Ativação: 1º a 31 de dezembro

Características: vírus encontrado em 1990, provavelmente originário da Áustria. Ele infecta arquivos tipo .COM, incluindo o COMMAND.COM, o setor de boot de disquetes e a tabela de partição do disco rígido.

O que faz: sobregrava disquetes no drive A: e diminui a memória livre nosistema em 2 128 bytes.

Como atua: na primeira vez que é executado, o vírus 1253 se instala residente na memória baixa do micro, como um TSR (Terminate and Stay Resident). Este TSR é de 2 128 bytes e captura as INTs 13, 21 e 60 do sistema operacional. A memória do sistema permanece igual, mas a memória livre diminui 2 128 bytes. Neste momento, a tabela de partição do disco rígido é infectada com o 1253. Se o arquivo contaminado é executado a partir de um disquete, o setor de boot do disquete também é infectado. Qualquer disquete que for acessado quando o vírus está ativo na memória tem o seu setor de boot infectado. Disquetes recém-formatados também são contaminados imediatamente.

Ativação: em 31 de outubro.

Características: Halloween é um vírus de infecção de arquivos que não se torna residente na memória. Ele ataca diretamente arquivos tipo .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM.

O que faz: torna o micro mais lento, fazendo com que arquivos e documentos demorem entre dois e cinco minutos para serem abertos. Os arquivos infectados também aumentam 10 000 bytes em tamanho.

Como atua: cada vez que um arquivo contaminado é executado, o arquivo procura no mesmo diretório um arquivo executável (.EXE). Se não achar um arquivo .EXE não-contaminado, procura um .COM. Se todos os arquivos .COM e .EXE estiverem contaminados, o usuário recebe uma mensagem que diz: "Runntime error 002 at 0000:0511"

Sintomas de infecção: os arquivos infectados por Halloween passam a ter as seguintes linhas de texto:

Ativação: 1º de outubro até 31 de dezembro

Características: vírus tipo "stealth" invisível, residente na memória, que infecta arquivos tipo .COM, .EXE e .OVL (de dados e executáveis).

O que faz: corrompe e destrói arquivos executáveis e de dados, aumentando o volume de dados dos arquivos. Uma vez residente na memória do sistema, infecta qualquer arquivo executável aberto, mesmo que seja aberto com o comando COPY ou XCOPY do DOS.

Sintomas de infecção: o micro se torna lento, como se houvesse um defeito de hardware.

Ativação: dias 10 de todos os meses.

Características: vírus de macro que se propaga infectando documentos do Microsoft Word (versões 6.x e 7.x) nas plataformas Windows e Macintosh. Ele possui uma linguagem independente para contaminar arquivos .DOC e .DOT.

O que faz/sintomas de infecção: o vírus cria ou muda a senha para help em cada documento fechado no dia 10 de cada mês.

Ativação: em 12 de outubro

Características: o Columbus é um vírus não residente em memória, baseado no vírus Akuku, que como ele infecta arquivos .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM.

O que faz: cada vez que um arquivo infectado é executado, o vírus contamina mais três arquivos no mesmo diretório. Se não encontrar arquivos não-contaminados no mesmo diretório, procura um diretório acima até chegar ao drive C:.

Sintomas de infecção: no dia da ativação do Columbus, quando um programa está contaminado, o vírus exibe repetidas vezes no monitor a seguinte mensagem, enquanto lê o sistema inteiro do disco rígido:

No caso do vírus original, Akuku, é incluída a seguinte linha de texto no código viral, encontrada em todos os arquivos contaminados:

Alguns arquivos executáveis também deixam de funcionar adequadamente depois da infecção com o Akuku e podem exibir mensagens do tipo "Error in EXE file" ("Erro no arquivo EXE").

Alien.h

Ativação: todo domingo

Características: vírus de macro que se propaga infectando documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh.

O que faz: exibe a mensagem "It's Sunday and I intend to relax!" (é domingo e eu pretendo relaxar) em uma caixa de diálogo e fecha o documento ativo naquele momento. Causa erros no WordBasic e na interpretação de macros no Word.

Como atua: o vírus consiste das macros AUTOOPEN, AUTOCLOSE e FILESAVEAS nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros são encriptadas, impedindo que o usuário as edite ou veja os seus códigos.

Sintomas de infecção: ao abrir um documento num micro infectado, o vírus deleta as opções de menu FERRAMENTAS|MACRO e FERRAMENTAS|PERSONALIZAR. Além disso, códigos corrompidos fazem surgir mensagens de erro de WordBasic. No dia 1º de agosto, o vírus exibe a seguinte mensagem:

- / Alien / X / Another Year of Survival / OK

Em seguida, o programa é fechado. Em Windows 3.x, o vírus também esconde o Gerenciador de Arquivos. Ao abrir um arquivo num domingo de qualquer mês, o vírus poderá exibir a mensagem:

Em seguida, ele fecha o Word.

Ativação: em 1º de outubro

Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh.

O que faz: na primeira infecção, cria um arquivo executável C:\NC.COM e no dia de sua ativação: tenta formatar o drive C: no Windows.

Como atua: grava macros no Word que são executadas nas diversas atividades que o usuário realiza enquanto usa o programa (salvar/abrir documentos, fechar e sair do software). Todas as macros são encriptadas, tornando impossível para o usuário editar ou visualizar o código. Um sistema infectado pelo vírus deleta TOOLS/MACRO, TOOLS/CUSTOMIZE e TOOLS/OPTIONS.

Sintomas de infecção: no dia 30 de setembro, quando o usuário cria um novo documento, aparece no monitor um quadro com a mensagem:

You´re infected with Satanic

Ativação: dias 2, 7, 11 e 12 de todo mês.

Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x/ 7.x/ 97), nas plataformas Windows e Macintosh.

O que faz: altera o funcionamento de macros no arquivo NORMAL.DOT.

Sintomas de infecção: cada documento infectado apresentará o texto "YOU HAVE BEEN INFECTED BY THE ALLIANCE" como assunto na área de resumo do ARQUIVO/PROPRIEDADES.

Ativação: em 21 de outubro.

Características: Leandro & Kelly é um vírus residente em memória que infecta o setor Master Boot Record (MBR).

O que faz: o vírus causa mudanças no setor MBR do sistema, fazendo com que o usuário tenha dificuldade para inicializar o micro e dificuldade no acesso a drives de disquetes.

Como atua: a única forma de infectar um computador com vírus de MBR é tentar inicializar a máquina usando um disquete de boot contaminado. Depois da contaminação, o vírus se instala também no setor de MBR do disco rígido e se torna residente na memória.

Sintomas de infecção: no dia 21 de outubro, o vírus exibe no monitor a seguinte mensagem:

Características: Anarkia é uma variante do vírus Jerusalém. Tem o efeito de derrubar o desempenho do sistema e deletar arquivos executados. A diferença em relação ao Jerusalem é que não apresenta a caixa preta que o identifica no monitor. Trata-se de um vírus residente em memória que infecta arquivos tipo .COM, .EXE, .SYS, .BIN, .PIF e .OVL. Vários vírus foram desenvolvidos tomando o código do Jerusalem como base.

Ativação: o vírus Jerusalem é ativado nas sextas-feiras dia 13; o Anarkia, nas terças-feiras 13 e, o Anarkia-B, no dia 12 de outubro.

O que faz: torna o micro mais lento e, no dia de sua ativação, deleta todo arquivo que o usuário tentar executar.

Sintomas de infecção: os arquivos .COM infectados ganham 1 813 bytes adicionais e arquivos .EXE ganham entre 1 808 e 1 822 bytes.

Ativação: dia 13 de todo mês

Características: vírus de macro brasileiro de alto poder destrutivo, que deleta arquivos e diretórios do Microsoft Windows, Office, Word e Excel. O vírus se propaga infectando documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh.

O que faz: ao abrir um arquivo nos dias 13, 14, 19 e 24 de qualquer mês, ele deleta vários arquivos no drive C.

Como atua: o vírus consiste da macro AUTOOPEN nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros são encriptadas, impedindo que o usuário as edite ou veja os seus códigos.

Sintomas de infecção: depois de deletar arquivos no drive C:, o vírus exibe o seguinte a pergunta num quadro de mensagem:

Ativação: dia 28 de outubro

Características: vírus não-residente em memória que infecta arquivos tipo .COM e .EXE, incluindo o COMMAND.COM. Um bug no vírus faz com que ele infecte o primeiro arquivo .EXE num diretório e não infecte os outros arquivos .EXE no mesmo diretório. O mesmo erro não ocorre em relação a arquivos .COM.

Sintomas de infecção: as seguintes linhas de texto são visíveis junto ao código viral em todo arquivo com Aragorn:

A Aragorn-Roma "(C)1992" / *.com *.exe" / "RRRR"

No dia da ativação do Aragorn, a seguinte mensagem é exibida em texto Ansi, com uma barra colorida representando a bandeira italiana:

Ativação: em 23 de outubro.

Características: Karin, também conhecido como RedStar, é um vírus não residente em memória que infecta arquivos. Ele ataca arquivos tipo .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM.

O que faz: no dia de sua ativação, se um arquivo for executado o vírus exibe insistentemente uma mensagem que comemora o aniversário de Karin. O vírus coloca o arquivo em loop e o sistema precisa ser reinicializado.

Como atua: quando um arquivo infectado com Karin é executado, o vírus procura outros arquivos .COM no mesmo diretório e os infecta. Se o arquivo COMMAND.COM estiver nesse diretório, será contaminado.

Sintomas de infecção: no dia 23 de outubro, ao executar um arquivo, a seguinte mensagem é exibida repetidas vezes:

"Karin's hat GEBURTSTAG"

Ativação: 1º e 13º dia de cada mês

Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh.

O que faz: o vírus instala as seguintes macros em todo documento infectado: AUTOOPEN, FILESAVEAS, BADBOY, AUTOEXEC e FILENEW, que mudam o funcionamento do programa. O vírus também estabelece a palavra gansta como senha para salvar os documentos.

Como atua: a macro AUTOOPEN infecta o arquivo global de macros, quando o usuário abre um documento do Word contaminado. Ao usar a macro FILESAVEAS, todos os outros documentos serão infectados.

Sintomas de infecção: nos dias de sua ativação, apresenterá as seguintes telas de mensagem em sistemas infectados:

Em seguida, o vírus passa a pedir a senha para salvar os arquivos. Depois de registrar a senha gansta, dois quadros de mensagem como este aparecerão:

- / BMF / X / The Gansta owns you! .. / OK

Ativação: dias 6 e 8 de todo mês.

Características: vírus de macro encriptado, stealth, que infecta documentos do Microsoft Word (versões 6.x/ 7.x/ 97), nas plataformas Windows e Macintosh.

O que faz: altera o funcionamento de macros do Word. O vírus consiste das macros AutoOpen e AutoClose em documentos infectados e torna-se ativo utilizando a AutoMacros.

Sintomas de infecção: quando for abrir um documento, no 6º e 8º dia do mês, aparecerá um quadro com a seguinte mensagem:

Tahan Komi!, Mul on paha tuju! /

O usuário deverá digitar a palavra Komm para fechar a janela. A seguinte mensagem será enviada para a impressora:

Namm-Namm-Namm-Namm-Amps-Amps-Amps-Amps-Klomps-Krook!

Ativação: dia 13 de todo mês

Características: vírus de macro brasileiro que infecta documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh.

O que faz: deleta todos os arquivos .DLL do diretório c:\windows\system, provocando problemas operacionais, e também exibe uma mensagem em português na barra de status.

Como atua: o vírus consiste da macro AUTOOPEN nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros são encriptadas, impedindo que o usuário as edite ou veja os seus códigos.

Sintomas de infecção: ao abrir um documento, existe uma chance em 40 de que o vírus exibirá, na barra de status do Word, a mensagem:

Se esta rotina for ativada num dia 13 de qualquer mês, o vírus em seguida deleta os arquivos .DLL do direitório c:\windows\system.

Ativação: dia 26 de cada mês

Características: vírus de macro que infecta documentos do Microsoft Word (versões 6.x, 7.x e 97), nas plataformas Windows.

O que faz: quando é aberto ou fechado um arquivo do Word, no dia 26 de qualquer mês, o Tamago faz diversas entradas na AUTOEXEC.BAT, a maioria das quais inofensiva. Porém, não é inofensiva a seguinte linha:

Ela faz com que todos os arquivos do drive C sejam deletados. O computador, em seguida, envia uma mensagem ao usuário (veja Sintomas de infecção).

Como atua: o vírus, escrito para a versão em português do Word, contém as seguintes macros: AUTOEXEC, ARQUIVOSALVARCOMO, AUTOCLOSE, AUTOOP, UTILMACRO, ARQUIVOMODELOS, FERRAMMACRO, ARQUIVOIMPRIMIR, ARQUIVOIMPRIMIRPARDRÃO, que mudam o funcionamento do programa. O vírus torna-se ativo usando Auto e SystemMacros. O Tamago.A só tem o seu SystemMacros ativado na versão em português. Embora a sua AutoMacro possa ser ativada em qualquer versão, provavelmente sua distribuição é limitada à de português.

Sintomas de infecção: no dia de sua ativação, o vírus procura deletar os arquivos do drive C. Em seguida, faz um barulho de beep e exibe as mensagens abaixo:

Quando é utilizada a macro UTIL|MACRO ou FERRA|MACRO, aparece a seguinte mensagem:

Ativação: todo dia 13 entre os meses de março e dezembro, pontualmente às 13h13min13s.

Características: vírus de macro que infecta apenas os documentos da versão alemã do Microsoft Word (versões 6.x e 7.x, para Windows e Macintosh), mas também tem conseqüências negativas para as versões em outras línguas.

O que faz: substitui todo o menu de opções da versão do Word em alemão para inserir as seguintes palavras no lugar das opções Arquivo | Editar | Exibir | Inserir | Formatar | Ferramentas | Tabela | Janela | Ajuda :

Ativação: dias 23, 24 e 25 de fevereiro

Características: este vírus sueco, descoberto em 1992, não é residente em memória. Infecta arquivos .COM, incluindo o COMMAND.COM. Cada vez que um arquivo contaminado é executado, ele infecta um arquivo .COM no diretório corrente.

O que faz: tenta deletar o arquivo \windows\win.com e, no dia 23 de fevereiro, procura apagar o C:\autoexec.Bat. No dia 24 de fevereiro, tenta deletar o C:\Config.sys e, por fim, no dia 25, tenta sobrescrever a raiz do diretório C:\ e a tabela de locação.

Sintomas de infecção: os arquivos têm o acréscimo de 459 bytes, com o vírus sendo localizado no fim do arquivo. A seguinte linha de texto pode ser encontrada no código viral de todo arquivo infectado com Why Windows:

Ativação: de 1º de outubro a 31 de dezembro.

Características: Cascade surgiu, inicialmente, como um Cavalo de Tróia (arquivo destrutivo que é distribuído como um programa útil) que desliga a luz da tecla Num-Lock quando o sistema é reiniciado. O Cavalo de Tróia fazia com que caracteres caíssem na tela em cascata (motivo do seu nome) até montar uma pilha na base da tela. O programa foi posteriormente transformado em vírus, do tipo residente em memória, que contamina arquivos .COM.

O que faz: afeta o desempenho de monitores tipo CGA ou VGA.

Sintomas de infecção: as versões iniciais do vírus apresentavam teclas caindo no monitor, mas versões mais recentes não exibem mais as teclas em cascata, tornando difícil para o usuário saber da contaminação.

Ativação: na 1ª terça-feira de novembro

Características: vírus residente em memória que infecta arquivos tipo .EXE (executáveis). O Little_Brother.307 também cria arquivos .COM.

O que faz: após tornar-se residente em memória, o vírus acrescenta 349 bytes ao primeiro arquivo .EXE que for executado.

Sintomas de infecção: na primeira terça-feira de novembro, dia das eleições majoritárias nos Estados Unidos, o vírus apresenta a seguinte mensagem no monitor do usuário, acompanhada de múltiplos sons de "bips":

Ativação: o Concept.F é ativado todo 16º dia do mês e, o Concept.L, todo 17º dia do mês.

Características: os vírus Concept (F, G, J, L e M) são baseados no primeiro vírus de macro surgido no mundo, o Concept. Infectam documentos do Microsoft Word (versões 6.x, 7.x e 97), nas plataformas Windows e Macintosh.

O que fazem: Concept.F troca as letras em documentos do Word, substituindo "." por ",", "a" por "e" e "and" por "not". Concept.L fecha arquivos .DOC automaticamente e tenta deletar o diretório c:\DELETEME.

Como atuam: documentos infectados com o vírus inserem macros na template global do Word, NORMAL.DOT, que altera o funcionamento do programa.

Sintomas de infecção: os vírus Concept.F, G e J exibem a seguinte mensagem no monitor, ao entrar ou sair do Word no 16º dia de todo mês:

Os vírus Concept.L e M, ao infectar um documento pela primeira vez, mostram a seguinte caixa de diálogo:

No 24º dia do mês, quando o usuário fecha um documento, o vírus tenta deletar o diretório c:\DELETEME.

Ativação: de 1º de outubro a 31 de dezembro.

Características: o vírus, quando ativado, corrompe arquivos, fazendo com que percam os primeiros 10 bytes cada vez que são gravados. No fim destes arquivos aparecem dez caracteres embaralhados. Se o vírus for executado em um sistema com menos de 640 KB de memória, o vírus derruba o sistema.

O que faz: quando um arquivo infectado com o TenBytes é executado, o vírus se instala residente na memória do sistema. Então, se alastra por arquivos .COM e .EXE, incluindo o COMMAND.COM.

Ativação: dias 1º, 2, 13, 21, 26, 27, 28, 29, 30 e 31 de outubro

Características: vírus de macro alemão que infecta somente arquivos .DOC e .DOT de versões do Microsoft Word alemã (versões 6.x e 7.x), nas plataformas Windows e Macintosh.

O que faz: quando o usuário inicia o trabalho num documento, nas datas de ativação do vírus, ele executa rapidamente as funções das macros FileOpen e FileSave, nos primeiros cinco minutos de cada hora. O vírus criptografa os códigos de macros, impedindo que sejam visualizados ou editados.

Sintomas de infecção: num sistema infectado, o vírus esconde as funções de FILE/TEMPLATE e TOOLS/MACRO. Ao abrir o Word, no 25º dia do mês, é comum que apareça o seguinte quadro de mensagem:

- / Microsoft Word / X / 16:08 Uhr / OK

O vírus também inverte as funções ARQUIVO/SALVAR COMO e ARQUIVO/ABRIR do programa.

Ativação: 15 de março e 1º de novembro

Características: este vírus, descoberto na Irlanda mas fabricado em Malta, é residente em memória e infecta arquivos .COM e .EXE (de dados e executáveis), exceto o COMMAND.COM.

O que faz: nas datas de sua ativação, sobregrava os primeiros quatro setores dos cilindros 0 a 29 do disco rígido e disquetes. Depois de sobregravar esses setores, o vírus exibe uma tela luminosa piscando e deixa o micro em loop. Após a reinicialização, exibe um poema e, em seguida, faz o sistema cair.

Sintomas de infecção: depois de sobregravar setores do HD, exibe o seguinte poema, logo após a reinicialização do micro:

Em seguida, o sistema cai. Dentro do setor de boot do disco rígido, um outro texto, encriptado, leva a seguinte mensagem:

Ativação: em 15 de outubro.

Características: Dark-End é um vírus residente em memória que sobregrava dados. Ele infecta arquivos tipo .COM e EXE (de dados e executáveis).

O que faz: pode gerar danos irreparáveis aos dados no disco rígido e deletar arquivos. Sobregrava os primeiros 30 setores do disco C:.

Como atua: quando o primeiro arquivo infectado pelo vírus é executado, ele se instala residente em memória, afetando arquivos todos os .COM e .EXE executados, incluindo o COMMAND.COM.

Sintomas de infecção: Todos os arquivos infectados contêm o seguinte texto no código viral:

Os arquivos infectados aumentam 1 188 bytes em tamanho. Os sistemas infectados também podem apresentar interferência no monitor, clarear a tela e tremular o cursor, além de derrubar o sistema.

Ativação: dia 13 de todos os meses

Características: Twno1 é um vírus de macros capaz de sobregravar o disco

rígido e provocar perda total ou parcial de dados e programas. No ambiente Microsoft Word, o Twno1 infecta arquivos .DOC e .DOT.

O que faz: Twno1 apresenta um jogo de aritmética mental no dia 13 de qualquer mês. Se você responder errado, o sistema abre 20 documentos para cada questão. O Windows é executado cada vez mais lentamente.

Como atua: o vírus usa as macros AutoClose, AutoNew e AutoOpen para infectar arquivos .DOT. O vírus de macro se espalha quando existe uma ou mais macros num documento. Ao abrir ou fechar um documento, ou realizar qualquer outra atividade que evoque a macro viral, o vírus é ativado. Uma vez que se ativa a macro do vírus, ela faz uma cópia de si mesma e de quaisquer outras macros de que necessitar, muitas vezes usando o próprio arquivo global de macros, NORMAL.DOT. Ao instalar-se no NORMAL.DOT, o vírus fica disponível para todos os arquivos do Word e procura contaminá-los.

Sintomas de infecção: Twno1 realiza um jogo de aritmética com o usuário (veja em "O que faz").

Ativação: em 12 de outubro

Características: Datacrime, também conhecido como vírus 1168, é um vírus parasita que grava informações por cima de outros arquivos. Não é residente em memória e infecta arquivos tipo .COM.

O que faz: o vírus se agrega no fim dos arquivos .COM, aumentando o tamanho do arquivo em 1168 bytes. Os primeiros 5 bytes do arquivo hospedeiro armazenam o código viral e, então, repassam as linhas de instrução para que o vírus seja executado antes do arquivo hospedeiro. O vírus se propaga procurando arquivos .COM e vai se agregando a eles.

Sintomas de infecção: o vírus vai se propagando por arquivos .COM do sistema até o dia 12 de outubro, quando exibe a seguinte mensagem, quando um arquivo contaminado é executado:

Erros no código fazem com que arquivos .COM contaminados apareçam ao acaso, sempre fazendo o sistema cair depois da infecção.

Ativação: 28 de fevereiro

Características: vírus inglês, descoberto em 1992, que é não residente em memória e tem ação direta na infecção de arquivos .COM, incluindo o COMMAND.COM. Quando um arquvio contaminado com Zaphod é executado, o vírus infecta o primeiro arquivo .COM localizado no diretório corrente. Ele não infecta arquIvos .COM localizado no diretório corrente. Ele não infecta arquivos .COM além do diretório corrente.

O que faz: exibe uma mensagem na tela (veja sintomas) e se replica no sistema.

Sintomas de infecção: na data de sua ativação, a execução de um arquivo infectado resulta na seguinte mensagem no monitor:

Além da mensagem, as seguintes linhas de texto também são encriptadas com o código viral:

Ativação: todo dia 1º do mês (na versão MDMA.C, a data de ativação depende do sistema operacional: em Windows 3.x, 95 e NT, é alterada para o dia 31 de todo mês; em Macintosh, ocorre em qualquer momento depois do 4º dia do mês).

Características: vírus de macro que infecta arquivos do Microsoft Word nas versões 6.x e 7.x nas plataformas Windows, Windows 95, Windows NT e Macintosh.

O que faz: tem potencial de apagar todos os arquivos. O vírus infecta o NORMAL.DOT e arquivos que utilizam a macro AutoClose. Após fechar um arquivo, este será salvo como template (modelo de página) com uma cópia do AutoClose.

Como atua: o vírus se torna ativo utilizando a macro AutoMacro e encripta todas as macros, impendindo que o usuário edite ou visualize o código.

Sintomas de infecção: o seguinte texto é exibido em uma caixa de mensagem:

Características: Violator B1, B2 e C são variantes do vírus original, Violator, cuja característica principal é infectar um arquivo novo cada vez que um arquivo contaminado é executado. No período de sua ativação, o vírus sobregrava o início do disco rígido se um arquivo contaminado for executado.

Ativação: o Violator-C é ativado de outubro a novembro de qualquer ano; o Violator-B1 é ativado todo dia 4, nos meses de setembro, outubro, novembro e dezembro; e o Violator-B2 é ativado no dia 31 de outubro.

Sintomas de infecção: a seguinte mensagem aparece no código viral localizado nos arquivos infectados:

Outros sintomas de infecção são tentativas de acesso ao drive B: sem que o usuário o tenha requisitado. Se não houver disquete no drive B:, ou se o disquete estiver protegido contra gravação, é exibida mensagem de erro.

Ativação: dia 9 em todo mês

Características: vírus de macro que propaga infectando documentos do Microsoft Word em plataformas Windows e Macintosh.

O que faz: todas as macros são encriptadas, impedindo o usuário de editar ou visualizar os códigos da macro.

Como atua: os arquivos contaminados com este vírus têm as macros AutoOpen e Macro1. No documento NORMAL.DOT, esses nomes são trocados para AutoOpen e Macro10.

Sintomas de infecção: no dia da ativação do Munch, o vírus apresenta na barra de status o texto:

"Whose turn is it to get the nunchies in?"

Ativação: 19 a 31 de dezembro

Características: vírus descoberto na Polônia, também conhecido como Choinka, que é baseado no vírus Vienna. Trata-se de um vírus infector não-residente em arquivos .COM e no COMMAND.COM.

O que faz: exibe uma árvore de Natal no seu monitor.

Como atua: quando um programa contaminado com Father Christmas é executado, o vírus infecta um outro arquivo .COM no diretório corrente. Se não houver arquivos .COM não-contaminados nesse diretório, o vírus procura um arquivo para contaminar nos diretórios acima ou abaixo dele, na árvore do sistema.

Sintomas de contaminação: no período entre 19 e 31 de dezembro, quando arquivos contaminados são executados, um desenho de árvores de Natal é exibido na tela com a seguinte mensagem:

"Merry Christmas / & / a Happy New Year / for all my lovely friends / from FATHER CHRISTMAS"

Ativação: em 9 de novembro

Características: vírus encriptado, residente em memória, que infecta arquivos .COM e .EXE. Após a infecção, o Delta.1163 torna-se residente em memória.

O que faz: o vírus é capaz de deletar o CMOS (complementary metal-oxidesemiconductor), fazendo com que não seja mais possível inicializar o micro.

Como atua: o vírus se propaga quando um arquivo infectado for executado no micro.

Sintomas de infecção: no dia de sua ativação, deleta o CMOS e apresenta o seguinte texto no monitor:

"Good bytes from (DEL)ta Virus!!!"

Ativação: todo 2º dia do mês

Características: um vírus que infecta arquivos tipo .COM, .EXE e .OVL, incluindo o COMMAND.COM, assim como o setor de boot do sistema e o Master Boot Record (MBR). O Flip, porém, só é transmitido por arquivos .EXE.

O que faz: no dia de sua ativação, causa instabilidade (flicker) em monitores tipo EGA e VGA durante uma hora. Além disso, sistema com o disco rígido com partições maiores do que 32 MB podem ter o sistema lógico de particionamento alterado, tornando o número de bytes da partição um pouco menor do que 32 MB.

Como atua: a única forma de infectar um sistema com Flip é executar um arquivo contaminado pelo vírus. O arquivo infectado pode vir de disquetes, download da Internet/serviços on-line ou outras vias. Uma vez executado o arquivo, o vírus fica residente em memória. Nesse momento, todos os arquivos .COM e .EXE tornam-se contaminados, incluindo a cópia do COMMAND.COM no diretório raiz do drive C:. Se estes arquivos utilizarem arquivos .OVL, também serão contaminados. O MBR do disco rígido e o setor de boot do sistema também são afetados.

Sintomas de infecção: no segundo dia de qualquer mês, sistemas que foram inicializados a partir de um disco rígido infectado e tendo monitores EGA ou VGA apresentarão no monitor flickers horizontais por uma hora.

Ativação: 27 de fevereiro

Características: vírus residente em memória, stealth, encriptado, infector do Master Boot Record (MBR).

O que faz: no dia 27 de fevereiro, testa os conhecimentos de música pop internacional do usuário do micro. Caso o usuário responder errado uma de suas perguntas, os dados do micro serão perdidos.

Sintomas de infecção: no dia 27 de fevereiro, o sistema infectado com Peter_II apresenta a seguinte mensagem:

O vírus, então, apresenta as seguintes perguntas, que devem ser respondidas corretamente:

OK, If you give the right answer to the following / questions, I will save your HD: / A. Who has sung the song called "I'll be there"? / 1. Mariah Carey 2. The Escape Club / 3. The Jackson five / 4. All (1-4). / B. What is Phil Collins? / 1. A singer 2. A drummer 3. A producer 4. All above / (1-4) / C. Who has the MOST TOP 10 singles in 1980's? / 1. Michael Jackson / 2. Phil Collins (featuring Genesis) / 3. Madonna / 4. Whitney Houston (1-4)

As respostas corretas são: 4, 4 e 2. Se o usuário responder corretamente, aparece a mensagem:

Se a resposta for errada, aparece...

Sorry! Go to "expletive", lousy man!

...e os dados são perdidos.

Ativação: em 30 de outubro.

Características: Gotcha é um vírus residente em memória que infecta arquivos tipo .COM e .EXE (de dados e executáveis), incluindo o COMMAND.COM.

O que faz: o total de memória disponível no sistema diminui em 1 024 bytes.

Todos os arquivos infectados ganham 879 bytes.

Como atua: a primeira vez que um arquivo com Gotcha é executado, o vírusse instalará residente em memória e se multiplica por arquivos .COM e .EXE.

Sintomas de infecção: os arquivos infectados por Gotcha passam a ter as seguintes linhas de texto: