1253
Ativação: 1º a 31 de dezembro
Características: vírus encontrado em 1990, provavelmente
originário da Áustria. Ele infecta arquivos tipo .COM, incluindo
o COMMAND.COM, o setor de boot de disquetes e a tabela de partição
do disco rígido.
O que faz: sobregrava disquetes no drive A: e diminui a memória
livre nosistema em 2 128 bytes.
Como atua: na primeira vez que é executado, o vírus 1253
se instala residente na memória baixa do micro, como um TSR (Terminate
and Stay Resident). Este TSR é de 2 128 bytes e captura as INTs
13, 21 e 60 do sistema operacional. A memória do sistema permanece
igual, mas a memória livre diminui 2 128 bytes. Neste momento, a
tabela de partição do disco rígido é infectada
com o 1253. Se o arquivo contaminado é executado a partir de um
disquete, o setor de boot do disquete também é infectado.
Qualquer disquete que for acessado quando o vírus está ativo
na memória tem o seu setor de boot infectado. Disquetes recém-formatados
também são contaminados imediatamente.
Halloween
Ativação: em 31 de outubro.
Características: Halloween é um vírus de infecção
de arquivos que não se torna residente na memória.
Ele ataca diretamente arquivos tipo .COM e .EXE (de dados e
executáveis), incluindo o COMMAND.COM.
O que faz: torna o micro mais lento, fazendo com que arquivos e documentos
demorem entre dois e cinco minutos para serem abertos. Os arquivos infectados
também aumentam 10 000 bytes em tamanho.
Como atua: cada vez que um arquivo contaminado é executado, o arquivo
procura no mesmo diretório um arquivo executável (.EXE).
Se não achar um arquivo .EXE não-contaminado,
procura um .COM. Se todos os arquivos .COM e .EXE estiverem contaminados,
o usuário recebe uma mensagem que diz: "Runntime error
002 at 0000:0511"
Sintomas de infecção: os arquivos infectados por Halloween
passam a ter as seguintes linhas de texto:
"*.*" / "ALL GONE" / "Happy Halloween"
4096
Ativação: 1º de outubro até 31 de dezembro
Características: vírus tipo "stealth" invisível, residente
na memória, que infecta arquivos tipo .COM, .EXE e .OVL (de
dados e executáveis).
O que faz: corrompe e destrói arquivos executáveis e de dados,
aumentando o volume de dados dos arquivos. Uma vez residente na memória
do sistema, infecta qualquer arquivo executável aberto, mesmo que
seja aberto com o comando COPY ou XCOPY do DOS.
Sintomas de infecção: o micro se torna lento, como se houvesse
um defeito de hardware.
Helper A e B
Ativação: dias 10 de todos os meses.
Características: vírus de macro que se propaga infectando
documentos do Microsoft Word (versões 6.x e 7.x)
nas plataformas Windows e Macintosh. Ele possui uma linguagem independente
para contaminar arquivos .DOC e .DOT.
O que faz/sintomas de infecção: o vírus cria ou muda
a senha para help em cada documento fechado no dia 10 de cada mês.
Colombus/Akuku
Ativação: em 12 de outubro
Características: o Columbus é um vírus não
residente em memória, baseado no vírus Akuku,
que como ele infecta arquivos .COM e .EXE (de dados e executáveis),
incluindo o COMMAND.COM.
O que faz: cada vez que um arquivo infectado é executado, o vírus
contamina mais três arquivos no mesmo diretório.
Se não encontrar arquivos não-contaminados no mesmo diretório,
procura um diretório acima até chegar ao drive C:.
Sintomas de infecção: no dia da ativação do
Columbus, quando um programa está contaminado, o vírus
exibe repetidas vezes no monitor a seguinte mensagem, enquanto lê
o sistema inteiro do disco rígido:
"Columbus Raped America. Now I Rape your Hard Disk." / ("Colombo violentou a América. Agora eu violento o seu disco rígido.")
No caso do vírus original, Akuku, é incluída a seguinte linha de texto no código viral, encontrada em todos os arquivos contaminados:
"A kuku, Nastepny komornik !!!"
Alguns arquivos executáveis também deixam de funcionar adequadamente depois da infecção com o Akuku e podem exibir mensagens do tipo "Error in EXE file" ("Erro no arquivo EXE").
Alien.h
Ativação: todo domingo
Características: vírus de macro que se propaga infectando documentos do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh.
O que faz: exibe a mensagem "It's Sunday and I intend to relax!" (é
domingo e eu pretendo relaxar) em uma caixa de diálogo e fecha
o documento ativo naquele momento. Causa erros no WordBasic e na
interpretação de macros no Word.
Como atua: o vírus consiste das macros AUTOOPEN, AUTOCLOSE e
FILESAVEAS nos documentos infectados. Torna-se ativo usando o AutoMacros.
Todas as macros são encriptadas, impedindo que o usuário
as edite ou veja os seus códigos.
Sintomas de infecção: ao abrir um documento num micro infectado,
o vírus deleta as opções de menu FERRAMENTAS|MACRO
e FERRAMENTAS|PERSONALIZAR. Além disso, códigos
corrompidos fazem surgir mensagens de erro de WordBasic. No dia 1º
de agosto, o vírus exibe a seguinte mensagem:
- / Alien / X / Another Year of Survival / OK
Em seguida, o programa é fechado. Em Windows 3.x, o vírus também esconde o Gerenciador de Arquivos. Ao abrir um arquivo num domingo de qualquer mês, o vírus poderá exibir a mensagem:
- / Alien / X / It's Sunday and I intend to relax! / OK
Em seguida, ele fecha o Word.
Satanic
Ativação: em 1º de outubro
Características: vírus de macro que infecta documentos do
Microsoft Word (versões 6.x e 7.x), nas plataformas Windows
e Macintosh.
O que faz: na primeira infecção, cria um arquivo executável
C:\NC.COM e no dia de sua ativação: tenta formatar o drive
C: no Windows.
Como atua: grava macros no Word que são executadas nas diversas
atividades que o usuário realiza enquanto usa o programa (salvar/abrir
documentos, fechar e sair do software). Todas as macros são encriptadas,
tornando impossível para o usuário editar ou visualizar o
código. Um sistema infectado pelo vírus deleta TOOLS/MACRO,
TOOLS/CUSTOMIZE e TOOLS/OPTIONS.
Sintomas de infecção: no dia 30 de setembro, quando o usuário
cria um novo documento, aparece no monitor um quadro com a
mensagem:
You´re infected with Satanic
Alliance
Ativação: dias 2, 7, 11 e 12 de todo mês.
Características: vírus de macro que infecta documentos do
Microsoft Word (versões 6.x/ 7.x/ 97), nas plataformas
Windows e Macintosh.
O que faz: altera o funcionamento de macros no arquivo NORMAL.DOT.
Sintomas de infecção: cada documento infectado apresentará
o texto "YOU HAVE BEEN INFECTED BY THE ALLIANCE" como assunto na
área de resumo do ARQUIVO/PROPRIEDADES.
Leandro & kelly
Ativação: em 21 de outubro.
Características: Leandro & Kelly é um vírus residente
em memória que infecta o setor Master Boot Record (MBR).
O que faz: o vírus causa mudanças no setor MBR do sistema,
fazendo com que o usuário tenha dificuldade para inicializar
o micro e dificuldade no acesso a drives de disquetes.
Como atua: a única forma de infectar um computador com vírus
de MBR é tentar inicializar a máquina usando um disquete
de boot contaminado. Depois da contaminação, o vírus
se instala também no setor de MBR do disco rígido e se torna
residente na memória.
Sintomas de infecção: no dia 21 de outubro, o vírus
exibe no monitor a seguinte mensagem:
"Leandro & Kelly!" / "GV-MG-Brazil" (e a data de infecção)
Jerusalem/Anarkia
Características: Anarkia é uma variante do vírus Jerusalém.
Tem o efeito de derrubar o desempenho do sistema e deletar arquivos
executados. A diferença em relação ao Jerusalem é
que não apresenta a caixa preta que o identifica no monitor. Trata-se
de um vírus residente em memória que infecta arquivos tipo
.COM, .EXE, .SYS, .BIN, .PIF e .OVL. Vários vírus foram desenvolvidos
tomando o código do Jerusalem como base.
Ativação: o vírus Jerusalem é ativado nas sextas-feiras
dia 13; o Anarkia, nas terças-feiras 13 e, o Anarkia-B, no
dia 12 de outubro.
O que faz: torna o micro mais lento e, no dia de sua ativação,
deleta todo arquivo que o usuário tentar executar.
Sintomas de infecção: os arquivos .COM infectados ganham
1 813 bytes adicionais e arquivos .EXE ganham entre 1 808 e 1 822
bytes.
Louvado.A
Ativação: dia 13 de todo mês
Características: vírus de macro brasileiro de alto poder
destrutivo, que deleta arquivos e diretórios do Microsoft Windows,
Office, Word e Excel. O vírus se propaga infectando documentos do
Microsoft Word (versões 6.x e 7.x), nas plataformas Windows e Macintosh.
O que faz: ao abrir um arquivo nos dias 13, 14, 19 e 24 de qualquer mês,
ele deleta vários arquivos no drive C.
Como atua: o vírus consiste da macro AUTOOPEN nos documentos infectados.
Torna-se ativo usando o AutoMacros. Todas as macros são encriptadas,
impedindo que o usuário as edite ou veja os seus códigos.
Sintomas de infecção: depois de deletar arquivos no drive C:, o vírus exibe o seguinte a pergunta num quadro de mensagem:
Você é GAY??????
Aragorn
Ativação: dia 28 de outubro
Características: vírus não-residente em memória
que infecta arquivos tipo .COM e .EXE, incluindo o COMMAND.COM. Um bug
no vírus faz com que ele infecte o primeiro arquivo .EXE num
diretório e não infecte os outros arquivos .EXE no mesmo
diretório. O mesmo erro não ocorre em relação
a arquivos .COM.
Sintomas de infecção: as seguintes linhas de texto são
visíveis junto ao código viral em todo arquivo com
Aragorn:
A Aragorn-Roma "(C)1992" / *.com *.exe" / "RRRR"
No dia da ativação do Aragorn, a seguinte mensagem é exibida em texto Ansi, com uma barra colorida representando a bandeira italiana:
"MUSSOLINI DUX / 28 OTTOBRE / ANNIVERSARIO / MARCIA SU ROMA / (barra colorida) / BOIA CHI MOLLA"
Karin
Ativação: em 23 de outubro.
Características: Karin, também conhecido como RedStar, é
um vírus não residente em memória que infecta
arquivos. Ele ataca arquivos tipo .COM e .EXE (de dados e executáveis),
incluindo o COMMAND.COM.
O que faz: no dia de sua ativação, se um arquivo for executado
o vírus exibe insistentemente uma mensagem que
comemora o aniversário de Karin. O vírus coloca o arquivo
em loop e o sistema precisa ser reinicializado.
Como atua: quando um arquivo infectado com Karin é executado, o
vírus procura outros arquivos .COM no mesmo diretório
e os infecta. Se o arquivo COMMAND.COM estiver nesse diretório,
será contaminado.
Sintomas de infecção: no dia 23 de outubro, ao executar um
arquivo, a seguinte mensagem é exibida repetidas vezes:
"Karin's hat GEBURTSTAG"
Badboy
Ativação: 1º e 13º dia de cada mês
Características: vírus de macro que infecta documentos do
Microsoft Word (versões 6.x e 7.x), nas plataformas
Windows e Macintosh.
O que faz: o vírus instala as seguintes macros em todo documento
infectado: AUTOOPEN, FILESAVEAS, BADBOY, AUTOEXEC e FILENEW,
que mudam o funcionamento do programa. O vírus também
estabelece a palavra gansta como senha para salvar os documentos.
Como atua: a macro AUTOOPEN infecta o arquivo global de macros, quando
o usuário abre um documento do Word contaminado. Ao usar a macro
FILESAVEAS, todos os outros documentos serão infectados.
Sintomas de infecção: nos dias de sua ativação,
apresenterá as seguintes telas de mensagem em sistemas infectados:
- / Mack Daddy / X / Bad Boy, .., What u gonna do / OK / - / The Gansta Rappa / X / What u gonna do when they come for you / OK
Em seguida, o vírus passa a pedir a senha para salvar os arquivos. Depois de registrar a senha gansta, dois quadros de mensagem como este aparecerão:
- / BMF / X / The Gansta owns you! .. / OK
Kompu
Ativação: dias 6 e 8 de todo mês.
Características: vírus de macro encriptado, stealth, que
infecta documentos do Microsoft Word (versões 6.x/ 7.x/ 97), nas
plataformas Windows e Macintosh.
O que faz: altera o funcionamento de macros do Word. O vírus consiste
das macros AutoOpen e AutoClose em documentos infectados e torna-se ativo
utilizando a
AutoMacros.
Sintomas de infecção: quando for abrir um documento, no 6º
e 8º dia do mês, aparecerá um quadro com a seguinte mensagem:
Tahan Komi!, Mul on paha tuju! /
O usuário deverá digitar a palavra Komm para fechar a janela. A seguinte mensagem será enviada para a impressora:
Namm-Namm-Namm-Namm-Amps-Amps-Amps-Amps-Klomps-Krook!
Bad.a
Ativação: dia 13 de todo mês
Características: vírus de macro brasileiro que infecta documentos
do Microsoft Word (versões 6.x e 7.x), nas plataformas Windows
O que faz: deleta todos os arquivos .DLL do diretório c:\windows\system,
provocando problemas operacionais, e também exibe uma mensagem em
português na barra de status.
Como atua: o vírus consiste da macro AUTOOPEN nos documentos
infectados. Torna-se ativo usando o AutoMacros. Todas as macros são
encriptadas, impedindo que o usuário as edite ou veja os seus códigos.
Sintomas de infecção: ao abrir um documento, existe uma chance
em 40 de que o vírus exibirá, na barra de status
do Word, a mensagem:
BAD v1.0 Copyright (c) 1997, Todos os direitos reservados
Se esta rotina for ativada num dia 13 de qualquer mês, o vírus em seguida deleta os arquivos .DLL do direitório c:\windows\system.
Tamago.a
Ativação: dia 26 de cada mês
Características: vírus de macro que infecta documentos do
Microsoft Word (versões 6.x, 7.x e 97), nas plataformas Windows.
O que faz: quando é aberto ou fechado um arquivo do Word, no dia
26 de qualquer mês, o Tamago faz diversas entradas na AUTOEXEC.BAT,
a maioria das quais inofensiva. Porém, não é
inofensiva a seguinte linha:
deltree |y c:\*.*>nul
Ela faz com que todos os arquivos do drive C sejam deletados. O computador,
em seguida, envia uma mensagem ao usuário (veja Sintomas de infecção).
Como atua: o vírus, escrito para a versão em português
do Word, contém as seguintes macros: AUTOEXEC, ARQUIVOSALVARCOMO,
AUTOCLOSE, AUTOOP, UTILMACRO, ARQUIVOMODELOS, FERRAMMACRO,
ARQUIVOIMPRIMIR, ARQUIVOIMPRIMIRPARDRÃO, que mudam o funcionamento
do programa. O vírus torna-se ativo usando Auto e SystemMacros.
O Tamago.A só tem o seu SystemMacros ativado na versão em
português. Embora a sua AutoMacro possa ser ativada em qualquer versão,
provavelmente sua distribuição é limitada à
de português.
Sintomas de infecção: no dia de sua ativação,
o vírus procura deletar os arquivos do drive C. Em seguida,
faz um barulho de beep e exibe as mensagens abaixo:
- / TamAGoXi's NoTe / X / EtERnAl LoVE 2 mY LitTlE gIrl Gi / OK
Quando é utilizada a macro UTIL|MACRO ou FERRA|MACRO, aparece a seguinte mensagem:
- / MicoSoft Word / X / Erro de compilação módulo / 34:121 Visual Basic. Contate / Suporte On-Line. / OK
Boom
Ativação: todo dia 13 entre os meses de março e dezembro,
pontualmente às 13h13min13s.
Características: vírus de macro que infecta apenas os documentos
da versão alemã do Microsoft Word (versões 6.x e 7.x,
para Windows e Macintosh), mas também tem conseqüências
negativas para as versões em outras línguas.
O que faz: substitui todo o menu de opções da versão
do Word em alemão para inserir as seguintes palavras
no lugar das opções Arquivo | Editar | Exibir | Inserir |
Formatar | Ferramentas | Tabela | Janela | Ajuda :
"Mr. | Boombastic | and | Sir | WIXALOT | are | watching | you | !!".
(Frase que significa "O sr. Boombastic e Sir WIXALOT estão observando
você!!"). O programa, em seguida, exibe uma piada política
em alemão e a envia para impressão.
Why Windows
Ativação: dias 23, 24 e 25 de fevereiro
Características: este vírus sueco, descoberto em 1992, não
é residente em memória. Infecta arquivos .COM,
incluindo o COMMAND.COM. Cada vez que um arquivo contaminado é
executado, ele infecta um arquivo .COM no diretório corrente.
O que faz: tenta deletar o arquivo \windows\win.com e, no dia 23 de fevereiro,
procura apagar o C:\autoexec.Bat. No dia 24 de fevereiro, tenta deletar
o C:\Config.sys e, por fim, no dia 25, tenta sobrescrever a raiz
do diretório C:\ e a tabela de locação.
Sintomas de infecção: os arquivos têm o acréscimo
de 459 bytes, com o vírus sendo localizado no fim do arquivo.
A seguinte linha de texto pode ser encontrada no código
viral de todo arquivo infectado com Why Windows:
*.com / C:\Command.COM C:\Autoexec.bat C:\Config.Sys / \windows\win.com / Why Windows (c) 1992 MaZ / BetaBoys B.B
Cascade
Ativação: de 1º de outubro a 31 de dezembro.
Características: Cascade surgiu, inicialmente, como um Cavalo de
Tróia (arquivo destrutivo que é distribuído como um
programa útil) que desliga a luz da tecla Num-Lock quando o sistema
é reiniciado. O Cavalo de Tróia fazia com que caracteres
caíssem na tela em cascata (motivo do seu nome) até montar
uma pilha na base da tela. O programa foi posteriormente transformado em
vírus, do tipo residente em memória, que contamina arquivos
.COM.
O que faz: afeta o desempenho de monitores tipo CGA ou VGA.
Sintomas de infecção: as versões iniciais do vírus
apresentavam teclas caindo no monitor, mas versões mais recentes
não exibem mais as teclas em cascata, tornando difícil
para o usuário saber da contaminação
Little_Brother-449
Ativação: na 1ª terça-feira de novembro
Características: vírus residente em memória que infecta
arquivos tipo .EXE (executáveis). O Little_Brother.307 também
cria arquivos .COM.
O que faz: após tornar-se residente em memória, o vírus
acrescenta 349 bytes ao primeiro arquivo .EXE que for executado.
Sintomas de infecção: na primeira terça-feira de novembro,
dia das eleições majoritárias nos Estados
Unidos, o vírus apresenta a seguinte mensagem no
monitor do usuário, acompanhada de múltiplos sons de "bips":
"DID YOU VOTE, SHITHEAD??"
Concept
Ativação: o Concept.F é ativado todo 16º dia
do mês e, o Concept.L, todo 17º dia do mês.
Características: os vírus Concept (F, G, J, L e M) são
baseados no primeiro vírus de macro surgido no mundo,
o Concept. Infectam documentos do Microsoft Word (versões 6.x, 7.x
e 97), nas plataformas Windows e Macintosh.
O que fazem: Concept.F troca as letras em documentos do Word,
substituindo "." por ",", "a" por "e" e "and" por "not". Concept.L fecha
arquivos .DOC automaticamente e tenta deletar o diretório
c:\DELETEME.
Como atuam: documentos infectados com o vírus inserem macros na
template global do Word, NORMAL.DOT, que altera o funcionamento do
programa.
Sintomas de infecção: os vírus Concept.F, G e J exibem
a seguinte mensagem no monitor, ao entrar ou sair do Word no 16º
dia de todo mês:
- / Parasite Virus 1.0 / X / Your computer is infected with the Parasite / Virus, version 1.0! / OK
Os vírus Concept.L e M, ao infectar um documento pela primeira vez, mostram a seguinte caixa de diálogo:
- / Microsof Word / X / Uh Ohhh. NORMAL.DOT just got / infected .. / OK
No 24º dia do mês, quando o usuário fecha um documento,
o vírus tenta
deletar o diretório c:\DELETEME.
Tenbytes
Ativação: de 1º de outubro a 31 de dezembro.
Características: o vírus, quando ativado, corrompe arquivos,
fazendo com que percam os primeiros 10 bytes cada vez que são
gravados. No fim destes arquivos aparecem dez caracteres embaralhados.
Se o vírus for executado em um sistema com menos de 640 KB de memória,
o vírus derruba o sistema.
O que faz: quando um arquivo infectado com o TenBytes é executado,
o vírus se instala residente na memória do sistema.
Então, se alastra por arquivos .COM e .EXE, incluindo o COMMAND.COM.
Clock:DE
Ativação: dias 1º, 2, 13, 21, 26, 27, 28, 29, 30 e 31
de outubro
Características: vírus de macro alemão que infecta
somente arquivos .DOC e .DOT de versões do Microsoft Word
alemã (versões 6.x e 7.x), nas plataformas Windows e Macintosh.
O que faz: quando o usuário inicia o trabalho num documento, nas
datas de ativação do vírus, ele executa rapidamente
as funções das macros FileOpen e FileSave, nos
primeiros cinco minutos de cada hora. O vírus criptografa os códigos
de macros, impedindo que sejam visualizados ou editados.
Sintomas de infecção: num sistema infectado, o vírus
esconde as funções de FILE/TEMPLATE e TOOLS/MACRO.
Ao abrir o Word, no 25º dia do mês, é comum que
apareça o seguinte quadro de mensagem:
- / Microsoft Word / X / 16:08 Uhr / OK
O vírus também inverte as funções ARQUIVO/SALVAR COMO e ARQUIVO/ABRIR do programa.
Maltese Amoeba
Ativação: 15 de março e 1º de novembro
Características: este vírus, descoberto na Irlanda mas fabricado
em Malta, é residente em memória e infecta arquivos
.COM e .EXE (de dados e executáveis), exceto o COMMAND.COM.
O que faz: nas datas de sua ativação, sobregrava os primeiros
quatro setores dos cilindros 0 a 29 do disco rígido e disquetes.
Depois de sobregravar esses setores, o vírus exibe uma tela luminosa
piscando e deixa o micro em loop. Após a reinicialização,
exibe um poema e, em seguida, faz o sistema cair.
Sintomas de infecção: depois de sobregravar setores do HD,
exibe o seguinte poema, logo após a reinicialização
do micro:
"To see a world in a grain of sand / And a heaven in a flower / Hold infinity in the palm of your hand / And eternity in an hour" (Para ver o mundo num grão de areia / E o céu numa flor / Guarde a infinidade na palma da sua mão / E a eternidade numa hora")
Em seguida, o sistema cai. Dentro do setor de boot do disco rígido, um outro texto, encriptado, leva a seguinte mensagem:
"AMOEBA virus by the Hacker Twins (C) 1991 / This is nothing, wait for the release of AMOEBA II – The / universal infector, hidden to any eye by ours! Dedicated / to the University of Malta - the worst educational / system in the universe, and the destroyer of 5X2 years / of human life". ("Vírus AMOEBA pelos Gêmeos Hackers (C) 1991 / Isto não é nada, aguardem o lançamento do AMOEBA II / - O infector universal, escondidos aos olhos de todos por nós! / Dedicado à Universidade de Malta - o pior sistema educacional / do universo e o destruidor de 5 x 2 anos de vida humana".)
Dark-End
Ativação: em 15 de outubro.
Características: Dark-End é um vírus residente em
memória que sobregrava dados. Ele infecta arquivos tipo .COM e EXE
(de dados e executáveis).
O que faz: pode gerar danos irreparáveis aos dados no disco rígido
e deletar arquivos. Sobregrava os primeiros 30 setores do disco C:.
Como atua: quando o primeiro arquivo infectado pelo vírus é
executado, ele se instala residente em memória, afetando arquivos
todos os .COM e .EXE executados, incluindo o COMMAND.COM.
Sintomas de infecção: Todos os arquivos infectados contêm
o seguinte texto no código viral:
"(c) Dark End."
Os arquivos infectados aumentam 1 188 bytes em tamanho. Os sistemas infectados também podem apresentar interferência no monitor, clarear a tela e tremular o cursor, além de derrubar o sistema.
Twno1
Ativação: dia 13 de todos os meses
Características: Twno1 é um vírus de macros capaz
de sobregravar o disco
rígido e provocar perda total ou parcial
de dados e programas. No ambiente Microsoft Word, o Twno1 infecta
arquivos .DOC e .DOT.
O que faz: Twno1 apresenta um jogo de aritmética mental no dia 13
de qualquer mês. Se você responder errado, o sistema abre 20
documentos para cada questão. O Windows é executado cada
vez mais lentamente.
Como atua: o vírus usa as macros AutoClose, AutoNew e AutoOpen para
infectar arquivos .DOT. O vírus de macro se espalha quando existe
uma ou mais macros num documento. Ao abrir ou fechar um documento, ou realizar
qualquer outra atividade que evoque a macro viral, o vírus é
ativado. Uma vez que se ativa a macro do vírus, ela faz uma cópia
de si mesma e de quaisquer outras macros de que necessitar, muitas vezes
usando o próprio arquivo global de macros, NORMAL.DOT. Ao instalar-se
no NORMAL.DOT, o vírus fica disponível para todos os arquivos
do Word e procura contaminá-los.
Sintomas de infecção: Twno1 realiza um jogo de aritmética
com o usuário (veja em "O que faz").
Datacrime
Ativação: em 12 de outubro
Características: Datacrime, também conhecido como vírus
1168, é um vírus parasita que grava informações
por cima de outros arquivos. Não é residente em memória
e infecta arquivos tipo .COM.
O que faz: o vírus se agrega no fim dos arquivos .COM, aumentando
o tamanho do arquivo em 1168 bytes. Os primeiros 5 bytes do arquivo hospedeiro
armazenam o código viral e, então, repassam as linhas de
instrução para que o vírus seja executado antes do
arquivo hospedeiro. O vírus se propaga procurando arquivos .COM
e vai se agregando a eles.
Sintomas de infecção: o vírus vai se propagando por
arquivos .COM do sistema até o dia 12 de outubro, quando exibe a
seguinte mensagem, quando um arquivo contaminado é executado:
"DATACRIME VIRUS / RELEASED: 1 MARCH 1989"
Erros no código fazem com que arquivos .COM contaminados apareçam ao acaso, sempre fazendo o sistema cair depois da infecção.
Zaphod
Ativação: 28 de fevereiro
Características: vírus inglês, descoberto em 1992,
que é não residente em memória e tem ação
direta na infecção de arquivos .COM, incluindo o COMMAND.COM.
Quando um arquvio contaminado com Zaphod é executado, o vírus
infecta o primeiro arquivo .COM localizado no diretório corrente.
Ele não infecta arquIvos .COM localizado no diretório corrente.
Ele não infecta arquivos .COM além do diretório corrente.
O que faz: exibe uma mensagem na tela (veja sintomas) e se replica no sistema.
Sintomas de infecção: na data de sua ativação,
a execução de um arquivo infectado resulta na seguinte mensagem
no monitor:
Greetings from ZAPHOD.
Além da mensagem, as seguintes linhas de texto também são encriptadas com o código viral:
Lu*.COM / ????????COM
MDMA (Many Delinquent Modern Anarchists) (A, C, D, F, G e H)
Ativação: todo dia 1º do mês (na versão
MDMA.C, a data de ativação depende do sistema operacional:
em Windows 3.x, 95 e NT, é alterada para o dia 31 de todo mês;
em Macintosh, ocorre em qualquer momento depois do 4º dia do mês).
Características: vírus de macro que infecta arquivos do Microsoft
Word nas versões 6.x e 7.x nas plataformas Windows, Windows 95,
Windows NT e Macintosh.
O que faz: tem potencial de apagar todos os arquivos. O vírus infecta
o NORMAL.DOT e arquivos que utilizam a macro AutoClose. Após fechar
um
arquivo, este será salvo como template (modelo de página)
com uma cópia do
AutoClose.
Como atua: o vírus se torna ativo utilizando a macro AutoMacro e
encripta todas as macros, impendindo que o usuário edite ou visualize
o código.
Sintomas de infecção: o seguinte texto é exibido em
uma caixa de mensagem:
- / MDMA_DMV / X / You are infected with MDMA_DMV. / Brought to you MDMA (Many Delinquent / Modern Anarchists) / OK ( Ou seja: "Você foi infectado com MDMA_DMV. Oferecido por MDMA (Anarquistas Modernos Muito Delinquentes)").
Violator (Variantes: Violator B1; Violator B2; Violator-C)
Características: Violator B1, B2 e C são variantes do vírus
original, Violator, cuja característica principal é infectar
um arquivo novo cada vez que um arquivo contaminado é executado.
No período de sua ativação, o vírus sobregrava
o início do disco rígido se um arquivo contaminado for executado.
Ativação: o Violator-C é ativado de outubro a novembro
de qualquer ano; o Violator-B1 é ativado todo dia 4, nos meses de
setembro, outubro, novembro e dezembro; e o Violator-B2 é ativado
no dia 31 de outubro.
Sintomas de infecção: a seguinte mensagem aparece no código
viral localizado nos arquivos infectados:
"TransMogrified (TM) 1990 by RABID N'tnl / Development Corp Copyright (c) 1990 RABID! / Activation Date: 08/15/90 - Violator Strain B - ! / (Field Demo Test Version)!! * NOT TO BE DISTRIBUTED / *!"
Outros sintomas de infecção são tentativas de acesso ao drive B: sem que o usuário o tenha requisitado. Se não houver disquete no drive B:, ou se o disquete estiver protegido contra gravação, é exibida mensagem de erro.
Munch
Ativação: dia 9 em todo mês
Características: vírus de macro que propaga infectando documentos
do Microsoft Word em plataformas Windows e Macintosh.
O que faz: todas as macros são encriptadas, impedindo o usuário
de editar ou visualizar os códigos da macro.
Como atua: os arquivos contaminados com este vírus têm as
macros AutoOpen e Macro1. No documento NORMAL.DOT, esses nomes são
trocados para AutoOpen e Macro10.
Sintomas de infecção: no dia da ativação do
Munch, o vírus apresenta na barra de status o texto:
"Whose turn is it to get the nunchies in?"
Father Christmas
Ativação: 19 a 31 de dezembro
Características: vírus descoberto na Polônia, também
conhecido como Choinka, que é baseado no vírus Vienna. Trata-se
de um vírus infector não-residente em arquivos .COM e no
COMMAND.COM.
O que faz: exibe uma árvore de Natal no seu monitor.
Como atua: quando um programa contaminado com Father Christmas é
executado, o vírus infecta um outro arquivo .COM no diretório
corrente. Se não houver arquivos .COM não-contaminados nesse
diretório, o vírus procura um arquivo para contaminar nos
diretórios acima ou abaixo dele, na árvore do sistema.
Sintomas de contaminação: no período entre 19 e 31
de dezembro, quando arquivos contaminados são executados, um desenho
de árvores de Natal é exibido na tela com a seguinte mensagem:
"Merry Christmas / & / a Happy New Year / for all my lovely friends / from FATHER CHRISTMAS"
Delta.1163
Ativação: em 9 de novembro
Características: vírus encriptado, residente em memória,
que infecta arquivos .COM e .EXE. Após a infecção,
o Delta.1163 torna-se residente em memória.
O que faz: o vírus é capaz de deletar o CMOS (complementary
metal-oxidesemiconductor), fazendo com que não seja mais possível
inicializar o micro.
Como atua: o vírus se propaga quando um arquivo infectado for executado
no micro.
Sintomas de infecção: no dia de sua ativação,
deleta o CMOS e apresenta o seguinte texto no monitor:
"Good bytes from (DEL)ta Virus!!!"
Flip
Ativação: todo 2º dia do mês
Características: um vírus que infecta arquivos tipo .COM,
.EXE e .OVL, incluindo o COMMAND.COM, assim como o setor de boot do sistema
e o Master Boot Record (MBR). O Flip, porém, só é
transmitido por arquivos .EXE.
O que faz: no dia de sua ativação, causa instabilidade (flicker)
em monitores tipo EGA e VGA durante uma hora. Além disso, sistema
com o disco rígido com partições maiores do que 32
MB podem ter o sistema lógico de particionamento alterado, tornando
o número de bytes da partição um pouco menor do que
32 MB.
Como atua: a única forma de infectar um sistema com Flip é
executar um arquivo contaminado pelo vírus. O arquivo infectado
pode vir de disquetes, download da Internet/serviços on-line ou
outras vias. Uma vez executado o arquivo, o vírus fica residente
em memória. Nesse momento, todos os arquivos .COM e .EXE tornam-se
contaminados, incluindo a cópia do COMMAND.COM no diretório
raiz do drive C:. Se estes arquivos utilizarem arquivos .OVL, também
serão contaminados. O MBR do disco rígido e o setor de boot
do sistema também são afetados.
Sintomas de infecção: no segundo dia de qualquer mês,
sistemas que foram inicializados a partir de um disco rígido infectado
e tendo monitores EGA ou VGA apresentarão no monitor flickers horizontais
por uma hora.
Peter_II
Ativação: 27 de fevereiro
Características: vírus residente em memória, stealth,
encriptado, infector do Master Boot Record (MBR).
O que faz: no dia 27 de fevereiro, testa os conhecimentos de música
pop internacional do usuário do micro. Caso o usuário responder
errado uma de suas perguntas, os dados do micro serão perdidos.
Sintomas de infecção: no dia 27 de fevereiro, o sistema infectado
com Peter_II apresenta a seguinte mensagem:
Good morning, EVERYbody, I am PETER_II / Do not turn off the power or you will / lost all of the data in Hardisk!! / Wait for 1 minute, please...
O vírus, então, apresenta as seguintes perguntas, que devem ser respondidas corretamente:
OK, If you give the right answer to the following / questions, I will save
your HD: / A. Who has sung the song called "I'll be there"? / 1. Mariah
Carey 2. The Escape Club / 3. The Jackson five / 4. All (1-4).
/ B. What is Phil Collins? / 1. A singer 2. A drummer 3. A producer 4.
All above / (1-4) / C. Who has the MOST TOP 10 singles in 1980's? / 1.
Michael Jackson / 2. Phil Collins (featuring Genesis) / 3. Madonna / 4.
Whitney Houston (1-4)
As respostas corretas são: 4, 4 e 2. Se o usuário responder
corretamente, aparece a mensagem:
CONGRATULATIONS!!! You successfully pass the quiz! / AND NOW RECOVERING YOUR HARDDISK
Se a resposta for errada, aparece...
Sorry! Go to "expletive", lousy man!
...e os dados são perdidos.
Gotcha
Ativação: em 30 de outubro.
Características: Gotcha é um vírus residente em memória
que infecta arquivos tipo .COM e .EXE (de dados e executáveis),
incluindo o COMMAND.COM.
O que faz: o total de memória disponível no sistema diminui
em 1 024 bytes.
Todos os arquivos infectados ganham 879 bytes.
Como atua: a primeira vez que um arquivo com Gotcha é executado,
o vírusse instalará residente em memória e se multiplica
por arquivos .COM e .EXE.
Sintomas de infecção: os arquivos infectados por Gotcha passam
a ter as seguintes linhas de texto:
"GOTCHA!" / "NEXECOM"