Popisy virů
Viry pro DOS
Pokud není jinak uvedeno, informace jsou přeloženy z AVP Virus Encyclopedie (www.avp.ch/avpve).
Je parazitický, rezidentný COM a EXE infektor. Efektívna dĺžka jeho kódu je 1344 bajtov.
Volanie služieb DOSu, ktoré za normálnych okolností obsluhuje INT 21h presmeruje na INT 3,
čo je normálne break-point. Okrem toho vírus využíva inštrukcie špecifické pre procesory
386 a vyššie. To môže zmiasť menej dokonalé heuristiky. Vírus infikuje programy, ktoré sa
spúšťajú, pričom sa zapíše na začiatok súborov typu COM, v prípade súborov typu EXE sa
infikuje koniec súboru. Neinfikuje súbor "COMMAND.COM". Ak poradie dňa v týždni od soboty
( napr. pondelok je druhý ) je zhodné s dátumom, a ak máte trochu smoly, pri ukončení
nejakého programu vírus vypíše:
Alfons ! Synchronizing drive C: (do not interrupt this operation !)
A potom začne na obrazovku vypisovať percentuálny progres za zvukov úpejúceho hard disku.
Keď dosiahne 100 percent, vypíše "Done.". Začiatok disku sa prepíše reťazcom "Alfons !".
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Je to pamäťovo rezidentný boot vírus. Pri pokuse o zavedenie systému z infikovanej diskety
nakazí MBR hard disku, ale sám sa ešte neinštaluje do pamäte. Pri najbližšom zavedení
systému z hard disku sa vírus stáva rezidentným a pokúša sa infikovať všetky diskety
nechránené proti zápisu. Pri splnení určitých podmienok modifikuje obsah pamäte CMOS.
Existujú dve nepatrne sa líšiace varianty vírusu.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Je to stealth boot vírus zaberajúci 1 Kb pod vrcholom pamäte pre DOS. Pri pokuse o zavedenie
systému z infikovanej diskety napadne MBR hard disku a prevezme obsluhu INT 13h. Vírus pre
svoje účely používa namiesto prerušenia INT 13h prerušenie INT D3h. Napáda boot sektory
diskiet pri ich čítaní. Ak začiatok sektoru diskety obsahuje znaky "MZ" - signatúru EXE
súborov, dôjde niekedy k poškodeniu týchto súborov.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Je to rezidentný boot infektor. Názov je typickou ukážkou nedostatku fantázie, 437 je dĺžka
kódu v bajtoch. Jeho kód sa trocha vymyká zo zabehnutého klišé a na hard disku nenapáda
hlavný zavádzací program (MBR), ale boot sektor aktívnej partície a to natvrdo bez ohľadu
na jeho typ. Najhoršie na tom je, že vo svojej jednoduchosti nezvládne správne prepočítať
parametre rozličných diskiet. Napríklad pri 3.5 palcovej HD diskete sa netrafí pri
odkladaní pôvodného bootu na koniec koreňového adresára (rootu), a to spôsobí pri prezeraní
jej obsahu zaujímavý efekt, v kruhoch odborníkov známy ako "rozsypaný čaj". To ho obvykle
vyzradí aj laikom. Na hard disku odloženie pôvodného bootu na obligátny šiesty sektor
nultej stopy na veľké šťastie používateľov už zvládne dobre. Samozrejme, tak ako každý
boot vírus, infikuje všetky diskety, ktoré nie sú ochránené proti zápisu.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Tento 1150 bajtov dlhý rezidentný vírus napáda len súbory typu EXE. Neinfikuje súbory
kratšie ako 256 bajtov a dlhšie ako 256 KB, ďalej tie, ktorých meno obsahuje písmeno 'S'
alebo 'V', súbory pre Windows a súbory obsahujúce internal overlay. Predĺženie súborov
maskuje, ale ak sa spustí program CHKDSK, tento hlási chyby. Jediným prejavom vírusu v
pamäti je nápis v ľavom hornom rohu obrazovky znejúci:
BURGLAR/H
Objaví sa, ak v čase nákazy súboru vnútorné hodiny počítača mali počet minút rovný 14.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Je to rodina multipartitných EXE infektorov. Pri spustení nakazeného súboru sa ako prvý
infikuje MBR hard disku. Jeho pôvodný obsah odkladá vírus na stopu 0, hlavu 0, sektor 2,
ak je len jeden logický disk. Ak je logických diskov viac, odloží sa na prvú extended
partition a jej dáta zakóduje. To znamená, že pri neodbornom odstránení vírusu, alebo
zavedení systému z čistej systémovej diskety počítač vie len o prvom logickom disku. Po
napadnutí MBR je súbor s vírusom dezinfikovaný. Po určitom čase od nákazy sa začína množiť
tak, že napáda súbory typu EXE na pružných diskoch. Hodnotu sekúnd v čase poslednej
modifikácie zmení vírus po nákaze na 54. Vírus má v sebe zakódované ruské texty a niekedy
hrá hudbu.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Nebezpečný rezidentní kódovaný a stealth souborový virus. Přesměruje INT 10h, 21h a
zapisuje se na konce COM a EXE souborů, když je k nim přistupováno. Virus nechává hlavní
část v operační paměti zakódovanou, a dekóduje ji jen když potřebuje.
Virus obsahuje několik zajímavých rutin. V úterý, pokud je 3, 11, 15, 28 dne volá
DOSovskou funkci Write a virus může na výstup COM1 zobrazit zprávu:
SW Error
Virus zapisuje na začátky zdrojových kódu ASM a PAS text:
.model small
.code
org 256
s: push cs
pop ds
call t
db '-Ą$'
t: pop dx
mov ah,9
int 33
mov ah,76
int 33
end s
begin
write('-Ą');
end.
Virus kontroluje počítadlo generací a pokud je větší než 15 a video režim je
nastaven na 13h (grafika), virus zobrazí velké symboly:
Virus taky obsahuje tyto texty:
SW DIE HARD 2
Velmi nebezpečný polymorfní, stealth souborový virus. Přesměruje INT 1, 3, 1Ch, 21h a zapisuje se
do konců COM a EXE souborů při jejich spouštění. Během zakládání, otevírání a spouštění
COM a EXE souborů si virus ukládá jejich jména a infikuje je až při jejich uzavírání.
Když je infikovaný soubor otevřen, virus se z něj dezinfikuje. Virus maže CHKLIST.* a
během spuštěného programu CHKDSK vypíná FindFirst/Next "madlo". Při spuštění MKS antiviru
neinfikuje žádné soubory. Použitím INT 1, 3 blokuje debugování jeho kódu.
V květnu od 28 do 31 virus přepisuje pevný disk s textem:
DIGI POWER
Pak se předvádí s videem a zvukovými efekty, a zobrazuje zprávu:
Virus DIR II se liší od všech ostatních druhů virů. Je dlouhý 1024 bytů a je
zvláštní v tom, že sice napadá programy typu COM a EXE, ale soubory, ve kterých
jsou tyto programy uloženy, vůbec nemodifikuje. Na infikovaném disku se
vyskytuje pouze jedenkrát. Pochází z Bulharska. Po svém spuštění se virus
instaluje do paměti a pak prochází zřetězené ovládače zařízení (device drivers)
a připojí se k nim tak, že je při každém volání diskových operací aktivován.
Používá funkce Strategy a Interrupt. Po instalaci spustí hostitelský program
a normálním způsobem se ukončí. Pamětově rezidentní virus pak monitoruje přístup
na disk a jednak hlídá funkce Build BPB (kvůli správné funkci programu typu CHKDSK)
a jednak napadá disky a adresáře.
Infekční rutinu viru je možno rozdělit do dvou částí. První souvisí s napadením celého
disku. Virus zjisti poslední cluster na disku, zapíše do něho sebe sama a v
tabulce FAT jej zvláštním způsobem označí jako obsazený. Pokud tento cluster
náležel nějakému souboru, je tento soubor virem přepsán a zníčen. Je to však jediná
škoda, kterou virus může trvale způsobit. Druhá část infekční rutiny souvisí s
modifikací adresářů. Virus totiž manipuluje s položkou v adresáři, ve kterém je uloženo
místo na disku, na kterém soubor začíná (First Cluster Pointer, FCP). Virus změní tento
parametr u všech souborů typu EXE a COM tak, že všechny programy začínají kódem viru.
Originální hodnota je zakódována a uložena na volné (rezervované) místo v položce adresáře.
Virus tímto způsobem najednou napadá všechny soubory v daném adresáři a proto se velmi rychle
šíří. Virus kontroluje pouze rozšíření a ne jméno souboru, a proto napadá i smazané soubory
(!!!). Virus neustále při práci s adresářem přepíná položky FCP mezi původními a modifikovanými
hodnotami, aby mohl operační systém vůbec pracovat. Jako vedlejší efekt z toho vyplývají
i určité vlastnosti typu stealth (skrývání).
Pokud je virus aktivní v paměti, chová se počítač celkem normálně. Když je však
zaveden systém z čísté diskety, jsou všechny napadené soubory pouze 1024 bytů dlouhé a program
CHKDSK hlásí spousty chyb (všechny programy začínají na stejném místě - křížení souborů).
Stejným způsobem se chová infikovaná disketa v nezavirovaném počítači.
Po zjištění viru v počítači lze jen těžko napadené soubory zálohovat. Pokud je virus
v paměti, jsou na záložní média přeneseny infikované programy, pokud není virus aktivní, je
na disku pouze velký zmatek.
Existuje velmi jednoduchý způsob, jak můžete bez zvláštních prostředků virus z disku odstranit.
Stačí totiž v okamžiku, kdy je virus aktivní, přejmenovat ve všech adresářích všechny soubory typu
COM (například na *.CO_) a EXE (například na *.EX_). Virus sám uvede příslušné položky adresáře do
původního stavu. Pokud chcete zachránit i programy na disketách, je nutno provést stejný úkon i na nich.
Poté je nutno zavést systém z originální diskety a všechny soubory přejmenovat zpět. Programem
CHKDSK je možno odstranit cluster obsazený virem. Program, který i po tomto kroku virus obsahuje,
je pravděpodobně zdrojem celé nákazy.
Zdroj: Alwil software - výrobce antiviru AVAST
Velice nebezbečný paměťově rezidentní polymorfní a multipartitní virus.
Je dlouhý 5826 bytů. Infikuje COM a EXE soubory pro DOS, přičemž se zapisuje
na jejich konce. Kromě toho infikuje MBR pevného disku a boot sektor
disket. Virus využívá stealth funkce a dokáže obejít antivirovou ochranu BIOSu.
Virus má chyby a v některých případech můžou být soubory při infekci narušeny.
Při spuštění pak zablokují počítač.
Během infekce MBR virus využívá několik triků, kterými dokáže obejít antivirovou ochranu BIOSu.
Pokud zjistí, že je zapnuta (z CMOS), posílá před napadením MBR do bufferu klávesnice znak "Y", kterým se snaží
potvrdit zprávu o povolení infekce MBR.
Virus ukládá původní MBR a boot sektor na vyhrazené sektory na disku, ale zakóduje je a naruší.
Tyto data pak pracují korektně pouze v případě, že virus je aktivní v operační paměti (virus totiž po svém
zavedení do paměti předává zpět řízení původnímu MBR či boot sektoru).
Virus taky pozmění Partition tabulku tak, že není možné systém nahrát z čisté systémové diskety (disk je nepřístupný ?).
Během infekce MBR nebo boot sektoru (v případě diskety) v nich virus hledá nějaké specifické sekvence, a pokud je najde, vymaže
CMOS paměť a tím zablokuje počítač (ten hlásí "Error in CMOS").
Virus však provádí i daleko horší operaci. Podobně jako virus CIH (Černobyl) přepisuje Flash BIOS přičemž maže i data
z pevného disku. Ve stejný čas zobrazuje zprávu:
EMPEROR
I will grind my hatred upon the loved ones.
Despair will be brought upon the hoping childs of happiness.
Wherever there is joy the hordes of the eclipse will pollute
sadness and hate under the reign of fear.
In the name of the almighty Emperor....
Tato operace se provede, pokud virus v paměti najde aktivní debugger, nebo pokud je systém
restartován mezi 5 a 10 hodinou dopoledne. Díky chybě ve viru se však tato operace může provést
skoro kdykoliv.
Virus taky obsahuje text:
he EMPEROR virus
written by Lucrezia Borgia
In Colombia, 1999
Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG
Je to stealth boot vírus príbuzný s vírusom Stoned . Pri každom pokuse o zavedenie systému
z infikovanej diskety si vyhradí pre seba 1 KB pod vrcholom pamäte, pričom o rovnakú
veľkosť zníži pamäť použiteľnú pre DOS. Napadne MBR hard disku, pričom pôvodný obsah
zakóduje a odloží na hlavu 0 stopu 0 sektor 3. Pri pokuse o zavedenie systému zo systémovej
diskety systém nemôže v prvom fyzickom sektore disku obsadenom telom vírusu nájsť platnú
tabuľku rozdelenia disku. To spôsobí výpis správy
Invalid drive specification
Pokusy o obnovenie MBR pomocou príkazu FDISK /MBR vedú k strate dát. V tele vírusu je
zakódovaný reťazec:
Monkey
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Je to stealth boot vírus príbuzný s vírusom Stoned . Pri každom pokuse o zavedenie systému
z infikovanej diskety si vyhradí pre seba 1 KB pod vrcholom pamäte, pričom o rovnakú
veľkosť zníži pamäť použiteľnú pre DOS. Napadne MBR hard disku, pričom pôvodný obsah
zakóduje a odloží na hlavu 0 stopu 0 sektor 3. Pri pokuse o zavedenie systému zo systémovej
diskety systém nemôže v prvom fyzickom sektore disku obsadenom telom vírusu nájsť platnú
tabuľku rozdelenia disku. To spôsobí výpis správy
Invalid drive specification
Pokusy o obnovenie MBR pomocou príkazu FDISK /MBR vedú k strate dát. V tele vírusu je
zakódovaný reťazec:
Monkey
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Jednoduchý boot vírus pochádzajúci pravdepodobne zo Švajčiarska. Vírus sa pri pokuse o
zavedenie systému z infikovanej diskety inštaluje do chránenej oblasti pamäte, ktorú si
vytvorí znížením množstva pamäte použiteľnej pre DOS o 2 KB. Následne nakazí boot sektor
hard disku a jeho pôvodný obsah uloží do posledných dvoch sektorov, no nijako ich nechráni.
Pri prístupe na disketu v mechanike, ak je nechránená proti zápisu, uloží pôvodný boot
sektor do alokačnej jednotky, ktorá sa označí ako chybná a napadne boot sektor diskety.
Každý 24. deň v mesiaci sa prejaví zvukom pri stláčaní kláves. Obsahuje text :
The FORM Virus sends greetings to everyone who's reading this text.
FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.
v preklade:
Vírus FORM posiela pozdravy každému, kto číta tento text. FORM neničí údaje! Len žiadnu
paniku!
Existujú aj ďalšie, málo sa líšiace varianty.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Neškodný rezidentní souborový virus. Přesměruje INT 21h a zapisuje se na konce
COM a EXE souborů, které jsou spoušteny. Virus obsahuje kódovanou zprávu a
části názvů souborů (4 písmena pro jméno). Virus podle nich neinfikuje soubory
SCAN*.*, SHIE*.*, TRAP*.* atd.):
SCANSHIETRAPVIRUVCOPASTAALIKAZORREX.MANDUEXEUCOMVIRTCLEATSAFNAV.INI.BOOT3P.E
1. listopadu helloween zprávu dekóduje a zobrazí ji:
Neškodný rezidentní boot virus. Nakopíruje se do tabulky vektorů přerušení,
přesměruje INT 40h a zapisuje se do boot sektoru diskety. Během bootování z infikované
diskety infikuje virus MBR pevného disku. Virus na sebe nijak neupozorňuje.
Tento jednoduchý bootovací vírus sa pri pokuse o zavedenie systému z diskety (aj nechcenom)
uloží do 2 kilobajtov na vrchole konvenčnej pamäte. Nakazí MBR (hlavný zavádzací záznam)
pevného disku a pôvodný sektor uloží na cylinder 0, hlavu 0 a sektor 6. Sám seba
identifikuje tak, že hľadá v MBR výskyt znakov "J&M" na ofsete 1BBh. Tam sa vlastne
nachádza reťazec "J&M" od ktorého je odvodené pomenovanie vírusu. Vírus kontroluje volania
prerušenia INT 13h a pri vložení nenakazenej diskety do mechaniky ju nakazí, pričom pôvodný
boot sektor diskety odloží na hlavu 1 stopu 0 sektor 14. Vírus testuje dátum, a ak je 15.
novembra, naformátuje nultú stopu prvého hard disku (disk C:), teda stopu, kde má odložený
pôvodný zavádzací sektor. To pri hard diskoch znamená poškodenie tabuľky rozdelenia disku.
Vírus na diskete obsahuje na svojom konci reťazce z pôvodného boot sektoru: "Replace and press any key when ready"
a "IO SYSMSDOS SYS" čo mu umožňuje "prežiť" zbežné prezretie niektorými utilitami.
Tento vírus sa objavil v roku 1993 a tlač okolo neho rozpútala veľkú hystériu. Je paradoxné,
že aj keď vírus asi pochádza zo Slovenska, rozšíril sa najprv v Čechách, kde ho nazvali
Hasita, prípadne Jimmi. Záverom len konštatovanie, že J&M je veľmi úspešný boot vírus,
ktorý sa stále objavuje a to aj v zahraničí (1996 napr. Veľká Británia).
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Vírusy tejto rodiny pochádzajú zo Švédska, krajiny s tradične silným zázemím pre autorov
vírusov. Sú to multipartitné kryptované parazitické COM infektory. Oba obsadzujú prerušenia
INT 13h, INT 1Ch a INT 21h. Nákaza sa uskutočňuje pri spúšťaní súborov a ich otváraní pre
prístup do súboru, pri čítaní diskety sa nakazí boot sektor (ak nie je disketa ochránená
proti zápisu) a pri spustení infikovaného súboru sa infikuje aj MBR hard disku.
Junkie.A je 1027 bajtov dlhý, neškodný a v tele, ktoré je kryptované, má texty:
DrW-3 Dr White - Sweden 1994 Junkie Virus - Written in Malmo...M01D
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Velmi nebezpečný multipartitní virus. Zapisuje se na konce COM a EXE
souborů, při jejich spouštění a otevírání. Kromě toho se zapisuje do
MBR pevného disku při spuštění infikovaného souboru. Boot sektor diskety
je infikován, pokud s ní pracujete. Virus je
v souboru kódován. Během instalace, virus trasuje INT 13h, 21h, 40h a přesměruje
INT 21h. Virus vlastní více než 10 "madel" (handlers) INT 21h.
Virus obsahuje např. tyto texty:
(C) 1990 Grupo HOLOKAUSTO (Barcelona, Spain) Kampa¤a Anti-TELEFONICA:
Mejor servicio, Menores tarifas...
Virus Anti - C.T.N.E. (c)1990 Grupo Holokausto.
Kampanya Anti-Telefonica.
Menos tarifas y mas servicio.
Programmed in Barcelona (Spain).
23-8-90. - 666 -
Pokud je část viru v MBR, virus nenapadá soubory. Po 190h (?) nabootování
z infikovaného disku dochází k jeho přepsání a napsání textu:
Campa¤a Anti-TELEFONICA (Barcelona)
Nebezpečný rezidentní kódovaný souborový virus. Přesměruje INT 8, 21h a zapisuje se na
konce EXE souborů, při jejich spustění. V náhodně zvoleném času tento virus otevírá BBS soubory:
\BBSV6\BBSAUDIT.DAT, \BBSV6\BBSUSR.DAT a kontroluje je na výskyt jmen:
Puppet Image Gnat Minion Cindy F'nor.
Pokud je některý z těchto textů nalezeno, virus někdy změní popis v BBS souboru.
Virus obsahuje texty:
The Major BBS Virus created by Major tomTugger
Nebezpečný rezidentní kódovaný souborový virus. Přesměruje INT 8, 9, 21h a při
volání DOS funkce GetDiskSize (INT 21h, AH=36h) hledá soubory COM a EXE. Zapisuje
na jejich konce. Pokud je klávesnice neaktivní po dobu jedné hodiny, virus maže CMOS pamět
a MBR pevného disku.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
V září 1991 se v bývalém Československu objevil nový druh počítačového viru, nazvaný
Michelangelo. Tento virus napadá systémovou oblast disků, konkrétně zaváděcí
sektor disket a sektor s tabulkou rozdělení disků u pevných disků.
Je odvozen z již dříve známého viru Stoned a není nijak zvlášť pozoruhodný.
S jedinou výjimkou, a tou je jeho manipulační část. Virus totiž může být
velmi nebezpečný. Při každém spuštění testuje datum v počítači a dne 6. března
přepíše obsah disku, ze kterého byl spuštěn! Virus Michelangelo čte datum
přímo ze zálohovaných hodin počítače (v okamžiku jeho spuštění není totiž
ještě MS-DOS aktivní a datum nastavené v operačním systému není možno zjistit),
proto se přepsání disků nikdy neprovede na počítačích bez baterií zálohovaných
hodin (klasický IBM PC/XT).
Zdroj: Alwil software - výrobce antiviru AVAST
Nebezpečný rezidentní multipartitní polymorfní virus. Přesměruje INT 13h, 21h
a zapisuje se do MBR pevného disku, boot sektoru diskety a do konců COM a EXE souborů,
ke kterým je přistupováno. Virus neinfikuje soubory, které jsou otevírány programy: PKZIP/PKUNZIP,
LHA a ARJ. S vlivem na interní počítadlo může virus naformátovat disk. Virus
obsahuje text: "BACKMODEM" a text "Natas".
Neškodný rezidentní polymorfní stealth souborový virus. Přesměruje INT 21h a
zapisuje se na konce COM a EXE souborů, ke kterým je přistupováno. Během
jejich napadání používá virus hromadu programových triků, určených proti
antivirovým technikám. Virus zobrazuje zprávu:
Invisible and silent - circling overland :
\\\ N 8 F A L L ///
Rearranged by Neurobasher - Germany
-MY-WILL-TO-DESTROY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-
Stealth rezidentní boot virus. Napadá boot sektor diskety a MBR pevného disku.
Při infekci 5.25" diskety s dvojitou hustotou ukládá původní boot sektor
na sektor 11. Na disketách (5.25) s vysokou hustotou je originální boot
sektor přesunut na sektor 28. Tím může některé data na disketě poškodit.
Tento virus je paměťově rezidentní, multipartitní, tunelující, stealth a
polymorfní. Virus po své aktivaci nejprve krokuje přerušení 13h až do
segmentu MS-DOSu. Pak se pokusí infikovat tabulku rozdělení pevného disku
(DPT). Pokud se mu to povede, uloží své tělo do posledních 7 sektorů nulté
stopy, původní DPT do osmého sektoru od konce stopy a ukončí svou činnost.
V případě, že se mu infekce pevného disku nezdaří, stane se okamžitě
rezidentním a napadá soubory typu COM i EXE delší než 1000 bytů. Soubory
napadá při jejich spuštění, otevření či přejmenování, a to jak na pevném
disku tak i na disketách nebo síťových discích. Virus testuje jména souborů
a nenapadá soubory SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV a CHKDSK.
Po zavedení systému z napadeného pevného disku si virus vyhradí poslední 4 KB
paměti RAM, instaluje se do vyhrazené paměti a stane se rezidentním. Nyní
napadá soubory pouze na disketách či na síťových discích. Napadené soubory
prodlužuje o 3544 nebo 3577 bytů. Příznakem napadení souboru je určitá závislost
mezi datem a časem vzniku souboru. Autor viru One Half se nejspíše nechal
inspirovat bulharským virem Commander Bomber. Podobně jako v tomto viru,
i zde je dekódovací smyčka rozprostřena v deseti úsecích náhodně rozmístěných
po původním souboru. Jednotlivé úseky jsou navzájem provázány dvěma typy
skoků a jsou doplněny náhodnými jednobytovými instrukcemi. Celá tato
konstrukce dekódovací smyčky má dvojí účel. Jednak jsou napadené soubory bez
dekódovaní virem v paměti nefunkční a běžnými metodami z nich nelze virus odstranit,
jednak nelze tento virus vyhledávat pomocí textového řetězce.
Škody, které může tento virus napáchat, mohou být značné. Po každém zavedení systému
virus zaxoruje poslední dvě stopy každého povrchu pevného disku s náhodným číslem,
které si vygeneruje při instalaci do DPT. Číslo poslední kódované stopy si
uchovává ve svém zavaděči v DPT. Po zakódování poloviny disku se v závislosti na datu
může zobrazit hlášení: „DIS IS ONE HALF ... PRESS ANY KEY TO CONTINUE".
Virus pak pokračuje v kódování. První třetinu disku virus ponechá
nezakódovanou. One Half používá techniky stealth. Pokud je virus v paměti
aktivní, není xorování disku ani prodloužení napadených souboru patrné.
Zdroj: Alwil software - výrobce antiviru AVAST
Nebezpečný rezidentní boot virus. Přesměruje INT 9, 13h a infikuje boot sektor
diskety a MBR pevného disku při bootování z infikované diskety. Pomocí INT 9 (klávesnice)
tento virus přesměruje teplý restart (Ctrl-Alt-Del) a volá INT 19h (restart).
Někdy virus dekóduje a zobrazí zprávu: "PARITY CHECK" a zablokuje počítač.
Rodina virů českého původu. Napadají spouštěné COM a EXE soubory.
Vlastní tělo viru je jednoduchým způsobem zakódováno a dekódovací
smyčka obsahuje proměnné části.
Těsně před koncem viru je nezakódovaný text "XmY?!&", podle kterého
Pojer pozná, že soubor už byl napaden.
17.11. a 6.2. napíše:
** B R A I N 2 v1.40 **
WARNING ! Your PC has been WANKed !
>> 17.11.1989 <<
Viruses against political extremes , for freedom
and parliamentary democracy.
>> STOP LENINISM , STOP KLAUSISM , STOP BLOODY DOGMATIC IDEOLOGY !! <<
Remarks:
- for John McAfee: John,your SCAN = good program.
- for CN and his company:
Boys,the best ANTI-VIRUSES are Zeryk,Saryk and Vorisek !
- for F : Girls are better than computers and programming !
This program is copyright by SB SOFTWARE All rights reserved.
O.K. Your PC is now ready !
Občas bliká v levém horním rohu obrazovky znakem '_'.
Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG
Rezidentní, polymorfní a stealth virus připojující se na konce
COM, EXE souborů při jejich spouštění. Během otevírání nebo vytváření
souboru si virus uloží hlavičku souboru, a infikuje ho až při jeho
zavírání. Během otevírání infikovaného souboru dochází k jeho dezinfekci.
Virus kontroluje názvy souborů a neinfikuje soubory:
ASTA.EXE F-PROT.EXE DEFRAG.EXE NDD.EXE CPAV.EXE MSAV.EXE SCANDISK.EXE
CHKDSK.EXE VSAFE.COM UCOM.COM UEXE.EXE GUARD.EXE GUARD.COM TNTVIRUS.EXE
CLEAN.EXE SCAN.EXE VSHIELD.EXE VSHIELD1.EXE NETSCAN.EXE IBMBIO.COM
IBMDOS.COM CHKAVAST.COM STROJ_F.EXE STROJ_P.EXE STROJ_S.EXE KRNL286.EXE
KRNL386.EXE
17 listopadu a 6 února zobrazí virus zprávu:
** BRAIN2 v2.00beta - upgrade from POJER **
BETA tester, thank you,
.. have a nice day in cyberspace ...
This crazy program is (c) 12/93 by SB
V lichým dnech ledna, listopadu a září přesměruje INT 1Ch a
postará se tak, aby v levém horním rohu blikal znak "_".
Virus taky obsahuje text:
Kernel1.41
Neškodný rezidentní polymorfní, stealth multipartitní virus. Trasuje a přesměruje INT 13h,
21h a zapisuje se do MBR pevného disku a do EXE souborů na disketě s kterými je manipulováno.
Při přístupu k zavirovanému souboru na pevném disku ho virus dezinfikuje.
Během instalace do paměti z pevného disku virus přesměruje INT 12h, 1Ch.
Při "nahrání" DOSu, "usekne" část systémové paměti, přesměruje INT 13h, 21h
a upraví 12h, 1Ch.
Virus je kódován v paměti stejně jako v souboru. Virus vždy dekóduje pouze tu část
svého těla (v paměti), kterou potřebuje.
Pokud je při startu počítače v bufru klávesnice uložena sekvence "kaczor", virus
sám sebe odstraní s MBR a zobrazí:
Zrobione.
Pokud je při startu počítače v bufru klávesnice uložena sekvence "test", virus
zobrazí zprávu:
Wersja..........
Kodowanie.......
Licznik HD......
Na konce řádků pak virus doplní odpovídající údaje.
3.března virus přesměruje INT 8 (časovač) a třese obrazem.
Velmi se mě líbila informace v programu AVG o třesení obrazovky:
...podobného efektu lze docílit konzumací nadměrného množství alkoholu...
Tento boot virus se po své aktivaci instaluje pod hranici 640 KB operační paměti,
zmenší zbývající velikost volné paměti o 2 KB, přesměruje vektor přerušení
13h a otestuje, zda je již napaden pevný disk počítače. Pokud ne, virus
provede zápis svého kódu do tabulky rozdělení disku (DPT). Svou druhou část
uloží do sektoru 8, hlava 0, stopa 0. Originální DPT je umístěna v sektoru
9, hlava 0, stopa 0. Virus pak zavede do paměti originální DPT sektor a
předá mu řízení. Virus sleduje při zápisu či čtení diskety, zda je již
napadena. Pokud není, tak se zapíše do jejího boot sektoru a do předposledního sektoru v
základním adresáři. Do následujícího sektoru uloží původní boot sektor.
Každá operace s nechráněnou disketou tak vede k jejímu napadení a
dalšímu šíření viru. Jack Ripper používá techniky stealth. Pokud je
virus aktivní, monitoruje požadavky na čtení a zápis sektoru. Při pokusu
číst DPT předloží originální DPT, při pokusu o zápis DPT se operace
neprovede. Při čtení sektorů 8 nebo 9 se přečtou samé nuly. Virus v sobě
obsahuje znakový řetězec (C) 1992 Jack Ripper. Tento řetězec je jak na
pevném disku, tak i na disketách kódován. Škodlivá činnost tohoto viru
je velmi zákeřná. Virus při zápisu sektoru prohodí s pravděpodobností
asi 1:1024 dvě náhodně vybraná slova v zapisovaném sektoru. Protože se nejčastěji
zapisují data, může to vést k hromadění nevysvětlitelných chyb.
Virus může být odstraněn standardním systémovým programem „FDISK/MBR" (od verze
MS-DOSu 5.0).
Zdroj: Alwil software - výrobce antiviru AVAST
Neškodný rezidentní boot virus. Přesměruje INT 9, 13h a zapisuje se do MBR pevného
disku a do boot sektoru diskety. Sleduje stisk kláves Ctrl-Alt-Del a
emuluje teplý start počítače, přičemž zůstane rezidentní v paměti. V některých
případech vypouští boot virus "Telefonica.3700" (Kampana.A). 30.11 přesměruje INT 8 a zobrazí
zprávu:
+--------------------------+
| S A M P O |
| "Project X" |
| Copyright (c)1991 by the |
| SAMPO X-Team. All rights |
| reserved. |
| University Of The East |
| Manila |
+--------------------------+
Rezidentní stealth boot virus. Během "natažení" z infikované diskety zapíše svoji kopii do MBR pevného disku.
Pak přesměruje INT 13h a infikuje diskety během jejich čtení. Virus používá metodu Brain při infekci disket.
Virus nic neprovádí (alespoň tato varianta).
Virus obsahuje text:
AMSESLIFVASRORIMESAEP
Boot virus infikující boot sektor disket a MBR pevného disku. Původní MBR ukládá na 0,0,2 (strana, stopa, sektor). Původní boot sektor
disket pak do posledního sektoru hlavního adresáře. Angelina obsahuje následující text, který nikdy nezobrazuje:
Greetings for ANGELINA!!!/by Garfield/Zielona Gora
Stealth varinta boot viru Stoned. Stejně jako Stoned infikuje boot sektor diskety a MBR pevného disku.
Původní MBR při infekci odkládá na 0,0,7 (strana,cylindr,sektor). Na disketách DD 5.25" odkládá boot sektor
na sektor 11. Na HD 5.25" disketách pak na sektor 17. V obou přídech se jedná o sektory hlavního adresáře,
takže můžou být zníčeny nějaké soubory.
Jednoduchý virus napadající boot sektor disket a MBR pevného disku. Neobsahuje žádnou
destrukční akci. Pokud je aktivní v paměti, hlídá přístupy do boot sektoru a MBR a případné pažadavky
na čtení či zápis přesměruje na původní neinfikovaný sektor.
Za zmínku stojí způsob, jakým si ukládá obsah původního boot sektoru na disketě. Místo využití některého
ze stávajících sektorů, jak je běžné u většiny boot virů, si Spirit na napadené disketě naformátuje na úplném
konci jednu nadbytečnou stopu (u typické diskety 1.44 MB to je 81.stopa), do které uloží původní data boot sektoru.
V těle viru lze nalézt text:
SPIRIT (c) MW
Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG
Rezidentní souborový virus. Přesměruje INT 21h a zapisuje se na konce
EXE souborů, které jsou spouštěny.
Virus obsahuje text:
[Whisper presenterar Tai-Pan]
Rezidentní stealth polymorfní a multipartitní virus. Virus infikuje MBR pevného disku,
když je spuštěn infikovaný soubor. Během infekce uloží originální MBR na poslední sektor
disku C: a zmenší velikost disku v Partition Table, tak aby zakryl původní MBR.
Virus se stává pamětově rezidentním jen při bootování s infikovaného disku. Přesměruje INT 13h,
1Ch, 21h a zapisuje se na konce EXE souborů, které jsou spouštěny nebo zavírány.
V závislosti na vnitřním počítadle virus zobrazí pěkný barevný obrázek a zprávu:
Po spuštění virus zobrazí:
Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.
Loving thoughts to L.I.N.D.A
BEER and TEQUILA forever !
Je parazitický, rezidentný COM a EXE infektor. K napádaniu súborov dochádza pri ich spustení,
premenovávaní a otváraní. Vírus napáda súbory typu COM kratšie ako 57 KB a súbory typu EXE
kratšie ako 384 KB. Ak začiatok názvu súboru obsahuje jeden z reťazcov ic, no, we, tb, av,
f-, sc, co, wi a kr, k nákaze takéhoto súboru nedôjde. Nakazené súbory sú označené nastavením
sekúnd v čase vzniku súboru na hodnotu 8. Vo víruse sa nachádza text, ktorý sa za určitých
okolností objaví aj v pamäti.
TMC 1.0 by Ender from Slovakia Welcome to the Tiny Mutation Compiler! Dis is level 42.
Greetings to virus makers: Dark Avenger, Vyvojar, Hell Angel
Personal greetings: K. K., Dark Punisher
Vírus TMC je veľmi zaujímavý z technického hľadiska. V napadnutom súbore sa nenachádza
samotné telo vírusu v klasickom zmysle, ale len kompilátor, spolu so zdrojovým pseudokódom
vírusu. Pri spustení napadnutého súboru kompilátor zostaví do pamäte novú, zakaždým odlišnú
kópiu vírusu. Vírus TMC nie je možné zachytiť bežnými vzorkami. Navyše, kompilátor
neobsahuje žiadne podozrivé inštrukcie a nie je preto pre heuristiku podozrivý. Statický
zdrojový pseudokód vírusu je v napadnutom súbore zakódovaný a odkódováva sa priebežne pri
kompilácii. Po použití sa opäť zakóduje, ale iným kľúčom. Pri kompilácií sa medzi
jednotlivé inštrukcie môžu, ale nemusia vkladať skoky. Pretože dĺžka skoku nie je vopred
známa, musí sa vyhradiť pre každý skok viac miesta, ako je potrebné. Dôsledkom je pomerne
častý výskyt troch inštrukcií NOP nasledujúcich po sebe. Vírus obsahuje aj rafinovanú pascu,
ktorá má za cieľ sťažiť jeho odstránenie. V závislosti od generácie sa menia aj vlastnosti
skompilovaného vírusu v pamäti.ĺ Autor vírusu je zrejme fanúšik sci-fi literatúry. Ender je
hrdina z knihy "Enderova hra" od O. S. Carda. Texty "Welcome to the Tiny Mutation Compiler!"
a "Diz is level 42" môžu byť parafrázou na texty vo víruse EMM:Level_3.
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Je modifikáciou vírusu TMC:Level_42. Odlišuje sa od neho tým, že medzi infikovaním dvoch
vhodných programov musia uplynúť najmenej 3 minúty a je doplnený o trik, ktorý má sťažiť
odstránenie vírusu z napadnutého súboru. Texty vo víruse sú zmenené nasledovne :
TMC 1.0 by Ender
Welcome to the Tiny Mutation Compiler!
Dis is level 6*9.
Greetings to virus makers: Dark Avenger, Vyvojar, SVL, Hell Angel
Personal greetings: K. K., Dark Punisher
Zdroj: Eset s.r.o. - výrobce antiviru NOD
Tremor je polymorfní virus, který napadá programy typu COM (o délce 8192 až 55039 bytů)
a EXE (o délce 8192 až 1048576 bytů) a je paměťově rezidentní. Při
spuštění napadeného programu se virus nejprve dekóduje, a pak testuje
aktuální datum. Pokud od data napadení dosud neuplynuly alespoň 3 měsíce,
případně je soubor v jiném adresáři než byl napaden, virus modifikuje
vlastní kód a neprojevuje se žádnými zvukovými ani obrazovými efekty.
Dále virus testuje svou přítomnost v operační paměti pomocí přerušení 21h
funkce 0F1E9h. Pokud je virus již v paměti aktivní, nebo je verze MS-DOSu
menší než 3.30 je řízení předáno napadenému programu. V případě, že virus
dosud v paměti není, instaluje se do paměti XMS nebo do UMB. Pokud
se nepovede ani jedna z těchto variant, instaluje se na vrchol základní
operační paměti. Přitom si v paměti alokuje 4288 bytů. Virus pomocí
přerušení 01h testuje jednak možnou přítomnost debuggerů, jednak si zjistí
adresu přerušení 21h, kterou pak používá k přímému volání jádra systému.
Adresy přerušení 21h a 15h přesměruje do nepoužité oblasti MCB hostitelského
programu a odtud pak skáče přímo do své rezidentní části. Infikuje program
specifikovaný proměnnou „COMSPEC", nejčastěji COMMAND.COM a spustí původní
program. Tremor používá techniky stealth. Pokud je virus aktivní,
monitoruje činnost systému a informace, které by mohli vésti k jeho
odhalení, předává systému ve zkreslené formě. Například při dotazu na délku
souboru předá původní délku napadených souborů atd. Při spuštění programu,
virus testuje, zda jméno souboru nezačíná „CH",„ME", „MI", „F2", „F-", „SY", „SI" a „PM".
Pokud ano, provede změny v alokaci paměti, takže například program CHKDSK
vrací jakoby správné hodnoty velikosti volné paměti. Virus nenapadá
programy začínající znaky „SC", „CL" nebo „HB". Virus také testuje, zda
druhý a třetí znak jména programu je „RJ". V takovém případě začne dávat
systému pravdivé informace o souborech. Znamená to, že archivy ARJ budou
obsahovat virus, kdežto například v ZIPech virus nebude. Podobně kopie
zdravého i napadeného souboru vytvořené pomocí systémového COPY virus
neobsahují, zatímco obě kopie udělané pomocí Nortona jsou infikovány.
Zjistí-li virus přítomnost antivirového programu FLU-SHOT+, soubor nenapadne
a přestane se jakkoliv projevovat. Tremor také testuje přítomnost
antivirového programu VSAFE z MS-DOSu 6.00. Pomocí speciálních funkcí
přerušení 13h umí virus uvést VSAFE do neaktivního stavu a po napadení
souboru zase zaktivovat.
Virus otevře soubor a přečte si posledních dvacet bytů. Vcelku jednoduše
je dekóduje a pokud obsahují slovo „DEAD" a datum souboru je zvětšené o
100 let předpokládá, že je soubor již napaden. V opačném případě virus
přihraje svou zakódovanou kopii na konec napadeného programu, přesměruje
počáteční skok nebo změní hodnotu v hlavičce EXE souboru a spustí původní
program. Napadené soubory prodlužuje o 4000 bytů, datum napadených souboru
zvětšuje o 100 let. Při volání přerušení 15h vypisuje uvedenou zprávu.
Při volání přerušení 21h posouvá celou obrazovku doleva a doprava o jeden znak.
-=> T·R·E·M·O·R was done by NEUROBASHER / May-June'92, Germany <=-
-MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
Virus může být odstraněn buď zrušením napadených souborů a jejich
nahrazením z originálních disket, nebo pomocí programu pro testování
integrity souborů (pokud jej ovšem pravidelně používáte).
Zdroj: Alwil software - výrobce antiviru AVAST
Tento boot virus se podle své manipulační rutiny nazývá V-Sign a má několik
zajímavých vlastností. Virus zabírá dva sektory na disku a neuchovává
původní sektor. Do něho totiž zapisuje jen svůj vlastní krátký inicializační
program, který po aktivaci přepíše v paměti původním obsahem. Navíc virus
obsahuje (jako jeden z mála boot virů) lehce polymorfní rysy. Cyklicky
totiž přehazuje některé instrukce loaderu tak, že mají pokaždé jiné pořadí.
Při zavedení systému z infikovaného média loader viru nejprve načte dva
sektory s tělem viru do paměti, alokuje si 2 KB paměti těsně pod hranicí
640 KB a zkopíruje se do ní. Modifikuje vektor přerušení 13h (práce s
diskem), obnoví původní obsah zaváděcího sektoru a předá mu řízení.
Virus pak monitoruje přerušení 13h a při operacích čtení a zápis je schopen
se šířit. Pokud je na pevném disku čten libovolný sektor na stopě 0, hlavě
0, je při následující operaci testována přítomnost viru na disku. U disket
virus testuje první byte tabulky FAT a podle něj rozpoznává typ diskety,
což potřebuje pro určení pozice, na kterou uloží sám sebe. Virus V-Sign má
ještě jednu pozoruhodnou vlastnost. Při své instalaci do paměti totiž
testuje přítomnost boot viru Stoned v paměti a dokáže si z něho vzít původní
hodnotu přerušení 13h a přepsat jej v paměti. Navíc, pokud zjistí, že daný
disk je jím samým již napaden, zkouší napadnout i sektor, do kterého virus
Stoned ukládá původní zaváděcí sektor. Je tak možné, že odstraněním viru
Stoned některými antivirovými programy dojde k následné reinfekci virem
V-Sign. V oblasti virů sice odstranění jednoho viru druhým není novinkou,
ale metoda viru V-Sign je dost unikátní. Manipulační rutina viru spočívá v
tom, že na obrazovce je vypsáno veliké písmeno V, složené ze semigrafických
znaků. Výpis je zpožďován, takže se celý obrázek objevuje postupně. Poté
je program zacyklen tak, že nemůže pokračovat a je nutno znovu počítač spustit.
Manipulační rutina nastane velmi zřídka, a sice pouze tehdy, je-li úspěšně
napadeno 64 disket. Protože je však čítač vynulován při každé instalaci viru
do paměti, musí se jednat o napadení v rámci jednoho sezení, což asi nebude
příliš obvyklé. Podobná situace snad může nastat pouze při velkoobjemovém
formátování či při zálohování velkých disků na diskety.
Zdroj: Alwil software - výrobce antiviru AVAST
Rezidentní boot virus. Přesměruje INT 13h a infikuje MBR pevného disku a boot sektor diskety.
Virus obsahuje text:
Welcome to BUPT 9146,Beijing!