Энциклопедия компьютерных вирусов
         

Uruguay, семейство


Резидентные неопасные полиморфик

-вирусы. Перехватывают INT 21h и поражают COM- и EXE-файлы (кроме COMMAND.COM) при их запуске или открытии. Переводят EXE-файлы в COM-формат (см. "VACSINA"

). Внедряются в середину файлов или приписываются в их конец в зависимости от длины поражаемого файла. Длина файлов при заражении увеличивается до значений, кратных 13h ("Uruguay.2379") или 17h (остальные "Uruguay"), "Uruguay.4268" увеличивает длину файлов на 4269 байт. При инсталляции вирусы трассируют INT 13h, 21h. Некоторые из вирусов "Uruguay" заменяют 5 байт DOS'овского обработчика INT 21h на команду JMP FAR VIRUS и перехватывают INT 2Ah. "Uruguay.4268" перехватывает INT 9 (клавиатура) и при нажатии Alt-Ctrl-Del (теплая перезагрузка) манипулирует с векторами прерываний и оперативной памятью таким образом, чтобы остаться резидентным и после перезагрузки: он трассирует и устанавливает в исходные BIOS'овские значения "железные" прерывания 8, 9, 10h, 13h, 15h, 16h, 1Ah и 1Ch, блокирует драйвер HIMEM.SYS, уменьшает размер памяти DOS (слово по адресу 0000:0413), копирует себя на освободившееся место, перехватывает INT 8, 9 и вызывает INT 19h (загрузчик системы). Загрузчик считывает файлы DOS, а вирус контролирует это и устанавливает на себя в нужный момент прерывания 21h и 2Ah. Таким образом он остается резидентным в памяти после "теплой" перезагрузки. Вирусы семейства "Uruguay" проявляются писком внутреннего спикера компьютера и выводят сообщения:

"Uruguay.2313":

I love ROXETTE !!!

Virus 'Uruguay-#2' Programmed in Montevideo (URUGUAY) by F3161. 04/92. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.2379":

The BEATLEMANIA is alive! THE BEATLES, for ever, the best. John, Paul, George and Ringo, ladies and gentlemen, here they are! PLEASE, PLEASE ME. WITH THE BEATLES. A HARD DAY'S NIGHT. BEATLES FOR SALE. HELP. RUBBER SOUL. REVOLVER. SGT.PEEPERS LONELY HEARTS CLUB BAND.
THE BEATLES. YELLOW SUBMARINE. ABBEY ROAD. LET IT BE. MAGICAL MISTERY TOUR. Other LP and singles available...

Virus 'Uruguay-#1' Programmed in Montevideo (URUGUAY) by F3161. 03/92. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.2456":

'Uruguay-#3' Virus Programmed in Montevideo (URUGUAY) by F3161. 06/92. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.2623":

'Uruguay-#4' Virus Programmed in Montevideo (URUGUAY) by F3161. 07/92. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.4268":



'Uruguay-#5' Virus Programmed in Montevideo (URUGUAY) by F3161. 08/92. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.4879":

'Uruguay-#6' Virus Programmed in Montevideo (URUGUAY) by F3161. 11/92. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.4906":

Uruguay-#9 Virus Programmed in Montevideo (URUGUAY). 12/93. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.6344":

Uruguay-#7 installed (seg=9CF8) Uruguay-#7 Virus Programmed in Montevideo (URUGUAY). 02/93. This is a research virus - DO NOT DISTRIBUTE.

"Uruguay.6396":

Uruguay-#10 Virus Programmed in Montevideo (URUGUAY). 05/94. This is a research virus - DO NOT DISTRIBUTE.

Все эти вирусы содержат также строку "COMMAND.COM.EXE".

Демонстрации вирусных эффектов:



uruguay.com

Содержание раздела