5.1 Diffusione dei Boot virus    

Come mai i Boot virus sono così comuni ? Infatti oggi questi virus sono di gran lunga il tipo di virus più diffuso, raggiungendo addirittura il 90 % di tutti gli incidenti dovuti a virus. D'altra parte i file virus, sono decrementati e parecchi anni fa hanno sfiorato il 50 % di tutti i contagi da virus. Questo cambiamento è rimarchevole. Il virus Michelangelo è stato forse quello che più di ogni altro a portato a conoscenza di tutti dell'esistenza di questa categoria parassitaria, ma non spiega come mai questa si sia così diffusa con gli anni. Per lungo tempo gli analisti hanno detto che la differenza tra la diffusione dei Boot virus e tutti gli altri era da attribuirsi al software anti-virus sempre più mirato. Sfortunatamente, se si guardano più da vicino i dati, si può notare che mentre le politiche e il software anti-virus possono fare la differenza all'interno delle organizzazioni, difficilmente possono giustificare l'attuale differenza di diffusione. Comunque il software ha avuto il merito di abbassare il numero totale di contagi da virus informatici.

Per trovare una soluzione al mistero, bisogna fare attenzione ai cambiamenti che si sono avuti negli ambienti che si occupano di 'Computer Science'. Il maggiore cambiamento che si è avuto per quanto riguarda i PC, è il passaggio dal sistema operativo MS-DOS ai sistemi Windows. Windows 3.0 è stato commercializzato nel 1990 e iniziò a divenire una valida alternativa al nativo DOS. Windows 3.1 ha accelerato questo passaggio e attualmente un enorme numero di PC si appoggia su tali sistemi. E' stata questa piccola rivoluzione a cambiare il destino dei virus. Esperimenti condotti nei laboratori dell'IBM, hanno dimostrato che Windows è un ambiente fragile in presenza di un tipico file virus. In molti casi, se un virus è residente in memoria, la macchina non può neanche partire. D'altra parte, Windows si comporta in modo molto differente se è infetto con un tipico Boot virus. Per molti virus di Boot, il sistema può non solo partire, ma può replicare il virus, facendolo diffondere ai vari dischetti. 

Un utente deve, in un modo o nell'altro, eliminare un virus residente su file, poiché abbiamo detto che in caso contrario Windows è completamente inoperativo. Per debellare il contagio, un utente può usare un pacchetto anti-virus, può portare il suo computer in un ufficio attrezzato per le riparazioni, può altresì reinstallare tutti i suoi programmi con delle copie di back-up. In ogni caso egli deve eliminare ad ogni costo il parassita. Se invece un utente è contagiato con un Boot virus, potrebbe nemmeno accorgersi di quello che gli è capitato. Windows continuerà a partire e a eseguire le sue funzioni normalmente. Sfortunatamente, se i dischetti non sono protetti in scrittura, questi saranno infettati. A meno che l'utente possegga un buon software anti-virus, egli non avrà nessuna ragione di sospettare un problema e quindi non avrà nessuna ragione di distruggere il virus.

Analisi ambientali hanno lasciato predire, nel 1994, che i Boot virus sarebbero continuati ad aumentare, in accordo all'uso sempre più massiccio di Windows. In modo simile si credeva che i file virus sarebbero ancora diminuiti. Si pensava insomma che i virus di Boot, allora poco prevalenti, sarebbero stati in futuro i più diffusi, a dispetto degli altri tipi di virus, che dovevano invece diminuire. Ed infatti si è assistito a una diffusione incontrollata degli incidenti dovuti a virus del settore di Boot e alla corrispondente caduta degli incidenti per file virus. Parecchi Boot virus che possono vivere all'interno di Windows, incluso "AntiEXE" e "AntiCMOS", sono diminuiti nel 1994 ma ora sono sostanzialmente i più prevalenti. Nonostante il fatto che i comuni virus come "Form" si siano diffusi così velocemente, tutti si aspettavano che questi si equilibrassero con virus di altro genere e invece hanno continuano la loro corsa verso i livelli più elevati. 

5.2 La pazzia di Michelangelo

Il virus Michelangelo è stato scoperto nei primi mesi del 1991 in Nuova Zelanda. Michelangelo è un tipico parassita del master boot record dell' hard disk e del Boot record del dischetto, con una eccezione che l' ha reso unico. Se il sistema infetto è avviato il 6 marzo di qualsiasi anno, il virus sovrascriverà parti dell' hard disk con dati casuali. Queste rende l' hard disk del sistema e tutte le sue informazioni inaccessibile. Il virus è stato chiamato Michelangelo, non a causa di messaggi trovati nel codice stesso, bensì perché una delle prime persone che lo analizzarono notò che il 6 marzo è il compleanno del famoso artista. Il ritrovamento di un nuovo virus, non è un fatto inusuale in se; diverse dozzine di nuovo virus sono trovati ogni settimana. Michelangelo è stato diverso poiché esso è stato scoperto in reale incidente. Piuttosto che essere scovato come uno dei migliaia di virus trovati da programmi anti-virus, è stato trovato in modo casuale. Inoltre era inusuale poiché avrebbe potuto arrecare danni sostanziali ai dati contenuti nei PC delle persone, e perché questi danni si sarebbero verificati tutti in un giorno. Nella settimana precedente il 6 marzo, nel 1992, alcuni fatti ancora più strani accaddero. In un affascinante scambio di opinioni tra i media e alcune parti dell'industria anti-virus, il virus Michelangelo divenne uno dei maggiori eventi. Notizie che chiedevano di fare attenzione al potenziale distruttivo di Michelangelo furono trasmesse sui maggiori network televisivi. Articoli a proposito apparvero in modo prominente sui maggiori giornali. Man mano che il 6 marzo si avvicinava, le notizie culminavano nell'isterismo. Le prospettive del numero di sistemi che sarebbero crollati crebbe di centinaia di migliaia, addirittura milioni.

Quando la fatidica data arrivò, le predizioni non si verificarono mai. Il virus Michelangelo fu trovato su alcuni sistemi e probabilmente distrusse dei dati utili solo su pochi di loro. Ma il disastro mondiale non si verificò. Invece, fu difficile trovare e verificare la distruzione dei dati da parte di Michelangelo in molti di quei sistemi. Questo non fu molto sorprendente. Le varie ricerche del tempo hanno mostrato che il virus non era molto prevalente e certamente non era uno dei più comuni virus. Si è stimato che il 6 marzo, il numero di sistemi nei quali l' hard disk si ruppe a causa di fallimenti casuali dell' hardware, eguaglia il numero di PC nei quali si verificò la distruzione dei dati da parte del virus. E' dunque importante tenere i rischi in prospettiva.

La pazzia di Michelangelo, come il virus è stato ribattezzato, ebbe comunque un effetto drammatico, anche se non come quello ipotizzato. A causa delle predizioni circa i danni che si sarebbero verificati, le persone comprarono e installarono software anti-virus in abbondanza. In alcuni luoghi, folle di persone in attesa di comprare l'anti-virus, paralizzarono la circolazione. In altre zone, i magazzini vendettero la loro intera fornitura di software anti-virus durante la settimana che conduceva al 6 marzo. In tutto il mondo, un gran numero di persone testarono i loro sistemi per virus in quei pochi giorni.

La figura sotto illustra l'effetto di questa attività. Nelle due settimane prima del 6 marzo 1992, i bollettini sugli incidenti da virus raggiunsero livelli senza precedenti. Naturalmente, questo non fu dovuto a un'esplosione incontrollata di virus in quelle due settimane. Piuttosto, infezioni latenti per giorni o settimane, furono trovate, semplicemente perché la gente fece più attenzione a loro. In ambienti come quelli delle persone che si occupano di informatica, dove il software anti-virus è installato e usato, le stesse infezioni furono cacciate probabilmente nelle sottoseguenti settimane. Ma, dal momento che molte persone testarono i loro sistemi prima del 6 marzo, l'infezione fu scoperta molto più tardi.

                                                                                       

Michelangelo Madness permise alla gente di trovare virus di tutti i tipi.

Le persone trovarono Michelangelo, ma in realtà essi scovarono molti più virus, di tutti i tipi. Il virus Stoned, per esempio, il più diffuso virus di quel periodo, fu trovato circa 3 volte più di frequente essere il virus Michelangelo. Nei mesi dopo Michelangelo, furono riportati pochi incidenti dovuti a virus, in confronto ai pochi mesi che lo precedettero. E' un fenomeno semplice da comprendere. Primo, i virus furono trovati ancor prima che questi potessero arrecare danno, poiché le persone erano più attente. I virus trovati all'inizio di marzo, si sarebbero invece dovuti scoprire all'inizio di aprile. Così tutti si aspettavano che si sarebbero verificati pochi incidenti dopo il 6 marzo di quell'anno. Secondo, i virus furono probabilmente trovati ed eliminati anche in sistemi nei quali sarebbe stato difficile scoprirli per un lungo periodo. In appena pochi giorni, la popolazione mondiale di virus era decimata. D'altra parte, gli analisti si aspettavano che il numero di virus, e quindi di incidenti dovuti a virus, sarebbero cresciuti ancori nei successivi mesi. 

Gli incidenti crebbero invece in seguito, ma in un modo che è piuttosto complicato. Nonostante i benefici effetti dell'eliminazione di alcuni virus in modo temporaneo, l'isteria generale causata da questo evento era chiaramente fuori dalle proporzioni del rischio. Imprese individuali e commerciali, spesero grosse somme di denaro e grosse fette di tempo in un avvenimento che in se era molto più piccolo di quello che erano stati indotti a credere. Per terminare il paragrafo c'è da dire che gli addetti dell'industria dell'anti-virus dovrebbero curare di più i virus dalla grande diffusione e i media dovrebbero esaminare con occhio più critico quelle che sono catastrofi senza radici.

5.3 Windows e i Boot virus

Molte persone credono che il sistema Windows disponga di alcune funzioni interne che permettano di proteggersi dai virus. Certe protezioni esistono effettivamente, ma non si può parlare di sicurezza assoluta. Le serie DOS 6.xx sono state le prime (ma anche le ultime) a portare la Microsoft nel mondo del software antivirus. Esse hanno licenziato prodotto di protezione anti-virus insieme con gli appropriati moduli per Windows 3.xx. Questo prodotto non è stato riconosciuto dalla comunità anti-virus come una difesa forte e decisa contro i virus per computer.

Come detto in precedenza, i Boot virus sono i virus più comuni. Tale virus infetta solo i settori utili per l'avvio della macchina. Il virus prende di mira il settore d'avvio del dischetto oppure l'mbr, al cui interno è contenuta la tavola delle partizioni. Questa possiede le coordinate per individuare la locazione delle partizioni su disco. E' importante sottolineare che ogni partizione può contenere un diverso sistema operativo, ognuno con una tavola per distribuire i file e una struttura per le directory.

                                           

La maggioranza dei virus attacca proprio l' mbr. Sono pochi i virus che si limitano al Boot sector e che possono essere facilmente rimossi usando il comando DOS "SYS". Esempi di virus che si comportano così sono "Form" e "Da Boys".

La Microsoft ha abbandonato il suo interesse nella protezione anti-virus e ha lasciato che questa area sia sviluppata da terze parti. Comunque essa fornisce alcune finestre che in qualche modo avvertono della presenza di un virus. Sotto è riportata la schermata che appare in Windows 95 quando il sistema sospetta che ci sia un virus sull' hard disk. Per ottenerla, si è infettato un Pentium 100, sul quale era in esecuzione appunto Windows 95. Il virus in questione è "Monkey virus". L'infezione si verifica quando un disco floppy infetto è lasciato nel drive "A" e il computer tenta di ripartire da questo. Il codice del Boot sector sul floppy infetto, è stato sostituito dal codice virale di "Monkey". Il virus è allora stato scritto sull' mbr dell' hard disk. L'utente allora deve riavviare, dopo aver rimosso il floppy ed è allora che appare questa finestra: 

Screen shots di Windows 95, infetto con il virus Monkey.

 

La prima schermata mette in allarme sul fatto che il sistema potrebbe essere stato contagiato da virus. Selezionando "SI" si ottiene:

 

La seconda schermata che appare, lascia intendere che l' mbr è stato modificato e che sono cambiate le performance del sistema. A questo punto ognuno cerca di leggere tutti i dettagli importanti e allora seleziona dettagli:

 

Questa terza finestra fa capire all'utente che ci sono altre cose che possono causare lo stesso problema.

5.4 Altri sintomi di infezione

Se è vero che Windows dispone di alcuni segnali che possono rivelare la presenza di un Boot virus, è anche vero che non sempre è in grado, da solo, di scoprire il parassita in esecuzione in memoria. Si possono ipotizzare due situazioni:

  1. danno gia avvenuto;
  2. infezione scoperta in tempo;

                                                                 

Nel primo caso l'utente si accorge della presenza del virus in quanto, per esempio, è avvenuta una formattazione a basso livello dell' hard disk. L'unica cosa da fare, in questi casi, è ripristinare il contenuto dell' hd con i dati di un recente back-up, dopo opportuna opera di disinfestazione. La procedura di disinfestazione, nei casi più gravi, comporta:

  1. formattazione dell' hard disk, definizione delle partizioni e reinstallazione del sistema operativo;
  2. reinstallazione dei programmi a partire dai dischetti originali, protetti in scrittura e sicuramente non infetti;
  3. effettuazione di un ripristino dei soli dati a partire da una copia di back-up recente;
    nessun programma eseguibile dovrà essere ripreso dalle copie di back-up, in quanto potrebbe essere infetto;

Se l'infezione è invece scoperta in tempo, prima che provochi danni irreparabili, si possono fare numerose cose:

  1. spegnere il computer e riaccenderlo, lanciando il sistema operativo dal "drive A" o da CD-ROM,  con un floppy protetto in scrittura;
  2. eseguire dei controlli con anti-virus atti a verificare la presenza del / dei virus;
  3. fare un back-up dei soli dati delle applicazioni di uso corrente;
  4. formattare l' hard disk, dopodiché si è ricondotti al caso del danno già avvenuto;

                

E' da sconsigliare in linea generale la semplice disinfezione con il software apposito: spesso questi programmi, nel tentativo di eliminare il virus, alterano in maniera definitiva il programma disinfettato che pertanto deve essere comunque reinstallato.Qualora si verifichi un'infezione, è necessario controllare tutti i dischetti di cui si dispone con un programma di scansione, perché l'infezione potrebbe ripetersi.

Per quanto riguarda i sintomi che possono rivelare la presenza di un virus del settore di Boot, di seguito è posto un elenco:

  1. il computer non è più in grado di avviare il sistema operativo;
  2. il computer non è capace di effettuare l'impostazione basata su disco;
  3. in MS-DOS può capitare che la memoria base sia inferiore a 638 kb;
  4. quando si usano floppy disk o quando si accede al disco fisso, spesso viene segnalato che il disco è non di sistema;
  5. problemi generici possono comportare il blocco della memoria oppure dei programmi in uso;

Per verificare la presenza di un virus del settore di Boot, in MS-DOS, si può seguire la procedura elencata di seguito:

  1. si chiede il 'prompt' dei comandi;
  2. si manda in esecuzione il programma di sistema "CHKDSK" per ottenere lo stato generico della memoria RAM e di quella di massa;
  3. a questo punto appariranno una serie di elenchi e alla fine si dovrebbe leggere la quantità di memoria complessiva disponibile; questa quantità deve essere di almeno 655.360 byte; se questo numero non corrisponde, allora il computer è probabilmente infetto da virus;

E utile sapere che i virus di Boot non possono diffondersi prelevando informazioni da un computer remoto, cioè facendo un download sul proprio disco di file provenienti da Internet.

5.5 Software antivirus

Ogni giorno nel mondo vengono creati e diffusi nuovi virus, sempre più sofisticati ed in possesso di tecniche offensive evolute. Tali virus sono in grado di attaccare un sistema e renderlo instabile, fino a provocarne il malfunzionamento od il blocco totale. Questo scenario non riguarda più soltanto le grandi entità che, peraltro, spendono centinaia di milioni per proteggersi, ma anche e soprattutto l'utente comune, che accede alla rete dal PC di casa per compiere operazioni di vario genere. Naturalmente non esiste un rimedio unico per far fronte a questo tipo di attacchi ma un insieme di accorgimenti e strumenti da adottare, primo fra i quali un buon prodotto antivirus.

Innanzitutto è necessario sottolineare che, a causa della continua evoluzione ed affinamento delle tecniche di programmazione impiegate per la costruzione di codice virale, un antivirus non può più limitarsi a rilevare ed eliminare soltanto i virus noti, ma deve anche essere progettato per identificare, anche se in modo probabilistico, nuove tipologie di virus. Di conseguenza il primo requisito fondamentale è rappresentato dalla presenza di un motore di scansione euristico in grado di ricercare all'interno dei file la presenza di particolari sequenze di byte che possono essere sintomo tipico di 'codice nocivo'.

Ovviamente, poiché questo tipo di scansione non fa uso di metodi deterministici, non è in grado di offrire lo stesso livello di protezione ed affidabilità della scansione tradizionale, basata invece sull'individuazione di una impronta nota. Le funzionalità di base di un buon software sono:

  1. verifica dell'integrità del settore di boot, del Master Boot Record e dei file di sistema, durante la fase iniziale di avvio;
  2. scansione in tempo reale della memoria;
  3. scansione in tempo reale dei file;
  4. scansione degli allegati di posta elettronica;
  5. capacità di individuazione delle altre tipologie di codice nocivo (cavalli di troia, back door, macro virus);

In commercio esistono svariati prodotti antivirus. L'utilizzo di uno di essi rappresenta sicuramente un primo passo decisivo per rafforzare la sicurezza di un sistema informatico, ma in alcuni casi può non essere del tutto sufficiente. Per questo motivo diventa opportuno affiancare ad un prodotto di questo tipo altri strumenti complementari. In sistema operativo MS-Windows tre sono le componenti a più alto rischio che occorre tenere sotto controllo: il file system, il registro di configurazione ed i processi.

Per quanto riguarda il primo aspetto la misura precauzionale più efficiente consiste nel creare ad intervalli regolari una lista di directory e di file da confrontare con elenchi generati precedentemente e memorizzati su supporti removibili conservati in luogo sicuro. Anche il registro di configurazione di Windows necessita un controllo continuo, poiché esso rappresenta uno dei punti deboli sotto il profilo della sicurezza. Nel caso specifico, l'attività di monitoraggio deve riguardare soprattutto una serie di chiavi utilizzate per memorizzare informazioni relative ad applicazioni che devono essere avviate in modo automatico durante il boot del sistema.

5.6 Una lista

Di seguito è riportato un elenco con i Boot virus di maggior interesse o diffusione.

Bye

  1. origine: Italia;
  2. dimensione: 512 byte;
  3. tipo: infettore di FBR / PBS;
  4. effetti: nessuno;

Si tratta di un tipico virus del settore di Boot. La sua caratteristica è di infettare cambiando solo 40 byte del codice originale. Possiede tecniche di stealth: quando è attivo in memoria, non è possibile leggere i settori infettati. E' riconoscibile perché contiene la seguente stringa in forma criptata:

"Bye by C&ampCL".

Boot-446

  1. origine: sconosciuta;
  2. tipo: infettore di Boot sector;
  3. effetti: modifica il Boot sector e riduce la memoria libera di circa 1 kb;

Si tratta di esemplare tipico di virus del settore d'avvio. Non possiede peculiarità specifiche.

Flip

  1. alias: Omicron;
  2. varianti: Flip.2365, Flip.2153.a;
  3. tipo: infettore dei file .COM, .EXE e dell'MBR;
  4. effetti: fa crescere la lunghezza dei file .COM e .EXE; modifica l'mbr; riduce la memoria convenzionale libera di circa 3 kb; fa 'flippare' lo schermo il giorno 2 di ogni mese, tra le 4 e le 5 del pomeriggio;

Quando viene eseguito per la prima volta, il virus si installa in memoria per infettare tutti i programmi che verranno utilizzati in seguito. Il secondo giorno di ogni mese, tra le 4 e le 5 pm, il virus 'flippa' lo schermo, cioè inverte specularmente l'immagine sullo schermo. Il messaggio crittato nel codice è: 

"OMICRON by Psychoblast".

Gullich

  1. origine: Italia;
  2. tipo: infettore di FBR / PBS;
  3. dimensione: 1532 byte;
  4. effetto: dopo il 1994, ogni giorno, alle 11 del mattina, causa il re-boot del sistema e fa apparire la scritta "Wolfgang G&uumlllich" al centro dello schermo.

Esegue un algoritmo di stealth incompleto. All'interno del virus si può trovare la scritta:

"Wolfgang G&uumlllichMilan Italy 1994".

Invisible Man

  1. origine: Italia;
  2. dimensione: 2846 / 2926 byte;
  3. tipo: infettore dei file .COM e .EXE; contagia anche l'mbr;
  4. effetti: aumenta la dimensione dei file .COM e .EXE; modifica l'mbr; provoca l'uscita di musica dallo speaker; visualizza messaggi sullo schermo; diminuisce la memoria utilizzabile;

Il virus è scritto con molta cura, utilizzando in parte tecniche mutuate dal virus Flip. Nel codice si trova un messaggio criptato:

"I'm the invisible man, / I'm the invisible man, / Incredible how you can, / See right through me. / ...".

Marzia.D

  1. origine: Italia;
  2. tipo: infettore dei file .EXE, .COM e dell'mbr;
  3. lunghezza: 2048 byte;
  4. effetti: crescita della lunghezza dei file .EXE e .COM; modifica l'mbr; riduce la memoria convenzionale libera di 3072 byte; provoca errori in MS-DOS;

Tra il 25 e il 30 Aprile, il virus chiamava direttamente l'interrupt 24, generando così un errore di sistema. Il messaggio di riconoscimento in forma criptata è:

"PaxTibiQuiLegis.FaxFree!!".

Moloch

  1. origine: sconosciuta;
  2. tipo: infettore polimorfico dell'mbr e del Boot sector;
  3. dimensione: 1536 byte;
  4. effetti: riduzione della memoria libera; altera l'mbr e il Boot sector; altera anche la memoria CMOS;

Il virus è dotato di caratteristiche non comuni. E' infatti difficile individuarlo con i normali metodi di scansione. L'infezione cambia di volta in volta e allora rende impossibile creare un'impronta fissa. Inoltre è capace di cambiare il Setup del Bios, di modo che all'avviamento il computer caricherà il sistema operativo dall' hard disk oramai infetto. Per poterlo individuare in memoria, bisogna eseguire il Boot da un dischetto pulito.

One half

  1. origine: Europa dell'Est;
  2. tipo: infettore dei file .COM e .EXE e dell'mbr;
  3. dimensione: 3544 byte;
  4. effetti: aumenta la size dei file .COM e .EXE; modifica l'mbr; provoca errori su disco; diminuisce la memoria utilizzabile;

La sua peculiarità è di criptare gli ultimi due cilindri sani dell' hard disk. In questo modo rende ostica la disinfestazione: infatti se il virus non è attivo in memoria, la parte criptata del disco fisso diventa illeggibile. Per questo, prima di eliminare il virus dalla macchina, è necessario fare un back-up dei dati che è necessario salvare.

Hare

  1. alias: HDEuthanasia, Krsna;
  2. tipo: stealth, contagia l'mbr e il Boot sector nonchè i file .COM e .EXE;
  3. origine: Slovenia;

Hare è un virus stealth multipartito, residente con capacità antieuristiche e antidebbug. E' criptato e possiede un lento motore polimorfico. I file infettati sono marcati settando il campo dei secondi nell'ora di creazione a 34. Hare non infetta i file le cui iniziali sono "TB" e "F-". Quando un file infetto viene lanciato, il virus inizia a contagiare l'mbr dell' hard disk e quando la macchina viene riavviata, il virus si installa nella memoria a partire dall'mbr e da qui infetta i dischetti e i file .EXE e .COM. Il virus non occupa più di 9 kb in memoria. La dimensione dei file infetti cresce di circa 7 / 8 kb, a seconda del decodificatore polimorfico. Quest'ultimo contiene molti salti, sia condizionali che incondizionali e possiede molte chiamate ad inutili interrupt per confondere l'analisi euristica.

Hare tenta di nascondere le modifiche eseguite sui file, ma a volte le dimensioni diventano più piccole o più grandi di quanto non lo fossero in origine. Il virus può agire sotto Windows 95: cancella il driver del floppy disk per potersi diffondere attraverso i dischetti utilizzati. Il codice si attiva il 22 agosto e il 22 settembre, all'accensione della macchina. In quel momento mostra questo testo:

"HDEuthanasia by Demon Emperor: Hare Krsna, hare, hare...".

Dopodiché il virus tenta di sovrascrivere l' hard disk e entrambi i drive "A" e "B". La procedura fornisce un errore del tipo: "Disco non di sistema", ma il virus rimane residente dopo che il danno è stato fatto. Il virus si è probabilmente propagato attraverso Internet, dato che dagli Stati Uniti si propagò anche in Canada, Inghilterra, Svizzera, Russia e Olanda.

Hare.7750

Si tratta di una variante da cui sono stati eliminati alcuni bug. Il messaggio del virus è stato cambiato in:

"HDEuthanasia-v2 by Demon Emperor: Hare, Krsna, hare, hare...".

Per il resto il virus appare uguale alla versione originale. Venne distribuito sulla posta di alcuni newsgroup il 26 giugno del 1996.

Hare.7786

Questa variante è stata distribuita ancora sulla posta di alcuni newsgroup il 29 giugno del 1996. Il messaggio di riconoscimento è stato ancora cambiato in:

"HDEuthanasia-v3 by Demon Emperor: Hare, Krsna, hare, hare...".

Defo

  1. alias: Peter_II Runtime;
  2. origine: sconosciuta;
  3. dimensione: 4096 byte;
  4. tipo: infettore del Boot sector e del master boot record;
  5. effetti: durante il Boot stampa sullo schermo il messaggio "Runtime Error 504D:5658";

Quando infetta i floppy disk, il virus formatta una traccia aggiuntiva in cui nascondere il proprio codice.