Очень опасные файлово-загрузочные резидентные полиморфик-зверьки, перехватывают INT 13h, 21h и записываются в MBR винчестера, boot-сектора дискет и конец COM- и EXE-файлов при обращении к ним. Не поражают файлы, если они открываются утилитами PKZIP/PKUNZIP, LHA и ARJ. В зависимости от своих внутренних счетчиков форматируют сектора дисков. Содержат строку "BACK MODEM" и следующие строки:

"Natas.4744,4746": Natas
"Natas.4766": Keep my flesh free from sin
"Natas.4774": Time has come to pay (c)1994 NEVER-1
"Natas.4786": Time has come to pay (c)1994 NEVER-1 SANDRINE B.
"Natas.4988":


Yes I know my enemies
They're the teatchers who taught me to fight me
Compromise, conformity, assimilation, submission
Ignorance, hypocrisy, brutality, the elite
All of whitch are American dreams
(c) 1994 by Never-1(Belgium Most Hated)
Sandrine B.
Th0rN

ps.НИКАКОГО ВРЕДОНОСНОГО ВОЗДЕЙСТВИЯ НЕ ПРЕДУСМОТРЕННО
наверно =))

еще один файловый зверь, описалово отсутствует =(
Th0rN

ps.НИКАКОГО ВРЕДОНОСНОГО ВОЗДЕЙСТВИЯ НЕ ПРЕДУСМОТРЕННО
наверно =))

вы когда нибудь сталкивались с проблемой избыточного веса?
а избыточного места на винте? а избыточного места на винте "друга"?
тогда этот зверек для вас...
штукень просто напросто забивает пространство от 15 до 30 гигобайт текстовыми файлами с немыслимым содержанием словестного поноса =)
программа писалась для "очень хорошего друга" который хвалился что у него на винте очень много свободного места... было... =)



ps.НИКАКОГО ВРЕДОНОСНОГО ВОЗДЕЙСТВИЯ НЕ ПРЕДУСМОТРЕННО
наверно =))
Th0rN

софтюлина тут завалялась, переводит екзешник в VBScript
опосля этого антивирь сосет =)
правда у меня на win2k не пашет =(
Th0rN

а помните такого зверька markiz

Использует довольно необычный способ заражения файлов: шифрует и записывает свой код в конец файла, затем записывает код своего расшифровщика и команду перехода на тело вируса (JMP) в середину файла по адресу, с которого идет первый вызов INT 21h при запуске файла на выполнение. При этом начало файла не изменяется (за исключением полей "длина модуля" в заголовке EXE).

[показать]

Для реализации этого метода вирус перехватывает все функции INT 21h. При вызове DOS-функции Execute (AX=4B00h) перехватывает запуск файла, переходит в режим заражения и отдает управление DOS, которая загружает файл в память и запускает его. При работе практически все программы вызывают различные функции INT 21h. Вирус ловит первое из этих событий, определяет адрес, откуда идет вызов INT 21h, по данному адресу высчитывает смещение команды вызова INT 21h в файле и записывает по этому смещению код расшифровщика и JMP на свое тело. Перед тем как записать свой расшифровщик в середину файла, вирус сравнивает код файла по этому адресу с соответствующим кодом в памяти. Если они различны (файл упакован или код содержит настраиваемый адрес в EXE-файле), то вирус не заражает файл. Однако, несмотря на эти меры, вирус может испортить файлы при заражении. Для того чтобы перехватить момент выхода программы в DOS и выйти из "режима заражения", вирус также перехватывает INT 20h, 27h (это необходимо в тех случаях, когда файл ни разу не вызывает функций INT 21h).

НИКАКОГО ВРЕДОНОСНОГО ВОЗДЕЙСТВИЯ НЕ ПРЕДУСМОТРЕННО
наверно =))

Файл MYXA.exe заражен вирусом HLLP.MYXA_7639 (CE)
Поражает файлы com и exe в текущем каталоге и выше, кроме корневого
Уничтожает таблицы ADINF.
Инфицирует следующим образом:
записывает себя перед кодом жертвы а в конце файла добавляет @@@@
Вирус пожат exe упаковщиком LZEXE строка в паковщике заменена на слово myxa
При совпадении месяца дня и дня недели (первого января в понедельник, второго февраля во вторник и т.д.), а так же иногда после запуска инфицированных программ будет проявлятся видеоэффектом (c) LD и выводить строчку
Error free
НИКАКОГО ВРЕДОНОСНОГО ВОЗДЕЙСТВИЯ НЕ ПРЕДУСМОТРЕННО

покувыркаемся?