Энциклопедия компьютерных вирусов
Pcbb, семейство
Опасные резидентные зашифрованные (кроме "Pcbb.1141") вирусы. Перехватывают INT 9, 1Ch, 21h и записываются в конец COM-файлов при обращениях к ним. Могут поражать также файлы данных - это ошибка в алгоритме вируса. В конце зараженных файлов можно обнаружить строку "PCBB". Перехватывают прерывание клавиатуры и после нескольких нажатий меняют палитру EGA. Содержат внутри себя зашифрованные тексты:
"Pcbb.1141": Pc Byte-Bandit (c) VaXiNe '92 "Pcbb.1656": Pc Byte-Bandit (c) NoViA 1992 "Pcbb.1658": Pc Byte-Bandit (c) Demoralized Youth 1992 "Pcbb.1658.b": Pc Byte Bandit ver5 "Pcbb.1701": <> Demoralized Youth <> PCBB, version 3.0 Written by <: Charlie! :> "Pcbb.1800": Patrick Koehrs R.B R.B. Pc Byte Bandit, version 0.70
"Pcbb.1656,1658" записывают код поверх Windows EXE-файлов: участок DOS-программы заменяется небольшой программой, которая удаляет файл-носитель вируса при старте; часть Windows заменяется текстом:
This is thy present world, said the Flame to the Spark. Thou art myself, my image, and my shadow. I have clothed myself in thee, and thou art my vehicle to the day, "Be with us," when thou shalt re-become myself and others, thyself and me.
"Pcbb.1658.b,1701,1800" содержат в себе семь вариантов расшифровщика. В зависимости от дня недели эти вирусы выбирают один из них, записывают его в файл, затем шифруют и записывают в файл свое тело. "Pcbb.2277" неопасен. Перехватывает INT 9, 1Ch, 21h. Проявляется какими-то видеоэффектами. Содержит текст "5FI5SH5&W5HA5LE". При заражении файлов дописывает к ним случайное число команд NOP, затем расшифровщик и зашифрованное тело вируса. Расшифровщик выбирается из 7 различных вариантов. "Pcbb.3072.*" являются вариантом "Pcbb.2277", содержат строки:
When you are demoralized.... there is NO way out! 5FI5SH5&W5HA5 PCBB
Также содержат строки:
"Pcbb.3072.a": PCBB v11 (c) Hannibal Lechter of Demoralized Youth Norway. "Pcbb.3072.b": Pc Byte Bandit, version 0.71 "Pcbb.3072.e": PCBB v11 (c) -*DRE/\MER*- of Demoralized Youth
