В 1962 г. инженеры из американской компании Bell Telephone Laboratories создали игру «Дарвин» — первую компьютерную программу, имевшую отличительные признаки вируса. Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, написанных игроками. Эти программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в уничтожении всех копий программы-противника и захвате поля битвы.

!!!ВИРУС ALMAN!!!
Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).
Инсталляция

При запуске вирус извлекает из своего тела следующие файлы:
%WinDir%\AppPatch\deamon.dll — имеет размер 3072 байта;
%WinDir%\c_126.nls — имеет размер 31744 байта.

Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:
[HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]Деструктивная активность

Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

При инфицировании файлов вирус записывает свой исполняемый файл впереди их оригинального содержимого. Для заражения файлов, находящихся в сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью «Administrator», используя один из следующих паролей:
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
aasdf
sdfgh
!@#$
654321
123456
12345
1234
123
111

Вирус сообщает на сайт злоумышленника информацию о количестве свободного места на диске С:, версию операционной системы и браузера Internet Explorer, а также о наличии в системе драйверов с одним из следующих имен:
Hooksys
KWatch3
KregEx
KLPF
NaiAvFilter1
NAVAP
AVGNTMGR
AvgTdi
nod32drv
PavProtect
TMFilter
BDFsDrv
VETFDDNT

Эти сведения отсылаются в параметрах запроса к сайту злоумышленника:
http://****mrw0rldwide.com/co.asp?action=post&HD=<кол-во свободного места>&OT=<версия ос>&IV=<версия IE>&AV=<установленные драйвера>

Также вирус получает по следующей ссылке список файлов, предназначенных для загрузки из сети Интернет:
http://****mrw0rldwide.com/z.dat

Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.

На момент создания описания вирус загружал файлы по ссылкам:
http://down****net/css.jpg
http://down****net/wow.jpg

И сохранял их соответствующим образом:
%Temp%\css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.afd;
%Temp%\wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.WOW.sv.Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить вредоносный процесс.
Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить ключ системного реестра:
[HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]
Удалить файлы:
%WinDir%\AppPatch\deamon.dll
%WinDir%\c_126.nls
%Temp%\css.jpg
%Temp%\wow.jpg
Удалить все копии вируса с жесткого диска.