Virus máy tính và giải pháp đối với f virus

LỜI CẢM ƠN  Tôi xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Ban chủ nhiệm ho thuật – Công nghệ – Môi truờng, cùng các thầy cô củ trường Đại học An Giang và tập thể gi o vi n

– –

-VIRUS

An Giang, 05/2010

– –

-VIRUS :

An Giang, 05/2010

LỜI CẢM ƠN



Tôi xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Ban chủ nhiệm

ho thuật – Công nghệ – Môi truờng, cùng các thầy cô củ trường Đại học

An Giang và tập thể gi o vi n ho thuật – Công nghệ – Môi truờng đã tận

tình giảng dạy, truyền đạt những kiến thức, kinh nghiện quý b u và đã khích lệ,

hỗ trợ nhiều mặt cho tôi trong suốt bốn năm đại học chuẩn bị hành trang vào



k

nh

-

:

: G

: T

: -Virus T

- – virus TUCOM : T

:

Trang : M u 1

1 Gi i thi tài 1

2 M c tiêu c tài 2

3 ng, ph m vi nghiên c u c tài 2

4 Ý c và th c tiễn c tài 2

: M t s v n virus máy tính 3

1 Thu t ng virus máy tính 3

1.1 Virus 3

1.2 Worm 4

1.3 Trojan Horse 5

1.4 Adware 5

1.5 Spyware 5

1.6 Phishing 5

1.7 Attacker tool 6

2 L ch s phát tri n c a virus máy tính 7

: -Virus 11

1 Gi i thi u F-Virus 11

1.1 K thu t lây lan 12

1.2 K thu m b o tính tồn t i duy nh t 14

1.3 K thu ng trú 15

1.4 K thu t ng y trang và gây nhiễu 16

1.5 K thu t phá ho i 17

2 – Virus TUCOM 18

2.1 ễ 18

2.2 ễ 25

2.3 28

2.4 30

2.5 34

: Xây d 36

1 -virus Software) 36

1.1 Phát hi n (Detection) 36

1.2 37

1.3 37

1.4 Phòng ch ng 38

2 -virus Techniques) 39

2.1 39

2.2 Heuristics 40

2.3 41

2.4 havior Blocker) 42

2.5 43

2.6 45

2.7 46

2.8 48

2.9 49

3 – 50

: K t lu n 51

1 51

2 52

Tài li u tham kh o 53

– Qu n lý t p tin và vùng nh i DOS 54

– Virus TUCOM 68

Danh m

Trang : ồ ễ - 2009 10

: u File 12

: i File 13

: ồ 19

: 50

Danh m

Trang : 20

ươ Mở ầu



1 Gi i thi tài

Ngày nay, máy c s d ng r ng rãi, tr n h c t p, làm vi c

và gi i trí c a nhi i Thông tin và d li u là nh ng tài nguyên quý giá c i dùng

trong máy tính c s quan tr ng c a d li u trên máy tính, nhi u

kẻ x ki n th c tin h c c i các lo i virus tin h c v i nh ng

m m phá h y h th ng, l y c p thông tin th m chí xóa b d li

trên máy c i dùng Virus máy tính tr thành n i lo c a nh i s d ng máy tính

t nh n nh ng i làm công tác tin h c CNTT phát

tri i các thi t b

tr c bi t s phát tri n c a Internet t u ki n cho s lây lan và phát tán virus

nhanh chóng, b t kỳ lây nhiễm virus

s phát tri n c t virus

nh m kh ng ch , tiêu di t và kh c ph c h u

qu i v i nh ng h p c th

i quy c u lý do Th nh t, virus máy tính

luôn ngày càng tinh v c ẩ i nhi u d ng khác nhau, m t s

trình di t virus không th ph n ng k p, nó ch có th kh c ph c h u qu c a virus gây

ra ch không có kh n k p th i V c nhi u nhà nghiên c u

v virus và phòng ch ng virus n m n d ng,

phát hi ng h p lây nhiễm, ti m ẩn c t; có kh

báo bi n th virus nh n k p th i, ch ng phòng tránh các tình hu ng lây

nhiễm khi h th p nh t các m u virus m i

ong song v i vi c s d ,

i dùng c n ph i trang b cho mình nh ng ki n th c nh nh v ho n c m c a có th t mình phòng, ch ng và kh c ph c nh ng h u qu do virus gây ra, b o v an toàn d li u ó chính là lý do tôi ch tài này Virus máy tính có nhi u lo i khác nhau, cách lây lan, ho ng, và s phá ho i c a t ph c t p, vi c tìm hi u h t các v v virus máy tính c n ph i có m t th i nghiên c u Nh n bi u ki n nghiên c u th c t c tài ch nghiên c t ng c th cho vi c nghiên c

Virus -virus) i t r t s m, nó th hi n rõ b n ch

ch lây lan và cách th c ho ng c a m t virus máy tính F-virus là m t lo n hình nên tôi ch ng nghiên c u c nghiên c u các lo i virus máy tính khác 2 M c tiêu của tài n vi c tìm hi u, và kh o sát các lo n th c n v các lo i virus máy tính c bi F-virus gi i pháp

xây d ng ph n m m ki m soát và tiêu di t các virus d ng F-virus 3 ượng, phạm vi nghiên cứu của tài u trên F-virus –

Windows

4 Ý ĩa k a ọc và th c ti n của tài

ươ Một s vấ q a ến virus máy tính



1 Thuật ngữ virus máy tính

D a t m c a NIST – National Institute of Standart and Technology (vi n tiêu

chuẩn – công ngh qu c gia Hoa Kỳ) v c virus máy

tính NIST s d ng thu t ng w c g c h

ch virus máy tính (theo cách g i Vi c h i là m c chèn

m t cách bí m t vào h th ng v i m ổn h n tính bí m t, tính toàn v n ho c

tính sẵn sàng c a h th ng Malware bao hàm r t nhi u lo : W Trojan horse,

Spyware, Adware, Phishing, backdoor, rootkit, keylogger) …

1.1 Virus

Virus là m t lo c h i có kh nhân b n và lây nhiễm chính nó vào

các t

ph i luôn luôn bám vào m t v t ch p tin d li u ho c t p tin ng d lây lan

c chia thành hai nhóm chính: Compiled virus, Interpreted virus

- Compiled virus: là virus mà mã th c thi c c d ch hoàn ch nh b i

m t trình biên d nó có th th c thi tr c ti p t h u hành bao gồm hai lo i: Boot virus

J t phổ bi n trong

nh 8 pha tr n b i boot virus và File virus trong cùng

m t phiên b n

- Interpreted virus: là m t tổ h p c a mã nguồn ch th i s h

tr c a m t ng d ng c th ho c m t d ch v c th trong h th ng Virus ki u này ch là

m t t p l n khi ng d ng g i thì nó m c th c thi Macro virus, scripting virus

là các virus n m trong d ng này Macro virus r t phổ bi n trong các ng d ng Microsoft

Office khi t n d ng kh m soát vi c t o và m th c thi và lây nhiễm S khác

nhau gi a macro virus và scripting virus là: Macro virus là t p l nh th c thi b i ng d ng c

th (ví d p l nh ch y b ng m t service c a h u

hành (ví d Stages)

M t s d u hi u cho th y s có m t virus trên máy tính:

mang nó khi nhiễm vào h th y, có th th y r ng ch dùng các

không di c worm trong h th w

m t file ho c m ng M c tiêu c a worm bao gồm c làm lãng phí

nguồn l a m ng và phá ho i h th , t o backdoor, th

… T n công c w ng c c kỳ nhanh chóng do không c n

ng c ng máy, copy file hay m / W c

chia làm hai lo i: Network Service Worm và Mass Mailing Worm

- Network Service Worm lan truy n b ng cách l i d ng các l hổng b o m t

c a m ng, c a h u hành ho c c a ng d ng (ví d worm Sasser)

- Mass Mailing Worm là m t d ng t n công qua d ch v mail, tuy nhiên nó t

t n công và lây nhiễm ch không bám vào v t ch là email Khi worm này lây

nhiễm vào h th ng c g ng tìm ki m sổ a ch và t g i b a

ch c Vi c g ồng th i cho toàn b a ch ng gây quá t i cho m ng ho c

cho máy ch mail (ví d : worm Netsky, Mydoom)

1.3 Trojan Horse

Trojan Horse là m t lo c h t theo s

Trojan Horse không t nhân b n Nó lây vào h th ng nh m ch ng l i ho c gây tổn h n h

th ng Chúng có vẻ ngoài h t x u bên j ng làm

vi t bên trong h th i dùng không nh n ra s ho t

ng c a chúng Chúng có th gi i h n quy n c i dùng t i m c t t c Trojan

c các hacker dùng cho m a h H u h t trong s thi t

l p quy u khi n t xa RATs (R j ng nh t

và ít h i nh t là làm ch m t máy tính, nghiêm tr làm m t quy n

s a registry, làm treo máy hay format ổ

1.4 Adware

Adware hay còn g i là ph n m m qu ng cáo, là nh ng ph n m m t

các trang qu ng cáo trên máy tính c a b n mà không c n bi t b ồng ý xem hay không

1.5 Spyware

Spyware hay còn g i là ph n m p, là lo i ph n m m chuyên thu th p các

thông tin t các máy ch qua m ng Internet mà không có s nh n bi t và cho phép c a ch

w t m t cách bí m t b ph n kèm theo các ph n m m miễn

phí, ph n m m chia sẻ i ta có th t i v t Internet M t khi c w u

ph i các ho ng c a máy ch trên internet và l ng l chuy n các d li n m t

máy khác Ph n m p thu th p các thông tin nh y c m c a n a ch

n t , m t khẩu, s thẻ tín d … Spyware là m t d ng bi n th c a Adware (ph n m m

qu ng cáo)

1.6 Phishing

Phishing làm m t hình th c t ng có th xem là k t h p v c h i

c d i dùng k t n i và s d ng m t h th ng máy tính gi m o

nh i dùng ti t l các thông tin bí m t v danh tính (ví d t khẩu, s tài

kho … ẻ t ng t o ra trang web ho c email có

hình th c gi ng h w c email mà n ng hay s d

c a ngân hàng, c a công ty phát hành thẻ tín d … c trang web gi m o này s

ngh n ổi ho c cung c p các thông tin bí m t v tài kho n, v m t khẩ …

Các thông tin này s c s d ng vào các m t h p pháp khác

1.7 Attacker tool

Attacker tool là b công c t n công có th s d ẩy các ph n m c h i

vào trong h th ng Các b công c này có kh ẻ t n công có th truy nh p b t

h p pháp vào h th ng ho c làm cho h th ng b lây nhiễ c h c t i vào

trong h th ng b c h i, attacker tool có th chính là m t ph n c n mã

c nó s c t i vào h th ng sau khi nhiễ ng g p là Backdoor

b ng bàn phím rồi g i t i hacker Keylogger có th ghi l i n i dung c a email, c a

n, user name, password, thông tin bí m …Ví d : …

- Rootkit là t p h p c a các n t lên h th ng nh m bi ổi các

2 L ch sử phát tri n của virus máy tính

Virus máy tính có m t quá trình phát tri n lâu dài, v i s bi n hóa khôn c s

phát tri n c a công ngh ph n m m và công ngh ph n c ng c tóm t

sau:

98 – Game Core War là ti n thân c a virus W c vi t b i ba

th ẻ tuổi: Mc Ilroy, Victor Vysottsky và Robert Morris Core War là cu c

u trí gi n mã c a hai th u th

tái t o g i là Organism vào trong b nh máy tính Khi b u cu

m u th s c g ng phá h y Organism c o Organism c u

th th ng cu u th phát tri n nhi u l u c a mình

986 – Virus Brain Có th u tiên trên th gi i

c vi t b i Pakistan: Amjad và Basit Farooq Alvi Virus Brain lây lan

c bi n ch lây nhiễm vào m u tin kh ng và không lây nhiễm trên

ổ c ng máy tính Virus Brain còn có tên g i khác: Lahore, Pakistani, Pakistani Brain, Brain –

A M c tiêu t i h c Delaware M i h c Hebrew

– t hi n virus này

98 – Virus Lehigh xu t hi n c phát hi n t i h c Lehigh

Hoa Kỳ p tin b nhiễ u tiên, t n công các t p tin th c thi

và n m quy n ki m soát khi t c m Trong th J t

hi n t i h c Hebrew Israel Gi J

trên t p tin b nhiễ l i là lây nhiễm l i lây nhiễm

988 – c thi t k phát hi n và lo i

b virus Brain Anti – thoát kh i s lây nhiễm c a virus

Brain Cùng th m, virus Cascade xu t hi n c

mã hóa, virus c mã hóa không th ổi ho c gỡ b

988 – Virus lây trên m 988 R

vào m ng máy tính quan tr ng nh t c a M , gây thi t h i l n T tr i ta m i b t

u nh n th c tính nguy h i c a virus máy tính

989 – Trojan xu t hi n j ổi ti ng vì

có kh ng ch li u gi c g i d ng m

thông tin v b nh suy gi m h miễn d c kích ho t, AIDS s mã hoá ổ c ng c a

n n nhân và yêu c i s d ng ph i n p ti n n u mu c gi i mã

99 –

c ngo t cho s chi u gi a cái thi n và cái ác trong h th ng máy tính

lo i virus khó di t, chúng có kh ổi hình d ng sau m i l n lây nhiễm, làm cho

vi c phát hi n chúng r

1992 – là lo c t p

1995 – Virus Concept Nguyên lý ho ng c aVirus Concept s ổi hoàn

toàn so v i các lo c Khai thác t p mã l nh macro (VB Application) trong b công

c lây vào t p tin d li u

M c dù không phá ho u t h i nh toàn b mã

l nh c a virus Vi n "h u Concept" v i s xu t hi n c a các

virus macro CAP, Gold Fish, CyberHack, JohnMMX Không d ng

-5h C t p tin

trình diễn c w virus TriState lây nhiễm

– Virus ILOVEYOU hay LOVELETTER Y n hành tàn

phá trên kh p th gi i Virus này có xu t x t Philippines, do m c này t o ra

Nó có s c lây lan kh ng khi p, thông qua email, trong vòng 6 ti ồng hồ

qu t Nam, lây nhiễm 55 tri u máy tính, gây thi t h i 8,7 t USD

– W W w / W W w / u

nh ng virus có th lây trên h u hành Linux ch không ch Windows

– Nhi u lo i virus m i Tháng 1 xu t hi n virus lây qua t p tin SWF

Tháng 3 virus vi t b ng ngôn ng # i có tên là SharpA do m t ph n vi t Tháng 5

i t ng SQL Tháng 6, xu t hi n virus Perrun

lây qua Image JPEG, virus Scalper lây qua c w …

– Virus Slammer Virus Slammer là m t lo i virus có t phát tán nhanh

nh t: 75000 máy tính ch trong 10 phút Ti p t /8 i, v i s c lây lan

r t m nh, nh m vào máy tính s d ng h u hành Windows 2000 và XP, ch

y 1 tu p ít nh t 300000 máy tính t i nhi

Vi t Nam Khi xâm nh p vào m t máy tính b l i Windows, Blaster t ng t n mã t

PC b nhiễ t nhân b n và ti p t c phát tán ng máy tính

khác có l hổ và t n công Nh ễm, m i khi k t n i Internet

c vài phút li n b shutdown t ng

– Virus lây qua d ch v chatting Các d ch v chatting tr c tuy Y

MSN b c virus l i d t công c phát tán virus trên m ng 9 – Xu ồ

… ễ

W W32.Vetor.PE

ễ

9

W

ễ ễ

ễ

W ễ

9

–

ễ

9

W RZ w W w W32.FakeAvVbs.Worm hay W32.FakeAVScanAD.Adware 8

9 8

8

ễ 6

ễ 8

6,752 33,137 50,128 0 10,000 20,000 30,000 40,000 50,000 60,000 2007 2008 2009 1 a ượ - 2009

ẩ

ươ -Virus



1 Gi i thi u F-Virus

- ây File), xu t hi n t r t s m, và phát tri n r t m nh trong

nh 8 i s o và tính phá ho ng F-virus ch lây trên m t h

u hành nh nh c l i chúng có th khai thác r t nhi u d ch v nh p xu t c a

H Các F- i DOS ch y u khai thác d ch v truy nh p File b ng các

hàm c a ng t 21h Các F-virus ch lây lan trên các File kh thi (File COM và EXE), tuy

nhiên m t nguyên t c mà virus ph i tuân th : t File kh thi b lây nhiễm,

quy u khi n ph i n c khi virus tr nó l i cho File b nhiễm, và khi

File nh n l i quy u khi n thì t t c các d li u c c b o toàn

Tùy theo h ho ng c a v t ch , File virus có cách lây nhiễm khác

Khi v t ch thi hành, F-virus s th c hi n các thao tác:

- Ki m tra s có m t c a virus trong vùng nh N ng trú, chúng ti n hành

sao chép vào vùng nh c h u hành c p phát

- Tìm ki m các v t ch lây vào

- Th c hi n các ho c l p trình (phá ho nh th …

- Ph c hồ m vào l nh g c và trao quy n cho v t ch

m c a F-virus là dễ b phát hi ổi và ch lây m nh

trên các H u hành DOS và Windows 9x/Me W w / / ng

v p ph i hàng rào b o v h th ng h t nhân Kernel 32 Vì v y F-virus d c các Hacker

thay b ng các hình th : W j …

M t F-virus ph c các yêu c u sau:

- Tính tồn t i duy nh t: Yêu c m b o cho virus có m t ch m t l n trong

vùng nh , trên File (t ng h p nhi u virus t n công trên m t File)

Yêu c m b o s làm gi m th i gian thi hành File khi trong vùng nh có quá

nhi u b n sao c a m c c ễ b phát

hi i gian n p File

- Tính lây lan: Là yêu c u b t bu m b o cho s tồn t i và phát tri n c a virus và

m c g i là virus Ở c n lây lan mà là t lây M t

c nh ng yêu c u trên, m t s d ng các k thu :

1.1 K thuật lây lan

F- ng s d ng ba k thu : u File, thêm vào cu i

File và

1.1.1 ầu File (prepending)

ng ch c áp d ng cho các File COM, t u vào c i PSP:100h L i d u vào c nh, n

Ư : i t t là Progvi) r t dễ vi t vì th c ch t nó là

m t File d ng COM M t khác, s khôi ph c F i ph i

c toàn b File b nhiễm vào vùng nh rồi ti n hành ghi l i

Khuy : c khi tr quy u khi n l i cho File ph m b u : i chuy n tr l i toàn b u t offset 0100h

c s d ng r ng rãi trên h u h t các lo i F-virus vì ph m vi

lây lan c

nên nó ph i:

- i v i File d ng COM hay BIN: thay các byte entry vào c a

ng m t l nh JMP, chuy n quy u khi n t n mã Progvi

E9 xx xx JMP Entry virus

- i v i File d ng EXE: ch c nh v l i h th ng các thanh ghi SS, trao quy u khi n cho ph n mã virus

3: Thêm vào cu i File

.COM Header

V trí

b u

Virus COM Header

V trí b t

u m i

V trí b t

Ư m: lây lan trên m ng là File COM, EXE, BIN M t khác, s xáo tr n d li Vi t quy u khi n trên

File COM ch c n 3 byte cho m t l nh nh y

Khuy m: dễ khôi ph c, ch c nh v d li tr l i, không c n

.COM ho c BIN mà thôi

Khi ti i v t thu c tính SYS (h

th ng), ReadOnly (ch c), Hidden (ẩn), ph i ti ổi các thu truy nh p

Ngoài ra vi c truy nh ổi ngày gi c p nh t c a File, vì th

l i thu c tính, ngày gi c p nh t c sau khi lây nhiễm xong s tr l i y nguyên thu c

tính và ngày gi gi c p nh u c a nó

1.2 K thuậ m b o tính t n tại duy nhất

Trong vùng nh ng các F-virus s d ng hai k thu t chính:

- Ki m tra b : chính xác c a nó không cao và m t khác

c version c c ki m tra nhanh và k t qu ph trong

quá trình ki m tra có th c dùng v ng

- Ki m tra b ng keyvalue: s d ng là 5 byte) vào nh ng byte

cu i cùng c a File Các byte keyvalue này có th cho bi t version c a virus chẳng h Ư

u này không th c n ng quá l n

gi i quy i l p trình ph i s d ng khôn khéo các ch a

DOS, ho c b công trên chu vào k thu ng trú

c th c hi c ng thi hành, có th chia k thu ng

trú thành hai nhóm:

1.3.1 ườ ư c khi tr quy u khi n

DOS không cung c p ch ng trú này, cho nên

i t thu x thu t này g n li n v i thao tác th công trên

- ng trú b ng ch : t k thu t ph c

t p, ti n trình c n th c hi c mô t : c trao quy n, nó

s t o ra m c khai báo là ph n t trung gian trong chu ch

c tr v i ti ng trú m ng b ng ch c

a ng t 21h c th c hi :

- Gi i phóng vùng nh không c n thi t

- T o EPB :

- Tìm tên File trong kh ng hi n th i

- Dùng ch n n a

- Nh n quy u khi n tr l i, dùng ch l y mã l i ra c a

- Dùng ch ng trú v c virus, mã ra là

mã l y t ch

Song n h n ch , nó không th lây lan

c vì khi COMMAND.COM lên l u tiên, nó s không bao gi

tr quy n l i cho virus c , m t khác, s không có virus nào lây ti p vì d u hi u trong vùng nh

cho bi u khi t c c thi t k theo

u ki m tra tên File v c khi nó lây

1.4 K thuật ng y trang và gây nhi u

M m mà không F-virus nào có th tránh kh là ng

c này ph thu c vào vi c có

M t s virus ng y trang b ng cách khi s d ng ch DIR c a DOS, virus chi ph i ch c

m File (ch a ng gi c c a File b

nhiễm xu ng, vì th i máy tính, n u s d ng l nh DIR c a DOS, ho c

các l nh s d ng ch m File có thông tin v entry trong b c,

thì th c File b lây nhiễm v n b c c u a

i s d ng v s trong s ch c u này c ng gây hi u ng cho các ph n

m m dùng các ch copy File, so sánh hay tổ ch c l y vi c thi hành File mà

không thông qua DOS

M t s virus còn gây nhiễu b ng cách mã hóa ph n l khi

nào vào vùng nh c gi c l i K thu ng dùng

ch là s d ng k t qu c a l nh XOR Tuy nhiên m t l

ch ng virus n ng c a virus hi n nay là mã hóa thành t ng t ng, t ng

này gi i mã cho t ng k nó và khóa c a m i ph n tùy thu c vào th i các

c l y nh ng th m khác nhau, ph

M t s virus anti-debug b ng cách chi m ng t 1 và ng thi

hành t c m t B bug th c ch t ph i dùng ng t 1 và ng

thi hành t c m t, cho nên khi virus chi m các ng t này rồ i l p trình dùng

theo dõi virus khi k t qu c

Khi ki u b t bu c là l p trình viên ph c bẳng EXE

Header u vào File, t i phát hi u h c b ng tham s

b ng cách m ồ này và

ng tham s c ng l p trình viên

1.5 K thuật phá hoại

ng mang tính phá ho i ng u nhiên và ti ng Vi c

phá ho i nh , ch n là xóa m t cách ng ổi l i ngày gi t o File

ng phá ho i c a F-virus r t phong phú bao gồ … n phá ho i

s d ng các gi i thu t ng n g u su t cao

2 Virus ọa – Virus TUCOM

File t

Yes Yes

No

1 a

Offset Size

0 – 14h 21 byte

Next) 15h 1 byte

Mov ax, word ptr [Kich_Thuoc] ;

Add ax,offset EndVirus – Offset Virus + 100h

Mov dx,offset Ten_File ;

Mov ax,3D02h ;ah = 3Dh, ax = 02h

Mov ax,word ptr [Kich_Thuoc]

Add ax,Offset EndVirus – Offset Virus + 100h

Jc Khong_Lay

Cmp Byte ptr [Byte_Dau],0E9h

Jnz Lay_File_Nay

Mov ax,4202h ;ah = 42h, ax = 02h

Mov bx,word ptr [HANDLE] ;

Mov cx,offset Cuoi_Virus – offset Virus

Mov bx,word ptr [HANDLE]

Mov dx,word ptr [Dia_Chi_Bat_Dau]

Mov dx,word ptr [Kich_Thuoc] ;

Add dx,offset Ma_Dau - offset Virus ;

Mov ax,4202h ;ah = 42h, al = 02

Int 21h

Mov cx,5

Mov bx,word ptr [HANDLE]

Mov dx,offset Byte_Dau

Mov byte ptr [Byte_Dau],9Eh

t Word cho CPU bi

Add ax,offset Virus_Bat_Dau – offset Virus – 3

Mov word ptr [Byte_Dau + 1],ax

R

Mov word ptr [Byte_Dau + 3],5652h

:

Mov cx,5

Mov dx,offset Byte_Dau

Mov bx,word ptr [HANDLE]

Mov dx,word ptr [Dia_Chi_Bat_Dau]

Add dx,Offset COMFILE – Offset Virus

Mov dx,offset Ten_File

Mov word ptr [HANDLE],24h