Дело было вечером, делать было нечего...
----------------------------------------------------------------------
От: Valentin Kolesnikov <valik@avp.ru>
Тема: Вниманме конкурс...
Дата: 15 июня 1998 г. 15:57
----------------------------------------------------------------------
Всем известно что вирусы это плохие программы, которые постоянно
заражают другие файлы и тем самым мешают нормальной работе компьютера.
Все это только общие определения а давайте потренируемся в создании
описания к вирусу. Каждый пришлет в конфу свою версию, а лучшее
описание переведем на разные языки и раскидаем по разным эхам.
Оцениветься будет прежде всего точность описания вируса и размер файла
с описанием.
В качестве вируса возьмем нерезидентный файловый вирус длиной 13
байт, который заражает файл 5 в текущем каталге. Первые 2 байта вируса:
35 00, остальные придумайте сами.
Вот мое описание:
Вирус 13.
--------
Очень опасный, нерезидентный файловый вирус. Сканирует текущий
каталог и если в нем находиться файл с именем 5, то вирус заражает его,
если нет - то создается дроппер с именем 5. Вирус активно использует
антитрассировочные и антиотладочные приемы. Содержит совершенно новый
антиотладочный метод против ревизора Adinf - заражение файлов без
расширения в результате чего мы заключаем, что это стелс вирус. Если
данный вирус поместить в файл данных, то этот файл будет опознаваться
как зараженный при сплошном сканировании файла. Из-за чего пользователю
прийдется удалить данный файл. На основании это мы предполагеам, что
это сложно-полиморфный вирус, заражающий не только исполняемые но и
текстовые файлы. Если посмотреть на длину вируса и на его название
(13), то можно предположить, что данный вирус способен вводить
пользователя в состояние истерии после чего тот начинает лихорадочно
нажимать на клавиши и форматирует жесткий диск не только свой, но и все
доступные ему жесткие диски. Немаловажно, что данный вирус-мутант
поражает безобидный файл с именем 5, тем самым он нарушает
биохимическое поле бит числа 5 и вторгается в разряженные биты это
числа. Этим разрушается оперативная память вашего компьютера и после 10
^20 заражения файла память полностью выходит из строя. Пока не написан
антивирус способный удалять данный вирус из файлов, но лучшие умы
человечества активно трудятся над его созданием. Состояние истерии
наступает. Из последних сил дописываю данное письмо и приступаю к
тотальному форматированию всего..........
----------------------------------------------------------------------
От: Kulshitsky Dmitry <dima@gransys.msk.ru>
Тема: Вирус 13
Дата: 16 июня 1998 г. 15:30
----------------------------------------------------------------------
Вирус 13.
========
Также известен под названиями Five-13 (заражает файл 5.) и XORAX
(первой командой тела вируса является XOR AX). Общая структура вируса
выглядит следующим образом:
распаковщик
тело уровня
данные следующего уровня
Как видно из схемы, вирус имеет несколько логических уровней.
Уровень N+1 получается путем распаковки данных, хранящихся на уровне N.
0 уровень
---------
тело уровня вырожденное (просто передача управления на следующий
уровень)
1 уровень
---------
Простейший поиск в текущем (и иногда, в зависимости от счетчика
мутаций, и корневом) каталоге. Прообразом этого алгоритма является
небезызвестная Vienna Кроме того, если в текущем каталоге обнаружен
файл с именем 5, то происходит его заражение с вероятностью 5%
2 уровень
---------
Добавляется stealth-механизм на уровне дисковых драйверов DOS.
Механизм полностью переписан из вирусов семейства Dir.
3 уровень
---------
Здесь обнаруживается сложнейший полиморф-engine. Причем первичный
анализ кода показывает, что это оригинальная разработка. Причем, что
интересно, пара мелких ошибок в генераторе шифровщика-дешифровщика
приводит к УВЕЛИЧЕНИЮ количества возможных вариантов!
4 уровень
---------
Внедрение в код 32-битных ОС. Причем внедрение включает в себя
пропатчивание кода таким образом, чтобы в момент создания операционной
системой системных таблиц защищенного режима (векторов прерываний,
доступности портов ввода-вывода и т.д.) обеспечить себе комфортное
существование в новой среде. Этот механизм предлагается назвать
|
