fixin (fixin) wrote,
fixin
fixin

Categories:

Вирусы Фиксина



Я, как и многие студенты, писал вирусы. Но все они были безобидными, а некоторые, я бы даже сказал, креативными.


В то время я был девственником, ненавидящим мировой порядок, когда мужики не могут свободно трахать баб. Поэтому мои вирусы должны были по задумке иногда выдавать послания с протестами против текущего положения вещей. И подписывал их я псевдонимом NAIVE.


Всего на моей совести три вируса:


1. Вирус Bat.Naive.4894
Начал с BAT-вируса . Мне показалось интересным написание вируса, который заражает исключительно BAT-файлы и содержит свой код в текстовом виде. Еще тут ссылка.
2. Вирус 'NAIVE.b (RE-1644)'
Продолжил вполне классическим резидентным вирусом, заражающим EXE-файлы. Так сказать, набивал руку в ассемблере.
3. Вирус на Си.
Ну и напоследок написал сугубо теоретический вирус, который заражал h-файлы на языке Си. На практике его не внедрял, была интересна сама возможность.


Не обошлось без курьезов - когда выпускал свой первый вирус в универе, заметил, что в нем есть ошибка - приводила к зависанию. Пришлось бегать по машинам и под разными предлогами удалять его в локальной сети, пока он не распространился. Успел!


Учитывая, что мои вирусы попали в базу Касперского, локальная сеть БГУиР была хорошим проводником вирусни в мир. А ведь тогда еще даже не было толкового интернета - все еще пользовались 3.5'' дискетами. Флешками даже не пахло!




Выводимый текст Bat-вируса:


-------¬ Девушки! Поздравляю вас с
¦ \ / ¦ наличием половых органов !!!
¦ O O ¦ ----------------------------
¦ .. ¦ Я хочу познакомиться с сим-
¦ -- ¦ патичной программисткой, ко-
L-T--T-- торая воспримет меня таким,
----- L----¬ какой я есть...
¦¦ ¦¦ --------------------------
¦¦ . . ¦¦ P.S. Исключительно для из-
¦+-T T-+¦ вращённых половых сношений!
¦¦ ¦ ¦ ¦¦ --------------------------
L- ¦ + ¦ L- N * Системщики !!!! * N
¦ --- ¦ A * Как вам идея па- * A
¦+O-O+¦ I * кетного репликанта?* I
¦¦ U ¦¦ V * А есть ещё много * V
+- L+ E * прикольных идей!!! * E
¦ ¦ Я - невинное дитя !!!
--- L--


Выводимый текст Exe-вируса:


Л Ю Д И !


Да услышат Ваши уши, да не отвратятся глаза Ваши, да внемлют Ваши сердца, ибо глаголю истину и в ней ваше спасение.


Я, пречистый NAIVE, ниспослан на землю самим Люцифером, Князем Тьмы, Хозяином Ада и Господином Страстей.


Он дал мне в руки демонов и через них я обращаюсь к вам. Все они безвредны для сынов и дочерей Евы, как и для творений рук их.


Знайте же, что не Бог изгнал людей из Рая и не Сатана ввёл их в искушение. Ибо возгордился человек и возомнил себя богом вездесущим и всезнающим. Заявил он себя господином своего тела и своих страстей.


И чтобы доказать это, отрекался от желаний тела: секса, пищи и другого. Но чего он добился этим?


Так отрекитесь от власти над телом!


NAIVE.


07.07.1997


Тут более подробные описания этих вирусов:


Неопасный резидентный BAT-вирус. Перехватывает INT 21h и записывается в начало .BAT-файлов. Зараженные файлы выглядят следующим образом (строки между '[' и ']' являются комментариями):

@rem NAIVE
@if exist naive.* goto naive
@if "%range_check%=="yes goto naive
@echo>naive.com [ HEX data1 ]
@naive.com
@if not errorlevel 33 goto superwork
@del>nul naive.com
@goto naive
:superwork
@echo>naive.com [ HEX data2 ]
@echo>naive.dat [ ASCII text ]
@echo>>naive.dat [ ASCII text ]
@echo>>naive.dat [ ASCII text ]
 [ повтор ... ]
@echo>>naive.dat
@naive.com<naive.dat >naive.exe
@del>nul naive.com
@del>nul naive.dat
@naive.exe>nul
@del>nul naive.exe
@set range_check=yes
:naive
[ первоначальный BAT-файл ]

"HEX data1" содержит код вызова проверки своей TSR копии ("Ты здесь?"), "HEX data2" содержит декодер ASCII->BIN, "ASCII text" содержит код вируса, преобразованный в ASCII строки. При запуске такого BAT-файла вирус проверяет ENVIRONMENT на наличие строки RANGE_CHECK и, если она равна YES, передает управление первоначальному файлу. В противном случае вирус создает файл NAIVE.COM, записывает туда код вызова "Ты здесь?", выполняет этот файл и проверяет код возврата (ERRORLEVEL). Файл NAIVE.COM содержит только вызов INT 21h с AH=F6h. Если в памяти уже присутствует копия випуса, она возвращает 12345678 в регистрах CX:DX, и NAIVE.COM отдает управление BAT-файлу с кодом ERRORLEVEL=33. Если TSR копии нет, то NAIVE.COM возвращает ERRORLEVEL=32. Вирус (в BAT-файле) проверяет значение ERRORLEVEL и, если оно равно 32, удалает файл NAIVE.COM и передает управление первоначальному BAT-коду. Иначе вирус создает два файла: NAIVE.DAT и NAIVE.COM (при этом уничтожается предыдущий файл NAIVE.COM). В файл NAIVE.COM вирус записывает декодер ASCII->BIN, в файл NAIVE.DAT - ASCII-строки. Затем вирус выполняет команду

@naive.com<naive.dat >naive.exe


которая создает файл NAIVE.EXE, считывает ASCII данные из NAIVE.DAT, декодирует их в шестнадцатеричный код, записывает результат в NAIVE.EXE и затем запускает NAIVE.EXE на выполнение. NAIVE.EXE устанавливает резидентную копию вируса и возвращает управление BAT-файлу, который затем уничтожает NAIVE.EXE, определяет строку ENVIRONMENT "RANGE_CHECK=YES" и передает управление первоначальным командам BAT-файла. При запуске код файла NAIVE.EXE вызывает ту же самую функцию "Ты здесь?" как описано выше. Если вируса нет в памяти, NAIVE.EXE проверяет свое "поколение" и в зависимости от его значения пытается вывести на экран текст, содержащий крик души индивидуума, наконец-то достигшего половой зрелости. Однако вирус содержит две ошибки, благодаря которым текст не выводится на экран: первая ошибка - вирус никогда не увеличивает свой счетчик, вторая - все сообщения перенаправлены в NUL командой

@naive.exe>nul


Затем вирус перехватывает INT 21h и остается резидентным при помощи INT 27h. При вызовах DOS-функции ChangeDir (INT 21h, AH=3Bh) вирус ищет .BAT-файлы и записывается в их начало. При этом кодирует себя в ASCII и записывает результат в файл NAIVE.TMP, затем добавляет туда код оригинального BAT-файла и переименовывает результат. 



 


Вирус 'NAIVE.b (RE-1644)'

Буквально на днях в г. Минске обнаружен новый вирус семейства 'Naive'.


Неопасный файловый резидентный вирус, резидентный обработчик которого занимает в оперативной памяти 6Ah параграфов (1696 байт) и контролирует 21h-е (сервис операционной системы) и 09h-е (клавиатура) прерывания. Для контроля 'зараженности' ОЗУ вирус использует функцию AH=0F1h (внимание : Novell Advanced NetWare 1.0+ - FILE SERVER CONNECTION) и ожидает в качестве 'отзыва' CX=1234h и DX=5678h.


Вирус заражает файлы формата EXE (размером свыше 38000 байт) при открытии и запуске на выполнение. При заражении 'NAIVE' контролирует обработку ошибок ввода-вывода, не сохраняет дату-время создания и атрибут инфицируемого файла. Ведет счетчик заражаемых файлов.


Проявление. Вирус обрабатывает нажатия пользователя на клавиатуру, и при сочетании клавиш Ctrl-Alt-Del выводит на экран текст.

Tags: компьютерные вирусы
Subscribe

promo fixin december 31, 2037 16:57 1420
Buy for 30 tokens
UPD: Друзья, в августе 2019 года блог переехал на http://fixinchik.ru. Welcome! Добро пожаловать в журнал Осипова Сергея Александровича, известного также как Fixin и Гений 1С. Рекомендую ознакомиться с Часто Задаваемыми Вопросами обо мне. Что я хочу в подарок - список. Мой проект "…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 57 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →