Ficha técnica com as características de cada vírus:
1253 Ativação: 1º a 31 de dezembro Características: vírus encontrado em 1990, provavelmente originário da Áustria. Ele infecta arquivos tipo .COM, incluindo o COMMAND.COM, o setor de boot de disquetes e a tabela de partição do disco rígido. O que faz: sobregrava disquetes no drive A: e diminui a memória livre nosistema em 2 128 bytes. Como atua: na primeira vez que é executado, o vírus 1253 se instala residente na memória baixa do micro, como um TSR (Terminate and Stay Resident). Este TSR é de 2 128 bytes e captura as INTs 13, 21 e 60 do sistema operacional. A memória do sistema permanece igual, mas a memória livre diminui 2 128 bytes. Neste momento, a tabela de partição do disco rígido é infectada com o 1253. Se o arquivo contaminado é executado a partir de um disquete, o setor de boot do disquete também é infectado. Qualquer disquete que for acessado quando o vírus está ativo na memória tem o seu setor de boot infectado. Disquetes recém-formatados também são contaminados imediatamente.
Halloween Ativação: em 31 de outubro. Características: Halloween é um vírus de infecção de arquivos que não se torna residente na memória. Ele ataca diretamente arquivos tipo .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM. O que faz: torna o micro mais lento, fazendo com que arquivos e documentos demorem entre dois e cinco minutos para serem abertos. Os arquivos infectados também aumentam 10 000 bytes em tamanho. Como atua: cada vez que um arquivo contaminado é executado, o arquivo procura no mesmo diretório um arquivo executável (.EXE). Se não achar um arquivo .EXE não-contaminado, procura um .COM. Se todos os arquivos .COM e .EXE estiverem contaminados, o usuário recebe uma mensagem que diz: "Runntime error 002 at 0000:0511" Sintomas de infecção: os arquivos infectados por Halloween passam a ter as seguintes linhas de texto: "*.*" / "ALL GONE" / "Happy Halloween" 4096 Ativação: 1º de outubro até 31 de dezembro Características: vírus tipo "stealth" invisível, residente na memória, que infecta arquivos tipo .COM, .EXE e .OVL (de dados e executáveis). O que faz: corrompe e destrói arquivos executáveis e de dados, aumentando o volume de dados dos arquivos. Uma vez residente na memória do sistema, infecta qualquer arquivo executável aberto, mesmo que seja aberto com o comando COPY ou XCOPY do DOS. Sintomas de infecção: o micro se torna lento, como se houvesse um defeito de hardware. Helper A e B Ativação: dias 10 de todos os meses. Características: vírus de macro que se propaga infectando documentos do Microsoft Word (versões 6.x e 7.x) nas plataformas Windows e Macintosh. Ele possui uma linguagem independente para contaminar arquivos .DOC e .DOT. O que faz/sintomas de infecção: o vírus cria ou muda a senha para help em cada documento fechado no dia 10 de cada mês. Colombus/Akuku Ativação: em 12 de outubro Características: o Columbus é um vírus não residente em memória, baseado no vírus Akuku, que como ele infecta arquivos .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM. O que faz: cada vez que um arquivo infectado é executado, o vírus contamina mais três arquivos no mesmo diretório. Se não encontrar arquivos não-contaminados no mesmo diretório, procura um diretório acima até chegar ao drive C:. Sintomas de infecção: no dia da ativação do Columbus, quando um programa está contaminado, o vírus exibe repetidas vezes no monitor a seguinte mensagem, enquanto lê o sistema inteiro do disco rígido: "Columbus Raped America. Now I Rape your Hard Disk." / ("Colombo violentou a América. Agora eu violento o seu disco rígido.") No caso do vírus original, Akuku, é incluída a seguinte linha de texto no código viral, encontrada em todos os arquivos contaminados: "A kuku, Nastepny komornik !!!" Alguns arquivos executáveis também deixam de funcionar adequadamente depois da infecção com o Akuku e podem exibir mensagens do tipo "Error in EXE file" ("Erro no arquivo EXE"). Alien.h Ativação: todo domingo Características: vírus de macro que se propaga infectando documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: exibe a mensagem "It's Sunday and I intend to relax!" (é domingo e eu pretendo relaxar) em uma caixa de diálogo e fecha o documento ativo naquele momento. Causa erros no WordBasic e na interpretação de macros no Word. Como atua: o vírus consiste das macros AUTOOPEN, AUTOCLOSE e FILESAVEAS nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros são encriptadas, impedindo que o usuário as edite ou veja os seus códigos. Sintomas de infecção: ao abrir um documento num micro infectado, o vírus deleta as opções de menu FERRAMENTAS|MACRO e FERRAMENTAS|PERSONALIZAR. Além disso, códigos corrompidos fazem surgir mensagens de erro de WordBasic. No dia 1º de agosto, o vírus exibe a seguinte mensagem: - / Alien / X / Another Year of Survival / OK Em seguida, o programa é fechado. Em Windows 3.x, o vírus também esconde o Gerenciador de Arquivos. Ao abrir um arquivo num domingo de qualquer mês, o vírus poderá exibir a mensagem: - / Alien / X / It's Sunday and I intend to relax! / OK Em seguida, ele fecha o Word. Satanic
Ativação: em 1º de outubro Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: na primeira infecção, cria um arquivo executável C:\NC.COM e no dia de sua ativação: tenta formatar o drive C: no Windows. Como atua: grava macros no Word que são executadas nas diversas atividades que o usuário realiza enquanto usa o programa (salvar/abrir documentos, fechar e sair do software). Todas as macros são encriptadas, tornando impossível para o usuário editar ou visualizar o código. Um sistema infectado pelo vírus deleta TOOLS/MACRO, TOOLS/CUSTOMIZE e TOOLS/OPTIONS. Sintomas de infecção: no dia 30 de setembro, quando o usuário cria um novo documento, aparece no monitor um quadro com a mensagem: You´re infected with Satanic Alliance Ativação: dias 2, 7, 11 e 12 de todo mês. Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x/ 7.x/ 97), nas plataformas Windows e Macintosh. O que faz: altera o funcionamento de macros no arquivo NORMAL.DOT. Sintomas de infecção: cada documento infectado apresentará o texto "YOU HAVE BEEN INFECTED BY THE ALLIANCE" como assunto na área de resumo do ARQUIVO/PROPRIEDADES. Leandro & kelly Ativação: em 21 de outubro. Características: Leandro & Kelly é um vírus residente em memória que infecta o setor Master Boot Record (MBR). O que faz: o vírus causa mudanças no setor MBR do sistema, fazendo com que o usuário tenha dificuldade para inicializar o micro e dificuldade no acesso a drives de disquetes. Como atua: a única forma de infectar um computador com vírus de MBR é tentar inicializar a máquina usando um disquete de boot contaminado. Depois da contaminação, o vírus se instala também no setor de MBR do disco rígido e se torna residente na memória. Sintomas de infecção: no dia 21 de outubro, o vírus exibe no monitor a seguinte mensagem: "Leandro & Kelly!" / "GV-MG-Brazil" (e a data de infecção) Jerusalem/Anarkia Características: Anarkia é uma variante do vírus Jerusalém. Tem o efeito de derrubar o desempenho do sistema e deletar arquivos executados. A diferença em relação ao Jerusalem é que não apresenta a caixa preta que o identifica no monitor. Trata-se de um vírus residente em memória que infecta arquivos tipo .COM, .EXE, .SYS, .BIN, .PIF e .OVL. Vários vírus foram desenvolvidos tomando o código do Jerusalem como base. Ativação: o vírus Jerusalem é ativado nas sextas-feiras dia 13; o Anarkia, nas terças-feiras 13 e, o Anarkia-B, no dia 12 de outubro. O que faz: torna o micro mais lento e, no dia de sua ativação, deleta todo arquivo que o usuário tentar executar. Sintomas de infecção: os arquivos .COM infectados ganham 1 813 bytes adicionais e arquivos .EXE ganham entre 1 808 e 1 822 bytes. Louvado.A Ativação: dia 13 de todo mês Características: vírus de macro brasileiro de alto poder destrutivo, que deleta arquivos e diretórios do Microsoft Windows, Office, Word e Excel. O vírus se propaga infectando documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: ao abrir um arquivo nos dias 13, 14, 19 e 24 de qualquer mês, ele deleta vários arquivos no drive C. Como atua: o vírus consiste da macro AUTOOPEN nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros são encriptadas, impedindo que o usuário as edite ou veja os seus códigos. Sintomas de infecção: depois de deletar arquivos no drive C:, o vírus exibe o seguinte a pergunta num quadro de mensagem: Você é GAY?????? Aragorn Ativação: dia 28 de outubro Características: vírus não-residente em memória que infecta arquivos tipo .COM e .EXE, incluindo o COMMAND.COM. Um bug no vírus faz com que ele infecte o primeiro arquivo .EXE num diretório e não infecte os outros arquivos .EXE no mesmo diretório. O mesmo erro não ocorre em relação a arquivos .COM. Sintomas de infecção: as seguintes linhas de texto são visíveis junto ao código viral em todo arquivo com Aragorn: A Aragorn-Roma "(C)1992" / *.com *.exe" / "RRRR" No dia da ativação do Aragorn, a seguinte mensagem é exibida em texto Ansi, com uma barra colorida representando a bandeira italiana: "MUSSOLINI DUX / 28 OTTOBRE / ANNIVERSARIO / MARCIA SU ROMA / (barra colorida) / BOIA CHI MOLLA" Karin Ativação: em 23 de outubro. Características: Karin, também conhecido como RedStar, é um vírus não residente em memória que infecta arquivos. Ele ataca arquivos tipo .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM. O que faz: no dia de sua ativação, se um arquivo for executado o vírus exibe insistentemente uma mensagem que comemora o aniversário de Karin. O vírus coloca o arquivo em loop e o sistema precisa ser reinicializado. Como atua: quando um arquivo infectado com Karin é executado, o vírus procura outros arquivos .COM no mesmo diretório e os infecta. Se o arquivo COMMAND.COM estiver nesse diretório, será contaminado. Sintomas de infecção: no dia 23 de outubro, ao executar um arquivo, a seguinte mensagem é exibida repetidas vezes: "Karin's hat GEBURTSTAG"
Badboy Ativação: 1º e 13º dia de cada mês Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: o vírus instala as seguintes macros em todo documento infectado: AUTOOPEN, FILESAVEAS, BADBOY, AUTOEXEC e FILENEW, que mudam o funcionamento do programa. O vírus também estabelece a palavra gansta como senha para salvar os documentos. Como atua: a macro AUTOOPEN infecta o arquivo global de macros, quando o usuário abre um documento do Word contaminado. Ao usar a macro FILESAVEAS, todos os outros documentos serão infectados. Sintomas de infecção: nos dias de sua ativação, apresenterá as seguintes telas de mensagem em sistemas infectados: - / Mack Daddy / X / Bad Boy, .., What u gonna do / OK / - / The Gansta Rappa / X / What u gonna do when they come for you / OK Em seguida, o vírus passa a pedir a senha para salvar os arquivos. Depois de registrar a senha gansta, dois quadros de mensagem como este aparecerão: - / BMF / X / The Gansta owns you! .. / OK
Kompu Ativação: dias 6 e 8 de todo mês. Características: vírus de macro encriptado, stealth, que infecta documentos do Microsoft Word (versões 6.x/ 7.x/ 97), nas plataformas Windows e Macintosh. O que faz: altera o funcionamento de macros do Word. O vírus consiste das macros AutoOpen e AutoClose em documentos infectados e torna-se ativo utilizando a AutoMacros. Sintomas de infecção: quando for abrir um documento, no 6º e 8º dia do mês, aparecerá um quadro com a seguinte mensagem: Tahan Komi!, Mul on paha tuju! / O usuário deverá digitar a palavra Komm para fechar a janela. A seguinte mensagem será enviada para a impressora: Namm-Namm-Namm-Namm-Amps-Amps-Amps-Amps-Klomps-Krook! Bad.a Ativação: dia 13 de todo mês Características: vírus de macro brasileiro que infecta documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: deleta todos os arquivos .DLL do diretório c:\windows\system, provocando problemas operacionais, e também exibe uma mensagem em português na barra de status. Como atua: o vírus consiste da macro AUTOOPEN nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros são encriptadas, impedindo que o usuário as edite ou veja os seus códigos. Sintomas de infecção: ao abrir um documento, existe uma chance em 40 de que o vírus exibirá, na barra de status do Word, a mensagem: BAD v1.0 Copyright (c) 1997, Todos os direitos reservados Se esta rotina for ativada num dia 13 de qualquer mês, o vírus em seguida deleta os arquivos .DLL do direitório c:\windows\system. Tamago.a Ativação: dia 26 de cada mês Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x, 7.x e 97), nas plataformas Windows. O que faz: quando é aberto ou fechado um arquivo do Word, no dia 26 de qualquer mês, o Tamago faz diversas entradas na AUTOEXEC.BAT, a maioria das quais inofensiva. Porém, não é inofensiva a seguinte linha: deltree |y c:\*.*>nul Ela faz com que todos os arquivos do drive C sejam deletados. O computador, em seguida, envia uma mensagem ao usuário (veja Sintomas de infecção). Como atua: o vírus, escrito para a versão em português do Word, contém as seguintes macros: AUTOEXEC, ARQUIVOSALVARCOMO, AUTOCLOSE, AUTOOP, UTILMACRO, ARQUIVOMODELOS, FERRAMMACRO, ARQUIVOIMPRIMIR, ARQUIVOIMPRIMIRPARDRÃO, que mudam o funcionamento do programa. O vírus torna-se ativo usando Auto e SystemMacros. O Tamago.A só tem o seu SystemMacros ativado na versão em português. Embora a sua AutoMacro possa ser ativada em qualquer versão, provavelmente sua distribuição é limitada à de português. Sintomas de infecção: no dia de sua ativação, o vírus procura deletar os arquivos do drive C. Em seguida, faz um barulho de beep e exibe as mensagens abaixo: - / TamAGoXi's NoTe / X / EtERnAl LoVE 2 mY LitTlE gIrl Gi / OK Quando é utilizada a macro UTIL|MACRO ou FERRA|MACRO, aparece a seguinte mensagem: - / MicoSoft Word / X / Erro de compilação módulo / 34:121 Visual Basic. Contate / Suporte On-Line. / OK Boom Ativação: todo dia 13 entre os meses de março e dezembro, pontualmente às 13h13min13s. Características: vírus de macro que infecta apenas os documentos da versão alemã do Microsoft Word (versões 6.x e 7.x, para Windows e Macintosh), mas também tem conseqüências negativas para as versões em outras línguas. O que faz: substitui todo o menu de opções da versão do Word em alemão para inserir as seguintes palavras no lugar das opções Arquivo | Editar | Exibir | Inserir | Formatar | Ferramentas | Tabela | Janela | Ajuda :
"Mr. | Boombastic | and | Sir | WIXALOT | are | watching | you | !!". (Frase que significa "O sr. Boombastic e Sir WIXALOT estão observando você!!"). O programa, em seguida, exibe uma piada política em alemão e a envia para impressão. Why Windows Ativação: dias 23, 24 e 25 de fevereiro Características: este vírus sueco, descoberto em 1992, não é residente em memória. Infecta arquivos .COM, incluindo o COMMAND.COM. Cada vez que um arquivo contaminado é executado, ele infecta um arquivo .COM no diretório corrente. O que faz: tenta deletar o arquivo \windows\win.com e, no dia 23 de fevereiro, procura apagar o C:\autoexec.Bat. No dia 24 de fevereiro, tenta deletar o C:\Config.sys e, por fim, no dia 25, tenta sobrescrever a raiz do diretório C:\ e a tabela de locação. Sintomas de infecção: os arquivos têm o acréscimo de 459 bytes, com o vírus sendo localizado no fim do arquivo. A seguinte linha de texto pode ser encontrada no código viral de todo arquivo infectado com Why Windows: *.com / C:\Command.COM C:\Autoexec.bat C:\Config.Sys / \windows\win.com / Why Windows (c) 1992 MaZ / BetaBoys B.B Cascade Ativação: de 1º de outubro a 31 de dezembro. Características: Cascade surgiu, inicialmente, como um Cavalo de Tróia (arquivo destrutivo que é distribuído como um programa útil) que desliga a luz da tecla Num-Lock quando o sistema é reiniciado. O Cavalo de Tróia fazia com que caracteres caíssem na tela em cascata (motivo do seu nome) até montar uma pilha na base da tela. O programa foi posteriormente transformado em vírus, do tipo residente em memória, que contamina arquivos .COM. O que faz: afeta o desempenho de monitores tipo CGA ou VGA. Sintomas de infecção: as versões iniciais do vírus apresentavam teclas caindo no monitor, mas versões mais recentes não exibem mais as teclas em cascata, tornando difícil para o usuário saber da contaminação. Little_Brother-449 Ativação: na 1ª terça-feira de novembro Características: vírus residente em memória que infecta arquivos tipo .EXE (executáveis). O Little_Brother.307 também cria arquivos .COM. O que faz: após tornar-se residente em memória, o vírus acrescenta 349 bytes ao primeiro arquivo .EXE que for executado. Sintomas de infecção: na primeira terça-feira de novembro, dia das eleições majoritárias nos Estados Unidos, o vírus apresenta a seguinte mensagem no monitor do usuário, acompanhada de múltiplos sons de "bips": "DID YOU VOTE, SHITHEAD??" Concept Ativação: o Concept.F é ativado todo 16º dia do mês e, o Concept.L, todo 17º dia do mês. Características: os vírus Concept (F, G, J, L e M) são baseados no primeiro vírus de macro surgido no mundo, o Concept. Infectam documentos do Microsoft Word (versões 6.x, 7.x e 97), nas plataformas Windows e Macintosh. O que fazem: Concept.F troca as letras em documentos do Word, substituindo "." por ",", "a" por "e" e "and" por "not". Concept.L fecha arquivos .DOC automaticamente e tenta deletar o diretório c:\DELETEME. Como atuam: documentos infectados com o vírus inserem macros na template global do Word, NORMAL.DOT, que altera o funcionamento do programa. Sintomas de infecção: os vírus Concept.F, G e J exibem a seguinte mensagem no monitor, ao entrar ou sair do Word no 16º dia de todo mês: - / Parasite Virus 1.0 / X / Your computer is infected with the Parasite / Virus, version 1.0! / OK Os vírus Concept.L e M, ao infectar um documento pela primeira vez, mostram a seguinte caixa de diálogo: - / Microsof Word / X / Uh Ohhh. NORMAL.DOT just got / infected .. / OK No 24º dia do mês, quando o usuário fecha um documento, o vírus tenta deletar o diretório c:\DELETEME.
Tenbytes Ativação: de 1º de outubro a 31 de dezembro. Características: o vírus, quando ativado, corrompe arquivos, fazendo com que percam os primeiros 10 bytes cada vez que são gravados. No fim destes arquivos aparecem dez caracteres embaralhados. Se o vírus for executado em um sistema com menos de 640 KB de memória, o vírus derruba o sistema. O que faz: quando um arquivo infectado com o TenBytes é executado, o vírus se instala residente na memória do sistema. Então, se alastra por arquivos .COM e .EXE, incluindo o COMMAND.COM. Clock:DE Ativação: dias 1º, 2, 13, 21, 26, 27, 28, 29, 30 e 31 de outubro Características: vírus de macro alemão que infecta somente arquivos .DOC e .DOT de versões do Microsoft Word alemã (versões 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: quando o usuário inicia o trabalho num documento, nas datas de ativação do vírus, ele executa rapidamente as funções das macros FileOpen e FileSave, nos primeiros cinco minutos de cada hora. O vírus criptografa os códigos de macros, impedindo que sejam visualizados ou editados. Sintomas de infecção: num sistema infectado, o vírus esconde as funções de FILE/TEMPLATE e TOOLS/MACRO. Ao abrir o Word, no 25º dia do mês, é comum que apareça o seguinte quadro de mensagem: - / Microsoft Word / X / 16:08 Uhr / OK O vírus também inverte as funções ARQUIVO/SALVAR COMO e ARQUIVO/ABRIR do programa. Maltese Amoeba Ativação: 15 de março e 1º de novembro Características: este vírus, descoberto na Irlanda mas fabricado em Malta, é residente em memória e infecta arquivos .COM e .EXE (de dados e executáveis), exceto o COMMAND.COM. O que faz: nas datas de sua ativação, sobregrava os primeiros quatro setores dos cilindros 0 a 29 do disco rígido e disquetes. Depois de sobregravar esses setores, o vírus exibe uma tela luminosa piscando e deixa o micro em loop. Após a reinicialização, exibe um poema e, em seguida, faz o sistema cair. Sintomas de infecção: depois de sobregravar setores do HD, exibe o seguinte poema, logo após a reinicialização do micro: "To see a world in a grain of sand / And a heaven in a flower / Hold infinity in the palm of your hand / And eternity in an hour" (Para ver o mundo num grão de areia / E o céu numa flor / Guarde a infinidade na palma da sua mão / E a eternidade numa hora") Em seguida, o sistema cai. Dentro do setor de boot do disco rígido, um outro texto, encriptado, leva a seguinte mensagem: "AMOEBA virus by the Hacker Twins (C) 1991 / This is nothing, wait for the release of AMOEBA II – The / universal infector, hidden to any eye by ours! Dedicated / to the University of Malta - the worst educational / system in the universe, and the destroyer of 5X2 years / of human life". ("Vírus AMOEBA pelos Gêmeos Hackers (C) 1991 / Isto não é nada, aguardem o lançamento do AMOEBA II / - O infector universal, escondidos aos olhos de todos por nós! / Dedicado à Universidade de Malta - o pior sistema educacional / do universo e o destruidor de 5 x 2 anos de vida humana".) Dark-End Ativação: em 15 de outubro. Características: Dark-End é um vírus residente em memória que sobregrava dados. Ele infecta arquivos tipo .COM e EXE (de dados e executáveis). O que faz: pode gerar danos irreparáveis aos dados no disco rígido e deletar arquivos. Sobregrava os primeiros 30 setores do disco C:. Como atua: quando o primeiro arquivo infectado pelo vírus é executado, ele se instala residente em memória, afetando arquivos todos os .COM e .EXE executados, incluindo o COMMAND.COM. Sintomas de infecção: Todos os arquivos infectados contêm o seguinte texto no código viral: "(c) Dark End." Os arquivos infectados aumentam 1 188 bytes em tamanho. Os sistemas infectados também podem apresentar interferência no monitor, clarear a tela e tremular o cursor, além de derrubar o sistema. Twno1 Ativação: dia 13 de todos os meses Características: Twno1 é um vírus de macros capaz de sobregravar o disco rígido e provocar perda total ou parcial de dados e programas. No ambiente Microsoft Word, o Twno1 infecta arquivos .DOC e .DOT. O que faz: Twno1 apresenta um jogo de aritmética mental no dia 13 de qualquer mês. Se você responder errado, o sistema abre 20 documentos para cada questão. O Windows é executado cada vez mais lentamente. Como atua: o vírus usa as macros AutoClose, AutoNew e AutoOpen para infectar arquivos .DOT. O vírus de macro se espalha quando existe uma ou mais macros num documento. Ao abrir ou fechar um documento, ou realizar qualquer outra atividade que evoque a macro viral, o vírus é ativado. Uma vez que se ativa a macro do vírus, ela faz uma cópia de si mesma e de quaisquer outras macros de que necessitar, muitas vezes usando o próprio arquivo global de macros, NORMAL.DOT. Ao instalar-se no NORMAL.DOT, o vírus fica disponível para todos os arquivos do Word e procura contaminá-los. Sintomas de infecção: Twno1 realiza um jogo de aritmética com o usuário (veja em "O que faz"). Datacrime Ativação: em 12 de outubro Características: Datacrime, também conhecido como vírus 1168, é um vírus parasita que grava informações por cima de outros arquivos. Não é residente em memória e infecta arquivos tipo .COM. O que faz: o vírus se agrega no fim dos arquivos .COM, aumentando o tamanho do arquivo em 1168 bytes. Os primeiros 5 bytes do arquivo hospedeiro armazenam o código viral e, então, repassam as linhas de instrução para que o vírus seja executado antes do arquivo hospedeiro. O vírus se propaga procurando arquivos .COM e vai se agregando a eles. Sintomas de infecção: o vírus vai se propagando por arquivos .COM do sistema até o dia 12 de outubro, quando exibe a seguinte mensagem, quando um arquivo contaminado é executado: "DATACRIME VIRUS / RELEASED: 1 MARCH 1989" Erros no código fazem com que arquivos .COM contaminados apareçam ao acaso, sempre fazendo o sistema cair depois da infecção. Zaphod Ativação: 28 de fevereiro Características: vírus inglês, descoberto em 1992, que é não residente em memória e tem ação direta na infecção de arquivos .COM, incluindo o COMMAND.COM. Quando um arquvio contaminado com Zaphod é executado, o vírus infecta o primeiro arquivo .COM localizado no diretório corrente. Ele não infecta arquIvos .COM localizado no diretório corrente. Ele não infecta arquivos .COM além do diretório corrente. O que faz: exibe uma mensagem na tela (veja sintomas) e se replica no sistema. Sintomas de infecção: na data de sua ativação, a execução de um arquivo infectado resulta na seguinte mensagem no monitor: Greetings from ZAPHOD. Além da mensagem, as seguintes linhas de texto também são encriptadas com o código viral: Lu*.COM / ????????COM MDMA (Many Delinquent Modern Anarchists) (A, C, D, F, G e H) Ativação: todo dia 1º do mês (na versão MDMA.C, a data de ativação depende do sistema operacional: em Windows 3.x, 95 e NT, é alterada para o dia 31 de todo mês; em Macintosh, ocorre em qualquer momento depois do 4º dia do mês). Características: vírus de macro que infecta arquivos do Microsoft Word nas versões 6.x e 7.x nas plataformas Windows, Windows 95, Windows NT e Macintosh. O que faz: tem potencial de apagar todos os arquivos. O vírus infecta o NORMAL.DOT e arquivos que utilizam a macro AutoClose. Após fechar um arquivo, este será salvo como template (modelo de página) com uma cópia do AutoClose. Como atua: o vírus se torna ativo utilizando a macro AutoMacro e encripta todas as macros, impendindo que o usuário edite ou visualize o código. Sintomas de infecção: o seguinte texto é exibido em uma caixa de mensagem: - / MDMA_DMV / X / You are infected with MDMA_DMV. / Brought to you MDMA (Many Delinquent / Modern Anarchists) / OK ( Ou seja: "Você foi infectado com MDMA_DMV. Oferecido por MDMA (Anarquistas Modernos Muito Delinquentes)"). Violator (Variantes: Violator B1; Violator B2; Violator-C) Características: Violator B1, B2 e C são variantes do vírus original, Violator, cuja característica principal é infectar um arquivo novo cada vez que um arquivo contaminado é executado. No período de sua ativação, o vírus sobregrava o início do disco rígido se um arquivo contaminado for executado. Ativação: o Violator-C é ativado de outubro a novembro de qualquer ano; o Violator-B1 é ativado todo dia 4, nos meses de setembro, outubro, novembro e dezembro; e o Violator-B2 é ativado no dia 31 de outubro. Sintomas de infecção: a seguinte mensagem aparece no código viral localizado nos arquivos infectados: "TransMogrified (TM) 1990 by RABID N'tnl / Development Corp Copyright (c) 1990 RABID! / Activation Date: 08/15/90 - Violator Strain B - ! / (Field Demo Test Version)!! * NOT TO BE DISTRIBUTED / *!" Outros sintomas de infecção são tentativas de acesso ao drive B: sem que o usuário o tenha requisitado. Se não houver disquete no drive B:, ou se o disquete estiver protegido contra gravação, é exibida mensagem de erro. Munch Ativação: dia 9 em todo mês Características: vírus de macro que propaga infectando documentos do Microsoft Word em plataformas Windows e Macintosh. O que faz: todas as macros são encriptadas, impedindo o usuário de editar ou visualizar os códigos da macro. Como atua: os arquivos contaminados com este vírus têm as macros AutoOpen e Macro1. No documento NORMAL.DOT, esses nomes são trocados para AutoOpen e Macro10. Sintomas de infecção: no dia da ativação do Munch, o vírus apresenta na barra de status o texto: "Whose turn is it to get the nunchies in?" Father Christmas Ativação: 19 a 31 de dezembro Características: vírus descoberto na Polônia, também conhecido como Choinka, que é baseado no vírus Vienna. Trata-se de um vírus infector não-residente em arquivos .COM e no COMMAND.COM. O que faz: exibe uma árvore de Natal no seu monitor. Como atua: quando um programa contaminado com Father Christmas é executado, o vírus infecta um outro arquivo .COM no diretório corrente. Se não houver arquivos .COM não-contaminados nesse diretório, o vírus procura um arquivo para contaminar nos diretórios acima ou abaixo dele, na árvore do sistema. Sintomas de contaminação: no período entre 19 e 31 de dezembro, quando arquivos contaminados são executados, um desenho de árvores de Natal é exibido na tela com a seguinte mensagem: "Merry Christmas / & / a Happy New Year / for all my lovely friends / from FATHER CHRISTMAS" Delta.1163 Ativação: em 9 de novembro Características: vírus encriptado, residente em memória, que infecta arquivos .COM e .EXE. Após a infecção, o Delta.1163 torna-se residente em memória. O que faz: o vírus é capaz de deletar o CMOS (complementary metal-oxidesemiconductor), fazendo com que não seja mais possível inicializar o micro. Como atua: o vírus se propaga quando um arquivo infectado for executado no micro. Sintomas de infecção: no dia de sua ativação, deleta o CMOS e apresenta o seguinte texto no monitor: "Good bytes from (DEL)ta Virus!!!" Flip Ativação: todo 2º dia do mês Características: um vírus que infecta arquivos tipo .COM, .EXE e .OVL, incluindo o COMMAND.COM, assim como o setor de boot do sistema e o Master Boot Record (MBR). O Flip, porém, só é transmitido por arquivos .EXE. O que faz: no dia de sua ativação, causa instabilidade (flicker) em monitores tipo EGA e VGA durante uma hora. Além disso, sistema com o disco rígido com partições maiores do que 32 MB podem ter o sistema lógico de particionamento alterado, tornando o número de bytes da partição um pouco menor do que 32 MB. Como atua: a única forma de infectar um sistema com Flip é executar um arquivo contaminado pelo vírus. O arquivo infectado pode vir de disquetes, download da Internet/serviços on-line ou outras vias. Uma vez executado o arquivo, o vírus fica residente em memória. Nesse momento, todos os arquivos .COM e .EXE tornam-se contaminados, incluindo a cópia do COMMAND.COM no diretório raiz do drive C:. Se estes arquivos utilizarem arquivos .OVL, também serão contaminados. O MBR do disco rígido e o setor de boot do sistema também são afetados. Sintomas de infecção: no segundo dia de qualquer mês, sistemas que foram inicializados a partir de um disco rígido infectado e tendo monitores EGA ou VGA apresentarão no monitor flickers horizontais por uma hora. Peter_II Ativação: 27 de fevereiro Características: vírus residente em memória, stealth, encriptado, infector do Master Boot Record (MBR). O que faz: no dia 27 de fevereiro, testa os conhecimentos de música pop internacional do usuário do micro. Caso o usuário responder errado uma de suas perguntas, os dados do micro serão perdidos. Sintomas de infecção: no dia 27 de fevereiro, o sistema infectado com Peter_II apresenta a seguinte mensagem: Good morning, EVERYbody, I am PETER_II / Do not turn off the power or you will / lost all of the data in Hardisk!! / Wait for 1 minute, please... O vírus, então, apresenta as seguintes perguntas, que devem ser respondidas corretamente: OK, If you give the right answer to the following / questions, I will save your HD: / A. Who has sung the song called "I'll be there"? / 1. Mariah Carey 2. The Escape Club / 3. The Jackson five / 4. All (1-4). / B. What is Phil Collins? / 1. A singer 2. A drummer 3. A producer 4. All above / (1-4) / C. Who has the MOST TOP 10 singles in 1980's? / 1. Michael Jackson / 2. Phil Collins (featuring Genesis) / 3. Madonna / 4. Whitney Houston (1-4) As respostas corretas são: 4, 4 e 2. Se o usuário responder corretamente, aparece a mensagem: CONGRATULATIONS!!! You successfully pass the quiz! / AND NOW RECOVERING YOUR HARDDISK Se a resposta for errada, aparece... Sorry! Go to "expletive", lousy man! ...e os dados são perdidos. Gotcha Ativação: em 30 de outubro. Características: Gotcha é um vírus residente em memória que infecta arquivos tipo .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM. O que faz: o total de memória disponível no sistema diminui em 1 024 bytes. Todos os arquivos infectados ganham 879 bytes. Como atua: a primeira vez que um arquivo com Gotcha é executado, o vírusse instalará residente em memória e se multiplica por arquivos .COM e .EXE. Sintomas de infecção: os arquivos infectados por Gotcha passam a ter as seguintes linhas de texto: "GOTCHA!" / "NEXECOM"
|