_____ _____     ___
    _,┌\/┐  :░  :░     :░ ╓ social distortion all about vx-scene ╖
 ,4\┘¤"``"¤┘  ll  l¤`     ll  ::;;;::;;....  ....:;..: ::...;.:;;;:;
:░(_          |    ___    ll ._
 `└/|│S|/┐,_ |¤`┌\╙¤"¤╜/:: |╓,._  обход антивирусов [2000]
_____ ``^"¤└/L, d7┘` ___  7l:;%%|.$|
$$$$|_ | `7;?( |asd| :: |$$$|$| by mongoose [m_youth]
$$$$|/┌,.__,┌\:`4│/┐,_  _ll  ``''""¤¤┘┘
$$$$|`└/|││|\┘`   `¤└/│:


   ─  содержание

      введение ........................................... 1
      идея ............................................... 2


   ─ введение

   Мы  написали  вирус.  Через  какой-то  промежуток  времени будет  написан
 антивирус и  продукт  будет  детектироваться  и,  скорее  всего,  корректно
 лечиться.  В  этой  статье  я  расскажу о том,  как  вирус  может  пережить
 "чистку".

   ─ идея

   При  проверке  файлов  зараженных  вирусом  Zhengxi  было  замечено,  что
 детектируются (и соответственно лечатся)  не  все  (не  благодаря  сложному
 полиморфному  движку, а  благодаря  uep).  Это  позволяло  пользователю  на
 некоторое время поверить в  то, что  он  убил  вирус. Вскоре,  вирус  снова
 оживал и пользователь начинал паниковать ;-) ...

   О технологии uep (unknown entry point) уже давно все известно (см. статью
 из social distortion one), да  и не так  уж она  хороша.  Zhengxi  например
 умирал при уничтожении  исполняемых  файлов  (форматировании),  этот  метод
 "лечения" часто используют пользователи (особенно когда вирус вернулся пару
 раз), и  вообще  исполняемым  файлам  грош  цена.  Программы  всегда  можно
 востановить.

   Пользователь всегда хранит резервные копии документов, системный оператор
 хранит самую последнюю копию своей bbsки... А в  нашей стране, слово  сисоп
 равносильно слову ламер и  вирус  распространяется  (по совку)  в  основном
 по "вине" этих  самых сисопов.  Сисопы  со  временем  "модернизируют"  свою
 bbsку,  улучшая интерфейс,  добавляя  новые  утилитки  и часто,  улучшенная
 версия bbsки, запаковывается  и  переносится  в  надежное  место,  по каким
 причинам понятно. Особо  умные  сисопы  не хранят исполняемые  файлы,  чаще
 хранят только настройки, базы, примочки под bbs и т.д.

   Например,  наш вирус находит  файл  написанный  на языке программирования
 (ppe, tsl, mex, mecca...) только под bbs.  Мы  добавляем  в  код  программы
 дроппер, который,  при получении управления,  выпускает  вирус  на  свободу
 (так поступают вирусы семейства Pixel.Flea.1XX7), например  записывает  код
 в  C:\COMMAND.COM.  Таким   образом,   вирус   получает   управление  после
 запуска bbs.

   Вероятность того, что антивирусы будут проверять  ppe/tsl/mec/m...  файлы
 на наличие вирусного дроппера очень мала (но все же есть).  red  blooded 2,
 который умел заражать crk-файлы, avp  даже  не  сканировал  их  на  наличие
 вируса.

   Некоторые   распространенные   платформы   (Tornado)   не   нуждаются   в
 компиляторах и все "примочки" находятся в текстовых файлах, человек немного
 разбирающийся в языке программирования  может  заподозрить  неладное,  да и
 дроппер вставлять в файл "долгоемкий" процесс.

                               (x) 2000 mongoose, misdirected_youth_all-star