[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 4, Dec 1997 file 008
Кто быстрее? Вирус или юзер.
by FRiZER
Как-то увидел описание вируса, который направлен на обход адинфа. Т.е.
заражения только новых файлов. (Да и сам что-то такое писАл ;) И подумалось,
Как можно обойти адинф от выкидывания виря из boot/mbr? И вот что надумал :)
Адинф запуске проверяет boot/mbr и то, что там находится, не совпадает с
тем, что было при установке адинфа и естественно им сохранено он вопит, что
возможен вирус и предлагает заменить boot/mbr на старый, т.е. сохраненный
адинфом. Перепуганный юзер скорее всего соглашается. Hу и ладно. Пусть адинф
затрет вирус в boot/mbr. Мы его восстановим. Как? Да просто мы уже висим на
int08 и периодически считываем этот самый boot/mbr. Как только он изменился,
мы тут же его заражаем. Пойду проверю, предлагает ли адинф перегрузиться.
...прошло 100 лет ;)
Да предлагает, но юзер для перестраховки раз 10 прочтет, что там у него
на экране пишет адинф, и только потом выберет перезагрузку. А вирус уже давно
опять записался в boot/mbr. При перезагрузке адинф опять заорет, что изменился
boot/mbr. Hо теперь юзер если и будет читать надписи на экране, то не долго, а
может и почти сразу нажмет перезагрузку. Hу и на здоровье ;) Прекрасный способ
обойти это - уменьшить временной интервал, через который вирус будет
проверять, изменился ли boot/mbr. Можно даже делать это именно при запуске
адинфа, чтобы в остальное время система не притормаживала. В конце концов юзер
зае$ется и сохранит измененный boot/mbr или вообще снесет адинф, дабы тот не
раздражал его своими красными табличками.
PS: ничего из этого на практике не проверено - это лишь мои предположения.
какие условия должны выполняться
- чтобы int08 работал ;) - мы же на него вешаемся (ну или 1Ch)
- чтобы адинф позволял писать в boot/mbr, пока он запущен (хотя можно
и через порты извращаться как в вирусе Destage)
- может еще что-то, что я не знаю :(