[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 4, Dec 1997                                           file 008

                         Кто быстрее? Вирус или юзер.
                                                by FRiZER

     Как-то  увидел  описание  вируса, который направлен на обход адинфа. Т.е.
заражения  только  новых файлов. (Да и сам что-то такое писАл ;) И подумалось,
Как можно обойти адинф от выкидывания виря из boot/mbr? И вот что надумал :)
     Адинф  запуске проверяет boot/mbr и то, что там находится, не совпадает с
тем,  что  было  при установке адинфа и естественно им сохранено он вопит, что
возможен  вирус  и  предлагает  заменить  boot/mbr на старый, т.е. сохраненный
адинфом.  Перепуганный  юзер скорее всего соглашается. Hу и ладно. Пусть адинф
затрет  вирус  в  boot/mbr. Мы его восстановим. Как? Да просто мы уже висим на
int08  и  периодически считываем этот самый boot/mbr. Как только он изменился,
мы тут же его заражаем. Пойду проверю, предлагает ли адинф перегрузиться.

...прошло 100 лет ;)

     Да  предлагает,  но юзер для перестраховки раз 10 прочтет, что там у него
на  экране пишет адинф, и только потом выберет перезагрузку. А вирус уже давно
опять записался в boot/mbr. При перезагрузке адинф опять заорет, что изменился
boot/mbr. Hо теперь юзер если и будет читать надписи на экране, то не долго, а
может и почти сразу нажмет перезагрузку. Hу и на здоровье ;) Прекрасный способ
обойти   это  -  уменьшить  временной  интервал,  через  который  вирус  будет
проверять,  изменился  ли  boot/mbr.  Можно даже делать это именно при запуске
адинфа, чтобы в остальное время система не притормаживала. В конце концов юзер
зае$ется  и  сохранит измененный boot/mbr или вообще снесет адинф, дабы тот не
раздражал его своими красными табличками.

PS: ничего из этого на практике не проверено - это лишь мои предположения.
    какие условия должны выполняться
    - чтобы int08 работал ;) - мы же на него вешаемся (ну или 1Ch)
    - чтобы адинф позволял писать в boot/mbr, пока он запущен (хотя можно
      и через порты извращаться как в вирусе Destage)
    - может еще что-то, что я не знаю :(