Компьютерная вирусология ч. 1
страница №38
... ¦¦ (Тайвань), ¦ ¦ ¦ ¦ ¦M ¦8A 0E 95 00 81 E1 FE 00 BA 9E ¦При выполнении зараженной программы ищет ¦
¦ $ Taiwan 2 ¦ ¦ ¦ ¦ ¦C ¦58004101268C0E5A0007E4210C02E621 ¦на диске С незараженный файл и заражет его ¦
¦ (Тайвань 2), ¦ ¦ ¦ ¦ ¦ ¦ ¦Записывает себя в начало файла, перенося ¦
¦ Sunny virus ¦ ¦ ¦ ¦ ¦ ¦ ¦соответствующую часть оригинальной программы¦
(Солнечный) ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦в конец файла ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*#$ Perfume, ¦RC-765 ¦ ¦2¦ ¦D ¦Cn Se1 ¦Западная Германия, Польша: декабрь 1989 ¦
¦ 765, ¦ -768 ? ¦ ¦ ¦ ¦M1¦A4 81 EC 00 04 06 BF BA 00 57 CB ¦Сведения о вирусе противоречивы. ¦
¦ 4711 ¦ ¦ ¦ ¦ ¦M2¦04 06 BF BA 00 57 CB 0E 1F 8E 06 ¦По данным Хоффман он нерезидентен, заражает ¦
¦ ¦ ¦ ¦ ¦C ¦832E030040B82135CD212E891E61002E ¦COMMAND.COM, дает постоянное приращение ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦зараженных файлов, иногда задает вопрос, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦правильным ответом на который является 4711 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(по видимому название или код какой-то не- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦мецкой парфюмерии). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦По другим данным вирус резидентен, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦записывает себя в старшие адреса памяти, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(1024 байта). Находясь в памяти заражает ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦каждую выполняемую программу ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Ambulance Car ¦ C-796 ¦ ¦1¦ ¦D ¦Bmv Cn ¦Западная Германия, июнь 1990 ¦
¦ (Скорая помощь),¦ ¦ ¦ ¦ ¦M ¦52 8B 9C 17 04 B9 19 03 8D 94 ¦При исполнении зараженной программы ищет ¦
¦ RedX ¦ ¦ ¦ ¦ ¦C ¦023DCD21898417048B9C1704B903008D ¦жертву на диске C: и затем заражает один ¦
¦ (Красный крест) ¦ ¦ ¦ ¦ ¦ ¦ ¦COM-файл в любом каталоге, При этом заража- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦емый файл не должен быть первым COM-файлом ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦в данном каталоге. Фаза проявления наступает¦
¦ ¦ ¦ ¦ ¦ ¦ ¦при выполнении зараженной программы в опре- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦деленный (случайный ?) момент времени. При ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦этом в нижней части эерана появляется изоб- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦женной с помощью псевдографики изображение ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦скорой помощу с красным крестом, которая ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦проезжает по экрану слева направо со звуком ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦сирены. ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# V800, ¦ RC-800 ¦DAv¦1¦"¦D ¦Cn Itc Km Mc Se ¦Болгария: май 1990. ¦
¦ Live after Death¦ ¦ ¦ ¦ ¦HR¦2A ¦Вирус содержит в зашифрованном виде строку ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h 16K ¦"Live after Death" ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1024 " LenC ¦ ¦
¦ ¦ ¦ ¦ ¦M ¦51 AD 33 D0 E2 FB 59 31 15 47 ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# V800M ¦ RC-800m ¦DAv¦1¦"¦D ¦Cn Itc Km Mc Sео ¦Болгария: май 1990. ¦
¦ Live after Death¦ ¦ ¦ ¦ ¦HR¦2A ¦Штамм RC-800 не содержащий строки ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h 8192 ¦"Live after Death". Заражает файлы и при ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1024 " LenC ¦открытии. Уменьшает обьем свободной памяти ¦
¦ ¦ ¦ ¦ ¦M ¦51 AD 33 D0 E2 FB 59 31 15 47 ¦не на 16K, а на 8192. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Icelandic-III ¦RE-853 ¦ ¦1¦ ¦D ¦Itp Mm ¦Исландия: декабрь 1989. ¦
¦ December 24th ¦ ¦ ¦ ¦ ¦M ¦24 2E 8F 06 3B 03 90 2E 8F 06 ¦Штамм RE-656. Не заражает программы, инфици-¦
¦ ¦ ¦ ¦ ¦ ¦C ¦24 2E 8F 06 3B 03 90 2E 8F 06 ¦рованные вирусами RC-656 и RC-632. Если ин- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦фицированная программа запускается 24 декаб-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ря, то через некоторое время на экран выда- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ется сообщение "Gledileg jol" (Счастливого ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Рождества на исландском языке). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
*#$ Virus-90 ¦ RC-857 ¦ ¦1¦ ¦D ¦An Cn ¦США (Вашингтон), декабрь 1989. ¦
(Вирус-90) ¦ ¦ ¦ ¦ ¦M ¦81 B8 FE FF 8E D8 2D CC ¦Деструктивные действия отсутствуют. ¦
¦ ¦ ¦ ¦ ¦C ¦81 B8 FE FF 8E D8 2D CC ¦Известен автор (Patrick Toulme). ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦Задуман как демоверсия - заражает файлы ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦только на дискетах. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*#$ Typo COM ¦ RC-867 ¦ ¦1¦ ¦D ¦Av Cy Li ¦Великобритания (Брайтон), 10.89, Joe Hirst. ¦
¦ (Опечатка) ¦ ¦ ¦ ¦ ¦M ¦99 FE 26 A1 5A 00 2E 89 ¦При выполнениии зараженной программы по чет-¦
¦ Typo/Fumble, ¦ ¦ ¦ ¦ ¦C ¦32C0B4DDCD163AC4750258C35356068B ¦ным дням заражает все СOM-файлы в текущем ¦
¦ Fumble ¦ ¦ ¦ ¦ ¦ ¦ ¦каталоге. Искажает данные пересылаемые через¦
(Искажатель), ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦параллельный порт (например принтер), ¦
867 ¦ ¦ ¦ ¦ ¦ ¦ ¦заменяя некоторые, случайно выбираемые сим- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦волы на символы, расположенные на клавиатуре¦
¦ ¦ ¦ ¦ ¦ ¦ ¦справа ("w" на "q", "s" на "a" и т.д. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# June16th ¦ C-879 ¦ ! ¦1¦ ¦D ¦Az Cy Mc ¦ЮАР: апрель 1990 ¦
¦$ Pretoria, ¦ ¦ ¦ ¦ ¦M ¦4D A9 A5 2E 70 66 2E 57 09 0F ¦При исполнении зараженной программы вирус ¦
South Africa ¦ ¦ ¦ ¦ ¦C ¦AC34A5AA4B75F9C3A11F0150A11D01A3 ¦просматривает все дерево каталогов и зара- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦жает все имеющиеся COM-файлы. При этом время¦
¦ ¦ ¦ ¦ ¦ ¦ ¦поиска и заражения достаточно велико, в осо-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦бенности на системах с жестким диском, когда¦
¦ ¦ ¦ ¦ ¦ ¦ ¦время загрузки программы становится велико. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Каждое 16-е июня уничтожает FAT и главный ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦каталог, записывая в соответствующие сектора¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦слова ZAPPED ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
*$ April First ¦RC-897 ¦Ier¦1¦~¦D ¦Ab ¦Израиль, Июнь 1987 ¦
(Первоапрель- ¦ ¦ ¦ ¦ ¦I ¦89263401B419CD2104412EA265032EA2B ¦При заражении очередного файла вирус выдает ¦
ский СОМ вирус)¦ ¦ ¦ ¦ ¦+ ¦103BF6703578BF2807C013A750D8A042E ¦на экран сообщение ¦
Suriv101, ¦ ¦ ¦ ¦ ¦+ ¦A265032EA2B103 ¦ YOU HAVE A VIRUS. ¦
Suriv01, ¦ ¦ ¦ ¦ ¦C ¦BE8104B900FF81E98104B4DDCD21EB23 ¦ Первого апреля выдает сообщение ¦
SURIV 1, ¦ ¦ ¦ ¦ ¦T ¦sURIV 1.01 ¦ HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS.¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦и вызывает зависание системы, требующее хо- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦лодной перезагрузки (с помощью клавиши RESET¦
¦ ¦ ¦ ¦ ¦ ¦ ¦или выключение питания) ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# VP ¦ C-913 ¦ ¦1¦ ¦D ¦Cy Ic ¦Великобритания: май 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M1¦45 03 EB 18 08 65 56 50 ¦Весьма странный вирус, который иногда при ¦
¦ ¦ ¦ ¦ ¦ ¦M2¦21 89 1E 22 03 8C 06 24 03 B4 ¦заражении файла начинает выдавать на экран ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦его содержимое (следы отладки ?), а иногда ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦пытается запустить его на счет. В конце и ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦в начале файла имеется строка M1 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
* Devil dance ¦ RC-941 ¦ ¦ ¦ ¦D ¦Az Km ¦Мексика(Мехико): декабрь 1989, Mao Fragoso ¦
(Танец дьявола)¦ ¦ ¦ ¦ ¦M1¦ 1E 06 8C C0 48 8E C0 26 ¦После того как вирус стал резидентным ¦
¦ ¦ ¦ ¦ ¦M2¦5E 1E 06 8C C0 48 8E C0 26 ¦попытка выполнить теплую перезагрузку при- ¦
¦ ¦ ¦ ¦ ¦C ¦ 1E 06 8C C0 48 8E C0 26 ¦водит к выдаче на экран сообщения ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦"DID YOU EVER DANCE WITH THE DEVIL ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ IN THE WEAK MOONLIGHT? ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ PRAY FOR YOUR DISKS!! ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ The Joker" ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦После первых 2000 нажатий на клавиши вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦начинает изменять цвет вводимого текста на ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦экране монитора, а после 5000 нажатий ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦уничтожает первую копию FAT. Попытка пере- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦загрузки начиная с этого момента помимо вы- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦дачи приведенного выше сообщения ведет к ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦уничтожению первой копии FAT. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# 1008 ¦RC-01008 ¦ ¦1¦ ¦D ¦Co Ml Zeh ¦США, июнь 1990. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦Заражает только файл COMMAND.COM. Маскирует ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦увеличение длины на зараженной машине. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Возможны зависания системы при загрузке или ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выдача ошибки "internal stack error" ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Fellowship ¦RE-1022 ¦ ¦1¦ ¦D ¦Itp Pt Se ¦Австралия: июль 1990 ¦
¦ (Товарищество), ¦ ¦ ¦ ¦ ¦M ¦D2 74 01 40 89 44 04 89 54 02 ¦Инфицированные файлы содержат в конце текс- ¦
¦ 1022 ¦ ¦ ¦ ¦ ¦T1¦This message is dedicated to ¦товые строки T1-T5 ¦
¦ ¦ ¦ ¦ ¦ ¦T2¦all fellow PC users on Earth ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T3¦Toward A Better Tomorrow ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T4¦And a better Place To Live In ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T5¦03/03/90 KV KL MAL ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# V1024, ¦RCE-1024 ¦DAv¦1¦"¦D ¦Cn Se Ml ¦Болгария: май 1990 ¦
¦ Dark Avenger III¦ ¦ ¦ ¦ ¦DR¦h 1072 ¦Ранняя версия RCE-2000, хотя ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1024 " LenCE ¦обнаружена позднее. При запуске инфицирован-¦
¦ ¦ ¦ ¦ ¦M ¦2B C8 75 ED 8B D1 B8 00 42 CD 21 ¦ной программы вирус инсталлируется в и про- ¦
¦ ¦ ¦ ¦ ¦T ¦7106286813 ¦веряет ряд прерываний, включая 1 и 3. Если ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦последние перехвачены, то вирус дает выпол- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ниться программе-носителю, а при выполнении ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦следующей программы подвешивает систему. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Вирус переносит несколько прерываний в стар-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦шие адреса и использует их в дальнейшем. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Anthrax ¦RCEP-1040 ¦ ¦1¦ ¦D ¦Co Ml ¦Нидерланды, июнь 1990. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦75 ED 06 1E 07 1F 32 F6 B9 02 00 33 ¦При запуске зараженной программы на компью- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦тере с винчестером заражется MBR и становит-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ся резидентным. Затем вирус не сразу начина-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ет заражать программы, а ждет наступления ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦некоторого события, возможно, определнного ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦количества вводов с клавиатуры. После этого ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦заражаются по одной программе, каждый раз ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦когда та или иная программа запускается на ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выполнение. Жертва ищется по дереву катало- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦гов диска С. Приращение варьируется от 1040 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦до 1232 байт. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Armageron ¦ RC-1079 ¦ ¦1¦ ¦D ¦Se ¦Греция (Афины): июнь 1990, George Spiliotis ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦B8 00 43 CD 21 2E 89 0E 48 01 ¦При запуске зараженной программы вирус ¦
Armagedon ¦ ¦ ¦ ¦ ¦ ¦ ¦инсталлируется и заражает исполняемые файлы ¦
The First, ¦ ¦ ¦ ¦ ¦ ¦ ¦Периодически посылает на порты COM1-COM4 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦текстовую строку "Armagedon the GREEK". ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦С 5:00 до 7:00 делает попытки использовать ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦COM-порт для телефонного вызова по определ. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦номеру. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
*# 1168/DataCrime¦ С-1168 ¦Dcr¦3¦~¦D ¦Ac Mc ¦Голландия, апрель 1989. ¦
$ DataCrime A ¦ ¦!!!¦ ¦ ¦M1¦EB 00 B4 0E CD 21 B4 ¦Размножается с апреля по октябрь (с января ¦
(Дейтакрайм), ¦ ¦ ¦ ¦ ¦M2¦36 01 01 83 EE 03 8B C6 3D 00 ¦по 1 апреля вирус "впадает в спячку"). ¦
Columbus Day ¦ ¦ ¦ ¦ ¦I ¦8B36010183EE038BC63D00007503E9FE00 ¦Фаза проявления наступает 13 октября и ¦
(День Колумба) ¦ ¦ ¦ ¦ ¦ +¦1114011416071C181075031C0700065F580710 ¦продолжается по 31 декабря В этот период ¦
October 13 ¦ ¦ ¦ ¦ ¦ +¦1910140610116F756475181407161D75646C6D ¦при запуске зараженной программы вирус ¦
(13 октября) ¦ ¦ ¦ ¦ ¦ +¦6C5F58 ¦выдает сообщение ¦
¦ ¦ ¦ ¦ ¦C ¦B402CD2143FEC975F1BBAD01B500BA80 ¦ "DATACRIME VIRUS" ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ "RELEASED: 1 MARCH 1989". ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦затем уничтожает первые 8 треков дисков А:, ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦B:, C и D: см. также штаммы С-1280 и CE-1514¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# July 13TH ¦ E-1201 ¦ ¦2¦ ¦D ¦Ip ¦Испания (Мадрид): июль 1990, ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1201 " LenE ¦Guillermo Gonzalez Garcia. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦12 00 B9 B1 04 2E 30 04 46 E2 ¦Файловый вирус демонстрирующий 13 июля любо-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦го года эффект движущегося шарика, заимство-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ванный из бутового вируса Bx1-1C(Ping-pong) ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# 1210, ¦RE-1210 ¦ ! ¦1¦ ¦D ¦Aci Se ¦Испания(Барселона), декабрь 1989. ¦
¦ Prudents Virus¦ ¦ ¦ ¦ ¦DR¦t ¦Вирус активируется между 1 и 4 Мая любого ¦
¦ ¦ ¦ ¦ ¦M ¦C4 74 F0 2E 80 3E 2F 04 01 75 ¦года и заменяет операцию записи на диск на ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦операцию верификации. Таким образом в ука- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦занном периоде запись на диск блокируется. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# 1226 ¦RC-1226a ¦!!!¦1¦"¦D ¦Ab Cn Km Mac Se Zvh ¦Болгария, июль 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦1226 " LenC ¦Тело вируса зашифровано и зараженные прог- ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦8B 36 6E 33 37 6F 54 02 36 6E 33 36 6E 22 ¦раммы нельзя выявить простым контекстным ¦
¦ ¦ ¦ ¦ ¦ ¦ +¦39 6E F8 36 6...