Я, как и многие студенты, писал вирусы. Но все они были безобидными, а некоторые, я бы даже сказал, креативными.
В то время я был девственником, ненавидящим мировой порядок, когда мужики не могут свободно трахать баб. Поэтому мои вирусы должны были по задумке иногда выдавать послания с протестами против текущего положения вещей. И подписывал их я псевдонимом NAIVE.
Всего на моей совести три вируса:
1. Вирус Bat.Naive.4894
Начал с BAT-вируса . Мне показалось интересным написание вируса, который заражает исключительно BAT-файлы и содержит свой код в текстовом виде. Еще тут ссылка.
2. Вирус 'NAIVE.b (RE-1644)'
Продолжил вполне классическим резидентным вирусом, заражающим EXE-файлы. Так сказать, набивал руку в ассемблере.
3. Вирус на Си.
Ну и напоследок написал сугубо теоретический вирус, который заражал h-файлы на языке Си. На практике его не внедрял, была интересна сама возможность.
Не обошлось без курьезов - когда выпускал свой первый вирус в универе, заметил, что в нем есть ошибка - приводила к зависанию. Пришлось бегать по машинам и под разными предлогами удалять его в локальной сети, пока он не распространился. Успел!
Учитывая, что мои вирусы попали в базу Касперского, локальная сеть БГУиР была хорошим проводником вирусни в мир. А ведь тогда еще даже не было толкового интернета - все еще пользовались 3.5'' дискетами. Флешками даже не пахло!
Выводимый текст Bat-вируса:
-------¬ Девушки! Поздравляю вас с
¦ \ / ¦ наличием половых органов !!!
¦ O O ¦ ----------------------------
¦ .. ¦ Я хочу познакомиться с сим-
¦ -- ¦ патичной программисткой, ко-
L-T--T-- торая воспримет меня таким,
----- L----¬ какой я есть...
¦¦ ¦¦ --------------------------
¦¦ . . ¦¦ P.S. Исключительно для из-
¦+-T T-+¦ вращённых половых сношений!
¦¦ ¦ ¦ ¦¦ --------------------------
L- ¦ + ¦ L- N * Системщики !!!! * N
¦ --- ¦ A * Как вам идея па- * A
¦+O-O+¦ I * кетного репликанта?* I
¦¦ U ¦¦ V * А есть ещё много * V
+- L+ E * прикольных идей!!! * E
¦ ¦ Я - невинное дитя !!!
--- L--
Выводимый текст Exe-вируса:
Л Ю Д И !
Да услышат Ваши уши, да не отвратятся глаза Ваши, да внемлют Ваши сердца, ибо глаголю истину и в ней ваше спасение.
Я, пречистый NAIVE, ниспослан на землю самим Люцифером, Князем Тьмы, Хозяином Ада и Господином Страстей.
Он дал мне в руки демонов и через них я обращаюсь к вам. Все они безвредны для сынов и дочерей Евы, как и для творений рук их.
Знайте же, что не Бог изгнал людей из Рая и не Сатана ввёл их в искушение. Ибо возгордился человек и возомнил себя богом вездесущим и всезнающим. Заявил он себя господином своего тела и своих страстей.
И чтобы доказать это, отрекался от желаний тела: секса, пищи и другого. Но чего он добился этим?
Так отрекитесь от власти над телом!
NAIVE.
07.07.1997
Тут более подробные описания этих вирусов:
Неопасный резидентный BAT-вирус. Перехватывает INT 21h и записывается в начало .BAT-файлов. Зараженные файлы выглядят следующим образом (строки между '[' и ']' являются комментариями):
@rem NAIVE @if exist naive.* goto naive @if "%range_check%=="yes goto naive @echo>naive.com [ HEX data1 ] @naive.com @if not errorlevel 33 goto superwork @del>nul naive.com @goto naive :superwork @echo>naive.com [ HEX data2 ] @echo>naive.dat [ ASCII text ] @echo>>naive.dat [ ASCII text ] @echo>>naive.dat [ ASCII text ] [ повтор ... ] @echo>>naive.dat @naive.com<naive.dat >naive.exe @del>nul naive.com @del>nul naive.dat @naive.exe>nul @del>nul naive.exe @set range_check=yes :naive [ первоначальный BAT-файл ]
"HEX data1" содержит код вызова проверки своей TSR копии ("Ты здесь?"), "HEX data2" содержит декодер ASCII->BIN, "ASCII text" содержит код вируса, преобразованный в ASCII строки. При запуске такого BAT-файла вирус проверяет ENVIRONMENT на наличие строки RANGE_CHECK и, если она равна YES, передает управление первоначальному файлу. В противном случае вирус создает файл NAIVE.COM, записывает туда код вызова "Ты здесь?", выполняет этот файл и проверяет код возврата (ERRORLEVEL). Файл NAIVE.COM содержит только вызов INT 21h с AH=F6h. Если в памяти уже присутствует копия випуса, она возвращает 12345678 в регистрах CX:DX, и NAIVE.COM отдает управление BAT-файлу с кодом ERRORLEVEL=33. Если TSR копии нет, то NAIVE.COM возвращает ERRORLEVEL=32. Вирус (в BAT-файле) проверяет значение ERRORLEVEL и, если оно равно 32, удалает файл NAIVE.COM и передает управление первоначальному BAT-коду. Иначе вирус создает два файла: NAIVE.DAT и NAIVE.COM (при этом уничтожается предыдущий файл NAIVE.COM). В файл NAIVE.COM вирус записывает декодер ASCII->BIN, в файл NAIVE.DAT - ASCII-строки. Затем вирус выполняет команду
@naive.com<naive.dat >naive.exe
которая создает файл NAIVE.EXE, считывает ASCII данные из NAIVE.DAT, декодирует их в шестнадцатеричный код, записывает результат в NAIVE.EXE и затем запускает NAIVE.EXE на выполнение. NAIVE.EXE устанавливает резидентную копию вируса и возвращает управление BAT-файлу, который затем уничтожает NAIVE.EXE, определяет строку ENVIRONMENT "RANGE_CHECK=YES" и передает управление первоначальным командам BAT-файла. При запуске код файла NAIVE.EXE вызывает ту же самую функцию "Ты здесь?" как описано выше. Если вируса нет в памяти, NAIVE.EXE проверяет свое "поколение" и в зависимости от его значения пытается вывести на экран текст, содержащий крик души индивидуума, наконец-то достигшего половой зрелости. Однако вирус содержит две ошибки, благодаря которым текст не выводится на экран: первая ошибка - вирус никогда не увеличивает свой счетчик, вторая - все сообщения перенаправлены в NUL командой
@naive.exe>nul
Затем вирус перехватывает INT 21h и остается резидентным при помощи INT 27h. При вызовах DOS-функции ChangeDir (INT 21h, AH=3Bh) вирус ищет .BAT-файлы и записывается в их начало. При этом кодирует себя в ASCII и записывает результат в файл NAIVE.TMP, затем добавляет туда код оригинального BAT-файла и переименовывает результат.
Буквально на днях в г. Минске обнаружен новый вирус семейства 'Naive'.
Неопасный файловый резидентный вирус, резидентный обработчик которого занимает в оперативной памяти 6Ah параграфов (1696 байт) и контролирует 21h-е (сервис операционной системы) и 09h-е (клавиатура) прерывания. Для контроля 'зараженности' ОЗУ вирус использует функцию AH=0F1h (внимание : Novell Advanced NetWare 1.0+ - FILE SERVER CONNECTION) и ожидает в качестве 'отзыва' CX=1234h и DX=5678h.
Вирус заражает файлы формата EXE (размером свыше 38000 байт) при открытии и запуске на выполнение. При заражении 'NAIVE' контролирует обработку ошибок ввода-вывода, не сохраняет дату-время создания и атрибут инфицируемого файла. Ведет счетчик заражаемых файлов.
Проявление. Вирус обрабатывает нажатия пользователя на клавиатуру, и при сочетании клавиш Ctrl-Alt-Del выводит на экран текст.
Journal information