Написание антивируса для простого BOOT-вируса. by Sassa & Wow Представленные в данном номере антивирусы,являются победителями конкурса проходившего в конце прошлого 1997 года в конференции rel.comp.virus. Для второго этапа был выбран простой BOOT-вирус SeeYou.b by Populizer. Сами антивирусы с исходными текстами лежат в директории FILE/. Берите,обучайтесь,пишите лучше и присылайте нам. ===================================================================== Пасека 2 сентября 1997 See.you.b ---------------------------------------------------------------- Формальное описание Не знаю, как такая штука называется в терминологии Касперского и присных. При загрузке машины уменьшает наличную память, корректируя 0000:0413h ячейку. Сам переписывается в отгрыженый кусок со случайным смещением от начала. После этого устанавливает вектора 13h и EEh. При попытке программ обратиться к Буту к-либо зараженной дискеты, раскодирует Бут, бывший до него на дискете и отдает программе. При обращении к MBR винчестера засекает координаты Бут-сектора и отслеживает обращение к нему так же, как и для дискет. Если Бут дискеты или винта не заражен, то заражает. Неформальные замечания Отлавливает только чтение секторов и вовсе не заботится о записи секторов. С этим вирусом проще бороться, когда он есть в памяти, нежели когда его там нет: не нужно проверять, заражена ли дискета/винт. Просто читаем Бут, если вирус присутствует в памяти, то он отдаст нормальный Бут-сектор. Теперь сразу же записываем Бут, чего вирус не отслеживает, и быстро выдергиваем дискету/выключаем компьютер J Может оказаться, что винчестер он не заражает потому, что может статься, что никто не читает MBR, а потому вирус не может определить, где валяется Бут. ===================================================================== |