Скачать Зоопарк в моем HDD. торрент

Зоопарк в моем HDD.

Введенные.
Когда я начал писать эту статью, только тогда я понял, где я влип, выбирая тему про вирусов. Тема так обширна и сложна, что в рамках одной статьи рассмотреть все во проси, которые может возникнуть просто самоубийство, однако обещанное надо выполнять ибо не мужик, а тряпка, а с тряпкой положено мыть пол. Статья не полная может содержать не точности и содержит определенного мнение который (возможно)будет неприемлемый для читателя. Однако автор надеется, что его не будет избивать сильно и по почкам (алкоголь знайте). И все же вернемся к нашим баранам и попытаемся не сломать шею в этих джунглях. В моей любимой книге есть крылатые слова: «Пилите Шура, пилите». Давай попробуем и мы по пилить.

И тут бессильна даже банка со сметаной(из форума wasm.ru).

Несколько вирусов, зашедших в историю как самые зловредные.
Creeper
Временем появления первых вирусов обычно считают начало 1970-х. Именно тогда появилась программа Creeper, написанная сотрудником компании BBN (Bolt Beranek and Newman) Бобом Томасом (Bob Thomas). Creeper обладала возможностью самоперемещения между серверами. Попадав на компьютер, она выводила на экран сообщение «I'M THE CREEPER... CATCH ME IF YOU CAN» («Я Крипер... Поймай меня, если сможешь»). По своей сути, эта программа еще не являлась полноценным компьютерным вирусом. Никаких деструктивный действий, или действий шпионского характера, Creeper не выполнял. Позже другим сотрудником BBN Рэем Томлинсоном была написана программа Reaper, которая также самостоятельно перемещалась по сети и, при обнаружении Creeper, прекращала его действие.
Elk Cloner
Более похожей на современный вирус была программа Elk Cloner, выявленная в 1982 году. Она распространялась, заражая операционную систему DOS для Apple II, записанную на гибких дисках. При обнаружении незараженной дискеты вирус копировал себя туда. При каждой 50-й загрузке вирус показывал на экране маленькое шуточное стихотворение. Хоть этот вирус и не был предназначен для нанесения вреда, он мог испортить код загрузки на дискетах с другими системами. Автором этого вируса считается 15-летний школьник из Питсбурга Рич Скрента (Rich Skrenta). Изначально жертвами этого компьютерного вируса стали друзья и знакомые автора, а также его учитель математики.
Brain
Первая вирусная эпидемия была зарегистрирована в 1987 году. Причиной ее стал вирус Brain. Он является первым компьютерным вирусом, созданным для IBM PC-совместимых ПК. В основе его разработки лежали исключительно благие намерения. Выпустили его два брата, владеющие фирмой по разработке программного обеспечения. Таким образом они хотели наказать местных пиратов, ворующих их ПО. Однако вирус создал целую эпидемию, заразив только в США более 18 тысяч компьютеров. Стоит отметить, что вирус Brain был первым вирусом, использующим стелс-технологии для сокрытия своего пребывания в системе. При попытке чтения зараженного сектора, он «подставлял» и его незараженный оригинал.
Jerusalem
Следующим знаковым событием в истории развития вирусов было появление вируса Jerusalem. Этот вирус был создан в 1988 году в Израиле - отсюда и его основное имя. Второе название вируса «Пятница 13-е». Он действительно активировался только в пятницу 13-го числа и удалял абсолютно все данные с жесткого диска. В те времена мало кто был знаком с компьютерными вирусами. Естественно, что антивирусных программ не существовало вовсе и компьютеры пользователей были абсолютно беззащитны перед вредоносными программами. Поэтому такая разрушительная активность этого компьютерного вируса вызвала грандиозную панику.
Червь Морриса
Также в 1988 году отметим появление вируса под именем «червь Морриса». Он был самым страшным из известных на тот момент компьютерных вирусов. Этот сетевой червь был одной из первых известных программ, эксплуатирующих переполнение буфера. Ему удалось сделать невозможное - вывести из строя всю глобальную сеть. Правда стоит отметить, что сеть тогда еще не была такой уж и глобальной. Сбой хоть и длился совсем не долгое время, но убытки от него были оценены в 96 миллионов долларов. Его создателем был аспирант факультета Вычислительной техники Корнелльского университета Роберт Т. Моррис. Дело дошло до суда, где Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.
Michelangelo («March6»)
Был выявлен в 1992 году. Породил волну публикаций в западных СМИ. Ожидалось, что этот вирус повредит информацию на миллионах компьютерах. Хоть его и сильно переоценили, но он все-таки заслуженно считается одним из самых безжалостных компьютерных вирусов. Посредством дискет он проникал на загрузочный сектор диска, тихо сидел там, не напоминая о своем существовании до 6 марта. А 6 марта благополучно стирал все данные с жесткого диска. На этом вирусе сильно обогатились компании, выпускающие антивирусное ПО. Им удалось развить массовую истерию и спровоцировать покупки антивирусного ПО, в то время как от этого компьютерного вируса пострадало всего около 10000 машин.
Чернобыль (CIH)
Один из самых известных вирусов, ставший самым разрушительным за все предшествующие годы. Создан в 1998 году тайваньским студентом. Инициалы этого студента стоят в названии вируса. Вирус попадал на компьютер пользователя и бездействовал там до 26 апреля. Этот компьютерный вирус уничтожал информацию на жестком диске и перезаписывал Flash BIOS. В некоторых случаях это приводило к замене микросхемы, или даже к замене материнской платы. Эпидемия вируса «Чернобыль» пришлась на 1999 год. Тогда из строя было выведено боле 300 тысяч компьютеров. Также вирус еще носил вред компьютерам по всему миру в последующие годы.
Melissa
26 марта 1999 года был выпущен первый всемирно известный почтовый червь. Червь заражал файлы MS Word и рассылал свои копии в сообщениях MS Outlook. Вирус распространялся с огромной скоростью. Сумма нанесенного ущерба оценивается более чем в $100 млн.
ILOVEYOU («Письмо счастья»)
Появился в 2000 году. На почту приходило письмо с темой «I LOVE YOU» к которому был прикреплен файл. Скачав вложение, пользователь заражал свой компьютер. Вирус отсылал невероятное количество писем с компьютера незадачливого пользователя. Также он удалял важные файлы на компьютере. По некоторым оценкам, он обошёлся пользователям ПК по всему миру больше чем в 10 млрд $. Вирусом ILOVEYOU было заражено 10% всех существовавших на тот момент компьютеров. Согласитесь, довольно шокирующие цифры.
Nimda
Название этого компьютерного вируса представляет собой слово «admin», написанное в обратном порядке. Появился этот вирус в 2001 году. Попадая на компьютер, вирус сразу назначал себе права администратора и начинал свою деструктивную деятельность. Он изменял и нарушал конструкцию сайтов, блокировал доступ на хосты, IP-адреса и т.п. Для распространения вирус использовал сразу несколько различных способов. Делал он это настолько эффективно, что уже через 22 минуты после своего запуска в сеть стал самым распространенным компьютерным вирусом в сети Интернет.
Sasser
В 2004 году этот червь наделал много шуму. Больше всего от вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании. Только в почтовой службе Германии зараженными оказались до 300 тыс. терминалов, из-за чего сотрудники не могли выдавать наличные деньги клиентам. Жертвами червя стали также компьютеры инвестиционного банка Goldman Sachs, Еврокомиссии, 19 региональных офисов управления береговой охраны Британии. В одном из терминалов лондонского аэропорта Hithrow у авиакомпании British Airways отказала половина всех компьютеров на стойках регистрации пассажиров, а в американском городе Новый Орлеан до 500 больниц были закрыты в течение нескольких часов. Пострадали также социальные и здравоохранительные учреждения в Вашингтоне.
Чтобы заразиться этим червем, достаточно было просто подключить свой компьютер к Интернету и подождать несколько минут. Червь проникал на компьютер, сканировал Интернет для поиска других компьютеров с незакрытой дырой и рассылал им вирус. Особого вреда вирус не причинял - он просто перезагружал компьютер. К поиску червя подключилось специальное кибберагенство ФБР. Главная жертва корпорация Microsoft назначила цену 250.000$ за злоумышленника.И им оказался ... ученик средней школы Свен Яшан из немецкого города Роттенбурга. Как полагают некоторые обозреватели, подросток создал Sasser не только для того, чтобы прославиться, но и из сыновней любви - чтобы поправить дела небольшой компании PC-Help по обслуживанию ПК, принадлежащей его матери.
My Doom
Этот червь был запущен в январе 2004 года. На тот момент он становится самым быстрым червем, который распространяется по электронной почте. Каждый последующий зараженный компьютер отправлял спама больше чем предыдущий. Кроме этого, он изменял операционную систему, блокируя доступ к сайтам антивирусных компаний, сайту Microsoft, новостным лентам. Этим вирусом была даже предпринята попытка DDOS-атаки на сайт Microsoft. Одновременно все множество зараженных компьютеров обрушило огромное количество запросов с разных концов света на сайт Microsoft. Сервер направляет все свои ресурсы на обработку этих запросов и становится практически недоступным для обычных пользователей. Пользователи компьютеров, с которых идет атака, могут даже и не подозревать о том, что их машина используется хакерами.
Conficker
Впервые появился в сети в 2008 году. Один из опаснейших на сегодняшний день компьютерных червей. Этот вирус атакует операционные системы семейства Microsoft Windows. Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. На январь 2009 года вирус поразил 12 миллионов компьютеров во всем мире. Вирус нанес такой вред, что компания Microsoft обещала 250 000 долларов за информацию о создателях вируса.
Этот список, как вы сами понимаете, не закончен. Каждый день выходят “новые” вирусы, и нет гарантии что следующий из них не вызовет очередную эпидемию.
Но все новое это позабытое старое . В принципе «новых вирусов» очень мало. Взял старый вирус, модифицировал, кое где поправил код и вот вам и новая угроза. Нет больше таких мастеров как Black Awanger а если есть то затаились или больше не занимается вируса писанием . Как долго проживает вирус? Очень недолго, до занесении его сигнатуры в базу данных антивирусного софта . Если создатель модифицирует его (обновит) то может прожить сравнительно долго.
Дайте мне Вирус и я разрушу мир.

Компьютерный вирус - это небольшая программа, написанная программистом
высокой Квалификации так утверждает wiki и мудреца обитающие ИТ сайты. (Спорное утверждение, автор статьи лично знаком с людьми которые написали вирус при помощи вирмейкера и не знакомы с программированием) способная к саморазмножению и выполнению разных деструктивных действий.
Тут надо остановится для некоторых уточнении. Как и все в этом мире имеет свою цену так и софт для создания вирусов имеет свою цену. Тут главный вопрос сколько вы готовы заплатить. Я с этим не думаю разный демо софт который можно скачать в интернет и как правило заряжен с троянцами. Я подразумеваю полноценный конструктор для создания определенного типа вирусов. Стоит такая программа от 500 до 1000 баксов и регулярно получает обновления. Кто же создает подобный софт? Вот тут то и работает программисты высокой квалификации. Можно заказать все. Надо зафлудить сервер? нет проблем, взломать почту? Минуточку. Создать свой ботнет? Пожалуйста. Залезть в чужой компьютер? Мигом. Только заплати соответственно. Кому нужны подобные программы? Хакеру? Глубоко сомневаюсь, хакер если ему надо напишет программу сам и возможно и лучше. Основные потребители как ни странно это бизнес компании, маркетологи этих компании, те кому под зарез нужны данные для рассылки спама(рекламы). А краденные базы данных ценится очень высоко. К стати а вы не хотите арендовать ботнет чтоб на пару суток уложить сервер конкурента или взломать пароли(мощность ботнета превосходит любой суперкомпьютер)? Без проблем но приготовьте примерно 6000 или больше баксов. И будет вам консоль управления и регулярные обновы плагинов и если потребуется и негр лакей, который будет придержать хвост (если такой имеется) чтоб не занесло на поворотах. А что если все вирусописатели исправились, и в сеть не появляется новые зверки. Какой кошмарный сон. Нет вирусов? Срочно нужно создать, ибо наша компания на дне, и вы все уволены господа. И придумает. Возьмет простой безвредный joke и при помощи рекламы (страшилки) из него сделает якобы страшнейший «вирус,» из которого вас спасти может только антивирус данной фирмы. Подобное уже было и история повторяется. Это мое личное мнение и я не претендую на роль оракула или Господа Бога и никаким способом не хочу его навязывать другим. Но оставим все домысли, догадки, размышлении и движемся дальше, нам еще впереди долгий путь не в Дюнах, а в понимании маленького кусочка программного кода, который создает так много хлопот, бед и портит наше настроенные. К зомбосетям я причисляю и телевидение(зомбоящик особо опасен для ума несозревшего человека и позволяет внушить все что угодно).А это уже социальная инженерия только в массовых размерах и с одобрением властей. Однако нам наплевать(мнение автора).

Несколько способов как вирус проникает на ваш компьютер.
Если учесть все способы заражения, то вся статья было бы один большой список. Потому выделил наибольше распространенные варианты.
Способ 1.
Вместе с какой-либо программой. Часто это просто «воздух», но очень привлекательные по описанию: интим-сканер (якобы от компании Adobe), программа для бесплатного поднятия рейтинга в контакте либо получение голосов, так же вирусы часто встречаются в различных пиратских копиях программ и кряков к ним. Задача создателя вируса в том, чтобы заставить потенциальную жертву запустить программу. Вирус может содержатся даже в картинке!

Способ 2.
Заражение через сайт. Злоумышленник размещает на сайте javascript (или другой скрипт), который сохраняет тело вируса на компьютере жертвы. В javascript можно использовать методы создания файлов через ActiveX (сам Windows Script не может производить операции над файлами, но может создавать события ActiveX) либо через Cash и Cookies. Затем вредоносный скрипт запускается на компьютере жертвы, и делает свое коварное дело. Обычно это кража личных данных, Cookies и файлов *.pwl (в которых хранятся сохраненные через менеджер паролей в браузерах пароли жертвы), иногда воруются файлы мессенджеров, чтобы в дальнейшем расшифровать из них логин и пароль жертвы.

Способ 3.
Вирус присылает один из знакомых, под каким угодно предлогом, например та де программа для бесплатного получения голосов в контакте. Ведь друзьям доверяют, чем обычно и пользуются злоумышленники. И, почти всегда, отправляет файл не сам друг, а злоумышленник, который взломал его аккаунт. Есть несколько популярных способов взлома аккаунтов, но я не буду их перечислять.

Способ 4.
Обман. Самый частый обман встречается на порно сайтах, где якобы можно смотреть порно online, но при нажатии на воспроизведение выводится сообщение о том, что якобы надо установить Flash Player последней модели, либо специальную программу. После ее установки вылезает баннер, требующий отправить смс, но об этом тоже подробно говорится в другой моей статье. Так же обман может быть и в другой форме: например вирус под видом какой-либо известной программы, например Adobe Photoshop. Очень часто в последнее время стали встречаться программы, которые замаскированы под архив WinRar, ведь самое главное чтобы жертва запустила программу.

Способ 5.
Вирус уже идет в комплекте с вашей (пиратской) копией (сборкой, либо редактированный дистрибутив) Windows. Обычно это программы-шпионы, которые воруют все ваши пароли и знают о каждом вашем действии. Это нужно хакерам для того, чтобы получать новые аккаунты для распространения спама, ведь если вирус вшит в копию Windows, то ее скачают много человек.

Способ 6.
Самый редко встречающийся способ. Это прямой взлом хакером компьютера жертвы. Не буду описывать все подробно, т.к. существует много разных способов взлома. В этом случае хакер может сделать все, что пожелает, если жертва не примет никаких мер по защите своего компьютера, что очень вероятно, т.к. она скорее всего даже не узнает о взломе. Существует программы типа Black Energy2 (Backdoor.Win32.Blakken) и другие которые превращает ваш компьютер в участника сетевых атак и вы даже этого не замечайте как ваш компьютер вместе с другим компьютерами выполняет DDoS атаку на чей то сервер.
Ни для кого не секрет, что антивирусная индустрия – это закрытый "клуб", владеющий информацией, предназначенной только для "своих". Отчасти так делается по соображениям безопасности, отчасти – тлетворное веяние конкуренции дает о себе знать.(Kriss Kaspersky)

Пример вредоносного кода на VBS.
Для начала,нужно уметь изменять расширение файла, с этого и начнём.
Существует много способов, но для примера возьмем этот:
У каждого должен быть обычный архиватор,вот им мы и воспользуемся.
И так,создайте к примеру текстовый фаил под названием "Текстовый документ".
Теперь найдите этот текстовик через свой архиватор. В архиваторе,
вы должны увидеть следующее: "Текстовый документ.txt".
Окончание "txt" - имя расширения файла, вот его и нужно изменить, точно так же, словно, редактируете имя папки или файла, стираете строчку "txt" и ставите скажем "mp3".
В результате мы получаем "Текстовый документ.mp3" формата.
Если всё понятно, а вопросов возникнуть по этому поводу недолжно, то пойдём дальше.
Создайте текстовый документ,содержащий следующее:
on error resume next
Set S = CreateObject("Wscript.Shell")
set FSO=createobject("scripting.filesystemobject")
s.run"rundll32 user32, SwapMouseButton"

Затем, сохранив полученные данные, вам нужно изменить расширение файла, и вместо "txt" прописать "vbs".

Аббревиатура "vbs", происходит от названия языка программирования - "visual basic script".

Вот у нас и готова первая, простая, вредоносная программка, меняющая местами кнопки мыши.

Теперь нужно её скомпилировать в "exe" формат с помощью программы: "Vbs2Exe",
и установить любой значок с помощью грабера иконок: "IconToy".

Так же возможно сочетать, те или иные вредоносные команды.

Зоопарк в моем HDD.

Вот так примерно выглядит вредоносный код, написанный на VBS. Он без защити и обнаруживается любым антивирусом. Если набрать код в блокнот, то ваш антивирус не даст его сохранить под любым расширением и переместит вредоносную часть кода в карантин или удалит.

Действие вируса
Вирусы действуют только программным путем. Они, как правило, присоединяются к файлу или проникают в тело файла. В этом случае говорят, что файл заражен вирусом. Вирус попадает в компьютер только вместе с зараженным файлом. Для активизации вируса нужно загрузить зараженный файл, и только после этого, вирус начинает действовать самостоятельно.
Некоторые вирусы во время запуска зараженного файла становятся резидентными (постоянно находятся в оперативной памяти компьютера) и могут заражать другие загружаемые файлы и программы. Другая разновидность вирусов сразу после активизации может быть причиной серьезных повреждений, например, форматировать жесткий диск. Действие вирусов может проявляться по разному: от разных визуальных эффектов, мешающих работать, до полной потери информации. Большинство вирусов заражают исполнительные программы, то есть файлы с расширением .EXE и .COM, хотя в последнее время большую популярность приобретают вирусы, распространяемые через систему электронной почты.
Следует заметить, что компьютерные вирусы способны заражать лишь компьютеры. Поэтому абсолютно абсурдными являются разные утверждения о влиянии компьютерных вирусов на пользователей компьютеров(из сайта по ИТ).Смешное утверждение, вирус портит не только программное обеспечение и ОС но и наши нервы, а если добавить элементы социальной инженерии тогда это уже не смешно, в интернет есть статьи как при помощи вируса в комбинации с социальной инженерии довели человека до самоубийство ).

Сами вирусы в узком смысле этого слова ранее были наиболее массовым типом вредоносных программ. Наиболее распространённые из них нынче: Win.CIH, Win32.Funlove, Win32.Elkern. Но сейчас они потеряли былую "популярность". Связано это, прежде всего с тем, что переносятся такие вирусы с компьютера на компьютер через исполняемые файлы. Нынче же пользователи всё реже и реже переписывают друг у друга программы. Чаще меняются компакт дисками или ссылками всё в той же глобальной сети. Хотя естественно полностью этот класс вредоносных программ не вымер, и время от времени мы слышим о заражении компьютеров всё тем же "Чернобылем" (WinCIH) или ещё чем-то до боли знакомым.

Кроме того существует огромное наследие: десятки тысяч вирусов, написанных для операционной системы MS DOS. Большинство этих вирусов не могут существовать в современных версиях Windows, и тем не менее остаётся угроза, что кто то случайно или намеренно активизирует на компьютере вирус, нанеся тем самым непоправимый вред. Любой из вирусов можно модифицировать и подогнать для современной ОС. А спрятать от антивируса можно немного изменив код вируса, или запаковать упаковщиком которого не знает антивирус. Не буду оригинальным если скажу что так и делается с большинством старых хорошо знакомых вирусов. Есть места где можно скачать архивы исходников вирусов, почтовых червей, троянов. Все что требуется для вирусописателя, это не много доработать зверка чтоб сигнатуры небыли известны антивирусным программам. Если знаешь как работает антивирус а работает он следующим образом: сравняет сигнатуру, CRC сумму или какие то еще специфичные признаки присущие данному вирусу. Если такой информации в базе данных у антивируса нет то он сообщает что файл чист. Правда есть еще и эвристика, но она больше ищет код написанный на АСМ.
Internet-черви
Самым распространённым типом вирусов в последние два года являются Интернет черви. Именно они представляют главную угрозу для всех пользователей глобальной сети. Почти все Интернет черви - это почтовые черви, и лишь малая доля - это непочтовые черви, применяющие уязвимости программного обеспечения (как правило, серверного). Примеры непочтовых Internet-червей: IIS-Worm.CodeRed, IIS-Worm.CodeBlue, Worm.SQL.Helkern.

Почтовые черви можно делить на подклассы по-разному, но для конечного пользователя они делятся на два основных класса:

Черви, которые запускаются сами (без ведома пользователя);
Черви, которые активизируются, только если пользователь сохранит присоединённый к письму файл и запустит его.

К первому типу относятся черви, которые используют уязвимости (ошибки) почтовых клиентов. Чаще всего такие ошибки находятся в почтовом клиенте Outlook, а вернее даже не в нём, а в Интернет браузере Internet Explorer. Дело в том, что MS Outlook создаёт письмо в виде HTML страницы и при отображении этих страниц он использует функции браузера Internet Explorer.

Наиболее распространённая уязвимость, применяемая червями, ошибка IFRAME. Применяя соответствующий код, вирус имеет возможность при просмотре письма автоматически сохранить присоединённый к письму файл на диск и запустить его. Самое обидное то, что данная уязвимость обнаружена более двух лет назад. Компанией Microsoft выпущены заплатки для всех версий браузера Internet Explorer, исправляющие эту ошибку. И, тем не менее, черви, применяющие данную уязвимость, по-прежнему являются наиболее распространёнными (I-Worm.Klez, I-Worm.Avron, I-Worm.Frethem, I-Worm.Aliz).

Почтовые черви второго типа рассчитаны на то, что пользователь, по каким то соображениям сам запустит программу, присоединённую к письму. Для того чтобы подтолкнуть пользователя к запуску инфицированного файла авторами червей применяются различные психологические ходы. Самый распространённый приём - выдать зараженный файл, за какой то важный документ, картинку или полезную программку (I-Worm.LovGate создаёт ответы на письма, содержащиеся в почтовой базе; I-Worm.Ganda маскируется под информацию о боевых действиях в Ираке). Практически всегда червями применяются "двойные расширения". В этом случае присоединённый файл имеет имя вроде: "Doc1.doc.pif", "pict.jpg.com". Данный принцип рассчитан на то, что почтовые клиенты не отображают полное имя файла (если оно слишком длинное), и пользователь не увидит второго расширения, которое и является "реальным". То есть пользователь думает, что файл является документом или картинкой, а тот на самом деле является исполняемым файлом с расширением вроде: EXE, COM, PIF, SCR, BAT, CMD и т.п. Если такой файл "открыть", то тело червя активизируется.

Кроме основной функции, размножения, черви почти всегда несут в себе и боевую нагрузку. Действительно, зачем писать червя и выпускать его "в свет", предварительно не заложив бомбу. Вложенные функции чрезвычайно разнообразны. Так, например, очень часто почтовые черви призваны для того, чтобы установить на зараженный компьютер троянскую программу или утилиту скрытого администрирования и сообщить адрес компьютера творцу червя. Не редко просто уничтожают информацию или просто делают невозможной дальнейшую работу на компьютере. Так червь I-Worm.Magistr выполнял те же действия, что и печально-известный WinCIH - стирал содержимое FLASH BIOS и затирал мусорными данными информацию на жёстком диске.
Макро-вирусы
Вторыми по распространённости в диком виде являются макро-вирусы. Данные вирусы являются макросами, хранящимися во внешних файлах программного обеспечения (документах Microsoft Office, Autocad, CorelDRAW и пр.) и при открытии документа исполняются внутренними интерпретаторами данных программ. Широкое распространение они получили благодаря огромным возможностям интерпретатора языка Visual Basic, интегрированного в Microsoft Office.

Логические (временные) бомбы - программы, различными методами удаляющие/модифицирующие информацию в определённое время, либо по какому то условию.
Шпионы - собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие её определённым образом, а не редко и отправляющие собранные данные по электронной почте или другим методом.
BackDoor программы - удалённое управление компьютером или получение команд от злоумышленника (через локальную/глобальную сеть, по электронной почте, в файлах, от других приложений, например тех же червей или вирусов).
Мы живем в суровом мире. Программное обеспечение, окружающее нас, содержит дыры, многие из которых размерами со слона. в дыры лезут хакеры, вирусы и черви, совершающие набеги изо всех концов сети. Подавляющее большинство удаленных атак осуществляется путем переполнения буфера (buffer overfull/overrun/overflow), частным случаем которого является переполнение (срыв) стека. Тот, кто владеет техникой переполнения буферов, управляет миром! Откройте двери в удивительный мир, расположенный за фасадом высокоуровневого программирования, где вращаются те шестеренки, что приводят в движение все остальное.
Зоопарк в моем HDD.
Вирус вымогатель
ransomware — программа-вымогатель. В качестве классического образца ransomware можно привести GPCode. Эта вредоносная программа шифрует файлы пользователя случайным сеансовым ключом, который сохраняет в зашифрованном при помощи открытого ключа (находится в GPCode) виде. Исходные данные, естественно, стираются. Для выполнения обратной операции необходимо перечислить определенную денежную сумму по реквизитам, оставленным злоумышленником и переслать ему этот зашифрованный сеансовый ключ. Он расшифровывается при помощи закрытого ключа (находится у злоумышленника) и отправляется обратно пользователю, после чего файлы будут успешно расшифрованы. Единственная надежная защита от воздействия подобных программ — резервное копирование.
Обитает обычно на порно сайты . В виде как обновления для флешь плейера. Вам предложит примерно такой текст: Ваш флешь плейер устарел. Чтобы посмотреть видео обновите ваш флешь плейер. И кнопочка рядом для обновления. Нажмите и вы счастливый владелец вымогателя. Существует два типа вымогателя. Первый не так страшен он не закрывает вес экран. И бороться с ним гораздо легче. Второй закрывает весь экран и не дает вам ни малейшего шанса убить его. И все же есть лазейки как побороть эго и разблокировать компьютер. А если человек с компьютером на Вы тогда прямая дорога в сайт Касперского. Там есть коды разблокировки. Потом полная проверка компьютера с утилитой DrWeb. А может бить, проще не нажимать упомянутую кнопку и обновление делать только с сайта Adobe.com? И деньги мошенникам отправлять не надо ни в коем случае. Будьте разумны и поймите что их аппетит не утомительный и если честно нет никакой гарантии что ответный код сработает и вредоносная программа удалится. Вам повезет, если вам вообще ответит. Их главная цель в основном мало информированные новички. И попадаются же не мало. Интересно только одно что об этом думает сетевые операторы, которые прекрасно знает суть проблемы, но ничего, ни делает, чтоб перекрыть кислород мошенникам. Тем больше, что выследить короткий номер им не составляет ни малейшего труда. Да и деньги со счетов снимает не призраки, а реальные люди.
Вирусы, живущие на флешки
Достаточно часто приходится слышать о вирусах распространяющихся преимущественно через съёмные usb-drive или попросту говоря через флешки.
Хотел бы отметить, что процент встречаемости данной заразы составляет чуть ли не 80% (и продолжает расти) от всех случаев обращения за помощью. Подобный бурный рост, скорее всего можно объяснить широким распространением флеш-накопителей среди населения.
Итак, на самом деле, механизм инфекции не отличается особой изощрённостью, за некоторыми исключениями, разумеется.
Заражение чаще всего происходит в момент попытки посмотреть содержимое флешки (это может быть двойной щелчок мышью или нажатие на выделенный значок диска клавишей ввод). При открытии диска должен сработать «авторан» или автозапуск содержимого.
ВНИМАНИЕ! Для того, чтобы авторан-вирус заразил вашу систему в некоторых случаях достаточно просто того, чтобы флешка была вставлена в USB.
Суть автозапуска заключается в следующем. В корне инфицированного флеш-диска можно найти файл autorun.inf содержимое которого (а это простой текстовый файл) указывает путь к исполняемому файлу (файл может иметь и .com расширение). Как правило, исполняемый файл — а это и есть наш вирус, располагается также в корне флеш-диска либо в папке, которая имеет атрибуты «скрытый». Файл autorun.inf и исполняемый файл имеют, как правило, атрибуты «системный», «только чтение» и «скрытый».

Методы борьбы с подобными угрозами как Worm.Win32.Autorun и их недостатки:

1. Отключение автозапуска со съемных носителей. Не всегда приемлемо для обычного пользователя, поскольку заметно снижает удобство использования оболочки Windows.
2. Отключение пакетной обработки команд. Не является универсальным решением, т.к. существует возможность создания усовершенствованного вредоносного сценария, не использующего промежуточные пакетные файлы как таковые и располагающего основную нагрузку либо в своем теле с непосредственным запуском, либо в реестре в параметрах перехвата управления от оболочки.
3. Запрет пользовательского доступа к командному интерпретатору в целом. Достаточно эффективное решение в случае отсутствия необходимости использования командного интерпретатора на конечной системе, хотя и не подходит как массовое. Однако при использовании внешних файлов сценариев либо системных утилит вроде reg (недоступна в Windows XP Home Edition) или cacls все эти ограничения могут быть сняты непосредственно из autorun.inf без вызова командного процессора.
4. Отказ от использования встроенных средств переноса файлов на съемные носители. Часто, но не всегда приемлемо для конечного пользователя.
5. Настройка групповой политики для разрешения подключения съемных носителей с уникальными идентификаторами устройства, входящими в список разрешенных в рамках данной политики (только для Windows Vista и выше).
Из всех перечисленных выше методов наиболее простым и эффективным способом является отключение автозапуска внешних носителей. В Windows XP Professional, 2003, Vista, 2008 Server необходимо запустить оснастку для редактирования групповой политики gpedit.msc. После чего выбрать: «Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск (выберите, где отключать)». Далее примените новую политику командой ‘gp’ в консоли.
В Windows XP Home оснастка управления групповыми политиками отсутствует, однако тот же эффект может быть достигнут ручной правкой реестра:
1. Пуск - Выполнить – ввод ‘regedit’ – OK.
2. Открыть HKLMSOFTWAREMicrоsoftWindowsCurrentVersionPolicies.
3. Создать новый раздел
4. Переименовать созданный раздел в Explorer
5. В этом разделе создать ключ NoDriveTypeAutoRun.
Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.
Значения могут комбинироваться суммированием их числовых значений. Еще одним (более удобным) вариантом отключения автозапуска является создание текстового файла с расширением «*.reg» со следующим содержимым и внесением в реестр информации, которая в нем содержится:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdrom]
«AutoRun»=dword:00000000 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Micrоsoft\\Windows\\CurrentVersion\\policies\\Explorer\\]
«NoDriveTypeAutoRun»=dword:000000b5
«NoDriveAutoRun»=dword:3fffffff
[HKEY_CURRENT_USER\\Software\\Micrоsoft\\Windows\\CurrentVersion\\Policies\\Explorer]
«NoDriveTypeAutoRun»=dword:000000b5
«NoDriveAutoRun»=dword:3fffffff
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoplayHandlers\\CancelAutoplay\\Files]
«*.*»=«»
Также необходимо учесть тот факт, что в случае, если съемное устройство уже подключалось к системе при включенном автозапуске, то его идентификатор был добавлен в ключ реестра:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerMountPoints2]
И при следующем автозапуске, несмотря на отключенный автозапуск, данное устройство будет запущено, как и прежде для того чтобы этого не произошло необходимо удалить указанный выше ключ для профилей всех пользователей. При следующем старте системы ключ будет создан заново, но уже не будет содержать прежней информации автозапуска.
Что находится внутри вируса?
Какие шестеренки приводят его в движение?
Как происходит внедрение чужеродного кода в исполняемый файл и по каким признакам его можно распознать?
Насколько надежны антивирусы и можно ли их обхитрить? Как хакеры ломают программы и чем их остановить?
…знайте: когда вы читаете эти строки, какой-то парень на планете отлаживает очередной вирус, который не сегодня–завтра нанесет удар и одной из жертв вирусного террора окажетесь вы.
не пытайтесь отмахнуться от проблемы и не надейтесь, что на этот раз вас "пронесет"!
вирусные атаки стали слишком интенсивными и никто не может чувствовать себя в безопасности. использование антивирусов ничего не решает
– если вы администрируете локальную сеть крупной организации, персонально для вас может быть написан специальный вирус (троянская программа, шпион)-
проходящий сквозь антивирусные заслоны, как нож сквозь масло.
причем, если до недавнего времени вирусы были нетехнической проблемой "грязных рук", которая решалась элементарным выламыванием дисководов и раздачей по ушам всем любителей левого "софта",-
то основная масса современных вирусов проникает в целевые компьютеры самостоятельно, не требует никаких действий со стороны пользователя.
Кто распространяет вирусы?
Это, как показывает практика, психически неуравновешенные молодые люди (студенты, школьники) с недоразвитой степенью моральной ответственности.
Переходной возраст, юношеский максимализм, когда кажется, что весь мир твой и ты его хозяин на правах сильного, попытки самоутвердиться, заявить о себе окружающим…
Или просто шалость, недопонимание всей тяжести такого поступка.
Наконец, личная месть конкретному лицу и со всей, прилегающей к нему частью человечества.
Словом, мотивов выпустить написанный вирус в свет – предостаточно.
Будучи же выпущенным на просторы Интернет, вирус, уже не подконтрольный своему создателю, начинает жить своей жизнью и удалить его, поверьте, очень и очень трудно…
Многие вирусописатели объединяются в клубы, однако, обстановка внутри них чаще всего далека от идеала. Основной контингент составляют вольнотуссующиеся пионеры, которые пьют пиво, пишут простейших троянов на Бейсике, в общем, позорят хакерское племя по полной программе. Такая вот коммутация. Практически все нашумевшие вирусы были созданы либо в одиночку, либо тесным коллективом давно сработавшихся друзей. Опять-таки конспирация. Создание вирусов — незаконная деятельность, своеобразный вызов общественному строю, бунт против капиталистов . Записки из подполья короче. А в каждом подполье есть свой провокатор. Специфика компьютерных преступлений в том, что их очень трудно доказать. Простейшие меры безопасности, вроде хранения всех компрометирующих данных на зашифрованном "свистке" (брелке флш-памяти), загоняют следствие в глухой тупик, особенно, если вирус был отправлен по GPRS из соседнего микрорайона по купленному с рук сотовому телефону, безжалостно утопленному в реке после завершения операции.
Всякий страх зиждется на незнании.
После изобретения громоотвода, молнии по прежнему продолжают убивать людей, однако, сейчас их (молний) уже не так боятся и, оказались застигнутыми молнией один на один, всякий грамотный человек знает как свести риск поражения к минимуму.
Напротив, поддавшись панике и действуя наобум, вы идете прямой дорогой на кладбище.
И плачевные результаты попыток противостояния вирусным атакам – лучшее тому подтверждение.
Лихорадочные переустановки операционной системы, попеременно чередующиеся с форматированием винчестера и отрубанием себя от сети – ничуть не эффективнее омовения сервера святой водой или накачиванием его антибиотиками.
Использование антивирусов также не решает проблемы.
Чтобы там ни говорила реклама, а качество антивирусных программ все еще оставляет желать лучшего.
Зачастую вирусы не распознаются совсем или распознаются, но не удаляются.
Мягкая переустановка системы (т. е. переустановка "поверх" ранее установленной версии) не гарантирует удаления заразы и многие зловредные программы ее вполне благополучно переживают!
Форматирование диска – вообще безумный способ лечения, сродни сжиганию больных на костре – жестокий и крайне неэффективный.
До тех пор, пока не будут перекрыты все каналы проникновения вируса в систему, повторные заражения будут происходить вновь и вновь!
Основной недостаток подавляющего большинства антивирусов как раз и состоит в том, что удаляя вирус из системы, они даже и не пытаются заткнуть те дыры, которые вирус использует для своего распространения.
Как следствие, "лечение" компьютера, подключенного к сети, превращается в перегон тараканов из одной казармы в другую, а затем обратно.
Ладно, заражение локальной сети это еще полбеды ("останавливаем" сеть, лечим все машины, "запускаем" сеть), но вот заражение Интернет представляет собой весьма нетривиальную проблему.
Вылечить все машины глобальной сети за раз просто нереально…
Можно (и нужно!) установить очередное обновление от Microsoft, заткнув брешь в системе безопасности, но… кто даст голову на отсечение, что этот способ действительно сработает?
Ряд обнаруженных дыр парням из Microsoft удалось заткнуть лишь со во второго-третьего раза, а некоторые дыры остаются не заткнутыми и до сих пор (или заплатки были выпущены не для всех ОС).
Причем, наблюдается ярко выраженная тенденция в ухудшении поддержки.
В идеале – каждый из нас должен быть готов к самостоятельному отражению вирусной атаки, не надеясь на помощь извне.
Что же касается червей, то антивирусы не могут с ними справиться в принципе.
Обнаружить и удалить данный конкретный экземпляр червя – не проблема, но червь будет приходить из сети вновь и вновь, каждый раз отстраивая свое, разрушенное антивирусом, логово заново.
Так будет продолжается до тех пор, пока пользователь не установит заплатку и не заткнет дыру, через которую распространяется червь, или не оградит себя со всех сторон брандмауэром (впрочем, хитрый червь сумеет просочиться и через брандмауэр).
Нашествие "Чиха" заставило производителей материнских плат пересмотреть концепцию безопасности и оснастить выпускаемую ими продукцию хоть какими-то средствами защиты.
Первыми на рынке появились материнские платы с перемычкой "FLASH write protect", защищающей содержимое BIOS от уничтожения и/или перезаписи.
Несмотря на то, что данное средство на 100% надежно, далеко не на всех материнских платах защита по умолчанию включена.
К тому же открывать компьютер всякий раз, когда у вас возникает желание перешить BIOS, удовольствие отнюдь не из приятных.
А пользователь по определению создание небрежное и беспечное, – перезаписать BIOS он перезапишет, а вот вернуть перемычку на место – забудет…
Более совершенная защита типа "boot-BLOCK", поддерживающая прошивку с дискеты даже при запоротом FLASH-BIOS.
Вставляете в дисковод диск с прошивкой и… Стоп! А есть ли у вас такай диск? Если нет, – прямо сейчас и создайте, причем не в единственном экземпляре, – дискам, как известно, при хранении свойственно "сыпаться".
(Подробнее о технике создания прошивочных дискет/дисков читайте в руководстве на свою материнскую плату).
Еще надежнее технология "dual-BIOS", сводящаяся в общем случае к установке двух BIOS на компьютер: одно – основное, перепрограммируемое, другое – не перепрограммируемое, резервное.
В случае уничтожения содержимого основного BIOS, материнская плата автоматически переключается на резервное, позволяя тем самым восстановить оригинальную прошивку основного.
Мой вам совет – при покупке компьютера выбирайте только те модели, которые поддерживают технологию dual-BIOS, ну или хотя бы boot-BLOCK наконец!
Материнские платы без какой либо защиты вообще (а такие все еще встречаются) лучше сразу отправить на свалку.
Несколько легче избежать "поджаривания" своего компьютера путем перепрограммирования стабилизатора питания.
Многие материнские платы позволяют программно изменять напряжения питания процессора и оперативной памяти, что высоко цениться у любителей экстремального "разгона".
При хорошем охлаждении умеренное увеличение питающего напряжения процессору практически никак не вредит (но срок службы все-таки сокращает), однако, если задрать питание до максимума процессор в считанные минуты может скинуть кони (особенно, если он установлен на штатном радиаторе).
Отсюда и совет: всегда устанавливайте радиатор с запасом или не приобретайте плат с подобными возможностями.
С жесткими дисками ситуация еще хуже.
Практически все они поддерживают программное включение/выключение питания, и приблизительно половина из них обнаруживает одну очень неприятную особенность:
если циклически "щелкать" выключаем питания, подгоняя момент включения так, чтобы он пришелся еще на не полностью остановившиеся "блинчики", винчестер уже на сотой итерации в буквальном смысле слова рассыпается по запчастям!
Многие жесткие диски допускают возможность перепрошивки или редактирования служебных таблиц, искажение которых может привести к тому, что контроллер винчестера наотрез откажется запускаться!
Подавляющее большинство моделей оптические накопителей так же подвержены угрозе затирания прошивки, команды записи которой, кстати говоря, стандартизованы, а не варьируются от одного производителя к другому, как это происходит со всеми вышеперечисленными устройствам.
Проектирование троянской компоненты вируса при этом существенно упрощается, а масштабы поражения многократно возрастают.
Записывающие накопители (они же "писцы" или "резцы") в большинстве своем закладываются на импульсную работу лазера, выжигающего последовательность точек ("питов"), разделенных одним или несколькими лендмами.
Зная принцип кодирования данных, можно подготовить последовательность, практически начисто лишенную лендов и состоящую преимущественно из длинных "питовых" цепочек.
Существует далеко ненулевая вероятность, что при записи такого образа лазер перегреется и, либо сгорит, либо (в лучшем случае) существенно ухудшит свои эксплутационных характеристики.
Кстати говоря, многие приводы относящийся к весьма недешевому классу "продвинутых" приводов механически выходят из строя при считывании оглавления некорректно "размеченного" диска.
Могут быть "перепрограммированы" и остальные устройства (например, модемы), разрушение прошивки которых сделает их неработоспособными, причем уничтожение модема осуществляется даже на минимальном уровне привилегий.
Короче говоря, современный компьютер со всей своей периферией представляет собой достаточно уязвимое устройство, легко выводимое из строя на программном уровне.
Отсутствие массовых "выгораний" комплектующих объясняется тем, что создатели вирусов совсем не лишены чувства сострадания и движет ими отнюдь не жажда вселенской мести и разрешений планетарного масштаба.
Если бы Love San или любой другой из расплодившихся в последнее время вирусов, хотя бы частично выводил компьютеры из строя, мы с вами сейчас грелись у костра, сидя на медвежьих шкурах, а компьютеры использовали в качестве декоративного украшения, напоминающего нам о былых временах…
Классификация компьютерных вирусов
Существуют по меньшей мере два типа компьютерных вирусов – те, что вы еще не поймали, и те, которые вам предстоит поймать.
Предложенная классификация ничем не хуже любой другой, претендующей на академическую серьезность и отточенность формулировок.
Знаете, когда этот академический презерватив натягиваешь на торчащую полуось вируса, раздается громкий хлопок и… в руках теоретика ничего не остается.
Вирусы вообще очень неохотно подчиняются попыткам их классифицировать, образуя многочисленные межвидовые гибриды и поэтому один и тот же вирус приходится относить к нескольким категориям сразу, в результате чего классификация сразу теряет стройность, привлекательность и смысл.
В настоящей статье мы будем придерживается следующей терминологии, заранее оговаривая ее условность.
К локальным вирусам автор относит все вирусоподобные программы, не способные к самостоятельному распространению и поддерживающие свою жизнедеятельность исключительно за счет активности пользователя, запускающего различные исполняемые объекты (на которых и паразитирует вирус).
Как-то: двоичные файлы, скрпиты, загрузочные сектора и т. д. Вирусы, паразитирующие на файлах, называются файлами.
Соответственно, вирусы, поражающие загрузочные секторы, называются загрузочными.
Программы, способные к самостоятельному размножению, протекающему без причастности пользователя, принято называть червями.
Подавляющее большинство червей – это сетевые вирусы, распространяющиеся сквозь дыры в программном обеспечении и полностью автоматизирующие процесс поиска и заражения жертв, не закладываясь на человеческий фактов.
Фактически, черви являются высоко автономными роботами и предъявляют к своему создателю ничуть не менее жесткие требования, чем космические станции, посылаемые на Марс.
Во всяком случае, дефекты проектирования червей наносят мировому сообществу урон вполне сопоставимый по стоимости с космическими станциями.
Вирусы, рассылающие свое тело через почтовые вложения, классифицируются автором как обыкновенные файловые вирусы, взявшие на вооружение современные коммуникационные технологии.
Это – не черви. Это – детский сад на уровне ясельной группы, когда уже умеешь вставать с горшка, но о его назначении еще не догадываешься.
Зоопарк в моем HDD.
Критическая ошибка в SVCHOST.EXE
Если, работая под Windows , вы поймаете сообщение о критической ошибке приложения в модуле SVCHOST.EXE и эта критическая ошибка с завидной регулярностью будет повторяться вновь и вновь, – не торопитесь переустанавливать систему, не сносите ваш компьютер в ремонт!
Источник ошибки сидит отнюдь не в нем, а приходит к вам по сети своим шагом и имя ему – DCOM RPC bug.
Небрежное тестирование операционной системы в купе с использованием потенциально опасных языков программирования привело к тому, что всякий нехороший человек получил возможность выполнять на вашей машине свой зловредный машинный код, управление которому передается путем нехитрого переполнения буфера.
Однако, современные хакеры в своей массе настолько тупы, что даже переполнить буфер, не уронив при этом машину, оказываются не в состоянии!
Немедленно кликните мышом по Windows Update и скачайте все критические обновления, которые вы по своей лени не скачали до сих пор!
Поймите же, наконец, что антивирусы против этой беды вам все равно не помогут, поскольку осуществляют лечение постфактум, когда зачастую лечить уже нечего…
На худой конец, закройте 135 порт – тогда вирусы и троянские кони не смогут распространяться.
Объектом вирусного поражения могут выступать исполняемые файлы (динамические библиотеки, компоненты ActiveX, плагины), драйвера, командные файлы операционной системы (bat, cmd), загрузочные сектора (MBR и BOOT), оперативная память, файлы сценариев (Visual Basic Script, Java Script), файлы документов (Microsoft Word, Microsoft Excel) и… и это далеко не все!
Фантазия создателей вирусов поистине безгранична и потому угрозы следует ожидать со всех сторон.
Поскольку, охватить все вышеперечисленные типы объектов в рамках "записок…" не представляется сколь ни будь разрешимой задачей, автор остановил свой выбор на самых интересных вирусоносителях – на исполняемых файлах.
Во-первых, вирусы, поражающие исполняемые файлы (а также троянские программы, распространяющиеся через них же), лидируют по численности среди всех остальных типов вирусов вообще.
Во-вторых, методология анализа new-exe файлов на предмет их заражения не в пример скудно освещена.
В-третьих, тема дизассемблирования достаточно интересна и сама по себе.
Для многих она служит источником творческого вдохновения да и просто хорошим средством времяпрепровождения.
Так что, не будем мешкать и совершим наш решительный марш-бросок, снося всех вирусов, встретившихся на нашем пути!
Основные признаки вирусного внедрения
Единственным гарантированным способом выяснения: относится ли данный файл к "плохим" файлом или нет – является его полное дизассемблирование.
Не скорою, дизассемблирование – крайне кропотливая работа и на глубокую реконструкцию программы размером в пять – десять мегабайт могут уйди годы, если не десятки человеко-лет!
Чудовищные трудозатраты делают такой способ анализа чрезвычайно непривлекательным и бесперспективным.
Давайте лучше отталкиваться от того, что подавляющее большинство вирусов и троянских коней имеют ряд характерных черт, своеобразных "родимых пятен", отличающих их от всякой "нормальной" программы.
Надежность таких "индикаторов" зараженности существенно ниже и определенный процент зловредных программ при этом останется незамеченным, но… как говориться, на безрыбье и слона из мухи сделаешь!
Количество всевозможных "родимых пятен", прямо или косвенно указывающих на зараженность файла, весьма велико и ниже перечислены лишь наиболее характерные из них.
Но даже они позволяют обнаружить до 4/5 всех существующих вирусов, а по некоторым оценкам и более того (по крайней мере все "лауреаты" вирусного TOP-20 – обнаруживаются).
Прочитаем потенциально небезопасных текстовых строк, к которым, в частности, относятся команды SMTP-сервера и командного интерпретатора операционной системы.
("HELO/MAIL FROM/MAIL TO/RCPT TO и DEL/COPY/RD/RMDIR соответственно), ветвей автозапуска реестра (RunServices, Run, RunOnce), агрессивные лозунги и высказывания ("легализуем марихуану", "сам дурак") и т.д.
Конечно, все это еще не свидетельство наличия вируса (троянской программы), а отсутствие компрометирующих программу текстовых строк – не гарант ее лояльности.
Но… просто поразительно какое количество современных вирусов ловится таким элементарным способом. Не иначе как снижение культуры программирования дает о себе знать!
Действительно, подавляющее большинство современных программ (и вирусов в том числе) разрабатывается на языках высокого уровня и программисты не дают себе никакого труда хоть как-то скрыть "уши", торчащие из секции данных (не знают как это сделать?).
Откомпилированная программа просто шифруется статическими упаковщиками, которые легко поддаются автоматической/полуавтоматической распаковке, выдавая исследователю исходный дамп со всеми текстовыми строками на поверхности.
Точка входа
При внедрении вируса в файл точка входа в него неизбежно изменяется.
Лишь немногие из вирусов ухитряются заразить файл, не прикасаясь к точке останова (вирус может вписать по адресу оригинальной точки останова jump на свое тело.
Слегка подправить таблицу перемещаемых элементов, вклиниться в массив RVA-адресов таблицы импорта, внедриться в незанятые области кодовой секции файла и т. д.), однако, ареал обитания таких особей ограничен поимущественно застенками лабораторий и в дикой природе они практически не встречаются.
Не тот уровень подготовки у вирусописателей, не тот…
"Нормальные" точки входа практически всегда находятся в кодовой секции исполняемого файла (".text"), точнее – в гуще библиотечных функций (Навигатор IDA PRO по умолчанию выделяет их голубим цветом), непосредственно предшествуя секции данных.
Точки входа зараженного файла, напротив, чаще всего располагается между секцией инициализированных и неинициализированных данных, практически у самого конца исполняемого файла.
Так происходит потому, что при дозаписи своего тела в конец файла, "вирусная" секция оказывается самой последней секцией инициализированных ячеек памяти, за которой простирается обширный регион неинициализированных данных, без которого не обходится ни одна программа.
Это-то вируса и демаскирует! Ни один из известных автору упаковщиков исполняемых файлов так себя не ведет и потому ненормальное расположение точки входа с высокой степенью вероятности свидетельствует о заражении файла вирусом!
перехват управления путем коррекции точки входа
Успешно внедрится в файл – это только полдела. Для поддержки своей жизнедеятельности всякий вирус должен тем или иным способом перехватить на себя нить управления. Классический способ, активно использовавшийся еще во времена MS-DOS, сводится к коррекции точки входа, – одного из полей elf/coff/a.out заголовков файлов. В elf-заголовке эту роль играет поле e_entry, в a.out – a_entry. Оба поля содержат виртуальный адрес (не смещение, отсчитываемое от начала файла) машинной инструкции, на которую должно быть передано управление.
При внедрении в файл вирус запоминает адрес оригинальной точки входа и переустанавливает ее на свое тело. Сделав все, что хотел сделать, он возвращает управление программе-носителю, используя сохраненный адрес. При всей видимой безупречности этой методики, она не лишена изъянов, обеспечивающих быстрое разоблачение вируса.
Во-первых, точка входа большинства честных файлов указывает на начало кодовой секции файла. Внедриться сюда трудно, и все существующие способы внедрения связаны с риском необратимого искажения исполняемого файла, приводящего к его полной неработоспособности. Точка входа, "вылетающая" за пределы секции .text, – явный признак вирусного заражения.
Во-вторых, анализ всякого подозрительного файла начинается в первую очередь с окрестностей точки входа (и ею же обычно и заканчивается), поэтому независимо от способа вторжения в файл вирусный код сразу же бросается в глаза.
В-третьих, точка входа – объект пристального внимания легиона дисковых ревизоров, сканеров, детекторов и всех прочих антивирусов.
Использовать точку входа для перехвата управления – слишком примитивно и, по мнению большинства создателей вирусных программ, даже позорно. Современные вирусы осваивают другие методики заражения и закладываться на анализ точки входа может только наивный (вот так и рождаются байки о неуловимых вирусах…).
перехват управления путем внедрения своего кода в окрестности точки входа
Многие вирусы никак не изменяют точку входа, но внедряют по данному адресу команду перехода на свое тело, предварительно сохранив его оригинальное содержимое. Несмотря на кажущуюся элегантность этого алгоритма, он довольно капризен в работе и сложен в реализации. Начнем с того, что для сохранения оригинальной машинной инструкции, расположенной в точке входа, вирус должен определить ее длину, но без встроенного дизассемблера это сделать невозможно.
Большинство вирусов ограничивается тем, что сохраняет первые 16-байт (максимально возможная длина машинной команды на платформе Intel), а затем восстанавливает их обратно, так или иначе обходя запрет на модификацию кодового сегмента. Кто-то снабжает кодовый сегмент атрибутом write, делая его доступным для записи (если не трогать атрибуты секций, то кодовый сегмент все равно будет можно модифицировать, но IDA PRO об этом не расскажет, т. к. с атрибутами сегментов она работать не умеет), кто-то использует функцию mprotect для изменения атрибутов страниц на лету. И тот, и другой способы слишком заметны, а инструкция перехода на тело вируса замета без очереди!
Более совершенные вирусы сканируют стартовую процедуру заражаемого файла в поисках инструкций call или jmp. А найдя таковую – подменяют вызываемый адрес на адрес своего тела. Несмотря на кажущуюся неуловимость, обнаружить такой способ перехвата управления очень легко. Первое и главное, – вирус, в отличие от легально вызываемых функций, никак не использует переданные ему в стеке аргументы. Он не имеет никаких понятий об их числе и наличии (машинный анализ количества переданных аргументов немыслим без интеграции в вирус полноценного дизассемблера, оснащенного мощным интеллектуальным анализатором). Вирус тщательно сохраняет все изменяемые регистры, опасаясь, что функции могут использовать регистровую передачу аргументов с неизвестным ему соглашением. Самое главное – при передаче управления оригинальной функции вирус должен либо удалить с верхушки стека адрес возврата (в противном случае их там окажется два), либо вызывать оригинальную функцию не командной call, но командой jmp. Для "честных" программ, написанных на языках высокого уровня, и то, и другое крайне нетипично, благодаря чему вирус оказывается немедленно разоблачен.
Вирусы, перехватывающие управление в произвольной точке программы (зачастую чрезвычайно удаленной от точки входа), выявить намного труднее, поскольку приходится анализировать довольно большие, причем заранее неопределенные объемы кода. Впрочем, с удалением от точки входа стремительно возрастает риск, что данная ветка программы никогда не получит управление, поэтому все известные мне вирусы не выходят за границы первого встретившегося им ret.
Большинство вирусов использует довольно специфический набор машинных команд и структур данных, практически никогда не встречающихся в "нормальных" приложениях. Конечно, разработчик вируса при желании может все это скрыть и распознать зараженный код тогда не удастся. Но это в теории. На практике же вирусы обычно оказываются настолько тупы, что обнаруживаются за считанные доли секунды.
Ведь чтобы заразить жертву, вирус прежде должен ее найти, отобрав среди всех кандидатов только файлы "своего" типа. Для определенности возьмем elf. Тогда вирус будет вынужден считать его заголовок и сравнить четыре первых байта со строкой "⌂FELF", которой соответствует ASCII-последовательность 7F 45 4C 46. Конечно, если тело вируса зашифровано, вирус использует хеш-сравнение или же другие хитрые приемы программирования, строки "ELF" в теле зараженного файла не окажется, но более чем в половине всех существующих UNIX-вирусов она все-таки есть, и этот прием, несмотря на свою изумительную простоту, очень неплохо работает.
Загрузите исследуемый файл в любой hex-редактор и попробуйте отыскать строку "⌂ELF". В зараженном файле таких строк будет две – она непосредственно в заголовке, другая – в кодовой секции или секции данных. Только не используйте дизассемблер! Очень многие вирусы преобразуют строку "⌂FELF" в 32-разрядную целочисленную константу 464С457Fh, которая маскирует присутствие вируса, но при переключении в режим дампа, сразу же "проявляется" на экране.
Непосредственное значение B9B3BA81h, соответствующее текстовой строке 'Б║│╣' , представляет собой не что иное, как строку "⌂ELF", преобразованную в 32-разрядную константу и умноженную на минус единицу. Складывая полученное значение с четырьмя первыми байтами жертвы, вирус получает ноль, если строки равны, и ненулевое значение в противном случае.
Как вариант, вирус может дополнять эталонную строку "⌂ELF" до единицы, и тогда в его теле будет присутствовать последовательность 80 BA B3 B9. Реже встречаются циклические сдвиги на одну, две, три… и семь позиций в различные стороны, неполные проверки (т. е. проверки на совпадение двух или трех байт) и некоторые другие операции – всех не перечислишь!
Более уязвимым с точки зрения скрытности является механизм реализации системных вызовов. Вирус не может позволить себе тащить за собой всю библиотеку libc, прилинкованную к нему статической компоновкой, поскольку существование подобного монстра трудно оставить незаметным. Существует несколько способов решения этой проблемы и наиболее популярный из них сводится к использованию native API операционной системы. Поскольку последний является прерогативой особенностей реализации данной конкретной системы, создатели UNIX де-факто отказались от многочисленных попыток его стандартизации. В частности, в System V (и ее многочисленных клонах) обращение к системным функциям происходит через дальний call по адресу 0007:00000000, а в Linux это осуществляется через служебное прерывание INT 80h (перечень номеров системных команд можно найти в файле /usr/include/asm/unistd.h). Таким образом, использование native API существенно ограничивает ареал обитания вируса, делая его непереносимым.
Честные программы в большинстве своем практически никогда не работают через native API (хотя утилиты из комплекта поставки Free BSD 4.5 ведут себя именно так), поэтому наличие большого количества машинных команд INT 80h/CALL 0007:0000000 (CD 80/9A 00 00 00 00 07 00) с высокой степенью вероятности свидетельствует о наличии вируса. Для предотвращения ложных срабатываний (т. е. обнаружения вируса там, где и следов его нет), вы должны не только обнаружить обращения к native API, но и проанализировать последовательность их вызовов. Для вирусов характерна следующая цепочка системных команд: sys_open, sys_lseek, old_mmap/sys_munmap, sys_write, sys_close, sys_exit. Реже используются вызовы exec и fork. Их, в частности, использует вирус STAOG.4744. Вирусы VirTool.Linux.Mmap.443, VirTool.Linux.Elfwrsec.a, PolyEngine.Linux.LIME.poly, Linux.Winter.343 и ряд других обходятся без этого.
Таблица импорта
Операционные системы семейства Windows поддерживают два основных способа компоновки: статический и динамический.
При статической компоновке имена (ординалы) вызываемых API-функций выносятся в специальную таблицу – таблицу импорта, изучение которой дает более или менее полное представление о природе исследуемой программы и круге ее интересов.
К потенциально опасным функциям в первую очередь относятся сетевые функции, функции поиска, вызова и удаления файлов.
TOOLHELP-функции, используемые для просмотра списка активных процессов и внедрения в них…
Конечно, зловредной программе ничего не стоит загрузить все эти функции и самостоятельно, путем динамической компоновки.
В простейшем случае опирающейся на вызов LoadLibrary/GetProcAddress, а то и вовсе на "ручной" поиск API-функций в памяти (адрес системного обработчика структурных исключений дает нам адрес, принадлежащий модулю KERNEL32.DLL, базовый адрес которого определяется сканированием памяти на предмет выявления сигнатур "MZ" и "PE" с последующим разбором PE-заголовка.
Но в этом случае текстовые строки с именами соответствующих функций должны присутствовать в теле программы (если только они не зашифрованы и не импортируются по ординалу).
Однако статистика показывает, что таблица импорта троянских программ обычно носит резко полярный характер.
Либо она вообще практически пуста, что крайне нетипично для нормальных, – неупакованных, – программ, либо содержит обращения к потенциально опасным функциям в явном виде.
Конечно, сам факт наличия потенциально опасных функций еще не свидетельствует о троянской природе программы, но без особой нужны ее все-таки лучше не запускать.
Анализ таблицы импорта позволяет выявить также и ряд вирусных заражений.
Собственно, у вируса есть два пути: использовать таблицу импорта файла-жертвы или создавать свою.
Если необходимых вирусу API-функций в импорте жертвы нет и она не импортирует функции LoadLibrary/GetProcAddress.
Вирус должен либо отказаться от ее заражения, либо тем или иным образом импортировать недостающие функции самостоятельно.
(Некоторые вирусы используют вызов по фиксированным адресам, но это делает их крайне нежизнеспособными, ограничивая ареал обитания лишь теми версиями ОС, на которые явно закладывались их создатели; другие же определяют адреса функций "вручную": по сигнатурному поиску или ручным анализом таблицы импорта.
Первое – громоздко и ненадежно, второе – слишком сложно в реализации для начинающих).
И вот тут-то и начинается самое интересное. Разберем два варианта: использование готовой таблицы импорта и внедрение своей. На первый взгляд кажется, что отследить "левые" обращения к импорту жертвы просто нереально, так как они ничем не отличаются от "нормальных".
Теоретически. Практически же все не так уж и безнадежно.
чем больше вирусов пройдет через ваши руки, – тем легче будет справиться с каждым из них.
В какое место этой цепочки может внедриться вирус? Ну, прежде всего он может создать подложную таблицу строк, перехватывая вызовы всех интересующих его функций. Чаще всего заражению подвергается функция printf/fprintf/sprintf (поскольку, без этой функции не обходится практически ни одна программа) и функции файлового ввода/вывода, что автоматически обеспечивает прозрачный механизм поиска новых жертв для заражения.
Вирусы-спутники, поступают иначе, создавая специальную библиотеку-перехватчик, во всех заражаемых файлах. Поскольку IDA Pro при дизассемблировании elf-файлов не отображает имя импортируемой библиотеки, заподозрить что-то неладное в этой ситуации нелегко. К счастью, HEX-редакторы еще никто не отменил…
Большинство сред разработки компилирует программы с инкрементной линковкой и вместо непосредственного вызова всякой импортируемой функции, вызывает "переходник" к ней.
Таким образом, каждая импортируемая функция вызывается лишь однажды и IDA генерирует лишь одну перекрестную ссылку.
При заражении файла картина меняется и к API-функциям, используемым вирусом, теперь ведут две и более перекрестных ссылки.
Это – вернейший признак вирусного заражения! Вернее и быть не может!
А что, если вирус захочет создать собственную секцию импорта или как вариант – попытается расширить уже существующую?
Ну, две секции импорта для операционных систем семейства Windows – это слишком!
Хотя… Почему, собственно, нет? Вирус создает еще одну секцию импорта, дописывая ее в конец файла, копирует туда содержимое оригинальной таблицы импорта, добавляет недостающие API-функции и затем направляет поле Import Table на "свою" таблицу импорта.
По факту загрузки файла операционной системой вирус проделывает обратную операцию, перетягивая таблицу импорта "назад" (необходимость последней операции объясняется тем, что система находит таблицу импорта по содержимому поля Import Table, а непосредственно сам исполняемый файл работает с ней по фиксированным адресам).
Наличие двух таблиц импорта в файле – верный признак его заражения!
Как вариант – вирус может добавить к файлу секцию BOUND IMPORT'а, что очень просто реализуется и, что самое интересное – обнаруживается далеко не всеми дизассемблерами!
Откройте исследуемый файл в HIEW'е и посмотрите на 12й элемент Header'а Data Directories.
Если такой элемент действительно присутствует и хранит в себе нечто отличное от нуля, – вероятность зараженности файла становится весьма велика (хотя некоторые легальные программы – в частности линкер ULINK Юрия Харона так же содержат в себе секцию BOUND IMPORT'а но вирусами очевидно не являются).
Расширение уже существующей таблицы импорта менее заметно, но при наличии опыта работы с PE-файлами его все-таки можно разоблачить.
Так, большинство линкеров упорядочивают импортируемые функции по алфавиту и функции, дописанные вирусом в конец таблицы импорта, сразу же обращают на себя внимание.
Даже если импорт и не отсортирован, повышенная концентрация характерных для вируса API-функций не останется незамеченной.
Действительно, перечисление имен всех импортируемых функций обычно идет сплошным потоком от первой до последней используемой DLL, причем библиотека KERNEL32.DLL (которая вирусу и нужна!) оказывается в конце списка достаточно редко и вирусу ничего не остается как дописывать импорт из KERNEL32.DLL в хвост другой библиотеки, в результате чего, ссылка на модуль KERNEL32.DLL в таблице импорта зараженного файла присутствует дважды!
Вот мы и рассмотрели основные способы выявления зараженных файлов и теперь можем смело приступать к расширению и углублению полученных знаний и навыков.
Вирусы в скриптах
Как уже отмечалось выше, скрипты выглядят достаточно привлекательной средой для обитания вирусов и вот почему:
В мире UNIX скрипты вездесущи;
Модификация большинства скриптовых файлов разрешена;
скрипты зачастую состоят из сотен строк кода, в которых очень легко затеряться;
скрипты наиболее абстрагированы от особенностей реализации конкретного UNIX'а;
Возможности скриптов сопоставимы с языками высокого уровня (Си, Бейсик, Паскаль);
скрпитами пользователи обмениваются более интенсивно, чем исполняемыми файлами;
Большинство администраторов крайне пренебрежительно относятся к скриптовым вирусам, считая их "ненастоящими".
Между тем, системе по большому счету все равно каким именно вирусом быть атакованной – настоящим или нет.
При кажущийся игрушечности, скрипт-вирусы представляют собой достаточно серьезную угрозу.
Ареал их обитания практически безграничен – они успешно поражают компьютеры с любим процессорами.
Они внедряются в любое возможное место (конец/начало/середину) заражаемого файла.
При желании они могут оставаться резидентно в памяти, поражая файлы в фоновом режиме.
Ряд скрипт-вирусов используют те или иные Stealth-технологии, скрывая факт своего присутствия в системе.
Гений инженерной мысли вирусописателей уже освоил полиморфизм, уравняв тем самым скрипт-вирусы в правах с вирусами, поражающими двоичные файлы.
Каждый скрпит, полученный извне, перед установкой в систему должен быть тщательным образом проанализирован на предмет присутствия заразы.
Ситуация усугубляется тем, что скрипты, в отличие от двоичных файлов, представляют собой plain-теxт, начисто лишенный внутренней структуры, а потому при его заражении никаких характерных изменений не происходит.
Единственное, что вирус не может подделать – это стиль оформления листинга.
Почерк каждого программиста строго индивидуален. Одни используют табуляцию, другие – предпочитают выравнивать строки посредством пробелов.
Одни разворачивают конструкции if – else на весь экран, другие – умещают их в одну строку.
Одни дают всем переменным осмысленные имена, другие – используют одно-двух символьную абракадабру в стиле "A", "X", "FN" и т. д.
Даже беглый просмотр зараженного файла позволяет обнаружить инородные вставки (конечно, при том условии, что вирус не переформатирует поражаемый объект).
Теперь рассмотрим пути внедрения вируса в файл. Файлы командного интерпретатора и программы, написанные на языке Perl, представляют собой неиерархическую последовательность команд, при необходимости включающую в себя определения функций.
Здесь нет ничего, хотя бы отдаленно напоминающего функцию main языка Си или блок BEGIN/END языка Паскаль.
Вирусный код, тупо дописанный в конец файла, с вероятностью 90% успешно получит управление и будет корректно работать.
Оставшиеся 10% приходятся на случаи преждевременного выхода из программы по exit или ее принудительного завершения по .
Некоторые, весьма немногочисленные, вирусы внедряются в середину файла, иногда перемешиваясь с его оригинальным содержимым.
Естественно, для того, чтобы процесс репродуцирования не прекратился, вирус должен каким-либо образом помечать "свои" строки (например снабжать их комментарием "#MY LINE") либо же внедряться в фиксированные строки (например начиная с тринадцатой строки, каждая нечетная строка файла содержит тело вируса).
Первый алгоритм слишком нагляден, второй – слишком нежизнеспособен (часть вируса может попасть в одну функцию, а часть – совсем в другую), поэтому останавливаться на этих вирусах мы не будем.
Таким образом, наиболее вирусоопасными являются начало и конец всякого файла.
Их следует изучать с особой тщательностью, не забывая о том, что вирус может содержать некоторое количество "отвлекающих" команд, имитирующих ту или иную работу.
Встречаются и вирусы-спутники, вообще не "дотрагивающиеся" до оригинальных файлов, но во множестве создающие их "двойников" в остальных каталогах.
Поклонники чистой командной строки, просматривающие содержимое директорий через ls, могут этого и не заметить, т. к. команда ls вполне может иметь "двойника", предусмотрительно убирающего свое имя из списка отображаемых файлов.
Не стоит забывать и о том, что создателям вирусов не чуждо элементарное чувство беспечности, и откровенные наименования процедур и/или переменных в стиле "Infected", "Virus", "ZARAZA" – отнюдь не редкость.
Иногда вирусам (особенно полиморфным и зашифрованным) требуется поместить часть программного кода во временный файл, полностью или частично передав ему бразды правления.
Тогда в теле скрипта появляется команда "chmod +x", присваивающая файлу атрибут исполняемого.
Впрочем, не стоит ожидать, что автор вируса окажется столь ленив и наивен, что не предпримет никаких усилий для сокрытия своих намерений.
Скорее всего нам встретится что-то вроде: "chmod $attr $FileName".
Зоопарк в моем HDD.
#!/bin/sh
"\#\!\/usr\/bin\/perl": если расположена в не первой строке файла, скрипт скорее всего заражен, особенно если последовательность "#!" находится внутри оператора if then или же передается командам greep и/или find;
greep: используются для определения типа файла-жертвы и поиска отметки о зараженности (дабы ненароком не заразить повторно);
к сожалению, достаточным признаком наличия вируса служить не может, ибо часто используется в "честных" программах;
find
$0: характерный признак саморазмножающейся программы (а зачем еще честному скрипту знать свой полный путь?);
head: используется для определения типа файла-жертвы и извлечения своего тела из файла-носителя из начала скрипта;
tail: используется для извлечения своего тела из конца файла-носителя;
chmod +x: если применяется к динамически создаваемому файлу, с высокой степень вероятности свидетельствует о наличии вируса (причем ключ +x может быть так или иначе замаскирован);
характерным признаком вируса (и полиморфного в том числе)
"\xAA\xBB\xCC…": характерный признак зашифрованного вируса
"Aj#9KlRzS"
vir, virus, virii, infect…: характерный признак вируса, хотя может быть и просто шуткой
Зоопарк в моем HDD.
И ведь находятся же такие х… ммм… хорошие люди (не по характеру, а в смысле совсем хорошие), что безоговорочно полагаются на антивирусы, и самодовольно похрюкивая, заявляют, что все файлы на данном диске/сайте проверены самыми последними версиями AVP/Dr.Web и здесь типа все ништяк.
Наивные! Если антивирус говорит, что он ничего не нашел, то и понимать его следует буквально. Антивирус. Ничего. Не Нашел. Стало быть, плохо искал!
Анализ показывает, что подавляющее большинство антивирусов используют сигнатурный поиск с жесткой привязкой к точке входа или физическому смещению в файле.
Что все это значит? Не вдаваясь в неразбериху терминологических тонкостей, отметим, что сигнатурой называется уникальная последовательность байт, однозначно идентифицирующая вирус.
Сигнатура может быть как сплошной (например, "DE AD BE EF") или разряженной (например, " DE ?? ?? AD ?? BE ** EF", где знак "??" обозначает любой байт, а "**" любое количество байт в данной позиции).
Поиск по разряженной сигнатуре иначе называется поиском по маске и это наиболее популярный алгоритм распознавания на сегодняшний день.
Для достижения приемлемой скорости сканирования, антивирусы практически никогда не анализируют весь файл целиком, ограничиваясь беглой проверкой одной-двух ключевых точек (например, окрестностей точки входа в файл, т. е. тех ячеек, с которых и начинается его выполнение).
Реже используются привязка к смещению сигнатуры относительно начала файла.
Полиморфные вирусы, пятого и шестого уровня полиморфизма, не содержащие ни одной постоянной последовательности байт, сигнатурным поиском уже не обнаруживаются и для их детектирования приходится разрабатывать весьма изощренные методики, самой известной из которых является эмуляция процессора (называемая так же технологией виртуальной машины).
Антивирус прогоняет подозреваемый файл через эмулятор, дожидается пока полиморфный движок расшифрует основное тело вируса (если файл действительно зашифрован), после чего применяет старый добрый сигнатурный поиск.
Это достаточно ресурсоемкая операция и без особой нужды антивирусы к ней стараются не прибегать.
Подлинно полиморфные вирусы, полностью перестраивающие свое тело до последнего захудалого байта, эмулятором уже не обнаруживаются, однако, во-первых, такие вирусы существуют только теоретически, а, во-вторых, для их детектирования заблаговременно разработана технология логической реконструкции алгоритма исследуемой программы (т. е. антивирус смотрит что делает данная программа, игнорируя то, как именно она это делает).
Поскольку, зараженный файл может быть упакован (и тогда вирусные сигнатуры окажутся безнадежно искажены), антивирус должен быть готов распаковать его.
Простейшие упаковщики распаковываются все тем же эмулятором, но монстров, снабженных большим количеством антиотладочных приемов (ASPack, tElock и другие) так не возьмешь и для борьбы с ними приходится реализовать специальные распаковщики, опознающие "свой" упаковщик по его сигнатуре…
Итак, круг замкнулся! С сигнатур мы начали и к сигнатурам вернулись в конце (не путать с тем концом, по сравнению с которым любое начало, не начало, а с позволения сказать даже не полуось).

Метод упаковки вредоносного файла. AVP Dr.WEB
"голый" bo2k.exe ловит ловит
упаковка OBSIDIUM'ом молчит молчит
упаковка ASPack'ом ловит ловит
упаковка ASPack'ом с затиранием 60h молчит молчит
HidePX ловит ловит
ASPack + SEH молчит молчит
ASPack + EPProt ловит возможно win.exe вирус
ASPack + prefecth молчит молчит
ASPack + EPProt + pacth молчит возможно win.exe вирус
упаковка в архив с паролем ловит инспектором ловит инспектором
ASPack + самомодифицирующийся код молчит ловит
Внедриться в файл можно даже не прикасаясь к нему. Не верите?
А зря! Windows поддерживает специальный ключ реестра, в котором перечислены DLL, автоматически загружающиеся при каждом создании нового процесса.
Если Entry Point динамической библиотеки не равна нулю, она получит управление еще до того, как начнется выполнение процесса, что позволяет ей контролировать все, происходящие в системе события (такие, например, как запуск антивирусных программ).
Естественно, борьба с вирусами под их руководством ни к чему хорошему не приводит, и система должна быть обеззаражена. Убедитесь, что в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs перечислены только легальные динамические библиотеки и нет ничего лишнего!
В командных файлах обычно используются команды greep или head. Конечно, их наличие в файле еще не свидетельствует о зараженности последнего, однако, позволяет локализовать жизненно-важные центры вируса, ответственные за определения типа файла-жертвы, что значительно ускоряет анализ. В Perl-скриптах чтение файла чаще всего осуществляется через оператор "", реже используются функции read/readline/getc. Тот факт, что практически ни одна мало-мальски серьезная Perl-программа не обходится без файлового ввода/вывода, чрезвычайно затрудняет выявление вирусного кода, особенно если чтение файла происходит в одной ветке программы, а определение его типа – совсем в другой.
Эвристические алгоритмы поиска жертвы состоят в выделении уникальных последовательностей, присущих файлам данного типа и не встречающихся ни в каких других. Так, наличие конструкции "if [" с вероятностью близкой к единице указывает на командный скрипт. Некоторые вирусы отождествляют командные файлы по строке "Bourne", которая присутствует в некоторых, хотя и далеко не во всех скриптах. Естественно, никаких универсальных приемов распознавания эвристических алгоритмов не существует (на то они и эвристические алгоритмы).
Во избежание многократного инфицирования файла-носителя, вирусы должны уметь распознавать факт своего присутствия в нем. Наиболее очевидный (и популярный!) алгоритм сводится к внедрению специальной ключевой метки (вроде "это я – Вася"), представляющей собой уникальную последовательность команд, так сказать, сигнатуру вируса или же просто замысловатый комментарий. Строго говоря, гарантированная уникальность вирусам совершенно не нужна. Достаточно, чтобы ключевая метка отсутствовала более чем в половине неинфицированных файлов. Поиск ключевой метки может осуществляться как командами find/greep, так и построченным чтением из файла с последующим сличением добытых строк с эталоном. Скрипты командных интерпретаторов используют для этой цели команды head и tail, применяемые совместно с оператором "=", ну а Perl-вирусы все больше тяготеют к регулярным выражениям, что существенно затрудняет их выявление, т. к. без регулярных выражений не обходится практически ни одна Perl-программа.
Другой возможной зацепкой является переменная "$0", используемая вирусами для определения собственного имени. Не секрет, что интерпретируемые языки программирования не имеют никакого представления о том, каким именно образом скрипты размещаются в памяти, и при всем желании не могут "дотянуться" до них. А раз так, то единственным способом репродуцирования своего тела остается чтение исходного файла, имя которого передается в нулевом аргументе командной строки. Это достаточно характерный признак заражения исследуемого файла, ибо существует очень немного причин, по которым программа может интересоваться своим названием и путем.
Впрочем, существует (по крайней мере теоретически) и альтернативный способ размножения. Он работает по тем же принципам, что и программа, распечатывающая сама себя (в былое время без этой задачки не обходилась ни одна олимпиада по информатике). Решение сводится к формированию переменной, содержащей программный код вируса, с последующим внедрением оного в заражаемый файл.
Любимые места прятки троянов
Так как "троянский конь" - это самостоятельная программа, чаще всего она запускается самой операционной системой при запуске. Следует смотреть изменения в файлах autoexec.bat и config.sys. Следующее место – это папка "автозапуска". Но с подобных мест запуски производятся только откровенными новичками от программирования. Еще одна "группа риска" - это Win.ini раздел [windows], строки load, run. Hookdump (скрытый KeyRecorder) стартует именно оттуда. Теперь о соответствующих разделах реестра. Просто перечислю:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
В них необходимо просмотреть все "Строковые параметры", запускающие подозрительные программы. Программные закладки не обязательно могут присутствовать в виде exe-шника. Можно переименовать исполняемые файлы с любым расширением или без него, но они все равно запустятся из строкового параметра командной строкой (например, переименовать notepad.exe в notepad.doc и запустить через реестр до запуска RunServices).
Подраздел \SOFTWARE\Microsoft\Windows\CurrentVersion\Run существует не только в разделе HKEY_LOCAL_MACHINE, еще и в HKEY_USERS (HKEY_USERS\.Default\ или HKEY_USERS\.Ваш_логин_при_старте\).
Поэтому, повторите поиск разделов "Run" ("RunOnce", "Run... ") в еще 2-х главных разделах.
Дам перечень названий троянцев, без указания версий и дополнений: Acid Shivers, Antigen, Back End, Back Orifice, Back Door, DeepThroat, Devil, Dmsetup, EvilFTP, Executer 1, Executer 2, Fore 1.0b, FTP99cmp, GateCrasher, GirlFriend, Hacker's Paradise, ICKiLLEr, ICQ Troqen, Invisible FTP, Master's Paradise, Millenium, NetBus, Net Monitor, phAse zero, Phineas Phucker, PSS, Remote Grab, Ripper Pro, Remote windows shutdown, Shtirlitz, Sivka-Burka, Sstrojg (Senna Spy Trojan Back Door Generator), Sockets de Troje, StealthSpy Beta, Telecommando, Voice, Win Crash. Список можно продолжать. Многие из них имеют несколько версий. И хоть они старички, немного переделав, код они заново будет угрожать любому компьютеру на своем пути.
Чтобы пользователь представил характер угроз, приведу сокращенный список функций самого "продуманного" продукта – Back Orifice:
Выдача списка приложений прослушивающих порты для соединений.
Создание каталога на диске.
Выдача списка файлов и каталогов (возможно использование масок).
Удаление каталога.
Выдача списка разделенных ресурсов, с типом ресурса, доступа и паролей для доступа.
Копирование файла.
Удаление файла.
Поиск файла (возможно использование масок).
Компрессирование (сжатие) файла.
Декомпрессирование файла.
Просмотр содержимого текстового файла.
Запуск HTTP-сервера.
Останов HTTP-сервера.
Запуск записи нажатия клавиатуры в текстовый файл.
Останов записи нажатия клавиатуры в текстовый файл.
Захват изображения экрана с записью в bmp-файл.
Просмотр входящих и выходящих сетевых соединений.
Просмотр активных процессов.
Запуск программы (скрытый или активизацией окна на экране пользователя).
Редирект входящих IP-соединений или UDP-пакетов на другой ip-адрес.
Создание/Удаление ключа реестра.
Выдача списка (или значений) ключей реестра.
Замыкание сервера.
Перезагрузка системы.
Выдача информации о системе (имя компьютера, текущий пользователь, тип процессора, общей и свободной памяти, версии Windows, тип и размер привода, свободное место и т.п.).

Я думаю, любой "сисадмин" согласится, что даже этих приведенных функций более чем достаточно, чтобы сделать с удаленной Windows-системой все, что угодно. Но не стоит необдуманно применять этот продукт. Он имеет подвох: применивший его (предостережение начинающим хакерам-недоучкам) ставит и свою машину под полный контроль "Культа мертвой коровы". Так называется группа создавшая этот продукт. Примечательно название продукта. Эта игра слов – переозвученное название известного продукта Microsoft "Back Office". "Back Orifice" дословно означает: "через задницу". Не любят хакеры Гейтса и его продукты. Есть даже поговорка: "Скажи мне кто такой Билл Гейтс и я скажу кто ты!". И тому есть повод, многие не знает что Гейтс сам был хакер, вирусописатель, так само таким был и Линнус Торвалдс и еще ряд ярких «борцов» против хакерства. А Гейтс это особый жук, создал вируса который поражал МакОС и вывел из строя тысячи компьютеров Apple. Те конечно в долг не остались и создали свой вирус порожающый PC на Windows. В конце концов начали таскаться по судам и Билли пришлось попрощаться от кругленькой суммы. А в прочем за что любить его?
Теперь о способах получения троянцев:
Любой self-extract архив вроде zip, rar, arj и тому подобное. При распаковке сначала ставится "троянец", потом содержимое как при обычной распаковке.
Широко применяется социальная инженерия для забрасывания троянцев в систему. Вам могут предложить новую утилиту, очередной "прикол", новый "патч" под аську и т.д. Особенно нужно быть осторожным при настойчивости благожелателя или при получении по E-mail аттачмента (вложенного файла) от незнакомых или пользующихся сомнительной репутацией людей.
Файлы для MS Office позволяют активизировать троянца прямо с документа (macros).
Стоит напомнить, что в почтовых программах Microsoft Outlook Express при получении почтового сообщения с аттачментом с длиной имени более 255 символов может произойти выполнение вложенного содержимого. Письма при этом не нужно даже открывать для чтения.
Любые download-ы с всемирной паутины, как-то гороскопы, коллекции открыток или новые "супер-утилиты". Отмечены случаи, когда даже с сайтов официальных производителей поступала зараженная троянцами или вирусами продукция.
ActiveX, plug-in под различный ходовой "софт" и другие высокотехнологические атаки требуют отдельного и развернутого описания. Сюда же можно отнести множество компонент под Delphi, Builder ++. Вставить в них троянца проще простого.
Различные шутовские программки, внешне безобидные могут нести в себе встроенный троянский довесок. В этот же ряд можно поставить "халявное" программное обеспечение, будь-то игрушки, бесплатные скрин-сервера, или трайл-версии. Большинство компакт-дисков, продаваемых на радио-рынках по единой цене, но без учета содержания, создаются наспех, без какой-либо проверки "на вшивость". Да и ответственность у продавцов минимальная. Кроме "троянцев", подобная продукция изобилует вирусами.
Начинающим хакерам следует понимать, что высокотехнологические "отмычки" скачиваемые ими с Интернета и BBS могут выполнять необъявленные функции. Порой авторами в них намеренно делаются вставки. Ничего не попишешь - мечта "совка" номер два: "халяву – на халяву".
-------------
Конец первой части. В следующей части статьи будем рассматривать разные виды атак. Внедрению серверной части трояна на компьютер или сервер и как бороться с утечкой трафика.
------------------------------------------------------------------------------------------------------------------------------------------------------------
Все. В статье использованы материалы сайта hackzone.ru, малоизвестные читателю записи К. Касперску. Статья не является руководством по вирусописанию и не претендует на руководство по защити компьютеров. Воспринимайте данное сочинение как размышление автора.
Зоопарк в моем HDD. 4.5 из 5 на основе 4954 просмотров, 5 отзывов.

Если вы не видите кнопку СКАЧАТЬ - отключите резалку рекламы у себя в браузере и обновите страницу...

торрент Зоопарк в моем HDD.

Отзывы к торренту Зоопарк в моем HDD.

(Быстрый вход) 
13 марта 2014 19:44 #1
Интресно и позновательно все это! ) Cпасибо за труды проделанные Rokko195.Как то я не так уж и давно разговаривал с один скажем так из представителей хакерюг, ну и естественно была затронута тема антивиров не влазя в дебри самих вирусов и вот что он мне сказал,что по большей части конечно же антивирусик выполняет свои прямые обязанности в ловли и блокировке всякой заразы рунета и таким он выделил Каспера и Доктор Веб, но спорить о том какой все же лучше мы не стали, ибо это вечная тема кто лучше!, но в итоге подчеркнул он, что если захотят ломануть что то, либо кого то, то ничто не поможет если удумали и поставлена цель взлома и что самое удивило меня то, что он не пользуется вобще антивирам никаким! Много чего он умеет конечно же в области этой, но вот щас бидолага прибывет на лечении на дурочке! ) снесло шиферину на прочь там! )
14 марта 2014 02:55 #2
STANGER
Конечно если голова на плечах то можно работать и без антивируса. Но тут есть один весьма серьезный нюанс. То что антивирус не панацея ясно думаю всем и новые вредители он не поймает потому что обновы баз данных как правило делается после появления нового зверька на свет и так тому и бить(мы же не ясновидящие),а вот какое время пройдет от появлении вируса до записи его сигнатур в базу данных антивируса это и критерии, по каком мы пользователи обсуждаем хорош антивирус или отстой. Немного уехал в сторону,так вот про нюанс. Я не советую работать без антивируса по той простой причине что он не дает на компьютер залезть тем вирусам который он знает. И знает любой антивирус десятки тысяч разных сигнатур. Думать что все обойдется хорошо наивно если не больше,все что когда то попало в сеть там и осталась и ни где не пропало. Ретровируси полная сеть и если нет хоть минимальная защита то юзверь становится жертвой своей высокомерности . А еще кому нравится копаться в компьютер, чтоб найти давно вымершего динозавра.Что касается взлома то и здесь он прав. Теоретически все что создано можно взломать , тут больше вопрос времени так сказать. И если подсчет показывает что потребуется много времени то затея как правило отбрасывается и выбирается цель мене защищенная. Новая концепция вирус мейкерство на сегодня радикально изменилась. Если раньше вирусы писали чтоб навредить,прославится и.т.д то сегодня есть в основном только одна цель,делать деньги.То что DrWeb и Kaspersky хорошие антивирусы вполне согласен, команды поддержки этих антивирусах работает очень оперативно. И все же если такие команды били бы у других разработчиков, то думаю пропала и та размытая граница которая разделяет их.
Правды нет - о ней нам только рассказывают.
14 марта 2014 13:42 #3
Rokko195
Спасибо за интересную статью! Вчера просто не дочитала.
Вообще не представляю, как можно выходить в сеть без минимальной защиты, какой и является антивирус.
14 марта 2014 21:40 #4
Знаешь, я раз как то побывал у него даже дома и видел его раб комп и все что окружает тот комп вокруг, так это обалдеть нужно что там происходит, блоки, кабеля, разъемы немыслемое кол-во при чем их, книги, записи от руки на языке программирования, общем полный бардак + на полу гора банок из пива и фисташки! на раб столе кроме иконки корзина,браузера опера, текст.документов и множество разбросанных прогамм во всему столу не увидел привычного нам всем порядка думаю, где все в аккурате у каждого наверника находится на его раб столе.. вот такие вот они хакерюги ...
А на сей счет сигнатур и обновляеых баз на антивире я с тобой согласен на все 200 дружище, ибо не обнвись они, а это время какой нить умник из таких вот хакерюг, возьмет пропишет и выкинет что то новое в рунет .. (кстать!, седня слушал по ящику, то ломанули центробанк РФ! ) воть те и пожалуйста защита!
14 марта 2014 22:35 #5
наконец-то выделил время и перечитал "от и до". Уже говорил и еще раз повторюсь - как всегда супер интересно и огромное спасибо за труд, действительно огромный и познавательный.
_______
C уважением,
администрация Filmoff.net
15 марта 2014 03:15 #6
Цитата: STANGER
. вот такие вот они хакерюги ...

Все так как положено бить. biggrin
немыслемое кол-во при чем их, книги, записи от руки на языке программирования.
Хакер учится всю свою жизнь и немного больше,так устроен его мозг,всегда бить в курсе событии,всегда питаться понимать все новое.
Правды нет - о ней нам только рассказывают.

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.