Alfizik (Хакер_ру) все записи автора Вчера к нам поступил ПК с интереснейшим вирусом. После загрузки винды вирус сразу выводит на экран следующее окно с требованием отправить платное SMS-сообщение для получения кода, якобы для активации Windows. Внимание! Будьте аккуратны и не посылайте SMS, говорят что снимает за раз по 300 рублей.

Неплохой однако, годный фишинг )))

Вирус также блокирует работу ПК, выше изображенное сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой (кнопки Пуск и рабочего стола соответственно), в том числе и до диспетчера задач. Единственно что работает это смена сеанса пользователя по Win+L, но толку от этого никакого. В безопасном режиме компьютер не загружался, машина висла. Короче полный маздай ))

Тело вируса мне удалось обнаружить в трех местах:
1. C:\Documents and Settings\Администратор\Local Settings\Temp\922.exe
2. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\HO9NMBT5\aa[1].exe
3. C:\WINDOWS\mfo.exe
Во всех случаях это был один и тот же файл размером 44544 байт MD5 сумма: E7A247CE628D8F455D5E895DBEF71976

Разными антивирусами это вирус распознается как модификация следующих тварей:
AntiVir - TR/LockScreen.E.1
Avast - Win32:Malware-gen
AVG - SHeur2.BPQG
Comodo - Heur.Suspicious
DrWeb - Trojan.Winlock.428
Kaspersky - Trojan-Ransom.Win32.SMSer.rk
Panda - Trj/CI.A
Symantec - Trojan.Ransomlock.C
Что интересно и удивительно NOD не детектит его вообще!!! Так что пользователи этого антивируса будьте внимательны, не подцепите эту вирусную гадость!


Мой вариант лечения.
Загрузить ПК с LiveCD подключить флешку с антивирусом и провести полную проверку. Будьте внимательны не все LiveCD поддерживают подключение USB-накопителей (можно использовать например Alkid Live CD или iNFR@ CD). В качестве антивируса на флешке хорошо подходит portable антивирус от Dr.Web - Dr.Web CureIt!, скачать который можно с офф. сайта по адресу - http://www.freedrweb.com/cureit/
Также можно воспользоваться AVZ антивирусом (тоже работает без установки), заодно и систему им можно подлечить и закрыть потенциальные дыры в системе. Скачать его можно с офф. сайта по адресу - http://www.z-oleg.com/secur/avz/download.php

Несколько слов о AVZ (под катом)

Другой вариант лечения (сам НЕ пробовал).
Ввести ключ для разблокировки: 13616. Окно исчезнет дав возможность работать с ПК. А дальше по ситуации, либо сразу проверяем антивирусом. Или сначала через редактор реестра (нажмите кнопку Пуск ---> Выполнить - Введите в поле, Regedit) ищем следующие ключи:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Desktop \ SafeMode
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ ControlSet003 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SafeBoot

и устанавливайте значение 1 (по идее станет доступна загрузка в безопасном режиме). Затем перезагрузите компьютер, после включения компьютера, незадолго до запуска Windows, нажмите клавишу F8. Выберите загрузку - "Безопасный режим". Загрузитесь и проверьте компьютер на вирусы.

Alfizik (Хакер_ру) все записи автора Работая админом, часто встречаешься со всякой вирусной гадостью, и также зачастую приходится устранять самые разнообразные последствия их действий. На основе вот таких незатейливых суровых будней сисадмина я и решил написать эту статейку.

Итак к делу, если Вы решили подшутить над другом или устроить пакость недругу, симулировав у него на компе, что ни на есть действия «жуткого» вируса, то вот Вам следующие практические советы.

1. Отключаем диспетчер задач (Ctrl+Alt+Delete)

Чтобы его отключить достаточно в реестре Windows в разделе:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создать параметр REG_DWORD DisableTaskMgr со значением 1.

И перезагрузить машину.

*Чтобы вызвать редактор реестра достаточно нажать Пуск –> Выполнить… –> в поле Открыть: ввести regedit –> OK –> откроется Редактор реестра.

2. Отключение редактора реестра

Догадались зачем это нужно? ))
Для этого опять же таки в реестре Windows в разделе:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создайте параметр REG_DWORD DisableRegistryTools со значением 1.

И перезагрузить машину.

3. Ну и на десерт полный Масдай, отключение проводника (explorer-а).
Очень веселая штука, пользователь включает комп, а перед ним пустота, точнее фоновая картинка рабочего стола и ВСЕ! Больше ничего, ни иконок, ни панели задач с часами, ни даже кнопки Пуск. После такого облома большинство пользователей обычно обреченно переустанавливают Windows ))
Чтобы отключить explorer нужно в реестре Windows в разделе:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
создать параметр Debugger со значением %Windir%\csrss.exe

И естественно перезагрузить машину.

P.S.

Панацея…

Да чуть не забыл рассказать как все это безобразие исправить ))

Чтобы включить диспетчер задач, нужно удалить соответствующий параметр в реестре.

Если Вы уже успели отключить и редактор реестра его можно включить следующим образом, нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра (Состояние по умолчанию – Не задана) вызовите окно Свойства: Сделать недоступными средства редактирования реестра –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –>OK.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Можно сделать доступным запуск Редактора реестра Windows, запустив альтернативный Редактор реестра (например,RegOrganazer), и в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалить параметр REG_DWORD DisableRegistryTools.

Если Вы отключили explorer, то Вам продеться немного, повозиться чтобы вернуть все на круги своя. На ПК каким либо методом, например с флешки при помощи предварительно созданного autorun запустить TotalComander (имхо с ним будет удобнее работать на ПК пока explorer не запущен) и через него вызвать Редактор реестра Windows (набрав в командной строке Totala команду regedit), или если он тоже отключен какой либо альтернативный редактор, например RegOrganazer и удалить параметр Debugger в ветке [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]

И перезагрузить ПК :)

Alfizik (Хакер_ру) все записи автора В интернете появился новый вирус Win32/Induc.A который заражает (используя интегрированную среду разработки программного обеспечения CodeGear Delphi) все приложения написанные на Delphi, такими например являются: QIP, AIMP и многие другие (вроде еще Skype, Total Commander, но не уверен).

Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются.

Подробности

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

Распространению вируса способствовало то, что версия 8094 популярного мессенджера QIP оказались заражена им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит).

Хорошая новость
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, видимо пока просто обкатывается технология распространения вируса. Но вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Кстати разработчики QIP пересобрали сборку, обновив до версии 8095, не содержащей естественно вируса :) Страница загрузки

Только будте внимательны (!) устанавливая версию с инсталлятора выбирайте установку для опытных пользователей и внимательно смотрите на нужные и не нужные опции (замена стартовой страницы и установка IE8) ;)

Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире.

Как бороться
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

И конечно проверить ПК антивирусом, это никогда не помешает. В настоящее время Win32/Induc.A детектят: Avast, Kaspersky, NOD32.

Alfizik (Хакер_ру) все записи автора Rootkit (руткит, от англ. root – «корень» и kit – «набор») — программа или набор программ, позволяющие компьютерному злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого факта присутствия.


Предисловие
В последнее время, одним из основных направлений развития вредносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами. Руткиты становятся все более изощренные, их количество растет с каждым годом. Большинство из них – это чужие идеи, воплощенные не лучшим образом в коде, однако, есть и крайне интересные экземпляры. Об одном таком мифическом и неопределяемом до недавнего времени рутките эта статья.


Ботнеты
Для того чтобы понять, о чем пойдет речь дальше, необходимо ознакомиться с некоторыми терминами, один из них – ботнет. По данным все той же Wikipedia, ботнет или бот-сеть (англ. botnet) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета скрытно устанавливается на компьютере жертвы и позволяет злоумышленнику выполнять некие действия, эксплуатируя ПО и ресурсы заражённого компьютера. Как правило, ботнеты используются для нелегальной или несанкционированной деятельности — рассылки спама, перебора паролей в удалённой системе, атак на отказ в обслуживании и многого другого.

Компания SecureWorks провела исследование наиболее крупных бот-сетей, занимающихся рассылкой спама. Нас же интересует только один из них, а именно Rustock, который занимает третье место в этом своеобразном рейтинге. Краткая информация по ботнету выглядит так:
• предполагаемое количество зараженных машин: порядка 150, 000;
• способность ботнета рассылать спам: порядка 30 миллиардов сообщений в день;
• наличие руткит-составляющей: да.

Теперь вы представляете с чем мы имеем дело и каков размах подобных сетей
в Интернет.

Взросление Rustock
Название Rustock придумали специалисты антивирусной компании Symantec, и оно так понравилось автору вредоносного кода, что в дальнейшем он стал его использовать. Изначально в первых версиях руткита можно было встретить такую строку: «Z:\NewProjects\spambot\last\driver\objfre\i386\driver.pdb». В последующих кроме строки с использованием «spambot» появилась строка «Rustock rootkit v 1.2».

Принято считать и делить поколения данного руткита на три «возрастные группы» (A, B, C). Это не совсем верно, так как автор постоянно экспериментировал и изменял код, методы перехвата функций и улучшал стабильность, но в целом кардинальных изменений за одну версию не вносил. На самом деле ситуацию с «версионностью» руткита достаточно просто отследить.

В конце 2005 – начале 2006 года появились первые бета-версии Rustock.A на которых обкатывались технологии. Отличить их можно по названиям драйверов: i386.sys, sysbus32. Для скрытия себя в системе использовался перехват системной таблицы вызовов (SSDT) и перехват IRP-пакетов.

Далее появилась полноценная версия Rustock.A – pe386.sys (версия 1.0), которая отличалась от первых версий техниками скрытия себя в системе. Прежде всего, автор отказался от SSDT и перехватил прерывание 0x2E (Windows 2000) и MSR_SYSENTER(Windows XP+). Для скрытия файла на диске были использованы ADS (Alternate Data Stream). Данная технология поддерживается на файловой системе NTFS. Тело руткита находилось в %SystemRoot%\system32:[случайный_набор_цифр].

В том же 2006 году появилась бета-версия Rustock.B (huy32.sys), а сразу за ней полноценная версия Rustock.B - lzx32.sys (версия 1.2), в которой использовались перехваты INT2E/MSR_SYSENTER, ADS (%Windir%\System32:lzx32.sys). Кроме всего прочего, автор добавил перехват функций сетевых драйверов: tcpip.sys, wanarp.sys и ndis.sys, который позволял ему обходить фаерволы и прятать спам-трафик.

Также были выпущены варианты с урезанным функционалом, варианты, которые восстанавливали перехваты в случае их обнаружения и снятия антируткитами или антивирусами, а также различные варианты со случайными именами драйверов.

Некоторые антивирусные вендоры, например TrendMicro, выложили в своих вирусных библиотеках описание Rustock.C, но после проверки этот экземпляр оказался очередной экспериментальной версией Rustock.B

Rustock.C
Первые слухи о Rustock.C появились летом 2006 года. Тогда же его начали искать как антивирусные лаборатории, так и вирусописатели. Антивирусные лаборатории искали для того, чтобы проанализировать и улучшить свои методы обнаружения руткитов, а вирусописатели просто для того, чтобы наворовать чужих идей и встроить в свои вредоносные программы защиту и методы сокрытия «попрактичнее».

Шло время, а образец то ли не находился, то ли времени на его анализ у антивирусных лабораторий не хватало, ведь ежедневно приходится иметь дело с тысячами файлов. Официальных подтверждений или опровержений так и не появилось, были лишь какие-то разговоры на различных форумах. Многие вендоры предпочли «откреститься» от C-варианта и заняли позицию: «Ну, раз мы его не видим/не нашли, значит он не существует. Это миф!», или: «Давайте еще вспомним “Rustock.С”, который где-то живет, а его никто не видит и видеть не может».

Но оказалось, что Rustock.C не миф. Не все антивирусные лаборатории бросили его поиск, и он дал результаты.



Как видно на изображении автор окончательно принял предложенное название Rustock. Прошло всего полтора года, и Rustock.C был найден в начале 2008 года. Все это время он работал, рассылал спам.

Службой вирусного мониторинга компании «Доктор Веб» было обнаружено порядка 600 экземпляров данного руткита, сколько их существует на самом деле неизвестно. Дата сборки большинства – сентябрь или октябрь 2007 года. На распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров вирусные аналитики «Доктор Веб» потратили несколько недель.

Даже если предположить, что руткит работает с октября 2007 года совершенно невидимо для антивирусов, можно сделать выводы о громадном количестве паразитного трафика который он разослал. Спам превратился в серьезную общемировую проблему, с которой приходится бороться каждый день. Пользователи жалуются на утечку трафика, их личные почтовые ящики переполнены совершенно ненужной и раздражающей информацией. Теряется время, тратятся деньги, расходуются не рвы. То, что у Rustock.C было столько времени действовать безнаказанно, не рискуя быть пойманным антивирусом, означает, что никто не даст гарантии, что и ваша
машина не является частью одной из бот-сетей и не рассылает спам прямо сейчас.

Некоторые технические характеристики руткита
• имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита;
• реализован в виде драйвера уровня ядра, работает на самом низком уровне;
• имеет функцию самозащиты, противодействует модификации времени исполнения;
• активно противодействует отладке: контролирует установку аппаратных точек останова (DR-регистры); нарушает работу отладчиков уровня ядра: Syser,SoftIce. Отладчик WinDbg при активном рутките не работает вообще;
• перехватывает системные функции неклассическим методом. Такие функции как:
• NtCreateThread
• NtDelayExecution
• NtDuplicateObject
• NtOpenThread
• NtProtectVirtualMemory
• NtQuerySystemInformation
• NtReadVirtualMemory
• NtResumeThread
• NtTerminateProcess
• NtTerminateThread
• NtWriteVirtualMemory
• работает как файловый вирус, заражая системные драйверы;
• конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет;
• имеет функцию «перезаражения», срабатывающую по времени. Старый зараженный файл при «перезаражении» излечивается. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
• фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного;
• имеет защиту от антируткитов;
• имеет в составе библиотеку, внедряемую в один из системных процессов ОС Windows. Данная библиотека занимается рассылкой спама. Для связи драйвера с DLL используется специальный механизм передачи команд.

Выводы
Сразу после обнаружения этого руткита вирусописателями следует ожидать всплеск подобных технологий и внедрение их во вредоносные программы.

На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус не детектирует Rustock.C. Также ни один антивирус, кроме антивируса Dr.Web, не лечит зараженные им системные файлы. Тем, кто не является пользователем Антивирус Dr.Web, рекомендуется скачать бесплатную лечащую утилиту Dr.Web CureIt! и произвести проверку компьютера.

Закончить статью хотелось бы фразой, которая стала популярной в 90-х годах. Сегодня она посвящается автору Rustock: «Все что может быть запущено, может быть сломано».

StoneCold (Хакер_ру) все записи автора Существуют программы, позволяющие возвращать состояние диска в исходное состояние.
А во время работы, все изменения идут на создаваемом "диске-образе"
А дальше возвращение к исходной точке.
У Disk Write Copyв версии "персонал", например ретрив происходит при каждой перезагрузке.
Можно ли назвать такую схему вкупе с анти-вирусом беспробойной или все равно естт определенные недостатки, какие?

RainWalker (Хакер_ру) все записи автора у меня такая вот проблема: кейлоггер сцуко задолбал (( как от него избавиться, м? ((( а то что-то даже боязно пароли все свои вводить ((( тестила комп Каспером. Каспер его палит, а вот сделать ничего не может, просто блокирует типа. так что хелп плиз )))

Maranii (Хакер_ру) все записи автора 1. Какой антивирус посоветуете?
2. Могут ли вирусы, трояны и проч. инетная дрянь привести к тому, что комп выключаеца только если выдернуть шнур из разетки и перестал читать диски?

Bad_Kpoxa (Хакер_ру) все записи автора Постоянно вылетает такая табличка...что это значит???

cHocO_cHoCo (Хакер_ру) все записи автора Можешь найти какие вирусы идут через компанию "Buka"?

Ноябрина (Хакер_ру) все записи автора Первые известные вирусы, распространяющиеся в системе "1С:Предприятие7.7" (см. "Фирма 1C", http://www.1c.ru). Данные вирусы заражают один из типов пользовательских файлов системы "1С:Предприятие 7.7" (файлы внешних отчетов, имеют расширение имени ".ERT").

Вирусы представляют из себя макро-модули, встроенные в файл-отчет 1C. Способ расположения этих вирусов в файлах-отчетах 1C и их функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.

Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.

Данные вирусы никак не проявляют своего присутствия в системе и не содержат никаких специальных деструктивных функций (за исключением того, что первый вирус при заражении уничтожает содержимое файла-жертвы).

Вероятность широкого распространения вирусов этого типа крайне мала, поскольку отчеты 1С:Предприятия не являются файлами, которые часто копируются с одного компьютера на другой или пересылаются по электронной почте.

Вирусы содержат строки-"копирайты":

Trivial.1Cv77 by BKNY0NNX
Companion.1Cv77 by BKNY0NNX
(имя вирусов "Bonny" было взято по буквам из этой текстовой строки "BKNY0NNX")

1C-Module.Bonny.a
"Overwriting"-вирус, записывает себя вместо заражаемых файлов. При заражении полностью уничтожает содержимое файла-жертвы.

Состоит их одного авто-модуля "ПриОткрытии()" и, соответственно, активизируется при открытии зараженного модуля. Состоит всего из 15 команд, которые ищут в текущем каталоге .ERT-файлы (внешние отчеты 1С), и записывается в них.

После заражения всех доступных файлов в каталоге вирус завершает работу системы (выполняет команду закрытия приложения 1C:Предприятие).

1C-Module.Bonny.b
Вирус-компаньон. Также состоит из одного авто-модуля "ПриОткрытии()". При активизации ищет в текущем каталоге .ERT-файлы, переименовывает найденные файлы в .ERT.ERT (добавляет к имени файла еще одно расширение .ERT, например, AUDIT.ERT -> AUDIT.ERT.ERT) и копирует себя вместо оригинального файла.

После заражения всех файлов в каталоге вирус открывает файл-жертву (.ERT.ERT-файл).

Вирус содержит ошибку и не определяет уже зараженные файлы, что может привести к многократному переименованию файла, например, "BALANS.ERT.ERT.ERT ... .ERT".

Ноябрина (Хакер_ру) все записи автора Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и заражают первые физические сектора дисков: начальный сектор флоппи-дисков и MBR винчестера. Дискеты инфицируются при чтении с них (INT 13h, AH=02), винчестер - при загрузке DOS с зараженной дискеты. Состоят из двух частей. Первая часть содержит тело вируса и хранится в первом физическом секторе диска, вторая содержит первоначальный сектор зараженного диска и занимает один из редко используемых секторов: на винчестере - сектор между MBR и первым загрузочным сектором, а на дискете - один из секторов, отведенных под корневое оглавление. Например, вирус "Stoned.a" записывается в последний сектор корневого каталога 360K дискет. Ранние версии вируса сохраняют на дисках свою вторую часть по фиксированным адресам: на дискете - 1/0/3 (головка/трек/сектор), на винчестере - 0/0/7. При этом никаких проверок не производится, поэтому вирус может уничтожить часть информации на дисках (на дискетах - один из секторов FAT или корневого каталога, на винчестере - один из секторов FAT). Содержат строки текста, в некоторых вирусах они зашифрованы:

"Stoned.Angelina": Greetings for ANGELINA !!!/by Garfield/Zielona Gora
"Stoned.Antigame": Antigame from The Rat
"Stoned.Archub": ARC HUB 8A
"Stoned.Arcv.a": [HiDos] By Apache
"Stoned.Arcv.b": [SCYTHE2] by Apache
"Stoned.Arcv.c": [X-3a] ICE-9
"Stoned.Bite": I'm made in B I T E Soft. !
"Stoned.BlackWorm": BLACK WORM
"Stoned.Bunny": BUNNY
"Stoned.Canadian": Canadian
"Stoned.Dallas": MаsfВl perc mгlva DALLAS !
"Stoned.Damcdoom": DAMCDOOM
"Stoned.Daniela": EU TE AMO DANIELA
"Stoned.Diablo": DIABLO
"Stoned.Digital93": ^DIGITAL'93
"Stoned.Intruder": Intruder
"Stoned.J&M": J&M
"Stoned.Jugador": MARADONA
ESTE ES EL VIRUS DEL MEJOR JUGADOR DEL MUNDO
SALUDA A UD. MUY ATTE. DIEGO ARMANDO MARADONA
"Stoned.Kenya": KENYA
"Stoned.Lera": IF YOU WANT TO FUCK CALL 575-52-94 LERA!!!!
"Stoned.Magic": Magic
"Stoned.Micola.a": Mikola
"Stoned.Mikola.b": MIKOLA V15 GHOST
"Stoned.Military": EXPERIMENTAL MILITARY VIRUS Do not distribuite
whitout Pentagon S21 office permission!
"Stoned.Neardark.a": MARIJUANA++
"Stoned.Ok": o.k.
"Stoned.Vaucher": "VAUCHER" BY DARK DOC
"Stoned.Scrlock.a": ScrLock Protection
"Stoned.Scrlock.b": (C)91 Scroll Lock Protects the HDD
"Stoned.Sepultura": -=>SРpЧLчБrТ<=-
"Stoned.Service": "Service-1" presents
bootER 1991

made in Russig

"Stoned.Spirit": SPIRIT (c) MW
"Stoned.Survivor": Survivor2
"Stoned.Zoboot": ЗаBOOTовка

Stoned
При загрузке с зараженного флоппи-диска с вероятностью 1/8 на экране появляется сообщение "Your PC is now Stoned!". Помимо указанной, содержат строку "LEGALISE MARIJUANA!". Вирус "Stoned.c" при заражении MBR винчестера уничтожает таблицу разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска. "Stoned.d" 1 октября уничтожает информацию на винчестере.

Stoned.Alive
При F0h-том обращении к диску (INT 13h) выводит текст "A AM ALIVE" в верхнюю часть экрана. Использует стелс-алгоритм при обращении к MBR винчестера.

Stoned.AntiExe
Блокирует запуск некоторых EXE-файлов, использует стелс-алгоритм.

Stoned.Antigame
Устанавливает INT 1, 3 на команду IRET. Запрещает переход в некоторые видеорежмы.

Stoned.Aragon
Зашифрован.

Stoned.Bloody.a,b
Периодически расшифровывают и выводят на экран текст: "Bloody! Jun. 4, 1989".

Stoned.Canadian
При обращении к зараженной MBR винчестера подставляет старый MBR-сектор.

Stoned.Cancer
В зависимости от текущего времени выводит: "This computer is dying of cancer!".

Stoned.COMx
После 25 мая что-то пишет в порты COM1 и COM2.

Stoned.Copy77
77-я копия вируса сообщает "Copy 77 in job ...".

Stoned.Daniela
5 апреля стирает сектора дисков.

Stoned.Dinamo
Сохраняет старый boot-сектор дискет в последний сектор корневого каталога вне зависимости от объема диска. Если при инсталляции вируса происходит ошибка, то он расшифровывает и выводит текст:

Dinamo(Kiev)-champion !!!

Stoned.DiskWasher
Периодически форматирует диски и выдает текст:

From DiskWasher with love

Stoned.Donald
Периодически выводит строку:

Donald Duck is a lie!!!

Stoned.Elythnia
При загрузке с вероятностью 1/8 выводит на экран:

Aaronexus of Elythnia!

Stoned.Face
Записывает в FAT дискет данные, расположенные по оффсету FACEh.

Stoned.GKCHP
Стелс-вирус. Содержит текст: "ГКЧП". При 90-й загрузке с винчестера стирает часть его содержимого.

Stoned.Gozar
11 ноября расшифровывает и выводит текст:

Gozar lives !

Stoned.Hysteria
19 октября стирает сектора дисков и выводит сообщение:

Turbo Hysteria

Stoned.IntFF
Иногда меняет вводимые с клавиатуры буквы. При записи на диск ищет в записываемом буфере команду INT 21h и меняет ее на INT FFh.

Stoned.Intruder
Перехватывает INT 1Ch и через некоторое время перезагружает компьютер.

Stoned.Lavot
Периодически расшифровывает и выводит на экран текст: "LAVOT NO ENSEеA".

Stoned.Lch15
Стелс-вирус. Содержит тексты: "Lch15", "For pirates". При 90-й загрузке с винчестера стирает часть информации в CMOS (ту часть, в которой хранятся пароли некоторых BIOS'ов), затем стирает сектора диска C:.

Stoned.Leo
2 апреля выводит текст:

Happy birthday to Leo!

Stoned.Leszop
Расшифровывает и выводит текст:

leszoptad!

Stoned.Light
Расшифровывает и выводит текст:

(c)Light General
THE LAST TEMPTATION

Stoned.Love
Содержат текст ("Love.b" выводит его при загрузке с вероятностью 1/8):

Your PC is now ST NED in L VE with AT

"Love.a" содержит также строку:

From U of A with L VE

Stoned.LovChild
В зависимости от своего внутреннего счетчика может уничтожить всю информацию на винчестере. Содержит текст "LoveChild b3 in reward for software stealing.". Использует стелс-механизм.

Stoned.Lucky
Иногда расшифровывает и выводит текст: "I wish you a lucky"

Stoned.March6 (Michelangelo)
Обрабатывает дискеты объема 1M. 6 марта уничтожает диск, с которого загрузился. Прочие варианты этого вируса заражают также и 360K дискеты, проявляются различными эффектами. "March6.Tocoto" выводят тексты:

"March6.Tocoto.a": MBF virus *MENEM TOCOTO* B.B.
"March6.Tocoto.b": MENEM TOCOTO virus 2"00

Stoned.March29
29 марта стирает сектора дисков.

Stoned.May21
Если обнаруживает на диске вирус "Stoned.March6", то удаляет его. 21 мая выводит на экран сообщение: "ANTI March6 Karpachev Dmitr.".

Stoned.Micola
"Mikola.b" при загрузке распечатывает экран.

Stoned.Military
В ноябре пытается форматировать винчестер.

Stoned.Million
Не сохраняет старый boot-сектор дискет. При загрузке с такой дискеты заражает MBR и пишет "Non-System disk". Вместо строки OEM записывает другую строку: "1000000".

Stoned.Near.a,b
С вероятностью 1/16 выводят на экран текст "Near Dark", а затем стирают MBR. Используют стелс-механизм.

Stoned.Nichols
Периодически выводит текст: "[Nichols] by Apache".

Stoned.Nov7
В октябре при загрузке выводит на экран символ рожицы (01h ASCII), а 7 ноября стирает MBR.

Stoned.PC-AT
Зашифрован. Содержит в себе незашифрованную строку " PC AT ".

Stoned.Rostov
Прислан из Ростова-на-Дону. Почти полностью повторяет вирус "Stoned". Не содержит текстовых строк и не выводит текст на экран. При загрузке с зараженного флоппи-диска с вероятностью 1/32 стирает на винчестере восемь секторов.

Stoned.Scrlock
Вирусы "Scrlock" запрещают запись на винчестер, если нажата клавиша ScrollLock.

Stoned.Scroll
Сдвигает часть экрана, если одновременно нажат NumLock и не нажат ScrollLock.

Stoned.Sex.a,b
Поражают диски при обращении к ним (INT 13h, AH=2,3). Сохраняют старое содержимое изменяемых секторов (boot-сектор у флоппи-диска и MBR винчестера) по адресу 1/0/3 (головка/трек/сектор) для дискет и 0/0/8 (или 0/0/7 в зависимости от версии вируса) для винчестера. При загрузке с зараженного флоппи-диска с вероятностью 1/8 сообщают:

"Stoned.Sex.a": EXPORT OF SEX REVOLUTION ver. 1.1
"Stoned.Sex.b": EXPORT OF SEX REVOLUTION ver. 2.0

Stoned.Spook
Содержит тексты "Spook 1.0", "LIM". При заражении винчестера вместо одного MBR записывает подряд восемь секторов, в результате чего может произвести на диске серьезные разрушения.

Stoned.Swedish
Выводит на экран текст: "The Swedish Disaster".

Stoned.Torm
При загрузке с вероятностью 1/8 выводит на экран:

Repent for ye shall be tormented...
Tormentor B - RABID Int'nl Dev. Corp. '91

Stoned.TurboManiac
19 октября выводит текст:

The Turbo Maniac was here..

Stoned.WXYC
Поражает загрузосные сектора дискет и первый загрузочный сектор винчестера (не MBR). Содержит строки: "JAM WXYC" и "WXYC rules this roost!". Последнюю строку периодически выдает на экран при перезагрузке компьютера.

Stoned.YMP
По первым числам ежемесячно выводит текст: "HAVE A NICE DAY (c)YMP".

Stoned.Zappa
4 декабря стирает сектора дисков и выводит сообщение:

Dedicated to ZAPPA...

Stoned.Zapped
Стирает сектора дисков и выводит сообщение:

ZAPPED YOU!

Stoned.Loa
Семейство "Stoned". В зависимости от системного времени исполняет юго-восточно-азиатскую мелодию.

Stone.MidNigh
Семейство "Stoned". В полночь выводит сообщение:

IT'S MID NIGH

Stoned.Satria
Семейство "Stoned". При заражении MBR выводит картинку.

Stoned.Scale
Семейство "Stoned". Boot-сектор и MBR сохраняет по адресу 0/0/9. Иногда проигрывает простейшую гамму.

Ноябрина (Хакер_ру) все записи автора Очень опасный резидентный файлово-загрузочный полиморфик-вирус. Заражает COM-файлы, boot-сектор диска C: и boot-сектора дискет. Код вируса зашифрован полиморфик-циклом как в файлах, так и в boot-секторах. При запуске зараженного файла вирус записывается в boot-сектор диска C: и возвращается в DOS. Boot-сектор диска C: также заражается при загрузке с зараженной дискеты. При загрузке с зараженного винчестера или флоппи-диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в boot-сектора дискет при обращении к ним и в конец COM-файлов при их запуске. Вирус использует довольно сложный механизм при заражении COM-файлов: считывает 20h байт из начала файла (заодно проверяет, что формат файла не является EXE), перехватывает INT 3, INT 13h (еще одна процедура перехвата INT 13h) и отдает управление первоначальному обработчику INT 21h. Затем ждет момента загрузки файла (сравнивает считываемые по INT 13h сектора с 20h байтами заголовка файла) и записывает вместо первого байта запускаемого кода команду CCh (вызов INT 3). Таким образом, при запуске файла первой командой идет вызов INT 3, вирус перехватывает его, восстанавливает этот первый байт, перехватывает INT 1 (трассировка) и затем трассирует файл. При трассировке вирус пропускает 256 или более выполняемых команд, затем ждет команду JMP или CALL и записывает вместо нее команду перехода на тело вируса. Затем шифрует себя и записывает в конец файла. В результате вирус записывает команду перехода на себя в середину файла, а заголовок файла не изменяется. При заражении файлов вирус проверяет различные условия, чтобы не испортить файл, однако в некоторых случаях файл все равно оказывается испорченным. В результате ошибки при заражении boot-сектора диска C: вирус стирает на нем системную информацию, если число секторов на треке меньше 21. Более никак не проявляется, содержит строку:

Nexiv_Der takes on your files

Ноябрина (Хакер_ру) все записи автора Опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в MBR винчестера и загрузочные сектора дискет и диска C:. Содержит строку:

PUR'CYST

Использует алгоритм вируса ExeBug для того, чтобы заразить память компьютера даже при холодной перезагрузке с заведомо незараженного системного диска. Этот алгоритм усовершенствован следующим образом: "Pur'Cyst" не обнуляет ячейки CMOS, а всего лишь устанавливает disk A: на 360K (если его объем 1,2Mb) или на 720K (если 1.4Mb). Компьютер, имеющий диск A: объема 1,2Mb или 1.4Mb в данном случае все равно загружается с винчестера, даже если в BIOS Setup указано грузить систему сначала с диска A, а затем с винчестера, и в дисководе A: находится системная дискета. Таким образом вирус прячется от невнимательного пользователя. Данный алгоритм несовместим с некоторыми BIOS, в результате чего пораженный компьютер может зависнуть.