- •Отчет по практической работе № 8. Часть 1.
- •Практическая часть
- •Парктическаяая работа № 8. Часть 1.
- •Теоретическая часть Понятие зловредного программного обеспечения. Часть 1.
- •Классификации зпо
- •Стадии существования:
- •1. Стадия хранения
- •2. Стадия исполнения
- •Стелс-вирусы
- •2.2. Поиск жертвы
- •2.3. Заражение
- •Принципы функционирования зпо. Конструкторы вирусов. Часть 2.
- •Анализ программного обеспечения
- •1. Virus Creation Laboratory. Автор : [NuKe] usa.
- •2. Phalcon-Skism Mass Produced Code Generator. Автор : [Phalcon/skism] usa/Canada.
- •3. G2. Автор : [Phalcon/skism] usa/Canada.
- •4. Biological Warfare. Автор : MnemoniX (usa).
- •5. NuKe Randomic Life Generator. Автор : Azrael/NuKe (Argentina).
- •6. Virus Construction Set. Автор : Verband Deutscher Virenliebhaber (Germany).
- •9. Ivp ('Instant Virus Production Kit'). Автор : Youngsters Against McAffe (usa).
- •11. Конструктор tpe. Автор: Masud Khafir.
- •12. Mte. Автор: MadManiac (Bulgaria).
- •Практическая часть
- •Вопросы для контроля. Часть 1.
- •Познакомьтесь с классифи кациями зпо и заполните таблицу:
- •Литература.
3. G2. Автор : [Phalcon/skism] usa/Canada.
Судя по всему, Dark Angel остался недоволен своим детищем PS-MPC, посему он вскоре выпустил другой компилятор - G2 или G в квадрате, что является "аббревиатурой" от Second Generation in virus creation.
G2 в работе очень напоминает PS-MPC, но на самом деле он более мощный инструмент в создании вирусного кода. Dark Angel вынес логику генерации кода во внешний файл G2.DAT и декларировал, что будет выпускать новые версии G2 путем замены этого файла на новый. К сожалению, мне неизвестны усовершенствованные варианты G2.DAT. Отличительная черта G2 - это встроенный модификатор кода, позволяющий при каждом запуске компилятора создавать слегка отличающийся код. G2 совместим снизу вверх с PS-MPC по формату конфигурационных файлов. С помощью G2 создано несколько десятков реальных вирусов.
Известные мне на данный момент версии:
G2 0.70B : Январь 1993
4. Biological Warfare. Автор : MnemoniX (usa).
Другим хорошим вирусным конструктором являлся Biological Warfare, также известного как BW. BW как и все вирус-компиляторы генерирует исходный код (разумеется, ассемблер) вируса в соответствии со спецификациями, заданными пользователем. Задание опций генерации происходит интерактивно - в виде вопросов/ответов.
Генерируемые вирусы имеют следующие характеристики:
Резидентные / не резидентные
Поражение EXE/COM файлов
Шифрование - как простое так и с помощью BWME (см.ниже)
Анти-трассировочные приемы
Поражение COMMAND.COM - опционально
Обработчик Int24 (критической ошибки DOS)
Два уровня Stealth
Прочие : способ обхода каталогов, проверка оверлеев, итд.
С компилятором поставляется Biological Warfare Mutation Engine небольшой (609 байт) полиморфный генератор, что несколько затрудняет обнаружение вирусов.
Опять же если кто-то не знает пароля - ' frea '.
Известные мне на данный момент версии:
BW 0.90beta : Апрель 1994
BW 1.00 : Июль 1994
5. NuKe Randomic Life Generator. Автор : Azrael/NuKe (Argentina).
Очередное произведение неутомимых тружеников группы NuKE - новый генератор вирусов NRGL. Выполненный в лучших традициях инструментов NuKE - с красочной IDE с разнообразными видеоэффектами, этот компилятор тем не менее не пользовался большой популярностью среди вирусного сообщества, хотя и известны несколько десятков NRGL-вирусов.
Компилятор позволяет задать набор свойств вируса, среди которых противодействие резидентным антивирусов, уничтожение файлов контрольных сумм, процедуру шифровки/дешифровки. Помимо этого NRGL предлагает набор деструктивных функций, которые можно внедрить в код создаваемого вируса, таких как уничтожение MBR, файлов и случайных секторов. Код, генерируемый NRGL не отличается читабельностью, хотя человек неплохо знающий ассемблер, может в нем разобраться.
Известные мне на данный момент версии:
NRLG 0.66beta : Июнь 1994
6. Virus Construction Set. Автор : Verband Deutscher Virenliebhaber (Germany).
Если Virus Construction Lab группы NuKE был первой успешной попыткой создать вирусный компилятор, то программа VCS является самой первой попыткой программу для создания вирусного кода.
Выпущенная в конце 1990 года группой, название которой переводится как 'Ассоциация Любителей Вирусов', VCS не отличается особой изощренностью. VCS запрашивает текст, появляющийся в теле вируса и количество поколений вируса, после которого наступает активация. Затем VCS создает файл Virus.Com, содержащий вирусный код. Вирусы, созданные этим компилятором, имеют одинаковые характеристики :
Поражение только COM-файлов
Количество поражаемых файлов фиксировано
Алгоритм активации : уничтожение Autoexec.bat и Config.sys и вывод заданного при генерации текста
Единственной "изюминкой" конструктора является наличие в создаваемых вирусах средств маскировки под антивирусом FluShot. Тем не менее, известно несколько VCS-вирусов.
Известные мне на данный момент версии:
VCS English : 1990/91
VCS German : 1990/91
7. Virus Creation 2000. Автор : Havoc The Chaos (USA)
The Virus Creation 2000 System, сокращенно называемая VC2000 довольно неплохая система генерации вирусного кода. Распространяется в виде одного файла размером около 25K. Перед созданием вируса необходимо специфицировать его свойства, такие как:
Резидентность / нерезидентность
Дописывание или записывание поверх кода жертвы
Проверка внутренней структуры поражаемых файлов
Проверка размеров COM-файлов
Буферизация DTA-области на время поиска
Метод поиска жертв
Обработка Int24
Содержит атни-антивирусный код:
Блокирует клавиатуру при попытке трассировки кода
Обходит ThunderBYTE TBClean
Завешивает Turbo Debugger
Противодействие ThunderBYTE TBSCANX
Код для борьбы с F-Prot
Примечательно, что вместе с вирусом может быть сгенерирован код определения наличия генерируемого вируса в памяти. Для удобства работы при генерации ассемблерного кода также генерируется и пакетный файл MAKEVIR.BAT, продуцирующий двоичный код вируса.
Известные мне на данный момент версии:
VC2000 0.95 : не распростанялась
VC2000 0.96 : Декабрь 1993
VC2000 0.97 : Январь 1994
7. VICE ('Virogen's Irregular Code Engine').
VICE (Virogen's Irregular Code Engine) -это очередной полиморфик-генератор, см. MtE и TPE.Существуют несколько версий генератора, они содержат строки:
[VICE v0.1с, by _irogen]
{VICE v0.2с, by _irogen [NuKE]}
{ViCE v0.3с, by _irogen [NuKE]}
[_iCE v0.5, by _iro
Несколько вирусов на базе VICEраспространяются вместе с самим генератором. Это неопасные резидентные вирусы. Он перехватывает INT 21h и записываются вконец запускаемых COM- и EXE-файлов.
8. Amber. Создан в 1996 году. Полиморфный генератор шифровщиков и расшифровщиков. Amber - генератор полиморфных вирусов.Содержит текст: Amber1.07@beta