Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.
Также создает и запускает временный COM-файл (для того чтобы иметь доступ к DOS-функциям INT 21h).
Содержит строки: "BATalia v 1.0" Written by Int O`Dream at 04.11.95 (Original algoritm) BAT.Batalia2 Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.
Содержит строки: BATalia2 BAT.Batalia3 Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.
Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS: @echo off rem YYY arj x %0 -gооbеpс >nul ren p Int call i ren Int a.bat echo on @call a @echo off del i.bat del a.bat del BATalia3 Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительные файлы: P, BATALIA3 BATALIA3 содержит вспомогательные данные вируса, файл P содержит код файла-носителя.
Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).
При запуске вирус распаковывает файлы I.BAT и BATALIA3 из архива и запускают I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.
Пакует заражаемый файл в архив и результат записывает вместо заражаемого файла, т.е. при заражении может уменьшать размер файлов. BAT.Batalia4 Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.
Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS: @echo off rem BAT4 arj x %0 >nul call i del sg del i.bat Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительный файл SG, который содержит вспомогательные данные вируса.
Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).
При запуске вирус распаковывает файлы I.BAT и SG из архива и запускает I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.
Дописывает свой код (6 batch-команд и ARJ-архив) в конец файла. BAT.Batalia6 Безобидный нерезидентный полиморфный BAT-вирус. При запуске ищет BAT-файлы и заражает их. При заражении файлов вирус использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.
Зараженный файл состоит из двух частей. Первая часть (заголовок) содержит пять команд DOS (см. ниже). Вторая часть содержит BAT-файл со случайным именем, упакованный архиватором ARJ. Таким образом, вирус содержит строки текста (команды DOS) и данные (архив ARJ).
BAT-файл из ARJ-архива в свою очередь содержит команды DOS и еще один ARJ-архив. Команды DOS этого BAT-файла являются основным кодом вируса, который вызывает процедуры поиска файлов, заражения и генерации полиморфик-кода. ARJ-архив содержит несколько файлов: файл-носитель, дополнительный код и данные вируса.
В результате зараженный файл выглядит как архив в архиве: +--------------------+ |BAT-команды | - "заголовок-1", startup-код |--------------------| | ARJ-архив: | - содержит BAT-файл со случайным именем | +----------------+ | | |BAT-команды | | - "заголовок-2", основной код вируса | |----------------| | | | ARJ-архив: | | - содержит набор файлов: | | +------------+ | | | | |BATALIA6.BAT| | | - процедуры поиска и заражения, полиморфик-генератор | | |hostfile.BAT| | | - файл-носитель | | |ZAGL | | | - данные вируса | | |RULZ | | | - данные вируса | | |FINAL.BAT | | | - процедура уничтожения временных файлов | | +------------+ | | | +----------------+ | +--------------------+ "Заголовок-1" содержит пять команд, которые при заражении выбираются из нескольких вариантов и имеют различные длины, например: @echo off rem arj e %0 %compec% -g5 C:\COMMAND.COM nul /carj x %0 -g2 :nul arj x %0 -g7 C:\COMMAND.COM w HOST.BAT @EcHo OfF rem COMMAND.COM nul /carj x %0 -g1 %comspec% nul /c arj e HOST.BAT -g3 :echo C:\COMMAND.COM nul /carj x %0 i HOST.BAT ARJ-архив зашифрован со случайным паролем, поэтому вирус практически не содержит постоянных байт и является первым известным полиморфным BAT-вирусом. При запуске вирус ("заголовок-1") запускает архиватор ARJ, распаковывает свою вторую часть (BAT-файл) и запускает её. Код второй части создает временный подкаталог, в который распаковывает файлы из второго архива, выполняет процедуры поиска и заражения файлов, затем запускает файл-носитель и уничтожает временные файлы и подкаталог. Код вируса содержит только текстовые строки, среди которых присутствуют комментарии: : Death Virii Crew & Stealth Group World Wide : P R E S E N T S : First Mutation Engine for BAT ! : Without ASM ! : [BATalia6] & FMEB (c) by Reminder
: // ## # : +-------- /// ------+ ### Magazine # for VirMakers : |+++-++- // // -+-+++| ### ################ # ################### # ######## : |++ | | ///// | | ||| ## ### ### ### ### ### ### ### # # ### # ### ### : |++ - + ///// ++- ++| # # # ## ## # # ## # # # # # # # # # : +------ // // -------+ # # # # ### ### # ### ### ## ### # ### #### : GROUP // // WORLDWIDE # ################# ############################### : : Box 10, Kiev 252148 : Box 15, Moscow 125080 : Box 11, Lutsk 263020 : : R E A D I N F E C T E D V O I C E : : (c) by Reminder (May 22, 1996)
