Истории о вирусах

Простейший СОМ-вирус


В начале СОМ-файла обычно находится команда безусловного перехода

JMP, состоящая из трех байт. Первый байт содержит код команды OE9h,

следующие два - адрес перехода. Поскольку рассматриваемый ниже ви-

рус учебный, он будет заражать только СОМ-файлы, начинающиеся

с команды JMP. Благодаря простому строению СОМ-файла в него очень

просто добавить тело вируса и затем указать его адрес в команде JMP.

На рис. 1.1. показано заражение файла таким способом.

После загрузки зараженного файла управление получает вирус. Закон-

чив работу, вирус восстанавливает оригинальный JMP и передает уп-

равление программе, как показано на рис. 1.2.

Что же делает рассматриваемый вирус? После старта он ищет в теку-

щем каталоге СОМ-программы. Для этого используется функция 4Eh

(найти первый файл):




Содержание раздела