https://securelist.ru/analysis/obzor/27029/ya-est-hdroot-chast-1/Протащился от описания. Время вспомнить досовский вирус Mammoth,
Mammoth.6000
Очень опасный файлово-загрузочный полиморфный стелс-вирус. При первом
старте инфицированной программы вирус заражает MBR жесткого диска.
Причем при наличии контроллера IDE жесткого диска, при записи вирусного
кода в MBR, вирус программирует непосредственно порты контроллера IDE.
Вирус определяет запуск инфицированной программы из под Microsoft
Windows и пытается в данном случае протрассировать INT 13h. В
зависимости от своих внутренних счетчиков или при неаккуратной
трассировке кода вируса, вирус может уничтожить информацию на жестких
дисках компьютера. Резидентная копия вируса устанавливается в память
при загрузке с жесткого диска компьютера. При 10 перезагрузке системы
вирус пытается уничтожить информацию на "винчестерах". Вирус
перехватывает INT 08, 13h, 17h, 20h, 21h, 25h, 26h. При заражении
Boot-секторов флоппи-дисков вирус форматирует дополнительную последнюю
дорожку дискеты, на которую записывает 12 секторов собственного кода и
оригинальный Boot-сектор. Вирус постоянно включает и выключает признак
наличия в КМОП (CMOS)-памяти дисководов флоппи-дисков, корректируя
контрольную сумму данной CMOS-памяти. При обращении к флоппи-дискам
вирус "включает" наличие дисководов в CMOS. После обращения -
"отключает". В результате, при загрузке системы с "чистой" системной
дискеты, дисководы дискет могут оказаться "неустановленными", и система
в таком случае попытается загрузиться с жесткого инфицированного диска.
Вирус первым получит управление, установит свою резидентную копию в
память, "включит" наличие дисководов в CMOS-памяти и отдаст управление
Boot-сектору диска A:. Т.о., вирус получит управление даже при загрузке
с "чистого" системного гибкого диска! Вирус содержит строку
"COMMAND.COMGDI.EXEDOSX.EXEWIN386.EXEKRNL286.EXEKRNL386.EXEUSER.EXE
WSWAP.EXECHKDSK.EXE".Программы, указанные в данной строке вирус не
заражает.
Для тех кто не знает, зачем напрямую к портам вв-вывода обращаться. Дело в том, что в памяти может быть активный антивирусный ревизор, мониторящий запись в начальные сектора диска. Обращение к оборудованию напрямую позволяет обойтись без вызововов Int13 Bios, и обойти тем самым мониторинг.
Потому что в реальном режиме невозможно перехватить обращения к портам ввода-вывода.
Ребята из 29а его реверснули,
https://webcache.googleusercontent.com/search?q=cache:h15HdAqRqk0J:https://vxheaven.org/29a/29a-1/29a-1.4_3+&cd=5&hl=ru&ct=clnk ![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
