Истории о вирусах

Инфицирование методом создания СОМ-файла спутника


Смысл этого метода - не трогая "чужого кота" (ЕХЕ-программу), со-

здать "своего" - СОМ-файл с именем ЕХЕ-программы. Алгоритм рабо-

ты такого вируса предельно прост, так как отпадает необходимость

лишних действий (например, сохранения в теле вируса длины откомпи-

лированного ЕХЕ-файла с вирусным кодом, считывания в буфер тела

вируса, запуска файла, из которого вирус получил управление). Неза-

чем даже хранить метку для определения инфицирования файла.

Заражение производится с помощью командного процессора:

1. Если в командной строке указаны параметры, сохранить их в пере-

менную типа String для передачи инфицированной программе.

2. Найти ЕХЕ-файл-жертву.

3. Проверить, не присутствует ли в каталоге с найденным ЕХЕ-фай-

лом СОМ-файл с таким же именем, как у файла-жертвы.

4. Если такой СОМ-файл присутствует, файл уже заражен, переходим

к пункту 6.

5. С помощью командного процессора скопировать файл, из которого

получено управление, в файл с именем жертвы и расширением СОМ.

6. Процедурой Ехес загрузить и выполнить файл с именем стартового, но

с расширением ЕХЕ - то есть выполнить инфицированную программу.

7. Вернуть управление в DOS.



Содержание раздела