Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.DOS.DarkParanoid

Třída Virus
Platfoma DOS
Popis

Technické údaje

Jedná se o paměťový parazitní polymorfní virus. Zapíná INT 1, 21h a zapíše se na konec EXE a na začátek souborů COM.

Tento virus využívá extrakomplexní způsob šifrování typu "on-the-fly" – v každém okamžiku, kdy je kód viru spuštěn, pouze jedna instrukce představuje nešifrovanou podobu – všechny ostatní virové kódy jsou šifrovány. Virus to dělá pomocí triků s režimem trasování INT 1. Když vírusový kód získá kontrolu, háče INT 1 a po provedení jakéhokoliv virového příkazu (s výjimkou několika speciálních opcodů – viz "Uživatelská příručka Intel 80×86") je vyvolána INT 1. Virus zavěsí toto volání, dešifruje kód níže uvedené instrukce a šifruje kód výše.


prev výuka – šifrována
aktuální instrukce – čistý
další instrukce – zašifrována
Po provedení "aktuální instrukce" virus přebírá kontrolu pomocí háčku INT 1, šifruje "aktuální instrukci" a dešifruje "další instrukci". Výsledkem je, že v každém okamžiku je buď celý kód viru zašifrován, nebo jen jedna instrukce představuje čistou. Kromě toho virus šifruje / dešifruje přesně kód předchozí / další instrukce, ale některé bajty / slova v několika kompenzacích od adresy aktuální instrukce. Výsledkem toho je, že virusový instrukční tok vypadá jako pohyblivý "bod" s "čistou" instrukcí uprostřed místa, částečně zašifrovaným kódem na zbytku místa a zcela šifrovaným kódem mimo místo.

Existují tři bloky kódu, které nelze takto zašifrovat – jsou to handler INT 1 (en / decryptor), počáteční kód v infikovaných souborech a obsluha INT 21h v kopii viru TSR. Obě spouštěcí kód v souborech a INT 21h handler INT 1 při přijetí kontroly, přepnutí do trasovacího režimu a předávání řízení k hlavním rutinám – instalační rutina v souborech a hlavní kód obsluhy INT 21h v kopii viru TSR.

Rutinový program INT 1 a samozřejmě samotný obslužný program INT 1 nejsou šifrovány, jsou pouze polymorfní – virus používá silný polymorfní motor, který generuje kód INT 1 hookeru na vstupním místě v infikovaných souborech, stejně jako pro jeho INT 1 a 21h.

Virusový kód v infikovaném souboru:


Vstup: + ————- +
Háček INT 1 | – polymorfní
| – – – – – – –
| Obsluha INT 1 | – polymorfní
| – – – – – – –
Hlavní virus | – zašifrováno pomocí INT 1
kód: TSR |
instalátor,
| atd. |
+ ————- +
Virový kód v paměti:

INT 21h + ————- +
zápis: | INT 1 háček | – polymorfní
| – – – – – – –
| Obsluha INT 1 | – polymorfní
| – – – – – – –
Hlavní virus | – zašifrováno pomocí INT 1
kód: INT 21h |
manipulátor,
| atd. |
+ ————- +
V důsledku toho jsou všechny "záznamy" na kód viru (počáteční adresa v infikovaných souborech, obslužný program INT 1 a počáteční kód obsluhy INT 21h) jsou polymorfní a hlavní kód viru je zašifrován – to je poměrně silná úloha antivirových výzkumníků, postupy pro tento druh viru.

Polymorfní motor

Rozdíl mezi běžnými polymorfními motory a motorem "DarkParanoid" spočívá v tom, že v tomto viru není v polymorfním kódu žádná dešifrovací smyčka – háčkuje INT 1 a začne sledovat hlavní kód. Tento kód v různých infikovaných souborech se může objevit v jiné podobě – ​​při generování tohoto kódu virus náhodně vybírá registry, příkazy, režimy přístupu k datům a podobně.

Podobné pro handler INT 1, který obsahuje rutinu šifrování / dešifrování on-the-fly. Tento kód v různých souborech je také jiný – více než deset šifrovacích funkcí je náhodně vybráno ze sady ADD, SUB, XOR, NEG, NOT, ROR, ROL, stejně jako přístup k bytu a slovům. Používají se také náhodné registry a v některých mezích je náhodně vybrána kompenzace obslužného programu INT 1.

Instalace a obsluha INT 21h

Virus "DarkParanoid" je rezidentní paměť, takže při spuštění infikovaného souboru se virus vloží do systémové paměti. Chcete-li to provést, zavede INT 1 k aktivaci rutiny on / the-fly en / deciprip, přidělí blok paměti systémové paměti v konvenční paměti DOS nebo v Upper Memory Blocks, pokud je k dispozici dostatek volné paměti (asi 7,5 K). Virus poté zkopíruje svůj kód tam, háčky INT 21h a vrátí kontrolu do hostitelského programu.

Při instalaci paměti rezidentů virus také spouští svůj polymorfní motor, aby generoval dešifrovací rutiny pro jejich použití při infikování souborů. Virus již nevolá tento stroj a v důsledku toho je virus nainstalován tak, že stejným polymorfním kódem dojde až k dalšímu restartování a opětovnému instalaci. To může bláznit uživatele a výzkumníky virů – virus se pokusí ujistit, že jde o nějaký šifrovaný virus, ale nikoliv o polymorfní, takže je možné ho detekovat pouze jedním šestnástkem.

Správce virů INT 21h zachycuje soubor FileOpen / Vytvoření hovorů (AH / AX = 3Ch, 5Bh 6C00h), volání FileClose (AH = 3Eh) a strategie přidělení alokace (AX = 5800h).

Poslední funkce (Get Allocation Strategy) se používá jako "Jste tady?" volání. Toto volání provádí virus během instalace paměti. Před tímto voláním vloží virus do registru CX číslo aktuálního roku plus aktuální číslo měsíce a dne (Získat aktuální datum podle INT 21h s AH = 2Ah, potom CX = CX + DX, pak INT 21h s AX = 5800h).

Paměť rezidentní virální kopie zachycuje, získá aktuální datum a rok a srovnává jejich přidání s registrem CX. Pokud jsou stejné, kopie virů TSR nevrátí kontrolu zpět na aktivní kopii virů, ale předá je samotnému hostitelskému programu. Zdá se, že je to docela účinný trik proti potížím – pokud je virus již v paměti, rezidentní volání jako GetAllocationStrategy se nevrátí zpět k ladicímu programu.

Když je soubor otevřen, virus porovnává jeho příponu s příponami "COM" a "EXE" av případě těchto rozšíření ukládá popisovač souboru, který ho napadne, když bude soubor uzavřen. Výsledkem je, že pouze spustitelné soubory se dostanou k infekci, když jsou otevřeny (například když jsou antivirové programy naskenovány pro viry nebo uloženy do zálohy) nebo zkopírovány.

Před infikováním souboru virus kontroluje název souboru a neinfikuje několik antivirových programů a nástrojů – neinfikuje soubory s názvy, které začínají písmeny AV, SC, CL, GU, NO, FV, TO, TB (AVP , AVG, SCAN, CLEAN, GUARD, TBAV atd.)

Virus zapíše svůj kód na konec souborů EXE a upravuje potřebná pole v záhlaví souboru EXE. V případě souboru COM virus vloží svůj kód na začátek souboru a uloží původní soubor od konce souboru.

Zatímco infikování viru zvyšuje velikost souboru podle čísla proměnné, zapisuje do souboru 5297 bajtů skutečného virového kódu (šifrovaného) a náhodně vybraného čísla (až 1001 bajtů) dat z náhodně zvolené adresy v systémové paměti. Virus také vyrovná délku souborů EXE s odstavcem (16 bajtů) před infekcí a neinfikuje soubory COM s délkou nad 60K. Chcete-li oddělit soubory COM a EXE, virus kontroluje záhlaví souboru (razítko MZ / ZM EXE).

Chcete-li oddělit infikovaný a ne infikovaný soubor, použije virus standardní trik s razítkem času a data souboru – po infikování souboru virus nastaví časovou značku na 2 sekundy a tuto infekci zkontroluje před infekcí.

Spuštění rutiny

Spouštěcí rutina je spuštěna virem v závislosti na jeho náhodném čítači – při infikování každého souboru virus s pravděpodobností 1/4000 zobrazí text "DaRK PARaNOiD" do středu obrazovky, pak zvuky z PC reproduktoru a otřese obrazovku pomocí VGA funkce karty.

Virus také obsahuje text uvnitř kódu svého polymorfního motoru:


MOTOR VEČEJNÉ ŠKOLENÍ


Odkaz na originál