mercoledì, gennaio 31, 2007

Virus: Black adder 1015 - Bladder.1015, nostalgie dei bei tempi!

Scrivo quest'articolo per nostalgia, il virus classificato come "Black Adder 1015" o "Bladder.1015" nella fine del 1995 fino a metà del 1996 regnava sovrano nel mio primo pc un 486 a 100 Mhz, è stato l'unico virus sino ad oggi che è riuscito ad infettare una mia macchina! Avevo circa 15 anni era il mio primo Pc, ma utilizzavo F-Prot preso dai cd delle riviste, funzionava alla grande ma non me lo ha mai rilevato se non in una delle ultime versioni che uscirono del 1996. Il motivo è che nemmeno la software house che produceva F-Prot conosceva questo ospite indesiderato inquanto il virus era relativamente giovane e forse poco diffuso nelle altre parti del mondo, ma ad Ischia spopolava! Secondo una scheda informativa redatta da Virus Library questo virus è stato scritto da un certo "Doctor Who" in Italia. Ma torniamo ancora un pò più indietro, all'atto dell'infezione.

L'infezione.

Un mio amico Luigi P. venne a casa un pomeriggio con un dischetto con sù un suo gioco Zool 2, l'avventura di una formica ninja che sola contro il mondo deve distruggere tutto e tutti, giochiamo (il gioco non mi appassionava nemmeno più di tanto) e quando finiamo ignaro di tutto quello che stava succedendo al suo interno spengo il pc.

I sintomi dell'infezione.
Il giorno dopo mi inizio ad accorgere che qualcosa non andava, alcuni programmi non partivano oppure partivano mostrando dei warning, ovvero la memoria alta (Hi-Memory) era di Zero Kb!!
Convinto che fosse qualche problema di configurazione inizio a giocare con i file autoexec.bat e config.sys e con l'utility di configurazione della memoria del Dos di cui ora mi sfugge il nome.

Cosa posso fare?
Inizialmente tentavo di installare tutti gli antivirus che avevo nei cd delle riviste acquistate, dopo averli installati (sempre sotto Dos) li facevo partire per avere la sicurezza che non fosse un virus, testai F-Prot, Thunder (se non riscordo male il nome) e un altro paio di Antivirus, ma il responso era sempre uguale: NESSUN VIRUS TROVATO. Nulla di più forviante perchè in realtà l'infezione c'era. All'epoca mi dilettavo a programmare in Pascal e usavo il compilatore della Borland il Turbo Pascal e fù questo software che mi aiuto per due motivi.

Primo motivo, la prova dell'infezione: avendo una copia sull'HD dell'eseguibile del Turbo Pascal e un altra copia su un floppy protetto da scrittura notai una differenza di peso, la versione sul HD era più grande di quella del floppy proprio di 1015 Bytes! Come era possibile i file dovevano essere gemelli! Era la prova che c'era un ospite indesiderato in quel file Exe! Pensai allora di fare una cosa poco ortodossa, ovvero prendere un file di testo di un sorgente Pascal, rinominarlo con estensione .exe e lanciarlo da Dos. Il risultato fù che il pc si blocco! Riavviai il pc e aprii il file di testo con l'edit del Dos, la trappola aveva funzionato all'inizio del file e alla fine c'erano diversi caratteri ASCII strani!
Secondo motivo, la creazione di un tool di rilevazione: Eseguendo più volte questo procedimento trappola notai che c'era in tutti i file modificati dal virus una stessa sequenza di byte (mi pare verso la fine del file, in coda), mi bastò creare un programma che aprisse i file eseguibili e cercasse quella sequenza di byte, dove la trovava significava che il virus lo aveva infettato! Qui mi fermai anche perchè con le conoscenze che avevo a quei tempi era già molto quello che ero riuscito a fare, mi sarebbe piaciuto vedere però se fosse stato possibile anche rimuovere il virus, perchè notai che il virus aggiungeva una sorta di jump ad inizio file che faceva eseguire il codice messo in fondo al file eseguibile il quale finita l'esecuzione rimandava all'inizio originale del file facendo eseguire il vero programma. Sono curioso di capire se eliminando quel jump iniziale e la coda finale il programma avrebbe funzionato e il virus sarebbe stato correttamente eliminato.

Etichette: , , ,

9 Comments:

At 7:35 PM, Anonymous Anonimo said...

Hello everyone! I don't know where to start but hope this site will be useful for me.
Hope to get any help from you if I will have any quesitons.
Thanks in advance and good luck! :)

 
At 3:26 PM, Anonymous Anonimo said...

I am able to make link exchange with HIGH pr pages on related keywords like [url=http://www.usainstantpayday.com]bad credit loans[/url] and other financial keywords.
My web page is www.usainstantpayday.com

If your page is important contact me.
please only good pages, wih PR>2 and related to financial keywords
Thanks
esoveBles

 
At 2:46 AM, Anonymous Anonimo said...

It's so easy to choose high quality [url=http://www.euroreplicawatches.com/]replica watches[/url] online: [url=http://www.euroreplicawatches.com/mens-swiss-watches-rolex/]Rolex replica[/url], [url=http://www.euroreplicawatches.com/mens-swiss-watches-breitling/]Breitling replica[/url], Chanel replica or any other watch from the widest variety of models and brands.

 
At 2:32 PM, Anonymous Anonimo said...

It's so easy to choose high quality [url=http://www.euroreplicawatches.com/]replica watches[/url] online: [url=http://www.euroreplicawatches.com/mens-swiss-watches-rolex/]Rolex replica[/url], [url=http://www.euroreplicawatches.com/mens-swiss-watches-breitling/]Breitling replica[/url], Chanel replica or any other watch from the widest variety of models and brands.

 
At 5:40 AM, Anonymous Anonimo said...

Hi there :-)
Nice page. Thank you!

 
At 9:00 AM, Anonymous Anonimo said...

ï»?For your favorite team's jersey Ramirez[url=http://www.washingtonredskinsprostore.com/robert+griffin+iii+jersey+freeshipping-c-9_49.html]Womens Robert Griffin III Jersey[/url]
like tons of other athletic players[url=http://www.officialwashingtonredskinsprostore.com/]Robert Griffin III Jersey[/url]
asserted that he took the substances through a practitioner's prescription without realizing that the pills contained the banned substance
However[url=http://www.officialwashingtonredskinsprostore.com/]Nike Robert Griffin III Jersey[/url]
let me tell you You may be surpr[url=http://www.newyorkgiantsofficialshop.com/]Womens Jason Pierre-Paul Jersey[/url]
ed to d[url=http://www.newyorkgiantsofficialshop.com/]Mens Eli Manning Jersey[/url]
cover that as being a NHL Dance shoes enthusiast compensates financially with

 
At 2:05 PM, Anonymous Anonimo said...

top [url=http://www.c-online-casino.co.uk/]free casino games[/url] check the latest [url=http://www.casinolasvegass.com/]las vegas casino[/url] manumitted no deposit perk at the foremost [url=http://www.baywatchcasino.com/]casino
[/url].

 
At 11:48 PM, Anonymous Anonimo said...

We [url=http://www.onlineroulette.gd]online slots[/url] have a rotund library of unqualifiedly unconditional casino games in regard to you to play privilege here in your browser. Whether you appetite to training a provisions round plan or scarcely attempt exposed a some late slots first playing in the direction of genuine money, we procure you covered. These are the exact verbatim at the same time games that you can treat cavalierly at real online casinos and you can part of them all in requital for free.

 
At 4:28 PM, Anonymous Anonimo said...

I am really glad I have found this info. Today bloggers publish just about gossips and net and this is really annoying. A good site with interesting content, this is what I need. Thank you for keeping this web site, I'll be visiting it. Do you do newsletters? Can't find it. If any ones needs some expert web design or seo search engine optimization help check out my los angeles web design seo company website http://gotwebsiteandflyers.com/index-4.html los angeles top web design company lose Angeles top website design and seo company they are able to make your blog take over on the internet. I absolutely love your blog and find many of your post's to be exactly I'm looking for. I would like to thank you for the efforts you've put in writing this web site. I am hoping the same high-grade website post from you in the upcoming also. In fact your creative writing skills has inspired me to get my own web site now. Actually the blogging is spreading its wings quickly. Your write up is a great example of it. http://reliablegroupaz.company/our-business is another site i have I made trying to make some molly with my grease monket skills. I Cant rebuild and service radiators and rebuild engines and transmissions as well as body work and automotive electrical repair. This other site I also have a car repair service. I have been an automechanic for 20 years and have a uhaul business and dealership. rim rock sedona flagstaff cottonwood and camp verde az and have uhaul trucks. We repair cars trucks and offer towing to all of northern Arizona. if you want to check it out for fun the address is here in northern Arizona cottonwood wood camp verde sedona

 

Posta un commento

<< Home