Извращения над Ninnyish.Generic
                                   by DrMAD

                            Милостивые государи!

    Весной 1998  г.  все-таки  появился  DrWeb  версии  4.0.  Следовало
ожидать,   например,   улучшенных   средств   эвристического   анализа,
безошибочно   обнаруживающих   новые   вирусы  и  оставляющих  в  покое
"честные" программы?

    На первый взгляд,  дело так и обстоит.  Многие вирусы, ранее весьма
успешно  скрывавшие  свое  гнилое  нутро за наивными антиэвристическими
трюками,  удостоились пылающего клейма:  COM.Virus!  Более того, введен
новый  класс  вирусов:  Ninnyish.Based,  представляющий собой множество
примитивных вирусов  со  стандартной  структурой  кода,  которых  DrWeb
теперь умеет распознавать и без промаха лечить автоматически!

 Ура? Увы, милостивые государи... Уа-уа! K

; Пример 1
; (с) DrMad, 1998
Start:
 ret
 mov ah, 4Eh
 mov dx, offset EXE
 mov dx, offset COM
 int 21h
 mov ah, 3Dh
 int 21h
 inc ah
 int 21h
 inc ah
 inc ah
 int 21h
 mov ax, 2521h
 int 21h
EXE db '*.EXE',0
COM db '*.COM',0

; Пример 2
; (c) Валентин Колесников, 1997
Start:
 int 20h
 mov ax,2521h
 int 21h
 mov ax,3231h
 xor ax,3030h
 mov cl,al
 int 80h
 xor ax,3030h
 xor ax,3130h
 int 81h
 mov ah,3Dh
 int 82h
 mov ah,3Fh
 int 83h
 cmp ax,'ZM'
 mov ax,4232h
 xor al,30h
 int 84h
 mov al,35h
 xor al,30h
 mov cl,al
 mov ah,40h
 int 85h
 mov al,38h
 xor al,20h
 mov cl,al
 mov ah,40h
 int 86h
End Start

    Вирусы ли это? Однозначно нет! Тем не менее:
COM.EXE.TSR.Virus и COM.EXE.TSR.BOOT.Virus.

    Уважаемый читатель?   Не  закралось  ли  тебе  в  голову  нехорошее
подозрение на тему: а как насчет "автоматического_ лечения" вирусов? Ты
прав, читатель, ой как прав! K

;_ Пример 3
;_ (с) DrMad, 1998
Start:
 call Next
Next:
 pop bx
 sub bx, 103h
 lea di, Start[bx]
 mov cx, 3
 rep movsb
 ret

    Бред? Бред!   Даже  бред  в  квадрате,  ибо  по  вирусным  правилам
требуется не lea di,  Start[bx],  а просто lea di,  Start.  Но Данилову
видней, что считать вирусом.

    Итак, почтеннейшая публика... барабаны - дробь...

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!_ primer3.com - заражен Ninnyish.Generic - исцелен !!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Комментарии нужны? K((

                                                        (c) 1998 DrMAD