Nibiru » 13 сен 2008, 10:29
B
Baby.83, 100
Неопасные резидентные вирусы-спутники. Изменяют последнюю букву расширений запускаемых файлов.
BackFormat.2000 (1,2), 2345, 2381
Опасные вирусы. Заражают EXE, COM-файлы на дисках A: и B: при закрытии (f.3Eh INT 21h) вновь создаваемых файлов (f.3Ch, 5Bh INT 21h). BackFormat.2000 (2) также заражает при закрытии открытых файлов. Вирусы заражают c:\command.com, не изменяя его длины. Перехватывают INT 13h, INT 21h. При форматировании гибких дисков, последовательно присваивают секторам значения в обратном порядке, начиная со старших адресов. Например, для диска 360K вместо значений 1,2,...,9, порядок чередования секторов будет - 9,8,...1.
BackFormat.2320
Очень опасный резидентный шифрованный вирус. При записи в файл (f.40h Int 21h) очень часто сдвигает записываемую информацию на 1 байт. В пятницу производит данную операции в 4 раза чаще.
BackUSSR
7 октября выводит текст "I'm backing to the USSR !".
BadBoy.1000 (1-7)
Неопасные резидентные вирусы. Состоят из 9 блоков, 8 из которых вирусы меняют местами при инфицировании файлов.
Badless.494
Опасный нерезидентный вирус. Заражает *.COM-файлы. Файлы формата EXE, имеющие расширение COM вирус уничтожает, записывая в них 37 байт кода, который при старте данных программ выводит текст "Only in God we trust...". Имеет также текст "Badless 1992".
BadSectors.3422, 3428, 3627
Опасные резидентные вирусы. Перехватывают INT 8, 16h, 21h, 25h, 26h. Иногда устанавливают "плохие" кластеры диска посредством манипуляций с таблицами размещения файлов FAT. Не заражают программу SCAN. Содержат текстовые строки "COMEXE", "SCAN" и
BadSectors.3422: BadSectors 1.1
BadSectors.3428: BadSectors 1.2
BadSectors.3627: BadSectors 1.3
Balashiha.271
Блокирует вывод на принтер. Содержит строку "Balashiha-2".
BAME-вирусы
BAME (Black Angel Mutatuon Engine) - полиморфный генератор вирусных шифровщиков и расшифровщиков. Создан вирусописателем известным, как Black Angel.
BAME.Demo
Неопасный резидентный полиморфный вирус. Каждую минуту "сбивает" буфер клавиатуры. Содержит тексты "This is [BAME beta version] DemoVirus © Black Angel`96", "BlackAngelMutationEngine v1.beta ©Black Angel".
BAME.Saboteur
Опасный резидентный полиморфный вирус. Разрушает каждый 15 открываемый файл с расширением BA?, AR?, PA?, записывая в них строку "SABOTEUR-2". После заражения 6 программ (а также в некоторых других случаях) вирус уничтожает содержимое CMOS-памяти, MBR первого жесткого диска.
Bandersnatch
Неопасный резидентный полиморфный стелс-вирус. Содержит тексты "Злопастный Брандашмыг", "DOS-UP", "What's fuck?"
Baran.3294, 4968
Резидентные полиморфные вирусы. Baran.4968 - стелс-вирус. Baran.4968 заражает командный процессор, указанный в переменной COMSPEC. Если вирус работает под управлением MS Windows, то вирус также заражает программу, которая запускается при выходе из Windows. Baran.3294 может вывести текст "Gwadera to baran !". Baran.4968 портит данные, записываемые на диск. Baran.4968 содержит текст "Unknown destroyer v1".
Barrotes.1303
Неопасный резидентный шифрованный вирус. Сразу стремится заразить файл COMMAND.COM. 23 сентября изменяет символы, вводимые с клавиатуры. Содержит тексты "Sta Tecla (MAD1)", "ST".
Barrotes.1310
Опасный резидентный вирус. Первым делом стремится заразить файл c:\command.com. 5 января уничтожает MBR первого жесткого диска и выводит на экран текст "Virus BARROTES por OSoft".
Basilisk.1639
Неопасный полиморфный вирус. При старте программ SCAN*.* вирус выводит сообщение "Packed file is corrupt" и возвращает управление в DOS. Содержит строку "Basilisk v1.0" и текст:
© 1992 YAM/RABID International
The slave thinks he is released from bondage
only to find a stronger set of chains
Bastard.1979
Очень опасный резидентный вирус. Заражает EXE-файлы и файл COMMAND.COM. В файл COMMAND.COM вирус записывает 200 байт кода, который не является вирусным кодом. Может уничтожить 100 секторов диска A: или C: Удаляет файлы MS*.* и CP*.*. Не заражает файлы, содержащие в своем имени 2 соседние буквы из строки "SCCLF-TBVSVIIMMSCV". Имеет строку "This virus was written by Doctor Revenge November 23 - December 29 1993 -Italy-".
BAT.282
Неопасный нерезидентный Batch-вирус. Создает в корневых каталогах дисков B: и C: файл VIRUS.BAT, содержащий вирусный код. Вставляет в файл AUTOEXEC.BAT вызов файла VIRUS.BAT.
BAT.Batalia.2011
Неопасный полиморфный вирус, заражающий *.BAT-файлы в текущем каталоге. При заражении файлов вирус использует архиватор ARJ, доступный через переменную среды PATH. Инфицированный BAT-файл состоит из двух частей. Первая часть состоит из пяти команд DOS, а вторая часть является заархивированным с помощью ARJ BAT-файла, имеющего случайное имя. Этот заархивированный BAT-файл также содержит команды DOS и еще один ARJ - архив. Команды DOS являются основным телом вируса, они производят поиск файла-жертвы, заражение файлов и создание полиморфного кода.Первые пять команд вируса вибираются случайным образом и имеют различную длину. Вторая часть - ARJ-архив зашифрован со случайным паролем и не может быть детектирован по определенной маске. При запуске инфицированного BAT-файла, первые пять команд запускают архиватор ARJ для распаковки второго BAT-файла и передают ему управление. Этот BAT-файл создает временный подкаталог S_G_W_W, разархивирует в этот подкаталог файлы из второго архива, выполняет поиск и заражение BAT-файлов, выполняет BAT-файл-носитель, удаляет временный подкаталог и файлы и заканчивает свою работу.
BAT.Batman
Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный BAT- файл создает файл B.COM, в который записывает свой код, и отдает ему управление. Файл B.COM, исполняющий содержимое BAT-файла, как машинные инструкции устанавливает в память свою резидентную копию, не проверяя ее наличия в памяти, и "перехватывает" INT 21h. После этого файл B.COM удаляется. При записи в файл (f.40h Int 21h) вирус проверяет не находится ли первой в буфере записи строка @echo. Если находится, то вирус считает, что производится запись BAT-файла и записывает в него свой код. Внешне вирус BAT.Batman выглядит следующим образом:
@ECHO OFF
REM [............]
copy %0 b.com>nul
b.com
del b.com
rem [............]
В квадратных скобках [......] схематично показано расположение байт, которые являются ассемблерными инструкциями или данными вируса.
BAT.BatVir
Неопасный нерезидентный вирус, заражающий BAT-файлы. Инфицированный BAT-файл создает файл BATVIR.94, в который записывает собственный дамп. Далее с помощью программы DEBUG данный дамп преобразуется в COM-файл. Данному COM-файлу программой DEBUG отдается управление. Этот COM-файл производит поиск и заражение *.BAT-файлов в текущем каталоге, после чего производится выход из DEBUG и удаление файла BATVIR.94. Вирус содержит текст "rem [BATVIR] '94 © Stormbringer [P/S]".
BAT.Highjaq
Очень опасный нерезидентный вирус-червь. Записывает свой код в WINSTART.BAT, ARJ-архивы и создаваемый вирусом системный драйвер. При старте инфицированного WINSTART.BAT-файла вирус создает файл C:\Q.COM, записывает в него свой код и запускает его следующей строкой BAT-файла: dir \*.arj/s/b|c:\q.com/i. Команда DIR производит поиск всех *.ARJ-файлов и передает их имена вирусному файлу C:\Q.COM.Данные архивы заражаются путем приписывания к ним еще одного поля в формате ARJ-архива, содержащего неупакованный (store) инфицированный файл /WINSTART.BAT (данный файл, расположенный в корневом директории диска, где находится система MS-Windows будет автоматически запускаться при старте MS-Windows).После чего вирус (C:\Q.COM) проверяет установлена ли его резидентная копия в памяти.Если нет, то вирус (С:\Q.COM) возвращает соответствующий код возврата (errorlevel) и заканчивает свою работу. По данному коду возврата (если память не инфицирована) вирус в BAT- файле переименовывает файл C:\Q.COM в C:\ABCDEFGH.IJK (вирус генерирует случайное имя) и дописывает в конец файла C:\CONFIG.SYS строку "INSTALLHIGH=C:\ABCDEFGH.IJK". Данный вирусный системный драйвер будет устанавливать резидентную копию вируса в память при загрузке DOS. Резидентная копия "перехватывает" INT 8, 21h и не занимается заражением файлов, а предназначена для идентификации наличия вируса в системе, а также вирусный обработчик INT 21h блокирует функцию GetFileAttribute для файлов, имена которых начинаются на "/W". Вирусный обработчик INT 8 через некоторое время перезагружает систему, если компьютер работает не под управлением MS-Windows. Вирус контролирует COM-порты и иногда посылает в порт модема строки (? - номер порта):
HIGHJAQ on COM?:38400,N,8,1 Система перезагружается если вирус определит, что бит Carrier Detect в течение 3-ех минут трижды устанавливался в единицу в соответствующем COM-порте. После перезагрузки системы вирус "перехватывает" INT 8, блокирует клавиатуру и запускает файл C:\COMMAND.COM с командной строкой "C:\ COM? /E:1024/P/F". Т.е., вирус определяет 3 звонка в течение 3-ех минут (1 звонок в минуту) от некоторого хакера и считает это "сигналом к взлому системы". После этого система перегружается, запускается COMMAND.COM и в порт модема посылается команда ATL0M0A. Хакер, позвонивший модемом в это время на данный компьютер, увидит после соединения системное приглашение "C:>" и сможет сделать с этим компьютером все, что хочет.
BAT.Naive
Неопасный резидентный вирус, заражающий BAT-файлы. Инфицированный BAT- файл проверяет наличие переменной среды RANGE_CHECK, если она равна "yes", то вирус отдает управление содержимому оригинального BAT-файла. Если данная переменная не установлена в "yes", то следующими строками вирус создает файл naive.com, в который записывает код проверки наличия в памяти своей TSR-копии, после чего запускает данный файл - "@naive.com". При отсутствии TSR-копии NAIVE.COM устанавливает соответствующий код возврата, который анализируется BAT-вирусом. Далее файл NAIVE.COM создается заново и в него записывается код, получающий информацию из стандартного входа (CON), который в свою очередь поступает из созданного файла NAIVE.DAT, в который вирус записал закодированный текст своего кода (один байт преобразован в два символа). Файл NAIVE.COM преобразует символы ASCII по некоторому алгоритму перекодирования (два символа - в один байт) в программный код и записывает этот код в файл NAIVE.EXE:
@echo>naive.com №ЁРБьЁУrXґ?........
@echo>naive.dat DDMJDDNCLEP........
@echo>>naive.dat IMAGPAACIJ........
...................................
@naive.comnaive.exe
Затем файлы NAIVE.COM и NAIVE.DAT удаляются:
@del>nul naive.com
@del>nul naive.dat
Запускается файл NAIVE.EXE, устанавливающий в память свою TSR-копию.
@naive.exe>nul
Файл NAIVE.EXE удаляется и устанавливается переменная среды RANGE_CHECK=yes, и управление отдается оригинальному BAT-файлу.
@del>nul naive.exe
@set range_check=yes
Далее при смене каталога (f.3Bh INT 21h) резидентная часть вируса производит поиск *.BAT-файлов, проверяет их на зараженность, и если они еще не заражены, создает файл NAIVE.TMP, производит кодирование своего программного кода в последовательность символов ASCII и записывает 4894 байт в файл NAIVE.TMP. После этого вирус дописывает в файл NAIVE.TMP содержимое оригинального BAT-файла и переименовывает NAIVE.TMP в имя BAT-файла.
BAT.Pot, BAT.Xop367, 850, BAT.Zep, BAT.Zop (1,2).
Неопасные нерезидентные вирусы. Заражают *.BAT-файлы в текущих и родительских директориях. BAT.Zop содержит текст "::[8m --- [ZoP_B] Batch Infector ---". BAT.Pot выводит тексты "You're Stoned!", "Let me outta here!".
BAT.Winstart.296, 297
Неопасные резидентные вирусы, создающие файлы WINSTART.BAT. При старте такого файла вирусы копируют содержимое стартовавшего BAT-файла, содержащего вирусный код в файл C:\Q.COM и запускают его:
@ECHO OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
Далее управление в файле C:\Q.COM попадает на эти же команды, которые уже выполнялись в инфицированном BAT-файле, но только в данном случае команды в COM-файле уже представлены, как ассемблерные инструкции, которые отдают управление командам, следующими за строкой C:\Q. Вирусы устанавливают свою копию резидентно в память (в область HMA) и "перехватывают" INT 2Fh, после этого переименовывают файл C:\Q.COM в C:\WINSTART.BAT. Резидентные копии вирусов контролирует запуски командного процессора и создают файл WINSTART.BAT в текущем директории.
Bauman.2203
Очень опасный нерезидентный вирус. В пятницу во второй половине дня уничтожает информацию на первом жестком диске. Оставляет в памяти резидентную копию, которая "гуляет" по разным адресам памяти и удаляет программы с именами DRWEB и AVP при их запуске. Содержит текст "© T&T Bauman".
Beast.Zver
Очень опасный резидентный вирус. Использует алгоритм заражения, заимствованный из вирусов семейства Beast - в начало файла записывается вирусный код, а оригинальное начало хранится в последнем неиспользуемом кластере файла на диске. Длина файла не меняется при этом не изменяется. Но длина файла по цепочке FAT может не совпадать с реальной длиной. Вирус содержит текст "~ZVER~".
Beda.337, 338, 352, 883, 1301, 1530
Свое название получили за функцию проверки своего наличия в памяти - f.BEDAh INT 21h. Beda.883, 1301 устраивают видеоэффект - три цветные линии, плавающие по экрану. Beda.352 имеет строку "ACHE". Beda.1301, 1530 при открытии (f.3Dh INT 21h) инфицированного файла создают новый файл \$a._$, в который записывают содержимое оригинального файла и возвращают открывающей программе описатель (handle) данного созданного файла. При закрытии файла (f.3Eh INT 21h) вирусы удаляют файл \$a._$. Beda.1530 удаляет файлы, начинающиеся на -V, WEB, AIDS, A-DIN. Также, Beda.1530 иногда изменяет в буфере клавиатуры нажатие клавиш F5, N, n соответственно на F8, Y, y.
Beer.645
Неопасный резидентный вирус. Иногда выводит текст "Ceйчac бы пивкa".
Beer.2473, 2620, 2794, 2850, 2984, 3164(1,2), 3192(1-3), 3399, 3490(1,2)
Опасные резидентные шифрованные вирусы. Beer.2473, 3164, 3192, 3307, 3399 уничтожают файлы DISKDATA.DTL, VIRUSES.INF, DIRINFO, -V.MSG или A-DINF-°.°°°. Иногда проигрывают мелодию и выводят сообщения:
Beer.2473 - Виpус,Виpус ха-ха-ха. ПРЯМО СВЕРXУ xa-xa-xa-xa !!!
Beer.2620, 2794, 2850, 2984, 3164, 3192, 3490 - Ceйчac бы пивкa
Beer.3399 - Lozinsky! I know you to be old beer drinker. How about a mug of beer or two? It would be amazing to meet you at our beer party. You are welcome at Solntsevo railway station About 17.00 p.m. every friday and wednesday.
Beer.3490 (1,2) содержат тексты "EGA - text mode demonstration Copyright © by Wadim 1990.", "I love you ,Ann !ANNA", "Wadim S.".
BG.1348
Опасный резидентный зашифрованный вирус. Иногда выводит текст:
Seems so simple now
Now that the sky is clear
Maybe the road was tough
But at last we're here
I've nothing to hide from you
Nothing to explain
Just this vision of broken wing
And the raven cries in pain...
Enter the name of song:
При неправильном ответе вирус "зацикливает" систему.Также может вывести на экран картинку.
BG.2135
Hеопасный резидентный шифрованный вирус. При одновременном нажатии на клавиши F12, NumLock, CapsLock и ScrollLock, вирус выводит текст:
И, может быть, тогда откроется дверь,
И звезды замедлят свой ход.
И мы встанем на пристани вместе,
Взявшись за руки, глядя на парусный флот.
BG.3084
Опасный резидентный полиморфный вирус. Выводит на экран текст Рок-н-ролл мертв, а я еще нет...
При открытии файлов с расширениями TXT,PAS,CPP,DIZ,NFO вирус записывает
в них тексты:
Я буду учиться не оставлять следов,
Учиться мерить то, что рядом со мной:
Землю - наощупь, хлеб и вино - на вкус,
Губы губами, небо - своей звездой;
Я больше не верю в то, что есть что-то еще;
А глаза с той стороны прицела ясны.
Все назад! Я делаю первый шаг,
Я начинаю движение в сторону весны...
То ли вынули чеку,
То ль порвалась связь времен.
Подружились господа,
Да с Господней сранью.
На святой горе Монмартр
Есть магический Семен,
Он меняет нам тузы
На шестерки с дрянью.
Раньше сверху ехал Бог,
Снизу прыгал мелкий бес,
А теперь мы все равны,
Все мы анонимы.
Через дырку в небесах
Въехал белый Мерседес,
Всем раздал по три рубля
И проехал мимо...
нтные шифрованные вирусы. 17 ноября выводят текст:
G+A=
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Press any key to go on
BigMouse.998
Очень опасный шифрованный резидентный вирус. В апреле уничтожает содержимое логического диска D:. Содержит строки "SCANCLEAVIRSF-PRCPAV" и "-=GC73=-".
Birthday.512
Опасный нерезидентный вирус. 31 числа в 11 часов удаляет стартовавшую инфицированную программу. Содержит текст "Happy Birthday!!".
Bishkek.319
Опасный нерезидентный вирус. 31 числа уничтожает содержимое 10 первых секторов жесткого диска. 22 числа выводит текст "Scorpions by Sch(5) in Bishkek".
BitAddict.979, 1190, 1459, 1601
BitAddict.979, 1190 - неопасные, BitAddict.1459, 1601 - очень опасные резидентные вирусы. Размещают свою резидентную копию в нескольких системных буферах. При первом запуске стремятся заразить командный процессор, указанный через переменную COMSPEC. BitAddict.1459, 1601 уничтожают содержимое секторов диска D: после 256 "переходов" вирусов с одного компьютера на другой.
Bitch
Неопасный Boot-вирус. Пытается заместить собой вирусы Stoned и Michelangelo, если обнаружит их на дисках. При ошибке записи своего кода на диск выводит на экран текст: "ю.Z.яэF< SVINOLOBOVA SYKA >S0_MBR © 04.1994 by @SOURCE (ЛИАП). По всем вопросам обращаться по тел. 264-35-27 ( после 22ч. Люда ).".
BlackJec.231,232,235,236,247,252,267,272,276,281,287,292,301,307,358,363,369, 374,378,427,440,441
Неопасные (BlackJec.301, 307 - опасные) нерезидентные вирусы. BlackJec.301, 307 в сентябре пытаются отформатировать первую дорожку текущего флоппи-диска и выводят текст "Sad virus - 24/8/91".
BlackMonday.1055
Очень опасный резидентный вирус. В понедельник форматирует нулевую дорожку жесткого диска. Содержит текст "Black Monday 2/3/90 KV KL MAL".
BlackSun.2372
Неопасный резидентный зашифрованный вирус. Иногда "трясет" экран посредством изменения строчных букв на заглавные и наоборот на экране. Содержит тексты "CHKLISTDISKINFOSCOPEЕ", "BlackSun v1.0 "Shaker"".
BlackWorm
Очень опасный загрузочный вирус. Начиная с 1995 года уничтожает содержимое первого жесткого диска. Содержит текст "BLACK WORM".
Blah.3379, 3385
Неопасные файлово-загрузочные стелс-вирусы. Заражают MBR жесткого диска и BAT-файлы. При старте инфицированного BAT-файла, вирусы создают файл є.com, в который записывают некоторый текст. После чего вирусы отдают управление данному є.com файлу. Первые байты текста файла є.com воспринимаются процессором, как ассемблерный код, производящий по определенному закону,конвертацию текстовых строк в вирусные инструкции. Далее є.com файл устанавливает свою резидентную копию в память, "перехватывает" INT 13h, 21h и заражает MBR "винчестера". После чего файл є.com удаляется. Резидентные копии вирусов заражают BAT-файлы и осуществляют стелс-механизм сокрытия вирусного кода в инфицированных BAT-файлов и MBR. Вирусы содержат текст "Blah virus (DA/PS)"
Blind.549
Опасный нерезидентный вирус. Из-за ошибок может разрушить инфицируемые файлы. Содержит текст "=Blind Guardian 1995=".
Blink.501
После каждого 4 заражения файла вирус "мигает" экраном.
Bobby.613
Неопасный нерезидентный вирус. По пятницам выводит текст: Пpивет, я - безобидный виpyс Bobby Friday. Я не пpичиню вpеда вашемy компьютеpy Я только бyдy говоpить по пятницам, что моемy автоpy очень нpавится девyшка по имени СВЕТА.
Bomzh.3809
Опасный резидентный шифрованный вирус. "Перехватывает" INT 17h (вывод на принтер) и INT 21h. При печати на принтер вставляет после запятой междометие ", бля". Содержит тексты:
Приветствую всех хакеров, читающих этот текст.
Этот вирус - типичный "студенческий".
Приношу всем пострадавшим от его некорректных
действий свои искренние извинения.
Он был написан в период летней практики только от скуки.
Благодарю за помощь, которую мне оказали:
Игоря Данилова(за его VIRLIST),
Евгения Касперского(за "Компьютерные вирусы в MS-DOS".
Евгений, не пишите больше таких книг - "чайникам" они бесполезны,
профи - насрать, а вот вирусописатели...),
Карпова Вадима - за литературу,
Иванова Олега - за комп.
Все замечания в свой адрес приму
через FIDONET 2:5033/1.32 с пометкой "Бомжу".
Желаю всем жить счастливо!
Пока!
Ваш Бомж.
Бомж-вирус.
Bones
Очень опасный загрузочный стелс-вирус. 7 числа уничтожает содержимое дискеты, к которой происходит обращение, и первого жесткого диска.
BootCom.Light
Неопасный файлово-загрузочный вирус. При первом старте зараженного COM- файла, вирус инфицирует MBR жесткого диска. При загрузке системы с такого диска вирус "перехватывает" INT 1Ch, ждет второго изменения INT 21h, после чего "перехватывает" INT 21h. Содержит текст "© Light General.For free use!Kiev.1995".
BootCom.Peanut.445
Опасный вирус. Заражает MBR жесткого диска и Boot-сектора гибких дисков, а также COM-файлы при их запуске. При старте инфицированного COM-файла или при загрузке с зараженного флоппи-диска вирус поражает MBR "винчестера". При загрузке с инфицированного жесткого диска вирус размещает свою TSR-копию в верхних адресах памяти и перехватывает INT 13h. После загрузки первой EXE-программы вирус перехватывает INT 21h. При заражении дискет вирус не сохраняет оригинальный Boot-сектор. При чтении через INT 21h зараженного MBR вирус подставляет оригинальный MBR (стелс-вирус).
BootExe.174
Очень опасный файлово-загрузочный вирус. Внедряет свой код в середину загрузчика MBR, устанавливая на этот код свою программную ссылку. При загрузке системы с инфицированного диска устанавливает свою резидентную копию в таблицу векторов прерываний, "перехватывает" INT 13h, проверяет запись на флоппи-диски COM или EXE-файлов (определяя их по первым байтам заголовка файла: 0E9h - для COM и 'MZ' - для EXE-файлов) и записывает свой код в начало данных файлов, не сохраняя оригинальный программный код.
BootExe.443, 444, 451 (1,2), 452
Опасные вирусы. Заражают Boot-сектора "винчестера" и гибких дисков, а также EXE-файлы, внедряя свой код в заголовок EXE-файлов, превращая файл из формата EXE в формат COM-файла. Вирусы перехватывает INT 13h и "следят" за чтением секторов. Если прочитанный сектор содержит сигнатуру "MZ", то вирусы считают, что был считан заголовок EXE-файла. И если данный заголовок равен 512 байтам, и EXE-файл имеет достаточно свободного места в таблице перемещаемых элементов (relocation table), то вирусы записывают в свободное место заголовка EXE-файла свое тело и изменяют сигнатуру "MZ" на короткий JUMP (EBh ??) на свой код. После чего производят запись данного сектора, содержащий вирус, на диск. Вирусы также заражают Boot-сектор жесткого диска, считая, что он располагается на головке-1, дорожке-0, секторе-1. При заражении дискет, отличных от 360 Kb, вирусы не сохраняют оригинальный Boot-сектор.
BootExe.Dogcher
Опасный резидентный вирус, заражающий MBR первого жесткого диска и EXE-файлы. При заражении EXE-файлов вирус записывает оригинальный сектор, содержащий заголовок EXE-файла (512 байт) в сектор, предшествующий исходному, не проверяя его содержимое.
BootExe.Olga
Опасный вирус. Заражает MBR жесткого диска и EXE-файлы. 27 декабря уничтожает содержимое жесткого диска. Содержит текст "SGB:Olga++".
BootExe.Platov
Устанавливает свою резидентную копию по адресу 9000:FC00h. Принадлежит "перу" Андрея Платова.
BootExe.Stalker.310, 320
Опасные резидентные вирусы, заражающие MBR "винчестера" и EXE-файлы. При запуске инфицированного EXE-файла, вирусы заражают MBR, не сохраняя оригинальный загрузочный сектор MBR, и "вешают" систему. При загрузке системы с инфицированного MBR, вирусы устанавливают в память свои резидентные копии и "перехватывают" INT 13h. BootExe.Stalker.320 содержит строку "*Stalker*" с инвертированными битами.
Bowl.737
Неопасный нерезидентный шифрованный вирус. Неработоспособен на Pentium PC.
Brasil
Очень опасный загрузочный вирус. Может вывести текст "Brasil virus!" и уничтожить содержимое секторов жесткого диска.
Bravo
Опасный загрузочный вирус. Может уничтожить содержимое MBR, записав вместо него случайные данные, в начале которых будет присутствовать строка "Bravo".
Brownie.688
Неопасный вирус. 13 числа выводит текст "brownie for Koliada A.I." и воспроизводит некие звуки на динамике.
BrPI.511, 555
Неопасные резидентные вирусы. BrPI.555 производит скроллинг экрана на несколько строк вверх для каждого 3-го стартующего инфицированного файла. Содержат строки:
BrPI.511 - "© by BrPI Version 2.0 '92"
BrPI.555 - "by BrPI '92".
Btg.792
Неопасный резидентный вирус. При запуске некоторых программ может вывести текст "Error in EXE file". Содержит строку "Btg#".
Bug.920
Опасный нерезидентный вирус. Производит поиск *.EXE файлов и создает для этих файлов COM-файлы длиной 73 байта, не содержащие вирусный код, а только производящих запуск данных EXE-файлов. Также производит поиск и заражение стандартным образом COM-файлов. Удаляет файлы c:\chklist.*. Производит изменение случайного символа знакогенератора. Содержит текст "BUG-2.0oН".
Burger.382, 560
Очень опасные, замещающие программный код, вирусы. Burger.382 иногда пытается переименовать файл с расширением EXE в файл с расширением COM. Уничтожают информацию в 2ух случайных секторах диска C:.
Burglar.1150
Неопасный резидентный вирус. При значении секунд системного времени- 14 вирус выводит текст "Burglar/H". Не заражает файлы из списка (по 2 символа на имя) "CLHWTBF-WCTK". Содержит текст "AT THE GRAVE OF GRANDMA...".
Burma.442 (1,2), 666
Производят видеоэффект: все символы на экране кружась, исчезают в центре экрана. Burma.442 (1,2) выводят текст "[Tempest - р]", они содержат строку "Rangoon, Burma". Burma.666 выводит тексты "SwizzleStyxx!" и "Reading system configuration, please wait.", содержит также текст "DarkAvenger".
BW.Roet.1899
Опасный резидентный вирус. 20 декабря уничтожает содержимое логического диска C: и выводит текст: ROETVIRUS_E5IBINFECTION PC DeStruCTion aFTeR 255 bEEpsTry aGAin NexT YEar ROETJE - THE IMMENSE
ByeBye
2, 6, 10, 14, 18, 26 и 30 мая выводит на экран текст "Bye bye C&C".