╔════════╤════════════════════════════════════════════════════╤══════════╤═══╗
║Okt 1999│NF представляет электронный журнал MooN BuG issue 11│ MONGOOSE │00B║
╟────────┴────────────────────────────────────────────────────┴──────────┴───╢
║ WRITIN' FTN-VIRUS ║
╚════════════════════════════════════════════════════════════════════════════╝
article : writin' ftn-virii
e-mail : 2:5020/327.8@fidonet
author(s): mongoose, misdirected youth
notes : writen specialy for MOONBUG 11
legalize cannabis
McAfee wrote Whale (Phalcon/Skism)
Kaspersky wrote CIH (Frank Hennessy)
предисловие
Статья написана эксцентричным человеком и для эксцентричных же людей, так
что советую не читать ее, если вы не считаете себя таковым.
вступление
Многие считают, что если не получать файлов по почте, не принимать входя-
щих файлов и не звонить на BBS, - компьютер заразить невозможно. Это неправ-
да...
Как же заставить свое творение распространяться? Этот вопрос мучает вир-
мейкеров (и особенно меня) как никогда. Способ использования многочисленных
BBS'ок (у нас в стране) мы уже расмотрели (смотри предыдущий moonbug), но что
позволяет охватить еще большие территории? Конечно "fidonet", в рядах которо-
го ненебольшое количество ламеров и чайников (неопытных пользователей); но
пока еще никто ничего подобного не реализовывал.
Методы работы ftn-вирусов:
1. "Заражение" PKT-файлов
2. Отправление дроппера нетмейлом или аттачем
3. Использование почтовых пакетов
Первые два метода (на мой взгляд) не стоят затраченых на них бессонных но-
чей, колы и сил, а вот третий метод довольно оригинален. о расчитан он на
любопытных пользователей, каких в фидо, как я заметил, немалые ряды (помню в
su.virus был послан дроппер моего червя Ternopil.2551 естественно перед uue
было написано, что это возможно вирус, естественно дроппер был запущен огром-
ным количеством любопытных пользователей).
принцип работы
Все было бы хорошо, если бы тоссер (FastEcho) не ограничивал наши возмож-
ности: кажется, что его автор(ы) предусмотрели почти [!] все. Я долго думал о
том, что можно сделать с почтовыми пакетами... Вроде бы ничего - тоссер рас-
паковывает только (вот и первая проблема: метод вируса Highjaq для ARJ архи-
вов не действует) PKT файлы, находящиеся в архиве, тоссит почту, а потом сти-
рает архив. К архиву можно приписывать дроппер с расширением PKT, но и это не
спасет - пользователь "чайник" (а именно на такого мы и расчитываем) и не за-
лезет в "temp.inbound", ну а если и залезет, то не догадается переименовать
его из PKT в COM или EXE (да и к чему бы это?).
Единственный шанс для нас - вызвать ошибку тоссера для того, чтобы архив с
червем уходил в BAD'ы. При этом тоссер создаст письмо, говорящее о том, что
архив (имя и путь) помещен в BAD`ы (и тогда на архив с вирусным дроппером
обратят внимание!). Это может произойти, если в архиве нет PKT файлов. о и в
этом случае лучше не привлекать внимания и для ARJ архива воспользоваться ме-
тодом Highjaq (имя записываемого дроппера должно начинаться с "/" - тогда
дроппер попадет в корневой каталог диска и на 99% будет запушен). А в осталь-
ные архивы прийдется просто добавлять дроппер. Можно добавлять также заархи-
вированый дроппер (и тоже с расширением PKT) - это также вызовет ошибку и ар-
хив попадет в BAD.
Единственой проблемой остается узнать, где хранятся почтовые пакеты (пото-
му что они не имеют расширения ARJ...), для этого ищется файлик "FASTEC-
HO.CFG" и по смещению 181 (DEC) находится путь к пакетам.
Свои мнения/советы можете присылать мне на 2:5020/327.8@fidonet и (или) по
вирмейкерской сети Evolution Network (мой адрес там 13:1/1.1).
(c) mongoose of Misdirected Youth