[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 10, Apr 1999                                          file 00F

                           BBS INFECTION                         [C] Mongoose
──────────────────────────────────────────────────────────────────────────────

   1. ВСТУПЛЕНИЕ

    Как известно в нашей стране кризис и денег на i-net у многих обладателей
 модема  нет и возможно не будет, а  наличие АТС постройки 1945-х годов явно
 не удовлетворяет современным требованиям функционирования и развития комму-
 никаций,  вследствие  чего, в то  время как в развитых странах давно прошла
 эпоха BBS, у нас они остались  очень популярными и народ предпочитает инету
 BBS и ФИДО. Так пусть  вирус распространяет свои копии через BBS нашего си-
 сопа-идиота (каждый кому не лень открывает BBS).

    Как обычно я отстаю от жизни и ничего  нового придумать не могу. Дописы-
 вая один вирус  мне в голову пришла идея о распространении  через BBS; осо-
 бенно актуальным "заражение BBS" является в крупных городах России.

    Под руку мне попался мой любимый maximus (на котором у меня стоит BBS) и
 я быстренько вставил в вирус  только что предуманную мною технологию, наст-
 роенную на "maximus only", поэтому  и объяснять ее (технологию) я  буду  на
 примере данного BBS-софта (очень популярного из-за простой настройки).

    Кстати, оффициальный релиз уже вышел - это Ternopil Worm v0.94. Точнее он
 уже гуляет по BBS'кам.


   2. ТЕХНОЛОГИЯ

    Для  начала  нам надо обнаружить BBS-софт на винчестере. Можно использо-
 вать несколько способов:

    1. Проверить AUTOEXEC.BAT на наличие строки SET MAXIMUS...
    2. Рекуpсивный обход каталогов на наличие максимуских файлов.
    3. Обычно по умолчанию инсталлятор  устанавливает Maximus  в  диpектоpию
       MAX (пpовеpить можно C, D и т.д.)

    Если путь к файлам BBS обнаружен, надо записать это где-нибудь (например
 в heap'е).

    Если наш червь ищет архивы или распространяется через простые COM-файлы,
 то  параллельно с их поиском надо искать и файл, в  котором хранится список
 файлов в арии (максимус использует files.bbs).

    Если мы  нашли нужный нам файл, необходимо создать свою  копию (неважно,
 будет это архив или просто COM/EXE), добавляем в список строку с  названием
 и описанием нашей  копии (инет-взломщик или еще что-нибудь), - такой формат
 использует максимус в своих files.bbs; лучше всего добавлять в конец файла.

    Достаточно одной копии (иначе СисОп или юзер могут заподозрить неладное,
 например если несколько копий идут подряд), поэтому  заражение списка  надо
 обязательно  контролировать, например, если  червь  распространяется  через
 файл readme.com,  то после нахождения files.bbs надо искать в текущем ката-
 логе файл readme.com и если он найден то прекращать заражение арии.  Но бы-
 вают  умные  люди, которые  используют для распространения произвольное имя
 (теперь уже червя не удалишь со всего винта простым батником), т.е усложня-
 ется анализ на "вшивость" файл-арии. Достаточно найти любой COM/EXE (смотря
 какое расширение  для  своих копий использует наш червь),  когда мы создаем
 копию  и считаем, что ария заражена (это не дает 100  процентной  гарантии,
 что она точно заражена, но обычно СисОпы экономят место на винчестере и па-
 куют все архиваторами по несколько раз, поэтому  кроме нашей копии  там  не
 должно быть других COM).

                                                                (c) Mongoose