Опасность:никакая
Тип:нерезидентный bat вирус.
http://www.victoryag.org/shared_interest.htm
После старта ищет bat файл в папке,которой находится,а также в корневом каталоге,в папке Windows и в папке DOS.
Выполняется также двояко :как бат и как com файл.Захватывается прерывание int 21.h |
|
Опасность:низкая
Тип:резидентный
Вирус может работать в двух форматах:BAT и COM.При запуске бат расширения он создает свою копию b.com.
Процессор распознает ее как:
INC register http://www.normanmotorsinc.com/parts.htm
DEC register
OR register,immediate
AND register,register
Этот код никак не изменяет ход работы процессора.Вирус не проверяет своего наличия в памяти в оперативной памяти и остается резидентым столько раз,сколько выполняется bat. |
Опасность:никакая
Тип:неризедентный полиморфик
http://www.finewindsorchairs.com
Ищутся bat файлы и они заражаются,используя архиватор ARJ.Файл имеет две составные части:в первой области dos команд и во второй основной код вируса.
Архив зашифрован случайным паролем. |
Опасность:низкая
Тип:резидентный стелс полиморфик.
Пишется в окончание экзешного файла и в MBR жесткого диска после запуска.Постепенно при помощи таблицы диска визуально уменьшают объем жесткого диска.При работе вируса перехватыаются расширения int 13ch,1 ch ,21 h. http://www.sjcreations.com/painting.html
На экран выводится цветная фрактальная картина с фразой:
«Execute:mov ax,FE03/INT21.Key to go on!» |
Опасность:очень высокая.
Тип:резидентны файлово-загрузочный полиморфик. http://www.davescom.com
Код расшифровщика раскидан по всему телу.Заражению подлежит MBR жесткого диска,потом происходит захват прерываний int13h,1ch,21h.После этого происходит считывание таблицы разбиения диска,в котором вирус ищет последний логический диск.Считывается номер первого и последнего цилиндра винта,запоминая при этом расположение цилиндров. |
Опасность: низкая
Тип: полиморфный резидентный
После запуска перехватываются int 1ch и int 21h.
Ведется поиск .exe , .com .
Вирус шифруется двумя алгоритмами.Алгоритмы сложные.
Первый алгоритм шифруется с расшифровщиком.При прямом заражении используется второй алгоритм.Места с постоянным кодом сжимаются,мешаются и переставляются.На пустое место внедряется сам вирус.Длина файла,как не странно ,при этом не меняется.Вирус может атаковать один и тот же файл много раз.
То есть,код программы постоянно будет “мутировать”.Приятным музыкальным сопровождением разработчики вируса посчитали треск во внутреннем динамике,сопровождающий работу вируса … |
Опасность:средняя
Тип:нерезидентный
Объектами преследования становятся опять таки .com и .exe.Вирус не шифруется,но занимается самосмешиванием своего кода.Практически невозможно встретиьт одинаковые зараженные копии.
Вирус основан на машинном языке Assembler.В код вируса входит три блока размером до трех байт.
При мешании кода обычно безвозвратно теряется сам файл. |
Опасность: низкая
Тип: резидентный
Вылавливается INT21 и внедряется в начало исполняемых файлов.Код вируса разбит на девять частей.Когда идет установка,только одна часть кода остается на месте.Остальные перемешиваются самым произвольным образом. То есть каждый заряженный файл будет содержать «уникальный» вирусный код. |
Опасность: средняя
Тип: нерезидентный червь
При заражении начинает лазать по корневому каталогу и искать архивы,упакованные ARJ.Если поиск успешен,вирус делает новый темп-файл с расширением .com и с сгенерированным именем.Длина имени равняется четырем байтам.Вирус и сам «не забывает» записываться в этот временный файл.
Дальше с помощью командного процессора и запущенного архиватора темп-файл записывается в архив с файлами. |
Crunching это метод упаковывания файлов.Копирует в оперативную память свою постоянную часть,захватывает прерывание int 21h.Ну и дальше вставляет себя в каждый исполняемый файл.
Изюминка вируса-он работает как архиватор(!).Размер зараженного файла может существенно сократиться. Работа вируса основана на работе популярного когда-то Diet 1.10.Причем обнаруживается совместимость этого архиватора с вирусом Dos.Cruncher.
Таким образом реальный файл подменяется сжатым и вирусованным образом.При запуске файла ничего страшного не происходит: просто образ файла извлекается вместе с вирусом. Последний потом перескакивает в оперативную память и продолжает свое существование. |
Опасность:высокая
Тип:компаньон-вирус
Весь вирус состоит из одного файла размером 622 байт.Название carbuncl.com.Имя вируса сохраняется в течении всего времени существования и размножения.При размножении создается лишь копия этого файла с таким же именем.В этом же каталоге ведется поиск exe-шных файлов,затем у них возникает компаньон с расширением .crp.
Этого явно не достаточно:для каждого файла вирус делает такие же файлы с расширением .bat.В этой же программе с расширением .bat присутствует шесть строк кода.
Результаты вируса протекают следующим образом:
1.При запуске .exe выполняется .bat
2..crp получает расширение .exe
3.Исполняется .exe ,который обратно переименовывается в .crp
Хитрая игра с расширениями,ничего не скажешь… |
|
|
|
|
|
|
Page 1 of 2 |