历史悠久的恶意软件。 第三部分

艺术主题可以是图片，雕塑，诗歌，交响曲，甚至是计算机病毒，无论听起来多么奇怪。 不幸的是，近来，病毒的产生充满了从其产生或对他人造成伤害的利益。 但是，在计算机技术兴起之初，病毒编写者是真正的艺术家，其色彩是代码段，巧妙地混合在一起，成为了杰作。 他们的目标不是冒犯别人，以至于不敢宣扬自己，展示自己的才智和才智，有时只是为了逗乐别人。 今天，我们将继续结识病毒创作者的各种作品，这些创作者以某种方式值得我们关注。 （如果您想熟悉前面的部分，请访问以下链接： 第一部分和第二部分 ）

叉子炸弹（一切都很简单）-1969

叉子炸弹不是单独的病毒或蠕虫，而是一系列极其简单的恶意软件。 叉子炸弹代码结构只能包含5行。 使用某些语言编写这种恶意软件，就无需使用冒号，括号，有时还需要使用所有字母数字字符。

有一个非常简单的方式产生叉状炸弹：对于初学者来说，程序将自身加载到内存中，在其中创建其自身的多个副本（通常是两个副本）。 此外，这些副本中的每个副本都会创建与原始副本一样多的副本，依此类推，直到内存完全满为止，这将导致系统崩溃。 根据设备的不同，此过程可能需要几秒钟到几个小时。

最早记录的叉子炸弹事件之一是它于1969年在华盛顿大学的Burroughs 5500计算机上出现。 该恶意软件被命名为RABBITS。 1972年，病毒编写者Q The Misanthrope用BASIC创建了一个类似的程序。 有趣的是，作者目前处于7年级。 1973年，还有一家未知公司的案例，当时他们的IBM 360感染了Rabbit程序。 结果，一名被指控传播病毒的年轻雇员被解雇。

级联（下降）-1987年

当时最有趣的病毒之一。 为什么我们要进一步了解。

当病毒进入系统并被激活时，它首先检查“ COPR”行的存在。 IBM。” 如果存在，则该病毒应该已经停止并且请勿感染此计算机，但是由于病毒代码中的错误，无论如何都会发生感染。 接下来，Cascade驻留在内存中。 启动该.com文件时，该病毒会感染该文件。 Cascade用导致病毒本身代码的代码替换了文件的前3个字节。

现在，对于病毒的结果。 如果受感染的文件是从1988年10月1日至12月31日启动的，则它们将生效。 从字面上看，DOS屏幕上的所有字符只是开始随机下落。 这就是为什么该病毒被称为Cascade（级联）的原因。 有时同时会重现一些声音。

在世界范围内传播之后，出现了许多Cascade变体-大约有40种。其中一些是由先前的作者创建的，希望修复具有IBM版权的错误，但是，这些病毒变种继续成功地感染了计算机巨型系统。 其他选项（而不是字符瀑布）导致格式化硬盘或仅包含某种消息。 无论如何，这是许多人记得的原始Cascade病毒。

作者试图避免感染IBM计算机，这很可笑，但与此同时，不仅感染了这些计算机，而且比利时的整个办公室也成为受害者。 结果，IBM向公众发布了其防病毒软件，该防病毒软件以前仅在公司内部使用过。

关于病毒的起源及其作者一无所知。 有人猜测Cascade是由德国或瑞士的某人写的。

埃迪（Hallowed Be Thy Name）-1988

保加利亚最早的病毒之一和黑暗复仇者的第一个创造，这不仅由于其病毒，而且还由于所谓的黑暗复仇者突变引擎（不久之后）而闻名。 黑暗复仇者为纪念Iron Maiden团体的象征而命名了该病毒-骷髅名为Eddie。

进入计算机后，病毒成为驻留内存的病毒。 感染的受害者是.com和.exe文件。 同时，无需执行这些程序进行感染，只需读取它们即可（复制，移动，检查文件内容）就足够了。 还存在被防病毒软件感染的机会，这可能导致该软件扫描的任何文件被感染。 在每16次感染后，该病毒重写了一个随机扇区。


其中一些的作者是谁仍然未知。 黑暗复仇者联盟笔提供的Eddie选项：

• Eddie.V2000-包含以下“消息”：“复制我-我想旅行”； “©1989，作者是Vesselin Bontchev。”； “只有善良的人早逝……”
• Eddie.V2100-包含“ Eddie lives”一词，如果磁盘的最后一个扇区中有炭疽病毒，请将其转移到分区表中，从而恢复该病毒。

长期以来，埃迪（Eddie）保留了最常见的伏尔加病毒的状态，而该病毒在西德，美国和苏联都有记录。

父亲圣诞节（Ho-ho-ho）-1988年

1988年圣诞节（天主教）之前不久，“父亲圣诞节”蠕虫开始通过DECnet（可以说是Internet的早期版本）进行传播。 该蠕虫的出生地被认为是瑞士纳沙泰尔大学。

HI.COM文件充当蠕虫，将其自身从一个DECnet节点复制到另一个DECnet节点。 然后，他尝试使用Task Object 0（一个允许您在两台连接的计算机之间执行操作的程序）或通过DECnet登录名和密码来启动自己。 如果启动失败，该蠕虫将从受害者的系统中删除其HI.COM文件。 如果成功，该蠕虫将被加载到内存中，然后使用MAIL_178DC进程删除HI.COM文件。 然后，蠕虫将SYS $ ANNOUNCE标语发送到20597 :: PHSOLIDE，然后检查系统时钟。 如果感染时间在1988年12月24日的00:00到00:30之间，则该蠕虫会创建系统所有用户的列表并将其副本发送给他们。 如果感染是在上述日期的00:30之后发生的，则蠕虫仅会停止活动。

为了寻找新的受害者，该蠕虫随机生成一个数字，范围从0到63 * 1024。 找到合适的号码后，他将HI.COM文件复制到了受害者的水中。 1988年12月24日00:00之后，没有进行分发。

圣诞节父亲还显示了一条消息（非常友好，如果我可以这样说，关于恶意软件，角色）：

“来自：NODE ::父亲圣诞节1988年12月24日00:00
致：您...
主题：圣诞贺卡。

你好

你好吗？ 我很难准备所有礼物。 它
并不是一件容易的事。 我收到越来越多的来信
每年都有孩子，要取得可怕的成绩并不容易
Rambo-Guns，坦克和太空飞船在这里
北极 但是现在好部分就要来了。 全部分发
带着雪橇和鹿的礼物真有趣。 当我
顺着烟囱滑下来，我经常会发现一些礼物
孩子，甚至是父亲的小白兰地。 （是的！）
无论如何，烟囱越来越紧
年。 我想我必须再节食。 然后

圣诞节，我度过了一个大假期:-)。

现在停止计算，并在家里过得愉快！！！

圣诞快乐
和新年快乐

你父亲的圣诞节»

圣诞节父亲没有成为世界的征服者，他只感染了6,000台机器，其中只有2％激活了蠕虫。 但是，有一个奇怪的事实：一条来自瑞士的蠕虫仅用了8分钟就到达了华盛顿郊区的戈达德太空飞行中心。

从未发现这种异常且按时间顺序排列的蠕虫的创造者。 众所周知，大学曾经使用过许多人都可以使用的计算机。

冰岛文（Eyjafjallajökull）-1989年

第一种仅感染DOS系统上的.exe文件的病毒。 出生地-冰岛。

Icelandic以.exe文件的形式进入计算机，在启动时，病毒会在系统内存中检查自身。 如果没有它的副本，该病毒将被驻留。 他还修改了一些内存块以隐藏他的存在。 如果程序尝试写入这些相同的块，则可能导致系统崩溃。 然后，该病毒会感染第十个可执行文件，并在每个可执行文件的末尾添加自己的代码。 如果该文件是只读文件，Icelandic将删除其代码。

如果计算机使用的硬盘驱动器大于10 MB，则病毒会选择未使用的FAT区域并将其标记为损坏。 每次感染新文件时都会执行此操作。

冰岛也有几个变种，在功能和特性上互不相同：

• Icelandic.632-每三个程序感染一次。 如果磁盘上的群集超过20 MB，则标记为已损坏。
• Icelandic.B-进行了改进，使某些防病毒软件的检测复杂化；除分发外，它不执行任何其他操作；
• Icelandic.Jol是Icelandic.B的子变体，它在12月24日的冰岛Gledileg jol（圣诞快乐）上显示了一条消息；
• Icelandic.Mix1-最初在以色列发现，将字符传输到串行设备（例如打印机）时引起字符失真；
• Icelandic.Saratoga-以50％的概率感染了正在运行的文件。

钻石（像钻石一样闪闪发光）-1989年

来自保加利亚的另一种病毒。 假定该病毒的作者是“黑暗复仇者”，因为该病毒与他的第一个创造物Eddie有很多共同点。

启动受感染的程序时，病毒会穿透内存，占用1072字节。 病毒检查了具有监视程序1或3的程序。如果有，检查将导致系统死机，并且病毒无法自我复制。 如果没有这样的程序，Diamond会加入任何运行中的程序，该程序的大小小于1024字节。 在感染过程中，该病毒避免了COMMAND.COM文件。 同样在病毒本身中，有可能检测到一条易于识别的线-“ 7106286813”。

Diamond成为其多种变体的祖先，它们在对感染系统的影响类型以及传播和感染方法上有所不同：

稳定的摇滚

666字节的病毒不会在任何月份的13日发生感染时成为驻留内存的病毒。 相反，它格式化了第一个硬盘驱动器上的前1到10个扇区。 之后，我用垃圾数据覆盖了C：驱动器的前32个扇区，然后重新启动了系统。 它最早是在加拿大蒙特利尔发现的。

很好奇的是文件被感染的方式。 首先，Rock Steady检查文件的“权重”：少于666字节（对于任何格式）和超过64358字节（对于.com文件）。 接下来，病毒检查文件名是否以字母“ MZ”和“ ZM”开头，然后将文件名从“ ZM”更改为“ MZ”，反之亦然。 该病毒还将值更改为60，并从受感染文件的大小中删除了666字节的“权重”。

戴维

也许来自意大利。 它于1991年5月首次出现。 该病毒的第一个版本无法感染.exe文件，但其1992年10月发布的子版本已经具有这种可能性。 执行.com文件时，它导致系统频繁崩溃，而在感染过程中，病毒没有像原始文件那样避免使用COMMAND.COM文件。 如果受感染的.exe文件在星期二启动，则该病毒会格式化磁盘。 屏幕上还显示一个跳跃的乒乓球和以下消息：

©David Grant Virus Research 1991 PCVRF消除此病毒
随意!!!!!!啊...约翰...操你！

破损

有一种观点认为，这种病毒是由戴维（David）撰写的，而这也是因为1991年5月也在意大利发现了损害。 该病毒感染了文件，文件大小超过了1000个字节，但没有避免使用COMMAND.COM文件。 如果系统时钟显示14:59:53，则屏幕上出现多色菱形，这些菱形破碎成较小的菱形，从而从屏幕上删除了字符。 在病毒代码中找到了短语“ Damage”（因其而得名）和“ Jump for joy !!!”。

路西法

1991年5月从意大利发现的另一种病毒。 该文件感染了2 KB以上，包括COMMAND.COM。 如果文件的时间戳是感染前的12:00，则病毒在感染后会消失。

格雷姆林

哦，这个意大利，哦，1991年5月。 该病毒也来自那里。 大大降低了系统速度（降低了大约10％）。 在每年的7月14日，我重写了A：，B：和C：驱动器的某些扇区。

还有其他几种选择，但是它们的主要特点是它们没有检查受害者文件中副本的可用性，这导致了后者的重新感染。

阿拉巴马州（Alabama Shakes）-1989年

DOS系统下的一种病毒，感染了.exe文件。 激活受感染文件后，病毒便成为驻留内存的文件。 但是，与其他驻留病毒不同，阿拉巴马州在运行时并未感染文件。 该病毒在此目录中寻找要感染的文件，如果该文件不起作用，则只能使用感染已激活文件的方法。 同样，在星期五，病毒没有感染文件，而是打开了一些任意文件，而不是用户想要打开的文件。 感染系统一小时后，阿拉巴马州在屏幕上显示闪烁的文本：

国际法禁止的软件副本...
Box 1055 Tuscambia Alabama USA。

黑暗复仇者变异引擎（DAME）-1991年

这不是病毒，但是此模块使我们在前面提到的“黑暗复仇者”非常有名。

当使用DAME的病毒感染文件时，勒索软件将病毒代码作为垃圾发送。 打开文件后，解码器将病毒代码恢复为以前的工作形式。

Dark Avenger还添加了一个存档，其中包含一个用于生成随机数的单独模块，该模块在使用时有助于病毒传播。

尽管使用原始病毒代码实现该模块非常复杂，但由于有了DAME模块，病毒编写者创建多态病毒变得更加容易。 此外，使用模块使创建同一病毒的许多变体成为可能。 据恶意软件研究人员称，到1992年底，大约有900,000种使用DAME的病毒变体。

飞船（回到苏联）-1991

所以我们来到了祖国。 星际飞船病毒是在苏联制造的。 但是他的鲜明特征还不止于此。

Starship病毒的感染方法非常复杂，一次且不寻常。 该病毒感染了.com和.exe等文件。 打开这些文件时，Starship感染了主引导记录。 同时，该病毒没有成为驻留内存的文件，也没有感染其他.com和/或.exe文件。 Starship修改了分区数据表中的三个字节，并将其代码注入硬盘驱动器最后磁道的6个连续扇区中。

Starship还跟踪了计算机启动的次数。 发生这种情况时，病毒会将自身加载到视频内存中，并在此处对其进行解密（换句话说，就是部署）。 当病毒在视频内存中时，它破坏了中断，以保护自己免于被重写到硬盘上，并等待其到达的第一个程序完成。 发生这种情况时，病毒会将自己移动到主内存中，占用了2688字节。

然后，Starship感染了A：和B：驱动器上的.com和.exe文件。 同时，他仅在关闭文件后才将代码添加到文件中，从而使检测变得复杂。

下载80台计算机后即可看到该病毒的结果。 对于屏幕上的旋律声，显示了彩色像素，每个像素都表示与磁盘的连接之一。

凹槽（“当您走开凹槽时，时光飞逝”）-1992年

这就是使用Dark Avenger DAME创建进行加密的病毒（第8段）。 Groove是第一个使用上述模块感染.exe文件的病毒。 该恶意软件的祖国是德国，尽管它成功地传播到世界各地，甚至到达了美国。

激活感染文件后，病毒位于“高”内存中，低于限制


Groove病毒将其代码附加到用户运行的.com和.exe文件中。同时，要感染.exe文件，后者必须小于特定大小（不幸的是，我没有找到有关哪个文件的信息）。程序感染导致其工作中断。并感染COMMAND.COM至无法启动系统。

00:30之后，病毒显示以下消息：

别担心，您在这个时候并不孤单...
ThisVirus不是专门给Sara的，而是
她专门给Groove的（...就是我的名字）。
此病毒只是一种测试病毒，
可以为我的下一个测试做好准备....

为了延长其生存时间，该病毒删除或破坏了与防病毒程序相关的文件。

Qark的乱伦家庭（“我们是一家人，我把我所有的姐姐都陪着……”）-1994

在本节中，我们将考虑的不是一种病毒，而是澳大利亚病毒作家Qark著作权的整个“家族”，Qark后来加入了武器兄弟“ VLAD”（病毒实验室和发行公司）。1994年至1997年是Qark在该组织队伍中的活跃活动。

现在更多关于病毒家族的“家庭成员”。

爸爸

通过减小MCB（内存控制块）的大小，但前提是此MCB是链中的最后一个。该病毒还可以通过设置所有者字段值（0x0008-command.com）来创建自己的MCB，并加入INT 21h。

当文件打开或用户熟悉其数据或属性时，文件将被感染。爸爸还从FCB findfirst / findnext隐藏了其位置目录的大小。通过将时间戳记值更改为日期戳值，可以将受感染的文件标记为此类。

爸爸还包含以下几行：

[乱伦爸爸]
由Qark / VLAD

木乃伊

如果在MS-DOS下未指定执行文件扩展名，则.COM文件的优先级高于.EXE文件。感染的.com文件启动了病毒，然后打开了原始的.exe文件。首先，该病毒启动了原始的.exe文件，然后通过加入INT 21h使其驻留。

与Daddy一样，该病毒也经过加密，并使用类似的方法逃避检测。此外，木乃伊还有另一个不寻常的隐身机制：.com伴随文件是使用一组隐藏的属性创建的。启动ASCII FindFirst时，病毒会从请求的属性掩码中删除隐藏的部分。这样可以避免将受感染的文件添加到防病毒搜索结果列表中。

木乃伊病毒代码包含签名：

布里斯班VLAD的[Mummy Incest]。
繁殖宝贝！

姐妹

该病毒使用与爸爸相同的MCB操作方法。在以下任务中，标志被感染：打开，执行，Chmod，重命名。通过以MZ格式添加“ magic”值来标记受感染的文件。

姐妹病毒代码中的签名：

VLAD的“乱伦姐妹” -布里斯班，OZ

兄弟

为了不重复，只说这种病毒的作用与“家族”的其他代表相同：它改变了MCB，加入了INT 21h。还删除了Central Point Anti-Virus和Microsoft Anti-Virus防病毒校验和库。要标记受感染的文件，请将时间戳记中的秒数设置为62。

触手（我是触手病毒！）-1996

另一个病毒家族，虽然不是同时创建其代表，但作为各种更新版本，它们只能相互跟随。可能将此病毒的起源国视为英国或法国。

激活受感染文件后，该病毒开始在当前打开目录的环境和Windows目录环境中进行搜索。搜索的目的是.exe文件。在Windows中，打开的目录中有1个文件被感染-2。该病毒操作损坏了一些文件。

触手病毒的一个显着特征是用自己的图标替换了受感染的文件图标（请参见下图），但前提是感染发生在00:00到00:15之间。

同样在病毒代码中可以找到以下短语：

病毒警报！该文件感染了Win.Tentacle

CAP（Dios y Federacion）-1996年

委内瑞拉的Jacky Qwerty撰写的Word下的宏病毒。但是，几周后，他传遍了世界。

该病毒包含10到15个宏，具体取决于Word的语言版本。如果语言是英语，则宏如下：

• 瓶盖
• AutoExec
• 自动开启
• 文件打开
• 自动关闭
• 文件保存
• FileSaveAs
• 文件模板
• 工具宏
• 文件关闭

在其他语言版本上，该病毒又创建了5个其他宏，它们是上述列表的后5个的副本。激活受感染文件后，CAP病毒从NORMAL.DOT中删除了宏，将其替换为自己的宏。但是“宏”，“自定义”和“模板”按钮从下拉菜单中消失了。如果工具栏上有一个图标，则它停止工作。

解密宏时，您可能会看到以下消息：

“ CAP：社交病毒……数字化……
”“ j4cKy Qw3rTy”（jqw3rty@hotmail.com）。
“委内瑞拉，马拉凯，迪克，1996年。
” PD Ques使gochito吗？Nunca seras Simon Bolivar ... Bolsa！

世界语（“我在世界语中拍过电影”）-1997

世界上第一个多处理器病毒。他在装有x86处理器的Microsoft Windows和DOS PC以及装有Motorola或PowerPC处理器的MacOS上都处于瘫痪状态。

在Windows和DOS上工作

首先，激活后，该病毒会检查内存中自身的工作副本。如果没有，它将驻留在内存中。打开过程中感染了.com和.exe文件。它还可能感染主要的DOS，NewEXE和Portable EXE文件。

在MacOS上工作

为了在病毒末尾成功感染文件，使用了特殊的MDEF资源。操作系统会将Intel代码解释为垃圾代码，并立即进行Motorola代码处理。这导致这样的事实，即代码是由操作系统执行的，而没有进行仿真，从而使病毒驻留在内存中。该病毒在具有PowerPC处理器的MacOS上运行的能力来自Macintosh核心中的Motorola仿真。由于感染了系统文件，该病毒在系统启动时被激活。世界语还感染了Finder，从而感染了通过该程序打开的所有文件。与Windows和DOS一样，一次只能在MacOS上运行该病毒的一个副本。

世界语可以轻松地从Windows切换到MacOS，反之亦然。为了通过.com和.exe文件感染MacOS计算机，该病毒转储了包含该病毒的MDEF资源。为了从MacOS文件感染.com和.exe文件，该病毒会寻找在模拟器中运行的Windows可执行文件。

7月26日，该病毒显示一条消息（如果该病毒位于32位Windows系统上）：

别介意您的文化/通过kulturo进行的神经入侵，
世界语将超越它/世界语preterpasos gxin；
不必介意差异/
世界语，世界语将克服它们/世界语超级。

不必担心您的处理器/通过procesoro进行的操作，
世界语将在其中运行/世界语funkcios sub gxi;
不必介意您的平台/通过platform进入网络，
世界语将感染它/世界语ingektos gxin。

现在，不仅是人类语言，而且是病毒……
世界语将不可能变成了可能。

并非偶然选择7月26日，因为这个假期是世界语日。1887年7月26日，路德维克·拉扎尔·扎门霍夫（Ludwik Lazar Zamenhof）创建了一种世界语，称为世界语。

Gollum（“我的贵重物品”）-1997

该病毒是由西班牙人GriYo编写的，他声称他的发明是第一个DOS / Windows混合病毒。

Gollum感染了.exe文件，避免了文件名中带有“ v”或以“ TB”开头的文件，从而避免了与防病毒程序的联系。

在第一次激活时，该病毒将GOLLUM.386文件引入了系统文件夹。并将DEVICE = GOLLUM.386行添加到了system.ini文件中。此加载项使病毒可以在每次启动时运行。

第一次重新启动后，Gollum以虚拟设备驱动程序的名义驻留在内存中。从DOS窗口激活.exe文件时，病毒会将其代码附加到此文件，从而感染了该文件。

Gollum病毒的结果是删除了一些防病毒程序的数据库，并将GOLLUM.EXE木马引入了系统。

在病毒代码中也可能检测到以下文本：

GriYo / 29A撰写的GolLuM ViRuS
在黑暗的水深处，住着古老的
Gollum，这是一种黏糊糊的小生物。我不知道
他来自哪里，也不知道他是谁。
他是一个古卢姆，像黑暗一样黑暗，除了
他那双瘦弱的大两只圆圆的苍白苍白的眼睛。
JRR ToLkieN ...霍比特人

这是J.R. R. Tolkien的“霍比特人”一书的摘录，该书描述了一种名为Gollum的生物，《指环王》以及彼得·杰克逊的改编书中的许多人对此也很熟悉。 正是这种生物以病毒本身命名。

巴比伦（贝壳）-1999

来自Vecna病毒编写程序笔的巴西病毒感染了运行Windows 9x的计算机上的.exe文件。

提取后，该病毒并未立即变得活跃；对于初学者而言，它修补了JMP或CALL并等待呼叫。 该病毒扫描了操作系统的内核，接收了Windows API函数的地址，并以VxD系统驱动程序为幌子进行了自我安装。

该病毒分配了一定数量的内存，从而在IFS处理程序中建立了绑定。 之后，我期望可以访问帮助，便携式可执行文件和WSOCK32.DL文件。 此外，巴比伦病毒还对系统进行了扫描，以查找已下载的反病毒库SPIDER.VXD和AVP.VXD。 如果有的话，该病毒会修补它们，从而导致它们无法再打开文件。

当巴比伦病毒感染便携式可执行文件时，它会将自身附加到最后一个扇区或覆盖.reloc节。 还将在“代码”部分中扫描可用空间以发出对该病毒的呼叫。 通过将控制权通过USER32 EnumWindows API回调函数传递给病毒代码来感染帮助文件。

该病毒通过电子邮件传播。 首先，他将代码添加到WSOCK32.DLL的send（）函数中。 这导致以下事实：用户从受感染的计算机发送的所有信件中，都有附件感染了带有圣诞节图标的名为X-MAS.exe的病毒。

由于Babylonia具有专门用于Windows 9x的特定VxD调用，因此无法感染更高版本的Windows。

巴比伦病毒可以使用在线更新模块进行更新。 该模块位于Windows System文件夹中，名称为KERNEL32.EXE，是在系统本身启动时启动的。 另外，也无法通过CTRL + ALT + DEL在任务列表中看到它。

尽管巴比伦病毒没有广泛传播，也没有成为全球性威胁，但其传播，感染和更新模块的方法使该病毒获得了普及。

我没有找到有关此病毒名称的数据。 但是，巴比伦是海洋腹足纲动物的名称。 也可以假定该病毒的名称来自“ Babylon”一词（Babylon是古代美索不达米亚的一个城市）。

该死的（再次警告，再次病毒）-2000

一种起源于俄罗斯的Windows 9x系列系统的病毒。

激活后，病毒会将自身加载到内存中，然后感染激活的.exe文件，并向其中添加自己的代码。


出于相同目的-隐藏自身-病毒删除了VxD防病毒驱动程序AVP和Spider。 还避免了由Microsoft的Soft-Ice调试器进行检测。

每月的第一天，该病毒通过将值“ 1”添加到“ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer No Desktop”中，隐藏了桌面上的所有图标。

该死的病毒代码中可能检测到以下内容：

ULTRAS的DAMMiT [MATRiX]
©2000

其中ULTRAS是该病毒的作者，而MATRiX是该病毒的作者的日记，该病毒的代码在此发布。

Blebla（“永远不要比朱丽叶和她的罗密欧有更惨的故事了”）-2000

来自波兰的Postworm用Delphi编写。 他成为第一批无需受感染机器用户干预即可激活的蠕虫。 也称为维罗纳或罗密欧与朱丽叶。


这封信中有2个附件文件Myjuliet.chm和Myromeo.exe。 该信件本身的文本包含HTML，该HTML将附加的文件保存在Windows Temp文件夹中并启动Myjuliet.chm。 后者反过来又从文件Myromeo.exe中提取了蠕虫的主要部分。

Myromeo.exe启动Romeo＆Juliet任务，可以在任务列表中看到它。 他搜索名为HH.exe的进程，该进程处理.chm文件，并尝试将其停用，以避免警告用户有关他的存在。

接下来，该蠕虫通过位于波兰的六个邮件服务器传播（它们都没有工作）：

• 213.25.111.2 memo.gate.pl
• 194.153.216.60 mail.getin.pl
• 195.117.152.91 dns.inter-grafix.com.pl
• 212.244.199.2 gate.paranormix.net.pl
• 195.116.62.86 madmax.quadsoft.com
• 195.117.99.98 promail.pl

该蠕虫还具有自己的SMTP引擎，该引擎尝试与上述服务器之一建立连接，以发送带有MIME文件的电子邮件。

尽管该蠕虫并没有造成太大危害，但它在媒体上获得了很多宣传。

YahaSux / Sahay（我不喜欢你）-2003

在病毒编写者中，也有自己的莫扎特和萨列里。 他们一样出色，彼此不一样。 YahaSux蠕虫是技嘉的创造，显然不喜欢Yaha蠕虫的作者。

受害人收到了一封电子邮件，主题为“ Fw：坐下并感到惊讶……”，内容如下：

考虑一个1到52之间的数字。
大声说出来，并在阅读时不断重复。
想一想你认识的人的名字（异性）。
现在计算该名称的第二个字母在字母表中的哪个位置。
将该数字添加到您正在考虑的数字中。
大声说出数字3次。
现在计算名字中第一个字母在字母表中的哪个位置，然后
从您刚得到的数字中减去该数字。
大声说出3次。
现在坐下来，观看所附的幻灯片放映，并感到惊讶。

该信件所附的文件是屏幕保护程序MathMagic.scr。 激活蠕虫文件后，其副本和Yaha nav32_loader.exe蠕虫可执行文件位于系统文件夹中。 如果搜索未返回任何结果，则YahaSux会以winstart.exe文件的名义将自身复制到一个文件夹中。

此外，与仇恨的Yaha的战斗变得更加有趣。 YahaSux尝试中止与Yaha.K相关的WinServices.exe（或WINSER〜1.EXE）进程。 从注册表项中删除了Yaha.K可执行文件，恢复了其原始值。 另外，还对WinServices连接进行了更改（该值的设置如下：Default =（系统目录）\ winstart.exe），这使蠕虫在系统打开时自动启动。

YahaSux还在系统文件夹和Mirc下载文件夹中创建了yahasux.exe文件。 他将自己附加到Program Files文件mirc \ download文件夹中的所有.exe文件中，并在C：驱动器的根目录中添加了MathMagic.scr文件。

该蠕虫通过将自身发送给Outlook通讯簿列表中的所有收件人进行传播。

活动40秒后，受感染的PC系统将关闭。 重新启动并删除与Yaha.K-tcpsvs32.exe相关的另一个文件后，YahaSux蠕虫显示以下窗口，并显示以下消息：



为什么YahaSux的作者技嘉不喜欢蠕虫Yaha.K及其作者？ 事实是Yaha.K将Internet Explorer中的主页更改为coderz.net，该网站托管了技嘉本身的网页。 所有这些导致了coderz.net服务器的崩溃。

在代码的新版本Yaha.Q中，作者为竞争对手留下了一条信息：

到千兆字节：CHEALS PAL，保留g00d w0rK..buT W32.HLLP.YahaSux是... lolz;）

这样的智力斗争。

Lovgate（打开我，我不是蠕虫。＃Wink）-2003

来自中国的蠕虫，具有木马的特性。


激活后，该蠕虫以下列文件之一的身份将自身复制到Windows系统文件夹中：

• Winrpcsrv.exe
• syshelp.exe
• 操作系统
• Wingate.exe
• rpcsrv.exe

为了使自身能够在系统启动的同时启动，蠕虫的行为取决于系统的版本。

Windows 95、98或ME

运行行= rpcsrv.exe已添加到Win.ini文件中。 如果系统上有注册表，则将值“ syshelp =％system％\ syshelp.exe”，“ WinGate initialize =％system％\ WinGate.exe -remoteshell”和“ Module Call initialize = RUNDLL32.EXE”添加到本地计算机的注册表项中。 reg.dll ondll_reg“。

还将值“ winrpc.exe％1”添加到密钥注册表中，以便每次用户打开文本文件时都可以启动该蠕虫。

Windows 2000，NT或XP

蠕虫以ssrv.exe文件的名义将自身复制到系统文件夹，并将值“ run = rpcsrv.exe”添加到本地计算机的注册表中。

还添加了本地计算机Software \ KittyXP.sql \ Install的注册表项。

完成这些操作后，该蠕虫会进入系统文件夹，然后激活下列文件，这些文件是其特洛伊木马程序组件：ily.dll; task.dll; reg.dll; 1.dll。

其中一些文件可能会将信息传输到hello_dll@163.com或hacker117@163.com。 蠕虫本身在端口10168上侦听，等待来自其创建者的命令，该创建者可以通过密码对其进行访问。 输入正确的密码后，蠕虫会以此类文件的名义将自身复制到具有共享网络访问权限的文件夹中：


接下来，蠕虫扫描系统中是否存在LSASS.EXE进程（本地身份验证系统身份验证服务）并将其连接。 他对负责在端口20168上打开命令环境的过程进行了相同的操作，该过程不需要身份验证。

Lovgate蠕虫病毒扫描了本地网络上的所有计算机，试图通过管理员对其进行访问。 首先，他使用一个空的密码字段来完成此操作，然后在失败的情况下应用了以下普通密码：


如果访问尝试成功，Lovgate会以stg.exe文件的名义将自身复制到\ admin $ \ system32 \文件夹。

为了进一步分发，该蠕虫扫描了“ winpath”文件夹，用户的个人文件夹以及启动该文件夹的文件夹，以查看扩展名为.ht（例如.html）的文件中是否存在电子邮件地址。

结语

因此，我们进入恶意软件世界的旅程已经结束。 尽管今天的许多展览都值得单独展览。 病毒，蠕虫和特洛伊木马的世界巨大而多样。 有无害，引起微笑，有破坏性，偷走了他们遇到的一切。 但是，这两者都是一个杰出思想工作的结果，这个思想不会停止寻找新事物，也不会停止探索。 尽管这些人并没有将自己的思想引向最崇高的道路，但他们仍然教导我们，如果我们超越极限，就永远无法达到极限。 我不鼓动写病毒。 只是不要停滞不前，发展，探索，并让您的思维永无止境。 祝您有美好的一天，很快再见。

黑色星期五 继续：订购1-6个月时， BLACK30％促销代码首次付款可享受30％的折扣！

这些不仅仅是虚拟服务器！ 这些是带有专用驱动器的VPS（KVM），这不会比专用服务器差，并且在大多数情况下-更好！ 我们在荷兰和美国制造了带有专用驱动器的 VPS（KVM）（来自VPS（KVM）的配置-E5-2650v4（6核）/ 10GB DDR4 / 240GB SSD或4TB HDD / 1Gbps 10TB，价格低廉-从29美元/月起，提供RAID1和RAID10的选件） ，不要错过订购新型虚拟服务器的机会，所有虚拟资源都属于您，就像专用的虚拟服务器一样，价格更低，而且生产效率更高的硬件！

如何建立建筑物的基础设施。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？ 戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！