┌─	────┐                       ┌─	────┐
│ 	┌─┐ │ 
Electr0nic magazine   │ 	┌─┐ │ ·[
DiGiTAL iNf0RMaTi0n PiRATES Gr0UP]·
	│ │ └	─┘   
f0r H/P/V/Cr/Co     	│ │ └	─┘         
All S0FT Mu$T be FREE !
│ │ ┌	─┐ ┌┐  ┐┌	┬──┐┌	┬──┐┌┬	──┐  	│ │ ┌	─┐ ┌	┬──┐┌┬	─┬─┐┌	┬──┐┌	┐  ┐┌─	┬┬─┐┌┬	──┐┌	┬──┐
│ └	─┘ │ 	├┼──┤├	┼──┤├	┤  │	└┴─┬┐  │ └	─┘ │ ├	┤  │├	┤ │ │├	┼──┘├	┤  │  ├	┤  ├┼─  ├	┼─┬┘
└─	────┘ └┘  ┘	└┘  ┘	└┴─	─┘└─	─┴┘  └─	────┘ 	└┴─	─┘	└┘ ┘ ┘	└┘   	└┴	──┘  └	┘  └┴	──┘	└┘ └
 Issue N~ 1                                                  august 1997
·∙- 	─────────────────────────────────────────────────────────────────── -∙·

                         "Как отдался ADinf"
                                 или
                   "Способы распространения вируса"

                    Часть 2. Надеюсь не последняя.
    Дмитрию Мостовому посвящается. (играет оркестр балалаечников)

   Как то раз сидев на работе и ничего не делав я подумал "А не  пола-
мать ли мне немного ADinf?". Сказано - сделано. Сначала я  думал,  что
напорюсь там на полиморфные расшифровщики и прочее дерьмо,  НО  нифига
такого не нашел и очень удивился. Просто ADinf был запакован упаковщи-
ком LZEXE с модифицированным заголовком. "Вот это круть" скажете Вы !
Да это "круть" ;))) Можно было и придумать че нить получше, ну да лад-
но поехали дальше. Вообщем UNP его обломал по самые ноги. ;-)  Взяв  в
руки свою любимую отмычку Deglucker 0.03 я начал ковырять эту заразу и
увидел там вот такой вот бред

0000A529: 687813                       push   01378
0000A52C: 666800000100                 push   000010000
0000A532: 666A00                       push   00
0000A535: 6A39                         push   39
0000A537: 9A0400E016                   call   16E0:0004 ---------- (1)
          ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
0000A53C: B80008                       mov    ax,00800
0000A53F: 9ACB006D16                   call   166D:00CB ---------- (2)
0000A544: 1E                           push   ds
0000A545: 687C13                       push   0137C
0000A548: 666A00                       push   00

Видите подчеркнутую сточку, вот это и есть вызов  процедурки  самопро-
верки. Сначала я ее заNOPил, но в процессе работы вылезло второе окош-
ко с предупреждением и меня за#$@ло килять их все и в начале процедур-
ки пришлось немного "подправить" кусочек кода:

Вот что было:

0001B174: C8020000                     enter  0002,00
0001B178: 56                           push   si
0001B179: 8B5E0E                       mov    bx,[bp][0000E]
0001B17C: 8B4E08                       mov    cx,[bp][00008]
0001B17F: A0AAE5                       mov    al,[0E5AA]

Вот что вышло:

0001B174: CA0E00                       retf   0000E
0001B177: 90                           nop
0001B178: 56                           push   si
0001B179: 8B5E0E                       mov    bx,[bp][0000E]
0001B17C: 8B4E08                       mov    cx,[bp][00008]

Как вы заметили исправлены были первые 4 байта. Вот так я поборол  дя-
дюшку Мостового ;-) Оставлять такие вещи на открытом месте это  просто
тупость. ADinf брался версии 10.10/386. Распакован  был  утилитой  UNP
v4.10 - 01/30/95. Патчился HiEW 5.02. Вот так вот дядюшка Мостовой.
   Вы спросите за, что мы тут боремся ? Или нахрена весь этот геморой ?
Это элементарно. Берем инсталянт ADinf. Патчим таким образом файл, за-
рожаем его своим любимым вирусом, и заливаем где нить на BBS предвари-
тельно заменив номерок версии адинфа на более свежий и в  течении  ко-
роткого времени Ваш любимый вирусок будет уже жить своей жизнью.

─────────────────────────────────────────────────────────────────────────────
 written D()CT()r                                          [c] D.i.P.G.