Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Virus
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.Подробнее
Платформа: DOS
No platform descriptionОписание
Technical Details
Резидентные вирусы. Перехватывают INT 21h и записываются в конец файлов. Содержат строки:
"Eddie.651": Eddie lives "Eddie.1797": McAfee and Associated (C)1992 Diana P. This program was written in the city of Sofia (C) 1988-89 Dark Avenger "Eddie.1799": Francis lives...in Hong Kong! Diana P. This program was written in the city of Sofia (C) 1988-89 Dark Avenger "Eddie.1800": Eddie lives...somewhere in time Diana P. This program was written in the city of Sofia (C) 1988-89 Dark Avenger "Eddie.1800.b": Never buy Quest computers again! This program is not dangerous stamp. All new software seriosly danger "Eddie.2000": Диана П. (c) 1989 by Vesselin Bontchev Zopy me - I want to trawel "Eddie.2100": Диана П. (c) 1989 by Vesselin Bontchev Eddie lives "Eddie.2000.b": 1994 Satan Virus[ Ver 3.09 ] 1994 by [Mad Satan] in TAIWAN. "Eddie.2000.c": Only the Good die young... (c) 1989 by Vesselin Bontchev. "Eddie.2000.d": go, go with a smile (CK) by McAfee Associates. (408-38
Eddie.651
Инфицирует COM- и EXE-файлы при загрузке их в память для выполнения. У заражаемого файла устанавливает значение 62 секунды. Никак не проявляется. Перехватывает функции DOS FindFirst/Next FCB (команда DIR) и "уменьшает" длины зараженных файлов. При "уменьшении" длин файлов вирус определяет их зараженность по значению секунд даты последней модификации (62 секунды) и не проверяет истинных длин файлов. Если такое значение секунд встретится у файла небольшой длины (менее 651 байт), то команда DIR выдаст странную длину файла - около 4 гигабайт.
Eddie.1800
Резидентный очень опасный вирус. Изменяет векторы прерываний 13h, 21h, 27h. Быстро размножается: инфицирует COM- и EXE-файлы при загрузке их в память для выполнения, при создании, переименовании, открытии и закрытии файлов. Вирус предпринимает ряд эффективных мер для того, чтобы остаться незамеченным: - при старте любой программы помечает программный сегмент как последний и становится невидимым для этой программы, по окончании работы программы вирус помечает программный сегмент как не последний; - аналогично поступает с вектором прерывания 21h при старте программы: восстанавливает его первоначальное значение; - не позволяет программам изменять вектор прерывания 21h и защищается таким образом от резидентных антивирусов, установленных после того, как активизировался вирус; - пытается обойти программы, следящие за прерыванием 13h, и установить вектор этого прерывания в его первоначальное значение. Очень опасен: периодически стирает сектор со случайным номером ("оплевывает" диск), при этом может уничтожить часть информации на диске. Анализирует 2 байта (8-й и 10-й) загрузочного сектора диска, с которого была запущена зараженная программа. Увеличивает на 1 значение 10-го байта и сохраняет его в загрузочном секторе. Если новое значение 10-го байта кратно 16, то стирает на диске сектор со случайно выбранным номером, зависящим от значения 8-го байта.
Eddie.2000,2100
Резидентные очень опасные вирусы. Изменяют INT 13h, 21h, 27h. Быстро размножаются: инфицируют файл при загрузке его в память для выполнения, при создании, закрытии и переименовании файла, при чтении или изменении его атрибутов. Вирусы следят за тем, чтобы длины заражаемых файлов увеличивались ровно на 2000 (или 2100) байт (к EXE-файлам, помимо выравнивания на границу параграфа, дописывается необходимое число байт). У заражаемых файлов устанавливается новое значение секунд даты последней модификации файла - 62 секунды. "Eddie.2000" предпринимает ряд эффективных мер для того, чтобы остаться незамеченным, многие из них повторяют аналогичные меры вируса "Eddie.1800". Маскирующую функцию играет длина вируса: достаточно трудно заметить приращение длины, кратное 1000 байтам. Введена и другая функция защиты: вирус перехватывает функции DOS FindFirst/Next FCB и "уменьшает" длины зараженных файлов на 2000 байт. "Eddie.2100" дополнительно к этому обрабатывает функции FindFirst/Next ASCII; исправлена ошибка, из-за которой команда DIR сообщала, что длина файла около 4 гигабайт (см. описание вируса "Eddie.651"). Непонятным образом манипулирует с секторами винчестера, видимо, пытается либо активизировать, либо вылечить неизвестный мне загрузочный вирус. Вирусы "Eddie.2000" и "Eddie.2100" очень опасны: как и вирус "Eddie.1800" они стирают сектора со случайными номерами. При этом вирусы обращаются напрямую к драйверу, обслуживающему диск, и обходят многие резидентные блокировщики. Если в теле запускаемой программы содержится строка "Vesselin Bontchev" (Весселин Бончев - автор известных болгарских антивирусов), то вирус зацикливается и система зависает.
Eddie.1028
Модификация "Eddie.1800": текстовые строки заменены на обработчик INT 1Ch (там - холостой цикл), удалены коды записи в сектора дисков.
Eddie.1530
Очень опасный резидентный вирус, перехватывает INT 21h, 27h и поражает COM- и EXE-файлы при обращениях к ним (переименование, изменение атрибутов и т.д.). Периодически перегружает компьютер, стирает часть CMOS-памяти.
Eddie.Father
Безобиден, содержит текст:
In memory of my father.(C)Nduk '91
Eddie.Jasper
Очень опасный самошифрующийся вирус. Перехватывает INT 8, 21h и 27h. В зависимости от системного времени уничтожает файлы или выводит текст:
If You Liked This Virus,Call Asaf, At +972-4-225288!
Также содержит строку:
Written By Jasper,and Dedicated to Freddie Mercury.
Eddie.Jericho
Содержат тексты:
"Eddie.Jericho.a": JERICHO by Eurystheus0Calgary "Eddie.Jericho.b": JERICHO0Eurystheus0Calgary AB
"Eddie.Jericho.b" безобиден, не перехватывает INT 27h и не гадит на диски. Содержит ошибку и не заражает EXE-файлы.
Eddie.Korea
Плагиат вируса "Eddie.1800". Содержит тексты:
If you are a thieve man, virus lives...somewhere always! You must become good man! Kang Yong Il. This program was adjustted in 'Commputer Home' of KOREA (C) 1988-89 ,LSR+KYL
Eddie.Major
Вариант вируса "Eddie.1800", содержит строки:
Written In Turbo Assembler v2.84 (C) 1992 MajorBBS Patch v1.0 This Program Was Written To Patch The Backdoor Of MajorBBS (C) 1992 by Leroy Janowa
Eddie.Oliver
Содержит тексты:
Bill the Cat Lives!
by Oliver Wendell Jones Politically Incorrect Personal Computers Presents: the OLIVER VIRUS! Nya Ha Ha! Men Rule! America Kicks Butt! Rap Sucks! Eat Fatty Food! Dames Melt Like Jell-O for Naughty Men! Ted Kennedy Sucks Barney Frank`s Fag Cock!
Berk B.
Banana 6000 P.I.P.C. (C) I spell -Lightening- wrong!
Eddie.Psko
Содержит строки:
The Ps!ko Virus - Version 1.0с SiTT The Ps!ko Virus - Written in the USA, (C)1991 by SiTT and The Violator
Eddie.Satan.1800
Вариант "Eddie.1800", содержит строки:
* Satan Virus * Satan Ver 2.09 - Satan Virus - 1994 Written by Mad Satan in TAIWAN. =Ver 2.09=
Eddie.Shyster
Вариант "Eddie.1800", содержит строку: "Shyster".
Eddie.Sign
Также плагиат с "Eddie.1800" (практически один-в-один). Содержит текст:
"#.I.R. *-*-*-* Sign of the time! &^%s%c%d".
Eddie.Uriel
С 15-го февраля форматирует диски. Содержит ошибки, которые могут привести к зависанию компьютера. Содержит строки:
0ф0 Uriel 1.000Eur
Eddie.Apa
Семейство "Eddie". Неопасен, резидентен. Перехватывает INT 8, 21h, 27h и записывается в конец COM- и EXE-файлов при их запуске, открытии, переименовании, изменении их атрибутов. При этом вирус пытается также поразить COMMAND.COM корневого каталога текущего диска. Содержит текст ":COMMAND.COM". Периодически расшифровывает и выводит сообщение:
Apa depistata in microprocesor ! Functionarea poate fi compromisa ! Se recomanda oprirea calculatorului citeva ore pentru uscare ! Hellhound - Constanta, Romania
Eddie.Alexander
Семейство Eddie. Неопасный вирус, перехватывает INT 8, 21h, 27h и поражает COM- и EXE-файлы. Через некоторое время после инсталляции выводит на экран картинку:
+--------------------------------------+ | Apa depistata in microprocesor ! | | Functionarea poate fi compromisa ! | | Se recomanda oprirea calculatorului | | citeva ore pentru uscare ! | | | | Alexander - Constanta, Romania | +--------------------------------------+
а затем проигрывает мелодию.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com