Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: DOS
No platform descriptionPopis
Technické údaje
Jedná se o paměťový parazitní polymorfní virus. Zapíná INT 1, 21h a zapíše se na konec EXE a na začátek souborů COM.
Tento virus využívá extrakomplexní způsob šifrování typu "on-the-fly" - v každém okamžiku, kdy je kód viru spuštěn, pouze jedna instrukce představuje nešifrovanou podobu - všechny ostatní virové kódy jsou šifrovány. Virus to dělá pomocí triků s režimem trasování INT 1. Když vírusový kód získá kontrolu, háče INT 1 a po provedení jakéhokoliv virového příkazu (s výjimkou několika speciálních opcodů - viz "Uživatelská příručka Intel 80x86") je vyvolána INT 1. Virus zavěsí toto volání, dešifruje kód níže uvedené instrukce a šifruje kód výše.
prev výuka - šifrovánaaktuální instrukce - čistýdalší instrukce - zašifrovánaPo provedení "aktuální instrukce" virus přebírá kontrolu pomocí háčku INT 1, šifruje "aktuální instrukci" a dešifruje "další instrukci". Výsledkem je, že v každém okamžiku je buď celý kód viru zašifrován, nebo jen jedna instrukce představuje čistou. Kromě toho virus šifruje / dešifruje přesně kód předchozí / další instrukce, ale některé bajty / slova v několika kompenzacích od adresy aktuální instrukce. Výsledkem toho je, že virusový instrukční tok vypadá jako pohyblivý "bod" s "čistou" instrukcí uprostřed místa, částečně zašifrovaným kódem na zbytku místa a zcela šifrovaným kódem mimo místo.
Existují tři bloky kódu, které nelze takto zašifrovat - jsou to handler INT 1 (en / decryptor), počáteční kód v infikovaných souborech a obsluha INT 21h v kopii viru TSR. Obě spouštěcí kód v souborech a INT 21h handler INT 1 při přijetí kontroly, přepnutí do trasovacího režimu a předávání řízení k hlavním rutinám - instalační rutina v souborech a hlavní kód obsluhy INT 21h v kopii viru TSR.
Rutinový program INT 1 a samozřejmě samotný obslužný program INT 1 nejsou šifrovány, jsou pouze polymorfní - virus používá silný polymorfní motor, který generuje kód INT 1 hookeru na vstupním místě v infikovaných souborech, stejně jako pro jeho INT 1 a 21h.
Virusový kód v infikovaném souboru:
Vstup: + ------------- +Háček INT 1 | - polymorfní| - - - - - - -| Obsluha INT 1 | - polymorfní| - - - - - - -Hlavní virus | - zašifrováno pomocí INT 1kód: TSR |instalátor,| atd. |+ ------------- +Virový kód v paměti:
INT 21h + ------------- +zápis: | INT 1 háček | - polymorfní| - - - - - - -| Obsluha INT 1 | - polymorfní| - - - - - - -Hlavní virus | - zašifrováno pomocí INT 1kód: INT 21h |manipulátor,| atd. |+ ------------- +V důsledku toho jsou všechny "záznamy" na kód viru (počáteční adresa v infikovaných souborech, obslužný program INT 1 a počáteční kód obsluhy INT 21h) jsou polymorfní a hlavní kód viru je zašifrován - to je poměrně silná úloha antivirových výzkumníků, postupy pro tento druh viru.
Polymorfní motor
Rozdíl mezi běžnými polymorfními motory a motorem "DarkParanoid" spočívá v tom, že v tomto viru není v polymorfním kódu žádná dešifrovací smyčka - háčkuje INT 1 a začne sledovat hlavní kód. Tento kód v různých infikovaných souborech se může objevit v jiné podobě - při generování tohoto kódu virus náhodně vybírá registry, příkazy, režimy přístupu k datům a podobně.Podobné pro handler INT 1, který obsahuje rutinu šifrování / dešifrování on-the-fly. Tento kód v různých souborech je také jiný - více než deset šifrovacích funkcí je náhodně vybráno ze sady ADD, SUB, XOR, NEG, NOT, ROR, ROL, stejně jako přístup k bytu a slovům. Používají se také náhodné registry a v některých mezích je náhodně vybrána kompenzace obslužného programu INT 1.
Instalace a obsluha INT 21h
Virus "DarkParanoid" je rezidentní paměť, takže při spuštění infikovaného souboru se virus vloží do systémové paměti. Chcete-li to provést, zavede INT 1 k aktivaci rutiny on / the-fly en / deciprip, přidělí blok paměti systémové paměti v konvenční paměti DOS nebo v Upper Memory Blocks, pokud je k dispozici dostatek volné paměti (asi 7,5 K). Virus poté zkopíruje svůj kód tam, háčky INT 21h a vrátí kontrolu do hostitelského programu.Při instalaci paměti rezidentů virus také spouští svůj polymorfní motor, aby generoval dešifrovací rutiny pro jejich použití při infikování souborů. Virus již nevolá tento stroj a v důsledku toho je virus nainstalován tak, že stejným polymorfním kódem dojde až k dalšímu restartování a opětovnému instalaci. To může bláznit uživatele a výzkumníky virů - virus se pokusí ujistit, že jde o nějaký šifrovaný virus, ale nikoliv o polymorfní, takže je možné ho detekovat pouze jedním šestnástkem.
Správce virů INT 21h zachycuje soubor FileOpen / Vytvoření hovorů (AH / AX = 3Ch, 5Bh 6C00h), volání FileClose (AH = 3Eh) a strategie přidělení alokace (AX = 5800h).
Poslední funkce (Get Allocation Strategy) se používá jako "Jste tady?" volání. Toto volání provádí virus během instalace paměti. Před tímto voláním vloží virus do registru CX číslo aktuálního roku plus aktuální číslo měsíce a dne (Získat aktuální datum podle INT 21h s AH = 2Ah, potom CX = CX + DX, pak INT 21h s AX = 5800h).
Paměť rezidentní virální kopie zachycuje, získá aktuální datum a rok a srovnává jejich přidání s registrem CX. Pokud jsou stejné, kopie virů TSR nevrátí kontrolu zpět na aktivní kopii virů, ale předá je samotnému hostitelskému programu. Zdá se, že je to docela účinný trik proti potížím - pokud je virus již v paměti, rezidentní volání jako GetAllocationStrategy se nevrátí zpět k ladicímu programu.
Když je soubor otevřen, virus porovnává jeho příponu s příponami "COM" a "EXE" av případě těchto rozšíření ukládá popisovač souboru, který ho napadne, když bude soubor uzavřen. Výsledkem je, že pouze spustitelné soubory se dostanou k infekci, když jsou otevřeny (například když jsou antivirové programy naskenovány pro viry nebo uloženy do zálohy) nebo zkopírovány.
Před infikováním souboru virus kontroluje název souboru a neinfikuje několik antivirových programů a nástrojů - neinfikuje soubory s názvy, které začínají písmeny AV, SC, CL, GU, NO, FV, TO, TB (AVP , AVG, SCAN, CLEAN, GUARD, TBAV atd.)
Virus zapíše svůj kód na konec souborů EXE a upravuje potřebná pole v záhlaví souboru EXE. V případě souboru COM virus vloží svůj kód na začátek souboru a uloží původní soubor od konce souboru.
Zatímco infikování viru zvyšuje velikost souboru podle čísla proměnné, zapisuje do souboru 5297 bajtů skutečného virového kódu (šifrovaného) a náhodně vybraného čísla (až 1001 bajtů) dat z náhodně zvolené adresy v systémové paměti. Virus také vyrovná délku souborů EXE s odstavcem (16 bajtů) před infekcí a neinfikuje soubory COM s délkou nad 60K. Chcete-li oddělit soubory COM a EXE, virus kontroluje záhlaví souboru (razítko MZ / ZM EXE).
Chcete-li oddělit infikovaný a ne infikovaný soubor, použije virus standardní trik s razítkem času a data souboru - po infikování souboru virus nastaví časovou značku na 2 sekundy a tuto infekci zkontroluje před infekcí.
Spuštění rutiny
Spouštěcí rutina je spuštěna virem v závislosti na jeho náhodném čítači - při infikování každého souboru virus s pravděpodobností 1/4000 zobrazí text "DaRK PARaNOiD" do středu obrazovky, pak zvuky z PC reproduktoru a otřese obrazovku pomocí VGA funkce karty.Virus také obsahuje text uvnitř kódu svého polymorfního motoru:
MOTOR VEČEJNÉ ŠKOLENÍ
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com