_____ _____ ___
_,┌\/┐ :░ :░ :░ ╓ social distortion all about vx-scene ╖
,4\┘¤"``"¤┘ ll l¤` ll ::;;;::;;.... ....:;..: ::...;.:;;;:;
:░(_ | ___ ll ._
`└/|│S|/┐,_ |¤`┌\╙¤"¤╜/:: |╓,._ обход антивирусов [2000]
_____ ``^"¤└/L, d7┘` ___ 7l:;%%|.$|
$$$$|_ | `7;?( |asd| :: |$$$|$| by mongoose [m_youth]
$$$$|/┌,.__,┌\:`4│/┐,_ _ll ``''""¤¤┘┘
$$$$|`└/|││|\┘` `¤└/│:
─ содержание
введение ........................................... 1
идея ............................................... 2
─ введение
Мы написали вирус. Через какой-то промежуток времени будет написан
антивирус и продукт будет детектироваться и, скорее всего, корректно
лечиться. В этой статье я расскажу о том, как вирус может пережить
"чистку".
─ идея
При проверке файлов зараженных вирусом Zhengxi было замечено, что
детектируются (и соответственно лечатся) не все (не благодаря сложному
полиморфному движку, а благодаря uep). Это позволяло пользователю на
некоторое время поверить в то, что он убил вирус. Вскоре, вирус снова
оживал и пользователь начинал паниковать ;-) ...
О технологии uep (unknown entry point) уже давно все известно (см. статью
из social distortion one), да и не так уж она хороша. Zhengxi например
умирал при уничтожении исполняемых файлов (форматировании), этот метод
"лечения" часто используют пользователи (особенно когда вирус вернулся пару
раз), и вообще исполняемым файлам грош цена. Программы всегда можно
востановить.
Пользователь всегда хранит резервные копии документов, системный оператор
хранит самую последнюю копию своей bbsки... А в нашей стране, слово сисоп
равносильно слову ламер и вирус распространяется (по совку) в основном
по "вине" этих самых сисопов. Сисопы со временем "модернизируют" свою
bbsку, улучшая интерфейс, добавляя новые утилитки и часто, улучшенная
версия bbsки, запаковывается и переносится в надежное место, по каким
причинам понятно. Особо умные сисопы не хранят исполняемые файлы, чаще
хранят только настройки, базы, примочки под bbs и т.д.
Например, наш вирус находит файл написанный на языке программирования
(ppe, tsl, mex, mecca...) только под bbs. Мы добавляем в код программы
дроппер, который, при получении управления, выпускает вирус на свободу
(так поступают вирусы семейства Pixel.Flea.1XX7), например записывает код
в C:\COMMAND.COM. Таким образом, вирус получает управление после
запуска bbs.
Вероятность того, что антивирусы будут проверять ppe/tsl/mec/m... файлы
на наличие вирусного дроппера очень мала (но все же есть). red blooded 2,
который умел заражать crk-файлы, avp даже не сканировал их на наличие
вируса.
Некоторые распространенные платформы (Tornado) не нуждаются в
компиляторах и все "примочки" находятся в текстовых файлах, человек немного
разбирающийся в языке программирования может заподозрить неладное, да и
дроппер вставлять в файл "долгоемкий" процесс.
(x) 2000 mongoose, misdirected_youth_all-star