NPad.L esegue solo alcuni propri codici. 
  23171. L'infezione del modello di documento principale e di altri documenti Φ 
  23172. sempre attiva, tuttavia NPad.L non mostra mai il messaggio 
  23173. originale del virus NPad.A.
  23174.  
  23175.  
  23176. [Word_NPad.O]
  23177. Nome del virus: Word.NPad.O
  23178. Tipo di Virus: Virus da macro di Word
  23179. Numero di Macro: 1
  23180. Criptato: Si
  23181. Nomi delle Macro: AutoOpen
  23182. Lunghezza della Macro: 1831 Byte
  23183. Paese di origine: Sconosciuto
  23184. Data di origine: 1996
  23185. Distruttivo: No
  23186. Rilevato In The Wild: No
  23187. Descrizione:
  23188.  
  23189. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23190. NPad Φ che NPad.O ha meno variazioni del codice e meno procedure distruttive.
  23191.  
  23192. Come risultato dell'alterazione, NPad.O esegue solo alcuni propri codici. 
  23193. L'infezione del modello di documento principale e di altri documenti 
  23194. Φ sempre attiva, tuttavia NPad.O non mostra mai il messaggio originale 
  23195. del virus NPad.A.
  23196.  
  23197.  
  23198. [Word_NPad.P]
  23199. Nome del virus: Word.NPad.P
  23200. Tipo di Virus: Virus da macro di Word
  23201. Numero di Macro: 1
  23202. Criptato: Si
  23203. Nomi delle Macro: AutoOpen
  23204. Lunghezza della Macro: 1831 Byte
  23205. Paese di origine: Sconosciuto
  23206. Data di origine: 1996
  23207. Distruttivo: No
  23208. Rilevato In The Wild: No
  23209. Descrizione:
  23210.  
  23211. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23212. NPad Φ che NPad.P ha meno variazioni del codice e meno 
  23213. procedure distruttive.
  23214.  
  23215. Come risultato dell'alterazione, NPad.P esegue solo alcuni propri codici. 
  23216. L'infezione del modello di documento principale e di altri documenti 
  23217. Φ sempre attiva, tuttavia NPad.P non mostra mai il messaggio 
  23218. originale del virus NPad.A.
  23219.  
  23220.  
  23221.  
  23222. [Word_NPad.Q]
  23223. Nome del virus: Word.NPad.Q
  23224. Tipo di Virus: Virus da macro di Word
  23225. Numero di Macro: 1
  23226. Criptato: Si
  23227. Nomi delle Macro: AutoOpen
  23228. Lunghezza della Macro: 1831 Byte
  23229. Paese di origine: Sconosciuto
  23230. Data di origine: 1996
  23231. Distruttivo: No
  23232. Rilevato In The Wild: No
  23233. Descrizione:
  23234.  
  23235. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23236. NPad Φ che NPad.Q ha meno variazioni del codice e meno procedure distruttive.
  23237.  
  23238. Come risultato dell'alterazione, NPad.Q esegue solo alcuni propri codici. 
  23239. L'infezione del modello di documento principale e di altri documenti 
  23240. Φ sempre attiva, tuttavia NPad.Q non mostra mai il messaggio 
  23241. originale del virus NPad.A.
  23242.  
  23243.  
  23244. [Word_NPad.R]
  23245. Nome del virus: Word.NPad.R
  23246. Tipo di Virus: Virus da macro di Word
  23247. Numero di Macro: 1
  23248. Criptato: Si
  23249. Nomi delle Macro: AutoOpen
  23250. Lunghezza della Macro: 1831 Byte
  23251. Paese di origine: Sconosciuto
  23252. Data di origine: 1996
  23253. Distruttivo: No
  23254. Rilevato In The Wild: No
  23255. Descrizione:
  23256.  
  23257. L'unica differenza tra questa nuova variante  ed i 
  23258. precedenti virus
  23259. NPad Φ che NPad.R ha meno variazioni del codice e meno 
  23260. procedure distruttive.
  23261.  
  23262. Come risultato dell'alterazione, NPad.R esegue solo alcuni propri codici. 
  23263. L'infezione del modello di documento principale e di altri documenti 
  23264. Φ sempre attiva, tuttavia NPad.R non mostra mai il messaggio originale 
  23265. del virus NPad.A.
  23266.  
  23267.  
  23268. [Word_NPad.S]
  23269. Nome del virus: Word.NPad.S
  23270. Tipo di Virus: Virus da macro di Word
  23271. Numero di Macro: 1
  23272. Criptato: Si
  23273. Nomi delle Macro: AutoOpen
  23274. Lunghezza della Macro: 1831 Byte
  23275. Paese di origine: Sconosciuto
  23276. Data di origine: 1996
  23277. Distruttivo: No
  23278. Rilevato In The Wild: No
  23279. Descrizione:
  23280.  
  23281. L'unica differenza tra questa nuova variante  ed i precedenti
  23282. NPad virus Φ che NPad.S ha minori variazioni del codice.
  23283.  
  23284. NPad.S modifica la sezione "compatibility" all'interno del file
  23285. WIN.INI. Aggiunge un contatore chiamato "NPAD328"
  23286. Ed ogni volta che il virua viene attivato, aggiunge 1 al proprio valore. 
  23287. Arrivato a 23 azzera il contatore e mostra il seguente messaggio 
  23288. sulla barra di stato:
  23289.  
  23290. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  23291.  
  23292. Infetta il modello di documento principale quando viene aperto un 
  23293. documento infetto.  Altri documenti divengono infetti 
  23294. quando vengono aperti (AutoOpen).
  23295.  
  23296.  
  23297. [Word_NPad.T]
  23298. Nome del virus: Word.NPad.T
  23299. Tipo di Virus: Virus da macro di Word
  23300. Numero di Macro: 1
  23301. Criptato: Si
  23302. Nomi delle Macro: AutoOpen
  23303. Lunghezza della Macro: 1831 Byte
  23304. Paese di origine: Sconosciuto
  23305. Data di origine: 1996
  23306. Distruttivo: No
  23307. Rilevato In The Wild: No
  23308. Descrizione:
  23309.  
  23310. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23311. NPad Φ che NPad.T ha meno variazioni del codice e meno procedure distruttive.
  23312.  
  23313. Come risultato dell'alterazione, NPad.T esegue solo alcuni propri codici. 
  23314. L'infezione del modello di documento principale e di altri documenti 
  23315. Φ sempre attiva, tuttavia NPad.T non mostra mai il messaggio 
  23316. originale del virus NPad.A.
  23317.  
  23318.  
  23319. [Word_NPad.U]
  23320. Nome del virus: Word.NPad.U
  23321. Tipo di Virus: Virus da macro di Word
  23322. Numero di Macro: 1
  23323. Criptato: Si
  23324. Nomi delle Macro: AutoOpen
  23325. Lunghezza della Macro: 1831 Byte
  23326. Paese di origine: Sconosciuto
  23327. Data di origine: 1996
  23328. Distruttivo: No
  23329. Rilevato In The Wild: No
  23330. Descrizione:
  23331.  
  23332. L'unica differenza tra questa nuova variante  ed i precedenti
  23333. NPad virus Φ che NPad.U ha minori variazioni del codice.
  23334.  
  23335. NPad.U modifica la sezione "compatibility" all'interno del file
  23336. WIN.INI. Aggiunge un contatore chiamato "NPAD328"
  23337. Ed ogni volta che il virus viene attivato, aggiunge 1 al proprio valore. 
  23338. Arrivato a 23 azzera il contatore e mostra il seguente messaggio sulla barra di stato:
  23339.  
  23340. "   DOEUNPAD94 v 2.21 (c) Maret 1996 Bandung, Indonesia   "
  23341.  
  23342. Infetta il modello di documento principale quando viene aperto 
  23343. un documento infetto.  Altri documenti divengono infetti 
  23344. quando vengono aperti (AutoOpen).
  23345.  
  23346.  
  23347. [Word_NPad.V]
  23348. Nome del virus: Word.NPad.V
  23349. Tipo di Virus: Virus da macro di Word
  23350. Numero di Macro: 1
  23351. Criptato: Si
  23352. Nomi delle Macro: AutoOpen
  23353. Lunghezza della Macro: 1831 Byte
  23354. Paese di origine: Sconosciuto
  23355. Data di origine: 1996
  23356. Distruttivo: No
  23357. Rilevato In The Wild: No
  23358. Descrizione:
  23359.  
  23360. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23361. NPad Φ che NPad.V ha meno variazioni del codice e meno procedure distruttive.
  23362.  
  23363. Come risultato dell'alterazione, NPad.V esegue solo alcuni propri codici. 
  23364. L'infezione del modello di documento principale e di altri documenti 
  23365. Φ sempre attiva, tuttavia NPad.V non mostra mai il messaggio 
  23366. originale del virus NPad.A.
  23367.  
  23368.  
  23369. [Word_NPad.W]
  23370. Nome del virus: Word.NPad.W
  23371. Tipo di Virus: Virus da macro di Word
  23372. Numero di Macro: 1
  23373. Criptato: Si
  23374. Nomi delle Macro: AutoOpen
  23375. Lunghezza della Macro: 1831 Byte
  23376. Paese di origine: Sconosciuto
  23377. Data di origine: 1996
  23378. Distruttivo: No
  23379. Rilevato In The Wild: No
  23380. Descrizione:
  23381.  
  23382. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23383. NPad Φ che NPad.W ha meno variazioni del codice e meno procedure distruttive.
  23384.  
  23385. Come risultato dell'alterazione, NPad.W esegue solo 
  23386. alcuni propri codici. L'infezione del modello di documento principale 
  23387. e di altri documenti Φ sempre attiva, tuttavia NPad.W non mostra 
  23388. mai il messaggio originale del virus NPad.A.
  23389.  
  23390.  
  23391. [Word_NPad.X]
  23392. Nome del virus: Word.NPad.X
  23393. Tipo di Virus: Virus da macro di Word
  23394. Numero di Macro: 1
  23395. Criptato: Si
  23396. Nomi delle Macro: AutoOpen
  23397. Lunghezza della Macro: 1831 Byte
  23398. Paese di origine: Sconosciuto
  23399. Data di origine: 1996
  23400. Distruttivo: No
  23401. Rilevato In The Wild: No
  23402. Descrizione:
  23403.  
  23404. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23405. NPad Φ che NPad.X ha meno variazioni del codice e meno procedure distruttive.
  23406.  
  23407. Come risultato dell'alterazione, NPad.X esegue solo alcuni propri codici. 
  23408. L'infezione del modello di documento principale e di altri documenti 
  23409. Φ sempre attiva, tuttavia NPad.X non mostra mai il messaggio 
  23410. originale del virus NPad.A.
  23411.  
  23412.  
  23413. [Word_NPad.Y]
  23414. Nome del virus: Word.NPad.Y
  23415. Tipo di Virus: Virus da macro di Word
  23416. Numero di Macro: 1
  23417. Criptato: Si
  23418. Nomi delle Macro: AutoOpen
  23419. Lunghezza della Macro: 1831 Byte
  23420. Paese di origine: Sconosciuto
  23421. Data di origine: 1996
  23422. Distruttivo: No
  23423. Rilevato In The Wild: No
  23424. Descrizione:
  23425.  
  23426. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23427. NPad Φ che NPad.Y ha meno variazioni del codice e meno procedure distruttive.
  23428.  
  23429. Come risultato dell'alterazione, NPad.Y esegue solo alcuni propri codici. 
  23430. L'infezione del modello di documento principale e di altri documenti 
  23431. Φ sempre attiva, tuttavia NPad.Y non mostra mai il messaggio originale del virus NPad.A.
  23432.  
  23433.  
  23434. [Word_NPad.Z]
  23435. Nome del virus: Word.NPad.Z
  23436. Tipo di Virus: Virus da macro di Word
  23437. Numero di Macro: 1
  23438. Criptato: Si
  23439. Nomi delle Macro: AutoOpen
  23440. Lunghezza della Macro: 1831 Byte
  23441. Paese di origine: Sconosciuto
  23442. Data di origine: 1996
  23443. Distruttivo: No
  23444. Rilevato In The Wild: No
  23445. Descrizione:
  23446.  
  23447. L'unica differenza tra questa nuova variante  ed i precedenti virus
  23448. NPad Φ che NPad.Z ha meno variazioni del codice e meno procedure distruttive.
  23449.  
  23450. Come risultato dell'alterazione, NPad.Z esegue solo alcuni propri codici. 
  23451. L'infezione del modello di documento principale e di altri documenti
  23452. Φ sempre attiva, tuttavia NPad.Z non mostra mai il messaggio 
  23453. originale del virus NPad.A.
  23454.  
  23455.  
  23456. [Word_Nuclear.A(a.k.a. Alert)]
  23457. Nome del virus: Word.Nuclear.A (a.k.a. Alert)
  23458. Tipo di Virus: Virus da macro di Word
  23459. Numero di Macro: 9
  23460. Criptato: Si
  23461. Nomi delle Macro: AutoExec, AutoOpen, DropSuriv, File/Esci, 
  23462. FilePrint, FilePrintDefault, File/Salva con nome, InsertPayload, Payload
  23463. Lunghezza della Macro: 10556 Byte
  23464. Paese di origine: Australia
  23465. Data di origine: Settembre 1995
  23466. Distruttivo: Si
  23467. Rilevato In The Wild: Si
  23468. Descrizione:
  23469.  
  23470. Nuclear fu il secondo virus da macro rilevato "In-the-Wild" (dopo
  23471. Concept). Fu distribuito su Internet in un documento che dava 
  23472. informazioni sul virus Concept. Fu il primo virus da macro che 
  23473. us≥ macro Execute-Only (Criptate) per rendere l'analisi molto pi∙ difficile.
  23474.  
  23475. Nuclear Φ attivato dalle macro "AutoExec" e "AutoOpen".
  23476. Prima infetta il modello principale (NORMAL.DOT), controlla se 
  23477. c'Φ stata un'infezione precedente. Non infetta se trova la macro "AutoExec".  
  23478. I documenti sono infettati quando sono salvati con il comando "File/Salva con nome".
  23479.  
  23480. Dopo che le macro del virus sono state trasferite al modello principale, 
  23481. Nuclear pu≥ richiamare qualche procedura distruttiva. 
  23482. In primo luogo cerca di bloccare il virus "Ph33r". Tra le 17:00 e 
  23483. le 17:59 crea un file di testo, comprendente lo scritta DOS/Windows-EXE 
  23484. del virus"Ph33r". Quindi usa il comando DOS "DEBUG.EXE"
  23485. Per convertire il file in un file eseguibile. Crea inoltre il file batch
  23486. "EXEC_PH.BAT", e lo chiama dall'ambiente DOS.
  23487. L'ultima procedura di infezione Φ facoltativa, la finestra di DOS  Φ 
  23488. chiusa immediatamente ed il virus "Ph33r" non infetta pi∙ il sistema
  23489.  
  23490. In secondo luogo, infettando un documento, Nuclear controlla l'ora 
  23491. di sistema ed in caso il valore sia superiore a 55 nel campo dei secondi, 
  23492. aggiunge il seguente testo alla fine dei documenti stampati:
  23493.  
  23494. "   And finally I would like to say:   "
  23495.  
  23496. "   STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC   "
  23497.  
  23498. La terza procedura distruttiva Φ attivata il 5 Aprile,
  23499. quando Nuclear cancella i file di sistema "C:\IO.SYS",
  23500. "C:\MSDOS.SYS" e "C:\COMMAND.COM.
  23501.  
  23502. Questo rende il computer inavviabile.
  23503.  
  23504.  
  23505. [Word_Nuclear.B]
  23506. Nome del virus: Word.Nuclear.B
  23507. Tipo di Virus: Virus da macro di Word
  23508. Numero di Macro: 7
  23509. Criptato: Si
  23510. Nomi delle Macro: AutoExec, AutoOpen, FilePrint, FilePrintDefault,
  23511.              File/Salva con nome, InsertPayload, Payload
  23512. Lunghezza della Macro: 3458 Byte
  23513. Paese di origine: France
  23514. Data di origine: Marzo 1996
  23515. Distruttivo: Si
  23516. Rilevato In The Wild: Si
  23517. Descrizione:
  23518.  
  23519. La differenza tra questa nuova versione and the Nuclear.A
  23520. Φ che Nuclear.B non attiva il virus "PH33r".
  23521.  
  23522. Per maggiori informazioni fare riferimento alla descrizione di Nuclear.A.
  23523.  
  23524. [Word_Outlaw.A]
  23525. Nome del virus: Word.Outlaw.A
  23526. Tipo di Virus: Virus da macro di Word
  23527. Numero di Macro: 3
  23528. Criptato: No
  23529. Nomi delle Macro: Scelti a caso
  23530. Lunghezza della Macro: 21410 Byte
  23531. Paese di origine: Germania
  23532. Data di origine: Settembre 1996
  23533. Payload: Si
  23534. Rilevato In The Wild: No
  23535. Descrizione:
  23536.  
  23537. Outlaw ha tre macro non criptate di 21410 Byte.
  23538.  
  23539. Ogni nome di macro Φ formato da 5 caratteri fatti da 2 lettere (A-X)
  23540. Corrispondenti al campo delle ore , nell'ora di sistema, e da 4 numeri 
  23541. scelti a caso. 
  23542.  
  23543. Outlaw ridefinisce i comandi delle macro. Una macro Φ associata alla 
  23544. lettera " E " ed un'altra alla "barra spaziatrice".
  23545. Dato che entrambi i tasti sono molto usati, la probabilitα di un'infezione 
  23546. Φ molto alta. Outlaw Φ considerato il primo virus
  23547. (semi)polimorfico, dato che cambia i nomi delle Macro.
  23548.  
  23549. Outlaw modifica la sezione "Int1" di Win.ini (Cartella di Windows). 
  23550. Dα alle tre macro dei nomi scelti a caso:  Name=, Name1= e Name2=. 
  23551. Questa modifica Φ fatta per trovare un altro modello di documento 
  23552. principale infetto. Outlaw non infetta il modello di documento principale 
  23553. se i nomi delle Macro, menzionati in Win.ini (Name=xxxxxx), esistono giα.
  23554.  
  23555. Inoltre modifica le seguenti 3 variabili del documento: 
  23556.  
  23557. VirName
  23558. VirNameDoc
  23559. VirNamePayload
  23560.  
  23561. Outlaw.A non infetta un documento se il valore della variabile
  23562. VirNameDoc giα esiste in un documento.
  23563.  
  23564. Infettando un documento il 20 di Gennaio, Outlaw
  23565. Lancia la sua procedura (lavora solo sotto Windows 95).
  23566. Fa sentire il rumore di una risata e crea un nuovo documento con il seguente testo:
  23567.  
  23568. "   You are infected with   "
  23569.  
  23570. "   Outlaw   "
  23571.  
  23572. "   A virus from Nightmare Joker.   "
  23573.  
  23574.  
  23575. [Word_Outlaw.B]
  23576. Nome del virus: Word.Outlaw.B
  23577. Tipo di Virus: Virus da macro di Word
  23578. Numero di Macro: 3
  23579. Criptato: Si
  23580. Nomi delle Macro: scelti a caso
  23581. Lunghezza della Macro: 21434 Byte
  23582. Paese di origine: Germania
  23583. Data di origine: Settembre 1996
  23584. Payload: Si
  23585. Rilevato In The Wild: No
  23586. Descrizione:
  23587.  
  23588. La differenza tra questa nuova versione e l'originale virus
  23589. Outlaw.A Φ che Outlaw.B ha 3 macro criptate mentre le macro di Outlaw.A 
  23590. non sono criptate
  23591.  
  23592. Per altre informazioni vedere la descrizione di Outlaw.A.
  23593.  
  23594.  
  23595. [Word_Outlaw.C (a.k.a MoonRaider)]
  23596. Nome del virus: Word.Outlaw.C (a.k.a MoonRaider)
  23597. Tipo di Virus: Virus da macro di Word
  23598. Numero di Macro: 5
  23599. Criptato: Si
  23600. Nomi delle Macro: scelti a caso
  23601. Lunghezza della Macro: 14806 Byte
  23602. Paese di origine: Germania
  23603. Data di origine: Novembre 1996
  23604. Payload: Si
  23605. Rilevato In The Wild: No
  23606. Descrizione:
  23607.  
  23608. Outlaw.C Φ una risulta dalla combinazione tra i virus Outlaw.A e Magnum. 
  23609. Assegna dei tasti per avviare le proprie macro. 
  23610. Una delle macro alla pressione del tasto SPACE, la altre premendo la "e."
  23611.  
  23612. Strumenti/Macro ed ExtrasMakro sono due macro usate dal virus.
  23613.  
  23614. Outlaw.C sostituisce "Tools/Macro" ed "Extras/Makro" 
  23615. con il proprio codice in modo da rendere l'individuazione di un file infetto
  23616. Pi∙ difficile (chiamata tecnica macro stealth).
  23617.  
  23618. I rimanenti 3 nomi delle macro sono scelti casualmente. 
  23619. Ogni nome Φ formato da due caratteri: 
  23620. le prime due lettere 2 corrispondono al campo delle ore , 
  23621. dell'ora di infezione, ed i successivi 4 numeri sono scelti a caso.
  23622.  
  23623. Outlaw.C annota i nomi delle proprie delle Macro nelle variabili del documento:
  23624. VirName, VirNameDoc, e VirNamePayLoad.
  23625. Per il modello di documento principale usa la sezione di  [intl] 
  23626. win.ini per annotare i nomi delle proprie Macro: Name1=, Name2=, and Name3=.
  23627.  
  23628. Premendo il tasto della  "E" il 10 Ottobre di un anno qualsiasi
  23629. viene creato un documento con il seguente testo:
  23630.  
  23631. "   You are infected with the MooNRaiDer Virus!   "
  23632. "   Greetings to all members of Vlad!   "
  23633. "   I hope that's not the end!   "
  23634. "   The scene would be to boring without this very good group!   "
  23635. "   Nightmare Joker   "
  23636.  
  23637. Un altro giorno dell'anno, Outlaw.C controlla che "Goodbye" 
  23638. sia regolato nella sezione "Vlad" di win.ini. 
  23639. Se non lo fosse, Φ inserito il virus basato sul DOS 
  23640. (scritto dal gruppo italiano VLAD), e viene aggiunta una 
  23641. linea a C:\AUTOEXEC.BAT per eseguire il virus.
  23642.  
  23643. Il nome nascosto del file del virus Φ "goodbye.com."
  23644.  
  23645. [Word_Oval.A]
  23646. Nome del virus: Word.Oval.A
  23647. Tipo di Virus: Virus da macro di Word
  23648. Numero di Macro: 1
  23649. Criptato: Si
  23650. Nomi delle Macro: AutoOpen
  23651. Lunghezza della Macro: 339 Byte
  23652. Paese di origine: Texas, USA
  23653. Data di origine: Aprile 1997
  23654. Payload: Si
  23655. Rilevato In The Wild: Si
  23656. Descrizione:
  23657.  
  23658. Oval.A infetta il modello di documento principale (normal.dot) 
  23659. quando Φ aperto un documento infetto. 
  23660. Altri documenti si infettano quando sono aperti (AutoOpen).
  23661.  
  23662. Quando Oval si attiva, cambia la misura dei caratteri 
  23663. del documento attivo (10% di probabilitα) , 
  23664. inoltre mostra il seguente messaggio sulla barra di stato:
  23665.  
  23666. "   Be sure to drink your Ovaltine   "
  23667.  
  23668.  
  23669. [Word_Paper.A]
  23670. Nome del virus: Word.Paper.A
  23671. Tipo di Virus: Virus da macro di Word
  23672. Numero di Macro: 5
  23673. Criptato: No
  23674. Nomi delle Macro: mswFS, FileClose, AutoOpen, Strumenti/Macro,
  23675.              AutoExec, FieSave, mswFC, mswAO
  23676. Lunghezza della Macro: 3608 Byte
  23677. Paese di origine: Sconosciuto
  23678. Data di origine: Sconosciuta
  23679. Distruttivo: No
  23680. Rilevato In The Wild: No
  23681. Descrizione:
  23682.  
  23683. Quando Paper infetta un documento, o il modello di documento principale, 
  23684. copia tutte le proprie macro e le rinomina. 
  23685. Se esistono giα le macro "AutoOpen" e "FileClose" nel modello 
  23686. di documento principale, vengono cancellate.  
  23687. In questo modo, la macro "File/Salva" Φ cancellata dai documenti.
  23688.  
  23689. Paper sostituisce le opzioni di Tools/Macro con una macro vuota 
  23690. per rendere l'individuazione di un file infetto pi∙ difficile
  23691. (chiamata tecnica macro stealth). Se l'utente seleziona le opzioni in
  23692. Tools/Macro non succede niente.
  23693.  
  23694.  
  23695. [Word_PayCheck.A]
  23696. Nome del virus: Word.PayCheck.A
  23697. Tipo di Virus: Virus da macro di Word
  23698. Numero di Macro: 7
  23699. Criptato: Si
  23700. Nomi delle Macro: AutoExec, AutoOpen, File/Apri, File/Salva
  23701.              File/Salva con nome, ShellOpen, Strumenti/Macro
  23702. Lunghezza della Macro: 8489 Byte
  23703. Paese di origine: Sconosciuto
  23704. Data di origine: Primavera 1997
  23705. Payload: Si
  23706. Rilevato In The Wild: Si
  23707. Descrizione:
  23708.  
  23709. Paycheck infetta il modello di documento principale (normal.dot) 
  23710. quando Φ aperto un documento infetto. 
  23711. Altri documenti si infettano quando sono salvati.
  23712.  
  23713. Usa "Strumenti/Macro" per rendere l'individuazione di un file 
  23714. infetto pi∙ difficile (chiamata tecnica macro stealth)
  23715.  
  23716. Inoltre controlla l'ora di sistema, ed in caso di valori 25, 26, 27, 28,
  23717. 29, 30 o 31 nel campo dei giorni, mostra il seguente messaggio:
  23718.  
  23719. "   Sekarang adalah tanghal 25, sudahkah anda mengabil gaji?   "
  23720. "   He..he..selamat. Kalau bisa, lebih keras lagi kerjany a.   "
  23721.                "   Bravo BRegno Unitoit Asam!!!   "
  23722.  
  23723. Quando un utente salva un documento tra il 20 e il 31 del mese, 
  23724. Paycheck mostra un altro messaggio:
  23725.  
  23726. "   Internal error was occurred in module UNIDRV.DLL.   "
  23727. "   Your application may not be work normally.    "
  23728. "   Please contact Microsoft Product Support.   "
  23729.  
  23730.  
  23731. [WordPhantom.A (a.k.a Teaside, Guess, HiSexy)]
  23732.  
  23733. Nome del virus: Word.Phantom.A (a.k.a Teaside, Guess, HiSexy)
  23734. Tipo di Virus: Virus da macro di Word
  23735. Numero di Macro: 1
  23736. Criptato: No
  23737. Nomi delle Macro: AutoOpen
  23738. Lunghezza della Macro: 1126 Byte
  23739. Paese di origine: Germania
  23740. Data di origine: Maggio 1996
  23741. Distruttivo: Si
  23742. Rilevato In The Wild: No
  23743. Descrizione:
  23744.  
  23745. Quando viene aperto un documento infetto, 
  23746. Guess controlla che le variabili del documento siano impostate su "populated." 
  23747. Se "NO",un nuovo modello principale (NORMAL.DOT) Φ creato e la macro 
  23748. del virus "AutoOpen" Φ copiata nel nuovo documento. 
  23749. Fatto questo, le variabili sono regolate su "populated" per marcare 
  23750. un file come infetto. Se la variabile Φ giα regolata, 
  23751. il virus infetta il nuovo documento trasferendo la macro "AutoOpen" 
  23752. usando il comando MakroCopy. Guess Φ il primo virus da macro d usare 
  23753. le variabili di un documento come meccanismo di controllo per altri documenti infetti.
  23754.  
  23755. A causa di un errore nel codice del programma, 
  23756. il virus non si replica correttamente.
  23757.  
  23758. Su un numero scelto casualmente (tra 0 e 100), 
  23759. Guess attiva diverse procedure distruttive. 
  23760. Cambia la misure dei caratteri in uso o crea un nuovo 
  23761. documento (NORMAL.DOT) con il seguente testo:
  23762.  
  23763. "   The word is out.   "
  23764. "   The word is spreading...   "
  23765. "   The Phantom speaks...   "
  23766. "   Sedbergh   "
  23767. "   is CRAP   "
  23768. "   The word spreads...   "
  23769.  
  23770. Il testo sarα stampato.
  23771.  
  23772. Il seguente testo Φ inserito nel documento a seconda del numero scelto:
  23773.  
  23774. "   This school is really good.  NOT   "
  23775. "   We all love Mr. Hirst.   "
  23776. "   M.R.Beard   "
  23777. "   This network is REALLY fast.   "
  23778. "   Hi Sexy!   "
  23779. "   Who's been typing on my computer?   "
  23780. "   Well helloooo there!   "
  23781. "   Guess who?   "
  23782.  
  23783.  
  23784. [Word_Phardera.A (a.k.a. Phandera)]
  23785. Nome del virus: Word.Phardera.A (a.k.a. Phandera)
  23786. Tipo di Virus: Virus da macro di Word
  23787. Numero di Macro: 1
  23788. Criptato: Si
  23789. Nomi delle Macro: File/Apri
  23790. Lunghezza della Macro: 1673 Byte
  23791. Paese di origine: Batavia, Indonesia
  23792. Data di origine: Luglio 1996
  23793. Distruttivo: Si
  23794. Rilevato In The Wild: No
  23795. Descrizione:
  23796.  
  23797. Phardera si attiva quando viene aperto un documento infetto
  23798. (File/Apri).
  23799.  
  23800. Phardera non infetta il modello di documento principale 
  23801. o i documenti  se Φ presente una delle seguenti macro:
  23802.  
  23803. "File/Apri"
  23804. "ToolsCustomizeMenus"
  23805. "ToolsOptionsSave"
  23806. "ToolsOptionsGeneral"
  23807.  
  23808. Phardera cerca di coprire la sua presenza eliminando Tools/Macro,
  23809. Tools/Customize e File/Templates dal men∙ delle opzioni 
  23810. (chiamata tecnica macro stealth). 
  23811. Questa parte del virus lavora solo con la versione inglese di Microsoft Word.
  23812.  
  23813. Infettndo un documento ogni 13 del mese,
  23814. Phardera mostra il seguente messaggio:
  23815.  
  23816. "   Dianita DSR. [I Love Her!]   "
  23817.  
  23818. Un secondo messaggio Φ mostrato quando  un documento Φ infettato ogni 31 del mese.
  23819.  
  23820. "   Phardera was here!   "
  23821.  
  23822.  
  23823. [Word_Polite.A(a.k.a. WW2Demo)]
  23824. Nome del virus: Word.Polite.A (a.k.a. WW2Demo)
  23825. Tipo di Virus: Virus da macro di Word
  23826. Numero di Macro: 2
  23827. Criptato: No
  23828. Nomi delle Macro: FileClose, File/Salva con nome
  23829. Lunghezza della Macro: 1918 Byte
  23830. Paese di origine: USA
  23831. Data di origine: Marzo 1996
  23832. Distruttivo: No
  23833. Rilevato In The Wild: No
  23834. Descrizione:
  23835.  
  23836. Polite fu il primo virus creato per la versione 2.0 di Microsoft MS Word. 
  23837. Lavora ancora con versioni successive perchΘ le nuove release
  23838. di Word sono compatibili con le vecchie.
  23839.  
  23840. Polite pu≥ essere chiamato un virus dimostrativo ed Φ difficile che si diffonda. 
  23841. Prima di infettare, mostra una finestra con la seguente domanda:
  23842.  
  23843. "   Shall I infect the file ?   "
  23844.  
  23845. Se l'utente risponde usando il tasto "No", nessun documento sarα infettato.  
  23846. Mentre chiede il permesso per infettare un file, non chiede se pu≥ infettare 
  23847. il modello di documento principale (NORMAL.DOT).
  23848.  
  23849. Infettando il modello principale o quando viene chiuso un documento infetto, 
  23850. Polite mostra il seguente messaggio:
  23851.  
  23852. "   I am alive!   "
  23853.  
  23854. Una volta che Polite abbia infettato un documento di Word 6.0/7.0 non pu≥ pi∙ 
  23855. infettare nessun documenti di Word 2.0.
  23856.  
  23857.  
  23858. [Word_Random.A (Intended)]
  23859. Tipo di Virus: Virus da macro di Word
  23860. Nome del virus: Word.Random.A (Intended)
  23861. Numero di Macro: 1 or more
  23862. Criptato: No
  23863. Nomi delle Macro: scelti a caso
  23864. Lunghezza della Macro: 553 Byte
  23865. Paese di origine: Sconosciuto
  23866. Data di origine: Primavera 1997
  23867. Payload: No
  23868. Rilevato In The Wild: No
  23869. Descrizione:
  23870.  
  23871. Random.A Φ un altro virus da macro che non infetta nessun altro documento. 
  23872. E' poco probabile che gli utenti trovino questo virus.
  23873.  
  23874.  
  23875. [Word_Randomic.A]
  23876. Nome del virus: Word.Randomic.A
  23877. Tipo di Virus: Virus da macro di Word
  23878. Numero di Macro: 1
  23879. Criptato: No
  23880. Nomi delle Macro: polimorfico
  23881. Lunghezza della Macro: 2397 Byte
  23882. Paese di origine: Germania
  23883. Data di origine: Primavera 1997
  23884. Payload: Si
  23885. Rilevato In The Wild: No
  23886. Descrizione:
  23887.  
  23888. Randomic infetta il modello di documento principale (normal.dot) 
  23889. quando un documento infetto Φ aperto. 
  23890. Altri documenti si infettano quando l'utente preme un tasto qualsiasi 
  23891. (che Φ collegato con la macro virale).
  23892.  
  23893. Le due variabili del documento che contengono il nome delle macro e i 
  23894. tasti collegati, sono:
  23895.  
  23896. "   RANDOMIC   "
  23897. "   TKEY   "
  23898.  
  23899. Randomic il 4 Aprile mostra un messaggio e cerca di uscire da 
  23900. Windows.
  23901.  
  23902.  
  23903. [Word_Rapi.A]
  23904. Nome del virus: Word.Rapi.A
  23905. Tipo di Virus: Virus da macro di Word
  23906. Numero di Macro: 7 o 11 (modello di documento principale)
  23907. Criptato: No
  23908. Nomi delle Macro: RpAe, RpFO, RpFS, RpTC, RpTM, RpFSA, AutoOpen
  23909. Lunghezza della Macro: 6172 Byte o 11228 Byte
  23910. Paese di origine: Indonesia
  23911. Data di origine: Dicembre 1996
  23912. Distruttivo: No
  23913. Rilevato In The Wild: Si
  23914. Descrizione:
  23915.  
  23916. Rapi infetta il modello di documento principale quando Φ aperto un documento 
  23917. infetto (AutoOpen). Altri documenti divengono infetti
  23918. quando vengono aperti (File/Apri) o salvati (File/Salva e
  23919. File/Salva con nome).
  23920.  
  23921. Infettando, Rapi mostra il seguente messaggio:
  23922.  
  23923. "   Thank's for joining us !   "
  23924.  
  23925. La macro "AutoExec" contiene una procedura distruttiva per cancellare i file, 
  23926. ma a causa di alcuni REM non Φ mai attivata.
  23927. Tuttavia, Rapi.A aggiunge un file (C:\BACALAH.TXT) alla principale directory.
  23928.  
  23929. Il file il seguente testo in indonesiano:
  23930. (tradotto in inglese)
  23931.  
  23932. " Assalamualaikum..., sorry @Rapi.Kom disturbs you. This message "
  23933. " was originally called PESAN.TXT. It appears in the root directory "
  23934. " after running Word 6.0 and global template (normal.dot) is "
  23935. " already infected by this macro. This macro virus (before the change "
  23936. " by Rapi@Kom) cam from a Word 6.0 file (*.doc) which was already "
  23937. " infected by this virus. When the file is opened (Open doc), the "
  23938. " macro automatically executes the instructions i.e. "
  23939. " copies itself to global template (normal.dot). On a certain "
  23940. " date and time the macro will delete all files in the directory "
  23941. " levels 1, 2, and 3 (except for hidden directories........ "
  23942. " Malang (date and time of infection) @Rapi.Kom "
  23943.  
  23944. Rapi usa "Strumenti/Macro"e "ToolsCustomize" per rendere la ricognizione 
  23945. di un file infetto pi∙ difficile (chiamata tecnica macro
  23946. stealth). Se un utente seleziona una delle due opzioni,
  23947. Word mostra un messaggio d'errore di WordBasic.
  23948.  
  23949. Rapi.A si trasferisce in Rapi.A1 e Rapi.A2, che contengono 6
  23950. o 3 Macro (5607 Byte o 3626 Byte).
  23951.  
  23952. [Word_Rapi.AA2]
  23953. Nome del virus: Word.Rapi.AA2
  23954. Tipo di Virus: Virus da macro di Word
  23955. Numero di Macro: 3 o 5 (modello di documento principale)
  23956. Criptato: No
  23957. Nomi delle Macro: RpAe, RpFS, AutoOpen
  23958. Lunghezza della Macro: 4626 Byte or 8571 Byte (modello di documento principale)
  23959. Paese di origine: Sconosciuto
  23960. Data di origine: Primavera 1997
  23961. Distruttivo: No
  23962. Rilevato In The Wild: Si
  23963. Descrizione:
  23964.  
  23965. Rapi.AA2 infetta il modello di documento principale quando documenti 
  23966. infetti sono aperti (AutoOpen). 
  23967. Altri documenti si infettano quando vengono salvati (File/Salva).
  23968.  
  23969. Rapi.AA fu scoperto nella sua ultima edizione,
  23970. cos∞ fu chiamato Rapi.AA2.
  23971.  
  23972. La principale differenza tra questo virus ed i precedenti Rapi 
  23973. Φ che la macro "RpAe" Φ corrotta.
  23974.  
  23975. Microsoft Word non si cura delle macro corrotte Macro, tuttavia
  23976. Rapi.AA2 Φ ancora in grado di infettare altri documenti.
  23977.  
  23978.  
  23979. [Word_Reflex.A (a.k.a RedDwarf)]
  23980. Nome del virus: Word.Reflex.A (a.k.a RedDwarf)
  23981. Tipo di Virus: Virus da macro di Word
  23982. Numero di Macro: 3 o 4
  23983. Criptato: Si
  23984. Nomi delle Macro: AutoOpen, FClose, FileClose, FA
  23985. Lunghezza della Macro: 897 Byte nei file con estensione *.doc
  23986.                 1226 Byte in modello di documento principale
  23987. Paese di origine: Irlanda
  23988. Data di origine: Estate 1996
  23989. Distruttivo: No
  23990. Rilevato In The Wild: No
  23991. Descrizione:
  23992.  
  23993. Un modello di documento principale infetto contiene una o pi∙ macro ("FA").
  23994. Infettando, Reflex  spegne i suggerimenti di Word per essere sicuro 
  23995. di nascondere l'infezione del modello di documento principale (normal.dot).
  23996. I documenti infetti sono salvati con la password "Guardian."
  23997.  
  23998. Reflex fu scritto in occasione di una conferenza sugli antivirus dopo 
  23999. che la Anti-Virus company lancio la sfida agli hackers di riuscire a 
  24000. sconfiggere la loro nuova tecnologia. Ad ogni autore di un nuovo virus 
  24001. da macro non identificabile con il loro prodotto, fu promesso 
  24002. champagne come ricompensa.
  24003.  
  24004. Quando Reflex infetta un file mostra il seguente messaggio:
  24005.  
  24006. "   Now, Where's that Jerbil of Bubbly?   "
  24007.  
  24008. [Word_Sam.A:Tw]
  24009. Nome del virus: Word.Sam.A:Tw
  24010. Tipo di Virus: Virus da macro di Word
  24011. Numero di Macro: 7 o 4
  24012. Criptato: Si
  24013. Nomi delle Macro: AutoOpen, Autoexec, AutoNew, File/Salva con nome 
  24014. (Strumenti/Macro, FileTemplates, Monday)
  24015. Lunghezza della Macro: 4192 o 6082 Byte
  24016. Paese di origine: Taiwan
  24017. Data di origine: Primavera 1997
  24018. Distruttivo: Si
  24019. Rilevato In The Wild: No
  24020. Descrizione:
  24021.  
  24022. Sam.A Φ un altro virus di macro che lavora con la versione 
  24023. dell'Est asiatico di Microsoft Word.  Sam infetta il modello di 
  24024. documento principale quando viene aperto un documento infetto. 
  24025. Altri documenti si infettano quando vengono aperti, creati, 
  24026. o salvati (File/Salva con nome).
  24027.  
  24028. Sam procedure distruttive:
  24029.  
  24030. 1. Ogni luned∞ alle 10:00, Sam sovrascrive il file AUTOEXEC.BAT
  24031.    con dei comandi che formattano l'hard disk al successivo riavvio.
  24032.  
  24033.    Mostra anche i seguenti messaggi:
  24034.  
  24035.    "   Taiwan Dark Monday Today is Monday, do you work hard?   "
  24036.    "   It's tea time now! Let's go out and have some fun...    "
  24037.  
  24038. 2. Ogni luned∞ 13, Sam cancella tutti i file con estensione *.INI nella 
  24039. cartella C:\WINDOWS e mostra il seguente messaggio:
  24040.  
  24041.    "   It Is Dark Monday...   "
  24042.  
  24043. 3.  Quando si accede a FileTemplates, Sam mostra il messaggio:
  24044.     "  Taiwan Dark Monday Go ahead! Make my day!!!   " 
  24045. e sostituisce tutto il testo con:
  24046.  
  24047.     "   TAIWAN DARK MONDAY   "
  24048.  
  24049. 4. Quando si accede a Strumenti/Macro, Sam mostra il messaggio "  
  24050. Taiwan Dark Monday You may insert password to access
  24051.     here..." e cripta il documento attivo con la seguente password:
  24052.  
  24053.     "   Samuel   "
  24054.  
  24055. Il documento che fu diffuso su Internet si differenzia in una macro 
  24056. (ToolsMacro invece di Strumenti/Macro). A causa del cambiamento 
  24057. di questa macro, Sam.A diventa Sam.A1
  24058. (con solo 4 macro invece di 7).  I tipi con solo 4 macro
  24059. non sono in grado di infettare altri documenti.
  24060. Sono classificati come virus.
  24061.  
  24062. [Word_Satanic.A]
  24063. Nome del virus: Word.Satanic.A
  24064. Tipo di Virus: Virus da macro di Word
  24065. Numero di Macro: 5
  24066. Criptato: Si
  24067. Nomi delle Macro: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew
  24068. Lunghezza della Macro: 53249 Byte
  24069. Paese di origine: Germania
  24070. Data di origine: Estate 1996
  24071. Distruttivo: Si
  24072. Rilevato In The Wild: No
  24073. Descrizione:
  24074.  
  24075. Satanic si attiva quando viene aperto un documento infetto
  24076. (AutoOpen).  Satanic non infetta quando Φ giα presente la macro 
  24077. "AutoExit" nel modello di documento principale o in un documento.
  24078. Altri documenti divengono infetti quando vengono creati
  24079. (AutoNew), chiusi (AutoClose) o quando si esce 
  24080. da Microsoft Word (AutoExit).
  24081.  
  24082. Satanic cancella i menu di Tool/Customize, Tool/Macro e
  24083. Tools/Option per rendere l'identificazione del documento 
  24084. pi∙ difficile (chiamata tecnica macro stealth).
  24085.  
  24086. Satanic inserisce "Installed=Yes" nella sezione "Control" di win.ini. 
  24087. Se non trova i dati per entrare (prima attivazione o cancellazione) 
  24088. allora cerca di trovare e lanciare un virus basato sul DOS (NC.COM).
  24089.  
  24090. Uscendo da Microsoft Word (AutoExit) il primo di Ottobre,
  24091. Satanic formatta il drive C drive incondizionatamente, con perdita 
  24092. di tutte le informazioni.
  24093.  
  24094. Una seconda procedura Φ attivata il 30 Settembre. Satanic
  24095. Mostra il seguente messaggio:
  24096.  
  24097. "   You are infected with Satanic   "
  24098.  
  24099. [Word_Saver.A (a.k.a. SaverSex)]
  24100. Nome del virus: Word.Saver.A (a.k.a. SaverSex)
  24101. Tipo di Virus: Virus da macro di Word
  24102. Numero di Macro: 1
  24103. Criptato: Si
  24104. Nomi delle Macro: DateiSpeichern
  24105. Lunghezza della Macro: 602 Byte
  24106. Paese di origine: Austria
  24107. Data di origine: Settembre 1996
  24108. Distruttivo: No
  24109. Rilevato In The Wild: No
  24110. Descrizione:
  24111.  
  24112. Saver viene avviato quando un documento infetto Φ salvato
  24113. (DateiSpeichern). non infetta quando Φ giα presente la macro "DateiSpeichern" 
  24114. nel modello di documento principale. Lo stesso Φ valido per i documenti.
  24115.  
  24116. Attivando il virus il 21 Aprile 21st mostra il seguente messaggio:
  24117.  
  24118. "   Saver(SEX) written by Spooky. Austria 1996   "
  24119.  
  24120. [Word_ShareFun.A]
  24121. Nome del virus: Word.ShareFun.A
  24122. Tipo di Virus: Virus da macro di Word
  24123. Numero di Macro: 9
  24124. Criptato: No
  24125. Nomi delle Macro: AutoExec, AutoOpen, File/Esci, File/Apri, File/Salva
  24126.              FileClose, Strumenti/Macro, FileTemplates, ShareTheFun
  24127. Lunghezza della Macro: 1777
  24128. Paese di origine: USA
  24129. Data di origine: 1997
  24130. Payload: Si
  24131. Rilevato In The Wild: Si
  24132. Descrizione:
  24133.  
  24134. ShareFun infetta il modello di documento principale quando un documento 
  24135. infetto Φ aperto (AutoOpen). Altri documenti sono infettati 
  24136. quando vengono aperti (File/Apri), salvati (File/Salva),
  24137. chiusi (FileClose) o attivando File/Esci, Strumenti/Macro
  24138. e FileTemplates.
  24139.  
  24140. Quando viene aperto un documento infetto, Φ chiamata la macro 
  24141. "ShareTheFun"  (probabilitα del 25%) ed il documento Φ salvato 
  24142. nella directory principale con il nome:
  24143.  
  24144. "Doc1.doc"
  24145.  
  24146. DopodichΘ ShareFun cerca una copia attiva di MSMail.
  24147. Ci sono due diverse possibilitα:
  24148.  
  24149. 1. MSMail Φ inattivo
  24150.    Result: Sharefun chiude Windows.
  24151.  
  24152. 2. MSMail Φ attivo
  24153.    Risultato: Sharefun cerca di prendere il controllo di MSMail 
  24154. e spedisce 3 e-mail a 3 nomi scelti a caso dalla rubrica.  
  24155. Attaccata alla e-mail, con l'intestazione "You have GOT to read this!", 
  24156. c'Φ il documento infetto.
  24157.  
  24158. Cos∞ facendo ShareFun cerca di diffondersi a nuovi utenti.
  24159.  
  24160. Queste due procedure non sempre lavorano corettamente.
  24161.  
  24162. ShareFun usa anche "Strumenti/Macro"e "FileTemplates" per rendere 
  24163. l'identificazione di un documento infetto pi∙ difficile 
  24164. (chiamata tecnica macro stealth).
  24165.  
  24166. Anche se ShareFun fu lanciato dalla divisione marketing
  24167. Di una compagnia che produce anti-virus, Φ molto difficile che 
  24168. si possa essere infettati da questo virus. Rimane un virus da ricerca.
  24169.  
  24170. [Word_ShareFun]
  24171. Nome del virus: Word.ShareFun
  24172. Tipo di Virus: Virus da macro di Word
  24173. Numero di Macro: 9
  24174. Criptato: No
  24175. Nomi delle Macro:
  24176. Lunghezza della Macro:
  24177. Paese di origine:
  24178. Data di origine: Febbraio 1997
  24179. Distruttivo: No
  24180. Rilevato In The Wild: No
  24181. Descrizione:
  24182.  
  24183. Questo  virus ha 9 macro, tutte criptate. Questo virus
  24184. usa "Strumenti/Macro" per rendere l'identificazione di un 
  24185. documento infetto pi∙ difficile (chiamata tecnica macro stealth).
  24186.  
  24187. Le macro sono:
  24188.  
  24189. "AutoExec"
  24190. "AutoOpen"
  24191. "File/Esci"
  24192. "File/Apri"
  24193. "File/Salva"
  24194. "FileClose"
  24195. "Strumenti/Macro"
  24196. "ShareTheFun"
  24197. "FileTemplates"
  24198.  
  24199. La macroAutoExec imposta DisableAutoMacro, mentre AutoOpen
  24200. Seleziona a caso, con il 25% di probabilitα, per agganciare ShareTheFun.
  24201.  
  24202. La macro Save all copia le macro sopra riportate nel modello di 
  24203. documento principale (NORMAL.DOT) e nel file new/open. 
  24204. (Rilevato da MacroTrap's rule1.)
  24205.  
  24206. Quanto segue descrive le funzioni delle altre macro
  24207.  
  24208. 1) File/Esci: intercetta la submacro Saveall di AutoOpen 
  24209. 2) File/Apri: intercetta la submacro Saveall di AutoOpen
  24210.  
  24211. 3) File/Salva: intercetta la submacro Saveall di AutoOpen
  24212.  
  24213. 4) FileClose : intercetta la submacro Saveall di AutoOpen
  24214.  
  24215. 5) Strumenti/Macro: disabilita Strumenti/Macro ed intercetta 
  24216. la submacro Saveall di AutoOpen
  24217.  
  24218. 6) ShareTheFun : controlla che MSMail sia attivo. 
  24219. Se lo Φ intercetta MSMail e spedisce 3 e-mail a 3 nomi 
  24220. scelti a caso dalla rubrica.  Attaccata alla e-mail, 
  24221. con l'intestazione "You have GOT to read this!", 
  24222. c'Φ il documento infetto.
  24223.  
  24224. 7) FileTemplates: intercetta la submacro Saveall di AutoOpen
  24225.  
  24226. [Word_Showoff.A (Showofxx)]
  24227. Nome del virus: Word.Showoff.A (Showofxx)
  24228. Tipo di Virus: Virus da macro di Word
  24229. Numero di Macro: 3
  24230. Criptato: Si
  24231. Nomi delle Macro: AutoOpen, Show, Cfxx, Ofxx, AutoClose, AutoExec
  24232. Lunghezza della Macro: 6789 Byte
  24233. Paese di origine: Sconosciuto
  24234. Data di origine: Sconosciuta
  24235. Payload: No
  24236. Rilevato In The Wild: No
  24237. Descrizione:
  24238.  
  24239. Showoff infetta il modello di documento principale (normal.dot) 
  24240. quando un file infetto Φ aperto. Altri documenti divengono infetti
  24241. Quando sono chiusi.
  24242.  
  24243. Showoff.A Φ la piu probabilmente la mutazione corrotta di un altro virus.  
  24244. La macro "Show" (macro "AutoExec" dopo aver infettato 
  24245. il modello di documento principale) contiene delle istruzioni 
  24246. non valide di Wordbasic.  A causa di queste istruzioni, 
  24247. Showoff mostra i seguenti messaggi d'errore quando viene avviato Word:
  24248.  
  24249. "   Out of Memory   "
  24250.  
  24251. Microsoft Word non Φ afflitto con informazioni parassite, 
  24252. questo virus pu≥ infettare altri documenti.
  24253.  
  24254. [Word.Showoff.B (Showofxx)]
  24255. Nome del virus: Word.Showoff.B (Showofxx)
  24256. Tipo di Virus: Virus da macro di Word
  24257. Numero di Macro: 3
  24258. Criptato: Si
  24259. Nomi delle Macro: AutoOpen, Show, Cfxx, Ofxx, AutoClose, AutoExec
  24260. Lunghezza della Macro: 7955 Byte
  24261. Paese di origine: Sconosciuto
  24262. Data di origine: Gennaio 1997
  24263. Payload: No
  24264. Rilevato In The Wild: No
  24265. Descrizione:
  24266.  
  24267. Showoff.B infetta il modello di documento principale (normal.dot) 
  24268. quando un documento infetto Φ aperto. 
  24269. Altri documenti sono infettati quando vengono chiusi.
  24270.  
  24271. La macro "Show" (macro "AutoExec" dopo aver infettato il
  24272. modello di documento principale) contiene istruzioni 
  24273. corrotte per WordBasic.  A causa di queste informazioni, 
  24274. Showoff mostra un messaggio d'errore.
  24275.  
  24276. Microsoft Word non Φ infettato con macro alterate, questo virus 
  24277. Φ in grado di infettare altri documenti.
  24278.  
  24279. [Word_Showoff.C (Showofxx)]
  24280. Nome del virus: Word.Showoff.C (Showofxx)
  24281. Tipo di Virus: Virus da macro di Word
  24282. Numero di Macro: 3
  24283. Criptato: Si
  24284. Nomi delle Macro: AutoOpen, Show, Cfxx, Ofxx, AutoClose, AutoExec
  24285. Lunghezza della Macro: 4758 Byte
  24286. Paese di origine: Australia
  24287. Data di origine: Gennaio 1997
  24288. Payload: No
  24289. Rilevato In The Wild: Si
  24290. Descrizione:
  24291.  
  24292. ShowOff.C Φ il virus originale della famiglia di virus ShowOff.
  24293. Altre varianti corrotte sono basate sul suo codice (come ShowOff.A
  24294. eB).
  24295.  
  24296. ShowOff.C infetta il modello di documento principale (normal.dot) 
  24297. quando un documento infetto Φ aperto. Altri documenti sono infettati 
  24298. quando vengono chiusi.
  24299.  
  24300. Come altri virus di macro, ShowOff.C non contiene nessuna altra 
  24301. procedura distruttiva. Mostra solo alcuni messaggi.
  24302.  
  24303. [Word_ShowOff.D]
  24304. Nome del virus: Word.ShowOff.D
  24305. Tipo di Virus: Virus da macro di Word
  24306. Numero di Macro: 3
  24307. Criptato: Si
  24308. Nomi delle Macro: AutoOpen, Show, Cfxx
  24309. Lunghezza della Macro: 6789 Byte
  24310. Paese di origine: Sconosciuto
  24311. Data di origine: Febbraio 1997
  24312. Distruttivo: No
  24313. Rilevato In The Wild: No
  24314. Descrizione:
  24315.  
  24316. La differenza tra questa nuova versione e l'originale virus
  24317. ShowOff Φ che la macro "Show" (AutoExec nel modello di documento principale) 
  24318. Φ corrotta. A causa di ci≥, Microsoft
  24319. Word mostra i seguenti messaggi d'errore quando viene avviato Word:
  24320.  
  24321. "   Out of memoria   "
  24322.  
  24323. Nonostante questo errore, ShowOff.D Φ in grado di diffondersi 
  24324. ed infettare altri documenti.
  24325.  
  24326. Per ulteriori informazioni, vedere la descrizione di ShowOff.A.
  24327.  
  24328. [Word_Showoff.E (Showofxx)]
  24329. Nome del virus: Word.Showoff.E (Showofxx)
  24330. Tipo di Virus: Virus da macro di Word
  24331. Numero di Macro: 3
  24332. Criptato: Si
  24333. Nomi delle Macro: AutoOpen, Show, Cfxx, Ofxx, AutoClose, AutoExec
  24334. Lunghezza della Macro: 7955 Byte
  24335. Paese di origine: Europe
  24336. Data di origine: Gennaio 1997
  24337. Payload: Si
  24338. Rilevato In The Wild: No
  24339. Descrizione:
  24340.  
  24341. Showoff.E infetta il modello di documento principale (normal.dot) 
  24342. quando un documento infetto Φ aperto. 
  24343. Altri documenti sono infettati quando vengono chiusi.
  24344.  
  24345. Showoff.E unito con il virus Bandung, usano le proprie macro distruttive "AutoExec". La macro "Show" AutoExec nel modello di documento principale) contiene il codice distruttivo, che si attiva quando Φ avviato Microsoft Word.
  24346.  
  24347. Per ulteriori informazioni, vedere la descrizione di Bandung.A virus.
  24348.  
  24349. [Word_Showoff.F (Showofxx)]
  24350. Nome del virus: Word.Showoff.F (Showofxx)
  24351. Tipo di Virus: Virus da macro di Word
  24352. Numero di Macro: 3
  24353. Criptato: Si
  24354. Nomi delle Macro: AutoOpen, Show, Cfxx, (Ofxx, AutoClose, AutoExec)
  24355. Lunghezza della Macro: 4758 Byte
  24356. Paese di origine: Sconosciuto
  24357. Data di origine: Primavera 1997
  24358. Payload: No
  24359. Rilevato In The Wild: No
  24360. Descrizione:
  24361.  
  24362. ShowOff.F infetta il modello di documento principale (normal.dot) 
  24363. quando un documento infetto Φ aperto. 
  24364. Altri documenti sono infettati quando vengono chiusi.
  24365.  
  24366. La principale differenza tra questa nuova variante  ed 
  24367. i precedenti virus ShowOff Φ che ShowOff.F non mostra il seguente messaggio:
  24368.  
  24369. "   TO ONE OF US, PEACE ! HAPPY BIRTHDAY!!!   "
  24370.  
  24371. [Word_Simple.A (Intended)]
  24372. Nome del virus: Word.Simple.A (Intended)
  24373. Tipo di Virus: Virus da macro di Word
  24374. Numero di Macro: 2
  24375. Criptato: Si
  24376. Nomi delle Macro: AutoOpen, Simple
  24377. Lunghezza della Macro: 272 Byte
  24378. Paese di origine: Sconosciuto
  24379. Data di origine: Primavera 1997
  24380. Distruttivo: No
  24381. Rilevato In The Wild: No
  24382. Descrizione:
  24383.  
  24384. Simple.A Φ un altro virus da macro che non lavora correttamente.
  24385. Non Φ infettivo, quindi Φ molto difficile che si trovino 
  24386. documenti infettati da lui.
  24387.  
  24388. [Word_Simple.B ]
  24389. Nome del virus: Word.Simple.B
  24390. Tipo di Virus: Virus da macro di Word
  24391. Numero di Macro: 2
  24392. Criptato: Si
  24393. Nomi delle Macro: AutoOpen, Simple
  24394. Lunghezza della Macro: 264 Byte
  24395. Paese di origine: Sconosciuto
  24396. Data di origine: Aprile 1997
  24397. Distruttivo: No
  24398. Rilevato In The Wild: No
  24399. Descrizione:
  24400.  
  24401. Simple.B infetta il modello di documento principale quando un 
  24402. documento infetto Φ aperto. Altri documenti divengono infetti
  24403. quando vengono aperti (AutoOpen).
  24404.  
  24405. La principale differenza tra questa nuova variante  ed il pi∙ vecchio
  24406. Simple.A Φ che Simple.B Φ infettivo e mostra il messaggio:
  24407.  
  24408. "   The Concept is Simple!   "
  24409.  
  24410. [Word_Smiley.A]
  24411. Nome del virus: Word.Smiley.A
  24412. Tipo di Virus: Virus da macro di Word
  24413. Numero di Macro: 8
  24414. Criptato: Si
  24415. Nomi delle Macro: AutoExec, AutoExit, AutoOpen, DateiSpeichern,
  24416. DateiSpeichernUnter, DateiDrucken, Timer, DateiDruckenStandard
  24417. Lunghezza della Macro: 6435 Byte
  24418. Paese di origine: Germania
  24419. Data di origine: Sconosciuta
  24420. Distruttivo: Si
  24421. Rilevato In The Wild: No
  24422. Descrizione:
  24423.  
  24424. Smiley Φ un altro virus da macro scritto per la versione tedesca
  24425. di Microsoft Word.
  24426.  
  24427. Smiley infetta il modello di documento principale (normal.dot) 
  24428. quando un documento infetto viene aperto.  
  24429. Altri documenti sono infettati quando vengono salvati 
  24430. con i comandi DateiSpeichern e
  24431. DateiSpeichernUnter.
  24432.  
  24433. Per rendere pi∙ difficile l'identificazione di un documento infetto,
  24434. Smiley sposta l'opzione Extras/Makro e Datei/Dokumentvorlage
  24435. (chiamata tecnica macro stealth).
  24436.  
  24437. Quando si avvia Word (AutoExec), Smiley inserisce la stringa
  24438. "Smiley=xx" nella sezione [Windows] di win.ini (nella directory
  24439. Windows).  "xx" rappresenta un numero.
  24440.  
  24441. 14 giorni dopo la prima infezione, Smiley cambia
  24442. Tools/Options/Userinfo con i seguenti:
  24443.  
  24444. "   Name: Smiley Corporation   "
  24445. "   Initials:   SC   "
  24446. "   Address:   Greenpeace   "
  24447.  
  24448. Inoltre, Smiley rimuove i seguenti men∙:
  24449.  
  24450. Datei/Makro
  24451. Datei/Dokumentvorlage
  24452. Ansicht/Symbolleisten
  24453. Extras/Anpassen
  24454.  
  24455. 56 dopo la prima infezione, Smiley crea un nuovo file
  24456. C:\AUTOEXEC.BAT e formatta l'hard drive dopo il successivo.
  24457.  
  24458. Uscendo da Word (AutoExit), Smiley mostra diversi messaggi e  
  24459. li aggiunge ai documenti stampati.
  24460.  
  24461. [Word_Snickers.A ]
  24462. Nome del virus: Word.Snickers.A
  24463. Tipo di Virus: Virus da macro di Word
  24464. Numero di Macro: 2
  24465. Criptato: No
  24466. Nomi delle Macro: AutoOpen, AutoClose
  24467. Lunghezza della Macro: 420 Byte
  24468. Paese di origine: Sconosciuto
  24469. Data di origine: Primavera 1997
  24470. Distruttivo: Si
  24471. Rilevato In The Wild: No
  24472. Descrizione:
  24473.  
  24474. Snickers.A non infetta modello di documento principale (normal.dot)
  24475. a differenza di altri virus da macro. 
  24476. Utilizza un nuovo tipo di infezione (chiamata azione diretta). 
  24477. Infetta i documenti durante i seguenti processi:
  24478.  
  24479. 1. Un documento infetto Φ aperto.
  24480.    Viene elencato nella lista MRU (Most recently used).
  24481.  
  24482. 2. Un documento infetto Φ aperto.
  24483.    Il virus cerca di infettare tutta la lista dei file nella lista MRU.
  24484.  
  24485. Snickers ha un'altra procedura noiosa (AutoClose). 
  24486. Durante l'infezione, cripta il testo scambiando i caratteri adiacenti.
  24487. Il testo Φ decriptato quando viene aperto un documento infetto
  24488. (AutoOpen).
  24489.  
  24490. I virus scanner che rimuovono solo la macro lasciano 
  24491. il documento con il testo criptato.
  24492.  
  24493. [Word_Spooky.A]
  24494. Nome del virus: Word.Spooky.A
  24495. Tipo di Virus: Virus da macro di Word
  24496. Numero di Macro: 9
  24497. Criptato: Si
  24498. Nomi delle Macro: autoexec, AutoOpen, dateidokvorlagen, dateidrucken, 
  24499. dateidruckenstandard, extrasmakro, DateiSpeichernUnter, DateiOeffnen, Spooky
  24500. Lunghezza della Macro: 3114 Byte
  24501. Paese di origine: Austria
  24502. Data di origine: Settembre 1996
  24503. Payload: Si
  24504. Rilevato In The Wild: No
  24505. Descrizione:
  24506.  
  24507. Spooky si attiva quando viene aperto un documento infetto
  24508. (AutoOpen). Altri documenti divengono infetti quando sono aperti 
  24509. (DateiOeffnen) o salvati (DateiSpeichernUnter).
  24510. Spooky non infetta quando la macro "Spooky" Φ giα presente nel 
  24511. modello di documento principale (normal.dot) o in un documento.
  24512.  
  24513. Spooky disabilita i men∙ File/Templates e Tools/Macro in modo da 
  24514. rendere pi∙ difficile l'individuazione di un file infetto 
  24515. (chiamata tecnica macro stealth).
  24516.  
  24517. Se l'utente cerca di selezionare una delle due opzioni viene
  24518.  richiesta una password. Inserendo "ykoops" nei suggerimenti 
  24519. nella barra di stato, riappaiono i men∙ originali. 
  24520. Inserendo una password sbagliata mostra il seguente messaggio:
  24521.  
  24522. "   Sie haben das falsche Passwort eingegeben   "
  24523.  
  24524. tradotto:
  24525.  
  24526. "   Hai inserito una Password sbagliata   "
  24527.  
  24528.  
  24529. Spooky mostra il seguente messaggio nella barra di stato:
  24530.  
  24531. "   Word.Spooky   "
  24532.  
  24533. Quando un utente stampa un documento con l'ora di sistema tra
  24534. 55 e 59, Spooky inserisce alla fine dei documenti stampati il 
  24535. seguente testo:
  24536.  
  24537. "   Word.Spooky   "
  24538.  
  24539. [Word_Stryx.A ]
  24540. Nome del virus: Word.Stryx.A
  24541. Tipo di Virus: Virus da macro di Word
  24542. Numero di Macro: 4
  24543. Criptato: Si
  24544. Nomi delle Macro: DateiSchliessen, DokumentSchliessen, Stryx1, 
  24545. Stryx2, StryxOne, StryxTwo
  24546. Lunghezza della Macro: 25669 Byte
  24547. Paese di origine: Germania
  24548. Data di origine: Settembre 1996
  24549. Payload: Si
  24550. Rilevato In The Wild: No
  24551. Descrizione:
  24552.  
  24553. Mentre Stryx ha 4 macro, alcune sono disponibili solamente nel 
  24554. modello di documento principale o nei documenti.
  24555.  
  24556. "Stryx1" (solo nel modello di documento principale)
  24557. "Stryx2" (solo nel modello di documento principale)
  24558. "StryxOne" (solo nei documenti)
  24559. "StryxTwo" (solo nei documenti)
  24560.  
  24561. Stryx Φ attivato quando viene chiuso un documento
  24562. (DateiSchliessen and DokumentSchliessen). Stryx modifica la sezione 
  24563. "Int1" di win.ini (cartella di Windows).
  24564. Imposta SI sul valore della stringa installata e crea un'immagine
  24565.  Con estensione *.GIF di un drago (basata su un hex dump).
  24566. Chiudendo un documento il primo di Dicembre, viene creato un nuovo 
  24567. documento e viene inserita la figura del drago. Seguito dal drago:
  24568.  
  24569. "   STRYX!!!!    "
  24570. "   Look at your HD! :-)   "
  24571. "   Sorry, but it's so funny!   "
  24572. "   NJ 1996   "
  24573.  
  24574. Stryx non infetta quando la macro "Stryx2" giα esiste nel modello di 
  24575. documento principale o quando la macro "StryxTwo" esiste giα in un documento.
  24576.  
  24577. [Word_Surabaya.A]
  24578. Nome del virus: Word.Surabaya.A
  24579. Tipo di Virus: Virus da macro di Word
  24580. Numero di Macro: 6
  24581. Criptato: No
  24582. Nomi delle Macro: AutoExec, AutoOpen, Plong, File/Salva con nome
  24583.              Strumenti/Macro, FileTemplates
  24584. Lunghezza della Macro: 1832 Byte
  24585. Paese di origine: Sconosciuto
  24586. Data di origine: Primavera 1997
  24587. Payload: Si
  24588. Rilevato In The Wild: Si
  24589. Descrizione:
  24590.  
  24591. Surabaya infetta il modello di documento principale (normal.dot) 
  24592. quando un documento infetto Φ aperto. Altri documenti si infettano 
  24593. quando vengono salvati (File/Salva con nome).
  24594.  
  24595. Surabaya usa Strumenti/Macro e FileTemplates per rendere 
  24596. l'identificazione di un documento infetto pi∙ difficile 
  24597. (chiamata tecnica macro stealth).  
  24598. Avvisiamo di non accedere ai due men∙, dopo che hanno eseguito 
  24599. il codice virale. In caso di Surabaya, essi mostrano un messaggio con 
  24600. "   Sorry...   ". 
  24601.  
  24602. Ogni volta che Microsoft Word Φ avviato da un modello di 
  24603. documento principale infetto, il seguente messaggio Φ 
  24604. mostrato sulla barra di stato:
  24605.  
  24606. "   Lontong Micro Device ( c ) 1993 By ICE-Man   "
  24607.  
  24608. Surabaya aggiunge il seguente testo "Author" alla sezione
  24609. C:\WINDOWS\WIN.INI:
  24610.  
  24611. "   Name=TebeYe'93 The ICE-Man   "
  24612.  
  24613. [Word_Switcher.a]
  24614. Nome del virus: Word.Switcher.a
  24615. Tipo di Virus: Virus da macro di Word
  24616. Numero di Macro: 10
  24617. Criptato: Si
  24618. Nomi delle Macro: AutoExec, AutoOpen, Autoclose, File/Apri, File/Salva
  24619.              File/Salva con nome, FileClose, FilePrint, FileTemplates,
  24620.              Strumenti/Macro
  24621. Lunghezza della Macro: 2328 Byte
  24622. Paese di origine: Sconosciuto
  24623. Data di origine: Aprile 1997
  24624. Distruttivo: Si
  24625. Rilevato In The Wild: Si
  24626. Descrizione:
  24627.  
  24628. Switcher si attiva quando viene aperto un documento infetto.
  24629.  
  24630. Utilizza "Strumenti/Macro" e "FileTemplates" per rendere pi∙ difficile 
  24631. l'identificazione di un documento infetto (chiamata tecnica macro stealth). 
  24632. Quando un utente seleziona uno dei due men∙, 
  24633. mostra il seguente messaggio:
  24634.  
  24635. "   Configuration conflict - menu item is not available.   "
  24636.  
  24637. Switcher ha alcune procedure distruttive. Quando Φ avviato Microsoft
  24638. Word (AutoExec), Switcher si avvia (1 probabilitα su 60) e cerca di 
  24639. cancellare quanto segue:
  24640.  
  24641. "   c:\msoffice\excel\*.xls   "   (Microsoft Excel Spreadsheets)
  24642.  
  24643. "   c:\access\*.mdb   "   (Microsoft Access database files)
  24644.  
  24645. "   c:\msoffice\access\*.mdb   "   (Microsoft Access database files)
  24646.  
  24647. "   c:\windows\*.grp   "   (Windows files)
  24648.  
  24649. "   c:\*.hlp   "   (Windows Help files)
  24650.  
  24651. La seconda procedura (allocata in AutoClose) controlla il campo dei 
  24652. secondi e nel caso che il valore sia minore di 10 genera due cifre a 
  24653. caso e cambia tutte le istanze di 1.
  24654.  
  24655. Esempio: "1" Φ sostituito da  "2" nel documento attivo.
  24656.  
  24657. In pi∙ pu≥ essere trovato il seguente messaggio nella macro "AutoExec":
  24658.  
  24659. "   *** I'm a little pest! ***   "
  24660. "   The LITTLE PEST self-propagating macro is by *Sly Ellga*,   "
  24661. "   a guy who thinks it's funny to screw around
  24662. "   with other people's data   "
  24663.  
  24664. [Word_Swlabsl (Kit) (a.k.a. 1.0a)]
  24665. Nome del Virus: Word.Swlabs1 (Kit) (a.k.a. 1.0a)
  24666. Tipo di Virus: Virus da macro di Word
  24667. Size of executable: 117,248 Byte
  24668. Paese di origine: USA
  24669. Data di origine: Gennaio 1997
  24670. Descrizione:
  24671.  
  24672. Swlabs1 Φ un altro kit di costruzione per Microsoft Word scritto 
  24673. con Microsoft Visual C++ per Win32. Si presenta come un editore di testi
  24674. con la creazione di un virus guidata.
  24675.  
  24676. Ci sono due metodi per creare nuovi virus:
  24677.  
  24678. 1. Solamente le istruzioni virali, in caso non venga trovata una 
  24679. copia di Microsoft Word.
  24680.  
  24681. 2. Piena funzionalitα del virus da macro se Φ trovato Microsoft Word.
  24682.  
  24683. Swlabs1 utilizza il documento "SKAMMY.DOC" quando comunica con 
  24684. Microsoft Word. Contiene la macro "Test" (2137 Byte), 
  24685. che incolla la sorgente dalla clipboard, le mette in diverse macro esce da
  24686. Word e torna al kit Swlabs.
  24687.  
  24688. [Word_Swlabs.A (aka. Skam)]
  24689. Nome del virus: Word.Swlabs.A (aka. Skam)
  24690. Tipo di Virus: Virus da macro di Word
  24691. Numero di Macro: 1
  24692. Criptato: No
  24693. Nomi delle Macro: AutoOpen
  24694. Lunghezza della Macro: 512 Byte
  24695. Paese di origine: Sconosciuto
  24696. Data di origine: Primavera 1997
  24697. Distruttivo: No
  24698. Rilevato In The Wild: Si
  24699. Descrizione:
  24700.  
  24701. Swlabs.A infetta il modello di documento principale (normal.dot) 
  24702. quando un documento infetto Φ aperto. 
  24703. Altri documenti sono infettati quando vengono aperti (AutoOpen).
  24704.  
  24705. Swlabs.A rimuove Strumenti/Macro e FileTemplates per rendere
  24706. l'individuazione di un file infetto pi∙ difficile 
  24707. (chiamata tecnica macro stealth).
  24708.  
  24709. Non contiene nessuna procedura , ma solamente il seguente commento:
  24710.  
  24711. "   What" No Payload? WUSSY!   "
  24712.  
  24713. Swlabs.A Φ un altro virus che fu creato con un generatore di virus da macro.
  24714.  
  24715. [Word_Swlabs.B]
  24716. Nome del virus: Word.Swlabs.B
  24717. Tipo di Virus: Virus da macro di Word
  24718. Numero di Macro: 3
  24719. Criptato: No
  24720. Nomi delle Macro: AutoOpen, File/Nuovo, File/Salva
  24721. Lunghezza della Macro: 2145 Byte
  24722. Paese di origine: Sconosciuto
  24723. Data di origine: Primavera 1997
  24724. Distruttivo: No
  24725. Rilevato In The Wild: No
  24726. Descrizione:
  24727.  
  24728. Swlabs.B infetta il modello di documento principale (normal.dot) 
  24729. quando un documento infetto Φ aperto. 
  24730. Altri documenti divengono infetti quando vengono aperti (AutoOpen), creati
  24731. (File/Nuovo), o salvati (File/Salva).
  24732.  
  24733. Swlabs.B Non contiene nessuna procedura distruttiva, 
  24734. ma solamente il seguente commento che Φ aggiunto alla sezione
  24735. File|Properties\Summary|Subject:
  24736.  
  24737. "   Green Bay Packers -- Super Bowl XXXI Champions  "
  24738.  
  24739. Swlabs.B Φ un altro virus che fu creato con un generatore 
  24740. di virus da macro.
  24741.  
  24742. [Word_Talon.A]
  24743. Nome del virus: Word.Talon.A
  24744. Tipo di Virus: Virus da macro di Word
  24745. Numero di Macro: 6
  24746. Criptato: Si
  24747. Nomi delle Macro: AOB, Deed, FSAB, Info, AutoOpen 
  24748. (File/Salva con nome),
  24749.              Strumenti/Macro
  24750. Lunghezza della Macro: 2052 Byte nei documenti
  24751.                 2008 Byte in modello di documento principale
  24752. Paese di origine: USA
  24753. Data di origine: Marzo 1997
  24754. Payload: Si
  24755. Rilevato In The Wild: No
  24756. Descrizione:
  24757.  
  24758. Talon infetta il modello di documento principale (normal.dot) 
  24759. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  24760. si infettano quando vengono salvati (File/Salva con nome).
  24761.  
  24762. Talon si attiva il 18 Giugno. Poi mostra un'infinita serie di messaggi:
  24763.  
  24764. "   Your System Is Infected With The Macro Virus Talon #1!   "
  24765. "   This Macro Virus Was Brought To You By: TALON 1997   ".
  24766.  
  24767. Quando l'utente cerca di selezionare dal menu opzioni "Strumenti/Macro", 
  24768. Talon mostra la seguente informazione:
  24769.  
  24770. "   Warning   "
  24771. "   This Option Is Not Available, Please Insert The MS-Office CD   "
  24772. "   And Install The Help Files To Continue.   "
  24773.  
  24774. Pi∙ informazioni possono essere trovate nella macro "Info":
  24775.  
  24776. "    *********************************************   "
  24777. "                  Talon #1                          "
  24778. "           June 18 Payload Activates                "
  24779. "               Displays Message                     "
  24780. "       All Files Criptato Except Info File         "
  24781. "                                                    "
  24782. "              Brought To You By                     "
  24783. "                   "Talon"                          "
  24784. "    *********************************************   "
  24785.  
  24786. [Word_Talon.B]
  24787. Nome del virus: Word.Talon.B
  24788. Tipo di Virus: Virus da macro di Word
  24789. Numero di Macro: 6
  24790. Criptato: Si
  24791. Nomi delle Macro: AOB, FSAB, Info, AutoOpen (File/Salva con nome),
  24792.              Strumenti/Macro, Password
  24793. Lunghezza della Macro: 1953 Byte nei documenti
  24794.                 1887 Byte in modello di documento principale
  24795. Paese di origine: USA
  24796. Data di origine: Marzo 1997
  24797. Payload: Si
  24798. Rilevato In The Wild: No
  24799. Descrizione:
  24800.  
  24801. Talon.B infetta il modello di documento principale (normal.dot) 
  24802. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  24803. si infettano quando vengono salvati (File/Salva con nome).
  24804.  
  24805. Si attiva il 27 di ogni mese quando salva il documento attivo 
  24806. con la  password "   talon   " e mostra il
  24807. il seguente messaggio:
  24808.  
  24809. "   Warning   "
  24810. "   Your document Has Just been Been Saved, I Hope You Know   "
  24811. "   The Password!!!   ",  Brought To You By Talon 1997   "
  24812.  
  24813. Un'altra differenza tra questa nuova variante  e l'originale virus
  24814. Talon Φ che il men∙ opzioni di "Strumenti/Macro" 
  24815. mostra la seguente informazione:
  24816.  
  24817. "   This Option Is Not Available, Please Install The   "
  24818. "    Help Files To Continue.   "
  24819.  
  24820. [Word_Talon.C]
  24821. Nome del virus: Word.Talon.C
  24822. Tipo di Virus: Virus da macro di Word
  24823. Numero di Macro: 6
  24824. Criptato: Si
  24825. Nomi delle Macro: AOB, FSAB, Info, AutoOpen (File/Salva con nome),
  24826.              Strumenti/Macro, ToolsSpelling
  24827. Lunghezza della Macro: 2001 Byte nei documenti
  24828.                 1981 Byte in modello di documento principale
  24829. Paese di origine: USA
  24830. Data di origine: Marzo 1997
  24831. Payload: Si
  24832. Rilevato In The Wild: No
  24833. Descrizione:
  24834.  
  24835. Talon.C infetta il modello di documento principale (normal.dot) 
  24836. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  24837. si infettano quando vengono salvati (File/Salva con nome).
  24838.  
  24839. Si attiva di luned∞ durante il mese di Giugno. 
  24840. Questo accade solo quando un utente utilizza lo spell checker.
  24841. Talon.C quindi salva il documento attivo con la password
  24842. "  talon3  " ed manda tre caselle di messaggi:
  24843.  
  24844. "   I Have A Word For You To Spell V I R U S   "
  24845.  
  24846. "   Your document Has Just been Been Saved By The Virus da macro di Word   "
  24847. "   Talon #3, I Hope You Know The Password!!!   "
  24848.  
  24849. "   Brought To You By Talon 1997   "
  24850.  
  24851. Un'altra differenza tra questa nuova variante  e l'originale virus
  24852. Talon Φ che il men∙ opzioni di "Strumenti/Macro" mostra la seguente informazione:
  24853.  
  24854. "    This option is not available now. Please install the   "
  24855. "    HELP files To continue.   "
  24856.  
  24857. [Word_Talon.D]
  24858. Nome del virus: Word.Talon.D
  24859. Tipo di Virus: Virus da macro di Word
  24860. Numero di Macro: 6
  24861. Criptato: Si
  24862. Nomi delle Macro: Scramble, AutoClose, Info, AutoOpen, File/Salva con nome,
  24863.              Strumenti/Macro
  24864. Lunghezza della Macro: 2079 Byte
  24865. Paese di origine: USA
  24866. Data di origine: Aprile 1997
  24867. Payload: Si
  24868. Rilevato In The Wild: No
  24869. Descrizione:
  24870.  
  24871. Talon.D infetta il modello di documento principale (normal.dot) 
  24872. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  24873. si infettano quando vengono salvati (File/Salva con nome) o chiusi
  24874. (AutoClose).
  24875.  
  24876. Si attiva di venerd∞ quando salva il documento attivo con la password 
  24877. "  talon4  " e mostra i seguenti messaggi:
  24878.  
  24879. "   Your document Is Infected With The Macro Virus Talon 4   "
  24880.  
  24881. "   Your document Has Just been Been Saved, I Hope You Know   "
  24882. "   The Password!!!   ",
  24883.  
  24884. "   Talon Strikes Again 1997   "
  24885.  
  24886. Un'altra differenza tra questa nuova variante  e l'originale virus
  24887. Talon Φ che il men∙ opzioni di "Strumenti/Macro"
  24888.  mostra la seguente informazione:
  24889.  
  24890. "    This option is not available right now. Please install the   "
  24891. "    HELP files To continue.   "
  24892.  
  24893. [Word_Talon.E]
  24894. Nome del virus: Word.Talon.E
  24895. Tipo di Virus: Virus da macro di Word
  24896. Numero di Macro: 7
  24897. Criptato: Si
  24898. Nomi delle Macro: Scramble, AutoClose, Info, Menu, AutoOpen,
  24899.              File/Salva con nome, Strumenti/Macro
  24900. Lunghezza della Macro: 2323 Byte
  24901. Paese di origine: USA
  24902. Data di origine: Aprile 1997
  24903. Payload: Si
  24904. Rilevato In The Wild: No
  24905. Descrizione:
  24906.  
  24907. Talon.E infetta il modello di documento principale (normal.dot) 
  24908. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  24909. si infettano quando vengono salvati (File/Salva con nome) o chiusi 
  24910. (AutoClose).
  24911.  
  24912. La principale differenza tra questa nuova variante  ed i precedenti 
  24913. virus Talon Φ che questo virus aggiunge un nuovo men∙
  24914. (Talon). Quando un utente seleziona l'elemento, Talon.E si avvia 
  24915. ed il documento attivo viene salvato con la password "   talon5   ".
  24916.  
  24917. DopodichΘ mostra diversi messaggi:
  24918.  
  24919. "  Thank You so Much For Pressing That Button,   "
  24920. "  I Thought I Would Never Be Activated.   "
  24921.  
  24922. "  Virus da macro di Word Talon 5   "
  24923.  
  24924. "   Talon Strikes Again   "
  24925.  
  24926. Un'altra differenza tra questa nuova variante  e l'originale virus
  24927. Talon Φ che il men∙ opzioni di "Strumenti/Macro" mostra 
  24928. la seguente informazione:
  24929.  
  24930. "    This option is not available right now. Please install the   "
  24931. "    HELP files To continue.   "
  24932.  
  24933. [Word_Talon.F]
  24934. Nome del virus: Word.Talon.F
  24935. Tipo di Virus: Virus da macro di Word
  24936. Numero di Macro: 6
  24937. Criptato: Si
  24938. Nomi delle Macro: Scramble, AutoClose, Info, AutoOpen,
  24939.              File/Salva con nome, Strumenti/Macro
  24940. Lunghezza della Macro: 2194 Byte
  24941. Paese di origine: USA
  24942. Data di origine: Aprile 1997
  24943. Payload: Si
  24944. Rilevato In The Wild: No
  24945. Descrizione:
  24946.  
  24947. Talon.F infetta il modello di documento principale (normal.dot) 
  24948. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  24949. si infettano quando vengono salvati (File/Salva con nome) o chiusi
  24950. (AutoClose).
  24951.  
  24952. La principale differenza tra questa nuova variante  ed i precedenti 
  24953. virus Talon Φ che l'autore del virus tent≥ la tecnica "anti-heuristic".
  24954.  
  24955. Un'altra differenza tra questa nuova variante  e l'originale virus
  24956. Talon Φ che il men∙ opzioni di "Strumenti/Macro" mostra 
  24957. la seguente informazione:
  24958.  
  24959. "   Please Install The HELP Files To Continue   "
  24960. "   Option Not Installed   "
  24961.  
  24962. [Word_Talon.G]
  24963. Nome del virus: Word.Talon.G
  24964. Tipo di Virus: Virus da macro di Word
  24965. Numero di Macro: 7
  24966. Criptato: No
  24967. Nomi delle Macro: Scramble, AutoClose, Scramble2, AutoOpen,
  24968.              File/Salva con nome, Strumenti/Macro, Mentor
  24969. Lunghezza della Macro: 6280 Byte
  24970. Paese di origine: USA
  24971. Data di origine: Aprile 1997
  24972. Payload: Si
  24973. Rilevato In The Wild: No
  24974. Descrizione:
  24975.  
  24976. Talon.G infetta il modello di documento principale (normal.dot) 
  24977. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  24978. si infettano quando vengono salvati (File/Salva con nome) o chiusi
  24979. (AutoClose).
  24980.  
  24981. La principale differenza tra questa nuova variante  ed i 
  24982. precedenti virus Talon Φ che Talon.G aggiunge due men∙ al file
  24983. Help (chiamati "Talon 5" e "About Talon 5").
  24984.  
  24985. Quando selezionati, Talon si avvia e mostra un articolo dell'autore 
  24986. dei virus da macro di Microsoft Word.
  24987. Poi stampa 999 copie dell'articolo e mostra 
  24988. i seguenti messaggi:
  24989.  
  24990. "   Talon Strikes Again    "
  24991.  
  24992. "   Virus da macro di Word Talon 5  AKA The Mentor   "
  24993.  
  24994. [Word_Talon.H]
  24995. Nome del virus: Word.Talon.H
  24996. Tipo di Virus: Virus da macro di Word
  24997. Numero di Macro: 4
  24998. Criptato: Si
  24999. Nomi delle Macro: AutoClose, AutoOpen, Crud, File/Salva con nome
  25000. Lunghezza della Macro: 1923 Byte
  25001. Paese di origine: USA
  25002. Data di origine: Aprile 1997
  25003. Payload: Si
  25004. Rilevato In The Wild: No
  25005. Descrizione:
  25006.  
  25007. Talon.H infetta il modello di documento principale (normal.dot) 
  25008. quando un documento infetto Φ aperto (AutoOpen). Altri documenti
  25009. si infettano quando vengono salvati (File/Salva con nome) o chiusi
  25010. (AutoClose).
  25011.  
  25012. La principale differenza tra questa nuova variante  ed i precedenti 
  25013. virus Talon Φ che Talon.H aggiunge un men∙
  25014. (called Eifel Crud).
  25015.  
  25016. Quando selezionato, Talon.H si avvia e salva il documento attivo 
  25017. con la password "  crud  ".
  25018. DopodichΘ crea un nuovo documento con il seguente testo:
  25019.  
  25020. "   You are infected with the Eifel Crud!   "
  25021. "   Talon Strikes Again! 1997   "
  25022.  
  25023. Talon.H Φ un altro virus che si trasforma in Talon.H1 e
  25024. Talon.H2. Questo avviene chiudendo un documento infettato da Talon.H 
  25025. (AutoClose) e salvando un file infettato da Talon.H1 (File/Salva con nome).
  25026.  
  25027. A causa della perdita di due macro, Talon.H1 e Talon.H2 producono 
  25028. dei messaggi d'errore di WordBasic.
  25029.  
  25030. [Word_Target.B (a.k.a LoneStar, Lone)]
  25031. Nome del virus: Word.Target.B (a.k.a LoneStar, Lone)
  25032. Tipo di Virus: Virus da macro di Word
  25033. Numero di Macro: 1 (German version of Word)
  25034.                   2 (Any other version of Word)
  25035. Criptato: Si
  25036. Nomi delle Macro: LoneRaider (LoneRaiderTwo)
  25037. Lunghezza della Macro: 3463 Byte
  25038. Paese di origine: Germania
  25039. Data di origine: Sconosciuta
  25040. Distruttivo: No
  25041. Rilevato In The Wild: No
  25042.  
  25043. Target si attiva quando viene premuto il tasto associato (SPACE).
  25044. Target Φ un tentativo di ingannare gli euristici scanner dei virus 
  25045. da macro.. Le sue macro non contengono comandi per copiare i virus.
  25046. Invece crea una seconda macro  (LoneRaiderTwo) e vi copia dentro 
  25047. tutti comandi per l'attivazione e l'infezione. 
  25048. Dopo l'esecuzione la seconda macro Φ disattivata.  
  25049. Come risultato, Φ che alcuni scanner non riconoscono i 
  25050. flag di Target come sospetti.  Quando Target Φ attivato 
  25051. da una versione non tedesca di Microsoft Word, non si diffonde 
  25052. e la seconda macro non viene cancellata
  25053.  
  25054. Premendo "SPACE" il primo di Gennaio di ogni anno, Target
  25055. Crea un nuovo documento con il seguente testo:
  25056.  
  25057. "   Enjoy the first F/WIN Killer!   "
  25058. "   LoneRaider!   "
  25059. "   Nightmare Joker   "
  25060. "   1996   "
  25061.  
  25062. Quando Target fu rilasciato al pubblico, F-WIN Heuristic
  25063. Anti-Virus, scritto da Stefan Kurtzhals, fu incapace di rilevare
  25064. Target per le ragioni sopra dette. Questo fu cambiato 
  25065. immediatamente ed ogni aggiornamento di programmi antivirus 
  25066. dovrebbe essere in grado di individuarlo.
  25067.  
  25068. [Word_Tear.A]
  25069. Nome del virus: Word.Tear.A
  25070. Tipo di Virus: Virus da macro di Word
  25071. Numero di Macro: 2
  25072. Criptato: Si
  25073. Nomi delle Macro: AutoOpen, File/Salva con nome)
  25074. Lunghezza della Macro: 1684 Byte
  25075. Paese di origine: Russia
  25076. Data di origine: Aprile 1997
  25077. Distruttivo: No
  25078. Rilevato In The Wild: No
  25079. Descrizione:
  25080.  
  25081. Tear.A infetta il modello di documento principale (normal.dot) 
  25082. quando un Φ aperto un documento infetto. 
  25083. Altri documenti divengono infetti quando sono salvati (File/Salva con nome).
  25084.  
  25085. I seguenti messaggi possono essere trovati nel codice della macro "AutoOpen":
  25086.  
  25087. "   (c) 1997 Master of Infection   "
  25088. "   QUEEN FOREVER!!!   "
  25089. "   I love you,Freddie!!!   "
  25090. "   Here is my Mother's love!!!   "
  25091.  
  25092. "   I don't want to sleep with you   "
  25093. "   I don't need the passion too   "
  25094. "   I don't want a stormy affair   "
  25095. "   To make me feel my life is heading somewhere   "
  25096. "   All I want is comfort and care   "
  25097. "   Just to know that my woman gives me sweet -   "
  25098. "   Mother Love   "
  25099.  
  25100. "   I've walked too long in this lonely lane   "
  25101. "   I've had enough of this same old game   "
  25102. "   I'm a man of the world and they say that I'm strong   "
  25103. "   But my heart is heavy, and my hope is gone   "
  25104.  
  25105. "   Out in the city, in the cold world outside   "
  25106. "   I don't want to pity, just a safe place to hide   "
  25107. "   Mama please, let me back inside   "
  25108.  
  25109. "   I don't want to make no waves   "
  25110. "   But you can give me all the love that I crave   "
  25111. "   I can't take it if you see me cry   "
  25112. "   I long for peace before I die   "
  25113. "   All I want is to know that you're there   "
  25114. "   You're gonna give me all your sweet -   "
  25115. "   Mother Love   "
  25116.  
  25117. "   My body's aching, but I can't sleep   "
  25118. "   My dreams are all the company I keep   "
  25119. "   Got such a feeling as the sun goes down  "
  25120. "   I'm coming home to my sweet -  "
  25121. "   Mother Love   "
  25122.  
  25123. Quando viene aperto un documento infetto, Tear mostra
  25124. il seguente messaggio:
  25125.  
  25126. "   Tear it up!   "
  25127.  
  25128. [Word_Tedious.A]
  25129. Nome del virus: Word.Tedious.A
  25130. Tipo di Virus: Virus da macro di Word
  25131. Numero di Macro: 4
  25132. Criptato: Si
  25133. Nomi delle Macro: AutoNew, File/Salva con nome, 
  25134. VAutoNew, VFile/Salva con nome
  25135. Lunghezza della Macro: 1082 Byte
  25136. Paese di origine: Sconosciuto
  25137. Data di origine: Agosto 1996
  25138. Payload: No
  25139. Rilevato In The Wild: No
  25140. Descrizione:
  25141.  
  25142. Tedious infetta i documenti quando Φ usato il comando 
  25143. "File/Salva con nome".  
  25144. I documenti infetti sono trasformati in file di modello 
  25145. evenienza molto comune per i virus da macro.
  25146. Dato Tedious usa i nomi delle macro in inglese lavora 
  25147. solo con la versione inglese di Microsoft Word.
  25148.  
  25149. Anche se una delle maggiori compagnie americane di anti-virus
  25150.  sostenga che Tedious sia distruttivo, gli utenti non devono 
  25151. temere questo virus.  Tedious Φ senza armi e non 
  25152. fa niente altro che replicarsi.
  25153.  
  25154. [Word_Tele.A (a.k.a LBYNJ, Telefonica, Tele-Sex)]
  25155. Nome del virus: Word.Tele.A (a.k.a LBYNJ, Telefonica, Tele-Sex)
  25156. Tipo di Virus: Virus da macro di Word
  25157. Numero di Macro: 7
  25158. Criptato: Si
  25159. Nomi delle Macro: AutoExec, AutoOpen, DateiBeenden, DateiDrucken,
  25160.              DateiNeu, DateiOeffnen, Telefonica
  25161. Lunghezza della Macro: 22256 Byte
  25162. Paese di origine: Germania
  25163. Data di origine: Aprile 1996
  25164. Distruttivo: Si
  25165. Rilevato In The Wild: No
  25166. Descrizione:
  25167.  
  25168. La macro "AutoExec" di Tele comprende una procedura di 
  25169. infezione del modello di documento principale (normal.dot), 
  25170. che non si infetta quando all'interno del file WIN.INI 
  25171. (sezione "Compatibility"), la stringa
  25172. "0x0030303" Φ regolata su "LBYNJ".
  25173.  
  25174. Tele usa la macro "Telefonica" per controllare per una 
  25175. precedente infezione.  
  25176. Non infetta il modello di documento principale se la macro Φ giα presente.
  25177.  
  25178. I documenti sono infettati con "DateiBeenden" ("FileClose"),
  25179. "DateiNeu" ("File/Nuovo") e "DateiOeffnen" ("File/Apri"),
  25180. poichΘ alla fine di "DateiOeffnen" ("File/Apri") la macro
  25181. "Telefonica" Φ chiamata nuovamente.  
  25182. I documenti infetti sono trasformati in file di modello, 
  25183. evenienza molto comune per i virus da macro.
  25184.  
  25185. Tele ha due procedure distruttive. 
  25186. La prima si pu≥ trovare nella macro "DateiDrucken" (FileStampa). 
  25187. Stampando un documento, Tele controlla l'ora di sistema, ed 
  25188. in caso di valori inferiori a 10 nel campo dei secondi, aggiunge 
  25189. il seguente testo alla fine dei documenti salvati:
  25190.  
  25191. "   Lucifer by Nightmare Joker (1996)   "
  25192.  
  25193. La seconda procedura Φ attivata dalla macro "Telefonica" quando il 
  25194. campo dei secondi ha un valore di 0 o 1. ("Telefonica" Φ chiamata da 
  25195. "AutoOpen", "AutoExec" e "DateiOeffnen"). In questo caso, Tele crea 
  25196. uno script di Debug, (nome del file TELEFONI.SCR), nella 
  25197. cartella "C:\DOS" che comprende il virus basato sul DOS 
  25198. "Kampana.3784".
  25199.  
  25200. Dopo aver creato il file script fil, LBYNJ esegue il file batch
  25201. "TELEFONI.BAT" che usa il comando DOS "DEBUG.EXE" per convertire 
  25202. il file script in un eseguibile virus basato sul 
  25203. DOS e lo avvia.
  25204.  
  25205. [Word_Temple.A]
  25206. Nome del virus: Word.Temple.A
  25207. Tipo di Virus: Virus da macro di Word
  25208. Numero di Macro: 4
  25209. Criptato: No
  25210. Nomi delle Macro: AutoOpen (TempAutoOpen), TempAutoExec (AutoExec)
  25211.              TempFile/Apri (File/Apri), TempFile/Salva (File/Salva)
  25212. Lunghezza della Macro: 1011 Byte
  25213. Paese di origine: Sconosciuto
  25214. Data di origine: Primavera 1997
  25215. Distruttivo: No
  25216. Rilevato In The Wild: No
  25217. Descrizione:
  25218.  
  25219. Temple Φ un altro virus che infetta solamente
  25220.  
  25221. Temple.A infetta il modello di documento principale (normal.dot) 
  25222. quando un documento infetto Φ aperto. 
  25223. Altri documenti sono infettati quando vengono aperti (AutoOpen) o salvati
  25224. (File/Salva con nome).
  25225.  
  25226. [Word_Theatre.A (a.k.a Taiwan.Theater)]
  25227. Nome del virus: Word.Theatre.A (a.k.a Taiwan.Theater)
  25228. Tipo di Virus: Virus da macro di Word
  25229. Numero di Macro: 6
  25230. Criptato: Si
  25231. Nomi delle Macro: AutoOpen, CK, CK1, DocClose, FileClose, 
  25232. Strumenti/Macro
  25233. Lunghezza della Macro: 7495 Byte
  25234. Paese di origine: Taiwan
  25235. Data di origine: Sconosciuta
  25236. Distruttivo: Si
  25237. Rilevato In The Wild: No
  25238. Descrizione:
  25239.  
  25240. Theatre Φ un altro virus da macro scritto per la versione
  25241. Taiwanese/Cinese di Microsoft Word.
  25242.  
  25243. Quando viene aperto un file infetto si attiva. 
  25244. Il primo di ogni mese, Theatre si avvia e cancella tutti i file 
  25245. directory principale di C:\. Questo rende il computer inavviabile.
  25246.  
  25247. Sono mostrati i seguenti messaggi:
  25248.  
  25249. "   TAIWAN THEATRE VIRUS by Dark Word   "
  25250. "   Hay..Hay..YOU GOT A THEATRE VIRUS.   "
  25251.  
  25252. [Word_Theater.B]
  25253. Nome del virus: Word.Theatre.B
  25254. Tipo di Virus: Virus da macro di Word
  25255. Numero di Macro: 4
  25256. Criptato: Si
  25257. Nomi delle Macro: CK, DocClose, FileClose, Strumenti/Macro
  25258. Lunghezza della Macro: 7495 Byte
  25259. Paese di origine: Taiwan
  25260. Data di origine: Sconosciuta
  25261. Distruttivo: Si
  25262. Rilevato In The Wild: No
  25263. Descrizione:
  25264.  
  25265. Theatre.B Φ un altro virus da macro scritto per la versione
  25266. Taiwanese/Cinese di Microsoft Word.
  25267.  
  25268. La differenza tra questa nuova versione e l'originale virus
  25269. Theatre Φ la data di avvio ed i messaggi mostrati.
  25270.  
  25271. Theatre.B cancella tutti i file directory principale di C:\. 
  25272. Il 15 di ogni mese.
  25273.  
  25274. Mostra il seguente messaggio:
  25275.  
  25276. "   THEATRE   "
  25277.  
  25278. Theatre.B contiene errori nella macro
  25279. "FileClose", non riesce cos∞ a fare altre infezioni.
  25280.  
  25281. [Word_Toten.A:De]
  25282. Nome del virus: Word.Toten.A:De
  25283. Tipo di Virus: Virus da macro di Word
  25284. Numero di Macro: 2
  25285. Criptato: Si
  25286. Nomi delle Macro: README, AutoOpen (DateiSpeichern)
  25287. Lunghezza della Macro: 2057 Byte
  25288. Paese di origine: Germania
  25289. Data di origine: Primavera 1997
  25290. Payload: Si
  25291. Rilevato In The Wild: Si
  25292. Descrizione:
  25293.  
  25294. Toten infetta il modello di documento principale (normal.dot) 
  25295. quando un documento infetto Φ aperto. 
  25296. Altri documenti sono infettati quando vengono salvati (DateiSpeichern).
  25297.  
  25298. Quando Toten si avvia, cripta i documenti con delle password quasi 
  25299. casuali. Se si trova un documento con una password sconosciuta,
  25300. bisogna scaricare una copia di WinWord Password Recovery Tool
  25301. (wwprt).  E' disponibile all'indirizzo: www.vdsarg.com.
  25302.  
  25303. Quando un documento sarα salvato il primo Febbraio del 2000, Toten 
  25304. mostrerα il seguente messaggio in tedesco:
  25305.  
  25306. "   Der Virus wurde von M.N. aus Schwelm (BRD)am 08.06.1996   "
  25307. "   programmiert. Ich bin ein Hosen Fan.    "
  25308.  
  25309. Toten contiene molti altri commenti circa gruppi di musica punk tedeschi: 
  25310. "  Die Toten Hosen  ".
  25311.  
  25312. Toten.A usa il linguaggio specifico delle macro, quindi lavora 
  25313. solamente con la versione tedesca di Microsoft Word.
  25314.  
  25315. [Word_Twister.A]
  25316. Nome del virus: Word.Twister.A
  25317. Tipo di Virus: Virus da macro di Word
  25318. Numero di Macro: 8
  25319. Criptato: No
  25320. Nomi delle Macro: File/Salva con nome, AutoExec, twAC, File/Salva, 
  25321. AutoExit,
  25322.              twFC, twFE, twFQ, twFSA, twAE, AutoClose, twFS,
  25323.              twEX, FileClose, File/Esci, FileQuit
  25324. Lunghezza della Macro: 4628 Byte
  25325. Paese di origine: Sconosciuto
  25326. Data di origine: Sconosciuta
  25327. Payload: No
  25328. Rilevato In The Wild: No
  25329. Descrizione:
  25330.  
  25331. Twister Φ un virus molto semplice virus che non si riproduce.
  25332. E' composto di due macro: una per infettare il modello di 
  25333. documento principale l'altra per infettare i documenti. 
  25334. Le cambia durante l'attivazione e durante l'infezione.
  25335.  
  25336. La macro AutoExec contiene la seguente stringa:
  25337.  
  25338. "   Twister 2000" v.1 (c) Neo-Luddite Inc.   "
  25339. "   For Robin Hood   "
  25340.  
  25341. [Word_TWNO.A (a.k.a. Taiwan_1)]
  25342. Nome del virus: Word.TWNO.A (a.k.a. Taiwan_1)
  25343. Tipo di Virus: Virus da macro di Word
  25344. Numero di Macro: 1 o 3
  25345. Criptato: No
  25346. Nomi delle Macro: AutoOpen, AutoNew, AutoClose
  25347. Lunghezza della Macro: 1567 Byte nei file con estensione *.DOC
  25348.                 4701 Byte in modello di documento principale
  25349. Paese di origine: Taiwan
  25350. Data di origine: Sconosciuta
  25351. Payload: Si
  25352. Rilevato In The Wild: Si
  25353. Descrizione:
  25354.  
  25355. TWNO fu il primo virus da macro scritto per la versione 
  25356. Taiwanese/Cinese di Microsoft Word.
  25357.  
  25358. TWNO infetta il modello di documento principale (normal.dot) 
  25359. quando un documento infetto Φ aperto.  Altri documenti si
  25360. infettano quando vengono aperti (AutoOpen), chiusi
  25361. (AutoClose) o quando viene creato un nuovo documento (AutoNew).
  25362.  
  25363. Mentre TWNO ha solo una macro  nei documenti infetti,
  25364. copia e rinomina 3 macro nel modello di documento principale.
  25365.  
  25366. Il 13 di ogni mese TWNO inserisce testo nel documento attivo 
  25367. e mostra il seguente messaggio:
  25368.  
  25369. "   NO_1 Macro Virus   "
  25370.  
  25371. [Word_TWNO.B (a.k.a. KillMario)]
  25372. Nome del virus: Word.TWNO.B (a.k.a. KillMario)
  25373. Tipo di Virus: Virus da macro di Word
  25374. Numero di Macro: 1 o 3
  25375. Criptato: No
  25376. Nomi delle Macro: AutoExec, AutoNew, AutoClose
  25377. Lunghezza della Macro: 1387 Byte nei file con estensione *.DOC
  25378.                 4161 Byte in modello di documento principale
  25379. Paese di origine: Taiwan
  25380. Data di origine: Sconosciuta
  25381. Payload: No
  25382. Rilevato In The Wild: No
  25383. Descrizione:
  25384.  
  25385. TWNO.B Φ un altro virus scritto per la versione Taiwanese/
  25386. Cinese di Microsoft Word.
  25387.  
  25388. La differenza tra questa nuova versione e l'originale virus
  25389. TWNO.A Φ che TWNO.B contiene la macro "AutoExec"
  25390. Invece della macro "AutoOpen".
  25391.  
  25392. Questa prima generazione non Φ in grado di infettare altri documenti. 
  25393. Microsoft Word Φ bloccate quando l'utente avvia Word da un modello di 
  25394. documento principale giα infetto.
  25395.  
  25396. [Word.TWNO.C]
  25397. Nome del virus: Word.TWNO.C
  25398. Tipo di Virus: Virus da macro di Word
  25399. Numero di Macro: 1 o 3 (modello di documento principale)
  25400. Criptato: No
  25401. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25402. Lunghezza della Macro: 1404 Byte nei documenti
  25403.                 4212 Byte in modello di documento principale
  25404. Paese di origine: Taiwan
  25405. Data di origine: Autunno 1996
  25406. Distruttivo: Si
  25407. Rilevato In The Wild: No
  25408. Descrizione:
  25409.  
  25410. TWNO.C Φ un altro virus scritto per la versione Taiwanese/
  25411. Cinese di Microsoft Word.
  25412.  
  25413. La differenza tra questa nuova versione e l'originale virus
  25414. TWNO.A Φ che TWNO.C contiene la macro "AutoExec"
  25415. Invece della macro "AutoOpen".
  25416.  
  25417. TWNO.C infetta il modello di documento principale quando Φ aperto 
  25418. un documento infetto. Altri documenti divengono infetti
  25419. quando vengono chiusi (AutoClose), creati (AutoNew) o
  25420. aperti (AutoOpen).
  25421.  
  25422. Mentre TWNO.B non Φ in grado di infettare altri documenti
  25423. TWNO.C Φ capace di infettare altri documenti ed esegue anche le 
  25424. proprie procedure distruttive.
  25425.  
  25426. Il 28 di ogni mese, TWNO.C pone  una domanda , ed in base alla risposta, 
  25427. esegue solo una delle sue procedure:
  25428.  
  25429. 1. Cancella CONFIG.SYS, AUTOEXEC.BAT, eCOMMAND.COM!
  25430.  
  25431. 2. Cancella tutti i file in C:\DOS e la cartella C:\ET3.
  25432.  
  25433. Il primo di ogni mese, TWNO.C cancella i seguenti file:
  25434.  
  25435. C:\COMMAND.COM
  25436. C:\AUTOEXEC.BAT
  25437. C:\CONFIG.SYS
  25438.  
  25439. [Word_TWNO.D]
  25440. Nome del virus: Word.TWNO.D
  25441. Tipo di Virus: Virus da macro di Word
  25442. Numero di Macro: 1 o 3 (modello di documento principale)
  25443. Criptato: No
  25444. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25445. Lunghezza della Macro: 2105 Byte nei documenti
  25446.                 6315 Byte in modello di documento principale
  25447. Paese di origine: Taiwan
  25448. Data di origine: Autunno 1996
  25449. Distruttivo: Si
  25450. Rilevato In The Wild: No
  25451. Descrizione:
  25452.  
  25453. TWNO.D Φ un altro virus scritto per la versione Taiwanese/
  25454. Cinese di Microsoft Word. Paragonato ai precedenti virus TWNO, 
  25455. il suo codice in WordBasic Φ stato riscritto.
  25456.  
  25457. TWNO.D infetta il modello di documento principale quando Φ aperto 
  25458. un documento infetto. Altri documenti divengono infetti quando 
  25459. sono chiusi (AutoClose), creati (AutoNew) o aperti (AutoOpen).
  25460.  
  25461. Il 25 di ogni mese, TWNO.D cambia gli argomenti del men∙ di Word
  25462. E pone una domanda all'utente. In base alla risposta,  
  25463. cancella i seguenti file:
  25464.  
  25465. "C:\DOS\*.*"
  25466. "C:\WINDOWS\*.INI"
  25467.  
  25468. DopodichΘ TWNO.D mostra 3 diversi messaggi.
  25469.  
  25470. Il 15 di ogni mese, TWNO.D cancella i seguenti file:
  25471.  
  25472. "C:\COMMAND.COM"
  25473. "C:\CONFIG.SYS"
  25474. "C:\MSDOS.SYS"
  25475. "C:\IO.SYS"
  25476.  
  25477. [Word_TWNO.K]
  25478. Nome del virus: Word.TWNO.K
  25479. Tipo di Virus: Virus da macro di Word
  25480. Numero di Macro: 1 o 3 (modello di documento principale)
  25481. Criptato: No
  25482. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25483. Lunghezza della Macro: 1403 Byte nei documenti
  25484.                 4209 Byte in modello di documento principale
  25485. Paese di origine: Taiwan
  25486. Data di origine: Autunno 1996
  25487. Distruttivo: Si
  25488. Rilevato In The Wild: No
  25489. Descrizione:
  25490.  
  25491. TWNO.K Φ un altro virus scritto per la versione Taiwanese/
  25492. Cinese di Microsoft Word.
  25493.  
  25494. La differenza tra questa nuova versione ed il precedente virus
  25495. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25496.  
  25497. TWNO.K infetta il modello di documento principale quando Φ aperto 
  25498. un documento infetto. Altri documenti divengono infetti 
  25499. quando sono chiusi (AutoClose), creati (AutoNew) o aperti (AutoOpen).
  25500.  
  25501. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25502.  
  25503. [Word_TWNO.L]
  25504. Nome del virus: Word.TWNO.L
  25505. Tipo di Virus: Virus da macro di Word
  25506. Numero di Macro: 1 o 3 (modello di documento principale)
  25507. Criptato: No
  25508. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25509. Lunghezza della Macro: 1402 Byte nei documenti
  25510.                 4206 Byte in modello di documento principale
  25511. Paese di origine: Taiwan
  25512. Data di origine: Autunno 1996
  25513. Distruttivo: Si
  25514. Rilevato In The Wild: No
  25515. Descrizione:
  25516.  
  25517. TWNO.L Φ un altro virus scritto per la versione Taiwanese/
  25518. Cinese di Microsoft Word.
  25519.  
  25520. La differenza tra questa nuova versione ed il precedente virus
  25521. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25522.  
  25523. TWNO.L infetta il modello di documento principale quando 
  25524. Φ aperto un documento infetto. Altri documenti divengono 
  25525. infetti quando sono chiusi (AutoClose), creati (AutoNew) 
  25526. o aperti (AutoOpen).
  25527.  
  25528. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25529.  
  25530.  
  25531.  
  25532. [Word_TWNO.M]
  25533. Nome del virus: Word.TWNO.M
  25534. Tipo di Virus: Virus da macro di Word
  25535. Numero di Macro: 1 o 3 (modello di documento principale)
  25536. Criptato: No
  25537. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25538. Lunghezza della Macro: 1392 Byte nei documenti
  25539.                 4176 Byte in modello di documento principale
  25540. Paese di origine: Taiwan
  25541. Data di origine: Autunno 1996
  25542. Distruttivo: Si
  25543. Rilevato In The Wild: No
  25544. Descrizione:
  25545.  
  25546. TWNO.M Φ un altro virus scritto per la versione Taiwanese/
  25547. Cinese di Microsoft Word.
  25548.  
  25549. La differenza tra questa nuova versione ed il precedente virus
  25550. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25551.  
  25552. TWNO.M infetta il modello di documento principale quando 
  25553. Φ aperto un documento infetto. Altri documenti divengono 
  25554. infetti quando sono chiusi (AutoClose), creati (AutoNew) 
  25555. o aperti (AutoOpen).
  25556.  
  25557. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25558.  
  25559.  
  25560.  
  25561. [Word_TWNO.N]
  25562. Nome del virus: Word.TWNO.N
  25563. Tipo di Virus: Virus da macro di Word
  25564. Numero di Macro: 1 o 3 (modello di documento principale)
  25565. Criptato: No
  25566. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25567. Lunghezza della Macro: 1264 Byte nei documenti
  25568.                 3792 Byte in modello di documento principale
  25569. Paese di origine: Taiwan
  25570. Data di origine: Autunno 1996
  25571. Distruttivo: Si
  25572. Rilevato In The Wild: No
  25573. Descrizione:
  25574.  
  25575. TWNO.N Φ un altro virus scritto per la versione Taiwanese/
  25576. Cinese di Microsoft Word.
  25577.  
  25578. La differenza tra questa nuova versione ed il precedente virus
  25579. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25580.  
  25581. TWNO.N infetta il modello di documento principale quando Φ 
  25582. aperto un documento infetto. 
  25583. Altri documenti divengono infetti quando sono chiusi (AutoClose), 
  25584. creati (AutoNew) o aperti (AutoOpen).
  25585.  
  25586. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25587.  
  25588.  
  25589. [Word_TWNO.O]
  25590. Nome del virus: Word.TWNO.O
  25591. Tipo di Virus: Virus da macro di Word
  25592. Numero di Macro: 1 o 3 (modello di documento principale)
  25593. Criptato: No
  25594. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25595. Lunghezza della Macro: 1406 Byte nei documenti
  25596.                 4218 Byte in modello di documento principale
  25597. Paese di origine: Taiwan
  25598. Data di origine: Autunno 1996
  25599. Distruttivo: Si
  25600. Rilevato In The Wild: No
  25601. Descrizione:
  25602.  
  25603. TWNO.O Φ un altro virus scritto per la versione Taiwanese/
  25604. Cinese di Microsoft Word.
  25605.  
  25606. La differenza tra questa nuova versione ed il precedente virus
  25607. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25608.  
  25609. TWNO.O infetta il modello di documento principale quando Φ 
  25610. aperto un documento infetto. Altri documenti divengono infetti 
  25611. quando sono chiusi (AutoClose), creati (AutoNew) o aperti (AutoOpen).
  25612.  
  25613. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25614.  
  25615.  
  25616.  
  25617. [Word_TWNO.P]
  25618. Nome del virus: Word.TWNO.P
  25619. Tipo di Virus: Virus da macro di Word
  25620. Numero di Macro: 1 o 3 (modello di documento principale)
  25621. Criptato: No
  25622. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25623. Lunghezza della Macro: 1404 Byte nei documenti
  25624.                 4212 Byte in modello di documento principale
  25625. Paese di origine: Taiwan
  25626. Data di origine: Autunno 1996
  25627. Distruttivo: Si
  25628. Rilevato In The Wild: No
  25629. Descrizione:
  25630.  
  25631. TWNO.P Φ un altro virus scritto per la versione Taiwanese/
  25632. Cinese di Microsoft Word.
  25633.  
  25634. La differenza tra questa nuova versione ed il precedente virus
  25635. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25636.  
  25637. TWNO.P infetta il modello di documento principale quando Φ 
  25638. aperto un documento infetto. Altri documenti divengono infetti 
  25639. quando sono chiusi (AutoClose), creati (AutoNew) o aperti (AutoOpen).
  25640.  
  25641. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25642.  
  25643.  
  25644. [Word_TWNO.Q]
  25645. Nome del virus: Word.TWNO.Q
  25646. Tipo di Virus: Virus da macro di Word
  25647. Numero di Macro: 1 o 3 (modello di documento principale)
  25648. Criptato: No
  25649. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25650. Lunghezza della Macro: 1286 Byte nei documenti
  25651.                 3858 Byte in modello di documento principale
  25652. Paese di origine: Taiwan
  25653. Data di origine: Autunno 1996
  25654. Distruttivo: Si
  25655. Rilevato In The Wild: No
  25656. Descrizione:
  25657.  
  25658. TWNO.Q Φ un altro virus scritto per la versione Taiwanese/
  25659. Cinese di Microsoft Word.
  25660.  
  25661. La differenza tra questa nuova versione ed il precedente virus
  25662. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25663.  
  25664. TWNO.Q infetta il modello di documento principale quando Φ 
  25665. aperto un documento infetto. Altri documenti divengono infetti 
  25666. quando sono chiusi (AutoClose), creati (AutoNew) o aperti (AutoOpen).
  25667.  
  25668. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25669.  
  25670.  
  25671. [Word_TWNO.R]
  25672. Nome del virus: Word.TWNO.R
  25673. Tipo di Virus: Virus da macro di Word
  25674. Numero di Macro: 1 o 3 (modello di documento principale)
  25675. Criptato: No
  25676. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25677. Lunghezza della Macro: 1214 Byte nei documenti
  25678.                          3642 Byte in modello di documento principale
  25679. Paese di origine: Taiwan
  25680. Data di origine: Autunno 1996
  25681. Distruttivo: Si
  25682. Rilevato In The Wild: No
  25683. Descrizione:
  25684.  
  25685. TWNO.R Φ un altro virus scritto per la versione Taiwanese/
  25686. Cinese di Microsoft Word.
  25687.  
  25688. La differenza tra questa nuova versione ed il precedente virus
  25689. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25690.  
  25691. TWNO.R infetta il modello di documento principale quando Φ 
  25692. aperto un documento infetto. Altri documenti divengono 
  25693. infetti quando sono chiusi (AutoClose), creati (AutoNew) 
  25694. o aperti (AutoOpen).
  25695.  
  25696. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25697.  
  25698.  
  25699. [Word_TWNO.S]
  25700. Nome del virus: Word.TWNO.S
  25701. Tipo di Virus: Virus da macro di Word
  25702. Numero di Macro: 1 o 3 (modello di documento principale)
  25703. Criptato: No
  25704. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25705. Lunghezza della Macro: 1212 Byte nei documenti
  25706.                 3636 Byte in modello di documento principale
  25707. Paese di origine: Taiwan
  25708. Data di origine: Autunno 1996
  25709. Distruttivo: Si
  25710. Rilevato In The Wild: No
  25711. Descrizione:
  25712.  
  25713. TWNO.S Φ un altro virus scritto per la versione Taiwanese/
  25714. Cinese di Microsoft Word.
  25715.  
  25716. La differenza tra questa nuova versione ed il precedente virus
  25717. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25718.  
  25719. TWNO.S infetta il modello di documento principale quando 
  25720. Φ aperto un documento infetto. Altri documenti divengono 
  25721. infetti quando sono chiusi (AutoClose), creati (AutoNew) o aperti (AutoOpen).
  25722.  
  25723. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25724.  
  25725.  
  25726. [Word_TWNO.T]
  25727. Nome del virus: Word.TWNO.T
  25728. Tipo di Virus: Virus da macro di Word
  25729. Numero di Macro: 1 o 3 (modello di documento principale)
  25730. Criptato: No
  25731. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25732. Lunghezza della Macro: 1206 Byte nei documenti
  25733.                 3618 Byte in modello di documento principale
  25734. Paese di origine: Taiwan
  25735. Data di origine: Autunno 1996
  25736. Distruttivo: Si
  25737. Rilevato In The Wild: No
  25738. Descrizione:
  25739.  
  25740. TWNO.T Φ un altro virus scritto per la versione Taiwanese/
  25741. Cinese di Microsoft Word.
  25742.  
  25743. La differenza tra questa nuova versione ed il precedente virus
  25744. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25745.  
  25746. TWNO.T infetta il modello di documento principale quando Φ 
  25747. aperto un documento infetto. 
  25748. Altri documenti divengono infetti quando sono chiusi (AutoClose), 
  25749. creati (AutoNew) o aperti (AutoOpen).
  25750.  
  25751. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25752.  
  25753.  
  25754. [Word_TWNO.U]
  25755. Nome del virus: Word.TWNO.U
  25756. Tipo di Virus: Virus da macro di Word
  25757. Numero di Macro: 1 o 3 (modello di documento principale)
  25758. Criptato: No
  25759. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25760. Lunghezza della Macro: 970 Byte nei documenti
  25761.                 2910 Byte in modello di documento principale
  25762. Paese di origine: Taiwan
  25763. Data di origine: Autunno 1996
  25764. Distruttivo: Si
  25765. Rilevato In The Wild: No
  25766. Descrizione:
  25767.  
  25768. TWNO.U Φ un altro virus scritto per la versione Taiwanese/
  25769. Cinese di Microsoft Word.
  25770.  
  25771. La differenza tra questa nuova versione ed il precedente virus
  25772. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25773.  
  25774. TWNO.U infetta il modello di documento principale quando Φ aperto 
  25775. un documento infetto. 
  25776. Altri documenti divengono infetti quando sono chiusi (AutoClose), 
  25777. creati (AutoNew) o aperti (AutoOpen).
  25778.  
  25779. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25780.  
  25781.  
  25782. [Word_TWNO.V]
  25783. Nome del virus: Word.TWNO.V
  25784. Tipo di Virus: Virus da macro di Word
  25785. Numero di Macro: 1 o 3 (modello di documento principale)
  25786. Criptato: No
  25787. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25788. Lunghezza della Macro: 924 Byte nei documenti
  25789.                 2772 Byte in modello di documento principale
  25790. Paese di origine: Taiwan
  25791. Data di origine: Autunno 1996
  25792. Distruttivo: Si
  25793. Rilevato In The Wild: No
  25794. Descrizione:
  25795.  
  25796. TWNO.V Φ un altro virus scritto per la versione Taiwanese/
  25797. Cinese di Microsoft Word.
  25798.  
  25799. La differenza tra questa nuova versione ed il precedente virus
  25800. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25801.  
  25802. TWNO.V infetta il modello di documento principale quando Φ aperto 
  25803. un documento infetto. 
  25804. Altri documenti divengono infetti quando sono chiusi (AutoClose), 
  25805. creati (AutoNew) o aperti (AutoOpen).
  25806.  
  25807. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25808.  
  25809.  
  25810. [Word_TWNO.W]
  25811. Nome del virus: Word.TWNO.W
  25812. Tipo di Virus: Virus da macro di Word
  25813. Numero di Macro: 1 o 3 (modello di documento principale)
  25814. Criptato: No
  25815. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25816. Lunghezza della Macro: 888 Byte nei documenti
  25817.                 2664 Byte in modello di documento principale
  25818. Paese di origine: Taiwan
  25819. Data di origine: Autunno 1996
  25820. Distruttivo: Si
  25821. Rilevato In The Wild: No
  25822. Descrizione:
  25823.  
  25824. TWNO.W Φ un altro virus scritto per la versione Taiwanese/
  25825. Cinese di Microsoft Word.
  25826.  
  25827. La differenza tra questa nuova versione ed il precedente virus
  25828. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25829.  
  25830. TWNO.W infetta il modello di documento principale quando Φ 
  25831. aperto un documento infetto. 
  25832. Altri documenti divengono infetti quando sono chiusi (AutoClose), 
  25833. creati (AutoNew) o aperti (AutoOpen).
  25834.  
  25835. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25836.  
  25837.  
  25838. [Word_TWNO.X]
  25839. Nome del virus: Word.TWNO.X
  25840. Tipo di Virus: Virus da macro di Word
  25841. Numero di Macro: 1 o 3 (modello di documento principale)
  25842. Criptato: No
  25843. Nomi delle Macro: AutoOpen (AutoNew, AutoClose)
  25844. Lunghezza della Macro: 872 Byte nei documenti
  25845.                 2616 Byte in modello di documento principale
  25846. Paese di origine: Taiwan
  25847. Data di origine: Autunno 1996
  25848. Distruttivo: Si
  25849. Rilevato In The Wild: No
  25850. Descrizione:
  25851.  
  25852. TWNO.X Φ un altro virus scritto per la versione Taiwanese/
  25853. Cinese di Microsoft Word.
  25854.  
  25855. La differenza tra questa nuova versione ed il precedente virus
  25856. TWNO.C Φ che il suo codice Φ stato leggermente modificato.
  25857.  
  25858. TWNO.X infetta il modello di documento principale quando Φ 
  25859. aperto un documento infetto. 
  25860. Altri documenti divengono infetti quando sono chiusi (AutoClose), 
  25861. creati (AutoNew) o aperti (AutoOpen).
  25862.  
  25863. Per ulteriori informazioni, vedere la descrizione di TWNO.C.
  25864.  
  25865.  
  25866. [Word_TwoLines.A]
  25867. Nome del virus: Word.TwoLines.A
  25868. Tipo di Virus: Virus da macro di Word
  25869. Numero di Macro: 5 e 4 per A1
  25870. Criptato: Si
  25871. Nomi delle Macro: MSRun, AutoExec, AutoOpen, AutoClose, File/Salva con nome
  25872. Lunghezza della Macro: 1817 Byte or 1767 Byte
  25873. Paese di origine: Sconosciuto
  25874. Data di origine: Febbraio 1997
  25875. Distruttivo: No
  25876. Rilevato In The Wild: No
  25877. Descrizione:
  25878.  
  25879. TwoLines infetta il modello di documento principale quando Φ aperto 
  25880. un documento infetto (AutoOpen) o chiuso (AutoClose).
  25881. Come il nome suggerisce , aggiunge 2 righe vuote nel documento attivo quando il campo dei secondi dell'ora di sistema Φ 20. Responsabile di questa azione Φ la macro "MsRun".
  25882.  
  25883. La macro "File/Salva con nome trasforma tutti i documenti in file di modello, ma non li infetta.
  25884.  
  25885. Twolines.A si trasforma in Twolines.A1, che non contiene la macro "File/Salva con nome".
  25886.  
  25887. PerchΘ ci≥ avvenga ci devono essere diverse condizioni:
  25888.  
  25889. 1. Le AutoMacro sono disabilitate quando viene aperto un documento infetto.
  25890. 2. Un documento Φ chiuso (AutoClose).
  25891. 3. Il modello di documento principale contiene delle macro.
  25892.  
  25893. [Word_UglyKid.A]
  25894. Nome del virus: Word.Uglykid.A
  25895. Tipo di Virus: Virus da macro di Word
  25896. Numero di Macro: 3-4
  25897. Criptato: Si
  25898. Nomi delle Macro: AutoOpen, (Strumenti/Macro, File/Salva)
  25899. Lunghezza della Macro: polimorfico
  25900. Paese di origine: Slovakia
  25901. Data di origine: Aprile 1997
  25902. Payload: Si
  25903. Rilevato In The Wild: No
  25904. Descrizione:
  25905.  
  25906. Uglykid.Φ un altro virus polimorfico da macro, che non pu≥ essere 
  25907. individuato con una semplice scansione o con un esatto rilievo CRC.
  25908.  
  25909. UglyKid.A utilizza "Strumenti/Macro" per rendere l'individuazione 
  25910. di un documento infetto pi∙ difficile (chiamata tecnica macro stealth).
  25911. Elimina i men∙ da File|Templates cos∞ che l'utente non possa cercare le 
  25912. macro del virus in un sistema infetto.
  25913. Si avvisa di non selezionare il men∙ "Strumenti/Macro" finchΘ Φ usato per 
  25914. eseguire il codice del virus.
  25915.  
  25916. UglyKid.A infetta anche altri documenti quando Φ usato il 
  25917. comando "File/Salva".
  25918.  
  25919.  
  25920. La maggior parte degli altri virus polimorfici sono evidenti agli utenti, 
  25921. UglyKid.A cerca di nascondere la editing
  25922. bar della macro. Invece mostra una barra grigia.
  25923.  
  25924. La procedura di UglyKid.A cambia "User Info" con il men∙
  25925. Tool|Option. Aggiunge i seguenti commenti:
  25926.  
  25927. "   Name: Nasty   "
  25928.  
  25929. "   Initial: Ugly   "
  25930.  
  25931. Per individuare UglyKid.A, avvertiamo di usare un programma antivirus 
  25932. che faccia un valido check sum. 
  25933.  
  25934. [Word_Wallpaper.A]
  25935. Nome del virus: Word.Wallpaper.A
  25936. Tipo di Virus: Virus da macro di Word
  25937. Numero di Macro: 2 (o 5)
  25938. Criptato: No
  25939. Nomi delle Macro: AutoOpen, FilePrint (Strumenti/Macro, 
  25940. FileTemplates e ToolsCustomize)
  25941. Lunghezza della Macro: 7353 Byte nei documenti
  25942.                 29088 Byte in modello di documento principale
  25943. Paese di origine: Sconosciuto
  25944. Data di origine: Primavera 1997
  25945. Payload: Si
  25946. Rilevato In The Wild: No
  25947. Descrizione:
  25948.  
  25949. Wallpaper.A infetta il modello di documento principale (normal.dot) 
  25950. quando un documento infetto Φ aperto. 
  25951. Altri documenti si infettano quando vengono aperti (AutoOpen) 
  25952. o quando viene selezionato uno dei seguenti men∙:
  25953.  
  25954. FilePrint
  25955. FileTemplates
  25956. Strumenti/Macro
  25957. ToolsCustomize
  25958.  
  25959. Wallpaper utilizza FileTemplate, ToolsCustomize e Strumenti/Macro
  25960. per rendere l'identificazione di un documento infetto pi∙ difficile
  25961. (chiamata tecnica macro stealth).
  25962.  
  25963. Il 32 di ogni mese, Wallpaper inserisce un'immagine di un teschio (SK2.BMP). 
  25964. Quindi modifica AUTOEXEC.BAT e
  25965. WIN.INI per cambiare le immagini dello sfondo di Windows.
  25966.  
  25967. Il seguente file Φ creato anche nella cartella C:\WINDOWS:
  25968.  
  25969. "   REGSK2.REG   "
  25970.  
  25971. Wallpaper mostra anche il seguente messaggio il 31 di ogni mese:
  25972.  
  25973. "   [!!!PIRATE VIRUS!!!]--Active! The [PIRATE VIRUS] has pillaged   "
  25974. "   your computer! GO BACK TO MS-WORD??   "
  25975.  
  25976. [Word_Weather.A:Tw (aka Fish)]
  25977. Nome del virus: Word.Weather.A:Tw (aka Fish)
  25978. Tipo di Virus: Virus da macro di Word
  25979. Numero di Macro: 4
  25980. Criptato: Si
  25981. Nomi delle Macro: AutoOpen, AutoNew, AutoExec,Tools/Macro
  25982. Lunghezza della Macro: 4849 Byte
  25983. Paese di origine: Taiwan
  25984. Data di origine: 1996
  25985. Payload: Si
  25986. Rilevato In The Wild: Si
  25987. Descrizione:
  25988.  
  25989. Weather.A si attiva quando viene aperto un documento infetto.
  25990. Mostra un messaggio e pone all'utente una domanda. 
  25991. Per poter continuare a lavorare, l'utente deve inserire la risposta giusta.
  25992.  
  25993. Utilizza "Strumenti/Macro" per rendere l'individuazione 
  25994. di un documento infetto pi∙ difficile (chiamata tecnica macro stealth).
  25995.  
  25996. Weather lavora solamente con la versione Cinese/Taiwanese 
  25997. di Microsoft Word.
  25998.  
  25999. [Word_Wazzu.A]
  26000. Nome del virus: Word.Wazzu.A
  26001. Tipo di Virus: Virus da macro di Word
  26002. Numero di Macro: 1
  26003. Criptato: No
  26004. Nomi delle Macro: AutoOpen
  26005. Lunghezza della Macro: 632 Byte
  26006. Paese di origine: Washington, USA
  26007. Data di origine: Inviato su Usenet in Aprile 1996
  26008. Distruttivo: Si
  26009. Rilevato In The Wild: Si
  26010. Descrizione:
  26011.  
  26012. Quando viene aperto un documento infetto, Wazzu.A controlla 
  26013. il nome del documento attivo. 
  26014. In caso sia "normal.dot", le macro del virus sono copiate 
  26015. dal modello principale al documento aperto. 
  26016. Altrimenti Φ infettato normal.dot.
  26017.  
  26018. Wazzu non controlla che un documento sia giα stato infettato. 
  26019. Sovrascrive semplicemente la macro "autoopen".
  26020.  
  26021. Wazzu ha una procedura distruttiva. 
  26022. Sceglie un numero a caso tra 0 e 1;  se il numero Φ inferire a 0.2 
  26023. (20% di probabilitα), il virus sposta una parola da una parte 
  26024. all'altra del documento.  Questo viene fatto per tre volte. 
  26025. La probabilitα che una parola sia spostata Φ del 48,8%. 
  26026. Dopo la terza volta, Wazzu sceglie a caso un ultimo numero (tra 0 e 1) 
  26027. e se il valore Φ superiore 0.25 (25% di probabilitα), 
  26028. la parola "Wazzu" viene inserita nel documento.
  26029.  
  26030. Dopo che i documenti infetti sono stati puliti, 
  26031. bisogna controllare bene il documento. 
  26032. Infatti la probabilitα che un documento sia stato modificato 
  26033. (parole spostate o aggiunte) Φ superiore al 61% . 
  26034. Questo pu≥ essere un lavoro lungo per i documenti molto grandi.
  26035.  
  26036. Wazzu Φ il soprannome della "Washington State University".
  26037.  
  26038. Wazzu.A Φ stato anche convertito nel formato di Word97 (Word8).
  26039.  
  26040. [Word_Wazzu.AA]
  26041. Nome del virus: Word.Wazzu.AA
  26042. Tipo di Virus: Virus da macro di Word
  26043. Numero di Macro: 1
  26044. Criptato: No
  26045. Nomi delle Macro: AutoOpen
  26046. Lunghezza della Macro: 1624 Byte
  26047. Paese di origine: Sconosciuto
  26048. Data di origine: 1997
  26049. Distruttivo: No
  26050. Rilevato In The Wild: No
  26051. Descrizione:
  26052.  
  26053. La differenza tra questa nuova versione e l'originale virus
  26054. Wazzu.A Φ che Wazzu.AA non aggiunge la parola
  26055. "wazzu" ai nuovi documenti aperti.
  26056.  
  26057. Wazzu.AA infetta il modello di documento principale (normal.dot) 
  26058. quando un documento infetto Φ aperto. 
  26059. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26060.  
  26061. [Word_Wazzu.AB]
  26062. Nome del virus: Word.Wazzu.AB
  26063. Tipo di Virus: Virus da macro di Word
  26064. Numero di Macro: 1
  26065. Criptato: No
  26066. Nomi delle Macro: AutoOpen
  26067. Lunghezza della Macro: 323 Byte
  26068. Paese di origine: Australia
  26069. Data di origine: Febbraio 1997
  26070. Distruttivo: No
  26071. Rilevato In The Wild: No
  26072. Descrizione:
  26073.  
  26074. La principale differenza tra questa nuova variante  ed il precedente
  26075. Wazzu Φ che Wazzu.AB Φ un altro virus da macro con alcuni 
  26076. codici modificati e nessuna procedura. 
  26077.  
  26078. Infetta il modello di documento principale (normal.dot) 
  26079. quando un documento infetto Φ aperto. 
  26080. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26081.  
  26082. [Word_Wazzu.AC]
  26083. Nome del virus: Word.Wazzu.AC
  26084. Tipo di Virus: Virus da macro di Word
  26085. Numero di Macro: 1
  26086. Criptato: No
  26087. Nomi delle Macro: AutoOpen
  26088. Lunghezza della Macro: 433 Byte
  26089. Paese di origine: Sconosciuto
  26090. Data di origine: 1997
  26091. Distruttivo: No
  26092. Rilevato In The Wild: No
  26093. Descrizione:
  26094.  
  26095. La principale differenza tra questa nuova variante  ed i 
  26096. precedenti virus Wazzu Φ che Wazzu.AC Φ un altro virus da 
  26097. macro con alcuni codici modificati e nessuna procedura. 
  26098.  
  26099. Infetta il modello di documento principale (normal.dot) 
  26100. quando un documento infetto Φ aperto. 
  26101. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26102.  
  26103. [Word_Wazzu.AD]
  26104. Nome del virus: Word.Wazzu.AD
  26105. Tipo di Virus: Virus da macro di Word
  26106. Numero di Macro: 1
  26107. Criptato: No
  26108. Nomi delle Macro: AutoOpen
  26109. Lunghezza della Macro: 332 Byte
  26110. Paese di origine: Sconosciuto
  26111. Data di origine: 1997
  26112. Distruttivo: No
  26113. Rilevato In The Wild: No
  26114. Descrizione:
  26115.  
  26116. La principale differenza tra questa nuova variante  ed i precedenti 
  26117. virus Wazzu Φ che Wazzu.AD Φ un altro virus da macro con alcuni codici 
  26118. modificati e nessuna procedura. 
  26119.  
  26120. Infetta il modello di documento principale (normal.dot) 
  26121. quando un documento infetto Φ aperto. 
  26122. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26123.  
  26124. [Word_Wazzu.AE]
  26125. Nome del virus: Word.Wazzu.AE
  26126. Tipo di Virus: Virus da macro di Word
  26127. Numero di Macro: 1
  26128. Criptato: No
  26129. Nomi delle Macro: AutoOpen
  26130. Lunghezza della Macro: 618 Byte
  26131. Paese di origine: Sconosciuto
  26132. Data di origine: 1997
  26133. Distruttivo: Si
  26134. Rilevato In The Wild: No
  26135. Descrizione:
  26136.  
  26137. La principale differenza tra questa nuova variante  ed il precedente
  26138. Wazzu Φ che Wazzu.AE ha il codice leggermente modificato.
  26139.  
  26140. Infetta il modello di documento principale (normal.dot) quando 
  26141. un documento infetto Φ aperto. 
  26142. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26143.  
  26144. La procedura Φ simile all'originale virus Wazzu. 
  26145. Ci sono 3 possibilitα su 5 che una parola, nel documento attivo, sia spostata.
  26146.  
  26147. [Word_Wazzu.AF]
  26148. Nome del virus: Word.Wazzu.AF
  26149. Tipo di Virus: Virus da macro di Word
  26150. Numero di Macro: 1
  26151. Criptato: No
  26152. Nomi delle Macro: AutoOpen
  26153. Lunghezza della Macro: 1484 Byte
  26154. Paese di origine: USA
  26155. Data di origine: Dicembre 1996
  26156. Distruttivo: No
  26157. Rilevato In The Wild: No
  26158. Descrizione:
  26159.  
  26160. Wazzu.AF Φ una nuova variante basata sul vecchio Wazzu.D.  
  26161. L'unica differenza tra i due virus Φ che le prime linee 
  26162. bianche sono state cancellate.
  26163.  
  26164. Per ulteriori informazioni, vedere la descrizione di Wazzu.D virus.
  26165.  
  26166. [Word_Wazzu.AG]
  26167. Nome del virus: Word.Wazzu.AG
  26168. Tipo di Virus: Virus da macro di Word
  26169. Numero di Macro: 1
  26170. Criptato: No
  26171. Nomi delle Macro: AutoOpen
  26172. Lunghezza della Macro: 332 Byte
  26173. Paese di origine: Sconosciuto
  26174. Data di origine: 1997
  26175. Distruttivo: No
  26176. Rilevato In The Wild: No
  26177. Descrizione:
  26178.  
  26179. La principale differenza tra questa nuova variante  ed i 
  26180. precedenti virus Wazzu Φ che Wazzu.AG Φ un altro virus da 
  26181. macro con alcuni codici modificati e nessuna procedura. 
  26182.  
  26183. Infetta il modello di documento principale (normal.dot) 
  26184. quando un documento infetto Φ aperto. 
  26185. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26186.  
  26187. [Word_Wazzu.AH]
  26188. Nome del virus: Word.Wazzu.AH
  26189. Tipo di Virus: Virus da macro di Word
  26190. Numero di Macro: 1
  26191. Criptato: No
  26192. Nomi delle Macro: AutoOpen
  26193. Lunghezza della Macro: 557 Byte
  26194. Paese di origine: USA
  26195. Data di origine: Febbraio 1997
  26196. Distruttivo: Si
  26197. Rilevato In The Wild: No
  26198. Descrizione:
  26199.  
  26200. La principale differenza tra questa nuova variante  
  26201. ed i precedenti virus Wazzu Φ che Wazzu.AH ha qualche codice modificato.
  26202.  
  26203. La prima procedura inserisce la parola "YaHoo" invece di "wazzu".
  26204. La seconda procedura, che sposta delle parole da un posto 
  26205. ad un altro, Φ simile a Wazzu.A.
  26206.  
  26207. Wazzu.AH infetta il modello di documento principale quando Φ 
  26208. aperto un documento infetto. Altri documenti divengono infetti
  26209. quando vengono aperti (AutoOpen).
  26210.  
  26211. [Word_Wazzu.AI]
  26212. Nome del virus: Word.Wazzu.AI
  26213. Tipo di Virus: Virus da macro di Word
  26214. Numero di Macro: 1
  26215. Criptato: No
  26216. Nomi delle Macro: AutoOpen
  26217. Lunghezza della Macro: 794 Byte
  26218. Paese di origine: Sconosciuto
  26219. Data di origine: 1997
  26220. Distruttivo: No
  26221. Rilevato In The Wild: No
  26222. Descrizione:
  26223.  
  26224. La principale differenza tra questa nuova variante  ed 
  26225. i precedenti virus Wazzu Φ che Wazzu.AI Φ un altro virus da 
  26226. con alcuni codici modificati e nessuna procedura. 
  26227.  
  26228. Infetta il modello di documento principale (normal.dot) 
  26229. quando un documento infetto Φ aperto. 
  26230. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26231.  
  26232. [Word_Wazzu.AJ]
  26233. Nome del virus: Word.Wazzu.AJ
  26234. Tipo di Virus: Virus da macro di Word
  26235. Numero di Macro: 1
  26236. Criptato: No
  26237. Nomi delle Macro: AutoOpen
  26238. Lunghezza della Macro: 430 Byte
  26239. Paese di origine: Sconosciuto
  26240. Data di origine: 1997
  26241. Distruttivo: No
  26242. Rilevato In The Wild: No
  26243. Descrizione:
  26244.  
  26245. La principale differenza tra questa nuova variante  ed i 
  26246. precedenti virus Wazzu Φ che Wazzu.AJ Φ un altro virus da 
  26247. macro con alcuni codici modificati e nessuna procedura. 
  26248.  
  26249. Infetta il modello di documento principale (normal.dot) 
  26250. quando un documento infetto Φ aperto. 
  26251. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26252.  
  26253. [Word_Wazzu.AK]
  26254. Nome del virus: Word.Wazzu.AK
  26255. Tipo di Virus: Virus da macro di Word
  26256. Numero di Macro: 1
  26257. Criptato: No
  26258. Nomi delle Macro: autoOpen
  26259. Lunghezza della Macro: 344 Byte
  26260. Paese di origine: Sconosciuto
  26261. Data di origine: 1997
  26262. Distruttivo: No
  26263. Rilevato In The Wild: No
  26264. Descrizione:
  26265.  
  26266. La principale differenza tra questa nuova variante  ed i 
  26267. precedenti virus Wazzu Φ che Wazzu.AK Φ un altro virus da 
  26268. macro con alcuni codici modificati e nessuna procedura. 
  26269.  
  26270. Infetta il modello di documento principale (normal.dot) 
  26271. quando un documento infetto Φ aperto. 
  26272. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26273.  
  26274. [Word_Wazzu.AL]
  26275. Nome del virus: Word.Wazzu.AL
  26276. Tipo di Virus: Virus da macro di Word
  26277. Numero di Macro: 1
  26278. Criptato: No
  26279. Nomi delle Macro: AutoOpen
  26280. Lunghezza della Macro: 643 Byte
  26281. Paese di origine: Sconosciuto
  26282. Data di origine: 1997
  26283. Distruttivo: Si
  26284. Rilevato In The Wild: No
  26285. Descrizione:
  26286.  
  26287. La principale differenza tra questa nuova variante  ed i 
  26288. precedenti virus Wazzu Φ che Wazzu.AL ha qualche codice modificato.
  26289.  
  26290.  
  26291. Infetta il modello di documento principale quando un 
  26292. documento infetto viene aperto. Altri documenti divengono 
  26293. infetti quando vengono aperti (AutoOpen).
  26294.  
  26295. La procedura Φ simile a quella di Wazzu. 
  26296. Per ulteriori informazioni, vedere la descrizione del virus Wazzu.A.
  26297.  
  26298. [Word_Wazzu.AM]
  26299. Nome del virus: Word.Wazzu.AM
  26300. Tipo di Virus: Virus da macro di Word
  26301. Numero di Macro: 1
  26302. Criptato: No
  26303. Nomi delle Macro: AutoOpen
  26304. Lunghezza della Macro: 606 Byte
  26305. Paese di origine: Sconosciuto
  26306. Data di origine: 1997
  26307. Distruttivo: Si
  26308. Rilevato In The Wild: No
  26309. Descrizione:
  26310.  
  26311. La principale differenza tra questa nuova variante  ed i precedenti 
  26312. virus Wazzu Φ che Wazzu.AM ha il codice leggermente modificato.
  26313.  
  26314. Infetta il modello di documento principale (normal.dot) 
  26315. quando un documento infetto Φ aperto. 
  26316. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26317.  
  26318. La procedura Φ simile all'originale virus Wazzu. 
  26319. Ci sono 3 possibilitα su 5 che una parola, nel documento attivo, 
  26320. sia spostata.
  26321.  
  26322. [Word_Wazzu.AN]
  26323. Nome del virus: Word.Wazzu.AN
  26324. Tipo di Virus: Virus da macro di Word
  26325. Numero di Macro: 1
  26326. Criptato: No
  26327. Nomi delle Macro: AutoOpen
  26328. Lunghezza della Macro: 375 Byte
  26329. Paese di origine: Sconosciuto
  26330. Data di origine: 1997
  26331. Distruttivo: No
  26332. Rilevato In The Wild: No
  26333. Descrizione:
  26334.  
  26335. La principale differenza tra questa nuova variante  ed i precedenti 
  26336. virus Wazzu Φ che Wazzu.AN Φ un altro virus da macro con alcuni 
  26337. codici modificati e nessuna procedura. 
  26338.  
  26339. Infetta il modello di documento principale (normal.dot) 
  26340. quando un documento infetto Φ aperto. 
  26341. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26342.  
  26343. Inoltre contiene nel proprio codice il seguente commento:
  26344.  
  26345. "   REM This macro wipes out the Wazzu Virus!   "
  26346.  
  26347. [Word_Wazzu.AO]
  26348. Nome del virus: Word.Wazzu.AO
  26349. Tipo di Virus: Virus da macro di Word
  26350. Numero di Macro: 1
  26351. Criptato: No
  26352. Nomi delle Macro: AutoOpen
  26353. Lunghezza della Macro: 626 Byte
  26354. Paese di origine: Sconosciuto
  26355. Data di origine: 1997
  26356. Distruttivo: Si
  26357. Rilevato In The Wild: No
  26358. Descrizione:
  26359.  
  26360. La principale differenza tra questa nuova variante ed il precedente
  26361. Wazzu Φ che Wazzu.AO ha il codice leggermente modificato.
  26362.  
  26363. Infetta il modello di documento principale quando un documento 
  26364. infetto viene aperto. Altri documenti divengono infetti 
  26365. quando vengono aperti (AutoOpen).
  26366.  
  26367. La procedura Φ simile a quella originale di Wazzu. 
  26368. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  26369.  
  26370. [Word_Wazzu.AP]
  26371. Nome del virus: Word.Wazzu.AP
  26372. Tipo di Virus: Virus da macro di Word
  26373. Numero di Macro: 1
  26374. Criptato: No
  26375. Nomi delle Macro: autoOpen
  26376. Lunghezza della Macro: 432 Byte
  26377. Paese di origine: USA
  26378. Data di origine: Febbraio 1997
  26379. Distruttivo: No
  26380. Rilevato In The Wild: No
  26381. Descrizione:
  26382.  
  26383. La principale differenza tra questa nuova variante  ed i precedenti 
  26384. virus Wazzu Φ che Wazzu.AP Φ un altro virus da macro con alcuni codici 
  26385. modificati e nessuna procedura. 
  26386.  
  26387. Infetta il modello di documento principale (normal.dot) 
  26388. quando un documento infetto Φ aperto. 
  26389. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26390.  
  26391. [Word_Wazzu.AQ]
  26392. Nome del virus: Word.Wazzu.AQ
  26393. Tipo di Virus: Virus da macro di Word
  26394. Numero di Macro: 1
  26395. Criptato: No
  26396. Nomi delle Macro: AutoOpen
  26397. Lunghezza della Macro: 437 Byte
  26398. Paese di origine: USA
  26399. Data di origine: Febbraio 1997
  26400. Distruttivo: No
  26401. Rilevato In The Wild: No
  26402. Descrizione:
  26403.  
  26404. La principale differenza tra questa nuova variante  ed i precedenti 
  26405. virus Wazzu Φ che Wazzu.AQ Φ un altro virus da macro con una procedura 
  26406. alterata e con alcuni comandi persi.
  26407.  
  26408. Infetta il modello di documento principale (normal.dot) 
  26409. quando un documento infetto Φ aperto. 
  26410. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26411.  
  26412.  
  26413. [Word_Wazzu.AR]
  26414. Nome del virus: Word.Wazzu.AR
  26415. Tipo di Virus: Virus da macro di Word
  26416. Numero di Macro: 1
  26417. Criptato: No
  26418. Nomi delle Macro: AutoOpen
  26419. Lunghezza della Macro: 563 Byte
  26420. Paese di origine: Germania
  26421. Data di origine: Febbraio 1997
  26422. Distruttivo: Si
  26423. Rilevato In The Wild: No
  26424. Descrizione:
  26425.  
  26426. La principale differenza tra questa nuova variante  ed il precedente
  26427. Wazzu Φ che Wazzu.AR ha il codice leggermente modificato.
  26428.  
  26429. Infetta il modello di documento principale quando 
  26430. un documento infetto viene aperto. 
  26431. Altri documenti divengono infetti quando vengono aperti (AutoOpen).
  26432.  
  26433. La procedura Φ simile a quella originale di Wazzu. 
  26434. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  26435.  
  26436. [Word_Wazzu.AS]
  26437. Nome del virus: Word.Wazzu.AS
  26438. Tipo di Virus: Virus da macro di Word
  26439. Numero di Macro: 1
  26440. Criptato: No
  26441. Nomi delle Macro: AutoOpen
  26442. Lunghezza della Macro: 352 Byte
  26443. Paese di origine: Sconosciuto
  26444. Data di origine: 1996
  26445. Distruttivo: Si
  26446. Rilevato In The Wild: No
  26447. Descrizione:
  26448.  
  26449. La principale differenza tra questa nuova variante  ed il precedente
  26450. Wazzu Φ che Wazzu.AS ha i codici leggermente modificati.
  26451.  
  26452. Infetta il modello di documento principale quando un 
  26453. documento infetto viene aperto. 
  26454. Altri documenti divengono infetti quando vengono aperti (AutoOpen).
  26455.  
  26456. Quando un utente apre un documento, Wazzu.AS aggiunge 
  26457. il seguente testo alla fine dei documenti:
  26458.  
  26459. "   ladderwork!   "
  26460.  
  26461. [Word_Wazzu.AT]
  26462. Nome del virus: Word.Wazzu.AT
  26463. Tipo di Virus: Virus da macro di Word
  26464. Numero di Macro: 1
  26465. Criptato: No
  26466. Nomi delle Macro: AutoOpen
  26467. Lunghezza della Macro: 576 Byte
  26468. Paese di origine: Sconosciuto
  26469. Data di origine: 1997
  26470. Distruttivo: Si
  26471. Rilevato In The Wild: No
  26472. Descrizione:
  26473.  
  26474. La principale differenza tra questa nuova variante  ed i precedenti 
  26475. virus Wazzu Φ che Wazzu.AT ha il codice leggermente modificato.
  26476.  
  26477. Infetta il modello di documento principale (normal.dot) 
  26478. quando un documento infetto Φ aperto. 
  26479. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26480.  
  26481. La procedura Φ simile all'originale virus Wazzu. 
  26482. Ci sono 3 possibilitα su 5 che una parola, nel documento attivo, sia spostata.
  26483.  
  26484. [Word_Wazzu.AU]
  26485. Nome del virus: Word.Wazzu.AU
  26486. Tipo di Virus: Virus da macro di Word
  26487. Numero di Macro: 1
  26488. Criptato: No
  26489. Nomi delle Macro: AutoOpen
  26490. Lunghezza della Macro: 630 Byte
  26491. Paese di origine: Sconosciuto
  26492. Data di origine: 1997
  26493. Distruttivo: Si
  26494. Rilevato In The Wild: No
  26495. Descrizione:
  26496.  
  26497. La principale differenza tra questa nuova variante  ed 
  26498. i precedenti virus Wazzu Φ che Wazzu.AU ha il codice leggermente modificato.
  26499.  
  26500. Infetta il modello di documento principale quando un 
  26501. documento infetto viene aperto. 
  26502. Altri documenti divengono infetti quando vengono aperti (AutoOpen).
  26503.  
  26504. La procedura Φ simile a quella originale di Wazzu. 
  26505. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  26506.  
  26507. [Word_Wazzu.AV]
  26508. Nome del virus: Word.Wazzu.AV
  26509. Tipo di Virus: Virus da macro di Word
  26510. Numero di Macro: 1
  26511. Criptato: No
  26512. Nomi delle Macro: AutoOpen
  26513. Lunghezza della Macro: 321 Byte
  26514. Paese di origine: Sconosciuto
  26515. Data di origine: Primavera 1997
  26516. Distruttivo: No
  26517. Rilevato In The Wild: No
  26518. Descrizione:
  26519.  
  26520. La principale differenza tra questa nuova variante  ed 
  26521. i precedenti virus Wazzu Φ che Wazzu.AP Φ un altro virus 
  26522. da macro con alcuni codici modificati e nessuna procedura. 
  26523.  
  26524. Infetta il modello di documento principale (normal.dot) 
  26525. quando un documento infetto Φ aperto. 
  26526. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26527.  
  26528. [Word_Wazzu.AW]
  26529. Nome del virus: Word.Wazzu.AW
  26530. Tipo di Virus: Virus da macro di Word
  26531. Numero di Macro: 1
  26532. Criptato: Si
  26533. Nomi delle Macro: AutoOpen
  26534. Lunghezza della Macro: 1135 Byte
  26535. Paese di origine: USA
  26536. Data di origine: Febbraio 1997
  26537. Distruttivo: Si
  26538. Rilevato In The Wild: No
  26539. Descrizione:
  26540.  
  26541. La principale differenza tra questa nuova variante  ed i 
  26542. precedenti virus Wazzu Φ che Wazzu.AW Φ una combinazione 
  26543. tra il virus
  26544. Wazzu ed il virus ShareFun. 
  26545. Contiene le procedure di entrambi i virus.
  26546.  
  26547. Wazzu.AW sposta le parole da un posto all'altro, 
  26548. Inserisce la parola "wazzu" nel documento attivo, 
  26549. e cerca di spedire il documento infetto (C:\doc1.doc) a 
  26550. tre indirizzi scelti a caso dalla rubrica di MS Mail.
  26551.  
  26552. Per altri dettagli, vedere la descrizione del virus Wazzu.A e
  26553. Sharefun.A.
  26554.  
  26555. [Word_Wazzu.AX]
  26556. Nome del virus: Word.Wazzu.AX
  26557. Tipo di Virus: Virus da macro di Word
  26558. Numero di Macro: 1
  26559. Criptato: No
  26560. Nomi delle Macro: AutoOpen
  26561. Lunghezza della Macro: 343 Byte
  26562. Paese di origine: USA
  26563. Data di origine: Primavera 1997
  26564. Distruttivo: No
  26565. Rilevato In The Wild: No
  26566. Descrizione:
  26567.  
  26568. La principale differenza tra questa nuova variante  
  26569. ed i precedenti virus Wazzu Φ che Wazzu.AX Φ un altro 
  26570. virus da macro con alcuni codici modificati e nessuna procedura. 
  26571.  
  26572. Infetta il modello di documento principale (normal.dot) 
  26573. quando un documento infetto Φ aperto. 
  26574. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26575.  
  26576. [Word_Wazzu.AY]
  26577. Nome del virus: Word.Wazzu.AY
  26578. Tipo di Virus: Virus da macro di Word
  26579. Numero di Macro: 1
  26580. Criptato: No
  26581. Nomi delle Macro: AutoOpen
  26582. Lunghezza della Macro: 632 Byte
  26583. Paese di origine: Sconosciuto
  26584. Data di origine: Febbraio 1997
  26585. Distruttivo: No
  26586. Rilevato In The Wild: No
  26587. Descrizione:
  26588.  
  26589.  
  26590. La principale differenza tra questa nuova variante  ed i precedenti 
  26591. virus Wazzu Φ che Wazzu.AY Φ un altro virus da macro con una procedura 
  26592. alterata e 2-byte del codice modificati.
  26593.  
  26594. Infetta il modello di documento principale (normal.dot) quando un documento 
  26595. infetto Φ aperto. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26596.  
  26597. [Word_Wazzu.AZ]
  26598. Nome del virus: Word.Wazzu.AZ
  26599. Tipo di Virus: Virus da macro di Word
  26600. Numero di Macro: 1
  26601. Criptato: No
  26602. Nomi delle Macro: AutoClose
  26603. Lunghezza della Macro: 659 Byte
  26604. Paese di origine: USA
  26605. Data di origine: Febbraio 1997
  26606. Distruttivo: Si
  26607. Rilevato In The Wild: No
  26608. Descrizione:
  26609.  
  26610. La principale differenza tra questa nuova variante  ed i 
  26611. precedenti virus Wazzu Φ che Wazzu.AZ ha il codice modificato.
  26612.  
  26613. La propria procedura inserisce la parola "uzzaw" (wazzu al contrario).
  26614.  
  26615. Wazzu.AZ usa anche la macro "AutoClose" invece di "AutoOpen".  
  26616. Infetta il modello di documento principale quando Φ chiuso un file infetto.  
  26617. Altri documenti divengono infetti quando vengono chiusi (AutoClose).
  26618.  
  26619. [Word_Wazzu.B]
  26620. Nome del virus: Word.Wazzu.B
  26621. Tipo di Virus: Virus da macro di Word
  26622. Numero di Macro: 1
  26623. Criptato: No
  26624. Nomi delle Macro: AutoOpen
  26625. Lunghezza della Macro: 697 Byte
  26626. Paese di origine: Sconosciuto
  26627. Data di origine: 1996
  26628. Distruttivo: Si
  26629. Rilevato In The Wild: No
  26630. Descrizione:
  26631.  
  26632. La differenza tra questa nuova versione e l'originale virus
  26633. Wazzu.A Φ che Wazzu.B ha un commento aggiunto, 
  26634. ma di nessuna importanza.
  26635.  
  26636. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  26637.  
  26638.  
  26639. [Word_Wazzu.BA]
  26640. Nome del virus: Word.Wazzu.BA
  26641. Tipo di Virus: Virus da macro di Word
  26642. Numero di Macro: 1
  26643. Criptato: No
  26644. Nomi delle Macro: AutoClose
  26645. Lunghezza della Macro: 277 Byte
  26646. Paese di origine: USA
  26647. Data di origine: Febbraio 1997
  26648. Distruttivo: No
  26649. Rilevato In The Wild: No
  26650. Descrizione:
  26651.  
  26652. La principale differenza tra questa nuova variante  ed i 
  26653. precedenti virus Wazzu Φ che Wazzu.BA ha il codice leggermente 
  26654. modificato e non ha nessuna procedura. 
  26655. Usa anche la macro "AutoClose" invece di "AutoOpen".
  26656.  
  26657. Infetta il modello di documento principale quando Φ chiuso un file infetto.  
  26658. Altri documenti divengono infetti quando vengono chiusi (AutoClose).
  26659.  
  26660.  
  26661. [Word_Wazzu.BB]
  26662. Nome del virus: Word.Wazzu.BB
  26663. Tipo di Virus: Virus da macro di Word
  26664. Numero di Macro: 1
  26665. Criptato: No
  26666. Nomi delle Macro: AutoOpen
  26667. Lunghezza della Macro: 434 Byte
  26668. Paese di origine: Sconosciuto
  26669. Data di origine: Primavera 1997
  26670. Distruttivo: No
  26671. Rilevato In The Wild: No
  26672. Descrizione:
  26673.  
  26674. La principale differenza tra questa nuova variante  ed i 
  26675. precedenti virus Wazzu Φ che Wazzu.BB Φ un altro virus da 
  26676. macro con alcuni codici modificati e nessuna procedura. 
  26677.  
  26678. Infetta il modello di documento principale (normal.dot) 
  26679. quando un documento infetto Φ aperto. 
  26680. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26681.  
  26682.  
  26683.  [Word_Wazzu.BC]
  26684. Nome del virus: Word.Wazzu.BC
  26685. Tipo di Virus: Virus da macro di Word
  26686. Numero di Macro: 1
  26687. Criptato: No
  26688. Nomi delle Macro: AutoOpen
  26689. Lunghezza della Macro: 862 Byte
  26690. Paese di origine: Sconosciuto
  26691. Data di origine: Primavera 1997
  26692. Distruttivo: Si
  26693. Rilevato In The Wild: No
  26694. Descrizione:
  26695.  
  26696. La principale differenza tra questa nuova variante  ed i precedenti 
  26697. virus Wazzu Φ che Wazzu.BC punta un programma anti-virus 
  26698. con la propria procedura.
  26699.  
  26700. Rinomina le cartelle di default di VET (prodotto australiano).
  26701.  
  26702. Wazzu.BC contiene anche altre procedure per spostare le parole 
  26703. ed aggiungere i seguenti vocaboli ai nuovi documenti aperti:
  26704. (probabilmente diverse in ogni caso)
  26705.  
  26706. "   waffle   "
  26707.  
  26708. "   zoom   "
  26709.  
  26710. "   kill   "
  26711.  
  26712. "   mum   "
  26713.  
  26714.  
  26715. Wazzu.BC infetta il modello di documento principale quando un 
  26716. documento infetto Φ aperto. 
  26717. Altri documenti divengono infetti quando vengono aperti (AutoOpen).
  26718.  
  26719. [Word_Wazzu.BD]
  26720. Nome del virus: Word.Wazzu.BD
  26721. Tipo di Virus: Virus da macro di Word
  26722. Numero di Macro: 1
  26723. Criptato: Si
  26724. Nomi delle Macro: AutoOpen
  26725. Lunghezza della Macro: 525 Byte
  26726. Paese di origine: Sconosciuto
  26727. Data di origine: Primavera 1997
  26728. Distruttivo: Si
  26729. Rilevato In The Wild: No
  26730. Descrizione:
  26731.  
  26732. La principale differenza tra questa nuova variante  
  26733. ed i precedenti virus Wazzu Φ che Wazzu.BD seleziona tutto 
  26734. il testo di un nuovo documento aperto e lo cancella.
  26735.  
  26736. E' impossibile il recupero perchΘ Wazzu.BD ha eliminato 
  26737. anche il men∙ EDIT|EDITUNDO.
  26738.  
  26739. C'Φ una probabilitα su cinquanta che questa procedura si attivi.
  26740.  
  26741. Wazzu.BD mostra anche il seguente messaggio:
  26742.  
  26743. "   Where do you want to go today   "
  26744.  
  26745. Wazzu.BD infetta il modello di documento principale quando un 
  26746. viene aperto un documento infetto. Altri documenti divengono infetti
  26747. quando vengono aperti (AutoOpen).
  26748.  
  26749. [Word_Wazzu.BE]
  26750. Nome del virus: Word.Wazzu.BE
  26751. Tipo di Virus: Virus da macro di Word
  26752. Numero di Macro: 1
  26753. Criptato: No
  26754. Nomi delle Macro: AutoOpen
  26755. Lunghezza della Macro: 439 Byte
  26756. Paese di origine: Sconosciuto
  26757. Data di origine: Primavera 1997
  26758. Distruttivo: No
  26759. Rilevato In The Wild: No
  26760. Descrizione:
  26761.  
  26762. La principale differenza tra questa nuova variante  ed i precedenti 
  26763. virus Wazzu Φ che Wazzu.BE mostra il seguente messaggio durante l'infezione:
  26764.  
  26765. "   Wazzu n'est pas mort   "
  26766.  
  26767. Wazzu.BE infetta il modello di documento principale quando un 
  26768. documento infetto viene aperto. Altri documenti divengono infetti
  26769. quando vengono aperti (AutoOpen).
  26770.  
  26771. [Word_Wazzu.BF]
  26772. Nome del virus: Word.Wazzu.BF
  26773. Tipo di Virus: Virus da macro di Word
  26774. Numero di Macro: 1
  26775. Criptato: No
  26776. Nomi delle Macro: AutoOpen
  26777. Lunghezza della Macro: 334 Byte
  26778. Paese di origine: USA
  26779. Data di origine: Primavera 1997
  26780. Distruttivo: No
  26781. Rilevato In The Wild: No
  26782. Descrizione:
  26783.  
  26784. La principale differenza tra questa nuova variante  
  26785. ed i precedenti virus Wazzu Φ che Wazzu.BF Φ un altro 
  26786. virus da macro con alcuni codici modificati e nessuna procedura. 
  26787.  
  26788. Infetta il modello di documento principale (normal.dot) 
  26789. quando un documento infetto Φ aperto. 
  26790. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26791.  
  26792. [Word_Wazzu.BG]
  26793. Nome del virus: Word.Wazzu.BG
  26794. Tipo di Virus: Virus da macro di Word
  26795. Numero di Macro: 1
  26796. Criptato: No
  26797. Nomi delle Macro: AutoOpen
  26798. Lunghezza della Macro: 432 Byte
  26799. Paese di origine: Sconosciuto
  26800. Data di origine: Primavera 1997
  26801. Distruttivo: No
  26802. Rilevato In The Wild: No
  26803. Descrizione:
  26804.  
  26805. La principale differenza tra questa nuova variante  
  26806. ed i precedenti virus Wazzu Φ che Wazzu.BG Φ un altro virus 
  26807. da macro con alcuni codici modificati e nessuna procedura. 
  26808.  
  26809. Infetta il modello di documento principale (normal.dot) 
  26810. quando un documento infetto Φ aperto. 
  26811. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26812.  
  26813. [Word_Wazzu.BH]
  26814. Nome del virus: Word.Wazzu.BH
  26815. Tipo di Virus: Virus da macro di Word
  26816. Numero di Macro: 1
  26817. Criptato: No
  26818. Nomi delle Macro: AutoOpen
  26819. Lunghezza della Macro: 472 Byte
  26820. Paese di origine: Sconosciuto
  26821. Data di origine: Primavera 1997
  26822. Payload: Si
  26823. Rilevato In The Wild: No
  26824. Descrizione:
  26825.  
  26826. La principale differenza tra questa nuova variante  ed i precedenti
  26827. Virus Wazzu Φ che Wazzu.BH cerca di rimuovere tutto il 
  26828. testo dai nuovi documenti aperti.
  26829.  
  26830. Non annulla l'opzione "Edit|Undo" , in questo modo gli utenti 
  26831. possono recuperare quanto scomparso..
  26832.  
  26833. Infetta il modello di documento principale quando Φ aperto un 
  26834. documento infetto. Altri documenti divengono quando vengono aperti (AutoOpen).
  26835.  
  26836. [Word_Wazzu.BI]
  26837. Nome del virus: Word.Wazzu.BI
  26838. Tipo di Virus: Virus da macro di Word
  26839. Numero di Macro: 1
  26840. Criptato: No
  26841. Nomi delle Macro: AutoOpen
  26842. Lunghezza della Macro: 361 Byte
  26843. Paese di origine: Sconosciuto
  26844. Data di origine: Primavera 1997
  26845. Distruttivo: No
  26846. Rilevato In The Wild: No
  26847. Descrizione:
  26848.  
  26849. La principale differenza tra questa nuova variante  ed i 
  26850. precedenti virus Wazzu Φ che Wazzu.BI Φ un altro virus da macro 
  26851. con alcuni codici modificati e nessuna procedura. 
  26852.  
  26853. Infetta il modello di documento principale (normal.dot) quando 
  26854. un documento infetto Φ aperto. 
  26855. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26856.  
  26857. [Word_Wazzu.BJ]
  26858. Nome del virus: Word.Wazzu.BJ
  26859. Tipo di Virus: Virus da macro di Word
  26860. Numero di Macro: 1
  26861. Criptato: No
  26862. Nomi delle Macro: AutoOpen
  26863. Lunghezza della Macro: 299 Byte
  26864. Paese di origine: Sconosciuto
  26865. Data di origine: Primavera 1997
  26866. Distruttivo: No
  26867. Rilevato In The Wild: No
  26868. Descrizione:
  26869.  
  26870. La principale differenza tra questa nuova variante  
  26871. ed i precedenti virus Wazzu Φ che Wazzu.BJ Φ un altro 
  26872. virus da macro con alcuni codici modificati e nessuna procedura. 
  26873.  
  26874. Infetta il modello di documento principale (normal.dot) 
  26875. quando un documento infetto Φ aperto. 
  26876. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26877.  
  26878. [Word_Wazzu.BK]
  26879. Nome del virus: Word.Wazzu.BK
  26880. Tipo di Virus: Virus da macro di Word
  26881. Numero di Macro: 1
  26882. Criptato: No
  26883. Nomi delle Macro: AutoOpen
  26884. Lunghezza della Macro: 623 Byte
  26885. Paese di origine: Sconosciuto
  26886. Data di origine: Primavera 1997
  26887. Distruttivo: Si
  26888. Rilevato In The Wild: No
  26889. Descrizione:
  26890.  
  26891. La principale differenza tra questa nuova variante  ed il precedente
  26892. Wazzu Φ che Wazzu.BK ha il codice leggermente modificato.
  26893.  
  26894. Infetta il modello di documento principale quando 
  26895. un documento infetto viene aperto. 
  26896. Altri documenti divengono infetti quando vengono aperti (AutoOpen).
  26897.  
  26898. La procedura Φ simile a quella originale di Wazzu. 
  26899. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  26900.  
  26901.  
  26902. [Word_Wazzu.BL]
  26903. Nome del virus: Word.Wazzu.BL
  26904. Tipo di Virus: Virus da macro di Word
  26905. Numero di Macro: 1
  26906. Criptato: No
  26907. Nomi delle Macro: AutoOpen
  26908. Lunghezza della Macro: 678 Byte
  26909. Paese di origine: Sconosciuto
  26910. Data di origine: Primavera 1997
  26911. Distruttivo: Si
  26912. Rilevato In The Wild: No
  26913. Descrizione:
  26914.  
  26915. La principale differenza tra questa nuova variante  
  26916. ed i precedenti virus Wazzu Φ che Wazzu.BL ha il codice leggermente modificato.
  26917.  
  26918. Infetta il modello di documento principale quando 
  26919. viene aperto un documento infetto. 
  26920. Dopo aver infettato il modello di documento principale, 
  26921. non riesce ad infettare altri documenti. 
  26922. Quindi non Φ in grado di sopravvivere in the wild.
  26923.  
  26924. [Word_Wazzu.BM]
  26925. Nome del virus: Word.Wazzu.BM
  26926. Tipo di Virus: Virus da macro di Word
  26927. Numero di Macro: 1
  26928. Criptato: No
  26929. Nomi delle Macro: AutoOpen
  26930. Lunghezza della Macro: 296 Byte
  26931. Paese di origine: USA
  26932. Data di origine: Primavera 1997
  26933. Distruttivo: No
  26934. Rilevato In The Wild: No
  26935. Descrizione:
  26936.  
  26937. La principale differenza tra questa nuova variante  
  26938. ed i precedenti virus Wazzu Φ che Wazzu.BM Φ un altro virus 
  26939. da macro con alcuni codici modificati e nessuna procedura. 
  26940.  
  26941. Infetta il modello di documento principale (normal.dot) 
  26942. quando un documento infetto Φ aperto. 
  26943. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26944.  
  26945. [Word_Wazzu.BN]
  26946. Nome del virus: Word.Wazzu.BN
  26947. Tipo di Virus: Virus da macro di Word
  26948. Numero di Macro: 1
  26949. Criptato: No
  26950. Nomi delle Macro: AutoOpen
  26951. Lunghezza della Macro: 433 Byte
  26952. Paese di origine: Germania
  26953. Data di origine: Primavera 1997
  26954. Distruttivo: No
  26955. Rilevato In The Wild: No
  26956. Descrizione:
  26957.  
  26958. La principale differenza tra questa nuova variante  ed i 
  26959. precedenti virus Wazzu Φ che Wazzu.BN Φ un altro virus da 
  26960. macro con alcuni codici modificati e nessuna procedura. 
  26961.  
  26962. Infetta il modello di documento principale (normal.dot) 
  26963. quando un documento infetto Φ aperto. 
  26964. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26965.  
  26966. [Word_Wazzu.BO]
  26967. Nome del virus: Word.Wazzu.BO
  26968. Tipo di Virus: Virus da macro di Word
  26969. Numero di Macro: 1
  26970. Criptato: Si
  26971. Nomi delle Macro: AutoOpen
  26972. Lunghezza della Macro: 632 Byte
  26973. Paese di origine: Sconosciuto
  26974. Data di origine: 1997
  26975. Distruttivo: Si
  26976. Rilevato In The Wild: No
  26977. Descrizione:
  26978.  
  26979. La principale differenza tra questa nuova variante  ed i 
  26980. precedenti virus Wazzu Φ che Wazzu.BO ha il codice 
  26981. leggermente modificato.
  26982.  
  26983. Infetta il modello di documento principale (normal.dot) 
  26984. quando un documento infetto Φ aperto. 
  26985. Altri documenti si infettano quando vengono aperti (AutoOpen).
  26986.  
  26987. La procedura Φ simile all'originale virus Wazzu. 
  26988. Ci sono 3 possibilitα su 5 che una parola, nel documento attivo, sia spostata.
  26989.  
  26990. [Word_Wazzu.BP]
  26991. Nome del virus: Word.Wazzu.BP
  26992. Tipo di Virus: Virus da macro di Word
  26993. Numero di Macro: 1
  26994. Criptato: Si
  26995. Nomi delle Macro: AutoOpen
  26996. Lunghezza della Macro: 289 Byte
  26997. Paese di origine: Sconosciuto
  26998. Data di origine: Primavera 1997
  26999. Distruttivo: No
  27000. Rilevato In The Wild: No
  27001. Descrizione:
  27002.  
  27003. La principale differenza tra questa nuova variante  
  27004. ed i precedenti virus Wazzu Φ che Wazzu.BP mostra 
  27005. il seguente messaggio:
  27006.  
  27007. "   Leaving Traces of Wazzu Around the World...   "
  27008.  
  27009. Wazzu.BP infetta il modello di documento principale 
  27010. quando un documento infetto viene aperto. 
  27011. Altri documenti divengono infetti
  27012. quando vengono aperti (AutoOpen).
  27013.  
  27014. [Word_Wazzu.BQ]
  27015. Nome del virus: Word.Wazzu.BQ
  27016. Tipo di Virus: Virus da macro di Word
  27017. Numero di Macro: 1
  27018. Criptato: No
  27019. Nomi delle Macro: AutoOpen
  27020. Lunghezza della Macro: 670 Byte
  27021. Paese di origine: Sconosciuto
  27022. Data di origine: Primavera 1997
  27023. Distruttivo: Si
  27024. Rilevato In The Wild: No
  27025. Descrizione:
  27026.  
  27027. La principale differenza tra questa nuova variante  ed il precedente
  27028. Wazzu Φ che Wazzu.BQ ha il codice leggermente modificato.
  27029.  
  27030. Infetta il modello di documento principale quando un documento 
  27031. infetto viene aperto. Altri documenti divengono 
  27032. infetti quando vengono aperti (AutoOpen).
  27033.  
  27034. La procedura Φ simile a quella originale di Wazzu. 
  27035. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  27036.  
  27037. [Word_Wazzu.BR]
  27038. Nome del virus: Word.Wazzu.BR
  27039. Tipo di Virus: Virus da macro di Word
  27040. Numero di Macro: 1
  27041. Criptato: No
  27042. Nomi delle Macro: AutoOpen
  27043. Lunghezza della Macro: 332 Byte
  27044. Paese di origine: Sconosciuto
  27045. Data di origine: Primavera 1997
  27046. Distruttivo: No
  27047. Rilevato In The Wild: No
  27048. Descrizione:
  27049.  
  27050. La principale differenza tra questa nuova variante  ed 
  27051. i precedenti virus Wazzu Φ che Wazzu.BR Φ un altro virus 
  27052. da macro con alcuni codici modificati e nessuna procedura. 
  27053.  
  27054. Infetta il modello di documento principale (normal.dot) 
  27055. quando un documento infetto Φ aperto. 
  27056. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27057.  
  27058.  
  27059. [Word_Wazzu.BS]
  27060. Nome del virus: Word.Wazzu.BS
  27061. Tipo di Virus: Virus da macro di Word
  27062. Numero di Macro: 1
  27063. Criptato: No
  27064. Nomi delle Macro: AutoOpen
  27065. Lunghezza della Macro: 605 Byte
  27066. Paese di origine: Francia
  27067. Data di origine: Primavera 1997
  27068. Distruttivo: Si
  27069. Rilevato In The Wild: No
  27070. Descrizione:
  27071.  
  27072. La principale differenza tra questa nuova variante  ed i 
  27073. precedenti virus Wazzu Φ che Wazzu.BS sostituisce 
  27074. la parola "donc" con quanto segue:
  27075.  
  27076. "   Mon prof est con,   "
  27077.  
  27078. Questo succede quando viene aperto un documento (probabilitα: 3/4).
  27079.  
  27080. La seconda procedura Φ simile a Wazzu.A, quando una parola Φ 
  27081. spostata da un posto ad un altro. Per maggiori dettagli,
  27082. vedere la descrizione di Wazzu.A virus.
  27083.  
  27084. Wazzu.BS infetta il modello di documento principale quando un 
  27085. documento infetto Φ aperto. Altri documenti divengono infetti
  27086. quando vengono aperti (AutoOpen).
  27087.  
  27088. [Word_Wazzu.BU]
  27089. Nome del virus: Word.Wazzu.BU
  27090. Tipo di Virus: Virus da macro di Word
  27091. Numero di Macro: 1
  27092. Criptato: No
  27093. Nomi delle Macro: AutoOpen
  27094. Lunghezza della Macro: 148 Byte
  27095. Paese di origine: Sconosciuto
  27096. Data di origine: Primavera 1997
  27097. Distruttivo: No
  27098. Rilevato In The Wild: No
  27099. Descrizione:
  27100.  
  27101. La principale differenza tra questa nuova variante  ed i 
  27102. precedenti virus Wazzu Φ che Wazzu.BU Φ un altro virus da macro 
  27103. con alcuni codici modificati e nessuna procedura. 
  27104.  
  27105. Infetta il modello di documento principale (normal.dot) quando un 
  27106. documento infetto Φ aperto. 
  27107. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27108.  
  27109. [Word_Wazzu.BV]
  27110. Nome del virus: Word.Wazzu.BV
  27111. Tipo di Virus: Virus da macro di Word
  27112. Numero di Macro: 1
  27113. Criptato: No
  27114. Nomi delle Macro: AutoOpen
  27115. Lunghezza della Macro: 152 Byte
  27116. Paese di origine: Sconosciuto
  27117. Data di origine: Primavera 1997
  27118. Distruttivo: No
  27119. Rilevato In The Wild: No
  27120. Descrizione:
  27121.  
  27122. La principale differenza tra questa nuova variante  ed i 
  27123. precedenti virus Wazzu Φ che Wazzu.BV Φ un altro virus da 
  27124. macro con alcuni codici modificati e nessuna procedura. 
  27125.  
  27126. Infetta il modello di documento principale (normal.dot) 
  27127. quando un documento infetto Φ aperto. 
  27128. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27129.  
  27130. [Word_Wazzu.BW]
  27131. Nome del virus: Word.Wazzu.BW
  27132. Tipo di Virus: Virus da macro di Word
  27133. Numero di Macro: 1
  27134. Criptato: No
  27135. Nomi delle Macro: AutoOpen
  27136. Lunghezza della Macro: 158 Byte
  27137. Paese di origine: Sconosciuto
  27138. Data di origine: Primavera 1997
  27139. Distruttivo: No
  27140. Rilevato In The Wild: No
  27141. Descrizione:
  27142.  
  27143. La principale differenza tra questa nuova variante  
  27144. ed i precedenti virus Wazzu Φ che Wazzu.BW Φ un altro 
  27145. virus da macro con alcuni codici modificati e nessuna procedura. 
  27146.  
  27147. Infetta il modello di documento principale (normal.dot) 
  27148. quando un documento infetto Φ aperto. 
  27149. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27150.  
  27151. [Word_Wazzu.BX]
  27152. Nome del virus: Word.Wazzu.BX
  27153. Tipo di Virus: Virus da macro di Word
  27154. Numero di Macro: 1
  27155. Criptato: No
  27156. Nomi delle Macro: AutoOpen
  27157. Lunghezza della Macro: 345 Byte
  27158. Paese di origine: Sconosciuto
  27159. Data di origine: Primavera 1997
  27160. Distruttivo: No
  27161. Rilevato In The Wild: No
  27162. Descrizione:
  27163.  
  27164. La principale differenza tra questa nuova variante  ed i 
  27165. precedenti virus Wazzu Φ che Wazzu.BX Φ un altro virus da 
  27166. macro con alcuni codici modificati e nessuna procedura. 
  27167.  
  27168. Infetta il modello di documento principale (normal.dot) 
  27169. quando un documento infetto Φ aperto. 
  27170. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27171.  
  27172. [Word_Wazzu.BY]
  27173. Nome del virus: Word.Wazzu.BY
  27174. Tipo di Virus: Virus da macro di Word
  27175. Numero di Macro: 1
  27176. Criptato: No
  27177. Nomi delle Macro: AutoOpen
  27178. Lunghezza della Macro: 277 Byte
  27179. Paese di origine: Sconosciuto
  27180. Data di origine: Primavera 1997
  27181. Distruttivo: No
  27182. Rilevato In The Wild: No
  27183. Descrizione:
  27184.  
  27185. La principale differenza tra questa nuova variante  
  27186. ed i precedenti virus Wazzu Φ che Wazzu.BY Φ un altro virus da 
  27187. macro con alcuni codici modificati e nessuna procedura. 
  27188.  
  27189. Infetta il modello di documento principale (normal.dot) quando 
  27190. un documento infetto Φ aperto. 
  27191. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27192.  
  27193. [Word_Wazzu.C]
  27194. Nome del virus: Word.Wazzu.C
  27195. Tipo di Virus: Virus da macro di Word
  27196. Numero di Macro: 1
  27197. Criptato: No
  27198. Nomi delle Macro: autoOpen
  27199. Lunghezza della Macro: 433 Byte
  27200. Paese di origine: Sconosciuto
  27201. Data di origine: Estate 1996
  27202. Distruttivo: No
  27203. Rilevato In The Wild: Si
  27204. Descrizione:
  27205.  
  27206. La differenza tra questa nuova versione e l'originale
  27207. Wazzu.A Φ che Wazzu.C non ha nessuna procedura distruttiva. 
  27208. Si limita ad infettare.
  27209.  
  27210. Durante la primavera del 1997, Wazzu.C fu scoperto 
  27211. in documenti di Word97 (Word8).
  27212.  
  27213. [Word_Wazzu.CB]
  27214. Nome del virus: Word.Wazzu.CB
  27215. Tipo di Virus: Virus da macro di Word
  27216. Numero di Macro: 1
  27217. Criptato: No
  27218. Nomi delle Macro: AutoOpen
  27219. Lunghezza della Macro: 343 Byte
  27220. Paese di origine: Sconosciuto
  27221. Data di origine: Primavera 1997
  27222. Distruttivo: No
  27223. Rilevato In The Wild: No
  27224. Descrizione:
  27225.  
  27226. La principale differenza tra questa nuova variante  
  27227. ed i precedenti virus Wazzu Φ che Wazzu.CB Φ un altro 
  27228. virus da macro con alcuni codici modificati e nessuna procedura. 
  27229.  
  27230. Infetta il modello di documento principale (normal.dot) 
  27231. quando un documento infetto Φ aperto. 
  27232. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27233.  
  27234. [Word_Wazzu.D]
  27235. Nome del virus: Word.Wazzu.D
  27236. Tipo di Virus: Virus da macro di Word
  27237. Numero di Macro: 1
  27238. Criptato: No
  27239. Nomi delle Macro: AutoOpen
  27240. Lunghezza della Macro: 331 Byte
  27241. Paese di origine: Sconosciuto
  27242. Data di origine: Estate 1996
  27243. Distruttivo: No
  27244. Rilevato In The Wild: No
  27245. Descrizione:
  27246.  
  27247. La differenza tra questa nuova versione e Wazzu.C Φ 
  27248. che alcuni codici non usati sono persi in Wazzu.D. 
  27249. La differenza con l'originale Wazzu Φ che non contiene 
  27250. nessuna procedura distruttiva, come modificare i documenti. 
  27251. Wazzu.D infetta solamente.
  27252.  
  27253. [Word_Wazzu.E]
  27254. Nome del virus: Word.Wazzu.E
  27255. Tipo di Virus: Virus da macro di Word
  27256. Numero di Macro: 1
  27257. Criptato: No
  27258. Nomi delle Macro: AutoOpen
  27259. Lunghezza della Macro: 318 Byte
  27260. Paese di origine: Sconosciuto
  27261. Data di origine: Settembre 1996
  27262. Distruttivo: No
  27263. Rilevato In The Wild: Si
  27264. Descrizione:
  27265.  
  27266. La differenza tra questa nuova versione e Wazzu.D Φ 
  27267. che alcuni codici non usati sono persi in Wazzu.E. 
  27268. La differenza con l'originale Wazzu Φ che non contiene nessuna 
  27269. procedura distruttiva, come modificare i documenti. Wazzu.E infetta solamente.
  27270.  
  27271.  
  27272. [Word_Wazzu.F]
  27273. Nome del virus: Word.Wazzu.F
  27274. Tipo di Virus: Virus da macro di Word
  27275. Numero di Macro: 1
  27276. Criptato: Si
  27277. Nomi delle Macro: AutoOpen
  27278. Lunghezza della Macro: 450 Byte
  27279. Paese di origine: Sconosciuto
  27280. Data di origine: Settembre 1996
  27281. Distruttivo: No
  27282. Rilevato In The Wild: Si
  27283. Descrizione:
  27284.  
  27285. Wazzu.F Φ una variante trascurabile di Wazzu.C con due differenze.
  27286. Wazzu.F mostra un messaggio con una probabilitα su dieci 
  27287. ed il suo codice Φ criptato. La differenza con l'originale 
  27288. Wazzu Φ che non contiene nessuna procedura distruttiva, 
  27289. come modificare i documenti. Wazzu.F infetta solamente.
  27290.  
  27291.  
  27292. Il seguente messaggio Φ mostrato con una probabilitα su dieci:
  27293.  
  27294. "   This one's for you, Bosco.   "
  27295.  
  27296. [Word_Wazzu.G]
  27297. Nome del virus: Word.Wazzu.G
  27298. Tipo di Virus: Virus da macro di Word
  27299. Numero di Macro: 1
  27300. Criptato: No
  27301. Nomi delle Macro: AutoOpen
  27302. Lunghezza della Macro: 632 Byte
  27303. Paese di origine: Sconosciuto
  27304. Data di origine: 1996
  27305. Distruttivo: Si
  27306. Rilevato In The Wild: No
  27307. Descrizione:
  27308.  
  27309. La principale differenza tra questa nuova variante  ed i
  27310.  precedenti virus Wazzu Φ che Wazzu.G ha il codice 
  27311. leggermente modificato.
  27312.  
  27313. Infetta il modello di documento principale (normal.dot) 
  27314. quando un documento infetto Φ aperto. 
  27315. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27316.  
  27317. La procedura Φ simile all'originale virus Wazzu. 
  27318. Ci sono 3 possibilitα su 5 che una parola, nel documento attivo, sia spostata.
  27319.  
  27320. [Word_Wazzu.H]
  27321. Nome del virus: Word.Wazzu.H
  27322. Tipo di Virus: Virus da macro di Word
  27323. Numero di Macro: 1
  27324. Criptato: Si
  27325. Nomi delle Macro: AutoOpen
  27326. Lunghezza della Macro: 943 Byte
  27327. Paese di origine: Sconosciuto
  27328. Data di origine: 1996
  27329. Distruttivo: Si
  27330. Rilevato In The Wild: Si
  27331. Descrizione:
  27332.  
  27333. Wazzu.H Φ una variante scritta recentemente di Wazzu. 
  27334. Ciascuna delle sue 6 procedure Φ attivata con una probabilitα su sei.
  27335.  
  27336. Una procedura mostra il seguente messaggio:
  27337.  
  27338. "   Thank's for using Microsloth Warp for Windblowz   "
  27339.  
  27340. Altre procedure creano 20 nuovi documenti o cancellano tutti 
  27341. i file della directory principale (C:\*.*).
  27342.  
  27343. Wazzu.H infetta il modello di documento principale quando 
  27344. un documento infetto viene aperto. 
  27345. Anche altri file si infettano quando vengono aperti (AutoOpen).
  27346.  
  27347. [Word_Wazzu.I]
  27348. Nome del virus: Word.Wazzu.I
  27349. Tipo di Virus: Virus da macro di Word
  27350. Numero di Macro: 1
  27351. Criptato: No
  27352. Nomi delle Macro: AutoOpen
  27353. Lunghezza della Macro: 333 Byte
  27354. Paese di origine: Sconosciuto
  27355. Data di origine: 1996
  27356. Distruttivo: No
  27357. Rilevato In The Wild: No
  27358. Descrizione:
  27359.  
  27360. La principale differenza tra questa nuova variante  ed i 
  27361. precedenti virus Wazzu Φ che Wazzu.I Φ un altro virus da 
  27362. macro con alcuni codici modificati e nessuna procedura. 
  27363.  
  27364. Infetta il modello di documento principale (normal.dot) 
  27365. quando un documento infetto Φ aperto. 
  27366. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27367.  
  27368. [Word_Wazzu.J]
  27369. Nome del virus: Word.Wazzu.J
  27370. Tipo di Virus: Virus da macro di Word
  27371. Numero di Macro: 1
  27372. Criptato: No
  27373. Nomi delle Macro: AutoOpen
  27374. Lunghezza della Macro: 675 Byte
  27375. Paese di origine: Sconosciuto
  27376. Data di origine: 1996
  27377. Distruttivo: Si
  27378. Rilevato In The Wild: Si
  27379. Descrizione:
  27380.  
  27381. La differenza tra questa nuova versione e l'originale virus
  27382. Wazzu.A Φ che sono stati cancellati alcuni spazi dalla macro 
  27383. del codice virale.  
  27384.  
  27385. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  27386.  
  27387. [Word_Wazzu.K]
  27388. Nome del virus: Word.Wazzu.K
  27389. Tipo di Virus: Virus da macro di Word
  27390. Numero di Macro: 1
  27391. Criptato: No
  27392. Nomi delle Macro: AutoOpen
  27393. Lunghezza della Macro: 632 Byte
  27394. Paese di origine: Sconosciuto
  27395. Data di origine: 1996
  27396. Distruttivo: No
  27397. Rilevato In The Wild: No
  27398. Descrizione:
  27399.  
  27400. La principale differenza tra questa nuova variante  ed i 
  27401. precedenti virus Wazzu Φ che Wazzu.K Φ un altro virus da 
  27402. macro con alcuni codici modificati e nessuna procedura. 
  27403.  
  27404. Infetta il modello di documento principale (normal.dot) 
  27405. quando un documento infetto Φ aperto. 
  27406. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27407.  
  27408. [Word_Wazzu.L]
  27409. Nome del virus: Word.Wazzu.L
  27410. Tipo di Virus: Virus da macro di Word
  27411. Numero di Macro: 1
  27412. Criptato: No
  27413. Nomi delle Macro: AutoOpen
  27414. Lunghezza della Macro: 347 Byte
  27415. Paese di origine: Sconosciuto
  27416. Data di origine: 1996
  27417. Distruttivo: Si
  27418. Rilevato In The Wild: No
  27419. Descrizione:
  27420.  
  27421. La principale differenza tra questa nuova variante  ed i 
  27422. precedenti virus Wazzu Φ che Wazzu.L ha alcuni codici modificati.
  27423.  
  27424. Infetta il modello di documento principale quando Φ aperto 
  27425. un documento infetto. Anche altri documenti divengono infetti 
  27426. quando vengono aperti (AutoOpen).
  27427.  
  27428. Quando un utente apre un documento, Wazzu.L aggiunge il 
  27429. seguente testo alla fine del documento:
  27430.  
  27431. "   wazzu!   "
  27432.  
  27433. [Word_Wazzu.M]
  27434. Nome del virus: Word.Wazzu.M
  27435. Tipo di Virus: Virus da macro di Word
  27436. Numero di Macro: 1
  27437. Criptato: No
  27438. Nomi delle Macro: AutoOpen
  27439. Lunghezza della Macro: 443 Byte
  27440. Paese di origine: Sconosciuto
  27441. Data di origine: 1996
  27442. Distruttivo: No
  27443. Rilevato In The Wild: No
  27444. Descrizione:
  27445. La principale differenza tra questa nuova variante  ed i precedenti 
  27446. virus Wazzu Φ che Wazzu.M Φ un altro virus da macro con alcuni 
  27447. codici modificati e una procedura alterata. 
  27448. A causa dell'alterazione, Word mostra un messaggio d'errore.
  27449.  
  27450. Infetta il modello di documento principale (normal.dot) quando 
  27451. un documento infetto Φ aperto. 
  27452. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27453.  
  27454.  
  27455. [Word_Wazzu.N]
  27456. Nome del virus: Word.Wazzu.N
  27457. Tipo di Virus: Virus da macro di Word
  27458. Numero di Macro: 1
  27459. Criptato: No
  27460. Nomi delle Macro: AutoOpen
  27461. Lunghezza della Macro: 432 Byte
  27462. Paese di origine: Sconosciuto
  27463. Data di origine: 1996
  27464. Distruttivo: Si
  27465. Rilevato In The Wild: No
  27466. Descrizione:
  27467.  
  27468. La principale differenza tra questa nuova variante  ed i precedenti 
  27469. virus Wazzu Φ che il codice Φ stato leggermente modificato.
  27470.  
  27471. Infetta il modello di documento principale (normal.dot) quando 
  27472. un documento infetto Φ aperto. 
  27473. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27474.  
  27475. [Word_Wazzu.O]
  27476. Nome del virus: Word.Wazzu.O
  27477. Tipo di Virus: Virus da macro di Word
  27478. Numero di Macro: 1
  27479. Criptato: No
  27480. Nomi delle Macro: AutoOpen
  27481. Lunghezza della Macro: 309 Byte
  27482. Paese di origine: Sconosciuto
  27483. Data di origine: 1996
  27484. Distruttivo: No
  27485. Rilevato In The Wild: Si
  27486. Descrizione:
  27487.  
  27488. La principale differenza tra questa nuova variante  ed i 
  27489. precedenti virus Wazzu Φ che Wazzu.O Φ un altro virus da 
  27490. macro con alcuni codici modificati e nessuna procedura. 
  27491.  
  27492. Infetta il modello di documento principale (normal.dot) 
  27493. quando un documento infetto Φ aperto. Altri documenti 
  27494. si infettano quando vengono aperti (AutoOpen).
  27495.  
  27496. [Word_Wazzu.P]
  27497. Nome del virus: Word.Wazzu.P
  27498. Tipo di Virus: Virus da macro di Word
  27499. Numero di Macro: 1
  27500. Criptato: No
  27501. Nomi delle Macro: AutoOpen
  27502. Lunghezza della Macro: 460 Byte
  27503. Paese di origine: Sconosciuto
  27504. Data di origine: 1996
  27505. Distruttivo: No
  27506. Rilevato In The Wild: Si
  27507. Descrizione:
  27508.  
  27509. La differenza tra questa nuova versione e l'originale virus
  27510. Wazzu.A α che le procedure sono state cancellate dal codice.
  27511.  
  27512. Wazzu.P Φ ancora in grado di infettare il modello di documento 
  27513. principale quando un documento infetto Φ aperto. 
  27514. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27515.  
  27516. [Word_Wazzu.Q]
  27517. Nome del virus: Word.Wazzu.Q
  27518. Tipo di Virus: Virus da macro di Word
  27519. Numero di Macro: 1
  27520. Criptato: No
  27521. Nomi delle Macro: AutoOpen
  27522. Lunghezza della Macro: 331 Byte
  27523. Paese di origine: Sconosciuto
  27524. Data di origine: 1996
  27525. Distruttivo: No
  27526. Rilevato In The Wild: No
  27527. Descrizione:
  27528.  
  27529. La principale differenza tra questa nuova variante  ed 
  27530. i precedenti virus Wazzu Φ che Wazzu.Q Φ un altro virus 
  27531. da macro con alcuni codici modificati e nessuna procedura. 
  27532.  
  27533. Infetta il modello di documento principale (normal.dot) 
  27534. quando un documento infetto Φ aperto. 
  27535. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27536.  
  27537. [Word_Wazzu.R]
  27538. Nome del virus: Word.Wazzu.R
  27539. Tipo di Virus: Virus da macro di Word
  27540. Numero di Macro: 1
  27541. Criptato: Si
  27542. Nomi delle Macro: AutoOpen
  27543. Lunghezza della Macro: 552 Byte
  27544. Paese di origine: Sconosciuto
  27545. Data di origine: 1996
  27546. Distruttivo: No
  27547. Rilevato In The Wild: No
  27548. Descrizione:
  27549.  
  27550. Wazzu.R Φ una variante di minor importanza di Wazzu.F con alcuni 
  27551. codici aggiunti. C'Φ una probabilitα su dieci che Wazzu.R mostri 
  27552. il seguente messaggio: 
  27553.  
  27554. "   This one's for you, Bosco.   "
  27555.  
  27556. Wazzu.R Infetta il modello di documento principale (normal.dot) 
  27557. quando un documento infetto Φ aperto. 
  27558. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27559.  
  27560.  
  27561. [Word_Wazzu.S]
  27562. Nome del virus: Word.Wazzu.S
  27563. Tipo di Virus: Virus da macro di Word
  27564. Numero di Macro: 1
  27565. Criptato: No
  27566. Nomi delle Macro: AutoOpen
  27567. Lunghezza della Macro: 343 Byte
  27568. Paese di origine: Sconosciuto
  27569. Data di origine: 1996
  27570. Distruttivo: No
  27571. Rilevato In The Wild: No
  27572. Descrizione:
  27573.  
  27574.  
  27575. La principale differenza tra questa nuova variante  ed i 
  27576. precedenti virus Wazzu Φ che Wazzu.S Φ un altro virus da macro 
  27577. con alcuni codici modificati e una procedura alterata.
  27578.  
  27579. A causa dell'alterazione, Word mostra un messaggio d'errore.
  27580.  
  27581. Infetta il modello di documento principale (normal.dot) quando 
  27582. un documento infetto Φ aperto. 
  27583. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27584.  
  27585. [Word_Wazzu.T]
  27586. Nome del virus: Word.Wazzu.T
  27587. Tipo di Virus: Virus da macro di Word
  27588. Numero di Macro: 1
  27589. Criptato: No
  27590. Nomi delle Macro: AutoOpen
  27591. Lunghezza della Macro: 431 Byte
  27592. Paese di origine: Sconosciuto
  27593. Data di origine: 1996
  27594. Distruttivo: No
  27595. Rilevato In The Wild: No
  27596. Descrizione:
  27597.  
  27598. La principale differenza tra questa nuova variante  
  27599. ed i precedenti virus Wazzu Φ che Wazzu.T Φ un altro virus 
  27600. da macro con alcuni codici modificati e nessuna procedura. 
  27601.  
  27602. Infetta il modello di documento principale (normal.dot) 
  27603. quando un documento infetto Φ aperto. 
  27604. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27605.  
  27606. [Word_Wazzu.U]
  27607. Nome del virus: Word.Wazzu.U
  27608. Tipo di Virus: Virus da macro di Word
  27609. Numero di Macro: 1
  27610. Criptato: No
  27611. Nomi delle Macro: AutoOpen
  27612. Lunghezza della Macro: 621 Byte
  27613. Paese di origine: Sconosciuto
  27614. Data di origine: 1996
  27615. Distruttivo: Si
  27616. Rilevato In The Wild: No
  27617. Descrizione:
  27618.  
  27619. La principale differenza tra questa nuova variante  ed 
  27620. i precedenti virus Wazzu Φ che Wazzu.U ha il codice leggermente modificato.
  27621.  
  27622. Infetta il modello di documento principale (normal.dot) quando un 
  27623. documento infetto Φ aperto. Altri documenti si infettano 
  27624. quando vengono aperti (AutoOpen).
  27625.  
  27626. La procedura Φ simile all'originale virus Wazzu. 
  27627. Ci sono 3 possibilitα su 5 che una parola, nel documento attivo, 
  27628. sia spostata.
  27629.  
  27630. [Word_Wazzu.V]
  27631. Nome del virus: Word.Wazzu.V
  27632. Tipo di Virus: Virus da macro di Word
  27633. Numero di Macro: 1
  27634. Criptato: No
  27635. Nomi delle Macro: AutoOpen
  27636. Lunghezza della Macro: 375 Byte
  27637. Paese di origine: Sconosciuto
  27638. Data di origine: Sconosciuta
  27639. Distruttivo: No
  27640. Rilevato In The Wild: No
  27641. Descrizione:
  27642.  
  27643. La principale differenza tra questa nuova variante  
  27644. ed i precedenti virus Wazzu Φ che Wazzu.V Φ un altro virus 
  27645. da macro con alcuni codici modificati e nessuna procedura. 
  27646.  
  27647. Infetta il modello di documento principale (normal.dot) 
  27648. quando un documento infetto Φ aperto. 
  27649. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27650.  
  27651. Nel proprio codice contiene anche il seguente commento:
  27652.  
  27653. "   REM This macro wipes out the Wazzu Virus!   "
  27654.  
  27655. [Word_Wazzu.W]
  27656. Nome del virus: Word.Wazzu.W
  27657. Tipo di Virus: Virus da macro di Word
  27658. Numero di Macro: 1
  27659. Criptato: No
  27660. Nomi delle Macro: AutoOpen
  27661. Lunghezza della Macro: 332 Byte
  27662. Paese di origine: Sconosciuto
  27663. Data di origine: 1996
  27664. Distruttivo: No
  27665. Rilevato In The Wild: No
  27666. Descrizione:
  27667.  
  27668. La principale differenza tra questa nuova variante  ed i 
  27669. precedenti virus Wazzu Φ che Wazzu.W Φ un altro virus da 
  27670. macro con alcuni codici modificati e nessuna procedura. 
  27671.  
  27672. Infetta il modello di documento principale (normal.dot) 
  27673. quando un documento infetto Φ aperto. 
  27674. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27675.  
  27676. [Word_Wazzu.X]
  27677. Nome del virus: Word.Wazzu.X
  27678. Tipo di Virus: Virus da macro di Word
  27679. Numero di Macro: 1
  27680. Criptato: No
  27681. Nomi delle Macro: AutoOpen
  27682. Lunghezza della Macro: 617 Byte
  27683. Paese di origine: Sconosciuto
  27684. Data di origine: 1996
  27685. Distruttivo: No
  27686. Rilevato In The Wild: Si
  27687. Descrizione:
  27688.  
  27689. La principale differenza tra questa nuova variante  ed i precedenti 
  27690. virus Wazzu Φ che Wazzu.X Φ un altro virus da macro con alcuni codici 
  27691. modificati e nessuna procedura. 
  27692.  
  27693. Infetta il modello di documento principale (normal.dot) quando 
  27694. un documento infetto Φ aperto. 
  27695. Altri documenti si infettano quando vengono aperti (AutoOpen).
  27696.  
  27697. Wazzu.X Nel proprio codice contiene anche il seguente commento:
  27698.  
  27699. "   The Meat Grinder virus - Thanks to Kermit the Frog,   "
  27700. "             ' and Kermit the Protocol                 "
  27701.  
  27702. Wazzu.X Φ in grado di convertirsi al formato di Word97 (Word8).
  27703.  
  27704. [Word_Wazzu.Z]
  27705. Nome del virus: Word.Wazzu.Z
  27706. Tipo di Virus: Virus da macro di Word
  27707. Numero di Macro: 1
  27708. Criptato: No
  27709. Nomi delle Macro: AutoOpen
  27710. Lunghezza della Macro: 666 Byte
  27711. Paese di origine: Sconosciuto
  27712. Data di origine: Sconosciuta
  27713. Distruttivo: Si
  27714. Rilevato In The Wild: No
  27715. Descrizione:
  27716.  
  27717. La principale differenza tra questa nuova variante  ed il precedente
  27718. Wazzu Φ che Wazzu.Z ha il codice leggermente modificato.
  27719.  
  27720. Infetta il modello di documento principale quando un documento 
  27721. infetto viene aperto. 
  27722. Altri documenti divengono infetti quando vengono aperti (AutoOpen).
  27723.  
  27724. La procedura Φ simile a quella originale di Wazzu. 
  27725. Per ulteriori informazioni, vedere la descrizione di Wazzu.A.
  27726.  
  27727. [Word_Wazzu.Y]
  27728. Nome del virus: Word.Wazzu.Y
  27729. Tipo di Virus: Virus da macro di Word
  27730. Numero di Macro: 1
  27731. Criptato: No
  27732. Nomi delle Macro: AutoOpen
  27733. Lunghezza della Macro: 652 Byte
  27734. Paese di origine: Sconosciuto
  27735. Data di origine: Sconosciuta
  27736. Distruttivo: Si
  27737. Rilevato In The Wild: No
  27738. Descrizione:
  27739.  
  27740. La differenza tra questa nuova versione e l'originale virus
  27741. Wazzu.A Φ che alcune TABs sono state rimpiazzate da spazi nelle istruzioni.  
  27742. Ci≥ non ha effetti sul comportamento di questa nuova variante .
  27743.  
  27744. Per ulteriori informazioni, vedere la descrizione di Wazzu.A virus.
  27745.  
  27746. [Word.Trojan.Wieder.A (a.k.a. Pferd, Wieder÷ffnen)]
  27747. Nome del virus: Word.Trojan.Wieder.A (a.k.a. Pferd, Wieder÷ffnen)
  27748. Tipo di Virus: Virus da macro di Word
  27749. Numero di Macro: 2
  27750. Criptato: No
  27751. Nomi delle Macro: AutoOpen, AutoClose
  27752. Lunghezza della Macro: 638 Byte
  27753. Paese di origine: Germania
  27754. Data di origine: Primavera 1996
  27755. Distruttivo: Si
  27756. Rilevato In The Wild: No
  27757. Descrizione:
  27758.  
  27759. Wieder non Φ un virus ma un cavallo di Troia. Non infetta altri file.
  27760.  
  27761. Quando viene aperto un documento infetto, Wieder crea la
  27762. directory "C:\TROJA", e sposta il file di sistema
  27763. "C:\AUTOEXEC.BAT" nella nuova cartella.
  27764. Dopo aver spostato il file, i file originali vengono cancellati.
  27765.  
  27766. Quando si chiude un documento infetto, vengono mostrati i seguenti messaggi:
  27767.  
  27768. "   Auf Wieder÷ffnen   "
  27769.  
  27770. "   P.S: Falls Sie Ihre AUTOEXEC.BAT - Datei   "
  27771. "   gerne wiederhaben moechten, sollten Sie einen   "
  27772. "   Blick in das neue Verzeichnis C:\TROJA werfen...   "
  27773.  
  27774. Il documento originale, Che include il cavallo di Troia, ha 
  27775. i seguenti messaggi:
  27776.  
  27777. "   Trojanisches Pferd   "
  27778. "   Wenn Sie diese Zeilen lesen, wurde bereits Ihre AUTOEXEC.BAT-   "
  27779. "   Datei aus dem Hauptverzeichnis C:\ entfernt. Hoffentlich haben   "
  27780. "   Sie eine Kopie davon ?   "
  27781.  
  27782. "   Genauso einfach waere es gewesen, Ihre Festplatte zu loeschen   "
  27783. "   und mit ein klein wenig mehr Aufwand koennte man auch einen   "
  27784. "   Virus installieren.   "
  27785.  
  27786. [Word_Xenixos.A (a.k.a. Nemesis, Evil One, XOS)]
  27787. Nome del virus: Word.Xenixos.A (a.k.a. Nemesis, Evil One, XOS)
  27788. Tipo di Virus: Virus da macro di Word
  27789. Numero di Macro: 11
  27790. Criptato: Si
  27791. Nomi delle Macro: AutoExec, AutoOpen, DateiBeenden, DateiDrucken,
  27792.              DateiDruckenStandard, DateiOeffnen, DateiSpeichern,
  27793.              SateiSpeichernUnter, Drop, Dummy, ExtrasMakro
  27794. Lunghezza della Macro: 31342 Byte
  27795. Paese di origine: Austria
  27796. Data di origine: Febbraio 1996
  27797. Distruttivo: Si
  27798. Rilevato In The Wild: No
  27799. Descrizione:
  27800.  
  27801. Xenixos Φ il primo virus da macro scritto espressamente per 
  27802. la versione tedesca di Microsoft Word. Tutti i nomi delle macro 
  27803. sono in tedesco, quindi Φ attivo solamente con la versione tedesca di Word
  27804.  
  27805. L'infezione del modello principale (NORMAL:DOT) include anche le 
  27806. seguenti macro:
  27807.  
  27808. "AutoClose"
  27809. "AutoExit"
  27810. "AutoNew"
  27811.  
  27812. Quando viene aperto un documento infetto, Xenixon infetta il modello 
  27813. principale a meno che  la macro "DateiSpeichernUnter" sia ancora presente.  
  27814. Xenixon si diffonde usando "DateiSpeichern" (salva file) e 
  27815. "DateiSpeichernUnter" (Salva file come..."). 
  27816. Tutte la macro sono Execute-Only, quindi non possono essere viste o modificate. 
  27817. I file chiamati "VIRUS.DOT" non saranno infettati.
  27818.  
  27819. Durante l'infezione, Xenixon controlla la data del sistema e attiva 
  27820. diversi meccanismi (procedure) distruttivi regolati con la data. 
  27821. Durante il mese di Maggio aggiunge a "C:\AUTOEXEC.BAT" il seguente testo:
  27822.  
  27823. "   @echo j format c: /u > nul   "
  27824.  
  27825. Questo comando formatterα l'unitα C:\
  27826.  
  27827. Durante il mese di Marzo, Xenixos cerca di attivare il virus per 
  27828. DOS "Neuroquila" usando lo script  DOS DEBUG. Questa parte del 
  27829. virus Φ imperfetta (cerca di creare un file con estensione .EXE) 
  27830. e quindi il virus per DOS non infetterα mai il sistema.
  27831.  
  27832. Il terzo meccanismo distruttivo valuta l'ora del sistema 
  27833. e in caso di valori pi∙ grandi di 45 nel campo dei secondi, 
  27834. aggiungerα la password "XENIXOS" al documento salvato.
  27835.  
  27836. Durante la stampa di un documento, Xenixos valuta ancora 
  27837. la data del sistema, e in caso di valori minori di 30 nel 
  27838. campo dei secondi aggiungerα alla fine del documento stampato la seguente scritta:
  27839.  
  27840. "   Nemesis Corp.   "
  27841.  
  27842. Xenixos inoltre sostituisce Tools|Macro per rendere 
  27843. l'individuazione di un documento infetto pi∙ difficile 
  27844. (chiamata tecnica macro stealth).  
  27845. Il nuovo codice mostra il seguente messaggio d'errore invece 
  27846. di attivare la macro di Word. viewer/editor:
  27847.  
  27848. "   Diese Option ist derzeit leider nicht verfuegbar   "
  27849.  
  27850. In pi∙ Xenixos sostituisce la sezione "Compatibility" all'interno 
  27851. del file WIN.INI. Stabilisce la variabile "RR"CD"  
  27852. nel valore "0x0020401" e la variabile "Diag$" allo "0". 
  27853. La variabile "WIN.INI" pu≥ essere usata per disattivare il virus. 
  27854. Impostando la variabile "Diag$" su "1" si potranno prevenire 
  27855. la maggior parte dei meccanismi distruttivi.
  27856.  
  27857. [Word_Xenixos.B]
  27858. Nome del virus: Word.Xenixos.B
  27859. Tipo di Virus: Virus da macro di Word
  27860. Numero di Macro: 11 (24)
  27861. Criptato: Si
  27862. Nomi delle Macro: Drop, Dummy, AutoExec, AutoOpen, DateiOEffnen,
  27863.              ExtrasMakro, DateiBeenden, DateiDrucken,
  27864.              DateiSpeichern, DateiSpeichernUnter,
  27865.              DateiDruckenStandard
  27866. Lunghezza della Macro: 31342 Byte
  27867. Paese di origine: Germania
  27868. Data di origine: Febbraio 1996
  27869. Distruttivo: Si
  27870. Rilevato In The Wild: No
  27871. Descrizione:
  27872.  
  27873. La differenza tra questa nuova versione e l'originale
  27874. Xenixos.A i primi 4 Byte della macro
  27875. "DateiDruckenStandard" sono cambiati.
  27876. Questa nuova variante  Φ ancora attiva ed infetta altri documenti.
  27877.  
  27878. Xenixos.B lavora solamente con la versione tedesca di Word, 
  27879. dato che i nomi delle macro sono in tedesco.
  27880. Per ulteriori informazioni, vedere la descrizione di Xenixos.A virus.
  27881.  
  27882. [Word_Zero.A:De]
  27883. Nome del virus: Word.Zero.A:De
  27884. Tipo di Virus: Virus da macro di Word
  27885. Numero di Macro: 9
  27886. Criptato: Si
  27887. Nomi delle Macro: dok, dsu, wrd, extrasmakro, dateischliessen,
  27888.              dateispeichern, dateidokvorlagen,dokumentschliessen,
  27889.              dateispeichernunter
  27890. Lunghezza della Macro: 727 Byte
  27891. Paese di origine: Germania
  27892. Data di origine: Febbraio 1997
  27893. Distruttivo: No
  27894. Rilevato In The Wild: No
  27895. Descrizione:
  27896.  
  27897. Zero usa una nuova tecnica di infezione. Invece di infettare il 
  27898. modello di documento principale (normal.dot), crea un file (0.DOT) 
  27899. nella cartella "STARTUP" (default: C:\MSOFFICE\WINWORD\STARTUP).
  27900.  
  27901. Zero si attiva quando si seleziona l'opzione "DokumentSchliessen" o
  27902. "Extrasmacro". Dopo aver creato un file 0.dot copia le macro del 
  27903. virus nel documento attivo quando viene selezionata l'opzione
  27904. "DateiSpeichern" o "DateiSpeichernUnter".
  27905.  
  27906. Zero usa anche "Extrasmacro" per rendere l'individuazione di 
  27907. un documento infetto pi∙ difficile (chiamata tecnica macro stealth).
  27908.  
  27909. [Word_Generic]
  27910. Nome del virus: Word.Generic (ogni virus da macro sconosciuto)
  27911. Tipo di virus: Virus da macro di Word
  27912. Numero di Macro: Dipendente dal virus
  27913. Criptato: Dipendente dal virus
  27914. Nomi delle Macro: Dipendente dal virus
  27915. Lunghezza della Macro: Dipendente dal virus
  27916. Paese di origine: Ovunque
  27917. Data di origine: Dipendente dal virus
  27918. Distruttivo: Dipendente dal virus
  27919. Rilevato In The Wild: Dipendente dal virus
  27920. Descrizione:
  27921.  
  27922. "Word.Generic Macro Virus" Φ il generico nome usato dalla 
  27923. "Trend Micro's antivirus researchers" per descrivere i virus 
  27924. da macro di origine sconosciuta e per individuarne la procedura con MacroTrap.
  27925.  
  27926. Diversamente dalle metodologie normalmente usate per evidenziare 
  27927. virus conosciuti, la Trend Micro MacroTrap identifica i virus da 
  27928. macro che non sono stati mai precedentemente evidenziati 
  27929. dai ricercatori di antivirus. Alcuni virus possono esistere 
  27930. sia "in the Wild" (virus che infettano degli utenti) 
  27931. oppure "in the Zoo," (virus conosciuti solamente dai ricercatori di antivirus).
  27932.  
  27933. Prima che un prodotto antivirus possa scoprire e pulire della 
  27934. macro di virus sconosciute, il virus deve essere trovato ed isolato. 
  27935. Il virus Φ quindi analizzato per capire le sue procedure di 
  27936. danneggiamento ed una "segnatura" Φ sviluppata cos∞ il virus 
  27937. pu≥ essere velocemente identificato e rimosso dai file infetti. 
  27938. La segnatura Φ incorporata nel pattern file del virus che Φ reso 
  27939. accessibile al pubblico, normalmente a intervalli bisettimanali .
  27940.  
  27941. Ma dato che Φ facile creare e diffondere virus da macro, 
  27942. non Φ possibile fare affidamento solamente sui virus pattern 
  27943. ed aggiornare le segnature per identificare la quantitα dei 
  27944. nuovi virus da macro. Considerando che i "virus kits" sono ora 
  27945. disponibili su  Internet, e considerando la grande quantitα di e-mail, 
  27946. l'unica soluzione a lungo termine contro l'enorme quantitα 
  27947. di virus da macro sono le regole della Trend basate su MacroTrap.
  27948.  
  27949. Le macro da virus sconosciuti variano in complessitα e variano 
  27950. dall'innocuo ( Esempio l'originale virus Word.Concept) a quello 
  27951. particolarmente distruttivo (Esempio, Word.MDMA, cancella tutti 
  27952. i file dell'hard disk). Quando MacroTrap rileva e pulisce i file 
  27953. infettati da virus da macro di Word, viene eliminato sia il virus 
  27954. che la macro. Possono essere cancellate o isolate, a seconda delle 
  27955. preferenze dell'utente.
  27956.  
  27957. Trend Micro Φ la prima a sviluppare questa tecnologia ed abbiamo 
  27958. incorporato nella nostra completa linea di prodotti antivirus, 
  27959. per aumentare il nostro "award winning 32-bit", motore di scansione 
  27960. multi-threading.
  27961.  
  27962. [Jerusalem.1244]
  27963. Tipo di Virus: Virus da file
  27964. Altri nomi:
  27965. Lunghezza del Virus: 1456 Byte
  27966. Modalitα di infezione: non reinfettante
  27967. Luogo d'origine:
  27968. Tipo di memoria: MCB 
  27969. Vettore PC agganciato: Int 21h, Int 8h
  27970.  
  27971. Metodo di infezione:
  27972. 1) Modifica la memoria allocata, BX=5Eh e ES=114Ch intercettando 
  27973. l'int 21h, lo imposta all'interrupt, questa volta 
  27974. intercettando l'int 8h e lo imposta.
  27975. 2) Controlla che la data di sistema sia l'1 Gennaio, 
  27976. Se "SI" sposta il valore di 0h a DS:[0003]; lo porta 
  27977. immediatamente a DS:[0003].
  27978. 4) Restituisce l'indirizzo 114ch a ES quindi prende i dati memorizzati
  27979.  in ES:[2C] e li mette ES. Quindi libera la memoria,  all'indirizzo ES=1043 
  27980. del paragrafo di partenza dei blocchi di memoria. 
  27981. 4) Va al codice di ritorno figlio, termina e rimane residente in memoria
  27982.  
  27983. [Jerusalem.1500]
  27984. Tipo di Virus: Virus da file
  27985. Lunghezza del Virus: 2160 Byte
  27986. Modalitα di reinfezione: non reinfettante
  27987. Luogo d'origine:
  27988. Tipo di memoria: MCB 
  27989. Vettore PC agganciato: Int 21h
  27990.  
  27991. Metodo di infezione:
  27992. 1) Imposta una nuova data di sistema ma la data specificata non Φ valida.
  27993. 2) Modifica la memoria BX=80h e ES=114Ch.
  27994.  
  27995. [Mummy-2].
  27996. Tipo di Virus: Virus da file.
  27997. Lunghezza del Virus: 1648 Byte.
  27998. Tipo di memoria infettata: MCB .
  27999. Vettore PC agganciato: Int 21h.
  28000.  
  28001. Metodo di infezione:
  28002. 1) Cripte la data trovata dall'indirizzo 1152:049Eh a 1152:04E5h
  28003.    e compone 
  28004. "PC Virus Mummy Ver. 2.1.Kaohsiung Senior School Tzeng Jau Ming presents" 
  28005. poi salva l'indirizzo di ES in CS:[494], [458], [442], [446], [44A].
  28006. 2) Aggiunge 10h all'indirizzo di ES e lo memorizza in CS:[400] e [45C].
  28007. 3) Sposta  l'header originale del programma per essere pronto 
  28008. all'esecuzione, modifica la memoria allocata, ed ottiene il 
  28009. vettore dell'interrupt.
  28010. 4) Salva il valore di ES e BX all'indirizzo CS:[044C] e CS:[044E]
  28011. rispettivamente.
  28012. 5) Esegue il programma figlio.
  28013.  
  28014. Metodo di rilevazione: Cercare il seguente messaggio:
  28015. "PC Virus Mummy Ver 2.1 Kaohsiung Senior School Tzeng Jan Ming
  28016. presents"
  28017.  
  28018. [Jers-Zero-Aust.A]
  28019. Tipo di Virus: Virus da file
  28020. Lunghezza del Virus: 2000 Byte
  28021. Condizioni d'attivazione: Deve essere scaduto il 1992 , 
  28022. il giorno deve essere venerd∞
  28023. Modalitα di reinfezione: non reinfettante
  28024. Tipo di memoria: MCB 
  28025. Vettore PC agganciato: Int 21h
  28026.  
  28027. Metodo di infezione:
  28028. Il virus Φ ovviamente di tipo softmice, essendo criptati
  28029. CS:[SI] o 114C:[11E] a 114C:[7AD] facendo un XOR con valore 
  28030. esadecimale 0Eh, quindi cripta CS:[SI] nuovamente ma questa volta da 115C:[EB] a
  28031. 115C:[159], XOR da 1Eh, IEh aumenta di 1, aggancia
  28032. fino a 6Fh. Quindi salva ES che Φ 114C in quattro diversi punti. 
  28033. Aggiunge quindi 10h a 114Ch e salva in CS:[0115]
  28034. aggiungendo ci≥ che vi Φ immagazzinato e CS:[0111]. 
  28035. Quindi sostituisce la data di memorizzazione DS:SI con ES:DI che sono 
  28036. le stesse. Non sono state eseguite sostituzioni. 
  28037. Modifica quindi la memoria allocata, BX=9Bh e ES=114Ch. 
  28038. Ottiene l'interrupt intercettando Int 21h, quindi lo imposta. 
  28039. Controlla che l'anno sia almeno il 1992 e che il giorno sia venerd∞. 
  28040. Libera quindi la memoria allocata poi acquisisce il processo generato. 
  28041. Infine termina e resta in memoria.
  28042.  
  28043. Mentre Φ in memoria, il virus infetta ogni file con estensione *.COM e/o *.EXE.
  28044. Non si carica se Φ giα in memoria.
  28045.  
  28046. [MacGyver.2803.A]
  28047. Tipo di Virus: Virus da file (file con estensione *.EXE)
  28048. Lunghezza del Virus: 2803 Byte
  28049. Tipo di memoria: MCB Residente in memoria
  28050. Luogo d'origine:
  28051.  
  28052. Vettore PC agganciato: INT 01h, INT 21h
  28053.  
  28054. Metodo di infezione:
  28055. 1) Sposta il suo code in memoria vicino alla MCB.
  28056. 2) Il codice Φ residente in memoria.
  28057. 3) Da il controllo a dove era stato trasferito il codice e 
  28058. quindi chiama la funzione "Get DOS Version No."
  28059. 4) Intercetta l'INT 1 e l'INT 21.
  28060. 5) Modifica il blocco di memoria e aggiunge 3072 Byte.
  28061.  
  28062. Nota:
  28063. Questo virus intercetta l'INT 01h (un interrupt a passo singolo 
  28064. usato da un debugger come DEBUG e LDR).
  28065.  
  28066. [Backform.2000.A1]
  28067. Tipo di Virus: Virus da file (File con estensione *.COM)
  28068. Lunghezza del Virus: 1855 Byte
  28069. Tipo di memoria: Non residente in memoria 
  28070. Luogo d'origine:
  28071.  
  28072. Vettore PC agganciato:
  28073.  
  28074. Metodo di infezione:
  28075. 1) Cerca COMMAND.COM in drive C. Se non lo trova, il virus
  28076.   si disattiva. Se il file Φ presente, controlla che il suo 
  28077. primo byte sia un'istruzione di salto (E9H). Se "SI" lo infetta; 
  28078. se "NO", il virus
  28079.    si disattiva senza lasciare danni al file.
  28080.    Dopo essersi agganciato al file il virus viene eseguito ogni volta 
  28081. che viene avviato il sistema.
  28082. 2) Controlla che il mese corrente sia giugno. Se "SI", cerca ed infetta
  28083.  i file con estensione *.COM in drive A.
  28084.  
  28085. Danni:
  28086.  
  28087. Metodo di rilevazione: I file infetti incrementano le loro 
  28088. dimensioni di 2051 Byte.
  28089.  
  28090. Note:
  28091.  
  28092. [Vacsina_2]
  28093. Pseudonimo: VACSINA
  28094. Luogo d'origine:
  28095. Tipo di Virus: Virus da file
  28096. Lunghezza del Virus:
  28097. Tipo di reinfezione: Non reinfetta
  28098. Tipo di memoria: Tipo MCB 
  28099.  
  28100. Vettore PC agganciato: INT 21h
  28101.  
  28102. Metodo di infezione:
  28103. 1) Si carica in memoria alta. Carica 1216 Byte nella memoria.
  28104. 2) Infetta i file con estensione *.COM e *.EXE. Copia il codice 
  28105. del virus nel programma ospite.
  28106. Prima di girare nel programma ospite il virus si carica. Mentre Φ 
  28107. in memoria, infetta tutti i file che vengono aperti.
  28108.  
  28109. Note:
  28110. Il virus cerca di creare un nuovo indirizzo per far girare il suo codice.
  28111. Questo serve per far interagire il programma ospite con il virus. 
  28112. Utilizzando l'Int 21, funzione 50. Quello che fa principalmente, Φ comunicare 
  28113. al sistema operativo che il codice TSR Φ il processo principale 
  28114. invece del programma. Questo crea una esecuzione iniziale piuttosto 
  28115. che eseguire prima il codice originale.
  28116. In questo modo il virus Φ in grado di girare e poi di copiarsi 
  28117. nel programma ospite usando l'Int 21, funzioni 35 e 25. 
  28118. L'operazione di copiatura termina quando il codice del virus 
  28119. imposta il DTA. Con questa procedura il virus pu≥ inserirsi 
  28120. nel programma ospite e girare in futuro. 
  28121.  
  28122. [BADSECTOR.3428]
  28123. Nome del Virus: BADS3428
  28124. Tipo di Virus:  Parassita, Virus da file (File con estensione *.COM)
  28125. Lunghezza del Virus: 3,434 Byte
  28126. Nome originale: BAD SECTOR 1.2
  28127. Tipo di memoria: residente in memoria alta
  28128. Luogo d'origine:
  28129.  
  28130. Vettore PC agganciato: INT 8h, INT 16h, INT 26h, INT 21h, INT 25h
  28131.  
  28132. Metodo di infezione:
  28133. Il virus infetta solo i file con estensione *.COM. Incrementa la 
  28134. lunghezza di un file infetto di 3,434 Byte. 
  28135. Il virus infetta il file ospite attaccandosi alla fine del file. 
  28136. Il virus risiede in memoria quando si carica ed esegue un file infetto. 
  28137. Mentre Φ in memoria pu≥ alterare altri file con estensione *.COM nel 
  28138. disco quando viene aperto o copiato un file e a volte causare un 
  28139. errore di assegnazione in memoria. 
  28140. E' inoltre in grado di nascondere la variazione di lunghezza 
  28141. dei file infetti quando Φ in memoria. Il virus replica il suo 
  28142. codice in memoria alta nel 9EC0:0000 e l∞ vi rimane. 
  28143. Aggancia l'INT 21 e imposta il proprio vettore per aggiungere 
  28144. il proprio programma in memoria alta all'indirizzo 9EC0:002A. 
  28145. Utilizza questa modifica per attaccarsi al programma ospite. 
  28146. Aggancia anche altri interrupt come ad esempio INT 8H (9EC0:0876), INT 16H
  28147. (9EC0:08A5), INT 25H (9EC0:0FBC), e INT 26H (9EC0:0FC6), ma non si 
  28148. vede nessuna procedura. Il virus si replica e altera i file 
  28149. con estensione *.COM presenti. 
  28150. Nel codice del virus si pu≥ trovare la seguente stringa:
  28151.  
  28152.   "Bad Sectors 1.2"
  28153.   "COMEXE"
  28154.  
  28155. Danni: Altera file eseguibili.
  28156.  
  28157. Metodo di rilevazione: I file infetti incrementano le loro dimensioni di 3,434 Byte.
  28158.  
  28159. Note:
  28160.  
  28161. [Tai-Pan.438.A]
  28162. Tipo di Virus: Virus da file
  28163. Lunghezza del Virus: Circa 438 Byte
  28164. Tipo di memoria: Memoria alta
  28165.  
  28166. Vettore PC agganciato: INT 21h
  28167.  
  28168. Metodo di infezione:
  28169. 1) Si carica in memoria alta. Carica in memoria circa 512 Byte.
  28170. 2) Infetta i file con estensione *.EXE. Copia il codice del virus 
  28171. in memoria alta aggiungendo circa 438 (01B6H) Byte. 
  28172. Prima di far girare il programma ospite, si carica in memoria. 
  28173. Mentre Φ in memoria, infetta i file con estensione *.EXE che vengono aperti.
  28174.  
  28175. Il virus di solito reagisce creando uno spazio nella memoria prima 
  28176. di infettare i file, usando l'Int 21 (48). Non succede niente di strano.
  28177. Attacca il suo codice al programma ospite dopo che Φ stato caricato dalla memoria.  
  28178.  
  28179. Danni:
  28180.  
  28181. Sintomi: Diminuisce la memoria libera. Aumenta la lunghezza del file.
  28182. Nel codice del virus pu≥ comparire:
  28183.  
  28184.          "[Whisper Presenterar Tai-Pan]"
  28185.  
  28186.  
  28187. Metodo di rilevazione: Ricerca il suddetto messaggio.
  28188.  
  28189.  
  28190. [Tai-Pan.438.A]
  28191. Tipo di Virus: Virus da file
  28192. Lunghezza del Virus: Circa 438 Byte
  28193. Tipo di memoria: Memoria alta
  28194.  
  28195. Vettore PC agganciato: INT 21h
  28196.  
  28197. Metodo di infezione:
  28198. 1) Si carica in memoria alta. Carica circa 512 Byte nella memoria.
  28199. 2) Infetta i file con estensione *.EXE. 
  28200. Copia il codice del virus nel programma ospite aggiungendo circa 438 (01B6H) Byte. 
  28201. Carica il virus prima di eseguire il programma ospite. 
  28202. Mentre Φ in memoria, infetta i file con estensione *.EXE che vengono aperti.
  28203.  
  28204. Il virus di solito reagisce creando uno spazio nella 
  28205. memoria prima di infettare i file, usando l'Int 21 (48). 
  28206. Non succede niente di strano.
  28207. Attacca il suo codice al programma ospite dopo che Φ stato caricato dalla memoria.  
  28208.  
  28209. Sintomi: Diminuisce la memoria libera. Aumenta la lunghezza del file.
  28210. Nel codice del virus pu≥ comparire:
  28211.  
  28212.          "[Whisper Presenterar Tai-Pan]"
  28213.  
  28214.  
  28215. Metodo di rilevazione: Ricerca il suddetto messaggio.
  28216.  
  28217.  
  28218. [Tai-Pan.666]
  28219. Tipo di Virus: Virus da file
  28220. Lunghezza del Virus: Circa 666 Byte
  28221. Tipo di memoria: Memoria alta
  28222.  
  28223. Vettore PC agganciato: INT 21h
  28224. 1) Si carica in memoria alta. Carica circa 710 Byte nella memoria.
  28225. 2) Infetta i file con estensione *.EXE. Copia il codice del 
  28226. virus nel programma ospite aggiungendo circa 666 (029AH) Byte. 
  28227. Carica il virus prima di eseguire il programma ospite. 
  28228. Mentre Φ in memoria, infetta i file con estensione *.EXE che vengono aperti.
  28229.  
  28230. Il virus di solito reagisce creando uno spazio nella memoria 
  28231. prima di infettare i file, usando l'Int 21 (48). Non succede niente di strano.
  28232. Attacca il suo codice al programma ospite dopo che Φ stato caricato dalla memoria.  
  28233.  
  28234. Sintomi: Diminuisce la memoria libera. Aumenta la lunghezza del file.
  28235. Nel codice del virus pu≥ comparire:
  28236.  
  28237.      
  28238.  "DOOM2,EXE. Illegal DOOM II signature"
  28239.  "Your version of DOOM2.EXE matches the illegal RAZOR release of DOOM2"
  28240.  "Say bye-bye HD"
  28241.  "The programmer of DOOM II DEATH is in no way affiliated with ID
  28242.   Software."
  28243.  "ID Software is in no way affiliated with DOOM II DEATH."
  28244.  
  28245. Metodo di rilevazione: Ricerca il suddetto messaggio.
  28246.  
  28247.  
  28248. [Keypress-9]
  28249. Tipo di Virus: Virus da file (File con estensione *.COM e *.EXE)
  28250. Luogo d'origine:
  28251. Tipo di memoria:
  28252.  
  28253. Vettore PC agganciato: INT 21h
  28254.  
  28255. Metodo di infezione:
  28256. Il virus intercetta l'INT 21h per infettare i file con estensione *.COM e *.EXE,
  28257. aumentando la loro lunghezza di 2 kByte. Dopo che Φ in esecuzione, 
  28258. il virus aspetta un file con estensione *.EXE e/o *.COM per infettarlo.
  28259. Infetta tutti i file con estensione *.COM e *.EXE tranne il COMMAND.COM.
  28260. I file infetti contengono i seguenti messaggi:
  28261.  
  28262.    "This is an [ illegal copy ] of keypress virus remover"
  28263.    "Systems Halted."
  28264.    "Eternal Fair"
  28265.  
  28266. Il virus non reinfetta file giα infetti.
  28267.  
  28268. [BBS.1643]
  28269. Tipo di Virus: Virus da file, Soft Mice (file con estensione *.EXE).
  28270. Pseudonimo: Major BBS.
  28271. Lunghezza del Virus: 1642-1644 Byte.
  28272. Solo Tipo di memoria: Residente in memoria alta.
  28273. Vettore PC agganciato:  INT 21h, INT 8h.
  28274.  
  28275. Metodo di infezione:
  28276. 1) Decripta 1595 Byte del suo codice.
  28277. 2) Controlla che un file eseguito sia giα stato infettato. Se "NO",
  28278. il virus vi copia il suo codice criptato. Copia quindi il suo codice 
  28279. di 1644 Byte in memoria alta ma inserisce in tutto 30384 Byte in memoria.
  28280. 3) Acquisisce la sezione flag del DOS, che il DOS stesso cerca quando 
  28281. viene usato l'INT 21 
  28282. 4) Intercetta l'INT 21 e l'INT 8 e poi si disattiva.
  28283.  
  28284. Danni: Questo virus non apporta danni evidenti ma decifra questo messaggio:
  28285.  
  28286.            "The Major BBS Virus"
  28287.            "created by Major tomTugger"
  28288.  
  28289. Metodo di rilevazione: Questo virus mostra un errore protetto 
  28290. da scrittura quando viene eseguito un programma di lettura (come l'apertura di un file).
  28291.  
  28292. [Maltese_Amoeba]
  28293. Tipo di Virus: Virus da file, Soft Mice
  28294. Pseudonimo: AMOEBA
  28295. Lunghezza del Virus: 3589 Byte
  28296. Condizioni d'attivazione: 1 Nov., 15 Mar.
  28297. Tipo di memoria: Residente in memoria alta
  28298. Luogo d'origine: Malta
  28299.  
  28300. Vettore PC agganciato:  INT 21h
  28301.  
  28302. Metodo di infezione:
  28303. 1) Decripta 1184 Byte del suo codice.
  28304. 2) Controlla che il file eseguito sia un file con estensione *.EXE o *.COM 
  28305. non infetto. Se "SI", il virus lo infetta.
  28306. 3) Inserisce 4096 Byte nell'area della memoria alta, 
  28307. trasferisce inoltre 3589 Byte del suo codice a HMA.
  28308. 4) Intercetta l'INT 21.
  28309. 5) La routine originale riprende il controllo.
  28310.  
  28311. Danni:
  28312. Se la data di sistema Φ il giorno 1 novembre o 15 marzo, 
  28313. il virus formatta l'hard disk sovrascrivendo i primi 4 settori 
  28314. di ogni traccia con informazioni parassite. 
  28315. Questo distrugge il settore di boot e la tabella di allocazione dei file. 
  28316. Questo elimina la partizione DOS dell'hard disk .
  28317. Il virus formatta inoltre il floppy disk (se presente).
  28318.  
  28319. Il virus mostra delle informazioni inutili e cambia la colorazione 
  28320. dello schermo con una scelta a caso.
  28321.  
  28322. Nel codice del virus si pu≥ trovare il seguente messaggio:
  28323.  
  28324.         "AMOEBA virus by the Hacker Twins (c) 1991"
  28325.         "This is nothing, wait for the release of"
  28326.         "AMOEBA II-the universal infector hidden to"
  28327.         "any eye but ours!"
  28328.         "Dedicated to the University of Malta-the worst"
  28329.         "educational system in the universe and destroyer"
  28330.         "of 5x2 years of human life"
  28331.  
  28332. Questo messaggio appare sullo schermo dopo che il virus Φ stato 
  28333. trasferito sull'hard disk:
  28334.  
  28335.         "To see a world in a grain of sand,
  28336.         And a heaven in a wild flower
  28337.         Hold Infinity in the palm of your hand
  28338.         And Eternity in an hour."
  28339.  
  28340.         THE VIRUS   16/3/91
  28341.  
  28342. [Vampiro.A]
  28343. Tipo di Virus: Virus da file
  28344. Lunghezza del Virus:
  28345. Tipo di memoria: Memoria alta
  28346.  
  28347. Vettore PC agganciato: INT 21h
  28348.  
  28349. Metodo di infezione:
  28350. 1) Acquisisce l'ora e la data di sistema. 
  28351. Viene eseguito il codice del virus se il mese corrente 
  28352. Φ precedente a giugno oppure l'ora Φ precedente alle 22.
  28353.  
  28354. Il virus infetta i file con estensione *.COM non nella 
  28355. directory principale. Apre e cerca subdirectory dove cerca 
  28356. file con estensione *.COM da infettare.
  28357. Si attacca al programma ospite.
  28358.  
  28359. Danni:
  28360. Infetta i file nella subdirectory.
  28361. Se la data e l'ora non vengono soddisfatte, compare:
  28362.  
  28363.    "Zarathustra & Drako les comunican que llego la hora de ir a
  28364.    dormir. Shh! Vampiro Virus."
  28365.  
  28366. Note:
  28367. 1) Virus non residente in memoria.
  28368. 2) Non utilizza allocazione in memoria.
  28369. 3) Si esegue direttamente.
  28370.  
  28371. Sintomi:
  28372. Nel codice si pu≥ trovare la seguente stringa:
  28373.  
  28374.  "Zarathustra & Drako les comunican que llego la hora de ir
  28375.  a dormir. Shh! Vampiro Virus."
  28376.  "Command.com all xray, memoria allocation error."
  28377.  "Cannot uninstall xray, it has not been installed."
  28378.  "???????????"
  28379.  
  28380. [Mange-Tout.1099]
  28381. Tipo di Virus: virus da file (File con estensione *.EXE)
  28382. Lunghezza del Virus:
  28383. Tipo di memoria: Residente in memoria alta
  28384. Luogo d'origine:
  28385.  
  28386. Vettore PC agganciato: INT 08h, INT 09h, INT 21h
  28387.  
  28388. Metodo di infezione:
  28389. 1) Copia il suo codice all'indirizzo 0054:0000.
  28390. 2) Invia una serie di dati in ingresso ed in uscita alla porta 21h.
  28391. 3) Aggancia INT 8, 9, e 21.
  28392. 4) Controlla che il file sia un file con estensione *.EXE. 
  28393. Se "SI", il virus lo infetta trasferendo i primi 198 Byte 
  28394. del codice originale alla fine del file ed il suo codice all'inizio.
  28395.  
  28396. [TP39VIR]
  28397. Pseudonimo: Yank-39
  28398. Tipo di Virus: Virus da file
  28399. Lunghezza del Virus: Circa 2768 Byte
  28400. Tipo di memoria:
  28401. Condizioni di attivazione: Si attiva se sono le ore 17.00 di un qualsiasi giorno.
  28402. Suona parte della canzone: "Jack and Jill"
  28403. Si esegue direttamente: Caricamento del codice del virus in memoria alta
  28404.  
  28405. Vettore PC agganciato: Int 21
  28406.  
  28407. Metodo di infezione:
  28408. 1) Si carica in memoria alta, allocando 2896 Byte.
  28409. 2) Sposta 2768 Byte nella memoria.
  28410. 3) Infetta i file con estensione *.COM e *.EXE. 
  28411. Copia il codice del virus nel programma ospite. 
  28412. Il virus si carica prima che giri il programma ospite.
  28413.  
  28414. [Yank-D.TP.44.A]
  28415. Pseudonimo: Yank-44A
  28416. Tipo di Virus: Virus da file
  28417. Lunghezza del Virus: Circa 2880 Byte
  28418. Tipo di memoria:
  28419. Condizioni d'attivazione: Si attiva se sono le ore 17.00 di 
  28420. un qualsiasi giorno. Suona parte della canzone: "Jack and Jill"
  28421. Esecuzione diretta: Caricamento del codice del virus in memoria alta
  28422.  
  28423. Vettore PC agganciato: Int 21
  28424.  
  28425. Metodo di infezione:
  28426. 1) Si carica in memoria alta, allocando 3008 Byte.
  28427. 2) Sposta 2880 Byte nella memoria.
  28428. 3) Infetta i file con estensione *.COM e *.EXE. 
  28429. Copia il codice del virus nel programma ospite. 
  28430. Il virus si carica prima che giri il programma ospite.
  28431.  
  28432.  
  28433. [Xpeh.4928]
  28434. Pseudonimo: Yankxpeh
  28435. Tipo di Virus: Virus da file
  28436. Lunghezza del Virus: Circa 4768 Byte
  28437. Luogo d'origine:
  28438. Esecuzione diretta: Caricamento del codice del virus 
  28439. in memoria alta
  28440.  
  28441. Vettore PC agganciato: Int 21
  28442.  
  28443. Metodo di infezione:
  28444. 1)    Si carica in memoria alta, allocando 4944 Byte.
  28445. 3) Sposta 4768 Byte nella memoria.
  28446. 4) Infetta i file con estensione *.COM e *.EXE. 
  28447. Copia il codice del virus nel programma ospite. 
  28448. Il virus si carica prima che giri il programma ospite.
  28449.  
  28450.  
  28451. [Tanpro.5241]
  28452. Nome del Virus: Tanpro
  28453. Tipo di Virus: Virus da file
  28454. Lunghezza del Virus: Circa 524 Byte
  28455. Tipo di memoria: Memoria alta
  28456. Luogo d'origine:
  28457.  
  28458. Vettore PC agganciato: Int 21, Int 27
  28459.  
  28460. Metodo di infezione:
  28461. Utilizza TSR, Int 27. Alloca 3104 Byte (usando MEM) della memoria.
  28462. Crea un file senza nome nascosto nella directory principale 
  28463. della lunghezza di 10000 Byte. Nel codice Φ presente la stringa 
  28464. "This file is infected..." 
  28465. Esegue questo programma, in seguito lo cancella quindi chiama l'Int 27, 
  28466. per ritornare in possesso della memoria per infettare altri file. 
  28467. Infetta i file con estensione *.COM e *.EXE. 
  28468. Copia il codice del virus nel programma ospite, aggiungendo circa 524 Byte. 
  28469. Il virus si carica prima che giri il programma ospite.
  28470.  
  28471.  
  28472. Mentre il virus Φ in memoria, infetta ogni file con 
  28473. estensione *.COM ed *.EXE eseguito. Non fa niente di speciale. 
  28474. Si replica solo quando Φ in memoria. Infetta il file solo se viene eseguito.
  28475.  
  28476. Danni:
  28477. 1) La memoria libera diminuisce di circa 3104 Byte.
  28478. 2) Aumenta la lunghezza dei file di circa 524 Byte.
  28479.  
  28480. Sintomi:
  28481. 1) Cancellazione del programma in esecuzione a causa dell'attivitα del virus.
  28482. 2) Appare nel codice del virus la stringa: "(c) tanpro'94".
  28483.  
  28484. Metodo di rilevazione: Individuazione della suddetta stringa di testo.
  28485.  
  28486. [Manzon]
  28487. Tipo di Virus: Virus da file, Soft Mice
  28488. Lunghezza del Virus: 1712 Byte
  28489. Virus Infect Type: File con estensione *.COM
  28490. Tipo di memoria: Residente in memoria alta
  28491. Vettore PC agganciato:  INT 21h
  28492.  
  28493. Metodo di infezione:
  28494. 1) Decripta 1417 Byte del suo codice e quindi alloca 1728 Byte
  28495.    in HMA.
  28496. 2) Trasferisce il suo codice a HMA della lunghezza di 1712 Byte.
  28497. 3) Intercetta l'INT 21.
  28498. 4) Riprende il controllo della routine originale.
  28499.  
  28500. Il codice del virus ha una stringa di programmi ed utilitα per DOS 
  28501. che il virus scambia con il file infettato. 
  28502. Questo metodo rende  pi∙ difficile la cancellazione.
  28503.  
  28504. [Kaos4.A]
  28505. Tipo di Virus: Virus da file
  28506. Lunghezza del Virus:
  28507. Luogo d'origine:
  28508. Tipo di memoria: Non Residente
  28509.  
  28510. Vettore PC agganciato :
  28511.  
  28512. Metodo di infezione:
  28513. 1) Imposta l'area di trasferimento dati del disco, 114C:0816h.
  28514. 2) Cerca di infettare i file con estensione *.COM e *.EXE nella stessa 
  28515. directory ed altre directory specificate nel percorso. Utilizza la 
  28516. "Find First Match Directory Entry", 
  28517. dove infetta tutti i file con estensione *.COM e *.EXE. 
  28518. 3) Imposta ancora DTA, 114C:0080h.
  28519. 4) Compare il messaggio depositato nel codice del virus.
  28520.  
  28521. [Sarampo.B]
  28522. Tipo di Virus: Virus da file (File con estensione *.COM e *.EXE)
  28523. Lunghezza 1371 Byte
  28524.  
  28525. Sintomi :
  28526. La lunghezza dei file con estensione *.COM ed *.EXE aumenta di 
  28527. 1371 Byte e diminuisce quella della memoria disponibile di 1664 Byte.  
  28528. L'esecuzione dei programmi pu≥ rallentare a causa della procedura di 
  28529. infezione del virus.
  28530.  
  28531. Note:
  28532. Durante la prima infezione, il virus alloca 1664 Byte nella memoria e 
  28533. trasferisce il suo codice in HMA. Aggancia l'INT 21 e l'INT 24.
  28534. Ripristina quindi il programma mentre Φ in memoria in modo da tornare 
  28535. in possesso del controllo della routine originale.
  28536.  
  28537. Questo virus infetta tutti i file con estensione *.COM e *.EXE aperti, 
  28538. eseguiti e copiati. Cambia anche l'ora del file in 13:13.
  28539.  
  28540. SARAMPO mostra sullo schermo delle informazioni parassite se la data di 
  28541. sistema Φ il giorno 25 aprile, 25 dicembre o 12 ottobre, ed il virus Φ 
  28542. giα in memoria da circa 2 minuti.
  28543.  
  28544. Nel codice del virus Φ presente il seguente testo:
  28545.  
  28546.       "Do you like this Screen Saver ? I hope so."
  28547.       "Created by Sarampo virus"
  28548.  
  28549. [Hare.7610]
  28550. Tipo di Virus: Virus da file
  28551. Lunghezza del Virus:
  28552. Virus Infect Type: File con estensione *.COM e *.EXE ed il 
  28553. Master Boot Record
  28554. Tipo di memoria: Memoria alta
  28555. Vettore PC agganciato: Int 21h
  28556.  
  28557. Metodo di infezione:
  28558. 1) Annota i dati in CS:[DI] o 115C:2822 con un valore di CX di ED5h. 
  28559. quindi parte un'altra codificazione a 115C:29B2 con un valore di CX di E0Eh,
  28560. 2) Fa un XOR con un valore esadecimale di 2726
  28561. 3) Aumenta AH e AL di 2h.
  28562. 4) Acquisisce la grandezza della memoria con un valore del registro di ritorno AX=280h.
  28563. 5) Acquisisce la variabili del DOS e si carica nella memoria alta partendo 
  28564. da 115C:2810 fino a 9DDE:0 con una misura di 1DBAh. Vi si pu≥ trovare il 
  28565. messaggio: "HDEuthanasia by Demon Emperor: Hare Krsua, hare, hare"
  28566. 6) Intercetta l'Int 21h e lo imposta. Da qui infetta il master boot
  28567.    record.
  28568.  
  28569. [Hare.7750]
  28570. Tipo di Virus: Virus da file, file con estensione *.COM e *:EXE ed il
  28571. Master Boot Record
  28572. Tipo di memoria: Memoria alta
  28573. Vettore PC agganciato: Int 21h
  28574.  
  28575. Metodo di infezione:
  28576. 1) Cripta i dati posti in posizione 115C:[2824], 3866 volte, usando 
  28577. l'operando NOT. Esegue poi un altro loop alla posizione 115C:[29B2], 
  28578. per 3667 volte, eseguendo un XOR con AX. AH ed AL sono incrementate di 2h, 
  28579. questo determina:
  28580.    "INFECTUM.COM.HOSTA.COMCOM.COMMAND\SYSTEM\IOSUBSYS\HSFLOP.PDR"
  28581. 2) Acquisisce la lunghezza della memoria, 640 Byte.
  28582. 3) Acquisisce la variabili del DOS
  28583. 4) Carica il codice in memoria alta, da 115C:2810 a 9DD5:0000
  28584.    (7750 Byte).
  28585. 5) Ritorna ai parametri del disco per leggere l'hard disk.
  28586.    Legge i settori del disco, 1 settore deve essere trasferito all'indirizzo
  28587.    9DD5:2096, traccia n.108, settore n.1, testina n.125.
  28588. 6) Esegue i seguenti codici:
  28589.  
  28590.            XOR AL,AL
  28591.            OUT 43,AL
  28592.            JMP 94C
  28593.            IN  AL,40
  28594.            MOV AH,AL
  28595.            IN  AL,40
  28596.            XOR AL,AH
  28597.            XCHG AL,AH
  28598.  
  28599. Il virus infetta prima il MBR, da qui aspetta un file con estensione *.COM e *.EXE.
  28600.  
  28601. Danni: Quando si riavvia, il computer si  riavvia ripetutamente.
  28602.  
  28603. [Markt]
  28604. Tipo di Virus: Virus da file, Soft Mice
  28605. Pseudonimo: WERBE
  28606. Lunghezza del Virus: 1533 Byte
  28607. Nome originale: WERBE
  28608. Luogo d'origine: Germania
  28609.  
  28610. Vettore PC agganciato:
  28611.  
  28612. Metodo di infezione:
  28613. 1) Decripta 1412 Byte del suo codice virale.
  28614. 2) Acquisisce l'indirizzo DTA e lo imposta.
  28615. 3) Controlla il drive corrente e quindi sovrascrive il settore 
  28616. di boot dell'hard disk.
  28617.  
  28618. Danni:
  28619. Al suo caricamento il virus sovrascrive tutti i settori di boot 
  28620. di tutti i drive, in questo modo li rende inutilizzabili.
  28621.  
  28622. Nel codice del virus si pu≥ trovare il seguente messaggio:
  28623.  
  28624.     "Ups, all Disks from"
  28625.     "C: to Z: Trashed!"
  28626.     "Sorry about that!"
  28627.     "to all Military Inventors its time to give us the Tachyonator!"
  28628.  
  28629.     "MediaMarkt WerbeVirus '94 (c)"
  28630.     "MediaMarkt Germany The Wizard"
  28631.  
  28632. Note: Dopo aver distrutto l'hard disk il virus esegue il seguente codice:
  28633.  
  28634.        17AC:0575  JMP 0575
  28635.  
  28636. Questo codice esegue una sequenza di istruzioni interminabile.
  28637.  
  28638. [Leon.1217]
  28639. Tipo di Virus: Polimorfico, Virus da file (File con estensione *.EXE)
  28640. Lunghezza del Virus: 1,224-1,253 Byte
  28641. Tipo di memoria: Non residente in memoria
  28642. Luogo d'origine:
  28643.  
  28644. Vettore PC agganciato: INT 24h
  28645.  
  28646. Metodo di infezione:
  28647. Il virus infetta solo i file con estensione *.EXE. 
  28648. Aumenta la lunghezza del file infetto di 1,224-1,253 Byte. 
  28649. Il virus infetta il file ospite attaccandosi alla fine del file. 
  28650. Come virus polimorfico, decripta prima i suoi programmi facendo 
  28651. un XOR con un valore esadecimale di 1410H per ogni parola criptata. 
  28652. Quindi intercetta l'INT 24H per mettere fuori uso la visualizzazione 
  28653. di un errore di scrittura del disco mentre infetta il file ospite. 
  28654. Controlla quindi la directory corrente del disco in uso e cerca file 
  28655. con estensione *.EXE. Dopo aver trovato un file cambia i suoi attributi 
  28656. per archiviarlo. Controlla poi l'ora corrente. 
  28657. Se ci si trova tra i 7 e i 60 minuti di un'ora e tra i 30-60 
  28658. secondi di un minuto, il virus chiude il file e non lo infetta. 
  28659. Oltre a questo, il virus infetta ogni file con estensione *.EXE in
  28660.  tutte le subdirectory del drive corrente. Non risiede in memoria. 
  28661. Si attiva solo al caricamento ed esecuzione di un file infetto. 
  28662. Risulta ovvio che il virus per infettare i .file con estensione *.EXE 
  28663. nel drive corrente impiega un certo tempo a caricare un file a seconda 
  28664. del numero di file con estensione *.EXE presenti nel drive corrente.
  28665.  
  28666. Danni: Rallenta il caricamento di un file eseguibile.
  28667.  
  28668. Sintomi:
  28669. 1) I file infetti incrementano le loro dimensioni di 1,224-1,253 Byte.
  28670. 2) Caricamento molto lento dei file eseguibili.
  28671.  
  28672. [Karnavali.1972]
  28673. Tipo di Virus: Virus da file
  28674. Pseudonimo:
  28675. Lunghezza del Virus:
  28676. Luogo d'origine:
  28677.  
  28678. Vettore PC agganciato:
  28679.  
  28680. Metodo di infezione:
  28681. 1) Acquisisce le variabili del DOS
  28682. 2) Legge il drive C: legge i settori  FFFFh, partendo dal settore
  28683.    5945h e la memoria all'indirizzo 139E:0889h per il trasferimento dei dati.
  28684. 3) Cerca di scrivere 4 settori in drive C:. 
  28685. Dopo aver scritto, i file con estensione *.EXE *.COM eseguiti non si infettano.
  28686.  
  28687. Dopo aver riavviato il sistema, il sistema si blocca e la tastiera viene disabilitata.
  28688.  
  28689. [Tecla]
  28690. Nome del Virus: BARR1303
  28691. Tipo di Virus: Polimorfico, Virus da file (File con estensione *.COM ed *.EXE)
  28692. Pseudonimo: TECLA
  28693. Lunghezza del Virus: 2051 Byte
  28694. Condizioni d'attivazione: 23 settembre 
  28695. Tipo di reinfezione: No
  28696. Tipo di memoria: Residente in memoria alta
  28697. Luogo d'origine:
  28698.  
  28699. Vettore PC agganciato: INT 16h, INT 21h, INT 24h
  28700.  
  28701. Metodo di infezione:
  28702. Questo virus Φ di tipo polimorfico ed infetta i file con estensione *.EXE e *.COM.
  28703. Aggiunge 1303 Byte ad un file infetto. Prima decripta il suo codice,
  28704. che si attacca all'ospite, utilizzando SUB 75H ad ogni byte. 
  28705. Pu≥ essere individuato per via della stringa "SSta Tecla(MAD1) 
  28706. dell'area decriptata del codice virale  che da un altro nome al virus. 
  28707. Copia il suo programma (1033 Byte) in memoria alta, 9F9A:0100; 
  28708. cos∞ sovrascrive la memoria della scheda video Una volta in memoria, 
  28709. controlla che la data di sistema sia il giorno 23 settembre. 
  28710. Se "SI", attiva la sua procedura, intercettando l'INT 16H 
  28711. (change to vector 9F9A:017C) e cambia la tabella ASCII della tastiera. 
  28712. Incrementa tutti gli input della tastiera di 1 carattere ASCII. 
  28713. Per esmpio premendo "A" viene  mostrato "B", 
  28714. o digitando "." viene mostrato "/", e cos∞ via. 
  28715. Senza la data di attivazione intercetta l' INT 21h cambiando i 
  28716. valori del proprio preogramma nella memoria alta  con 9F9A:016C 
  28717. per infettare ogni programma eseguito. Intercetta inoltre l'INT 24h
  28718.  e cambia il suo vettore a 9F9A:0107 che si Φ visto 
  28719. non avere nessuna procedura.
  28720.  
  28721. Danni: Cambia i caratteri immessi con la tastiera, incrementando 
  28722. di 1 i caratteri ASCII.
  28723.  
  28724. [Barrotes.1310.A]
  28725. Nome del Virus: BARR1310
  28726. Tipo di Virus: Virus da file
  28727. Pseudonimo:
  28728. Lunghezza del Virus: 1310 Byte
  28729. Virus Infect Type: File con estensione *.COM ed *.EXE
  28730. Condizioni d'attivazione: 5 Gennaio 
  28731. Tipo di reinfezione: No
  28732. Tipo di memoria: Residente in memoria alta
  28733. Luogo d'origine:
  28734.  
  28735. Vettore PC agganciato: INT 1Ch, INT 21h
  28736.  
  28737. Metodo di infezione:
  28738. E un virus da file che infetta i file con estensione *.COM ed *.EXE.
  28739. Aggiunge 1303 Byte ad un file infetto. Copia il suo programma 
  28740. in memoria alta in 9F9C:0100; in questo modo si sovrappone alla 
  28741. memoria della scheda video. Intercetta l'INT 21H cambiando i propri 
  28742. vettori per individuare il proprio programma a 9F9C:017B. 
  28743. Questo permette al virus di infettare quando carica ed esegue dei file.
  28744.  Una volta in memoria, controlla la data. 
  28745. Se Φ il giorno 5 gennaio, cambia l'INT 1CH per mettere il 
  28746. proprio programma in memoria alta in 9F9C:049F. 
  28747. Quindi sovrascrive il MBR di drive C; distrugge cos∞ la sua partizione. 
  28748. Da quando l'INT 1CH Φ un interrupt di clock tick, il programma Φ 
  28749. impostato per la sua esecuzione 18.2 volte al secondo. 
  28750. A questo interrupt il programma mostra:
  28751. "Virus BARROTES pro OSoft" su uno sfondo blu, e quattro verticali,
  28752. tremolanti barre sullo schermo. 
  28753. A questo punto, la macchina pu≥ ancora essere usata se 
  28754. l'utente pu≥ tollerare la vista delle barre. 
  28755. Danni:
  28756. 1) Distrugge la MBR del drive C e la tabella di partizione.
  28757. 2) Altera la visualizzazione del video.
  28758.  
  28759. [Cascade]
  28760. Nome del Virus: CAS1701A
  28761. Tipo di Virus:  Polimorfico, Virus da file
  28762. Pseudonimo:
  28763. Variant: CASCADE.1704
  28764. Lunghezza del Virus: 1,701 Byte
  28765. Virus Infect Type: File con estensione *.COM
  28766. Virus Reinfettante: no
  28767. Tipo di memoria infettata: Residente in memoria (MCB)
  28768. Luogo d'origine:
  28769.  
  28770. Vettore PC agganciato: INT 21h
  28771.  
  28772. Metodo di infezione:
  28773. Il virus infetta solo i file con estensione *.COM. 
  28774. Aumenta la lunghezza di un file infetto di 1,701 Byte. 
  28775. Il virus infetta il file ospite attaccandosi alla fine del file.
  28776.  
  28777. Risiede in memoria e pu≥ essere attivato al caricamento e 
  28778. all'esecuzione di un file con estensione *.COM infetto. 
  28779. Come virus  polimorfico, decripta prima il suo codice. 
  28780. Quindi il virus copia il suo programma di 1701 Byte in 
  28781. memoria bassa, dopo i programmi DOS. Intercetta poi 
  28782. l'INT 21H cambiando il proprio vettore per puntare il 
  28783. proprio programma a 17F8:031C. Utilizza l'INT 4BH per a
  28784. ttaccarsi al file ospite. Dopo essersi attaccato all'ospite, 
  28785. cripta il suo programma principale e scrive il nuovo file sul disco. 
  28786. Il virus controlla l'anno corrente prima di infettare il file ospite 
  28787. e l'anno d'attivazione Φ il 1988.
  28788.  
  28789. Il virus occupa 1,984 Byte di memoria quando individuato usando DOS CHKDSK.
  28790.  
  28791. Sintomi:
  28792. 1) I file infetti incrementano le loro dimensioni di 1,701 Byte.
  28793. 2) La memoria diminuisce di 1,984 Byte.
  28794.  
  28795. [Natas-1]
  28796. Pseudonimo: Never-1
  28797. Origin:
  28798. Lunghezza del virus: 1788 Byte
  28799. Tipo di Virus: Virus da file; Virus criptato; solo i file con estensione *.COM
  28800.  
  28801. Sintomi :
  28802. I file infetti incrementano le loro dimensioni di 4744 Byte, la memoria 
  28803. disponibile diminuisce di 6144 Byte. L'esecuzione di un programma rallenta.
  28804.  
  28805. Note:
  28806. Innanzitutto il virus decripta 2300 Byte del suo codice e quindi alloca 
  28807. 6144 Byte nell'area di memoria alta. Sposta poi 5111 Byte nell'area di 
  28808. memoria alta. Intercetta l'INT 10, 13, 15 e 21.
  28809.  
  28810. Ulteriori analisi del virus non sono possibili perchΘ ha sostituito il 
  28811. codice dell' INT 1 che Φ il Single Step Interrupt che Φ usato per ricercare 
  28812. e correggere errori da DEBUG e da S-ICE.  NATA4744 formatta una traccia 
  28813. nell'hard disk ogni volta che l'INT 1 viene usato, e continua a fare cos∞ 
  28814. finchΦ tutti i drive locali non sono stati formattati. 
  28815. Nel codice del virus si trova il seguente messaggio:
  28816.  
  28817.     "Time has come to pay (c) 1994 NEVER-1"
  28818.  
  28819. [S_Bug.A]
  28820. Tipo di Virus:  Polimorfico Virus
  28821. Lunghezza del virus: 3500-5500 Byte
  28822. Virus Status:
  28823.  
  28824. Sintomi :
  28825. Aumento della lunghezza dei file con estensione *.COM e *.EXE infetti 
  28826. di 3500-5500 Byte e diminuzione della memoria disponibile di 10272 Byte.  
  28827. I programmi eseguiti possono rallentare a causa della procedura di infezione del virus.
  28828.  
  28829. Note:
  28830. Questo virus Φ molto complesso ed altamente  Polimorfico.  
  28831. Dapprima decripta 3504 Byte del propΦrio codice virale e poi assegna 10 kByte
  28832. di memoria.  E' cos∞ residente in memoria.  
  28833. Iniziata l'infezione intercetta l'INT 21h con i servizi 3D, 4B e 6C.
  28834.  
  28835. I file infettati dal virus Φ facile che abbiano la lunghezza assegnata 
  28836. casualmente dai codici di decifrazione del codice virale che Φ di 3504 Byte.  
  28837. La lunghezza dei file va dai 3500 Byte ai 5500 Byte.
  28838. Tutti i file con estensione *.COM  ed *.EXE che sono aperti, 
  28839. eseguiti o copiati saranno infettati se Φ soddisfatta la seguente condizione:
  28840. COMSPEC=COMMAND.COM.
  28841. Questa condizione Φ anche quella che attiva il virus 
  28842. in caso sia residente o meno.  
  28843.  
  28844. Questo messaggio Φ trovato nel codice virale:
  28845.  
  28846.      "Satan Bug Virus - Little Loc"
  28847.  
  28848. [Smeg.Pathogen]
  28849. Pseudonimo: SMEG v0.1
  28850. Origine : Regno Unito
  28851. Lunghezza del virus : 4432-4447 Byte
  28852. Tipo di Virus:
  28853.  
  28854. Sintomi :
  28855. Aumenta la misura dei programmi con estensione *.EXE e *.COM di
  28856. 4432-4447 Byte e diminuisce di 7872 la memoria disponibile.
  28857.  
  28858. Commenti generali:
  28859. Nella prima infezione, stanzia  7872 Byte nella memoria alta e 
  28860. trasferisce 3700 Byte del propΦrio codice in questa area.  
  28861. Intercetta poi l'INT 21, l'INT 13, l'INT 20 e trasforma l'INT 3 come INT 21.
  28862.  
  28863. Pathogen Φ molto complesso ed Φ un virus Polimorfico.
  28864. Questo virus infetta i file con estensione *.COM ed i file con 
  28865. estensione *.EXE che vengono aperti, eseguiti e copiati.  
  28866. Mostra inoltre un "errore di allocazione della memoria" 
  28867. quando un file cerca di essere residente in memoria.
  28868.  
  28869. Pathogen ha una procedura pericolosa, perchΘ quando la data di 
  28870. sistema Φ luned∞ e sono le 17:00 - 17:59 PM scrive degli zero 
  28871. su un settore dell'hard disk scelto a caso, in questo modo 
  28872. distrugge alcuni se non tutti i dati del disco. 
  28873. Inoltre rovina o azzera il BIOS del computer.
  28874.  
  28875. Il virus mostra i seguenti messaggi sullo schermo:
  28876.  
  28877.  "Your hard-disk is being corrupted, courtesy of PATHOGEN!"
  28878.  "Programmed in the U.K. (Si, NOT Bulgaria) (c) The Black Baron 1993-4"
  28879.  "Featuring SMEG v0.1 : Simulated Metamorphic Encryption Generator"
  28880.  " 'Smoke me a kipper, I'll be back for breakfast.....!"
  28881.  "Unfortunately some of your data won`t!!!!!"
  28882.  
  28883. [Cawber]
  28884. Tipo di Virus:  Polimorfico
  28885. Lunghezza del Virus: 2010 Byte
  28886. Tipo di memoria: Non residente in memoria
  28887. Luogo d'origine:
  28888.  
  28889. Vettore PC agganciato:
  28890.  
  28891. Metodo di infezione:
  28892. E' un tipo di virus polimorfico che prima decripta il proprio 
  28893. decifratore usando 63 Byte di dati nel proprio codice virale. 
  28894. Ogni byte, archiviato nel registro AX, Φ decifrato usando SHL AX,1 
  28895. ed Φ aggiunto al regisro BP.
  28896. Il risultato finale dell'archiviazione in BP, dopo 63 decifrazioni, 
  28897. sarα il decifratore. A questo puntodecifra  2,010 Byte del proprio 
  28898. facendo un XOR con il valore del registro AX, BP, 
  28899. dove AX contiene una parola del codice virale. 
  28900. Non Φ stato visto come come faccia a trasferirsi residente in memoria 
  28901. ed a intercettare gli interrupt. Non ci sono altri modi per attivare l'infezione.
  28902.  
  28903. [Sayha]
  28904. Tipo di Virus: Virus da file
  28905. Lunghezza del Virus:
  28906. Tipo di reinfezione: Non reinfetta
  28907. Tipo di memoria: Memoria alta
  28908. Luogo d'origine:
  28909.  
  28910. Vettore PC agganciato: Int 21h
  28911.  
  28912. Metodo di infezione:
  28913. 1) Si carica nella memoria alta, caricandi circa 9040 Byte.
  28914. 2) Infetta i file con estensione *.COM ed  *.EXE *. ensione *. 
  28915. Attaccandosi al programma ospite
  28916. 3) Sposta il codice del virus by batches, copiando due byte del 
  28917. proprio codice alla volta in diversi posti.  
  28918.  
  28919. Danni:
  28920. 1) Aumenta la misura dei file.
  28921. 2) Occupa spazio nella HMA.
  28922.  
  28923. Sintomi: Ritarda l'esecuzione dei  programma.
  28924.  
  28925. [SCITZO]
  28926. Tipo di Virus: Virus da file
  28927. Lunghezza del Virus: Circa 1329 Byte
  28928. Tipo di memoria: Memoria alta
  28929. Luogo d'origine:
  28930.  
  28931. Vettore PC agganciato: Int 21h
  28932.  
  28933. Metodo di infezione:
  28934. 1) Si carica nella memoria alta, stanziando 1360 Byte (usando MEM).
  28935. 2) Sposta 1329 (0531H) Byte nella memoria alta.
  28936. 3) Infetta i file con estensione *.COM ed *.EXE. 
  28937. Copia il codice del virus nel programma ospite, aggiungendo circa 1329 Byte. 
  28938. Carica il virus prima di eseguire il programma ospite.
  28939.  
  28940. Il virus quando Φ in memoria, infetta ogni file con estensione *.COM ed *.EXE 
  28941. che viene eseguito. Non fa niente di speciale. 
  28942. Si limita a replicarsi quando Φ residente in memoria. 
  28943. Infetta solo i file eseguibili.
  28944.  
  28945. Danni:
  28946. 1) Diminuisce la memoria libera.
  28947. 2) I file infetti aumentano di lunghezza.
  28948. 3) Aggiunge circa  1329 Byte.
  28949.  
  28950. Sintomi: A causa dell'attivitα del virus, viene rallentata 
  28951. l'esecuzione dei programmi.
  28952.  
  28953. Metodo di rilevazione: Cercare la stringa del virus.
  28954.  
  28955. [Necros]
  28956. Luogo d'origine: Tralee, Co. Kerry, Ireland
  28957. Lunghezza del virus: 1164 Byte
  28958. Tipo di Virus: Virus da file; Virus Criptato; infetta i file 
  28959. con estensione *.COM.
  28960.  
  28961. Sintomi :
  28962. Aumenta la lunghezza dei file con estensione *.COM di 1164 Byte, 
  28963. diminuisce la memoria disponibile di 2624 Byte.  
  28964. L'esecuzione dei programmi viene rallentata.
  28965. Appare un messaggio d'errore protetto da scrittura quando 
  28966. un programma viene aperto ed il disco Φ protetto da scrittura.
  28967.  
  28968. Note:
  28969. Dapprima questo virus decifra il proprio codice di 1142 Byte e poi 
  28970. intercetta l'INT 3, l'INT 21 e l'INT 1C.  Quindi colloca  2624
  28971. Byte in  memoria. Questo virus virus diventa residente in MCB dopo 
  28972. l'esecuzione del programma perchΘ esegue un comando TSR.
  28973.  
  28974. Infetta immediatamente i file con estensione *.COM che vengono eseguiti.  
  28975. Quando sono in esecuzione i file con estensione *.EXE
  28976. , Necros crea un file nascosto con estensione *.COM con lo stesso 
  28977. nome portando la lunghezza del file a 1164 Byte.
  28978.  
  28979. Il virus Necros controlla che la data di sistema sia il 21 Novembre.  
  28980. Se Φ soddisfatta questa condizione, parte un suono di conto alla 
  28981. rovescia 2 minuti dopo che il virus Φ stato caricato.  
  28982. Questo va avanti per 15 secondi prima che appaia questo messaggio sullo schermo:
  28983.  
  28984.       "Virus V2.0 (c) 1991 Necros the Hacker."
  28985.       "Written on 29,30 June in Tralee, Co. Kerry, Ireland"
  28986.       "Happy Birthday, Necros!"
  28987.  
  28988. [Helloween.1376]
  28989. Tipo di Virus: Virus da file, infetta i file con estensione *.EXE e *.COM.
  28990.  
  28991. Pseudonimo:
  28992. Lunghezza del Virus:
  28993. Condizioni d'attivazione: 1 Novembre.
  28994. Tipo di memoria: Memoria alta .
  28995.  
  28996. Vettore PC agganciato: Int 21h.
  28997.  
  28998. Metodo di infezione:
  28999. 1) Si carica nella memoria alta copiando immediatamente dall'indirizzo 
  29000. 1155:0129h a 9F89:0000h, 1376 Byte.
  29001. 2) Intercetta l'INT 21h.
  29002. 3) Acquisisce data ed ora di sistema, ed i valori di ritorno sono messi in BCD.
  29003. 4) Controlla che sia il primo Novembre. Se "SI", pulisce lo schermo,
  29004.    diventa rosso il colore dello sfondo, ed appare questo messaggio 
  29005. in mezzo allo schermo:
  29006.  
  29007.    "Nesedte porad u pocitace a zkuste jednou delat neco
  29008.      rozumneho!"
  29009.    "**************"
  29010.    "!! Poslouchjte HELLOWEEN - nejlepsi metalovou skupinu !!"
  29011.  
  29012.    Premendo un qualsiasi pulsante, la macchina viene riavviata. Non infetta.
  29013.  
  29014.    Ma se la data non Φ il primo Novembre, il file con estensione *.COM e/o *.EXE 
  29015. che sono stati eseguiti vengono infettati.
  29016.  
  29017. Metodo di rilevazione : I file infetti diventano di 1376 Byte.
  29018.  
  29019. [Delta.1163]
  29020. Tipo di Virus:   Polimorfico, virus da file, infetta i file 
  29021. con estensione *.EXE e *.COM.
  29022.  
  29023. Pseudonimo:
  29024. Lunghezza del Virus: 1163 Byte
  29025. Nome originale: DELTA
  29026. Tipo di infezione: Condizioni d'attivazione:  4 Novembere 
  29027. Tipo di reinfezione: no
  29028. Data di rilevazione.: Febbraio 1996
  29029. Tipo di memoria: Memoria alta
  29030. Luogo d'origine: Brasile
  29031.  
  29032. Vettore PC agganciato: INT 21H
  29033.  
  29034. Metodo di infezione:
  29035. Come virus polimorfico dapprima decripta il proprio programma principale 
  29036. facendo uno XOR con il valore di C0H a ciascun byte. Infetta il proprio ospite 
  29037. attaccandosi alla fine del file.
  29038. Aggiunge 1,163 al file infettato. Quindi copia il proprio programma nella memoria 
  29039. alta in 9F69:0000 e vi salta dentro.Intercetta l' INT
  29040. 21H impostando il proprio vettore su 9F69:01C5. 
  29041. Il virus pu≥ diventare residente in memoria caricando od eseguendo un file infetto. 
  29042.  
  29043. Essendo residente in memoria si pu≥ aggiungere ad un file eseguibile 
  29044. utilizza il servizio 4BH dell' INT 21H intercettato. 
  29045. Durante l'infezione il virus controlla che sia Novembere e che 
  29046. il giorno sia il 4. A questo punto il virus azzera la configurazione 
  29047. del  C:\ BIOS e cambia la sequenza di avvio per cercare il drive C:\ al 
  29048. primo avvio. Quindi aspetta 30 sec. Prima di fare un warm boot. 
  29049. Appaiono i  seguenti messaggi:
  29050.  
  29051.         "Good Byte from (DEL)ta Virus!!!"
  29052.         "      Reset in 30 seconds.      "
  29053.  
  29054. Dopodiche, l'hard disk viene disabilitato, come se avesse la 
  29055. tabella delle partizioni alterata. 
  29056. Infettando un file eseguibile compie la sua seconda infezione 
  29057. al COMMAND.COM nel drive A:\; in questo modo altera e 
  29058. disabilita il settore d'avvio. 
  29059. Gli effetti della procedura possono essere risolti 
  29060. semplicemente riconfigurando l'hard disk nel BIOS e 
  29061. sostituendo il COMMAND.COM infetto con uno nuovo fin quando 
  29062. il virus non srive in MBR. Altre stringhe possono essere viste 
  29063. nel codice del virus a fianco di quello mostrato sopra:
  29064.  
  29065.         "Brazil - 02/96"
  29066.  
  29067. Danni:
  29068. 1) Azzera la configurazione del BIOS dell'hard disk.
  29069. 2) Altera COMMAND.COM.
  29070.  
  29071. Sintomi: I file infetti incrementano le loro dimensioni di 1163 Byte.
  29072.  
  29073. [Delwin.1759]
  29074. Tipo di Virus:   polimorfico, Boot/Virus da file
  29075. Lunghezza del Virus: 2048 Byte
  29076. Virus Infect Type: .COM and .File con estensione *.EXEs
  29077. Tipo di reinfezione: no
  29078. Data di rilevazione.:
  29079. Tipo di memoria: High memoria resident
  29080. Luogo d'origine:
  29081.  
  29082. Vettore PC agganciato: INT 13h, INT 21h, INT 1Ch
  29083.  
  29084. Metodo di infezione:
  29085.  
  29086. Infezione del Master Boot Sector:
  29087. Il virus dapprima infetta il Master Boot Sector del drive C:\. 
  29088. Come virus  polimorfico per prima cosa decripta 1,714 Byte del 
  29089. propΦrio codice facendo un  XORcon il valore di 9B. 
  29090. Quindi legge il settore di boot del drive C:\. 
  29091. Salva una copia di questo settore sulla testina 0, cilindro 0, 
  29092. settore 2 del drive C:\.
  29093. Quindi invia per due volte un byte alla porta 70H per un motivo 
  29094. sconosciuto in quanto la porta dell' hardware non Φ disponibile. 
  29095. Il virus fa una copia del proprio programma, occupando 4 settori, 
  29096. in testina 0, cilindro 0, settore 3 del drive C:\. 
  29097. Quindi il virus modifica i primi 46 Byte del settore di boot 
  29098. copiando il suo programma e lo scrive ancora nel settore di boot del drive C:\.
  29099.  
  29100. Infezione di file eseguibili:
  29101. Una volta che il virus ha infettato il settore di boot sector del 
  29102. drive C:\ diventa residente in memoria sopra i dati del settore di boot. 
  29103. Avviando il sistema dapprima inserisce spazio nella memoria alta cominciando 
  29104. da 9E70:0000. Quindi legge il suo programma,
  29105. che occuoa 4 settori, del drive C:\  infetto cominciando dal settore 3, 
  29106. cilindro 0, testina 0, per inserire spazio nella memoria alta (9E70:0100). 
  29107. Da qui intercetta l'INT 13H e l'INT 21H per sistemare il  proprio programma 
  29108. nella memoria alta affinchΦ permetta al virus di aggiungersi ad ogni 
  29109. file con estensione *.COM o *.EXE caricati od eseguiti. 
  29110. Dopo aver intercettato gli interrupt recupera l'originale 
  29111. settore di boot da testina 0, cilindro 0, settore 2 del 
  29112. drive C:\ per ripristinare un normale avvioA questo punto 
  29113. il virus Φ giα residente in memoria e pu≥ infettare i file 
  29114. eseguibili quando caricati, eseguiti e copiati. 
  29115. Dapprima ricerca il COMMAND.COM per infettarlo.
  29116.  
  29117. Il virus infetta il file aggiungendosi alla fine di questo. 
  29118. Tuttavia, nella maggior parte dei casi ci≥ non avviene in 
  29119. maniera completa ed alcune volte questo altera il programma 
  29120. aggiungendo una quantitα di informazioni non definite. 
  29121. Non esistono attivazione e  procedura d'avvio.
  29122.  
  29123. Danni: Corrompe i file eseguibili.
  29124.  
  29125. Sintomi: Rallenta il caricamento dei file e la loro esecuzione.
  29126.  
  29127. [Lemming.2160]
  29128. Tipo di Virus: Virus da file
  29129. Luogo d'origine:
  29130. Tipo di memoria: Non residente in memoria
  29131.  
  29132. Vettore PC agganciato: Int 21
  29133.  
  29134. Metodo di infezione:
  29135. 1) Cripta i dati da 114C:[SI+BP],facendo un XOR con un valore 
  29136. esadecimale di 49h producendo il seguente messaggio:
  29137.  
  29138.             "TBDRV   SP"
  29139.             "The Rise and Fall of ThunderByte-1994-Australia"
  29140.             "You will Never Trust Anti-Virus Software Again!!"
  29141.             "[LEMMING] ver .99"
  29142.             "TBAVTBSCANNAVVSAFEFPROT"
  29143.             "COMcomEXEexe"
  29144.  
  29145. 2) Acquisisce le variabili del DOS ed inserisce  "[LEMMING] ver .99."
  29146.  
  29147. Mentre il virus Φ residente in memoria, appare un errore di protezione 
  29148. in scrittura se l'utente cerca di eseguire un file con 
  29149. estensione *.EXE o *.COM da un dischetto protetto in scrittura.
  29150.  
  29151. [Wulf.1500-1]
  29152. Pseudonimo: Wulf
  29153. Tipo di Virus: Virus da file
  29154. Lunghezza del Virus: Circa 1500 Byte
  29155. Tipo di memoria: Memoria alta
  29156. Luogo d'origine:
  29157.  
  29158. Vettore PC agganciato: Int 13h, Int 21h
  29159.  
  29160. Metodo di infezione:
  29161. 1) Dopo che Φ stato decriptato si carica in memoria, 
  29162. inserendo 2976 Byte (9F46:0000).
  29163. 2) Sposta 1500 (05CCH + 0010H) Byte nella memoria alta.
  29164. 3) Infetta i file con estensione *.EXE. Copi il codice virale  
  29165. nel programma ospite, aggiungendo circa 1500 Byte. 
  29166. Carica il virus prima di eseguire il programma ospite.
  29167. 4) Mentre residente in memoria, il virus infetta tuti 
  29168. i file eseguiti con estensione *.EXE.
  29169.  
  29170. Il virus reagisce normalmente facendo spazio nella memoria 
  29171. prima di infettare i file. Non accade nulla di straordinario. 
  29172. Aggiunge il proprio codice al programma ospite dopo che Φ stato caricato dalla memoria.
  29173.  
  29174. Danni:
  29175. 1) Diminuisce la memoria libera.
  29176. 2) Aumenta la lunghezza dei file.
  29177.  
  29178. Sintomi: pu≥ mostrare
  29179.  
  29180.     "TBMEMXXXTBCHKXXXTBDSKXXXTBFILXXXPSQRW"
  29181.     "[WULF] (c) 1995-96 Werewolf"
  29182.     "CLEAN.AVP.TB.V.SCAN.NAV.IBM.FINDV.GUARD.FV.CHKDSK"
  29183.  
  29184. che appare nel codice del virus..
  29185.  
  29186. Metodo di rilevazione: Il codice del virus decifrato, 
  29187. quindi ricercare le stringhe sopra riportate.
  29188.  
  29189. [Teraz.2717]
  29190. Tipo di Virus: Virus da file
  29191. Lunghezza del Virus: Circa 2717 Byte
  29192. Tipo di reinfezione: Non reinfettante, 
  29193. la misura dei file infetti Φ consistente
  29194. Tipo di memoria: Non Residente
  29195. Luogo d'origine:
  29196.  
  29197. Vettore PC agganciato: Int 21h
  29198.  
  29199. Metodo di infezione:
  29200. Infetta direttamente i file con estensione  *.COM ed *.EXE 
  29201. quando viene eseguito un file infetto. 
  29202. Copia il codice virale nel programma ospite, aggiungendo 
  29203. circa 2717 Byte. Carica il virus prima di eseguire il programma ospite.
  29204.  
  29205. Il virus infetta ogni file con estensione *.COM ed *.EXE che viene esguito.
  29206. Non fa nulla di speciale. Si replica solamente quando Φ residente 
  29207. in memoria. Infetta solo i file eseguiti.
  29208.  
  29209. Danni:
  29210. 1) Aumenta la lunghezza dei file.
  29211. 2) Aggiunge circa 2717 Byte.
  29212.  
  29213. Sintomi:
  29214. Ritarda l'esecuzione dei programmi.
  29215.  
  29216. [N-Xeram]
  29217. Pseudonimo: Xeram
  29218. Tipo di Virus: Virus da file
  29219. Lunghezza del Virus: Circa 1667-1678 Byte
  29220. Tipo di reinfezione: Non reinfettante, la misura dei file 
  29221. infetti Φ consistente. Se il file Φ giα corrotto lo salta 
  29222. e cerca un altro file con estensione *.EXE.
  29223. Tipo di memoria: Non Residente, Direct Infector
  29224. Condizioni d'attivazione: Controlla la data di sistema. 
  29225. In caso sia il 13 del mese, si nomina N-XERAM. Altrimenti, , 
  29226. si nomina semplicemente come XERAM.
  29227.  
  29228. Vettore PC agganciato: Int 21h
  29229.  
  29230. Metodo di infezione:
  29231. Infetta direttamente i file con estensione  *.COM ed *.EXE 
  29232. quando viene eseguito un file infetto. 
  29233. Copia il codice virale nel programma ospite, aggiungendo 
  29234. circa 648 Byte. Carica il virus prima di eseguire il programma ospite.
  29235.  
  29236. Note: Il virus inizialmente cerca un file con estensione *.COM. 
  29237. Dapprima individua ed infetta il COMMAND.COM, e lo infetta. 
  29238. Dopo aver infettato il COMMAND.COM, il virus ricerca un file 
  29239. con estensione *.EXE. Non cerca un file con estensione *.COM nuovamente. 
  29240. Ricerca solo i file con estensione *.EXE.
  29241.  
  29242. Dapprima acquisisce la data di sistema per paragonare 
  29243. il giorno (per stabilire il nome), quindi regola il DTA. 
  29244. Il virus poi ricerca un file con estensione *.EXE intercettando l'Int 21 (4E). 
  29245. Quando la ricerca ha successo, il virus acquisisce gli attributi del 
  29246. file utilizzando l'Int 21 (43).
  29247. Cambia i suoi attributi per permettere la funzione di scrittura,
  29248. (specialmente per il COMMAND.COM). Prende nota di data ed ora del 
  29249. file utilizzando l'Int 21 (51) cos∞ che quando ha finito di alterare 
  29250. i codice, pu≥ salvarlo usando ora e data del file originale. 
  29251. Questo quindi, inganna l'utente sembrando che il file non sia mai 
  29252. stato cambiato.
  29253.  
  29254. Dopo il cambiamento, il virus si protegge dai seguenti programmi 
  29255. anti-virus, cancellandoli utilizzando l'Int 21 (41):
  29256.  
  29257.            1.  /NCDTREE/NAV_._NO
  29258.            2.  /CHKLIST.MS
  29259.            3.  /SCANVAL.VAL
  29260.  
  29261. Questi file sono informazioni o dati usati dai rispettivi programmi 
  29262. anti-virus. Possiamo classificare questo virus come un virus anti-anti-virus.
  29263.  
  29264. Ogni volta che viene eseguito un file infetto, viene infettato 
  29265. un file con estensione *.EXE nella stessa directory.
  29266.  
  29267. Danni:
  29268. 1) Aumenta la lunghezza dei file, aggiunge circa 1667-1678 Byte.
  29269. 2) Altera il COMMAND.COM, rendendolo inutilizzabile. Aggiunge 1674 Byte.
  29270.  I file infetti con estensione *.EXE girano normalmente.
  29271.  
  29272. Sintomi: Rallenta l'esecuzione dei programmi.
  29273.  
  29274. [Despro11]
  29275. Tipo di Virus:   polimorfico, Virus da file
  29276. Lunghezza del Virus: 2,406-2,409 Byte
  29277. Virus Infect Type: I file con estensione *.COM ed *.EXE
  29278. Tipo di reinfezione: no
  29279. Tipo di memoria: Residente in memoria alta
  29280. Luogo d'origine:
  29281.  
  29282. Vettore PC agganciato: INT 21h, INT 24h
  29283.  
  29284. Metodo di infezione:
  29285. Il virus infetta i file con estensione *.COM ed *.EXE. 
  29286. Aumenta la lunghezza dei file infetti di 2,406 Byte per 
  29287. i file con estensione *.COM e 2,409 per i file con estensione *.EXE. 
  29288. Il virus
  29289. infetta il file ospite aggiungendosi alla fine del file. 
  29290. Il virus pu≥ diventare residente in memoria  caricando od 
  29291. eseguendo un file infetto  con estensione  *.COM o *.EXE. 
  29292. Come virus  polimorfico, dapprima decripta il proprio codice, 
  29293. poi il virus alloca spazio nella memoria partendo da  9E80:0000. 
  29294. Poi copia il suo codice per rimanere  residente. Una volta residente, 
  29295. intercetta l'INT 21H per indirizzare il proprio programma nella 
  29296. memoria alta in 9E80:01BC. 
  29297. Il virus utilizza questo interrupt per essere in grado di aggiungersi 
  29298. ai file caricati ed eseguiti, usando il servizio 4BH dell'interrupt. 
  29299. Durante l'infezione dapprima intercetta l'INT 24H (Critical Error Handler) 
  29300. per disabilitare i messaggi d'errore, in modo che l'infezione 
  29301. non risulti evidente. Quindi cerca il COMMAND.COM nella directory  
  29302. principale del disco in uso e lo infetta se non Φ giα stato infettato. 
  29303. In questo modo dopo il successivo avvio dello stesso drive, il virus, 
  29304. immediatamente residente in memoria, infetta i file eseguibili che 
  29305. vengono caricati in memoria. Infine infetterα il file in uso che Φ 
  29306. stato caricato in  memoria. Il virus alcune volte non riesce ad 
  29307. aggiungersi completamente al file, ci≥ lo corrompe solamente. 
  29308. Non esistono attivazione e  procedura d'avvio.
  29309.  
  29310. Danni: Altera il COMMAND.COM ed i file eseguibili che possono 
  29311. causare un blocco del sistema.
  29312.  
  29313. Sintomi:
  29314. Aumenta la misura dei file con estensione *.COM di 2,409 Byte e
  29315. 2,406 Byte i file con estensione *.EXE.
  29316.  
  29317. [Neuroquila]
  29318. Pseudonimo:
  29319. Luogo d'origine:
  29320. Lunghezza del virus: 4622 Byte
  29321. Tipo di Virus: Virus da file, Virus criptato
  29322.  
  29323. Note:
  29324. Il virus NEUROQUI  decripta una parte del proprio codice 
  29325. all'inizio della propria esecuzione ( 4622 Byte). 
  29326. Quindi lo copia nell'area OS  0000:7C00.  Poi intercetta l'INT 1.
  29327.  
  29328. [Keypress-6]
  29329. Tipo di Virus : Virus da file
  29330. Tipo di memoria : Memoria alta
  29331. Vettore PC agganciato : Int 21h, Int 1Ch
  29332.  
  29333. Metodo di infezione:
  29334. 1) Salva i valori di tutti i registri.
  29335. 2) Si carica nella memoria alta, 9FA3:100 caricando 1216 Byte.
  29336. 4) Intercetta l'Int 21h e l'Int 1Ch (Timer Tick Interrupt), 
  29337. imposta un valore, quindi ritorna ai valori originali dei registri.
  29338.  
  29339. [Screaming_Fist]
  29340. Pseudonimo: SFIST696
  29341. Tipo di Virus: Virus da file
  29342. Lunghezza del Virus: Circa 675 Byte (sposta 696 Byte alla memoria)
  29343. Tipo di memoria: Memoria alta
  29344. Luogo d'origine:
  29345.  
  29346. Vettore PC agganciato: Int 21h
  29347.  
  29348. Metodo di infezione:
  29349. 1) Si carica in memoria alta, caricando circa 2,048 (9F80:0000) Byte.
  29350. 2) Infetta i file con estensione *.EXE e *.COM. Copia il codice 
  29351. virale nel programma ospite, aggiungendo circa 696 (02B8H) Byte. 
  29352. Carica il virus prima di far girare il programma ospite.
  29353. 3) Mentre in memoria, il virus infetta tutti i file 
  29354. con estensione *.COM ed EXE eseguiti.
  29355.  
  29356.  
  29357. Il codice virale Φ decriptato. Il virus reagisce normalmente inserendo 
  29358. spazio nella memoria prima di infettare i file. 
  29359. Non avviene niente di strano. Aggiunge il proprio codice al programma 
  29360. ospite dopo che Φ stato caricato in memoria.
  29361.  
  29362. Sintomi:
  29363. 1) Diminuisce la memoria libera.
  29364. 2) Aumenta la lunghezza dei file.
  29365. 3) Pu≥ mostrare il messaggio: 
  29366.  
  29367.         "Screaming Fist IIV"
  29368.  
  29369. contenuto nel codice decriptato.
  29370.  
  29371. Stringa di rilevamento: "C:\COMMAND>COM.Screaming Fist IIV"
  29372.  
  29373. Metodo di rilevazione: Il codice del virus decifrato, quindi ricercare 
  29374. le stringhe sopra riportate.
  29375.  
  29376. [PH33R.1332-1]
  29377. Pseudonimo:
  29378. Lunghezza del virus : 1332 Byte
  29379.  
  29380. Sintomi :
  29381. Porta la lunghezza dei file con estensione *.EXE, *.COM, e *.DLL ad una 
  29382. lunghezza di 1332 Byte e diminuisce di 2672 la memoria disponibile.  
  29383. Quando un floppy Φ protetto da scrittura, mostra il 
  29384. messaggio "Write Protect Error" quando si tenta di leggerlo.
  29385.  
  29386. Note:
  29387. Durante la prima infezione, questo virus individua 2672 Byte nella 
  29388. memoria alta e vi trasferisce 1332 Byte del suo codice.  
  29389. Quindi intercetta l'INT 21 con la procedura di infezione al 
  29390. servizio 4B (Execute Program), 6C (Extended Open Create), 56 (Rename
  29391. File), e 43 (Get File Attributes).
  29392.  
  29393. Il virus infetta tutti i file con estensione *.EXE, *.COM, *.DLL 
  29394. che vengono aperti, rinominati, o eseguiti.  
  29395. Inoltre evita di infettare i file che finiscono con la stringa
  29396.  "AV" (NAV, TBAV), "AN" (PCSCAN, SCAN) e "DV".
  29397.  
  29398. Il virus Φ cos∞ chiamato a causa della stringa "PH33R" 
  29399. trovata nel suo codice.
  29400.  
  29401. [Changsha]
  29402. Tipo di Virus:  Parassita, Virus da file (File con estensione *.EXE e *.COM)
  29403. Lunghezza del Virus: 3,072-3,091 Byte
  29404. Condizioni d'attivazione: Domenica
  29405. Tipo di reinfezione: no
  29406. Data di rilevazione.: 1991
  29407. Tipo di memoria: Residente in memoria, MCB 
  29408. Luogo d'origine: Changsha, Cina 
  29409.  
  29410. Vettore PC agganciato: INT 8h, INT 13h, INT 21h
  29411.  
  29412. Metodo di infezione:
  29413. Il virus infetta i file con estensione *.EXE ed *.EXE. 
  29414. Aumenta la lunghezza dei file con estensione *.COM di 3,072 Byte
  29415.  e di 3,091i file con estensione *.EXE, aggiungendosi alla fine del file. 
  29416. Il virus mette residente in memoria il proprio codice nella  memoria bassa 
  29417. dopo i programmi DOS.
  29418. Il codice del virus si carica in memoria caricando, eseguendo, copiando un 
  29419. file infetto.. Mentre residente in memoria pu≥ infettare file facendo la stessa cosa. 
  29420. Intercetta l' INT 21H per inserire i valori del proprio programma nella 
  29421. memoria bassa in 17F8:01C0. Ci≥ permette al virus di aggiungersi in 
  29422. fondo al file. Intercetta anche l'INT 8H (cambiato a 17F8:02E1) 
  29423. e l'INT 13H (cambiato a 17F8:0BED) ma nessuna procedura Φ stata vista.
  29424.  
  29425. Intercettando l'INT 21H acquisisce la data di sistema e se il giorno 
  29426. corrente Φ Domenica, si carica ed infetta tutti i file eseguibili 
  29427. nella cartella in uso. E' stato notato che data ed ora dei file 
  29428. infetti sono impostati su 1-1-94 all'ora 1:15. 
  29429. I file infettati questo giorno sono alterati e non girano correttamente. 
  29430. Ogni Domenica il virus si replica nel file. 
  29431. Se identificato da DOS CHKDSK.EXE la memoria occupata dal virus Φ 3,344 Byte. 
  29432. La seguente stringa pu≥ essere trovata nel codice virale:
  29433.  
  29434.            "Auto-Copy Deluxe R3.00"
  29435.            "(C) Copyright 1991. Mr YaQi. Changsha China"
  29436.            "No one can Beyond me!"
  29437.  
  29438. Danni: Corrompe i file con estensione *.EXE e *.COM
  29439.  
  29440. Sintomi:
  29441. 1) Aumento di lunghezza dei file di 3,072-3,091 Byte.
  29442. 2) Imposta data ed ora di sistema su 1-1-94, 1:15.
  29443.  
  29444. [Chao.1241]
  29445. Tipo di Virus:  Parassita, Virus da file (File con estensione *.EXE e *.COM)
  29446. Lunghezza del Virus: 1,241-1,247 Byte
  29447. Nome originale: CHAOS
  29448. Tipo di reinfezione: no
  29449. Tipo di memoria: Residente in memoria, MCB 
  29450. Luogo d'origine:
  29451.  
  29452. Vettore PC agganciato: INT 21h, INT 13h, INT 24h
  29453.  
  29454. Metodo di infezione:
  29455. Il virus infetta  i file con estensione *.EXE e *.COM
  29456. Si carica in memoria eseguendo o caricando un file infetto. 
  29457. Aumenta la misura di un file infetto di 1,241 Byte per i file 
  29458. con estensione *.COM e 1,247 Byte per i file con estensione *.EXE.
  29459.  
  29460. Il virus mette residente in memoria il proprio codice nella  
  29461. memoria bassa dopo i programmi DOS. Intercetta  l'INT 21H per 
  29462. inserire i valori del proprio programma nella memoria bassa 
  29463. in 1808:020E per essere in grado di aggiungersi ai file eseguiti 
  29464. usando il servizio 4BH dell'interrupt. 
  29465. Intercetta anche l'INT 24H (Critical Error Handler) per disabilitare 
  29466. il messaggio d'errore in caso di un errore di scrittura del file ospite. 
  29467. Caricato in memoria controlla la data corrente. 
  29468. Se Φ il 13 Settembre Φ attivata la procedura. 
  29469. Possono essere trovate le seguenti date di avvio:
  29470.  
  29471. Ogni giorno 9 del 1997
  29472.      "   10th  "  "  1998
  29473.      "   11th  "  "  1999 .... e cos∞ via.
  29474.  
  29475. La seguente formula descrive come determinare la data di 
  29476. attivazione per l'anno in corso:
  29477.  
  29478.     Giorno di attivazione = Anno corrente - 1988
  29479.  
  29480. La procedura eseguita dal virus durante la data di attivazione 
  29481. blocca il sistema dopo aver caricato ed eseguito i file. 
  29482. Pulisce lo schermo e mostra il seguente messaggio
  29483.  
  29484.   "I see, I come, I conquer...Trojan horse - CHAOS v2.0 by
  29485.    Faust".
  29486.  
  29487. Se identificato da DOS CHKDSK.EXE la memoria occupata dal virus Φ 1840 Byte.
  29488. Danni: Blocca il sistema
  29489.  
  29490. Sintomi: I file infetti incrementano le loro dimensioni di 
  29491. 1,241 (*.COM) e 1,247 Byte(*.EXE).
  29492.  
  29493. [Chill]
  29494. Tipo di Virus:   polimorfico, Virus da file (File con estensione *.COM)
  29495. Lunghezza del Virus: 544 Byte
  29496. Tipo di reinfezione: no
  29497. Tipo di memoria: Residente in memoria alta
  29498. Vettore PC agganciato: INT 21h
  29499.  
  29500. Metodo di infezione:
  29501. Il virus infetta solo i file con estensione *.COM. 
  29502. La misura dei file infetti aumenta di 544 Byte. 
  29503. Il virus infetta il file ospite aggiungendosi alla fine del file. 
  29504. Come virus  polimorfico, dapprima decripta i suoi primi 544 Byte 
  29505. facendo un XOR  con il valore di registro 6Ah di ogni Byte. 
  29506. Poi il virus sistema 1200 Byte nella  memoria alta (9FB4:0000)  
  29507. e copia il proprio codice per rimanere residente.
  29508. Poi intercetta  l'INT 21H per inserire i vettori del proprio 
  29509. programma nella memoria alta (9FB4:00B9). 
  29510. Il virus diventa residente in memoria dopo aver eseguito o 
  29511. caricato un file infetto. 
  29512. Una volta residente in memoria infetta i file con 
  29513. estensione *.COM quando caricato od eseguito in quanto 
  29514. utilizza il servizio alterato 4BH dell'INT 21H che per 
  29515. prima cosa il codice del virus nel file ospite prima di 
  29516. assumere il controllo dell'ospite. 
  29517. Inoltre imposta gli attributi della data del file infetto a 01-01-94.
  29518.  
  29519. Danni: Nessuno
  29520.  
  29521. Sintomi: La lunghezza del file ospite aumenta di 544 Byte.
  29522.  
  29523. [Three_Tunes]
  29524. Lunghezza del Virus: Circa 1784 Byte
  29525. Tipo di reinfezione: Non reinfetta, la misura dei file infetti Φ consistente
  29526. Tipo di memoria: Memoria alta
  29527. Vettore PC agganciato: Int 21h, Int 1Ch
  29528.  
  29529. Metodo di infezione:
  29530. 1) Si carica in memoria alta, allocando 2304 Byte (9F70:0000).
  29531. 2) Infetta i file con estensione *.EXE. 
  29532. Copia il codice virale nel programma ospite aggiungendo circa 1784 Byte. 
  29533. Prima di eseguire il programma carica il virus
  29534.  
  29535. Mentre residente in memoria, il virus infetta ogni file 
  29536. con estensione *.EXE eseguito.
  29537. Non fa nulla di speciale. Si replica quando residente in memoria. 
  29538. Infetta solo i file eseguiti.
  29539.  
  29540. Danni:
  29541. 1) Diminuisce la memoria libera di circa 2304 Byte.
  29542. 2) Aumenta la lunghezza dei file. Aggiunge circa 1784 Byte.
  29543.  
  29544. Note:
  29545. Il virus controlla che il mese corrente sia Giugno intercettando l'Int 21 (2A).
  29546. Se "SI", il virus si attiva; altrimenti esce dal programma. 
  29547. Poi, il virus controlla l'ora di sistema usando l'INT 21 (2C).
  29548. Utilizza una  formula speciale che Φ usata per selezionare quale 
  29549. procedura utilizzare. Ci sono 4 possibili procedura che discuteremo dopo.
  29550. Ma prima, la formula:
  29551.  
  29552.            Int 21 (2C):
  29553.            Significant register CX,
  29554.            Adds CH to CL and returns the sum to CL (Add CL,CH)
  29555.            uses the AND boolean between CL,03      (And CL,03)
  29556.            clears CH to 00                         (XOR CH,CH)
  29557.            compares Cl to 4 possibilities          (CMP CL,+03)
  29558.  
  29559. Il virus usa questa procedura per acquisire 00, 01, 02, 03 come valori per CL.
  29560. Ogni valore corrisponde a una certa melodia. (03 non ha una canzone da suonare) 
  29561. Quando Φ in esecuzione il file infetto, una specifica melodia corrisponde 
  29562. ed ci≥ che ne risulta dopo la manipolazione del tempo viene suonato. 
  29563. Vengono suonati un totale di tre canzoni. Qualsiasi canzone sia suonata, 
  29564. l'infezione rimane la stessa, anche se non viene suonato niente.
  29565.  
  29566. Sintomi:
  29567. 1) Ritarda l'esecuzione dei programmi.
  29568. 2) Suona diverse canzoni.
  29569.  
  29570. [Phx.96S]
  29571. Pseudonimo:
  29572. Lunghezza del virus: 965-968 Byte
  29573. Tipo di Virus:
  29574.  
  29575. Sintomi:
  29576. I  file infetti con estensione *.COM ed *.EXE aumenta di 965-968 Byte 
  29577. e diminuisce di 1024 Byte la memoria disponibile.  
  29578. Quando un floppy Φ protetto da scrittura, normalmente mostra un 
  29579. messaggio "Write Protect Error" quando si fa un tentativo di leggerlo.
  29580.  
  29581. Note:
  29582. Durante la prima infezione, questo virus individua 1024 Byte 
  29583. nella memoria alta e trasferisce 965 Byte del suo codice in questa area.  
  29584. Quindi intercetta INT 21. 
  29585.  
  29586. Questo virus file infetti con estensione *.COM ed *.EXE che vengono aperti, 
  29587. rinominati od eseguiti.
  29588.  
  29589. Il virus ha questo nome per la stringa "PHX" nel proprio codice.
  29590.  
  29591. [HI.460]
  29592. Tipo di Virus: Virus da file (File con estensione *.EXE)
  29593. Tipo di memoria: Memoria alta 
  29594. Vettore PC agganciato: Int 21h
  29595.  
  29596. Metodo di infezione:
  29597. 1) Controlla che il valore archiviato in DS:[0164] sia 2ED3h 
  29598. (se 2ED3h non Φ spostato da questo indirizzo).
  29599. 2) Si carica in memoria alta all'indirizzo 9FC0:0h.
  29600. 3) Intercetta l'interrupt 21h, e lo imposta. 
  29601. Una volta in memoria il virus aspetta un File con estensione *.EXE 
  29602. da essere eseguito per infettarlo. 
  29603. La parola "Hi" pu≥ essere trovata nel codice del virus per ogni 
  29604. file con estensione *.EXE infettato.
  29605.  
  29606. [Liberty.2857.A]
  29607. Tipo di Virus: Virus da file
  29608. Pseudonimo:
  29609. Lunghezza del Virus:
  29610. Luogo d'origine:
  29611. Tipo di memoria: Memoria alta 
  29612. Vettore PC agganciato: Int 21h
  29613.  
  29614. Metodo di infezione:
  29615. 1) Si carica da 11B0:0110 a 9DEE:0110h,  con 2858 Byte.
  29616. 2) Cripta i dati da 11B0:[0115] con un valore di CX = 3Ch. 
  29617. Si pu≥ trovare in "LIBERTY"  ma dopo averlo criptato, i dati 
  29618. a questo indirizzo diventano "Me BC.".
  29619. 3) Cripta nuovamente il messaggio da 11B0:0113h a 114C:0100he mostra:
  29620.    "- M Y S T I C - COPYRIGHT (c) 1989-2000, by SsAsMsUsEsL"
  29621. 4) Dopo che Φ stato caricato in memoria alta, aspetta di eseguire 
  29622. un file con estensione *.EXE o *.COM e lo infetta.
  29623.  
  29624. [Sibylle.853]
  29625. Tipo di Virus: Virus da file
  29626. Lunghezza del Virus: Circa 867 Byte
  29627. Tipo di memoria: Memoria alta
  29628. Luogo d'origine:
  29629. Condizioni d'attivazione: Si attiva solo se il milionesimo 
  29630. di secondo Φ minore di 32, quindi il codice esce senza 
  29631. essersi caricato in memoria.
  29632.  
  29633. Vettore PC agganciato: Int 21h, Int 2Fh
  29634.  
  29635. Metodo di infezione:
  29636. 1) Si carica in memoria alta, inserendo 928 Byte (usando MEM).
  29637. 2) Sposta 904 (01C4H x 2) Byte nella memoria alta.
  29638. 3)Infetta i file con estensione *.EXE. 
  29639. Copia il codice del virus nel programma ospite, aggiungendo circa 867 Byte. 
  29640. Carica il virus prima di eseguire il programma ospite.
  29641.  
  29642. Mentre residente in memoria, il virus infetta ogni file 
  29643. con estensione *.EXE eseguito.
  29644. Non fa nulla di speciale. Si replica quando residente in memoria. 
  29645. Infetta solo i file eseguiti.
  29646.  
  29647. Danni:
  29648. 1) Diminuisce la memoria libera di circa 928 Byte.
  29649.  Usando MEM.EXE, 928 Byte saranno usati da MSDOS (tricky).
  29650. 2) Aumenta la lunghezza dei file. Aggiunge circa 867 Byte.
  29651.  
  29652. Sintomi: Rallenta l'esecuzione dei programmi.
  29653.  
  29654. Metodo di rilevazione: Individuare la stringa.
  29655.  
  29656. [Fich-1]
  29657. Tipo di Virus: Virus da file [File con estensione *.COM (compreso il COMMAND.COM)]
  29658. Tipo di memoria: MCB 
  29659. Vettore PC agganciato: Int 21h
  29660.  
  29661. Metodo di infezione:
  29662. Il virus Φ un programma TSR.
  29663. Infetta immediatamente COMMAND.COM. Quindi aspetta un altro 
  29664. file che deve essere eseguito per infettarlo. 
  29665. Questo virus infetta solo i file con estensione *.COM. 
  29666. Quando viene eseguito un file non infetto, si infetta un altro file
  29667.  con estensione *.COM. Il virus non reinfetta i file. 
  29668. Prima di caricarsi in memoria, controlla che sia giα in memoria.
  29669.  
  29670.  
  29671. [Hdenowt]
  29672. Tipo di Virus: Virus da file [File con estensione *.COM e *.EXE 
  29673. (compreso COMMAND.COM)]
  29674. Vettore PC agganciato: Int 21h
  29675.  
  29676. Metodo di infezione:
  29677. 1) Salva i primi 16 Byte all'indirizzo 114C:08D5h e poi cambia i 
  29678. primi 16 Byte di 0:0 da 11BA:0285h. 
  29679. Prima di questo si verifica una criptazione partendo da 11BA:012Eh eseguendo un
  29680.  XOR con 95h, di 288 Byte.
  29681. 2) Quando Φ eseguito il codice del virus, colloca COMMAND.COM,
  29682.    quindi cerca altri file con estensione *.EXE e *.COM nella 
  29683. stessa directory in cui Φ eseguito il virus. 
  29684. L'infezione non si vede facilmente perchΘ la lunghezza del file rimane invariata.
  29685.  
  29686. Sintomi: I file infetti incrementano le loro dimensioni di circa 1700 Byte.
  29687.  
  29688. [Kacz]
  29689. Luogo d'origine:
  29690. Lunghezza del virus: 4444 Byte
  29691. Tipo di Virus:  polimorfico, Virus da file
  29692.  
  29693. Sintomi :
  29694. I file con estensione *.EXEs aumentano di 4444 Byte e la memoria 
  29695. disponibile diminuisce di 6144 Byte. 
  29696. I file infetti mostrano un messaggio come: "Error Loading Program File", 
  29697. "File not
  29698. Found", e "Memory Allocation Error."
  29699.  
  29700. Note:
  29701. Durante la prima infezione, KACZ decripta 4387 Byte del suo codice 
  29702. quindi colloca 6144 Byte in memoria alta. Trasferisce 4387 Byte del 
  29703. suo codice in quell'area.
  29704. Intercetta l'INT 13 e l'INT 21. 
  29705. Legge il Boot Record dell'hard disk e cerca di modificarlo. 
  29706. Scrive il nuovo Boot Record infetto nell'hard disk cos∞ ogni 
  29707. volta che viene usato per avviare, il virus risiede in memoria.
  29708.  
  29709. Questo virus infetta tutti i file con estensione *.EXE che vengono 
  29710. aperti, rinominati o eseguiti.  Modifica inoltre il campo dei secondi a 62.
  29711.  
  29712. Nel codice del virus decriptato si trovano i seguenti messaggi:
  29713.  
  29714.            "Zrobione"
  29715.            "Wersja"
  29716.            "Kodowanie"
  29717.            "Liczmik HD"
  29718.            "K a c z,o r t e s t"
  29719.  
  29720.  
  29721. [V-BCIV-1]
  29722. Pseudonimo: VIENREBO
  29723. Tipo di Virus: Virus da file
  29724. Lunghezza del Virus: Circa 648 Byte
  29725. Virus reinfettante: Non reinfetta, la misura dei file infetti Φ costante.
  29726. Se il file Φ giα alterato cerca un altro file con estensione *.COM.
  29727. Tipo di memoria: Non residente.
  29728. Luogo d'origine:
  29729.  
  29730. Vettore PC agganciato: Int 21h
  29731.  
  29732. Metodo di infezione:
  29733. Infetta direttamente i file con estensione *.COM quando viene 
  29734. eseguito un file infetto. Copia il codice del virus nel programma ospite, 
  29735. aggiungendo circa 648 Byte.
  29736. Carica il virus prima di far girare il programma ospite.
  29737. In seguito cerca dei file con estensione *.COM nella directory 
  29738. utilizzando l'Int 21 (4E e 4F). Se la ricerca ha successo, il virus 
  29739. acquisisce gli attributi del file utilizzando l'Int 21 (43). 
  29740. Cambia i propri attributi per poter essere in grado di scrivere 
  29741. (soprattutto per COMMAND.COM). Prende nota del file di data ed ora 
  29742. usando l'Int 21 (51), cos∞ pu≥ salvare il file usando data ed ora 
  29743. originali quando altera il codice. 
  29744. In questo modo il file non sembra essere cambiato.
  29745.  
  29746. Ogni volta che viene eseguito un file infetto, un file 
  29747. con estensione *.COM viene infettato nella stessa directory.
  29748.  
  29749. Danni:
  29750. 1) Aumenta la lunghezza dei file. Aggiunge circa 648 Byte.
  29751. 2) Altera COMMAND.COM, rendendolo inutilizzabile. 
  29752. Altri file con estensione *.COM girano normalmente.
  29753.  
  29754. Sintomi: Rallentamento dell'esecuzione dei programmi.
  29755.  
  29756. [Nightfall.4518]
  29757. Tipo di Virus: Virus da file
  29758.  
  29759. Note:
  29760. 1) Decripta una del suo codice di 4526 Byte, quindi lo decripta nuovamente.
  29761. 2) Controlla che sia giα caricato in memoria controllando i vettori 
  29762. interrupt di INT 13, INT 21 e INT 2A.
  29763. 3) Colloca 5680 Byte nella memoria alta.
  29764.  
  29765. Dopo essersi caricato nella memoria alta, il virus sembra non 
  29766. stia facendo niente. E' possibile che il virus abbia dei bug.
  29767.  
  29768. [Dig.Death.3787]
  29769. Tipo di Virus:  polimorfico, Virus da file (File con estensione *.EXE e *.COM)
  29770. Lunghezza del Virus: 3547 Byte
  29771. Virus reinfettante: No
  29772. Tipo di memoria: Residente in memoria alta
  29773.  
  29774. Vettore PC agganciato: INT 21h, INT 13h, INT 1Ch
  29775.  
  29776. Metodo di infezione:
  29777. Il virus infetta i file con estensione *.COM e *.EXE. 
  29778. Infetta il file ospite attaccandosi alla fine del file. 
  29779. La lunghezza di un file infetto aumenta di 3,547 Byte. 
  29780. Il virus pu≥ risiedere in memoria al caricamento ed esecuzione 
  29781. di un file infetto. Essendo un virus polimorfico, prima decripta 3,422 
  29782. Byte del suo codice. Quindi colloca 5,120 Byte in memoria alta partendo 
  29783. da 9EB0:0000. Da qui intercetta l'INT 21H. Utilizza il servizio 4BH 
  29784. dell'interrupt per potersi attaccare ad un file caricato ed eseguito. 
  29785. Utilizza inoltre i servizi 4EH e 4FH per nascondere l'aumento di lunghezza 
  29786. dei file infetti dopo che il virus Φ in memoria; in questo modo non si nota 
  29787. l'infezione. Una volta che il virus si Φ attaccato al file ospite, 
  29788. cripta ancora il suo codice e lo scrive in un nuovo file. 
  29789. Non si rilevano procedure o attivazioni. Il virus
  29790. si replica soltanto.
  29791.  
  29792. Sintomi: I file infetti incrementano le loro dimensioni di 3,547 Byte.
  29793.  
  29794. [Vinchuca]
  29795. Tipo di Virus: Virus da file
  29796. Lunghezza del Virus: La lunghezza del codice criptato Φ di 912 Byte
  29797. Tipo di memoria: Memoria alta
  29798. Luogo d'origine:
  29799.  
  29800. Vettore PC agganciato: Int 21h, Int 27h
  29801.  
  29802. Metodo di infezione:
  29803. 1) Si carica in memoria alta, caricando circa 1328 Byte.
  29804. 2) Infetta i file con estensione *.COM. Copia il codice del virus nel 
  29805. programma ospite (la lunghezza del codice Φ di 912 Byte). 
  29806. Carica il virus prima di far girare il programma ospite.
  29807. 3) Mentre Φ in memoria, il virus infetta tutti i file con estensione *.COM 
  29808. che vengono aperti.
  29809.  
  29810. Il codice del virus viene trasferito  in  memoria  utilizzando l'Int 21 (4A). 
  29811. Il codice del virus viene quindi immediatamente eseguito quando 
  29812. le richieste vengono soddisfatte.
  29813. Il virus Φ TSR, usando Int 27. Il virus reagisce trasferendo il suo 
  29814. codice in memoria alta prima di aggiungere effettivamente il suo codice.
  29815.  
  29816. Sintomi: Pu≥ comparire:
  29817.  
  29818.     "Saludos para Satanic Brain y Patoruzi"
  29819.     "Virus Vinchaca v.1,0 1993"
  29820.     "Creado por Murdock."
  29821.     "Buenos Aires, Argentina"
  29822.     "Su PC tiene mal chagas....jajaja...."
  29823.  
  29824. che Φ presente nel codice del virus.
  29825.  
  29826. Metodo di rilevazione: Decriptazione del codice del virus prima della rilevazione. 
  29827. Ricerca della suddetta stringa.
  29828.  
  29829. Note: Il codice del virus contiene Int 13 (16) che esamina  
  29830. le variazioni delle informazioni del disco.
  29831.  
  29832. [Ginger.2774]
  29833. Tipo di Virus: Virus da file
  29834. Tipo di memoria: Tipo OS (dopo riavvio = Mem. alta)
  29835. Vettore PC agganciato: Int 21h, Int 13h
  29836.  
  29837. Metodo di infezione:
  29838. Il virus Φ di tipo OS, intercetta l'Int 13 e 21h.
  29839. Infetta prima il boot record, cos∞ quando la macchina viene riavviata, 
  29840. il virus si carica in memoria alta da dove infetta i file. 
  29841. Colloca 4096 Byte in memoria.
  29842.  
  29843. Il problema insorge quando il virus viene eseguito e la macchina viene riavviata, 
  29844. infatti la tastiera non funziona a causa dell'utilizzo dell'Int 15h. 
  29845. Per questo motivo l'infezione non si verifica.
  29846.  
  29847. [Mirea.1788]
  29848. Pseudonimo:
  29849. Luogo d'origine:
  29850. Lunghezza del virus: 1788 Byte
  29851. Tipo di Virus: Virus da file (File con estensione *.COM)
  29852.  
  29853. Sintomi :
  29854. La lunghezza dei file con estensione *.COM aumenta di 1788 Byte, 
  29855. la memoria disponibile diminuisce di 2368 Byte. 
  29856. Rallenta l'esecuzione dei programmi.
  29857.  
  29858. Note:
  29859. Il virus MIRE1788  si colloca prima in memoria con una lunghezza 
  29860. di 2368 Byte e trasferisce il suo codice di 1788 Byte in memoria alta.  
  29861. Controlla quindi che la data sia il giorno 13. Intercetta quindi l'INT 8, 
  29862. INT 9 e INT 21. Questo permette al virus di infettare altri 
  29863. file con estensione *.COM.
  29864.  
  29865. Se la data Φ il giorno 13, il virus Φ in memoria e la tastiera 
  29866. non viene usata per 30 minuti, il virus mostra una finestra di dialogo 
  29867. rossa al centro dello schermo con il testo ASCII scritto all'interno. 
  29868. Sono leggibili solo il numero 16 e una serie di numeri 133-20-60.
  29869.  
  29870. Nasconde un file infetto quando viene eseguito il comando DIR 
  29871. al prompt di DOS, in modo da nascondere l'aumento di lunghezza di un file infetto.
  29872.  
  29873. [Little-Red]
  29874. Tipo di Virus: Virus da file
  29875. Lunghezza del Virus: 1465 Byte
  29876. Condizioni d'attivazione: Anno < 1994, Data = 9 sett., 26 dic.
  29877. Tipo di memoria: Residente in memoria alta
  29878. Vettore PC agganciato:  INT 1Ch, INT 21h, INT 24h
  29879.  
  29880. Metodo di infezione:
  29881. 1) Decripta una parte del suo codice e quindi lo esegue. 
  29882. Quindi disattiva la funzione "Get DOS Version". 
  29883. Il virus utilizza questa funzione per controllare direttamente le risorse di DOS.
  29884. 2) Cripta ancora questa parte.
  29885. 3) Modifica la memoria e colloca 2048 Byte in memoria alta. 
  29886. E' quindi pronto per trasferire il codice del virus in HMA con una lunghezza di 1465 Byte.
  29887. 4) In memoria alta, il virus intercetta l'INT 1C, 21 e 24.
  29888. 5) Apre i file eseguiti e controlla che siano dei file con 
  29889. estensione *.COM; se "SI", controlla che il file sia giα infetto; 
  29890. se "NO", il virus lo infetta. 
  29891. Dopo l'infezione, il virus cambia l'attributo di  ":\COMMAND.COM" 
  29892. da "read-only" e "system" in "archive".
  29893.  
  29894. [Civil_defense_FB]
  29895. Tipo di Virus:  Boot, Virus da file (File con estensione *.EXE e *.COM)
  29896. Lunghezza del Virus: 6656 Byte
  29897. Nome originale: CIVIL DEFENSE
  29898. Virus reinfettante: no
  29899. Tipo di memoria: Non risiede in memoria 
  29900. Luogo d'origine:
  29901.  
  29902. Metodo di infezione:
  29903. Il virus infetta prima di tutto il settore Master Boot del drive C:\. 
  29904. Legge nel suo programma il settore di boot del drive C:\ ed il settore 
  29905. seguente (testina 0, cilindro 0, settore 2). 
  29906. Quindi legge 1 settore da testina 0, cilindro 87, settore 65 del drive C:\. 
  29907. Il virus regola quanto sopra scritto copiando altri dati 
  29908. dall'originale boot record, e li scrive nel settore di boot del drive C:\; 
  29909. in questo modo sostituisce l'originale. 
  29910. Quindi copia 6656 Byte del proprio codice (13 settori) al 
  29911. settore 66, cilindro 87, testina 0 del drive C:\.
  29912.  
  29913. Si Φ visto che infetta il file CIV6672.EXE aprendo, copiando 
  29914. la propria header sul file, spostando il file pointer alla fine 
  29915. del file ospite (CIV6672.EXE), eseguendo quindi INT 40H (Write to file). 
  29916. In questo modo viene corrotto il file del programma del virus. 
  29917. Non Φ stato individuato come il settore di boot infetto cariche 
  29918. il suo programma dal settore 66, cilindro 87, testina 0 del drive C:\. 
  29919. Questo potrebbe essere la ragione del perchΘ il settore di boot infetto, 
  29920. non infetti i file caricati ed eseguiti.
  29921.  
  29922. Non si rileva l'intercettazione dell'interrupt, la sua collocazione in memoria 
  29923. o l'attivazione. Come verificato attraverso DOS CHKDSK, non ci sono variazioni 
  29924. nella memoria dopo il caricamento del virus CIV6672.EXE.
  29925. Si Φ concluso che il virus infetta il settore di boot facendo girare 
  29926. direttamente il file del programma del virus senza sapere come il virus 
  29927. si replichi in altri file eseguibili che possono infettare il settore 
  29928. Master Boot di drive C:\ al caricamento e all'esecuzione dei file.
  29929.  
  29930. Sintomi: Rallentamento de tempo di caricamento ed esecuzione del file.
  29931.  
  29932. [Plagiarist.2051]
  29933. Pseudonimo: PLAGIARIST
  29934. Origine:
  29935. Lunghezza del virus: 2051 Byte
  29936. Tipo di Virus: Virus Multipartito
  29937.  
  29938. Sintomi :
  29939. La lunghezza dei file con estensione *.COM e *.EXE aumenta di 2051 Byte e 
  29940. la memoria disponibile diminuisce di 2048 Byte.
  29941.  
  29942. Note:
  29943. Alla prima infezione, il virus controlla che la data sia tra il 1993 ed il 2042. 
  29944. Se "SI", fa una copia del boot record alla fine logica del drive e trasferisce 
  29945. il suo codice dopo il.  Sostituisce quindi il boot record corrente con 
  29946. il proprio boot record infetto. 
  29947. Il virus si attiva quando si avvia da un drive infetto.
  29948.  
  29949. Il virus colloca 2048 Byte in memoria e trasferisce il codice 
  29950. del virus nella memoria alta del disco di. 
  29951. In seguito intercetta l'INT 21, INT 28, INT 08, e l'INT 13.
  29952.  
  29953. [VLamiX]
  29954. Tipo di Virus: Virus da file
  29955. Lunghezza del Virus: Circa 1062 Byte
  29956. Tipo di memoria: Memoria alta
  29957. Luogo d'origine:
  29958.  
  29959. Vettore PC agganciato: Int 21h, Int 10h
  29960.  
  29961. Metodo di infezione:
  29962. 1) Si carica in memoria alta, collocando circa 1,136 Byte.
  29963. 2) Infetta i file con estensione *.EXE. Copia il codice del virus 
  29964. code nel programma ospite, aggiungendo circa 1091-1106 Byte. 
  29965. Carica il virus prima di far girare il programma ospite.
  29966. 3) Mentre Φ in memoria, il virus infetta tutti i file 
  29967. con estensione *.EXE aperti.
  29968.  
  29969. Il codice del virus Φ decriptato. 
  29970. Il virus reagisce collocando spazio in memoria prima di infettare i file. 
  29971. Non si verifica nulla di strano in quanto attacca 
  29972. il suo codice al programma ospite.
  29973.  
  29974. Sintomi: Pu≥ comparire nel codice decriptato il seguente:  
  29975. "Smartc*.cps chklist*"
  29976.      "-=* Die-lamer *=-"
  29977.      "chklist ???"
  29978.      "chklist.cps"
  29979.      "Vlamix-1"
  29980.  
  29981. Metodo di rilevazione: Decifrazione del codice del virus 
  29982. prima della sua rilevazione. Ricerca della stringa di testo.
  29983.  
  29984. [Sleepwalker]
  29985. Tipo di Virus: Virus da file
  29986. Lunghezza del Virus: Tra 1268-1282 Byte
  29987. Tipo di memoria: Memoria alta
  29988. Vettore PC agganciato: Int 21h, Int 1Ch
  29989.  
  29990. Metodo di infezione:
  29991. 1) Si carica in memoria alta, collocando circa 1552 Byte.
  29992. 2) Infetta i file con estensione *.COM. 
  29993. Copia il codice del virus nel programma infetto. 
  29994. Carica il virus prima di far girare il programma ospite.
  29995. 3) Mentre Φ in memoria, il virus infetta tutti i file 
  29996. con estensione *.COM aperti.
  29997.  
  29998. Il codice del virus viene trasferito in memoria usando Int 21 (4A). 
  29999. Il virus reagisce trasferendo il suo codice in memoria alta prima 
  30000. di attaccare il codice stesso ad un file. 
  30001. Il virus mostra la stringa "STAC," ma non Φ escluso 
  30002. che possano comparirne delle altre.
  30003.  
  30004. Sintomi: Compare nel codice del virus:
  30005.  
  30006.     "STAC"
  30007.     "Sleepwalker. (c) Optus 1993."
  30008.  
  30009.  
  30010. Metodo di rilevazione: Controllo della suddetta stringa.
  30011.  
  30012. [Alfon]
  30013. Nome del Virus: ALFO1344
  30014. Tipo di Virus: Virus da file
  30015. Lunghezza del Virus: 1344-1426 Byte
  30016. Virus Infect Type: File con estensione *.EXE e *.COM
  30017. Virus reinfettante: No
  30018. Tipo di memoria: Risiede in memoria, tipo MCB 
  30019. Vettore PC agganciato: INT 21h
  30020.  
  30021. Metodo di infezione:
  30022. The virus infetta i file con estensione *.EXE e *.COM. 
  30023. Infetta i file con estensione *.COM spostando pi∙ in basso 
  30024. il programma ospite ed attaccando l'intero programma del virus 
  30025. all'inizio del file. Nell'infezione dei file con estensione *.EXE invece, 
  30026. il programma del virus viene aggiunto normalmente oppure alla 
  30027. fine del programma ospite. Dopo l'infezione, la lunghezza 
  30028. del file del programma ospite aumenta di 1344 Byte per i file 
  30029. con estensione *.EXE e 1426 Byte per i file con estensione *.COM. 
  30030. Il virus controlla che un file sia giα stato infettato. 
  30031. Se "SI", lascia indietro il file. 
  30032. Se "NO", lo infetta collocando memoria dopo la parte 
  30033. residente di COMMAND.COM e copiando il suo programma in quella posizione. 
  30034. Intercetta l'INT 21H cambiando il vettore al suo programma in 17F8:01CF. 
  30035. All'esecuzione del servizio dell'interrupt 4BH, aggiunge il proprio 
  30036. programma attraverso l'INT 3H che contiene gli originali vettori dell'INT 21H. 
  30037. Successivamente ritorna al suo programma residente in memoria 
  30038. a 17F7:0000 per infettare altri file caricati o eseguiti.
  30039.  
  30040. Sintomi: Aumento della lunghezza dei file di 1344 Byte 
  30041. (per quelli con estensione *.EXE) e 1426 Byte 
  30042. (per i file con estensione *.COM).
  30043.  
  30044. [HLLO.Beeper]
  30045. Tipo di Virus: Virus da file (File con estensione *.EXE)
  30046. Modalitα di reinfezione: Non residente in memoria
  30047. Vettore PC agganciato:
  30048.  
  30049. Metodo di infezione:
  30050. Quando viene eseguito un file infetto, tre file con estensione *.EXE 
  30051. si infettano, copiando il loro nome e cambiando la propria estensione 
  30052. in *.COM. Per ogni file infettato alla propria esecuzione, 
  30053. tre file con estensione *.EXE divengono infetti.
  30054.  
  30055. Questo permette al codice del virus di venire eseguito prima 
  30056. dei file con estensione *.EXE originali.
  30057.  
  30058. [One_Half.3544]
  30059. Virus Status:
  30060. Origine:
  30061. Lunghezza del virus: 3500-5500 Byte
  30062. Tipo di Virus: Virus Polimorfico
  30063.  
  30064. Sintomi :
  30065. La lunghezza dei file con estensione *.COM e *.EXE infetti 
  30066. aumenta di 3544 Byte e la memoria disponibile diminuisce di 5120 Byte.  
  30067. A causa della procedura del virus, i programmi eseguiti possono rallentare.
  30068.  
  30069. Note:
  30070. One-half Φ un virus multipartito e polimorfico. 
  30071. Prima infetta il settore di boot dell'hard disk e rimane 
  30072. in memoria solo se l'hard disk Φ usato per l'avvio. 
  30073. Durante questa procedura, colloca 5120 Byte in memoria 
  30074. e rimane in memoria alta. Intercetta l'INT 21, INT 13, e INT 1C.
  30075.  
  30076. Tutti i file con estensione *.EXE e *.COM eseguiti, aperti o 
  30077. copiati vengono infettati dal virus. La loro lunghezza aumenta di 3544 Byte.
  30078.  
  30079. Il virus Φ in grado di nascondersi da un software anti-virus. 
  30080. Riesce anche a nascondere l'aumento di lunghezza dei file 
  30081. aggiungendo dei codici speciali in grado di controllare i 
  30082. file infetti e modificare la loro lunghezza quando vengono visti.
  30083.  
  30084. One-Half cripta un area dell'hard disk ogni volta che viene fatto partire. 
  30085. Ci≥ significa che lentamente cripta tutti i dati nell'hard disk.
  30086. Malgrado queste aree vengano poi decriptate quando il virus 
  30087. Φ in memoria, Φ opportuno eseguire una copia di backup di un file 
  30088. importante mentre il virus Φ ancora in memoria. 
  30089. Questo rende difficile la sua rimozione perchΘ nasconde il 
  30090. suo codice criptato nel Boot Record.
  30091.  
  30092. Nel codice del virus decriptato si trovano i seguenti messaggi:
  30093.  
  30094.          "Dis is one half."
  30095.          "Press any key to continue"
  30096.          "Did you Leave the room?"
  30097.  
  30098. [One_Half.3570]
  30099. Nome del Virus: ONEH3570
  30100. Pseudonimo: ONE-HALF.3570
  30101. Lunghezza del virus: 3500-5500 Byte
  30102. Tipo di Virus: Virus Polimorfico
  30103.  
  30104. Sintomi :
  30105. La lunghezza dei file con estensione *.COM e *.EXE infetti 
  30106. aumenta di 3570 Byte e la memoria disponibile diminuisce di 5120 Byte.  
  30107. A causa della procedura del virus, i programmi eseguiti possono rallentare. 
  30108. Note:
  30109. One-half.3570 Φ un virus multipartito e polimorfico ed Φ una nuova 
  30110. versione di One-Half.3544. Prima infetta il settore di boot dell'hard
  30111. disk e rimane in memoria solo se l'hard disk Φ usato per l'avvio. 
  30112. Durante questa procedura, colloca 5120 Byte in memoria e rimane in memoria alta. 
  30113. Intercetta l'INT 21, INT 13, e INT 1C.
  30114.  
  30115. Tutti i file con estensione *.EXE e *.COM eseguiti, aperti o copiati 
  30116. vengono infettati dal virus. La loro lunghezza aumenta di 3570 Byte.
  30117.  
  30118. Il virus Φ in grado di nascondersi da un software anti-virus. 
  30119. Riesce anche a nascondere l'aumento di lunghezza dei file aggiungendo 
  30120. dei codici speciali in grado di controllare i file infetti e modificare 
  30121. la loro lunghezza quando vengono visti.
  30122.  
  30123. One-Half cripta un area dell'hard disk ogni volta che viene fatto partire. 
  30124. Ci≥ significa che lentamente cripta tutti i dati nell'hard disk.
  30125. Malgrado queste aree vengano poi decriptate quando il virus Φ 
  30126. in memoria, Φ opportuno eseguire una copia di backup di un file 
  30127. importante mentre il virus Φ ancora in memoria. 
  30128. Questo rende difficile la sua rimozione perchΘ nasconde il suo 
  30129. codice criptato nel Boot Record.
  30130.  
  30131. Nel codice del virus vengono decriptati i seguenti messaggi:
  30132.  
  30133.          "Dis is one half."
  30134.          "Press a key"
  30135.          "Did you leave the room?"
  30136.  
  30137. [Unsnared]
  30138. Tipo di Virus: Virus da file
  30139. Lunghezza del Virus: Circa 814 Byte
  30140. Tipo di memoria: Memoria alta
  30141. Luogo d'origine:
  30142.  
  30143. Vettore PC agganciato: Int 21h
  30144.  
  30145. Metodo di infezione:
  30146. 1) Si carica in memoria alta, collocando 1024 Byte (9FC0:0000).
  30147. 2) Sposta circa 814 Byte (032EH) in memoria alta.
  30148. 3) Infetta i file con estensione *.EXE. 
  30149. Copia il codice del virus nel programma ospite, 
  30150. aggiungendo circa 814 (032EH) Byte. 
  30151. Carica il virus prima di far girare il programma ospite.
  30152. 4) Mentre Φ in memoria, il virus infetta tutti i file 
  30153. con estensione *.EXE aperti.
  30154.  
  30155. Prima di infettare i file, il virus aggiunge spazio in memoria. 
  30156. Non si verifica niente di nuovo in quanto attacca il suo codice nel 
  30157. file ospite dopo che si Φ caricato in memoria.
  30158.  
  30159. Danni:
  30160. 1) Diminuzione della memoria libera.
  30161. 2) Aumento della lunghezza dei file.
  30162.  
  30163. [Ant4096B]
  30164. Nome del Virus: ANT4096B
  30165. Tipo di Virus: Virus da File  ((File con estensione *.EXE e *.COM)
  30166. Lunghezza del Virus: 4096 Byte
  30167. Nome originale: INVADER
  30168. Virus reinfettante: No
  30169. Tipo di memoria: residente in memoria, tipo MCB 
  30170. Vettore PC agganciato: INT 21h, INT 8h, INT 9h, INT 13h
  30171.  
  30172. Metodo di infezione:
  30173. Il virus infetta i file con estensione *.EXE e *.COM. 
  30174. Infetta i file con estensione *.COM spostando pi∙ in basso il 
  30175. programma ospite e attaccando l'intero virus all'inizio del file. 
  30176. Nell'infezione dei file con estensione *.EXE invece, 
  30177. il programma del virus viene attaccato normalmente o alla 
  30178. fine del programma ospite. Dopo l'infezione, la lunghezza 
  30179. del file del programma ospite aumenta di 4096 Byte . 
  30180. Il programma del virus colloca 320 paragrafi (5120 Byte) 
  30181. nella parte bassa della memoria, dopo COMMAND.COM, 
  30182. specificatamente in 17F8:0000. Decripta 424 Byte del suo 
  30183. programma usando XOR 46H. In seguito, nell'area dei dati 
  30184. del programma del virus si pu≥ vedere la stringa: "by Invader, 
  30185. Feng Chiu U., Warning: Don't run ACAD.EXE". Intercetta poi l'INT 21H 
  30186. cambiando i suoi vettori a 1808:05DF, INT 08H a 1808:01F9, 
  30187. INT 09H a 1808:02B8, e INT 13H a 1808:0435. 
  30188. Nell'intercettazione dell'interupt non si vede nessuna procedura. 
  30189. Il virus infetta solo i file caricati ed eseguiti.
  30190.  
  30191. Sintomi: I file infetti incrementano le loro dimensioni di 4096 Byte.
  30192.  
  30193. [Ontario-B]
  30194. Pseudonimo:
  30195. Origine:
  30196. Lunghezza del virus: 1024 Byte
  30197. Tipo di Virus:
  30198.  
  30199. Sintomi :
  30200. I programmi con estensione *.COM e *.EXE aumentano di 1024 Byte 
  30201. e la memoria libera diminuisce di 2048 Byte.
  30202.  
  30203. Note:
  30204. Alla prima infezione, il virus colloca 2048 Byte in memoria alta 
  30205. e quindi vi trasferisce 1024 Byte del suo codice. 
  30206. Intercetta l'INT 21 con la procedura di infezione ai servizi 4B00 
  30207. (Execute Program), 3D02 (Open File Handle), 11 e 12 (Find Directory Entries).
  30208.  
  30209. Il virus infetta i file con estensione *.COM e *.EXE aperti, 
  30210. rinominati o eseguiti. Nasconde inoltre i file infetti quando 
  30211. visti o elencati  con il comando DIR.
  30212.  
  30213. Non sembra vi siano danni a parte la replicazione del virus.
  30214.  
  30215. [Nov_17]
  30216. Pseudonimo: November-17th.800
  30217. Lunghezza del virus: 800
  30218. Tipo di Virus: Virus da file
  30219.  
  30220. Sintomi :
  30221. I file con estensione *.EXE aumentano di 800 Byte e vengono 
  30222. collocati 832 Byte in memoria alta.
  30223.  
  30224. Note:
  30225. All'infezione, il virus controlla che il file trasportatore 
  30226. sia un file con estensione *.EXE.
  30227. Infetta i file con estensione *.COM e *.EXE in modo diverso 
  30228. a causa della loro diversa struttura. Colloca quindi 832 Byte 
  30229. in memoria alta e sposta il suo codice in HMA. 
  30230. Intercetta quindi l'INT 21. Torna quindi alla routine originale.
  30231.  
  30232. Una volta in memoria, il virus oltre ad infettare i file, 
  30233. cambia gli attributi dei file aperti o eseguiti.
  30234.  
  30235. Al caricamento, NO-17-800 controlla che la data di sistema 
  30236. sia tra i giorni 17 e 30 novembre; 
  30237. Se "SI", la salva e la controlla finchΘ non viene cambiata; 
  30238. ci≥ si verifica quando scrive 8 settori del drive in uso 
  30239. partendo dal primo 1. Questa procedura distrugge il Boot Record 
  30240. ed i file situati nei primi 8 settori del floppy disk oppure 
  30241. il Boot Record 
  30242. e la tabella di locazione dei file dell'hard disk a seconda 
  30243. del drive di default del sistema.
  30244.  
  30245. Nel codice del virus si trova il seguente testo:
  30246.  
  30247.        "SCAN.CLEAN.COMEXE"
  30248.  
  30249. [Nov_17th.855.A]
  30250. Pseudonimo: NOVEMBER 17-855
  30251. Lunghezza del virus: 855 Byte
  30252. Tipo di Virus: Virus da file
  30253.  
  30254. Sintomi :
  30255. La lunghezza dei file con estensione *.COM e *.EXE aumenta di 855 Byte 
  30256. e sono collocati 896 Byte in memoria alta.
  30257.  
  30258. Note:
  30259. Alla prima infezione, il virus controlla che il file trasportatore 
  30260. sia un file con estensione *.EXE.
  30261. Infetta i file con estensione *.COM e *.EXE in modo diverso a causa
  30262. della loro diversitα di struttura. Colloca quindi 896 Byte in memoria 
  30263. alta e sposta il suo codice in HMA. Intercetta poi l'INT 9 e l'INT 21. 
  30264. Torna quindi alla routine originale.
  30265.  
  30266. Una volta in memoria, il virus oltre ad infettare i file, cambia gli 
  30267. attributi dei file aperti o eseguiti.
  30268.  
  30269. Questa Φ una nuova versione del virus NO17-800. Differisce dal precedente 
  30270. in quanto si attiva premendo dei tasti e non all'orario prestabilito. 
  30271. Quando  viene premuto un certo numero di tasti e la data di sistema 
  30272. Φ tra i giorni 17-30 novembre, il virus scrive 8 settori 
  30273. del drive di default partendo dal primo. 
  30274. Questo distrugge il Boot Record ed i file situati nei 
  30275. primi 8 settori del floppy disk oppure distrugge il Boot Record 
  30276. ed la tabella di locazione dei file dell'hard disk a seconda 
  30277. del drive di default del sistema.
  30278.  
  30279. Nel codice del virus si trova il seguente testo:
  30280.  
  30281.           "SCAN.CLEAN.COMEXE"
  30282.  
  30283. [No_Frills.Dudley]
  30284. Lunghezza del virus: 1215
  30285. Tipo di Virus: Virus da file; Virus criptato
  30286.  
  30287. Sintomi :
  30288. Aumenta la lunghezza dei file con estensione *.EXE e *.COM 
  30289. di 1215 Byte e colloca 4624 Byte in memoria alta.
  30290.  
  30291. Note:
  30292. La prima volta che viene caricato, NOFDUDLY decripta il suo codice 
  30293. di 1153 Byte. Controlla poi che sia giα in memoria. Se "NO", colloca 4624 Byte 
  30294. in memoria alta. Quindi trasferisce tutto il suo codice di 1215 Byte 
  30295. in memoria alta.  Intercetta l'INT 21, aggiungendo codici extra 
  30296. al servizio 54 (Get Verify Flag), 4B00 (Execute Program),
  30297. 3D (Open File Handle), 56 (Rename File), e 6C (Extended Open/Create).
  30298. Quindi ritorna alla routine originale.
  30299.  
  30300. Quando Φ in memoria, NOFDUDLY intercetta temporaneamente l'INT 24 
  30301. (Critical Error Handler) in modo da leggere la soluzione di problemi 
  30302. se si verifica un errore, poi lo sgancia. 
  30303. Quindi infetta il COMMAND.COM del drive in uso.
  30304.  
  30305. Questo virus Φ una versione migliore del virus NOFRILLS 
  30306. in quanto Φ dotato di un miglior metodo di criptazione.
  30307.  
  30308. Nel codice del virus si trova il seguente testo:
  30309.  
  30310.             "[Oi Dudley] [PRegno UnitoE]"
  30311.  
  30312. [No_Frills.843]
  30313. Pseudonimo: NO FRILLS
  30314. Origine:
  30315. Lunghezza del virus: 843
  30316. Tipo di Virus: Virus da file
  30317.  
  30318. Sintomi :
  30319. La lunghezza dei file con estensione *.EXE e *.COM aumenta 
  30320. di 843 Byte e colloca 1536 Byte in memoria alta.
  30321.  
  30322. Dati:
  30323. Il virus controlla che il file trasportatore sia con 
  30324. estensione *.COM o *.EXE in modo da sapere quale codice sarα 
  30325. trasferito in memoria alta.  Individua quindi 1536 Byte 
  30326. di memoria alta e vi trasferisce 400h del suo codice. 
  30327. Intercetta poi l'INT 21 aggiungendo codici extra al 
  30328. servizio 54 (Get Verify Flag), 4B00 (Execute Program), 
  30329. 3D (Open File Handle), 43 (Get/Set File Attributes)
  30330.  e 6C (Extended Open/Create). Torna quindi alla routine originale.
  30331.  
  30332. Quando Φ in memoria, NOFRILLS intercetta temporaneamente 
  30333. l'INT 24 (Critical Error Handler) in modo da leggere la 
  30334. soluzione di problemi se si verifica un errore, poi lo sgancia. 
  30335. Quindi infetta il COMMAND.COM del drive in uso.
  30336.  
  30337. Nel codice del virus si trova in seguente messaggio:
  30338.  
  30339.          "+-No Frills 2.0 by Harry McBungus-+"
  30340.  
  30341. [Nomenklatura]
  30342. Virus Status:
  30343. Origine:
  30344. Lunghezza del virus: 1024 Byte
  30345. Tipo di Virus:
  30346.  
  30347. Sintomi :
  30348. Aumento della lunghezza dei file con estensione *.COM e *.EXE 
  30349. di 1024 Byte e diminuzione della memoria disponibile di 1072 Byte. 
  30350. Compare un errore di lettura/scrittura del disco come 
  30351. "Sector not found" o "Invalid Media Type".
  30352.  
  30353. Note:
  30354. Il virus NOMENKLATURA Φ molto simile ai comuni virus da file.
  30355. La differenza Φ che utilizza il servizio 13 dell'INT 2F 
  30356. (Set Disk Interrupt Handler) che Φ pi∙ che altro una procedura
  30357. "error-trapping" del virus quando Φ impossibile l'infezione 
  30358. di altri file. E' simile ad altri virus in quanto prima si 
  30359. colloca nell'area di memoria alta della lunghezza di 1072 Byte, 
  30360. quindi vi trasferisce i suoi 1055 Byte. I Byte extra caricati dal 
  30361. virus sono gli indirizzi di locazioni specifiche nel sistema operativo, 
  30362. in modo da accedervi direttamente, e i vettori interrupt di INT 21 e INT 13.
  30363. Controlla inoltre che un file eseguito sia infetto e sia 
  30364. un file con estensione *.COM o *.EXE. 
  30365. I file eseguibili che vengono aperti e/o eseguiti vengono 
  30366. immediatamente infettati dal virus.
  30367.  
  30368. Questo virus fu chiamato cos∞ a causa della stringa di testo 
  30369. trovata nel suo codice: "NOMENKLATURA"
  30370.  
  30371. [Cordobes.3334]
  30372. Tipo di Virus: Polimorfico, Virus da file (File con estensione *.EXE)
  30373. Lunghezza del Virus: 3333 Byte
  30374. Virus reinfettante: no
  30375. Tipo di memoria: risiede in memoria, tipo MCB 
  30376. Vettore PC agganciato: INT 21h
  30377.  
  30378. Metodo di infezione:
  30379. Il virus infetta solo i file con estensione *.EXE. 
  30380. Infetta il file ospite attaccandosi alla fine del file. 
  30381. Essendo un virus polimorfico, decripta prima il suo codice, 
  30382. facendolo in modo complesso. 
  30383. Il virus colloca 4,128 Byte in memoria bassa partendo 
  30384. da 1806:0000 e vi copia il suo programma di 3,333 Byte 
  30385. per restare in memoria. Intercetta poi l'INT 21H impostando 
  30386. il valore del suo programma in memoria bassa a 1816:0BAB. 
  30387. Utilizza questo interrupt per attaccarsi ai FILE con 
  30388. estensione *.EXE caricati ed eseguiti. 
  30389. Una volta attivato, il virus controlla mese e giorno corrente. 
  30390. Se Φ il giorno 10 agosto il virus infetta i file. 
  30391. Oltre ad infettare i file con estensione *.EXE, il virus 
  30392. cerca AUTOEXEC.BAT in drive C:\ e mostra:
  30393.  
  30394.         @Echo Virus "EL MOSTRO CORDOBES"
  30395.         @Echo No tema por sus datos. Que pase un buen
  30396.         @Echo.
  30397.         @Pause
  30398.  
  30399. In questo modo all'avvio del sistema in drive C:\ compare il testo e 
  30400. si ferma fino a quando non viene premuto un tasto. 
  30401. La stessa stringa si pu≥ vedere nel codice del virus. 
  30402. A volte il virus non pu≥ attaccarsi completamente ai file 
  30403. con estensione *.EXE quindi l'aumento di lunghezza del file ospite 
  30404. dopo l'infezione non Φ ben definito e non rimane in memoria.
  30405. Il file alterato non completa il suo caricamento e compare un messaggio d'errore.
  30406.  
  30407. Danni: Altera i file con estensione *.EXE.
  30408.  
  30409. Sintomi: Aggiunta al file AUTOEXEC.BAT  in drive C:\ del suddetto testo.
  30410.  
  30411. [Jos]
  30412. Tipo di Virus: Virus da file
  30413. Virus Infect Type: MBR
  30414. Vettore PC agganciato:
  30415.  
  30416. Metodo di infezione:
  30417. 1) Sposta 21CDh in DS:[FE], 14EBh in DS:[100] e 17h in DS:[11E].
  30418. 2) Carica/esegue un programma avendo il controllo del blocco = 114C:11E 
  30419. ed e la linea di comando ASCIIZ = 114C:0. 
  30420. Questa procedura non ha successo.
  30421.  
  30422.          "Beware the Jabberwock, my son!"
  30423.          "The jaws that bite, the claw that catch!"
  30424.  
  30425.          "And hast thou slain the Jabberwock!"
  30426.          "Come to my arms, my beamish boy!"
  30427.  
  30428. 4) Cicli FFFFh al valore di CX (solo un rallentamento).
  30429. 5) Esegue questi codici:
  30430.  
  30431.             MOV GS,DX
  30432.             CLI
  30433.             CLD
  30434.             IN AL,64
  30435.             TEST AL,04
  30436.             JNZ D840
  30437.     D840:   SMSW AX
  30438.             TEST AL,01
  30439.             JZ D84F
  30440.             CLI
  30441.             MOV AL,FE
  30442.             OUT 64,AL
  30443.  
  30444. Dopo averli eseguiti la macchina esegue un warm boot.
  30445.  
  30446. Sintomi: Si pu≥ vedere un messaggio all'indirizzo = 114C:0239h
  30447.  
  30448.        "JABBERW OCKY (.) the first Romanian
  30449.            Political Virussian
  30450.            Dhohoho$
  30451.            Released Date 12-22-1990"
  30452.  
  30453. [Npox.963.A]
  30454. Pseudonimo: EVIL GENIUS 2.0
  30455. Origine:
  30456. Lunghezza del virus: 963 Byte
  30457. Tipo di Virus:
  30458.  
  30459. Sintomi :
  30460. Aumenta la lunghezza dei file con estensione *.COM e *.EXE 
  30461. di 963 Byte e diminuisce la memoria disponibile di 1024 Byte. 
  30462. Quando si trova in un dischetto protetto da scrittura, 
  30463. compare il messaggio "Write Protect Error" quando si cerca di leggerlo.
  30464.  
  30465. Note:
  30466. Alla prima infezione, il virus colloca 1024 Byte in memoria 
  30467. alta e quindi trasferisce il suo codice in HMA. 
  30468. In seguito, intercetta l'INT 21 e INT 9 poi ritorna 
  30469. alla routine originale.
  30470.  
  30471. Nel codice del virus si pu≥ trovare il seguente testo:
  30472.  
  30473.          "Evil Genius V2.0 - RS/NRegno UnitoE"
  30474.          "C:\COMMAND.COM"
  30475.  
  30476. Infetta i file con estensione *.COM e *.EXE caricati, 
  30477. eseguiti o aperti da altri file. 
  30478. Durante l'infezione, l'ora e data dei file non cambia ad eccezione 
  30479. del campo dei secondi che viene set a :58. 
  30480. Questo rappresenta anche la firma del virus nel caso che 
  30481. un file sia giα infetto.  
  30482. Prima di infettare i file, controlla che il file sia 
  30483. eseguito da un altro programma 
  30484. (es. rilevazione e correzione degli errori, anti-virus).  
  30485. Se "SI", controlla che il file caricato possieda:
  30486.  
  30487.       1.)  ****prot.***   (es. f-prot, nprot, lprot)
  30488.       2.)  ****scan.***   (es. pcscan, scan, viruscan)
  30489.       3.)  ****lean.***   (es. clean)
  30490.  
  30491. Se queste caratteristiche non vengono soddisfatte, 
  30492. infetterα il programma eseguito.
  30493.  
  30494. Una volta in memoria, il virus N-Pox nasconde l'aumento di lunghezza 
  30495. dei programmi infetti quando l'utente cerca di visualizzarlo (i.e., DIR).  
  30496. Modifica inoltre i file infetti caricati in memoria in modo da 
  30497. nasconderli da un software anti-virus.
  30498.  
  30499. Il danno che N-Pox provoca consiste in una formattazione delle prime 32 
  30500. tracce dell'hard disk, partendo dalla traccia 0, ogni volta che la data 
  30501. di sistema Φ il giorno 24 di ogni mese e viene premuto un tasto. 
  30502. Questo danneggia Boot Record, Tabella di allocazione dei file (FAT) ed 
  30503. i file di sistema nell'hard disk.
  30504.  
  30505. [Cpw.1527]
  30506. Tipo di Virus: Polimorfico, Virus da file (File con estensione *.COM e *.EXE)
  30507. Lunghezza del Virus: 1527 Byte
  30508. Virus reinfettante: No
  30509. Data di rilevazione: 1992
  30510. Tipo di memoria: Memoria alta
  30511. Luogo d'origine: Cile
  30512.  
  30513. Vettore PC agganciato: INT 21h
  30514.  
  30515. Metodo di infezione:
  30516. Il virus infetta i file con estensione *.COM e *.EXE. 
  30517. Infetta il file ospite attaccandosi alla fine del file. 
  30518. La lunghezza di un file infetto aumenta di 1,527 Byte. 
  30519. Il virus rimane in memoria all'esecuzione di un file infetto. 
  30520. Essendo un virus polimorfico, decripta il suo codice. 
  30521. Quindi colloca 1,984 Byte in memoria alta partendo da 
  30522. 9F84:0000. Intercetta l'INT 21H per impostare il suo programma 
  30523. in memoria alta in 9F84:0258 in modo da attaccarsi ai file con estensione *.COM e *.EXE 
  30524. caricati, alla loro apertura. Prima di infettare un file caricato eseguibile, 
  30525. cancella, se esiste, il file anti-virus 
  30526. Infetta quindi  COMMAND.COM in drive C:\ attaccandosi al file. 
  30527. Infine infetta il file eseguibile. 
  30528. Durante l'infezione, il virus controlla mese, giorno ed ora corrente. 
  30529. Se la data corrente Φ 11 settembre o 28 dicembre, controlla l'ora corrente. 
  30530. La procedura si attiva alle seguenti ore del giorno:
  30531.  
  30532.                ora 0.......(12:00)
  30533.                ora 1
  30534.                ore 4
  30535.                ore 6
  30536.                ore 7
  30537.                ore 10
  30538.                ore 11
  30539.                ore 13
  30540.                ore 16
  30541.                ore 18
  30542.                ore 19
  30543.                ore 21
  30544.  
  30545. La procedura cancella la prima sezione di file nella 
  30546. directory corrente fino a quando cancella il file caricato corrente. 
  30547. Anche se il file corrente caricato che attiva il virus viene cancellato, 
  30548. il virus resta comunque in memoria e continua la sua procedura. 
  30549. La cancellazione si verifica ogni volta che viene caricato un file eseguibile, 
  30550. dato che il virus Φ giα in memoria. Non tutti i file con estensione *.COM vengono 
  30551. infettati dal virus ma soltanto quelli di notevole lunghezza. Come controllato da
  30552. DOS CHKDSK, il virus occupa 1,792 Byte di memoria o diminuisce la memoria 
  30553. disponibile dello stesso numero di Byte.
  30554. Nel codice del virus si pu≥ trovare il seguente testo:
  30555.  
  30556.         "CPW fue becho en Chile en 1992,"
  30557.         "VIVA CHILE MIERDA!"
  30558.  
  30559. [DR&ET]
  30560. Tipo di Virus: