Энциклопедия компьютерных вирусов
Проявления
Вирус проявляется несколькими способами. Во-первых, при вызовах INT 21h проверяет дополнительные функции: 1) FFh, FLU-SHOT (антивирусный монитор), вирусы "Jerusalem.Sunday", "Tumen", "Hero" - installation check 2) ABCDh, вирус "PME.Burglar" - installation check 3) 4B53h, вирусы "Horse" и "OneHalf" - installation check 4) CCCCh, ??? 5) DEADh, несколько различных вирусов, installation check Если обнаружен любой из этих вызовов, вирус пищит спикером компьютера и выводит сообщение:
!!! ALARM WARNING DANGER APPROACHING !!! Hacker-fucker TSR shit or Any Virus Detected !!! !!! ALARM WARNING DANGER APPROACHING !!! Hacker-fucker TSR shit or Any Virus Detected !!! Anyone who wants to fuck Revenge is Naivnij Man With best wishes & thanks to DialogScn Emulation engine will have problems with this ZHOM In future versions we will add : 1. Protected Mode Decryptor [VMME] 2. Adinf table Hacker-cracker 3. Destroy Files/Disks/CMOS/Printer/CDROM 4. Disk encryption and other BUGs,GLUKs & SHITs ! Dis is only BEGIN... Win95 & her lamers must die! Searching... SEEK & DESTROY There can be only one ...
При заражении файлов в зависимости от своего счетчика вирус выводит сообщение, ждет ESC, стирает случайный сектор диска C: и завешивает компьютер. Сообщение выглядит так:
T H I S I S
#@@ @@@@@ #@@ #@@@####@@ #@@@@@ #@@ #@@ #@@@@@ #@@ @@@@ @@@@ @@ #@@@@@ #@@@ #@@#@@###@@ #@@ #@@ #@@###@@ #@@@###@@#@@###@@@ #@@###@@ #@@@ #@@ #@@ #@@ #@ #@@ #@@ #@@ #@@ #@@#@@ #@@ #@@ #@@ #@@@@@@@ #@@@@@@@ #@@ #@@ #@@@@@@@ #@@ #@@ #@@@@@@@#@@@@@@@ #@@@ #@@ #@@@### #@@ #@ #@@@### #@@ #@@ ##@@@@@#@@@### #@@ #@@ #@@ @ #@@#@ #@@ @ #@@ #@@ ####@ #@@ @ #@@ #@@ #@@@@@ #@@ #@@@@@ #@@ #@@ @ #@@ #@@@@@ #@@@ #@@ #### ## #### ## ## @@ #@@ #### #@@ #@@ #@@@@@@ ### #@@ ##### #@@
O F S T A I N L E S S S T E E L R A T
При трассировке кода INT 21h вирус портит поле контрольной суммы в CMOS, завешивает систему и выводит текст:
И долго он INT`ы трассировал...
Теперь я грустный терминал !
Проверяет имена файлов и не заражает:
DR*.* (DRWEB) AI*.* (AIDSTEST) AD*.* (ADINF) CO*.* (COMMAND.COM) HI*.* (HIEW) AV*.* (AVP) WI*.* (WIN) KE*.* (KEY* ?) US*.* ? GD*.* ?
При запуске файлов "?ID*.*" (AIDSTEST) завешивает компьютер и выводит:
А не пора ли г-ну Лозинскому на пенсию !
При DOS-вызовах FindFirst/Next уничтожает файлы с расширениями:
PAR PIF ICO WEB %%% PAS BAS AVB FRQ
и возвращает вместо имени уничтоженного файла строку "Шит !". Содержит также много строк, расположенных в коде вируса в соответствии с подпрограммами. Так, в начале вируса присутствует строка:
Hi Hacker! Welcome to Hell
в процедуре заражения памяти:
Move over, I said move over Hey, hey, hey, clear the way There's no escape from my authority - I tell you -
в процедуре заражения файлов:
Gimme the prize, just gimme the prize
при записи кода вируса в файлы:
Save me,save me
при обработке EXE-файлов:
Don't lose your header
процедура подмены длины файлов при вызовах FindFirst/Next заканчивается строкой:
I'm the invisible man
при заражении файлов:
Now you DiE !
при обработке PKLLITE-файлов:
Crazy Little Thing Called PkLite
Вирус также содержит строки:
Give me your WEBs, let me squeeze them in my hands, Your puny scaners, Your so-called heuristics analyzers, I'll eat them whole before I'm done, The battle's fought and the game is won, I am the one the only one, I am the god of kingdom come, - THERE CAN BE ONLY ONE - I'M GOING SLIGHTLY MAD Just very slightly mad ! All dead... THIS IS OF STAINLESS STEEL RAT Revenge virus v 1.02 released at 22.04.96 Copyright (c) 1996-97 2 Rats Techno Soft Written by Stainless Steel Rat StealthedMetamorphicCrazyForcedSynthesatedRandom MegaLayerEncryptionProgressionMutationEngineGenerator Я мстю ,и мстя моя ужасна... S.S.R. BUGS INSIDE <tm>
Полиморфик-генераторы содержат тексты:
RandomEncryptionSynthezator 0 S.S.R. 1996-97
THE STAINLESS STEEL RAT MUTATION ENGINE v 1.21 beta #@%(c) S.S.R. 1996-97%@#
Metamorphic Mutation Engine v 2.00 (C) Stainless Steel Rat 1996-97 It's C00LEST Engine
Демонстрации вирусных эффектов:
|
ssr18xxx.com |
