ДиалогНаука

Пресс-центр

Выберите интересующие вас разделы:

Периодичность рассылки:

Формат письма:

Назад к списку новостей

Список вирусов, обнаруженных на компакт-дисках

[30.06.1997]

Компакт-диски, на которых обнаружены вирусы:

Все для работы с модемом 1997 Если y вас есть модем
Все для программиста, disk 3 Дизайн электоронных устройств
3D Studio MAX & SoftImage 3D Best Games For IBM PC 9 (Classic Fond)
Best Games For IBM PC 12 (Classic Fond) Best Games For IBM PC 15 (Classic Fond)
Future Zone 4 Game Mission 11
Game Shock 13 PRO-SOFT 11
SuperBuhgaltery 96 (СуперБухгалтерия 96) Sex games & slide show collection (Sex Games 2)
The Microsoft Solution Provider CD (September) Program Collection vol.8
Program Collection vol.9 New Games 1996, cбopник №2, фeвpaль 1996
Redneck Rampage BBS 3 Избранное

Все для работы с модемом 1997
Файлы Название вируса
\ADF.14\ADF.EXE GranGrave.1150 (Burglar)
\ADF.14\ADFCOMCH.EXE GranGrave.1150 (Burglar)
\ADF.14\ADFDEBUG.EXE GranGrave.1150 (Burglar)
\ADF.14\ADFTERM.EXE GranGrave.1150 (Burglar)
ADVDIAL.1_1\CORE.EXE GranGrave.1150 (Burglar)
\PPE\CRKFED09.EXE GranGrave.1150 (Burglar)
\PPE1\BOOMCOM.EXE GranGrave.1150 (Burglar)
PPE1\BOOMLAB.EXE GranGrave.1150 (Burglar)
\PPE1\DFREE.EXE GranGrave.1150 (Burglar)

Если y вас есть модем
\FIDO\ADFV1~7.43S\ADF.EXE GranGrave.1150 (Burglar)
\FIDO\ADFV1~7.43S\ADFCOMCH.EXE GranGrave.1150 (Burglar)
\FIDO\ADFV1~7.43S\ADFDEBUG.EXE GranGrave.1150 (Burglar)
\FIDO\ADFV1~7.43S\ADFTERM.EXE GranGrave.1150 (Burglar)
\ROBOTICS\X2UPGR~9\WMDIAG.EXE GranGrave.1150 (Burglar)

Все для программиста, disk 3
\AD_WORKS\CLIENT\BONUS\GENERAL\MSOFFICE\AWCWORD.DOC WM.Boom

Дизайн электоронных устройств
\PCAD\PCAD_45\PCINSERT.EXE
\PCAD\PCAD_45\PCNLC.EXE
\\PCAD\PCAD_45\PCNLT.EXE
OneHalf.3544

3D Studio MAX & SoftImage 3D
\SP4\ATTACH.EXE
\SP4\CAPTURE.EXE
\SP4\LOGIN.EXE
\SP4\LOGOUT.EXE
\SP4\MAP.EXE
GranGrave.1150 (Burglar)

Best Games For IBM PC 9 (Classic Fond)
в архиве\TENNIS\TENNIS.ZIP
  • \FAKECD.EXE
TaiPan.438

Best Games For IBM PC 12 (Classic Fond)
в архиве\DEADLINE\DEADLINE.ZIP
  • \VBCONFIG.EXE
  • \SUBSTME\CHOOSE.COM
Major.16??

Best Games For IBM PC 15 (Classic Fond)
в архиве\ARCADE\TWINBLK.ZIP
  • \TWB_TRN.EXE
GranGrave.1150 (Burglar)

Future Zone 4
\TWINBLK\TRN\TWB_TRN.EXE
\???\PKLITE.EXE
GranGrave.1150 (Burglar)

Game Mission 11
в архиве\GAMES\SETTLER2.ZIP
  • \SETTLER2\UNIVBE\CRACK.EXE
  • \SETTLER2\UNIVBE\UNZIP.EXE
GranGrave.1150 (Burglar)

Game Shock 13
\DEICE.EXE
\FAKECD.EXE
GranGrave.1150 (Burglar)
в файле \ARCADE\JUDREDD.ZIP
  • \A.EXE
  • \OLDRM.EXE
  • \RTM.EXE
GranGrave.1150 (Burglar)
в файле \ASART\3DVCRPBA.ZIP
  • \PLAYFLI.EXE
  • \ASART\TILTPBAL.ZIP
  • \CDCOPY.EXE
  • \FAKECD.EXE
  • \RUNCD.EXE
GranGrave.1150 (Burglar)
в файле \CARSIM\NRT.ZIP
  • \DATA\FOXFIX.EXE
GranGrave.1150 (Burglar)
в файле \CARSIM\WRALLY_D.ZIP
  • \LOGO\FADE.EXE
GranGrave.1150 (Burglar)
в файле \CRACK\GW32V30A.ZIP
  • \GWTUTOR.EXE
  • \FIGHTS\CRACK-IT.EXE
  • \DONOTRUN.EXE
GranGrave.1150 (Burglar)
в файле \FLYSIM\ATF.ZIP
  • \ATF.EXE
  • \HYBRID.EXE
GranGrave.1150 (Burglar)
в файле \RPG\ALICE.ZIP
  • \GAINIT.EXE
GranGrave.1150 (Burglar)
в файле \SOFT\PAK_NEW.ZIP
  • \A3_ASHEL.304\CDIR.EXE
  • \ZIPMANAG.404\SETUPZM.EXE
TaiPan.438
в файле \SPORT\UEFA.ZIP
  • \FAKECD.EXE
GranGrave.1150 (Burglar)
в файле \STRATEGY\C&CMISSI.ZIP
  • \MISSION\MENU.EXE
  • \MISSION\CHEATS\CCEDT102\CCEDT.EXE
  • \MISSION\MAPEDIT\CC-SCEN\EXTRACT.EXE
  • \MISSION\MAPEDIT\CC-SCEN\GRABMAP.EXE
  • \MISSION\MAPEDIT\CC-SCEN\MAP-P.EXE
  • \MISSION\MISSIONS\MULTI\BABARIAN\MIXMAN.EXE
  • \MISSION\MISSIONS\SINGLE\GDI\IMPOSSBL\DINOGRAP.EXE
  • \MISSION\MISSIONS\SINGLE\GDI\TBEX-GDI\MAP-P.EXE
  • \MISSION\TOOLS\MIXMAN\MIXMAN.EXE
GranGrave.1150 (Burglar)
в файле \STRATEGY\WACR2SCE.ZIP
  • \MENU.EXE
GranGrave.1150 (Burglar)
в файле \STRATEGY\WSHIPS.ZIP
  • \32RTM.EXE
GranGrave.1150 (Burglar)
в файле \STRATEGY\RISEFALL.ZIP
  • \PKCOMP.EXE
  • \PKDECOMP.EXE
GranGrave.1150 (Burglar)
в файле \SUPER3D\DUKE3D.ZIP
  • \COMMIT.EXE
GranGrave.1150 (Burglar)
в файле \SUPER3D\HERETICN.ZIP
  • \DM.EXE
GranGrave.1150 (Burglar)

PRO-SOFT 11
\NT351.WKS\SP4\ATTACH.EXE
\NT351.WKS\SP4\CAPTURE.EXE
\NT351.WKS\SP4\ENDCAP.EXE
\NT351.WKS\SP4\LOGIN.EXE
\NT351.WKS\SP4\LOGOUT.EXE
\NT351.WKS\SP4\MAP.EXE
GranGrave.1150 (Burglar)

SuperBuhgaltery 96 (СуперБухгалтерия 96)
в файле \ACCOUNT\ZARPLATA.412\ZARPL412.ARJ
  • \ARCHIVE.DAT\PKUNZIP.EXE
CivilDefence.38

Sex games & slide show collection (Sex Games 2)
в файле \SOFT\PAK_NEW.ZIP
  • \A3_ASHEL.304\CDIR.EXE
  • \SETUPZM.EXE
TaiPan.438

The Microsoft Solution Provider CD (September)
\SIA\MKTOOLS\CASE\ED3905A.DOC Word macro Wazzu.A

Program Collection vol.8
\GAMWIZ32\GWTUTOR.EXE GranGrave.1150 (Burglar)

Program Collection vol.9
\FU-VIEW\SETUP.EXE TaiPan.438
\PAINTS\ARJ.EXE GranGrave.1150 (Burglar)

New Games 1996, cбopник N 1, фeвpaль 1996
в файле WC2_NETW\WC2CHEAT.ZIP TaiPan.438
  • WC2CHEAT.EXE
в файле WC2_NETW\WC2NETPC.ZIP NRLG.based
  • NETPATCH.COM

Redneck Rampage
\INSTALL.EXE Major.1644
\_INST.EXE

BBS 3 Избранное
\RAR.EXE Major.1644


Сведения о вирусах, обнаруженных на компакт-дисках

Burglar-1150
Заражает только EXE, резидентный. Не заражает файл, если в его имени есть символы "V" или "S", либо первые два символа имеются в списке "CLHWTBFWCTK". В 14-ю минуту часа выводит на экран "Burglar/H". В начале есть текст "AT THE GRAVE OF GRANDMA...".

TaiPan-438
Заражает только EXE, резидентный. Виден текст "[Whisper presenterar Tai-Pan]".

CivilDefence.38
Очень опасный файлово-загрузочный стелс-вирусы. При старте инфицированного файла, вирус заражает MBR "винчестера", заменив в MBR 28h начальных байт на код вирусного загрузчика. Истинные же байты MBR вирус копирует по смещению 10h в сектор, принадлежащий первому расширенному разделу DOS (Extended DOS Partition), если таковой существует на диске. Если же EDP не существует, то вирусы копируют 28h байт во второй сектор диска. Таблицу логических дисков в расширенном разделе DOS (смещение +1BEh) вирус шифрует. Свое основное тело вирус размещает в 13 секторах сразу же за первым Extended DOS Partition или начиная с 3-го сектора диска. После чего вирус удаляет себя из запущенной программы. Активизация вируса в память происходит после первой же перезагрузки системы с жесткого диска. При загрузке инфицированного MBR, вирус считывает свое тело с диска в память по адресу 4020:0000h и перехватывают прерывания 08 (таймер), 09 (клавиатура), 13h (диск), 17h (принтер). При обращении к сектору EDP через INT 13h вирус расшифровывает таблицу логических дисков в памяти. Далее вирус следит за изменением INT 21h - если оно изменилось, вирус перехватывает его. При запуске любой программы, вирус перемещает свое тело в свободные адреса памяти (f.48h INT 21h). Во время загрузки вирус может переставить вектор INT 26h (запись на диск) на INT 16h (клавиатура) и вывести сообщение:

Fucking MS-DOS version
Pissed off
Kick any key

и ждать нажатия на клавишу, тем самым стирая информацию в случайных секторах диска. Иногда при нажатии на Ctrl-Alt-Del, вирус может вывести на зеленом фоне "философский" текст:

Завтра будет скучно и смешно,
Это не больно - просто вчера был день.
Завтра будет вечно и грешно,
Это не важно - важен лишь цвет травы.

Соль просыпана на ладонь.
Она рассыпана на ладони...
Мышеловка захлопнулась!

Егор Летов, ГРАЖДАНСКАЯ ОБОРОНА

Производит всяческие манипуляции с INT 09, при этом нажатия клавиш могут игнорироваться. При открытии файла (f.3Dh INT 21h) вирус в выполняемой программе по определенному адресу, если слово по этому адресу F19Ah (?), может изменить 5 байт на последовательность NOP'ов (90h). При записи на экран (f.40h BX=1 или BX=2 INT 21h) вирус ищет последовательность выводимых букв "Лoзинский ", и если они найдены, то ищут символ BCh - '-'. Если же и он найден, то вирусы, видимо, предполагая, что запущен популярный антивирус Aidstest, определяют PSP текущей задачи и пытаются определить имя этой программы. Открывают данный программный файл и определяют его дату создания (f.5700h INT 21h). Если файл создан до сентября 1992 года, то вирусы не предпринимают никаких мер. Если же позже - то либо вирусы "вешают" систему, либо выводят на экран сообщение, примерно, следующего вида:

Внимание:
Обнаружен вирус CDV 3.3 (Civil Defence Virus)
Неизлечим. Для устранения используйте утилиту FORMAT.COM

после чего останавливают работу Aidstest и производят выход в DOS.

EXE-файлы вирус заражает только на диске A: или B: при их поиске (f.4Eh,4Fh INT 21h). Файлы меньше 8000 байт не заражаются. Проверку защищенности дискеты от записи вирусы проверяют посредством чтения и записи логического сектора диска INT 25h, INT 26h. При печати на принтер могут выводить нецензурную брань. Содержит текст:

Punk not dead!
Т. лOзинский! Поздравляем вac c уcпeшнoй cmeнoй вAШEЙ фamилии на более латинскую.,
See you later...
Вас Приветствует Civil Defence Virus ( CDV ver 3.8 )

Major.1644
Опасный резидентный вирус. В случайные моменты времени пытается открыть файл \BBSV6\BBSAUDIT.DAT или \BBSV6\BBSUSR.DAT. Вирус ищет в данных файлах строки Puppet, Image, Gnat, Minion, Cindy, F'nor. Если какая-либо строка найдена, то вирус корректирует соответствующую строку BBS-файла. Содержит текст "The Major BBS Virus created by Major tomTugger".

NRLG.based
Данные вирусы сконструированы с помощью вирусного конструктора NRLG (NuKE RANDOMIC LIFE GENERATOR), позволяющего создавать резидентные полиморфные вирусы, заражающие COM-файлы. А также позволяют задавать наличие в вирусах всевозможных текстовых строк, видеоэффектов и деструктивных функций.
OneHalf.3544 (1-7), 3570, 3577, 3666
Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт) инфицированный файл, производят шифрование основного тела вируса, расположенного в конце файла. При первом запуске инфицированного файла, заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела "прячут" в последних секторах 0 цилиндра жесткого диска. При перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K, считывают в "отрезанную" верхнюю область памяти свое продолжение - 7 секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT 1Ch установку DOS'овского INT 21h, и перехватывают его. При каждой перезагрузке системы с жесткого диска последовательно, начиная с последних цилиндров, шифруют все сектора двух цилиндров на каждой головке диска. Когда вирусы находятся в памяти, они контролируют чтение секторов данных цилиндров и расшифровывают их. Если же вирусы будут удалены из MBR и памяти, то восстановление зашифрованных секторов окажется невозможным. При зашифровывании половины диска вирусы выводят на экран фразу:

Dis is one half.
Press any key to continue ...

OneHalf.3544 (3) выводит текст:
Dis is TWO HALF.
Fucks any key to Goping...

OneHalf.3544 (4):
HET - фu3uke u ucTopuu B pacnucaHuu uy7 !

OneHalf.3544 (5):
Disk is Tpu half.
(Bepx, Hu3 u Pe6po)

OneHalf.3544 (6):
Dis is 3 HALF !.
Fucks any key to LoHing...

OneHalf.3544 (7):
A cup of Beer ?.
See you later...

После этого ожидают нажатия на любую клавишу. После чего продолжают свою дальнейшую инсталляцию в память. При попытке трассировки резидентной части вируса, предпринимают некоторые простые, но действенные меры "завешивания" системы. Содержат текстовые строки "Did you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU, GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5) не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright(c) by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст "WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf's author!". OneHalf.3544 (7): "Doyou want to Drink ?".

WorMacro.Boom
В теле вируса содержатся макросы AutoExec, DateiSpeichernUnter ("FileSaveAs") и System. Заражение NORMAL.DOT происходит при вызове FileSaveAs. Макро AutoOpen устанавливает процедуру обработки таймера, которая в свою очередь, в 13:13:13 выполняет макрокоманду System. System изменяет строку основного меню, предполагая, что она написана на немецком языке. В результате имена пунктов образуют строку: Mr. Boombastic and Sir WIXALOT are watching you ! ! ! Т.о., "Datei" ("File") заменяется на "Mr. Boombastic", "Bearbeiten" ("Edit") на "and", а "?" - на последний "!". Замена каждого пункта меню сопровождается небольшой задержкой и системным гудком Windows. После этого вирус выводит фразу:

Mr. Boombastic and Sir WIXALOT : Don`t Panik, all things are
removeable !!! Thanks VIRUSEX !!!

создает новый файл, записывает в него разными шрифтами и с отступами следующий текст:

Greetings from Mr. Boombastic and Sir WIXALOT !!!
Oskar L., wir kriegen dich !!!
Dies ist eine Initiative des Institutes zur Vermeidung und
Verbreitung von Peinlichkeiten, durch in der Цffentlichkeit
stehende Personen, unter der Schirmherrschaft von Rudi S. !

и выводит этот файл на принтер. После этого установки и вид меню сбрасываются в состояние по умолчанию. В теле макроса System содержится ряд закомментированных команд, которые на время вирусных эффектов переименовывает C:\AUTOEXEC.BAT в C:\BOOMBAS.TIC, C:\CONFIG.SYS в C:\SIR_WIXA.LOT и C:\COMMAND.COM в C:\FANTAS.TIC, а перед выводом на принтер возвращают файлам первоначальные имена. Этот код никогда не выполняется.


Если у вас есть проверенные сведения о других зараженных компакт-дисках, пишите нам по адресу webmaster@DialogNauka.ru