Вступление

 Всем известно, что, с недавнего времени, господин Каримов A. (для тех, кто
 не знает - Doctor (cracker, раньше virmaker)) стал писать антивирус,
 называемый Activator Project Pro'98. Этот ревизор-анализатор создает таблицы,
 которые всегда можно поправить, для своей выгоды!

       !!! Речь пойдет о Activator Project Pro'98 v 1.70 !!!
              ( взять можно на www.dizet.ua.com )

 Наблюдения

 Первое, что мы получаем после инсталяции, это наличие следующих файлов:

   ap98    .exe  -  не интересно ( хотя .... :] )
   files   .dat  -  [!]
   ap98    .fnt  -  не интересно
   ap98    .hlp  -  не интересно
   history .txt  -  не интересно

 Итак, у нас есть files.dat, где находятся пути в которых Activator проверяет
 файлы. Знак [ ; ] воспринимается как комментарий, так что ничто не мешает
 вирусу закомментировать все строки (хотя одну строку следует все же оставить,
 т.к Activator начинает вопить, что надо создать таблицу). Кстати, в help'е
 написано, что после редактирования DAT файла, надо удалить файл ap98f.tbl и
 пересоздать таблицу. В этом мы ему поможем :), но можно поступить по другому.
 Для этого тихо комментируем строки, а ap98f.tbl оставляем. При таком раскладе
 все очень быстро проверяется (точнее не проверяется ничего), а воплей про
 создание новой таблицы не поступит! После первого запуска создаются следующие
 файлы:

     ap98.cfg   -  конфигурационный файл
     ap98.tb1   -  таблица 1
     ap98f.tbl  -  таблица 2

 На всех этих файлах стоит атрибут скрытый. Открываем ap98.tb1 в hex mod'е
 (использовался Dos Navigator 1.50 Build 002):

 00000000: 4E 1B 20 41 63 74 69 76 61 74 6F 72 20 50 72 6F | N Activator Pro
 00000010: 6A 65 63 74 20 50 72 6F 20 27 39 38 20 28 63 29 | ject Pro '98 (c)
 00000020: 20 61 6E 64 72 65 77 20 6B 61 72 69 6D 6F 76 2C |  andrew karimov,
 00000030: 20 5B 53 79 73 74 65 6D 20 54 61 62 6C 65 5D 20 |  [System Table]
 00000040: 76 65 72 3A 20 31 2E 37 30 20 5B 30 30 30 5D 00 | ver: 1.70 [000].

 [00000000 00-01-02-03-04-05-06-07-08-09-0A-0B-0C-0D-0E-0F]

 При нахождении строки karimov, можно спокойно убить таблицы :).
 Причем убивать надо именно ap98.tbl!. Другую можно оставить :)

 Глянем в кофигурационный файл Activator'а (ap98.cfg)

 00000000: 4E 1B 20 41 63 74 69 76 61 74 6F 72 20 50 72 6F | N Activator Pro
 00000010: 6A 65 63 74 20 50 72 6F 20 27 39 38 20 28 63 29 | ject Pro '98 (c)
 00000020: 20 41 6E 64 72 65 77 20 4B 61 72 69 6D 6F 76 2C |  Andrew Karimov,
 00000030: 20 63 6F 6E 66 69 67 75 72 61 74 69 6F 6E 2C 20 |  configuration,
 00000040: 76 65 72 3A 20 31 2E 37 30 20 5B 30 30 30 5D 00 | ver: 1.70 [000].
 00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
 00000060: 00 00 00 00 00 00 17 00 00 00 00 01 00 00 00 00 | ..........
....

 [00000000 00-01-02-03-04-05-06-07-08-09-0A-0B-0C-0D-0E-0F]

 Значение по адресу 06B можно поправить с 01h на 00h, далее загружаем
 Activator, выбираем Контроль.... Activator перестал взаимодействовать с
 диском через IDE контроллер, а так же, перестал видеть Stealth вирусы.
 В окне pасшиpенный анализ, флажки этих настpоек выключены!
 Дальнейший анализ программы был прерван из-за ограничения Activator'а на
 60 запусков, так что дальше теория.

 Рабочий экран Activator'а имеет следущий вид:

 Activator Project Pro '98	  
 Dizet Antiviral Lab, 2000        1.70 [000]

            |-------------[ первая строка

    |---------------------[ последняя строка

 DiZeT |   Active  Int13h: FD3E:2702|    Loaded Int13h: 0000:0000|DOS: 605744

 При нахождении в видеопамяти этих строк....  можно делать все, что угодно.


 Резюме

 Activator Project Pro '98 программа новая и еще (пока) мало распространенная.
 Но политика, проводимая Dizet, по продвижению своего продукта на рынок, может
 вскоре создать _реальную_ угрозу существованию вирусов! (например для ВУЗ'ов
 полугодовое пользование продуктом бесплатно, а так же довольно низкая
 стоимость продукта - 6$)

 Статья для журнала Top Device