┌─ ────┐ ┌─ ────┐
│ ┌─┐ │
Electr0nic magazine │ ┌─┐ │ ·[
DiGiTAL iNf0RMaTi0n PiRATES Gr0UP]·
│ │ └ ─┘
f0r H/P/V/Cr/Co │ │ └ ─┘
All S0FT Mu$T be FREE !
│ │ ┌ ─┐ ┌┐ ┐┌ ┬──┐┌ ┬──┐┌┬ ──┐ │ │ ┌ ─┐ ┌ ┬──┐┌┬ ─┬─┐┌ ┬──┐┌ ┐ ┐┌─ ┬┬─┐┌┬ ──┐┌ ┬──┐
│ └ ─┘ │ ├┼──┤├ ┼──┤├ ┤ │ └┴─┬┐ │ └ ─┘ │ ├ ┤ │├ ┤ │ │├ ┼──┘├ ┤ │ ├ ┤ ├┼─ ├ ┼─┬┘
└─ ────┘ └┘ ┘ └┘ ┘ └┴─ ─┘└─ ─┴┘ └─ ────┘ └┴─ ─┘ └┘ ┘ ┘ └┘ └┴ ──┘ └ ┘ └┴ ──┘ └┘ └
Issue N~ 1 august 1997
·∙- ─────────────────────────────────────────────────────────────────── -∙·
"Как отдался ADinf"
или
"Способы распространения вируса"
Часть 2. Надеюсь не последняя.
Дмитрию Мостовому посвящается. (играет оркестр балалаечников)
Как то раз сидев на работе и ничего не делав я подумал "А не пола-
мать ли мне немного ADinf?". Сказано - сделано. Сначала я думал, что
напорюсь там на полиморфные расшифровщики и прочее дерьмо, НО нифига
такого не нашел и очень удивился. Просто ADinf был запакован упаковщи-
ком LZEXE с модифицированным заголовком. "Вот это круть" скажете Вы !
Да это "круть" ;))) Можно было и придумать че нить получше, ну да лад-
но поехали дальше. Вообщем UNP его обломал по самые ноги. ;-) Взяв в
руки свою любимую отмычку Deglucker 0.03 я начал ковырять эту заразу и
увидел там вот такой вот бред
0000A529: 687813 push 01378
0000A52C: 666800000100 push 000010000
0000A532: 666A00 push 00
0000A535: 6A39 push 39
0000A537: 9A0400E016 call 16E0:0004 ---------- (1)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
0000A53C: B80008 mov ax,00800
0000A53F: 9ACB006D16 call 166D:00CB ---------- (2)
0000A544: 1E push ds
0000A545: 687C13 push 0137C
0000A548: 666A00 push 00
Видите подчеркнутую сточку, вот это и есть вызов процедурки самопро-
верки. Сначала я ее заNOPил, но в процессе работы вылезло второе окош-
ко с предупреждением и меня за#$@ло килять их все и в начале процедур-
ки пришлось немного "подправить" кусочек кода:
Вот что было:
0001B174: C8020000 enter 0002,00
0001B178: 56 push si
0001B179: 8B5E0E mov bx,[bp][0000E]
0001B17C: 8B4E08 mov cx,[bp][00008]
0001B17F: A0AAE5 mov al,[0E5AA]
Вот что вышло:
0001B174: CA0E00 retf 0000E
0001B177: 90 nop
0001B178: 56 push si
0001B179: 8B5E0E mov bx,[bp][0000E]
0001B17C: 8B4E08 mov cx,[bp][00008]
Как вы заметили исправлены были первые 4 байта. Вот так я поборол дя-
дюшку Мостового ;-) Оставлять такие вещи на открытом месте это просто
тупость. ADinf брался версии 10.10/386. Распакован был утилитой UNP
v4.10 - 01/30/95. Патчился HiEW 5.02. Вот так вот дядюшка Мостовой.
Вы спросите за, что мы тут боремся ? Или нахрена весь этот геморой ?
Это элементарно. Берем инсталянт ADinf. Патчим таким образом файл, за-
рожаем его своим любимым вирусом, и заливаем где нить на BBS предвари-
тельно заменив номерок версии адинфа на более свежий и в течении ко-
роткого времени Ваш любимый вирусок будет уже жить своей жизнью.
─────────────────────────────────────────────────────────────────────────────
written D()CT()r [c] D.i.P.G.