Virus.DOS.Eddie

Дата обнаружения 11/01/2002
Класс Virus
Платформа DOS
Описание

Technical Details

Резидентные вирусы. Перехватывают INT 21h и записываются в конец файлов.
Содержат строки:

"Eddie.651":     Eddie lives
"Eddie.1797":    McAfee and Associated (C)1992
Diana P.
This program was written in the city of Sofia
(C) 1988-89 Dark Avenger
"Eddie.1799":    Francis lives...in Hong Kong!
Diana P.
This program was written in the city of Sofia
(C) 1988-89 Dark Avenger
"Eddie.1800":    Eddie lives...somewhere in time
Diana P.
This program was written in the city of Sofia
(C) 1988-89 Dark Avenger
"Eddie.1800.b":  Never buy Quest computers again!
This program is not dangerous stamp.
All new software seriosly danger
"Eddie.2000":    Диана П.
(c) 1989 by Vesselin Bontchev
Zopy me - I want to trawel
"Eddie.2100":    Диана П.
(c) 1989 by Vesselin Bontchev
Eddie lives
"Eddie.2000.b":  1994 Satan Virus[ Ver 3.09 ]
1994 by [Mad Satan] in TAIWAN.
"Eddie.2000.c":  Only the Good die young...
(c) 1989 by Vesselin Bontchev.
"Eddie.2000.d":  go, go with a smile (CK)
by McAfee Associates.  (408-38

Eddie.651

Инфицирует COM- и EXE-файлы при загрузке их в память для выполнения. У
заражаемого файла устанавливает значение 62 секунды. Никак не проявляется.
Перехватывает функции DOS FindFirst/Next FCB (команда DIR) и «уменьшает»
длины зараженных файлов. При «уменьшении» длин файлов вирус определяет их
зараженность по значению секунд даты последней модификации (62 секунды) и
не проверяет истинных длин файлов. Если такое значение секунд встретится у
файла небольшой длины (менее 651 байт), то команда DIR выдаст странную
длину файла — около 4 гигабайт.

Eddie.1800

Резидентный очень опасный вирус. Изменяет векторы прерываний 13h, 21h, 27h.
Быстро размножается: инфицирует COM- и EXE-файлы при загрузке их в память
для выполнения, при создании, переименовании, открытии и закрытии файлов.
Вирус предпринимает ряд эффективных мер для того, чтобы остаться
незамеченным:
— при старте любой программы помечает программный сегмент как последний и
становится невидимым для этой программы, по окончании работы программы вирус
помечает программный сегмент как не последний;
— аналогично поступает с вектором прерывания 21h при старте программы:
восстанавливает его первоначальное значение;
— не позволяет программам изменять вектор прерывания 21h и защищается таким
образом от резидентных антивирусов, установленных после того, как
активизировался вирус;
— пытается обойти программы, следящие за прерыванием 13h, и установить
вектор этого прерывания в его первоначальное значение.
Очень опасен: периодически стирает сектор со случайным номером
(«оплевывает» диск), при этом может уничтожить часть информации на диске.
Анализирует 2 байта (8-й и 10-й) загрузочного сектора диска, с которого
была запущена зараженная программа. Увеличивает на 1 значение 10-го байта и
сохраняет его в загрузочном секторе. Если новое значение 10-го байта кратно
16, то стирает на диске сектор со случайно выбранным номером, зависящим от
значения 8-го байта.

Eddie.2000,2100

Резидентные очень опасные вирусы. Изменяют INT 13h, 21h, 27h. Быстро
размножаются: инфицируют файл при загрузке его в память для выполнения, при
создании, закрытии и переименовании файла, при чтении или изменении его
атрибутов.
Вирусы следят за тем, чтобы длины заражаемых файлов увеличивались ровно на
2000 (или 2100) байт (к EXE-файлам, помимо выравнивания на границу параграфа,
дописывается необходимое число байт). У заражаемых файлов устанавливается
новое значение секунд даты последней модификации файла — 62 секунды.
«Eddie.2000» предпринимает ряд эффективных мер для того, чтобы остаться
незамеченным, многие из них повторяют аналогичные меры вируса «Eddie.1800».
Маскирующую функцию играет длина вируса: достаточно трудно заметить
приращение длины, кратное 1000 байтам. Введена и другая функция защиты:
вирус перехватывает функции DOS FindFirst/Next FCB и «уменьшает» длины
зараженных файлов на 2000 байт.
«Eddie.2100» дополнительно к этому обрабатывает функции FindFirst/Next
ASCII; исправлена ошибка, из-за которой команда DIR сообщала, что длина
файла около 4 гигабайт (см. описание вируса «Eddie.651»). Непонятным
образом манипулирует с секторами винчестера, видимо, пытается либо
активизировать, либо вылечить неизвестный мне загрузочный вирус.
Вирусы «Eddie.2000» и «Eddie.2100» очень опасны: как и вирус «Eddie.1800»
они стирают сектора со случайными номерами. При этом вирусы обращаются
напрямую к драйверу, обслуживающему диск, и обходят многие резидентные
блокировщики.
Если в теле запускаемой программы содержится строка «Vesselin Bontchev»
(Весселин Бончев — автор известных болгарских антивирусов), то вирус
зацикливается и система зависает.

Eddie.1028

Модификация «Eddie.1800»: текстовые строки заменены на обработчик INT 1Ch
(там — холостой цикл), удалены коды записи в сектора дисков.

Eddie.1530

Очень опасный резидентный вирус, перехватывает INT 21h, 27h и поражает COM-
и EXE-файлы при обращениях к ним (переименование, изменение атрибутов и
т.д.). Периодически перегружает компьютер, стирает часть CMOS-памяти.

Eddie.Father

Безобиден, содержит текст:

In memory of my father.(C)Nduk '91

Eddie.Jasper

Очень опасный самошифрующийся вирус. Перехватывает INT 8, 21h и 27h. В
зависимости от системного времени уничтожает файлы или выводит текст:

If You Liked This Virus,Call Asaf, At +972-4-225288!

Также содержит строку:

Written By Jasper,and Dedicated to Freddie Mercury.

Eddie.Jericho

Содержат тексты:

"Eddie.Jericho.a": JERICHO by Eurystheus0Calgary
"Eddie.Jericho.b": JERICHO0Eurystheus0Calgary AB

«Eddie.Jericho.b» безобиден, не перехватывает INT 27h и не гадит на диски.
Содержит ошибку и не заражает EXE-файлы.

Eddie.Korea

Плагиат вируса «Eddie.1800». Содержит тексты:

If you are a thieve man, virus lives...somewhere always!
You must become good man!
Kang Yong Il.
This program was adjustted in 'Commputer Home' of KOREA
(C) 1988-89 ,LSR+KYL

Eddie.Major

Вариант вируса «Eddie.1800», содержит строки:

Written In Turbo Assembler v2.84
(C) 1992 MajorBBS Patch v1.0
This Program Was Written To Patch The Backdoor Of MajorBBS
(C) 1992 by Leroy Janowa

Eddie.Oliver

Содержит тексты:

Bill the Cat Lives!
by Oliver Wendell Jones
Politically Incorrect Personal Computers Presents:
the OLIVER VIRUS! Nya Ha Ha! Men Rule! America Kicks Butt! Rap Sucks!
Eat Fatty Food! Dames Melt Like Jell-O for Naughty Men!
Ted Kennedy Sucks Barney Frank`s Fag Cock!
Berk B.
Banana 6000 P.I.P.C. (C) I spell -Lightening- wrong!

Eddie.Psko

Содержит строки:

The Ps!ko Virus - Version 1.0с
SiTT
The Ps!ko Virus - Written in the USA, (C)1991 by SiTT and The Violator

Eddie.Satan.1800

Вариант «Eddie.1800», содержит строки:

* Satan Virus *  Satan Ver 2.09
- Satan Virus - 1994 Written by Mad Satan in TAIWAN.  =Ver 2.09=

Eddie.Shyster

Вариант «Eddie.1800», содержит строку: «Shyster».

Eddie.Sign

Также плагиат с «Eddie.1800» (практически один-в-один). Содержит текст:

"#.I.R. *-*-*-* Sign of the time! &^%s%c%d".

Eddie.Uriel

С 15-го февраля форматирует диски. Содержит ошибки, которые могут привести
к зависанию компьютера. Содержит строки:

0ф0
Uriel 1.000Eur

Eddie.Apa

Семейство «Eddie». Неопасен, резидентен. Перехватывает INT 8, 21h,
27h и записывается в конец COM- и EXE-файлов при их запуске, открытии,
переименовании, изменении их атрибутов. При этом вирус пытается также
поразить COMMAND.COM корневого каталога текущего диска. Содержит текст
«:COMMAND.COM». Периодически расшифровывает и выводит сообщение:

Apa depistata in microprocesor !
Functionarea poate fi compromisa !
Se recomanda oprirea calculatorului
citeva ore pentru uscare !
Hellhound - Constanta, Romania

Eddie.Alexander

Семейство Eddie. Неопасный вирус, перехватывает INT 8, 21h, 27h и
поражает COM- и EXE-файлы. Через некоторое время после инсталляции выводит
на экран картинку:

+--------------------------------------+
|    Apa depistata in microprocesor !  |
|   Functionarea poate fi compromisa ! |
|  Se recomanda oprirea calculatorului |
|       citeva ore pentru uscare !     |
|                                      |
|     Alexander - Constanta, Romania   |
+--------------------------------------+

а затем проигрывает мелодию.