Technical Details

BAT.Batalia1

Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.

Также создает и запускает временный COM-файл (для того чтобы иметь доступ к DOS-функциям INT 21h).

Содержит строки:

«BATalia v 1.0» Written by Int O`Dream at 04.11.95
(Original algoritm)

BAT.Batalia2

Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.

Содержит строки:

BATalia2

BAT.Batalia3

Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.

Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS:

@echo off
rem YYY
arj x %0 -gооbеpс >nul
ren p Int
call i
ren Int a.bat
echo on
@call a
@echo off
del i.bat
del a.bat
del BATalia3

Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительные файлы:

P, BATALIA3

BATALIA3 содержит вспомогательные данные вируса, файл P содержит код файла-носителя.

Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).

При запуске вирус распаковывает файлы I.BAT и BATALIA3 из архива и запускают I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.

Пакует заражаемый файл в архив и результат записывает вместо заражаемого файла, т.е. при заражении может уменьшать размер файлов.

BAT.Batalia4

Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.

Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS:

@echo off
rem BAT4
arj x %0 >nul
call i
del sg
del i.bat

Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительный файл SG, который содержит вспомогательные данные вируса.

Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).

При запуске вирус распаковывает файлы I.BAT и SG из архива и запускает I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.

Дописывает свой код (6 batch-команд и ARJ-архив) в конец файла.

BAT.Batalia6

Безобидный нерезидентный полиморфный BAT-вирус. При запуске ищет BAT-файлы и заражает их. При заражении файлов вирус использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.

Зараженный файл состоит из двух частей. Первая часть (заголовок) содержит пять команд DOS (см. ниже). Вторая часть содержит BAT-файл со случайным именем, упакованный архиватором ARJ. Таким образом, вирус содержит строки текста (команды DOS) и данные (архив ARJ).

BAT-файл из ARJ-архива в свою очередь содержит команды DOS и еще один ARJ-архив. Команды DOS этого BAT-файла являются основным кодом вируса, который вызывает процедуры поиска файлов, заражения и генерации полиморфик-кода. ARJ-архив содержит несколько файлов: файл-носитель, дополнительный код и данные вируса.

В результате зараженный файл выглядит как архив в архиве:

+--------------------+
|BAT-команды         | - "заголовок-1", startup-код
|--------------------|
|  ARJ-архив:        | - содержит BAT-файл со случайным именем
| +----------------+ |
| |BAT-команды     | | - "заголовок-2", основной код вируса
| |----------------| |
| |  ARJ-архив:    | | - содержит набор файлов:
| | +------------+ | |
| | |BATALIA6.BAT| | | - процедуры поиска и заражения, полиморфик-генератор
| | |hostfile.BAT| | | - файл-носитель
| | |ZAGL        | | | - данные вируса
| | |RULZ        | | | - данные вируса
| | |FINAL.BAT   | | | - процедура уничтожения временных файлов
| | +------------+ | |
| +----------------+ |
+--------------------+

«Заголовок-1» содержит пять команд, которые при заражении выбираются из нескольких вариантов и имеют различные длины, например:

@echo off
rem arj e %0 %compec% -g5
C:COMMAND.COM nul /carj x %0 -g2
:nul arj x %0 -g7 C:COMMAND.COM
w HOST.BAT

@EcHo OfF
rem COMMAND.COM nul /carj x %0 -g1
%comspec% nul /c arj e HOST.BAT -g3
:echo C:COMMAND.COM nul /carj x %0
i HOST.BAT

ARJ-архив зашифрован со случайным паролем, поэтому вирус практически не содержит постоянных байт и является первым известным полиморфным BAT-вирусом.

При запуске вирус («заголовок-1») запускает архиватор ARJ, распаковывает свою вторую часть (BAT-файл) и запускает её. Код второй части создает временный подкаталог, в который распаковывает файлы из второго архива, выполняет процедуры поиска и заражения файлов, затем запускает файл-носитель и уничтожает временные файлы и подкаталог.

Код вируса содержит только текстовые строки, среди которых присутствуют комментарии:

: Death Virii Crew  &  Stealth Group World Wide
:            P R E S E N T S
:       First Mutation Engine for BAT !
:              Without ASM !
:      [BATalia6] & FMEB (c) by Reminder

:              //         ##                  #
: +--------  /// ------+ ###     Magazine     #    for VirMakers
: |+++-++- // // -+-+++| ### ################ # ################### # ########
: |++ | | /////  | | |||  ## ### ### ### ### ### ### ###    # # ### # ### ###
: |++ - +  ///// ++- ++|   # # # ##  ##  #    #  ##  # #    # # # # # #   #
: +------ // // -------+   # # # #   ### ###  #  ### ###     ## ### # ### ####
: GROUP  // // WORLDWIDE   # ################# ###############################
:
: Box 10, Kiev   252148
: Box 15, Moscow 125080
: Box 11, Lutsk  263020
:
:               R E A D    I N F E C T E D    V O I C E
:
:                                             (c) by Reminder (May 22, 1996)

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	BAT
Описание	Technical Details BAT.Batalia1 Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные. Также создает и запускает временный COM-файл (для того чтобы иметь доступ к DOS-функциям INT 21h). Содержит строки: «BATalia v 1.0» Written by Int O`Dream at 04.11.95 (Original algoritm) BAT.Batalia2 Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные. Содержит строки: BATalia2 BAT.Batalia3 Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH. Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS: @echo off rem YYY arj x %0 -gооbеpс >nul ren p Int call i ren Int a.bat echo on @call a @echo off del i.bat del a.bat del BATalia3 Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительные файлы: P, BATALIA3 BATALIA3 содержит вспомогательные данные вируса, файл P содержит код файла-носителя. Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ). При запуске вирус распаковывает файлы I.BAT и BATALIA3 из архива и запускают I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их. Пакует заражаемый файл в архив и результат записывает вместо заражаемого файла, т.е. при заражении может уменьшать размер файлов. BAT.Batalia4 Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH. Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS: @echo off rem BAT4 arj x %0 >nul call i del sg del i.bat Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительный файл SG, который содержит вспомогательные данные вируса. Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ). При запуске вирус распаковывает файлы I.BAT и SG из архива и запускает I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их. Дописывает свой код (6 batch-команд и ARJ-архив) в конец файла. BAT.Batalia6 Безобидный нерезидентный полиморфный BAT-вирус. При запуске ищет BAT-файлы и заражает их. При заражении файлов вирус использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH. Зараженный файл состоит из двух частей. Первая часть (заголовок) содержит пять команд DOS (см. ниже). Вторая часть содержит BAT-файл со случайным именем, упакованный архиватором ARJ. Таким образом, вирус содержит строки текста (команды DOS) и данные (архив ARJ). BAT-файл из ARJ-архива в свою очередь содержит команды DOS и еще один ARJ-архив. Команды DOS этого BAT-файла являются основным кодом вируса, который вызывает процедуры поиска файлов, заражения и генерации полиморфик-кода. ARJ-архив содержит несколько файлов: файл-носитель, дополнительный код и данные вируса. В результате зараженный файл выглядит как архив в архиве: +--------------------+ \|BAT-команды \| - "заголовок-1", startup-код \|--------------------\| \| ARJ-архив: \| - содержит BAT-файл со случайным именем \| +----------------+ \| \| \|BAT-команды \| \| - "заголовок-2", основной код вируса \| \|----------------\| \| \| \| ARJ-архив: \| \| - содержит набор файлов: \| \| +------------+ \| \| \| \| \|BATALIA6.BAT\| \| \| - процедуры поиска и заражения, полиморфик-генератор \| \| \|hostfile.BAT\| \| \| - файл-носитель \| \| \|ZAGL \| \| \| - данные вируса \| \| \|RULZ \| \| \| - данные вируса \| \| \|FINAL.BAT \| \| \| - процедура уничтожения временных файлов \| \| +------------+ \| \| \| +----------------+ \| +--------------------+ «Заголовок-1» содержит пять команд, которые при заражении выбираются из нескольких вариантов и имеют различные длины, например: @echo off rem arj e %0 %compec% -g5 C:COMMAND.COM nul /carj x %0 -g2 :nul arj x %0 -g7 C:COMMAND.COM w HOST.BAT @EcHo OfF rem COMMAND.COM nul /carj x %0 -g1 %comspec% nul /c arj e HOST.BAT -g3 :echo C:COMMAND.COM nul /carj x %0 i HOST.BAT ARJ-архив зашифрован со случайным паролем, поэтому вирус практически не содержит постоянных байт и является первым известным полиморфным BAT-вирусом. При запуске вирус («заголовок-1») запускает архиватор ARJ, распаковывает свою вторую часть (BAT-файл) и запускает её. Код второй части создает временный подкаталог, в который распаковывает файлы из второго архива, выполняет процедуры поиска и заражения файлов, затем запускает файл-носитель и уничтожает временные файлы и подкаталог. Код вируса содержит только текстовые строки, среди которых присутствуют комментарии: : Death Virii Crew & Stealth Group World Wide : P R E S E N T S : First Mutation Engine for BAT ! : Without ASM ! : [BATalia6] & FMEB (c) by Reminder : // ## # : +-------- /// ------+ ### Magazine # for VirMakers : \|+++-++- // // -+-+++\| ### ################ # ################### # ######## : \|++ \| \| ///// \| \| \|\|\| ## ### ### ### ### ### ### ### # # ### # ### ### : \|++ - + ///// ++- ++\| # # # ## ## # # ## # # # # # # # # # : +------ // // -------+ # # # # ### ### # ### ### ## ### # ### #### : GROUP // // WORLDWIDE # ################# ############################### : : Box 10, Kiev 252148 : Box 15, Moscow 125080 : Box 11, Lutsk 263020 : : R E A D I N F E C T E D V O I C E : : (c) by Reminder (May 22, 1996)
	Узнай статистику распространения угроз в твоем регионе

Virus.BAT.Batalia2