Опасные нерезидентные полиморфные Window-вирусы длиной более 10Kb. Заражают PE EXE-файлы Windows. При заражении увеличивают размер последней секции файла, шифруют и записывают туда свой код, затем изменяют необходимые полля в PE-заголовке. Содержат летальные ошибки и в большинстве случаев портят файлы при заражении, т.е. размножаются только из своего "первого поколения" (дроппера).
При размножении вирусы первым делом заражают файлы CDPLAYER.EXE, CALC.EXE, PBRUSH.EXE, MPLAYER.EXE, NOTEPAD.EXE, WINHLP32.EXE в каталоге Windows, затем ищут и заражают PE EXE-файлы во всех каталогах всех дисков.
Каждый раз при запуске вирусы заражают файлы только на одном диске, а следующий диск заражается при очередном запуске инфицироваанного файла. Для реализации этого метода вирусы набирают информацию о всех дисках в системе, шифруют ее и записывают в системный реестр в ключе:
HKEY_CURRENT_USER\Control Panel\Cursors: [имя ключа] = [информация о дисках]
При очередном запуске вирус считывает из этого ключа реестра информацию о незараженных дисках, заражает очередной диск и обновляет информацию в ключе. Разные версии вируса имеют различные имена ключей:
"Hatred.a": dertaH "Hatred.b": YKCUL
- "Hatred" и "LUCKY", написанные задом наперед.
Вирусы проверяют имена файлов и не заражают антивирусы: F-*, AW*, AV*, NAV*, PAV*, RAV*, NVC*, FPR*, DSS*, IBM*, INOC*, ANTI*, SCN*, VSAF*, VSWP*, PANDA*, DRWEB*, FSAV* (F-PROT, AVG, AVP, и т.д.)
Вирусы также уничтожают некоторые антивирусные файлы данных:
AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS
По 7-м числам ежемесячно ("Hatred.a") или по 3-м числам ("Hatred.b") вирусы выводят сообщение, а затем случаынйм образом покрывают экран черными точками (размером в один пиксель). Сообщения вирусов:
"Hatred.a"
Win32.Hatred by Lord Julus (c) 1999 Today is the 7th !! Today is the day of hate !! With Heart feel Hatred ! Black blood runs thru my veins ! Hatred !!!! Hatred !!!! (escape is your escape)
"Hatred.b"
Win95/98/Nt This is The Comtech Vir by LUCKY B.R.D 1994-99 Comtech product are bad.....
Вирусы также содержат тексты:
"Hatred.a":
Win32.Hatred V.1.0 (C) 1999 by Lord Julus / [SLAM]
"Hatred.b":
LUCKY B.R.D 1994-99
Полиморфик-генератор в вирусах содержит "копирайты":
Multiple Opcode Fantasies 32Bit V.2.5 by Lord Julus - 1999 JGM - Junk Generator Module V.1.0 by Lord Julus - March 1999
Демонстрации вирусных эффектов:
hatred.exe |