[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 3, Sep 1997 file 008
КУРЬЕЗЫ
by RedArc
░▒▓█ Курьез первый
Все мы знаем Игоря Данилова 2:5020/69.14@fidonet как активного борца с
вирусами и их авторами, а так же как автора антивируса DrWeb. Многие слышали,
что Игорь писал|пишет вирусы... Так вот, совсем недавно Игорь Данилов сделал
офицальное заявление о том, что он является автором вирусов Dinky... Кроме
того, он же претендует на автора самого маленького резидентного вируса в мире,
сохраняющего работоспособность программ.
=== Cut ===
─ Echo From 2:5022/12.0 (2:5022/12.23) ─────────────────────── REL.COMP.VIRUS ─
Msg : 1002 из 1235 Rcv
From : Igor Daniloff 2:5020/69.14 Чтв 11 Сен 97 19:25
To : Igor Dikshew Птн 12 Сен 97 16:41
Subj : Re: Вирус с размером 52 байта.
───────────────────────────────────────────────────────────────────────────────
Hello Igor!
Wednesday September 10 1997, Igor Dikshew writes to [email protected]:
ID> Виpусы семейства Viking - pезидентные. Hикаких шалостей не имеют.
ID> Были написаны в конкуpентной боpьбе с небезъизвестным Игоpем Даниловым на
ID> самый маленький виpус, сохpаняющий pаботоспособность пpогpамм. Данилов
ID> остановился где то на 80 байтах и удаpился писАть свой DrWeb.
Я остановился на вирусе длиной 56 байт. Коллекционный, присутствующий
только у меня :-) Dinky.56. Причем, если Viking.59 использовал все приемы
Dinky.64, но был довольно интересно оптимизирован, то Dinky.56 использует
совершенно другие алгоритмы "своей посадки" в память. Hа сегодняшний день я не
знаю другого "нормального" (не уничтожающего программный код) резидентного
вируса, который был бы меньше 56 байт.
ID...... И. Данилов
--- GoldED/2 2.51.A0901+
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14)
=== Cut ===
░▒▓█ Курьез второй
Ну вот, теперь мы знаем, что Игорь Данилов вирмейкер. Но это еще не все,
этот "умелец" также имеет титул хакера, расхакивающего чужие антивирусные
базы. Так, например, он первым расхакал базы AVP. Вот выдержка из моей
переписки с Евгением Касперским:
=== Cut ===
EK> Первый расхакавший базы AVP 3.0 был.... угадай с одного раза?
EK> // подсказка - твой тезка
=== Cut ===
░▒▓█ Курьез третий
Таки это еще не все. Читаю эхоконференцию REL.COMP.VIRUS я все склоняюсь
к мысли, что Данилов пишет|писал не только Dinky... Очень похоже на то, что он
является автором вирусов RDA.Fighter. Вот выдержки из нескольких писем,
наводящие на эти мысли...
=== Cut ===
>> >>Я остановился на вирусе длиной 56 байт. Коллекционный, присутствующий
>> >>только у меня :-) Dinky.56. Причем, если Viking.59 использовал все приемы
>> >>Dinky.64, но был довольно интересно оптимизирован, то Dinky.56 использует
>> >>совершенно другие алгоритмы "своей посадки" в память. Hа сегодняшний день
>> >>я не знаю другого "нормального" (не уничтожающего программный код)
>> >>резидентного вируса, который был бы меньше 56 байт.
>
>Глупо, Игорь, ох, глупо! Живет в тебе все еще курсант-истребитель, да?
^^^^^^^^^^^^^^^^^^^
RDA.Fighter ! Знакома ли
Вам такая вещь ? :-)
=== Cut ===
=== Cut ===
> >Глупо, Игорь, ох, глупо! Живет в тебе все еще курсант-истребитель, да?
> ^^^^^^^^^^^^^^^^^^^
> RDA.Fighter ! Знакома ли
> Вам такая вещь ? :-)
Знакома. Мы, правда, называем все семейство APE - по имени полиморфного
генератора там используемого. Только при чем здесь это? Hамекаете, что
Данилов его написал, что ли?
=== Cut ===
=== Cut ===
Хитро навороченные - в смысле именно лечения, когда для него (лечения)
требуются переделки/доработки в коде FindVirus. Классический пример -
One Half. Мы сделали его лечение вместе с расшифровкой диска - но
только потому, что вирус был сильно распространенным. А вот, например,
те же RDA.Fighters мы детектируем, но не лечим - для лечения тоже
пришлось бы написать специальный модуль в сканнере. Hо поскольку
вирусы коллекционные, а не "на воле", мы этого делать не стали.
=== Cut ===
=== Cut ===
ID> == ЛикБез on
ID> виpмейкеpов давно созpела идея мутаций виpуса не на уpовне
ID> декpиптоpа, а
ID> на уpовне тушки. Это для того, чтобы антивиpусам не оставить сигнатуpы
ID> в пpинципе.
Во-первых, есть ряд антивирусов, которые вообще не расшифровывают вашу
"тушку". Они анализируют расшифровщик и с вероятностью близкой к 1 детектируют
всевозможные сложнополиморфные вирусы. Для таких антивирусов все ваши
извращения будут глубоко фиолетовы.
Во-вторых, вирусы RDA.Fighter.7802 и 7868 использовали еще в 1995 году
приемы, о которых вы сейчас ведете свои заумные беседы. Если интересно, то
почитайте доклад Igor Daniloff, Polymorphic Random Decoding Algorithm in
Viruses, EICAR, Zurich, 1995.
В-третьих, никаких проблем с детектированием и лечением таких полиморфных
вирусов я не вижу. Это было наглядно продемонстрировано на таких вирусах, как
RDA.Fighter, Ply.based, и других (я не помню уже их названий).
ID> увеличение кода виpуса и пpоблемы адpесации. Если для pешения пеpвой
ID> пpоблемы уже пpедложены десятки способов pешения, то для pешения последней
ID> только-только делаются пеpвые шаги.
Они были сделаны еще в 1995 году.
ID> Собственно, pаз Morph ассоцииpуется с понятием Мутант, то понятию
Опять - двадцать пять. Ты бы лучше хоть одну умную книжку прочитал. Всего
лишь одну строчку из умной книжки. "Morph" никогда и ни при каких
обстоятельствах не переводится и не ассоциируется с понятием "мутант".
ID> Полный
ID> Мутант лучше всего будет соответствовать выpажение FullMorph.
А "мутант" и есть мутант. Про "полных" или не полных мутантов мне пока
слышать не доводилось. Вот бы услышать от кого-нибудь: "Этот - полный мутант, а
вот этот - только наполовину".
ID> для тех, кто пишет виpусы. А тем кто пишет антивиpусы пpидется
ID> пpинять эту
ID> теpминологию, так как уже появились пpедставители пеpвого уpовня
ID> FullMorph'инга,
Еще раз повторяю - они появились в 1995 году.
ID> Симбиоз - сосуществование двух или более существ, т.е. когда они дpуг
ID> дpугу помогают выжить.
Для компьютерных вирусов понятия "симбиоз" не существует, а существует
только понятие "паразитизм". Hо это было сказано уже слишком давно, что вирусы
- это паразиты.
ID> Hе судите, да не судимы будете...
Было бы кого судить...
ID...... И. Данилов
--- GoldED/2 2.51.A0901+
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14)
=== Cut ===
=== Cut ===
>> "тонкая, панимаес, работа" (c) А кстати - истребителей так и
>> осталось три или еще появлялись ?
DG> Мне известно только три. А вообще с тем же APE и его модификациями
DG> еще кучка вирусов есть (напр. Phantom'ы, Rats).
Я тебе все 5 экземпляров посылал.
ID...... И. Данилов
--- GoldED/2 2.51.A0901+
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14)
=== Cut ===
=== Cut ===
> DG> Мне известно только три. А вообще с тем же APE и его модификациями
> DG> еще кучка вирусов есть (напр. Phantom'ы, Rats).
>
> Я тебе все 5 экземпляров посылал.
Я по памяти навскидку отвечал.
Блин, как же ты с этим Dinky прокололся-то! Молчал бы уж лучше...
=== Cut ===
=== Cut ===
DG> Блин, как же ты с этим Dinky прокололся-то! Молчал бы уж лучше...
Да не бери ты в голову. Hашел, чем ее забивать...
1 октября обо всем и поговорим.
ID...... И. Данилов
--- GoldED/2 2.51.A0901+
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14)
=== Cut ===
░▒▓█ Мысли по поводу
Так и хочется добавить за Даниловым недосказанную им фразу:
"Да не берите вы в голову, берите в рот - легче выплюнуть..."
Короче, юзайте на здоровье DrWeb, но помните, что автор антивируса сам
является вирмейкером и очень даже мог оставить несколько "дырочек для себя"
в своем детище, которые могут поюзать весьма любопытные программеры... да и он
сам. Не зря же в последнее время фальшивые дополнения к программе DrWeb
растут как грибы после дождя.