╔════════╤════════════════════════════════════════════════════╤══════════╤═══╗
║Okt 1999│NF представляет электронный журнал MooN BuG issue 11│ MONGOOSE │00B║
╟────────┴────────────────────────────────────────────────────┴──────────┴───╢
║                             WRITIN' FTN-VIRUS                              ║
╚════════════════════════════════════════════════════════════════════════════╝

    article  : writin' ftn-virii
    e-mail   : 2:5020/327.8@fidonet
    author(s): mongoose, misdirected youth
    notes    : writen specialy for MOONBUG 11
               legalize cannabis
               McAfee wrote Whale (Phalcon/Skism)
               Kaspersky wrote CIH (Frank Hennessy)


   предисловие

    Статья написана эксцентричным человеком и для эксцентричных же  людей, так
 что советую не читать ее, если вы не считаете себя таковым.

   вступление

    Многие считают,  что если не получать файлов по почте, не принимать входя-
 щих файлов и не звонить на BBS, - компьютер заразить невозможно. Это  неправ-
 да...

    Как же  заставить свое творение распространяться?  Этот вопрос мучает вир-
 мейкеров (и особенно меня) как никогда.  Способ использования  многочисленных
 BBS'ок (у нас в стране) мы уже расмотрели (смотри предыдущий moonbug), но что
 позволяет охватить еще большие территории? Конечно "fidonet", в рядах которо-
 го ненебольшое  количество  ламеров и чайников (неопытных пользователей);  но
 пока еще никто ничего подобного не реализовывал.

    Методы работы ftn-вирусов:

   1. "Заражение" PKT-файлов
   2. Отправление дроппера нетмейлом или аттачем
   3. Использование почтовых пакетов

    Первые два метода (на мой взгляд) не стоят затраченых на них бессонных но-
 чей, колы и  сил, а вот третий  метод довольно оригинален. о  расчитан он на
 любопытных пользователей, каких в фидо, как я заметил, немалые  ряды (помню в
 su.virus был  послан  дроппер моего червя Ternopil.2551 естественно перед uue
 было написано, что это возможно вирус, естественно дроппер был запущен огром-
 ным количеством любопытных пользователей).


   принцип работы

    Все было бы хорошо,  если бы тоссер (FastEcho) не ограничивал наши возмож-
 ности: кажется, что его автор(ы) предусмотрели почти [!] все. Я долго думал о
 том, что можно сделать с почтовыми пакетами... Вроде бы ничего - тоссер  рас-
 паковывает только (вот и первая проблема: метод вируса Highjaq  для ARJ архи-
 вов не действует) PKT файлы, находящиеся в архиве, тоссит почту, а потом сти-
 рает архив. К архиву можно приписывать дроппер с расширением PKT, но и это не
 спасет - пользователь "чайник" (а именно на такого мы и расчитываем) и не за-
 лезет в "temp.inbound", ну а  если и залезет, то не догадается  переименовать
 его из PKT в COM или EXE (да и к чему бы это?).

    Единственный шанс для нас - вызвать ошибку тоссера для того, чтобы архив с
 червем уходил в BAD'ы.  При этом тоссер создаст письмо,  говорящее о том, что
 архив (имя и путь) помещен в BAD`ы (и тогда на  архив  с  вирусным  дроппером
 обратят внимание!). Это может произойти, если в архиве нет PKT файлов. о и в
 этом случае лучше не привлекать внимания и для ARJ архива воспользоваться ме-
 тодом Highjaq  (имя записываемого  дроппера  должно  начинаться с "/" - тогда
 дроппер попадет в корневой каталог диска и на 99% будет запушен). А в осталь-
 ные архивы прийдется просто добавлять дроппер.  Можно добавлять также заархи-
 вированый дроппер (и тоже с расширением PKT) - это также вызовет ошибку и ар-
 хив попадет в BAD.

    Единственой проблемой остается узнать, где хранятся почтовые пакеты (пото-
 му что  они не имеют расширения ARJ...), для  этого  ищется  файлик  "FASTEC-
 HO.CFG" и по смещению 181 (DEC) находится путь к пакетам.

    Свои мнения/советы можете присылать мне на 2:5020/327.8@fidonet и (или) по
 вирмейкерской сети Evolution Network (мой адрес там 13:1/1.1).

                                             (c) mongoose of Misdirected Youth