Popisy vir∙
Viry pro DOS
Pokud nenφ jinak uvedeno, informace jsou p°elo₧eny z AVP Virus Encyclopedie (www.avp.ch/avpve).
Je parazitick², rezidentn² COM a EXE infektor. Efektφvna dσ₧ka jeho k≤du je 1344 bajtov.
Volanie slu₧ieb DOSu, ktorΘ za normßlnych okolnostφ obsluhuje INT 21h presmeruje na INT 3,
Φo je normßlne break-point. Okrem toho vφrus vyu₧φva inÜtrukcie ÜpecifickΘ pre procesory
386 a vyÜÜie. To m⌠₧e zmias¥ menej dokonalΘ heuristiky. Vφrus infikuje programy, ktorΘ sa
sp·Ü¥aj·, priΦom sa zapφÜe na zaΦiatok s·borov typu COM, v prφpade s·borov typu EXE sa
infikuje koniec s·boru. Neinfikuje s·bor "COMMAND.COM". Ak poradie d≥a v t²₧dni od soboty
( napr. pondelok je druh² ) je zhodnΘ s dßtumom, a ak mßte trochu smoly, pri ukonΦenφ
nejakΘho programu vφrus vypφÜe:
Alfons ! Synchronizing drive C: (do not interrupt this operation !)
A potom zaΦne na obrazovku vypisova¥ percentußlny progres za zvukov ·pej·ceho hard disku.
Ke∩ dosiahne 100 percent, vypφÜe "Done.". ZaΦiatok disku sa prepφÜe re¥azcom "Alfons !".
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Je to pamΣ¥ovo rezidentn² boot vφrus. Pri pokuse o zavedenie systΘmu z infikovanej diskety
nakazφ MBR hard disku, ale sßm sa eÜte neinÜtaluje do pamΣte. Pri najbli₧Üom zavedenφ
systΘmu z hard disku sa vφrus stßva rezidentn²m a pok·Üa sa infikova¥ vÜetky diskety
nechrßnenΘ proti zßpisu. Pri splnenφ urΦit²ch podmienok modifikuje obsah pamΣte CMOS.
Existuj· dve nepatrne sa lφÜiace varianty vφrusu.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Je to stealth boot vφrus zaberaj·ci 1 Kb pod vrcholom pamΣte pre DOS. Pri pokuse o zavedenie
systΘmu z infikovanej diskety napadne MBR hard disku a prevezme obsluhu INT 13h. Vφrus pre
svoje ·Φely pou₧φva namiesto preruÜenia INT 13h preruÜenie INT D3h. Napßda boot sektory
diskiet pri ich Φφtanφ. Ak zaΦiatok sektoru diskety obsahuje znaky "MZ" - signat·ru EXE
s·borov, d⌠jde niekedy k poÜkodeniu t²chto s·borov.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Je to rezidentn² boot infektor. Nßzov je typickou ukß₧kou nedostatku fantßzie, 437 je dσ₧ka
k≤du v bajtoch. Jeho k≤d sa trocha vymykß zo zabehnutΘho kliÜΘ a na hard disku nenapßda
hlavn² zavßdzacφ program (MBR), ale boot sektor aktφvnej partφcie a to natvrdo bez oh╛adu
na jeho typ. NajhorÜie na tom je, ₧e vo svojej jednoduchosti nezvlßdne sprßvne prepoΦφta¥
parametre rozliΦn²ch diskiet. Naprφklad pri 3.5 palcovej HD diskete sa netrafφ pri
odkladanφ p⌠vodnΘho bootu na koniec kore≥ovΘho adresßra (rootu), a to sp⌠sobφ pri prezeranφ
jej obsahu zaujφmav² efekt, v kruhoch odbornφkov znßmy ako "rozsypan² Φaj". To ho obvykle
vyzradφ aj laikom. Na hard disku odlo₧enie p⌠vodnΘho bootu na obligßtny Üiesty sektor
nultej stopy na ve╛kΘ Ü¥astie pou₧φvate╛ov u₧ zvlßdne dobre. Samozrejme, tak ako ka₧d²
boot vφrus, infikuje vÜetky diskety, ktorΘ nie s· ochrßnenΘ proti zßpisu.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Tento 1150 bajtov dlh² rezidentn² vφrus napßda len s·bory typu EXE. Neinfikuje s·bory
kratÜie ako 256 bajtov a dlhÜie ako 256 KB, ∩alej tie, ktor²ch meno obsahuje pφsmeno 'S'
alebo 'V', s·bory pre Windows a s·bory obsahuj·ce internal overlay. Predσ₧enie s·borov
maskuje, ale ak sa spustφ program CHKDSK, tento hlßsi chyby. Jedin²m prejavom vφrusu v
pamΣti je nßpis v ╛avom hornom rohu obrazovky znej·ci:
BURGLAR/H
Objavφ sa, ak v Φase nßkazy s·boru vn·tornΘ hodiny poΦφtaΦa mali poΦet min·t rovn² 14.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Je to rodina multipartitn²ch EXE infektorov. Pri spustenφ nakazenΘho s·boru sa ako prv²
infikuje MBR hard disku. Jeho p⌠vodn² obsah odkladß vφrus na stopu 0, hlavu 0, sektor 2,
ak je len jeden logick² disk. Ak je logick²ch diskov viac, odlo₧φ sa na prv· extended
partition a jej dßta zak≤duje. To znamenß, ₧e pri neodbornom odstrßnenφ vφrusu, alebo
zavedenφ systΘmu z Φistej systΘmovej diskety poΦφtaΦ vie len o prvom logickom disku. Po
napadnutφ MBR je s·bor s vφrusom dezinfikovan². Po urΦitom Φase od nßkazy sa zaΦφna mno₧i¥
tak, ₧e napßda s·bory typu EXE na pru₧n²ch diskoch. Hodnotu sek·nd v Φase poslednej
modifikßcie zmenφ vφrus po nßkaze na 54. Vφrus mß v sebe zak≤dovanΘ ruskΘ texty a niekedy
hrß hudbu.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
NebezpeΦn² rezidentnφ k≤dovan² a stealth souborov² virus. P°esm∞ruje INT 10h, 21h a
zapisuje se na konce COM a EXE soubor∙, kdy₧ je k nim p°istupovßno. Virus nechßvß hlavnφ
Φßst v operaΦnφ pam∞ti zak≤dovanou, a dek≤duje ji jen kdy₧ pot°ebuje.
Virus obsahuje n∞kolik zajφmav²ch rutin. V ·ter², pokud je 3, 11, 15, 28 dne volß
DOSovskou funkci Write a virus m∙₧e na v²stup COM1 zobrazit zprßvu:
SW Error
Virus zapisuje na zaΦßtky zdrojov²ch k≤du ASM a PAS text:
.model small
.code
org 256
s: push cs
pop ds
call t
db '-Ñ$'
t: pop dx
mov ah,9
int 33
mov ah,76
int 33
end s
begin
write('-Ñ');
end.
Virus kontroluje poΦφtadlo generacφ a pokud je v∞tÜφ ne₧ 15 a video re₧im je
nastaven na 13h (grafika), virus zobrazφ velkΘ symboly:
Virus taky obsahuje tyto texty:
SW DIE HARD 2
Velmi nebezpeΦn² polymorfnφ, stealth souborov² virus. P°esm∞ruje INT 1, 3, 1Ch, 21h a zapisuje se
do konc∙ COM a EXE soubor∙ p°i jejich spouÜt∞nφ. B∞hem zaklßdßnφ, otevφrßnφ a spouÜt∞nφ
COM a EXE soubor∙ si virus uklßdß jejich jmΘna a infikuje je a₧ p°i jejich uzavφrßnφ.
Kdy₧ je infikovan² soubor otev°en, virus se z n∞j dezinfikuje. Virus ma₧e CHKLIST.* a
b∞hem spuÜt∞nΘho programu CHKDSK vypφnß FindFirst/Next "madlo". P°i spuÜt∞nφ MKS antiviru
neinfikuje ₧ßdnΘ soubory. Pou₧itφm INT 1, 3 blokuje debugovßnφ jeho k≤du.
V kv∞tnu od 28 do 31 virus p°episuje pevn² disk s textem:
DIGI POWER
Pak se p°edvßdφ s videem a zvukov²mi efekty, a zobrazuje zprßvu:
Virus DIR II se liÜφ od vÜech ostatnφch druh∙ vir∙. Je dlouh² 1024 byt∙ a je
zvlßÜtnφ v tom, ₧e sice napadß programy typu COM a EXE, ale soubory, ve kter²ch
jsou tyto programy ulo₧eny, v∙bec nemodifikuje. Na infikovanΘm disku se
vyskytuje pouze jedenkrßt. Pochßzφ z Bulharska. Po svΘm spuÜt∞nφ se virus
instaluje do pam∞ti a pak prochßzφ z°et∞zenΘ ovlßdaΦe za°φzenφ (device drivers)
a p°ipojφ se k nim tak, ₧e je p°i ka₧dΘm volßnφ diskov²ch operacφ aktivovßn.
Pou₧φvß funkce Strategy a Interrupt. Po instalaci spustφ hostitelsk² program
a normßlnφm zp∙sobem se ukonΦφ. Pam∞tov∞ rezidentnφ virus pak monitoruje p°φstup
na disk a jednak hlφdß funkce Build BPB (kv∙li sprßvnΘ funkci programu typu CHKDSK)
a jednak napadß disky a adresß°e.
InfekΦnφ rutinu viru je mo₧no rozd∞lit do dvou Φßstφ. Prvnφ souvisφ s napadenφm celΘho
disku. Virus zjisti poslednφ cluster na disku, zapφÜe do n∞ho sebe sama a v
tabulce FAT jej zvlßÜtnφm zp∙sobem oznaΦφ jako obsazen². Pokud tento cluster
nßle₧el n∞jakΘmu souboru, je tento soubor virem p°epsßn a znφΦen. Je to vÜak jedinß
Ükoda, kterou virus m∙₧e trvale zp∙sobit. Druhß Φßst infekΦnφ rutiny souvisφ s
modifikacφ adresß°∙. Virus toti₧ manipuluje s polo₧kou v adresß°i, ve kterΘm je ulo₧eno
mφsto na disku, na kterΘm soubor zaΦφnß (First Cluster Pointer, FCP). Virus zm∞nφ tento
parametr u vÜech soubor∙ typu EXE a COM tak, ₧e vÜechny programy zaΦφnajφ k≤dem viru.
Originßlnφ hodnota je zak≤dovßna a ulo₧ena na volnΘ (rezervovanΘ) mφsto v polo₧ce adresß°e.
Virus tφmto zp∙sobem najednou napadß vÜechny soubory v danΘm adresß°i a proto se velmi rychle
Üφ°φ. Virus kontroluje pouze rozÜφ°enφ a ne jmΘno souboru, a proto napadß i smazanΘ soubory
(!!!). Virus neustßle p°i prßci s adresß°em p°epφnß polo₧ky FCP mezi p∙vodnφmi a modifikovan²mi
hodnotami, aby mohl operaΦnφ systΘm v∙bec pracovat. Jako vedlejÜφ efekt z toho vypl²vajφ
i urΦitΘ vlastnosti typu stealth (skr²vßnφ).
Pokud je virus aktivnφ v pam∞ti, chovß se poΦφtaΦ celkem normßln∞. Kdy₧ je vÜak
zaveden systΘm z ΦφstΘ diskety, jsou vÜechny napadenΘ soubory pouze 1024 byt∙ dlouhΘ a program
CHKDSK hlßsφ spousty chyb (vÜechny programy zaΦφnajφ na stejnΘm mφst∞ - k°φ₧enφ soubor∙).
Stejn²m zp∙sobem se chovß infikovanß disketa v nezavirovanΘm poΦφtaΦi.
Po zjiÜt∞nφ viru v poΦφtaΦi lze jen t∞₧ko napadenΘ soubory zßlohovat. Pokud je virus
v pam∞ti, jsou na zßlo₧nφ mΘdia p°eneseny infikovanΘ programy, pokud nenφ virus aktivnφ, je
na disku pouze velk² zmatek.
Existuje velmi jednoduch² zp∙sob, jak m∙₧ete bez zvlßÜtnφch prost°edk∙ virus z disku odstranit.
StaΦφ toti₧ v okam₧iku, kdy je virus aktivnφ, p°ejmenovat ve vÜech adresß°φch vÜechny soubory typu
COM (nap°φklad na *.CO_) a EXE (nap°φklad na *.EX_). Virus sßm uvede p°φsluÜnΘ polo₧ky adresß°e do
p∙vodnφho stavu. Pokud chcete zachrßnit i programy na disketßch, je nutno provΘst stejn² ·kon i na nich.
PotΘ je nutno zavΘst systΘm z originßlnφ diskety a vÜechny soubory p°ejmenovat zp∞t. Programem
CHKDSK je mo₧no odstranit cluster obsazen² virem. Program, kter² i po tomto kroku virus obsahuje,
je pravd∞podobn∞ zdrojem celΘ nßkazy.
Zdroj: Alwil software - v²robce antiviru AVAST
Velice nebezbeΦn² pam∞¥ov∞ rezidentnφ polymorfnφ a multipartitnφ virus.
Je dlouh² 5826 byt∙. Infikuje COM a EXE soubory pro DOS, p°iΦem₧ se zapisuje
na jejich konce. Krom∞ toho infikuje MBR pevnΘho disku a boot sektor
disket. Virus vyu₧φvß stealth funkce a dokß₧e obejφt antivirovou ochranu BIOSu.
Virus mß chyby a v n∞kter²ch p°φpadech m∙₧ou b²t soubory p°i infekci naruÜeny.
P°i spuÜt∞nφ pak zablokujφ poΦφtaΦ.
B∞hem infekce MBR virus vyu₧φvß n∞kolik trik∙, kter²mi dokß₧e obejφt antivirovou ochranu BIOSu.
Pokud zjistφ, ₧e je zapnuta (z CMOS), posφlß p°ed napadenφm MBR do bufferu klßvesnice znak "Y", kter²m se sna₧φ
potvrdit zprßvu o povolenφ infekce MBR.
Virus uklßdß p∙vodnφ MBR a boot sektor na vyhrazenΘ sektory na disku, ale zak≤duje je a naruÜφ.
Tyto data pak pracujφ korektn∞ pouze v p°φpad∞, ₧e virus je aktivnφ v operaΦnφ pam∞ti (virus toti₧ po svΘm
zavedenφ do pam∞ti p°edßvß zp∞t °φzenφ p∙vodnφmu MBR Φi boot sektoru).
Virus taky pozm∞nφ Partition tabulku tak, ₧e nenφ mo₧nΘ systΘm nahrßt z ΦistΘ systΘmovΘ diskety (disk je nep°φstupn² ?).
B∞hem infekce MBR nebo boot sektoru (v p°φpad∞ diskety) v nich virus hledß n∞jakΘ specifickΘ sekvence, a pokud je najde, vyma₧e
CMOS pam∞¥ a tφm zablokuje poΦφtaΦ (ten hlßsφ "Error in CMOS").
Virus vÜak provßdφ i daleko horÜφ operaci. Podobn∞ jako virus CIH (╚ernobyl) p°episuje Flash BIOS p°iΦem₧ ma₧e i data
z pevnΘho disku. Ve stejn² Φas zobrazuje zprßvu:
EMPEROR
I will grind my hatred upon the loved ones.
Despair will be brought upon the hoping childs of happiness.
Wherever there is joy the hordes of the eclipse will pollute
sadness and hate under the reign of fear.
In the name of the almighty Emperor....
Tato operace se provede, pokud virus v pam∞ti najde aktivnφ debugger, nebo pokud je systΘm
restartovßn mezi 5 a 10 hodinou dopoledne. Dφky chyb∞ ve viru se vÜak tato operace m∙₧e provΘst
skoro kdykoliv.
Virus taky obsahuje text:
he EMPEROR virus
written by Lucrezia Borgia
In Colombia, 1999
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
Je to stealth boot vφrus prφbuzn² s vφrusom Stoned . Pri ka₧dom pokuse o zavedenie systΘmu
z infikovanej diskety si vyhradφ pre seba 1 KB pod vrcholom pamΣte, priΦom o rovnak·
ve╛kos¥ znφ₧i pamΣ¥ pou₧ite╛n· pre DOS. Napadne MBR hard disku, priΦom p⌠vodn² obsah
zak≤duje a odlo₧φ na hlavu 0 stopu 0 sektor 3. Pri pokuse o zavedenie systΘmu zo systΘmovej
diskety systΘm nem⌠₧e v prvom fyzickom sektore disku obsadenom telom vφrusu nßjs¥ platn·
tabu╛ku rozdelenia disku. To sp⌠sobφ v²pis sprßvy
Invalid drive specification
Pokusy o obnovenie MBR pomocou prφkazu FDISK /MBR ved· k strate dßt. V tele vφrusu je
zak≤dovan² re¥azec:
Monkey
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Je to stealth boot vφrus prφbuzn² s vφrusom Stoned . Pri ka₧dom pokuse o zavedenie systΘmu
z infikovanej diskety si vyhradφ pre seba 1 KB pod vrcholom pamΣte, priΦom o rovnak·
ve╛kos¥ znφ₧i pamΣ¥ pou₧ite╛n· pre DOS. Napadne MBR hard disku, priΦom p⌠vodn² obsah
zak≤duje a odlo₧φ na hlavu 0 stopu 0 sektor 3. Pri pokuse o zavedenie systΘmu zo systΘmovej
diskety systΘm nem⌠₧e v prvom fyzickom sektore disku obsadenom telom vφrusu nßjs¥ platn·
tabu╛ku rozdelenia disku. To sp⌠sobφ v²pis sprßvy
Invalid drive specification
Pokusy o obnovenie MBR pomocou prφkazu FDISK /MBR ved· k strate dßt. V tele vφrusu je
zak≤dovan² re¥azec:
Monkey
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Jednoduch² boot vφrus pochßdzaj·ci pravdepodobne zo èvajΦiarska. Vφrus sa pri pokuse o
zavedenie systΘmu z infikovanej diskety inÜtaluje do chrßnenej oblasti pamΣte, ktor· si
vytvorφ znφ₧enφm mno₧stva pamΣte pou₧ite╛nej pre DOS o 2 KB. Nßsledne nakazφ boot sektor
hard disku a jeho p⌠vodn² obsah ulo₧φ do posledn²ch dvoch sektorov, no nijako ich nechrßni.
Pri prφstupe na disketu v mechanike, ak je nechrßnenß proti zßpisu, ulo₧φ p⌠vodn² boot
sektor do alokaΦnej jednotky, ktorß sa oznaΦφ ako chybnß a napadne boot sektor diskety.
Ka₧d² 24. de≥ v mesiaci sa prejavφ zvukom pri stlßΦanφ klßves. Obsahuje text :
The FORM Virus sends greetings to everyone who's reading this text.
FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.
v preklade:
Vφrus FORM posiela pozdravy ka₧dΘmu, kto Φφta tento text. FORM neniΦφ ·daje! Len ₧iadnu
paniku!
Existuj· aj ∩alÜie, mßlo sa lφÜiace varianty.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
NeÜkodn² rezidentnφ souborov² virus. P°esm∞ruje INT 21h a zapisuje se na konce
COM a EXE soubor∙, kterΘ jsou spouÜteny. Virus obsahuje k≤dovanou zprßvu a
Φßsti nßzv∙ soubor∙ (4 pφsmena pro jmΘno). Virus podle nich neinfikuje soubory
SCAN*.*, SHIE*.*, TRAP*.* atd.):
SCANSHIETRAPVIRUVCOPASTAALIKAZORREX.MANDUEXEUCOMVIRTCLEATSAFNAV.INI.BOOT3P.E
1. listopadu helloween zprßvu dek≤duje a zobrazφ ji:
NeÜkodn² rezidentnφ boot virus. Nakopφruje se do tabulky vektor∙ p°eruÜenφ,
p°esm∞ruje INT 40h a zapisuje se do boot sektoru diskety. B∞hem bootovßnφ z infikovanΘ
diskety infikuje virus MBR pevnΘho disku. Virus na sebe nijak neupozor≥uje.
Tento jednoduch² bootovacφ vφrus sa pri pokuse o zavedenie systΘmu z diskety (aj nechcenom)
ulo₧φ do 2 kilobajtov na vrchole konvenΦnej pamΣte. Nakazφ MBR (hlavn² zavßdzacφ zßznam)
pevnΘho disku a p⌠vodn² sektor ulo₧φ na cylinder 0, hlavu 0 a sektor 6. Sßm seba
identifikuje tak, ₧e h╛adß v MBR v²skyt znakov "J&M" na ofsete 1BBh. Tam sa vlastne
nachßdza re¥azec "J&M" od ktorΘho je odvodenΘ pomenovanie vφrusu. Vφrus kontroluje volania
preruÜenia INT 13h a pri vlo₧enφ nenakazenej diskety do mechaniky ju nakazφ, priΦom p⌠vodn²
boot sektor diskety odlo₧φ na hlavu 1 stopu 0 sektor 14. Vφrus testuje dßtum, a ak je 15.
novembra, naformßtuje nult· stopu prvΘho hard disku (disk C:), teda stopu, kde mß odlo₧en²
p⌠vodn² zavßdzacφ sektor. To pri hard diskoch znamenß poÜkodenie tabu╛ky rozdelenia disku.
Vφrus na diskete obsahuje na svojom konci re¥azce z p⌠vodnΘho boot sektoru: "Replace and press any key when ready"
a "IO SYSMSDOS SYS" Φo mu umo₧≥uje "pre₧i¥" zbe₧nΘ prezretie niektor²mi utilitami.
Tento vφrus sa objavil v roku 1993 a tlaΦ okolo neho rozp·tala ve╛k· hystΘriu. Je paradoxnΘ,
₧e aj ke∩ vφrus asi pochßdza zo Slovenska, rozÜφril sa najprv v ╚echßch, kde ho nazvali
Hasita, prφpadne Jimmi. Zßverom len konÜtatovanie, ₧e J&M je ve╛mi ·speÜn² boot vφrus,
ktor² sa stßle objavuje a to aj v zahraniΦφ (1996 napr. Ve╛kß Britßnia).
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Vφrusy tejto rodiny pochßdzaj· zo èvΘdska, krajiny s tradiΦne siln²m zßzemφm pre autorov
vφrusov. S· to multipartitnΘ kryptovanΘ parazitickΘ COM infektory. Oba obsadzuj· preruÜenia
INT 13h, INT 1Ch a INT 21h. Nßkaza sa uskutoΦ≥uje pri sp·Ü¥anφ s·borov a ich otvßranφ pre
prφstup do s·boru, pri Φφtanφ diskety sa nakazφ boot sektor (ak nie je disketa ochrßnenß
proti zßpisu) a pri spustenφ infikovanΘho s·boru sa infikuje aj MBR hard disku.
Junkie.A je 1027 bajtov dlh², neÜkodn² a v tele, ktorΘ je kryptovanΘ, mß texty:
DrW-3 Dr White - Sweden 1994 Junkie Virus - Written in Malmo...M01D
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Velmi nebezpeΦn² multipartitnφ virus. Zapisuje se na konce COM a EXE
soubor∙, p°i jejich spouÜt∞nφ a otevφrßnφ. Krom∞ toho se zapisuje do
MBR pevnΘho disku p°i spuÜt∞nφ infikovanΘho souboru. Boot sektor diskety
je infikovßn, pokud s nφ pracujete. Virus je
v souboru k≤dovßn. B∞hem instalace, virus trasuje INT 13h, 21h, 40h a p°esm∞ruje
INT 21h. Virus vlastnφ vφce ne₧ 10 "madel" (handlers) INT 21h.
Virus obsahuje nap°. tyto texty:
(C) 1990 Grupo HOLOKAUSTO (Barcelona, Spain) Kampaña Anti-TELEFONICA:
Mejor servicio, Menores tarifas...
Virus Anti - C.T.N.E. (c)1990 Grupo Holokausto.
Kampanya Anti-Telefonica.
Menos tarifas y mas servicio.
Programmed in Barcelona (Spain).
23-8-90. - 666 -
Pokud je Φßst viru v MBR, virus nenapadß soubory. Po 190h (?) nabootovßnφ
z infikovanΘho disku dochßzφ k jeho p°epsßnφ a napsßnφ textu:
Campaña Anti-TELEFONICA (Barcelona)
NebezpeΦn² rezidentnφ k≤dovan² souborov² virus. P°esm∞ruje INT 8, 21h a zapisuje se na
konce EXE soubor∙, p°i jejich spust∞nφ. V nßhodn∞ zvolenΘm Φasu tento virus otevφrß BBS soubory:
\BBSV6\BBSAUDIT.DAT, \BBSV6\BBSUSR.DAT a kontroluje je na v²skyt jmen:
Puppet Image Gnat Minion Cindy F'nor.
Pokud je n∞kter² z t∞chto text∙ nalezeno, virus n∞kdy zm∞nφ popis v BBS souboru.
Virus obsahuje texty:
The Major BBS Virus created by Major tomTugger
NebezpeΦn² rezidentnφ k≤dovan² souborov² virus. P°esm∞ruje INT 8, 9, 21h a p°i
volßnφ DOS funkce GetDiskSize (INT 21h, AH=36h) hledß soubory COM a EXE. Zapisuje
na jejich konce. Pokud je klßvesnice neaktivnφ po dobu jednΘ hodiny, virus ma₧e CMOS pam∞t
a MBR pevnΘho disku.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
V zß°φ 1991 se váb²valΘm ╚eskoslovensku objevil nov² druh poΦφtaΦovΘho viru, nazvan²
Michelangelo. Tento virus napadß systΘmovou oblast disk∙, konkrΘtn∞ zavßd∞cφ
sektor disket aásektor sátabulkou rozd∞lenφ disk∙ uápevn²ch disk∙.
Jeáodvozen záji₧ d°φve znßmΘho viru Stoned aánenφ nijak zvlßÜ¥ pozoruhodn².
Sájedinou v²jimkou, aátou je jeho manipulaΦnφ Φßst. Virus toti₧ m∙₧e b²t
velmi nebezpeΦn². P°i ka₧dΘm spuÜt∞nφ testuje datum vápoΦφtaΦi aádne 6. b°ezna
p°epφÜe obsah disku, ze kterΘho byl spuÜt∞n! Virus Michelangelo Φte datum
p°φmo ze zßlohovan²ch hodin poΦφtaΦe (váokam₧iku jeho spuÜt∞nφ nenφ toti₧
jeÜt∞ MS-DOS aktivnφ aádatum nastavenΘ váoperaΦnφm systΘmu nenφ mo₧no zjistit),
proto seáp°epsßnφ disk∙ nikdy neprovede na poΦφtaΦφch bez bateriφ zßlohovan²ch
hodin (klasick² IBM PC/XT).
Zdroj: Alwil software - v²robce antiviru AVAST
NebezpeΦn² rezidentnφ multipartitnφ polymorfnφ virus. P°esm∞ruje INT 13h, 21h
a zapisuje se do MBR pevnΘho disku, boot sektoru diskety a do konc∙ COM a EXE soubor∙,
ke kter²m je p°istupovßno. Virus neinfikuje soubory, kterΘ jsou otevφrßny programy: PKZIP/PKUNZIP,
LHA a ARJ. S vlivem na internφ poΦφtadlo m∙₧e virus naformßtovat disk. Virus
obsahuje text: "BACKMODEM" a text "Natas".
NeÜkodn² rezidentnφ polymorfnφ stealth souborov² virus. P°esm∞ruje INT 21h a
zapisuje se na konce COM a EXE soubor∙, ke kter²m je p°istupovßno. B∞hem
jejich napadßnφ pou₧φvß virus hromadu programov²ch trik∙, urΦen²ch proti
antivirov²m technikßm. Virus zobrazuje zprßvu:
Invisible and silent - circling overland :
\\\ N 8 F A L L ///
Rearranged by Neurobasher - Germany
-MY-WILL-TO-DESTROY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-
Stealth rezidentnφ boot virus. Napadß boot sektor diskety a MBR pevnΘho disku.
P°i infekci 5.25" diskety s dvojitou hustotou uklßdß p∙vodnφ boot sektor
na sektor 11. Na disketßch (5.25) s vysokou hustotou je originßlnφ boot
sektor p°esunut na sektor 28. Tφm m∙₧e n∞kterΘ data na disket∞ poÜkodit.
Tento virus je pam∞¥ov∞ rezidentnφ, multipartitnφ, tunelujφcφ, stealth a
polymorfnφ. Virus po svΘ aktivaci nejprve krokuje p°eruÜenφ 13h a₧ do
segmentu MS-DOSu. Pak seápokusφ infikovat tabulku rozd∞lenφ pevnΘho disku
(DPT). Pokud seámu to povede, ulo₧φ svΘ t∞lo do poslednφch 7 sektor∙ nultΘ
stopy, p∙vodnφ DPT do osmΘho sektoru od konce stopy aáukonΦφ svou Φinnost.
Váp°φpad∞, ₧eáseámu infekce pevnΘho disku nezda°φ, stane seáokam₧it∞
rezidentnφm aánapadß soubory typu COM iáEXE delÜφ ne₧ 1000 byt∙. Soubory
napadß p°i jejich spuÜt∞nφ, otev°enφ Φi p°ejmenovßnφ, aáto jak na pevnΘm
disku tak iána disketßch nebo sφ¥ov²ch discφch. Virus testuje jmΘna soubor∙
aánenapadß soubory SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV aáCHKDSK.
Po zavedenφ systΘmu zánapadenΘho pevnΘho disku si virus vyhradφ poslednφ 4 KB
pam∞ti RAM, instaluje seádo vyhrazenΘ pam∞ti aástane seárezidentnφm. Nynφ
napadß soubory pouze na disketßch Φi na sφ¥ov²ch discφch. NapadenΘ soubory
prodlu₧uje o 3544 nebo 3577 byt∙. P°φznakem napadenφ souboru je urΦitß zßvislost
mezi datem aáΦasem vzniku souboru. Autor viru One Half seánejspφÜe nechal
inspirovat bulharsk²m virem Commander Bomber. Podobn∞ jako vátomto viru,
iázde je dek≤dovacφ smyΦka rozprost°ena vádeseti ·secφch nßhodn∞ rozmφst∞n²ch
poáp∙vodnφm souboru. JednotlivΘ ·seky jsou navzßjem provßzßny dv∞ma typy
skok∙ aájsou dopln∞ny nßhodn²mi jednobytov²mi instrukcemi. Celß tato
konstrukce dek≤dovacφ smyΦky mß dvojφ ·Φel. Jednak jsou napadenΘ soubory bez
dek≤dovanφ virem vápam∞ti nefunkΦnφ aáb∞₧n²mi metodami zánich nelze virus odstranit,
jednak nelze tento virus vyhledßvat pomocφ textovΘho °et∞zce.
èkody, kterΘ m∙₧e tento virus napßchat, mohou b²t znaΦnΘ. Poáka₧dΘm zavedenφ systΘmu
virus zaxoruje poslednφ dv∞ stopy ka₧dΘho povrchu pevnΘho disku sánßhodn²m Φφslem,
kterΘ si vygeneruje p°i instalaci do DPT. ╚φslo poslednφ k≤dovanΘ stopy si
uchovßvß ve svΘm zavad∞Φi váDPT. Po zak≤dovßnφ poloviny disku se vázßvislosti na datu
m∙₧e zobrazit hlßÜenφ: äDIS IS ONE HALF ... PRESS ANY KEY TO CONTINUE".
Virus pak pokraΦuje vák≤dovßnφ. Prvnφ t°etinu disku virus ponechß
nezak≤dovanou. One Half pou₧φvß techniky stealth. Pokud je virus vápam∞ti
aktivnφ, nenφ xorovßnφ disku ani prodlou₧enφ napaden²ch souboru patrnΘ.
Zdroj: Alwil software - v²robce antiviru AVAST
NebezpeΦn² rezidentnφ boot virus. P°esm∞ruje INT 9, 13h a infikuje boot sektor
diskety a MBR pevnΘho disku p°i bootovßnφ z infikovanΘ diskety. Pomocφ INT 9 (klßvesnice)
tento virus p°esm∞ruje tepl² restart (Ctrl-Alt-Del) a volß INT 19h (restart).
N∞kdy virus dek≤duje a zobrazφ zprßvu: "PARITY CHECK" a zablokuje poΦφtaΦ.
Rodina vir∙ ΦeskΘho p∙vodu. Napadajφ spouÜt∞nΘ COM a EXE soubory.
Vlastnφ t∞lo viru je jednoduch²m zp∙sobem zak≤dovßno a dek≤dovacφ
smyΦka obsahuje prom∞nnΘ Φßsti.
T∞sn∞ p°ed koncem viru je nezak≤dovan² text "XmY?!&", podle kterΘho
Pojer poznß, ₧e soubor u₧ byl napaden.
17.11. a 6.2. napφÜe:
** B R A I N 2 v1.40 **
WARNING ! Your PC has been WANKed !
>> 17.11.1989 <<
Viruses against political extremes , for freedom
and parliamentary democracy.
>> STOP LENINISM , STOP KLAUSISM , STOP BLOODY DOGMATIC IDEOLOGY !! <<
Remarks:
- for John McAfee: John,your SCAN = good program.
- for CN and his company:
Boys,the best ANTI-VIRUSES are Zeryk,Saryk and Vorisek !
- for F : Girls are better than computers and programming !
This program is copyright by SB SOFTWARE All rights reserved.
O.K. Your PC is now ready !
ObΦas blikß v levΘm hornφm rohu obrazovky znakem '_'.
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
Rezidentnφ, polymorfnφ a stealth virus p°ipojujφcφ se na konce
COM, EXE soubor∙ p°i jejich spouÜt∞nφ. B∞hem otevφrßnφ nebo vytvß°enφ
souboru si virus ulo₧φ hlaviΦku souboru, a infikuje ho a₧ p°i jeho
zavφrßnφ. B∞hem otevφrßnφ infikovanΘho souboru dochßzφ k jeho dezinfekci.
Virus kontroluje nßzvy soubor∙ a neinfikuje soubory:
ASTA.EXE F-PROT.EXE DEFRAG.EXE NDD.EXE CPAV.EXE MSAV.EXE SCANDISK.EXE
CHKDSK.EXE VSAFE.COM UCOM.COM UEXE.EXE GUARD.EXE GUARD.COM TNTVIRUS.EXE
CLEAN.EXE SCAN.EXE VSHIELD.EXE VSHIELD1.EXE NETSCAN.EXE IBMBIO.COM
IBMDOS.COM CHKAVAST.COM STROJ_F.EXE STROJ_P.EXE STROJ_S.EXE KRNL286.EXE
KRNL386.EXE
17 listopadu a 6 ·nora zobrazφ virus zprßvu:
** BRAIN2 v2.00beta - upgrade from POJER **
BETA tester, thank you,
.. have a nice day in cyberspace ...
This crazy program is (c) 12/93 by SB
V lich²m dnech ledna, listopadu a zß°φ p°esm∞ruje INT 1Ch a
postarß se tak, aby v levΘm hornφm rohu blikal znak "_".
Virus taky obsahuje text:
Kernel1.41
NeÜkodn² rezidentnφ polymorfnφ, stealth multipartitnφ virus. Trasuje a p°esm∞ruje INT 13h,
21h a zapisuje se do MBR pevnΘho disku a do EXE soubor∙ na disket∞ s kter²mi je manipulovßno.
P°i p°φstupu k zavirovanΘmu souboru na pevnΘm disku ho virus dezinfikuje.
B∞hem instalace do pam∞ti z pevnΘho disku virus p°esm∞ruje INT 12h, 1Ch.
P°i "nahrßnφ" DOSu, "usekne" Φßst systΘmovΘ pam∞ti, p°esm∞ruje INT 13h, 21h
a upravφ 12h, 1Ch.
Virus je k≤dovßn v pam∞ti stejn∞ jako v souboru. Virus v₧dy dek≤duje pouze tu Φßst
svΘho t∞la (v pam∞ti), kterou pot°ebuje.
Pokud je p°i startu poΦφtaΦe v bufru klßvesnice ulo₧ena sekvence "kaczor", virus
sßm sebe odstranφ s MBR a zobrazφ:
Zrobione.
Pokud je p°i startu poΦφtaΦe v bufru klßvesnice ulo₧ena sekvence "test", virus
zobrazφ zprßvu:
Wersja..........
Kodowanie.......
Licznik HD......
Na konce °ßdk∙ pak virus doplnφ odpovφdajφcφ ·daje.
3.b°ezna virus p°esm∞ruje INT 8 (ΦasovaΦ) a t°ese obrazem.
Velmi se m∞ lφbila informace v programu AVG o t°esenφ obrazovky:
...podobnΘho efektu lze docφlit konzumacφ nadm∞rnΘho mno₧stvφ alkoholu...
Tento boot virus seápo svΘ aktivaci instaluje pod hranici 640 KB operaΦnφ pam∞ti,
zmenÜφ zb²vajφcφ velikost volnΘ pam∞ti o 2 KB, p°esm∞ruje vektor p°eruÜenφ
13h aáotestuje, zda je ji₧ napaden pevn² disk poΦφtaΦe. Pokud ne, virus
provede zßpis svΘho k≤du do tabulky rozd∞lenφ disku (DPT). Svou druhou Φßst
ulo₧φ do sektoru 8, hlava 0, stopa 0. Originßlnφ DPT je umφst∞na vásektoru
9, hlava 0, stopa 0. Virus pak zavede do pam∞ti originßlnφ DPT sektor a
p°edß mu °φzenφ. Virus sleduje p°i zßpisu Φi Φtenφ diskety, zda je ji₧
napadena. Pokud nenφ, tak seázapφÜe do jejφho boot sektoru aádo p°edposlednφho sektoru v
zßkladnφm adresß°i. Do nßsledujφcφho sektoru ulo₧φ p∙vodnφ boot sektor.
Ka₧dß operace sánechrßn∞nou disketou tak vede kájejφmu napadenφ a
dalÜφmu Üφ°enφ viru. Jack Ripper pou₧φvß techniky stealth. Pokud je
virus aktivnφ, monitoruje po₧adavky na Φtenφ aázßpis sektoru. P°i pokusu
Φφst DPT p°edlo₧φ originßlnφ DPT, p°i pokusu o zßpis DPT seáoperace
neprovede. P°i Φtenφ sektor∙ 8 nebo 9 seáp°eΦtou samΘ nuly. Virus vásob∞
obsahuje znakov² °et∞zec (C) 1992 Jack Ripper. Tento °et∞zec je jak na
pevnΘm disku, tak iána disketßch k≤dovßn. èkodlivß Φinnost tohoto viru
je velmi zßke°nß. Virus p°i zßpisu sektoru prohodφ sápravd∞podobnostφ
asi 1:1024 dv∞ nßhodn∞ vybranß slova vázapisovanΘm sektoru. Proto₧e seánejΦast∞ji
zapisujφ data, m∙₧e to vΘst káhromad∞nφ nevysv∞tliteln²ch chyb.
Virus m∙₧e b²t odstran∞n standardnφm systΘmov²m programem äFDISK/MBR" (od verze
MS-DOSu 5.0).
Zdroj: Alwil software - v²robce antiviru AVAST
NeÜkodn² rezidentnφ boot virus. P°esm∞ruje INT 9, 13h a zapisuje se do MBR pevnΘho
disku a do boot sektoru diskety. Sleduje stisk klßves Ctrl-Alt-Del a
emuluje tepl² start poΦφtaΦe, p°iΦem₧ z∙stane rezidentnφ v pam∞ti. V n∞kter²ch
p°φpadech vypouÜtφ boot virus "Telefonica.3700" (Kampana.A). 30.11 p°esm∞ruje INT 8 a zobrazφ
zprßvu:
+--------------------------+
| S A M P O |
| "Project X" |
| Copyright (c)1991 by the |
| SAMPO X-Team. All rights |
| reserved. |
| University Of The East |
| Manila |
+--------------------------+
Rezidentnφ stealth boot virus. B∞hem "nata₧enφ" z infikovanΘ diskety zapφÜe svoji kopii do MBR pevnΘho disku.
Pak p°esm∞ruje INT 13h a infikuje diskety b∞hem jejich Φtenφ. Virus pou₧φvß metodu Brain p°i infekci disket.
Virus nic neprovßdφ (alespo≥ tato varianta).
Virus obsahuje text:
AMSESLIFVASRORIMESAEP
Boot virus infikujφcφ boot sektor disket a MBR pevnΘho disku. P∙vodnφ MBR uklßdß na 0,0,2 (strana, stopa, sektor). P∙vodnφ boot sektor
disket pak do poslednφho sektoru hlavnφho adresß°e. Angelina obsahuje nßsledujφcφ text, kter² nikdy nezobrazuje:
Greetings for ANGELINA!!!/by Garfield/Zielona Gora
Stealth varinta boot viru Stoned. Stejn∞ jako Stoned infikuje boot sektor diskety a MBR pevnΘho disku.
P∙vodnφ MBR p°i infekci odklßdß na 0,0,7 (strana,cylindr,sektor). Na disketßch DD 5.25" odklßdß boot sektor
na sektor 11. Na HD 5.25" disketßch pak na sektor 17. V obou p°φdech se jednß o sektory hlavnφho adresß°e,
tak₧e m∙₧ou b²t znφΦeny n∞jakΘ soubory.
Jednoduch² virus napadajφcφ boot sektor disket a MBR pevnΘho disku. Neobsahuje ₧ßdnou
destrukΦnφ akci. Pokud je aktivnφ v pam∞ti, hlφdß p°φstupy do boot sektoru a MBR a p°φpadnΘ pa₧adavky
na Φtenφ Φi zßpis p°esm∞ruje na p∙vodnφ neinfikovan² sektor.
Za zmφnku stojφ zp∙sob, jak²m si uklßdß obsah p∙vodnφho boot sektoru na disket∞. Mφsto vyu₧itφ n∞kterΘho
ze stßvajφcφch sektor∙, jak je b∞₧nΘ u v∞tÜiny boot vir∙, si Spirit na napadenΘ disket∞ naformßtuje na ·plnΘm
konci jednu nadbyteΦnou stopu (u typickΘ diskety 1.44 MB to je 81.stopa), do kterΘ ulo₧φ p∙vodnφ data boot sektoru.
V t∞le viru lze nalΘzt text:
SPIRIT (c) MW
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
Rezidentnφ souborov² virus. P°esm∞ruje INT 21h a zapisuje se na konce
EXE soubor∙, kterΘ jsou spouÜt∞ny.
Virus obsahuje text:
[Whisper presenterar Tai-Pan]
Rezidentnφ stealth polymorfnφ a multipartitnφ virus. Virus infikuje MBR pevnΘho disku,
kdy₧ je spuÜt∞n infikovan² soubor. B∞hem infekce ulo₧φ originßlnφ MBR na poslednφ sektor
disku C: a zmenÜφ velikost disku v Partition Table, tak aby zakryl p∙vodnφ MBR.
Virus se stßvß pam∞tov∞ rezidentnφm jen p°i bootovßnφ s infikovanΘho disku. P°esm∞ruje INT 13h,
1Ch, 21h a zapisuje se na konce EXE soubor∙, kterΘ jsou spouÜt∞ny nebo zavφrßny.
V zßvislosti na vnit°nφm poΦφtadle virus zobrazφ p∞kn² barevn² obrßzek a zprßvu:
Po spuÜt∞nφ virus zobrazφ:
Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.
Loving thoughts to L.I.N.D.A
BEER and TEQUILA forever !
Je parazitick², rezidentn² COM a EXE infektor. K napßdaniu s·borov dochßdza pri ich spustenφ,
premenovßvanφ a otvßranφ. Vφrus napßda s·bory typu COM kratÜie ako 57 KB a s·bory typu EXE
kratÜie ako 384 KB. Ak zaΦiatok nßzvu s·boru obsahuje jeden z re¥azcov ic, no, we, tb, av,
f-, sc, co, wi a kr, k nßkaze takΘhoto s·boru ned⌠jde. NakazenΘ s·bory s· oznaΦenΘ nastavenφm
sek·nd v Φase vzniku s·boru na hodnotu 8. Vo vφruse sa nachßdza text, ktor² sa za urΦit²ch
okolnostφ objavφ aj v pamΣti.
TMC 1.0 by Ender from Slovakia Welcome to the Tiny Mutation Compiler! Dis is level 42.
Greetings to virus makers: Dark Avenger, Vyvojar, Hell Angel
Personal greetings: K. K., Dark Punisher
Vφrus TMC je ve╛mi zaujφmav² z technickΘho h╛adiska. V napadnutom s·bore sa nenachßdza
samotnΘ telo vφrusu v klasickom zmysle, ale len kompilßtor, spolu so zdrojov²m pseudok≤dom
vφrusu. Pri spustenφ napadnutΘho s·boru kompilßtor zostavφ do pamΣte nov·, zaka₧d²m odliÜn·
k≤piu vφrusu. Vφrus TMC nie je mo₧nΘ zachyti¥ be₧n²mi vzorkami. NavyÜe, kompilßtor
neobsahuje ₧iadne podozrivΘ inÜtrukcie a nie je preto pre heuristiku podozriv². Statick²
zdrojov² pseudok≤d vφrusu je v napadnutom s·bore zak≤dovan² a odk≤dovßva sa priebe₧ne pri
kompilßcii. Po pou₧itφ sa opΣ¥ zak≤duje, ale in²m k╛·Φom. Pri kompilßciφ sa medzi
jednotlivΘ inÜtrukcie m⌠₧u, ale nemusia vklada¥ skoky. Preto₧e dσ₧ka skoku nie je vopred
znßma, musφ sa vyhradi¥ pre ka₧d² skok viac miesta, ako je potrebnΘ. D⌠sledkom je pomerne
Φast² v²skyt troch inÜtrukciφ NOP nasleduj·cich po sebe. Vφrus obsahuje aj rafinovan· pascu,
ktorß mß za cie╛ s¥a₧i¥ jeho odstrßnenie. V zßvislosti od generßcie sa menia aj vlastnosti
skompilovanΘho vφrusu v pamΣti.σ Autor vφrusu je zrejme fan·Üik sci-fi literat·ry. Ender je
hrdina z knihy "Enderova hra" od O. S. Carda. Texty "Welcome to the Tiny Mutation Compiler!"
a "Diz is level 42" m⌠₧u by¥ parafrßzou na texty vo vφruse EMM:Level_3.
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Je modifikßciou vφrusu TMC:Level_42. OdliÜuje sa od neho t²m, ₧e medzi infikovanφm dvoch
vhodn²ch programov musia uplyn·¥ najmenej 3 min·ty a je doplnen² o trik, ktor² mß s¥a₧i¥
odstrßnenie vφrusu z napadnutΘho s·boru. Texty vo vφruse s· zmenenΘ nasledovne :
TMC 1.0 by Ender
Welcome to the Tiny Mutation Compiler!
Dis is level 6*9.
Greetings to virus makers: Dark Avenger, Vyvojar, SVL, Hell Angel
Personal greetings: K. K., Dark Punisher
Zdroj: Eset s.r.o. - v²robce antiviru NOD
Tremor je polymorfnφ virus, kter² napadß programy typu COM (oádΘlce 8192 a₧ 55039 byt∙)
aáEXE (o dΘlce 8192 a₧ 1048576 byt∙) aáje pam∞¥ov∞ rezidentnφ. P°i
spuÜt∞nφ napadenΘho programu seávirus nejprve dek≤duje, aápak testuje
aktußlnφ datum. Pokud od data napadenφ dosud neuplynuly alespo≥ 3 m∞sφce,
p°φpadn∞ je soubor vájinΘm adresß°i ne₧ byl napaden, virus modifikuje
vlastnφ k≤d aáneprojevuje seá₧ßdn²mi zvukov²mi ani obrazov²mi efekty.
Dßle virus testuje svou p°φtomnost váoperaΦnφ pam∞ti pomocφ p°eruÜenφ 21h
funkce 0F1E9h. Pokud je virus ji₧ vápam∞ti aktivnφ, nebo je verze MS-DOSu
menÜφ ne₧ 3.30 je °φzenφ p°edßno napadenΘmu programu. Váp°φpad∞, ₧eávirus
dosud vápam∞ti nenφ, instaluje seádo pam∞ti XMS nebo do UMB. Pokud
seánepovede ani jedna zát∞chto variant, instaluje seána vrchol zßkladnφ
operaΦnφ pam∞ti. P°itom si vápam∞ti alokuje 4288 byt∙. Virus pomocφ
p°eruÜenφ 01h testuje jednak mo₧nou p°φtomnost debugger∙, jednak si zjistφ
adresu p°eruÜenφ 21h, kterou pak pou₧φvß káp°φmΘmu volßnφ jßdra systΘmu.
Adresy p°eruÜenφ 21h aá15h p°esm∞ruje doánepou₧itΘ oblasti MCB hostitelskΘho
programu aáodtud pak skßΦe p°φmo doásvΘ rezidentnφ Φßsti. Infikuje program
specifikovan² prom∞nnou äCOMSPEC", nejΦast∞ji COMMAND.COM aáspustφ p∙vodnφ
program. Tremor pou₧φvß techniky stealth. Pokud je virus aktivnφ,
monitoruje Φinnost systΘmu aáinformace, kterΘ by mohli vΘsti kájeho
odhalenφ, p°edßvß systΘmu veázkreslenΘ form∞. Nap°φklad p°i dotazu na dΘlku
souboru p°edß p∙vodnφ dΘlku napaden²ch soubor∙ atd. P°i spuÜt∞nφ programu,
virus testuje, zda jmΘno souboru nezaΦφnß äCH",äME", äMI", äF2", äF-", äSY", äSI" aáäPM".
Pokud ano, provede zm∞ny váalokaci pam∞ti, tak₧e nap°φklad program CHKDSK
vracφ jakoby sprßvnΘ hodnoty velikosti volnΘ pam∞ti. Virus nenapadß
programy zaΦφnajφcφ znaky äSC", äCL" nebo äHB". Virus takΘ testuje, zda
druh² aát°etφ znak jmΘna programu je äRJ". VátakovΘm p°φpad∞ zaΦne dßvat
systΘmu pravdivΘ informace o souborech. Znamenß to, ₧eáarchivy ARJ budou
obsahovat virus, kde₧to nap°φklad váZIPech virus nebude. Podobn∞ kopie
zdravΘho iánapadenΘho souboru vytvo°enΘ pomocφ systΘmovΘho COPY virus
neobsahujφ, zatφmco ob∞ kopie ud∞lanΘ pomocφ Nortona jsou infikovßny.
Zjistφ-li virus p°φtomnost antivirovΘho programu FLU-SHOT+, soubor nenapadne
aáp°estane seájakkoliv projevovat. Tremor takΘ testuje p°φtomnost
antivirovΘho programu VSAFE záMS-DOSu 6.00. Pomocφ specißlnφch funkcφ
p°eruÜenφ 13h umφ virus uvΘst VSAFE do neaktivnφho stavu aápo napadenφ
souboru zase zaktivovat.
Virus otev°e soubor aáp°eΦte si poslednφch dvacet byt∙. Vcelku jednoduÜe
je dek≤duje aápokud obsahujφ slovo äDEAD" aádatum souboru je zv∞tÜenΘ o
100 let p°edpoklßdß, ₧eáje soubor ji₧ napaden. VáopaΦnΘm p°φpad∞ virus
p°ihraje svou zak≤dovanou kopii na konec napadenΘho programu, p°esm∞ruje
poΦßteΦnφ skok nebo zm∞nφ hodnotu váhlaviΦce EXE souboru aáspustφ p∙vodnφ
program. NapadenΘ soubory prodlu₧uje o 4000 byt∙, datum napaden²ch souboru
zv∞tÜuje o 100 let. P°i volßnφ p°eruÜenφ 15h vypisuje uvedenou zprßvu.
P°i volßnφ p°eruÜenφ 21h posouvß celou obrazovku doleva aádoprava o jeden znak.
-=> T╖R╖E╖M╖O╖R was done by NEUROBASHER / May-June'92, Germany <=-
-MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
Virus m∙₧e b²t odstran∞n bu∩ zruÜenφm napaden²ch soubor∙ aájejich
nahrazenφm záoriginßlnφch disket, nebo pomocφ programu proátestovßnφ
integrity soubor∙ (pokud jej ovÜem pravideln∞ pou₧φvßte).
Zdroj: Alwil software - v²robce antiviru AVAST
Tento boot virus se podle svΘ manipulaΦnφ rutiny naz²vß V-Sign aámß n∞kolik
zajφmav²ch vlastnostφ. Virus zabφrß dva sektory naádisku aáneuchovßvß
p∙vodnφ sektor. Do n∞ho toti₧ zapisuje jen sv∙j vlastnφ krßtk² inicializaΦnφ
program, kter² po aktivaci p°epφÜe vápam∞ti p∙vodnφm obsahem. Navφc virus
obsahuje (jako jeden zámßla boot vir∙) lehce polymorfnφ rysy. Cyklicky
toti₧ p°ehazuje n∞kterΘ instrukce loaderu tak, ₧e majφ poka₧dΘ jinΘ po°adφ.
P°i zavedenφ systΘmu záinfikovanΘho mΘdia loader viru nejprve naΦte dva
sektory sát∞lem viru doápam∞ti, alokuje si 2áKB pam∞ti t∞sn∞ pod hranicφ
640 KB aázkopφruje se do nφ. Modifikuje vektor p°eruÜenφ 13h (prßce s
diskem), obnovφ p∙vodnφ obsah zavßd∞cφho sektoru aáp°edß mu °φzenφ.
Virus pak monitoruje p°eruÜenφ 13h aáp°i operacφch Φtenφ aázßpis jeáschopen
se Üφ°it. Pokud je naápevnΘm disku Φten libovoln² sektor na stop∞ 0, hlav∞
0, je p°i nßsledujφcφ operaci testovßna p°φtomnost viru na disku. U disket
virus testuje prvnφ byte tabulky FAT aápodle n∞j rozpoznßvß typ diskety,
co₧ pot°ebuje pro urΦenφ pozice, na kterou ulo₧φ sßm sebe. Virus V-Sign mß
jeÜt∞ jednu pozoruhodnou vlastnost. P°i svΘ instalaci do pam∞ti toti₧
testuje p°φtomnost boot viru Stoned vápam∞ti aádokß₧e si zán∞ho vzφt p∙vodnφ
hodnotu p°eruÜenφ 13h aáp°epsat jej vápam∞ti. Navφc, pokud zjistφ, ₧e dan²
disk je jφm sam²m ji₧ napaden, zkouÜφ napadnout iásektor, do kterΘho virus
Stoned uklßdß p∙vodnφ zavßd∞cφ sektor. Je tak mo₧nΘ, ₧e odstran∞nφm viru
Stoned n∞kter²mi antivirov²mi programy dojde kánßslednΘ reinfekci virem
V-Sign. Váoblasti vir∙ sice odstran∞nφ jednoho viru druh²m nenφ novinkou,
ale metoda viru V-Sign je dost unikßtnφ. ManipulaΦnφ rutina viru spoΦφvß v
tom, ₧e na obrazovce je vypsßno velikΘ pφsmeno V, slo₧enΘ zeásemigrafick²ch
znak∙. V²pis je zpo₧∩ovßn, tak₧e se cel² obrßzek objevuje postupn∞. PotΘ
jeáprogram zacyklen tak, ₧e nem∙₧e pokraΦovat aáje nutno znovu poΦφtaΦ spustit.
ManipulaΦnφ rutina nastane velmi z°φdka, aásice pouze tehdy, je-li ·sp∞Ün∞
napadeno 64 disket. Proto₧e je vÜak ΦφtaΦ vynulovßn p°i ka₧dΘ instalaci viru
do pam∞ti, musφ se jednat o napadenφ várßmci jednoho sezenφ, co₧ asi nebude
p°φliÜ obvyklΘ. Podobnß situace snad m∙₧e nastat pouze p°i velkoobjemovΘm
formßtovßnφ Φi p°i zßlohovßnφ velk²ch disk∙ na diskety.
Zdroj: Alwil software - v²robce antiviru AVAST
Rezidentnφ boot virus. P°esm∞ruje INT 13h a infikuje MBR pevnΘho disku a boot sektor diskety.
Virus obsahuje text:
Welcome to BUPT 9146,Beijing!