/*-----------------------------------------------------------------------*/
/* R I N G 0, I S S U E # 1 */
/*-----------------------------------------------------------------------*/
Распространение через MS Win OLE Object
by BKNY0NNX // SBVC
Однажды я экспериментировал с заголовком MS Win OLE Object и
обнаружил, что сигнатура заголовка содержит вполне нормальные команды
процессора, а после сигнатуры содержится неиспользуемое место. Надо это
место использовать! Что если после сигнатуры записать команду перехода в
конец документа, где будет содержаться некоторый код? Этот код
выполнится. Т.е. если "зараженный" документ переименовать напр. в COM, а
затем выполнить, то сначала выполнятся команды сигнатуры, затем -
переход, а после - пакостный код ;) Так, если имя "документа"
*.com(exe), то всё OK. Ну а если у документа "родное" имя, то надо ему
помочь переименоваться и запуститься или же перезаписывать телом все
файлы подряд ;) Я сделал и то, и другое.
Эти методы заражения (пока что Trivial) прекрасно подходят для
всего OLE'ского (MS Office, 1С:Предприятие).
Создаете документ в Оффисе или внешний отчёт в Предприятии, суёте в
его проект или модуль какой-либо "понравившийся" VIR.S??,
переименовываете документ (отчёт) в VIR.___ и запускаете
build.bat.Изменяете значение VIRLEN в VIR.ASM на длину получившегося
bin'а и запускаете BUILD.BAT опять. Всё.
Поставляемые файлы [ole.rar]:
VIR.ASM - основная пакость
VIR.S1D - "переименоватор и запускатор" для Word97/2000
VIR.S1E - "переименоватор и запускатор" для Excel97/2000
VIR.SR1 - "перезаписатор" для 1С:Предприятие
VIR.S2D - "перезаписатор" для Word97/2000
VIR.S2E - "перезаписатор" для Excel97/2000
PATCH.PAS - патчер заголовка MS Win OLE Object
BUILD.BAT - сборщик всего этого
BKNY0NNX // SBVC