Раздел: Документация

0 ... 113 114 115 116 117 118 119 ... 169

Для обнаружения этих вирусов приходится использовать специальные методы, к которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т. д. К нестопроцентным(т. е. кото-

рые шифруют себя, но в расшифровщике вируса всегда существуют постоянные байты) можно отнести еще десяток новых вирусов:

Basilisk, Daemaen, Invisible (две версии), Mirea (несколько версий), Rasek (три версии), Sarov, Scoundrel, Seat, Silly, Simulation.

Однако и они требуют расшифровки кода для их детектирования и восстановления пораженных объектов, поскольку длина постоянного кода вэтих вирусов слишком мала.

Параллельно с гюлиморфик-вирусами развиваются полимор-фпк-генераторы. Появляется несколько новых, использующих более сложные методы генерацииони распространяются

по станциям BBS в виде архивов, содержащих объектные модули, документацию и примеры использования.

В конце 1993 года было известно уже семь генераторов полимор-фик-кода. Это: МТЕ 0.90 (Mutation Engine), четыре различные версии ТРЕ (Trident Polymorphic Engine), NED (Nuke Encryption De-vice), DAME (Dark Angels Multiple Encryptor).

С тех пор новые полиморфные генераторы появлялись по несколько штук в год.

4. Автоматизация производства и конструкторы вирусов

Лень — движущая сила прогресса. Эта народная мудрость не нуждается в комментариях. Но только в середине 1992 года прогресс в виде автоматизации производства дошел и до вирусов. Пятого июля

1992 года объявлен к выпуску в свет первый конструктор вирусного кода для IBM-PC совместимых компьютеров — пакет VCL (Virus

Creation Laboratory) версии 1. 00.

Этот конструктор позволяет генерировать исходные и хорошо откомментированные тексты вирусов (файлы, содержащие ассемблерный текст), объектные модули и непосредственно зараженные файлы. VCL снабжен стандартным оконным интерфейсом. При помощи системы меню можно выбрать тип вируса, поражаемые объекты (СОМ и/или ЕХЕ), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, подключить до десяти

350

---

эффектов, сопровождающих работу вируса и т. п. Вирусы могут использовать стандартный способ поражения файлов в их конец, или записывать себя вместо файлов, уничтожая их первоначальное содержимое, или являться вирусами-спутниками (международный термин — компаньон-вирусы

И все сразу стало значительно проще: захотел напакостить ближнему — садись за VCL и, заминут настрогавразных

вирусов, запусти их на неприятельском компьютере(ах). Каждому

компьютеру — отдельный вирус!

Дальше — больше. 27 июля появилась первая версия конструктора PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Этот конструктор не содержит в себе оконного интерфейса и генерирует исходные тексты вирусов по файлу конфигурации. Этот файл содержит

в себе описание вируса: тип поражаемых файлов (СОМ или ЕХЕ); ре-зидентность (PS-MPC создает также и резидентные вирусы, чего не позволяет конструктор VCL); способ инсталляции резидентной копии вируса; возможность использования самошифрования; возможность поражения COMMAND.COM и массу другой полезной информации.

На основе PS-MPC был создан конструктор G2 (Phalcon /Skisms G2 0. 70 beta), который поддерживает файлы конфигурации стандартаоднако при генерации вируса использует большее

количество вариантов кодирования одних и тех же функций. Каким же образом повлияли конструкторы вирусов на электронную фауну? В коллекции вирусов, которая хранится на моемколичество

вирусов следующее:

—на базе VCL и G2 — по несколько сотен

—на базе PS-MPC — более тысячи.

Так проявилась еще одна тенденция в развитии компьютерных вирусов: все большую часть в коллекциях начинают занимать «сконструированные» вирусы, а в ряды их авторов начинают вливаться откровенно ленивые люди, которые сводят творческую и уважаемую профессию вирусописания к весьма заурядному ремеслу.

5. За пределы DOS

Год 1992-й принес больше, чем полиморфик-вирусы и вирус-конструкторы. В конце этого года появился первый вирус для Windows, открывший, таким образом, новую страницу в истории ви-русописания. Небольшого размера (менее 1Кб), совершенно безвредный и нерезидентный вирус вполне граммотно заражал выполняемые

351

---

файлы нового формата Windows (NewEXE) и своим появлением пробил для вирусов окно в мир Windows.

Через некоторое время появились вирусы для OS/2, а в январе 1996 года - и первый вирус для Windows 95. На сегодняшний день не проходит и недели без появления новых вирусов, заражающих не-DOS системы, и, видимо, проблема не-DOS вирусов в скором времени выйдет на первый план, перекрыв проблему DOS-вирусов. Скорее всего, это произойдет эквивалентно постепенному умиранию DOS и распространению новых операционных систем и программ для них. Коль скоро все существующие DOS-приложения будут замещены их аналогами для Windows, Win 95 и OS/2, проблема DOS-вирусов сойдет на нет и оставит после себя лишь теоретический интерес для компьютерного социума.

В том же 1993 году появилась и первая попытка написать вирус, работающий в защищенном режиме процессора Intel 386. Это был загрузочный вирус «PMBS», названный так по строке текста внутри его кода. При загрузке с зараженного диска вирус переходил в защищенный режим, устанавливал себя как супервизор системы и затем за-DOS в режиме виртуального окна V86. К счастью, вирус этот оказался «не жильцом» — его второе поколение напрочь отказывалось размножаться по причине нескольких ошибок в коде вируса. К тому же он «завешивал» систему, если какая-либо из программ пыталась выйти за пределы V86, например, определить наличие расширенной памяти.

Эта неудачная попытка написать вирус-супервизор так и оставалась единственной известной вплоть до весны 1997 года, когда один московский умелец выпустил вирусWanderer» — вполне «удач-

ную» реализацию вируса, работающего в защищенном режиме.

Пока непонятно, станут ли в дальнейшем вирусы-супервизоры

действительной проблемой для пользователей и разработчиков антивирусных программ. Скорее всего нет, так как такие вирусы должны «засыпать» на время работы новых операционных систем (Windows, Win 95/NT, OS/2), что позволяет их (вирусы) легко обнаружить и удалить. Однако полноценный вирус-супервизор, использующий технологию «стеле» может принести немало неприятностей пользователям «чистой» DOS, ведь обнаружить такой стелс-вирус под DOS не представляется возможным.

6. Эпидемия макро-вируса

Год 1995-й, август. Все прогрессивное человечество, компания Microsoft и Билл Гейтс лично празднуют выход новой операционной

352

0 ... 113 114 115 116 117 118 119 ... 169