Написание антивируса для простого BOOT-вируса.
by Sassa & Wow
Представленные в данном номере антивирусы,являются победителями
конкурса проходившего в конце прошлого 1997 года в конференции
rel.comp.virus. Для второго этапа был выбран простой BOOT-вирус
SeeYou.b by Populizer. Сами антивирусы с исходными текстами лежат в
директории FILE/. Берите,обучайтесь,пишите лучше и присылайте нам.
=====================================================================
Пасека
2 сентября 1997
See.you.b
----------------------------------------------------------------
Формальное описание
Не знаю, как такая штука называется в терминологии Касперского и
присных. При загрузке машины уменьшает наличную память, корректируя
0000:0413h ячейку. Сам переписывается в отгрыженый кусок со случайным
смещением от начала. После этого устанавливает вектора 13h и EEh. При
попытке программ обратиться к Буту к-либо зараженной дискеты,
раскодирует Бут, бывший до него на дискете и отдает программе. При
обращении к MBR винчестера засекает координаты Бут-сектора и
отслеживает обращение к нему так же, как и для дискет. Если Бут дискеты
или винта не заражен, то заражает.
Неформальные замечания
Отлавливает только чтение секторов и вовсе не заботится о записи
секторов.
С этим вирусом проще бороться, когда он есть в памяти, нежели
когда его там нет:
не нужно проверять, заражена ли дискета/винт. Просто читаем Бут,
если вирус присутствует в памяти, то он отдаст нормальный Бут-сектор.
Теперь сразу же записываем Бут, чего вирус не отслеживает, и быстро
выдергиваем дискету/выключаем компьютер J
Может оказаться, что винчестер он не заражает потому, что может
статься, что никто не читает MBR, а потому вирус не может определить,
где валяется Бут.
=====================================================================
|
