Перейти к содержанию
Иван

Эволюция технологий самозащиты вредоносных программ

Recommended Posts

Иван

Алиса Шевченко из Касперского написала статью

Эволюция технологий самозащиты вредоносных программ

Мы попробуем проследить пути зарождения «инстинкта самосохранения» вредоносных программ, его эволюцию под давлением все более жестких для вируcов условий и оценить, каково нынешнее положение дел.

Но прежде необходимо определить, что именно мы будем понимать под словосочетанием «самозащита вредоносных программ». Оно не столь однозначно, как кажется на первый взгляд. Нападение на антивирус — это, очевидно, вид самозащиты. Сокрытие следов функционирования — тоже в каком-то смысле самозащита, хотя уже не столь явная. И уже совсем не очевидно, что самозащитой является и сам факт эволюции вредоносных программ. Однако это так. Ведь одной из мотиваций вирусописателя к поиску новых платформ для заражения, новых лазеек в системе является в том числе и желание выпустить свое детище в свободную среду — в такую область, куда еще не смотрит ни одна пара глаз, потому что там никогда ничего не находили.

Во избежание такой путаницы — что считать технологией самозащиты, а что нет — мы рассмотрим только наиболее популярные и очевидные способы самозащиты вредоносных программ. В первую очередь к таковым относятся разные способы модификации и упаковки кода, самосокрытия в системе и нарушения функционирования систем антивирусной защиты.

http://www.viruslist.ru/analysis?pubid=204007553

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Интересная статья, достаточно обширная.

Единственное, что забыли описать - восстановление своего файла и ключа автозапуска в реестре - тоже метод защиты вируса от удаления, достаточно распространенный.

Основной уклон делается в сторону поведенческого анализа, с чем лично я, собственно, согласен.

Была затронута тема бестелесых вирусов - в частности который хранит свой бинарник в параметре реестре. Вероятно имелся ввиду 0x48k Registry Backdoor от Cr4sh (hellknights.void.ru/releases.php).

Что касается обхода антивирусов, точнее их проактивных систем, наиболее часты две методики - снятие хуков и создание файла вредоносной программы вместо какого-либо системного файла (при этом не приходится создавать ключ автозапуска, т.к. он уже есть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Интересная статья, ничего нового в ней нет. Это скорее констатация собственной беспомощности.

Вопрос к автору, когда это Gromozon стал использовать DKOM, для чего отрастил драйвер и загрузился в ядро?

По поводу "Заключения".

Посмеялся от души минуты две.

"Фи какие вы противные, безответственные и ам0ральные".

А кого, извините, е*?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

жестокий циничный вы человек :D

надо верить в светлое и прекраное, атор обращается к этим чувствам читателя :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Вадим Богданов, Алексей Де-Мондерик, Евгений Касперский

Сентябрь 1992

Несколько советов авторам вирусов

Успокойтесь! Не надо готовить ругательства или, наоборот, потирать руки. Мы не хотим делиться своими идеями с авторами компьютерных вирусов. Все значительно проще - через наши руки прошло несколько сотен образцов компьютерных животных, и слишком часто в них встречались одни и те же ошибки. С одной стороны, это хорошо - такие вирусы часто оказываются "маложивущими", но с другой стороны, малозаметная ошибка может привести к несовместимости вируса и используемого на компьютере программного обеспечения. В результате вирус "вешает" систему, компьютер отдыхает, а пользователи мечутся в панике с криками: "Пусть хоть 100 вирусов, лишь бы компьютер работал!!!" (завтра сдавать заказ, не запускается самая любимая игрушка, компилятор виснет при выходе в DOS и т.п.). И все это происходит при заражении довольно безобидным вирусом.

По причине этого и возникло желание поделиться некоторой информацией о жизни вируса в компьютере, дабы облегчить жизнь и вам, и многочисленным "пользователям" ваших вирусов. Итак, правила для автора вируса.

Умышленное уничтожение или повреждение государственного или общественного имущества наказывается лишением свободы на срок до одного года, или исправительными работами на тот же срок, или штрафом, или возложением обязанности загладить причиненный вред.

(Ст.98 УК РСФСР)

Правило 0. Не надо писать вирусы - на свете так много интересного! Если нечего делать, то перепишите что-нибудь с DOS на Windows, если хочется прославиться - сделайте то же самое, но потом раздайте свою программу всем желающим и нежелающим.

Правило 1. При запуске вирус должен сохранять все регистры, которые передает DOS загружаемой программе (то есть не только AX, DS и ES, но и остальные), а при переходе на программу восстанавливать их (за исключением корректировки SS:SP, если это нужно). Почему? Объясняем.

Существуют (и обязательно появятся еще) программы, которые используют для своих нужд значения регистров, передаваемых из DOS'а при загрузке. Например, довольно популярный архиватор COM- и EXE-файлов DIET (версия 1.10а) при распаковке запускаемых COM-файлов предполагает, что значение регистра ВХ обязательно должно быть равно 0000h. Если подобная программа будет заражена вирусом, который не восстанавливает регистры при передаче управления на тело программы, то она скорее всего "умрет" при загрузке.

При загрузке регистры принимают значения (верно для MS-DOS 3.30 - 5.0): AX = BX - корректность имени диска в командной строке (0 или 00FF); CX, BP - не определены; DX=DS; SI=IP; DI=SP.

Правило 2. Если вы используете или корректируете системные области DOS (буферы, стек, фрагменты обработки прерываний), вы обязательно должны проверять, в какой системе находитесь. Почему? Объясняем.

Как правило, каждая следующая версия DOS своей внутренней организацией не похожа на предыдущую. Это касается и буферов, и стека, и многого другого. Поэтому, если вы полностью дизассемблировали и разобрали по косточкам версию MS-DOS 3.30, это вовсе не значит, что вы постигли все тайны фирмы Microsoft и вам можно ставить памятник. Нет! Вам следует перекурить и приниматься за версию 4.0х, потом 5.00 а в минуты отдыха и по ночам потрошить DR-DOS.

Правило 3. При заражении программ сначала записывайте вирус, а затем модифицируйте начало файла (в случае, если вирус пишется в начало или середину файла - сначала сохраните стираемую часть, а затем записывайте вирус). Почему? Объясняем.

При записи в файл может произойти ошибка (кстати, не забывайте проверять флаг CF при операциях с дисками), и если ваш вирус модифицировал начало файла, а сам не записался, то файл безнадежно испортится и при загрузке скорее всего зависнет.

Правило 4. Если вы заражаете COM- и ЕХЕ- файлы, сохраняйте первые два байта заражаемой программы и проверки "COM или ЕХЕ" проводите только по ним (напомню - в начале ЕХЕ-файлов должна быть сигнатура - 4D5Ah или 5A4Dh). Говорим об этом только потому, что участились случаи появления вирусов, которые проверяют "COM или ЕХЕ" по способу: равен регистр CS регистру DS (ES) или нет (некоторые даже умудряются проверять по регистру IР, - равен он 100h или нет). Это в корне неверно, так как при запуске ЕХЕ-файла регистр CS может быть равен регистру DS (если в ЕХЕ-заголовке по смещению 16h стоит слово FFF0h), а регистр IР- 100h (слово по смещению 14h - 100h). Мы, например, при работе с вирусами иногда используем именно такие файлы.

Кстати, до сих пор попадаются вирусы, которые определяют формат файла по расширению его имени (.COM или .EXE). О том, что это является грубой ошибкой, знают даже в детских садах!

Правило 5. При заражении ЕХЕ-файлов обязательно сравнивайте длину файла с длиной загружаемого модуля. Если они не совпадают, то такой файл лучше не трогать, так как вы либо уничтожите оверлей, либо программа перестанет загружаться в память. Для ЕХЕ-файлов также следует проверять значения стековых регистров, иначе в некоторых случаях вирус будет уничтожен стеком. Так же проверяйте длину СОМ-файлов: не следует их делать больше, чем 64 Кбайта.

Правило 6. Учтите, чем дальше, тем больше вашим вирусам придется сталкиваться с защищенным режимом процессоров 80х86, в котором, как известно, перехват прерывания 21h является довольно тонким вопросом. Если вы перехватываете int 21h "по-старинке", то многие новые продукты (например, Borland С++ 3.0) будут зависать, а Windows при нескольких DOS-задачах в фоновом режиме может выдать "unrecoverable application error".

Для того, чтобы избежать этого, помимо всех известных правил подмены критических прерываний (установка флагов и регистров на выходе), существуют еще два:

* непосредственно перед вызовом OLD 21 нужно запретить аппаратные прерывания (cli);

* для всех функций, которые не обрабатывает ваш резидент, OLD 21 нужно выполнять через JMP, а не через CALL.

Правило 7. Теперь насчет порчи программ и дисков. Сравните вирусы зарубежного и отечественного производства. Вам сразу бросится в глаза, что почти каждый советский вирус, в отличие от зарубежных (не считая тайваньских: "Восток - дело тонкое"), что-нибудь, да испортит. Даже большая группа болгарских вирусов не идет ни в какое сравнение с нашими вирусами по части пакостей. Что это - особенности русской (точнее - советской) души или наследие сталинизма?

Короче, если вы пишете вирус, старайтесь воздерживаться от вставки пакостей - это может вам же выйти боком. Несмотря на отсутствие в нашем уголовном законодательстве статьи о написании вирусов, там есть другая статья - "причинение материального ущерба". Вот по этой статье вас и посадят, тем более, что такой случай уже был (по сообщению Н. Н. Безрукова). Ну, а если и не посадят, то пострадавшие могут найти и, извините, морду набить. И такие случаи тоже бывали.

Ну а уж если вы все-таки вставили какую-то гнусность, то запускайте свой вирус на своем компьютере и - наслаждайтесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

A.

Как все было славно в начале славных дел...

Что можно было бы написать авторам современных угроз? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я бы назвал этот документ "Памяткой вирусописателя" :-)

A., спасибо! Я думаю многим было очень интересно с ним ознакомиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AprilNox
      Has anybody used CBD before? I am very keen to get some CBD Honey Sticks for coughing. Can someone recommend a good brand? I'm presently contemplating JustCBD and Goldleaf Spektrum. Many thanks
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
×