Virus: Black adder 1015 - Bladder.1015, nostalgie dei bei tempi!
Scrivo quest'articolo per nostalgia, il virus classificato come "Black Adder 1015" o "Bladder.1015" nella fine del 1995 fino a metà del 1996 regnava sovrano nel mio primo pc un 486 a 100 Mhz, è stato l'unico virus sino ad oggi che è riuscito ad infettare una mia macchina! Avevo circa 15 anni era il mio primo Pc, ma utilizzavo F-Prot preso dai cd delle riviste, funzionava alla grande ma non me lo ha mai rilevato se non in una delle ultime versioni che uscirono del 1996. Il motivo è che nemmeno la software house che produceva F-Prot conosceva questo ospite indesiderato inquanto il virus era relativamente giovane e forse poco diffuso nelle altre parti del mondo, ma ad Ischia spopolava! Secondo una scheda informativa redatta da Virus Library questo virus è stato scritto da un certo "Doctor Who" in Italia. Ma torniamo ancora un pò più indietro, all'atto dell'infezione.L'infezione.
Un mio amico Luigi P. venne a casa un pomeriggio con un dischetto con sù un suo gioco Zool 2, l'avventura di una formica ninja che sola contro il mondo deve distruggere tutto e tutti, giochiamo (il gioco non mi appassionava nemmeno più di tanto) e quando finiamo ignaro di tutto quello che stava succedendo al suo interno spengo il pc.
I sintomi dell'infezione.
Il giorno dopo mi inizio ad accorgere che qualcosa non andava, alcuni programmi non partivano oppure partivano mostrando dei warning, ovvero la memoria alta (Hi-Memory) era di Zero Kb!!
Convinto che fosse qualche problema di configurazione inizio a giocare con i file autoexec.bat e config.sys e con l'utility di configurazione della memoria del Dos di cui ora mi sfugge il nome.
Cosa posso fare?
Inizialmente tentavo di installare tutti gli antivirus che avevo nei cd delle riviste acquistate, dopo averli installati (sempre sotto Dos) li facevo partire per avere la sicurezza che non fosse un virus, testai F-Prot, Thunder (se non riscordo male il nome) e un altro paio di Antivirus, ma il responso era sempre uguale: NESSUN VIRUS TROVATO. Nulla di più forviante perchè in realtà l'infezione c'era. All'epoca mi dilettavo a programmare in Pascal e usavo il compilatore della Borland il Turbo Pascal e fù questo software che mi aiuto per due motivi.
Primo motivo, la prova dell'infezione: avendo una copia sull'HD dell'eseguibile del Turbo Pascal e un altra copia su un floppy protetto da scrittura notai una differenza di peso, la versione sul HD era più grande di quella del floppy proprio di 1015 Bytes! Come era possibile i file dovevano essere gemelli! Era la prova che c'era un ospite indesiderato in quel file Exe! Pensai allora di fare una cosa poco ortodossa, ovvero prendere un file di testo di un sorgente Pascal, rinominarlo con estensione .exe e lanciarlo da Dos. Il risultato fù che il pc si blocco! Riavviai il pc e aprii il file di testo con l'edit del Dos, la trappola aveva funzionato all'inizio del file e alla fine c'erano diversi caratteri ASCII strani!
Secondo motivo, la creazione di un tool di rilevazione: Eseguendo più volte questo procedimento trappola notai che c'era in tutti i file modificati dal virus una stessa sequenza di byte (mi pare verso la fine del file, in coda), mi bastò creare un programma che aprisse i file eseguibili e cercasse quella sequenza di byte, dove la trovava significava che il virus lo aveva infettato! Qui mi fermai anche perchè con le conoscenze che avevo a quei tempi era già molto quello che ero riuscito a fare, mi sarebbe piaciuto vedere però se fosse stato possibile anche rimuovere il virus, perchè notai che il virus aggiungeva una sorta di jump ad inizio file che faceva eseguire il codice messo in fondo al file eseguibile il quale finita l'esecuzione rimandava all'inizio originale del file facendo eseguire il vero programma. Sono curioso di capire se eliminando quel jump iniziale e la coda finale il programma avrebbe funzionato e il virus sarebbe stato correttamente eliminato.
Etichette: 1015, black adder, bladder, virus
posted by Tony @ 9:36 AM
7 comments
