_____ _____ ___
_,┌\����/┐ :░�� :░�� :░�� ╓ social distortion all about vx-scene ╖
,4��\┘¤"``"¤┘ l��l l¤` l��l ::;;;::;;.... ....:;..: ::...;.:;;;:;
:�░�(_ ��| ___ l��l ._
`└/|│��S|/┐,_ |¤`┌\�╙¤"¤╜/:���: |��╓�,._ "посмотри мою демку" [2001]
_____ ``^"¤└/��L, d�7┘` ___ 7��l:;%%|����.$|
$$$$|_ |���� `7��;?�( |asd| :���: |$$$|����$| by mongoose [m_youth]
$$$$|�/┌,.__,┌\��:`4│/┐,_ _l��l ``''""¤¤┘┘�
$$$$|`└/|�││�|\┘` `¤└/�│�����:
─ введение
На данный момент, большинство мейкеров занимаются написанием интернет
червей, неважно на макро, vbs или чем-то другом. Причем, все последние
продукты расходятся, в основном, по западным странам.
─ идея
Принцип работы червей предельно прост, при попадании на машину для
распространения червь создает письма со своими дропперами и рассылает их по
адресам (e-mail'ам) из адресной книжки. Пользователю остается только
запустить приложенный к письму файл.
Если пользователь тупой, то он без просмотра запустит этот файл.
Некото рые вирусы пользуются двойным расширением. Если пользователь умный,
то он прочитает, что написано в письме. Я думаю всем понятно, как
отреагирует русский пользователь XXX1 на письмо содержащее:
"muito feliz e ansiosa, porque os 7 an)es prometeram uma *grande*
surpresa." [W32/Hybris-D]
с приложенным внутри файлом, пришедшее от его приятеля XXX2 из совка
(интересно где XXX2 выучил португальский, и с какого X он станет писать
письма своему школьному приятелю не на русском, а на португальском?).
Следует хранить фразы для большинства основных языков и определив откуда
пользователь, использовать те или иные заголовки, темплейты ...
У пользователей с ос win95,98 в файле [C:\CONFIG.SYS] должна быть строка:
"Country=007,866,C:\WINDOWS\COMMAND\country.sys"
где 007 это страна, в данном случае Россия.
- - -
Запустив файл вложенный в письмо, червь выйдет "на свободу". В лучшем ;)
случае пользователь увидет сообщение о ошибке, а не голую Бритни Спирс (как
было обещано в теле письма). Естественно он ;) заподозрит неладное и ... в
итоге, если на зараженной машине стоит более или менее новый антивирус,
вирус будет удален.
Маскировка под "runtime error" уже очень давно не катит. Но можно
замаскироваться под что-то очень простое, например, демку. Написав
какую-нибудь демку (известно, что простенькие занимают очень мало кода) или
взяв уже готовую можно выводить ее при старте программы, и маскироваться
под гипнотизатор или непосредственно демку. А пока дема будет работать,
worm быстро переделает все свои дела и пользователь, скорее всего, ничего
не заподозрит.
- - -
Письмом очень важно произвести впечатление, что оно действительно пришло
от знакомого ... В этом случае очень помогает "спиздить" оригинальный
темплейт и просто добавить текст письма на нужном языке.
- - -
Приложенный файл будет запущен с гарантией 99.9%, если он придет в
"повторном" письме. Червь сканирует базу на наличие новых (это понятие
относительное) посланных писем, добавляет в конец фразу (а/ля):
"btw, посмотри на мою демку"
И посылает повторно ... например я, если долго не получаю ответа, посылаю
письмо несколько раз - ничего подозрительного. :-)
- - -
Заражение архивов, наиболее действенный способ распространения. Считается
что самый часто использующийся архиватор - rar. Мало того, что антивирусы
немогут удалять вирусные дропперы из rar архивов, он имеет и очень приколь-
ную дыру.
Для начала запустим rar с ключем. /?
───[rarnfo.txt]──────────────────────────────────────────────────────[start]──
RAR 2.00 Copyright (c) 1993-96 Eugene Roshal 8 May 1996
Shareware version Type RAR -? for help
Usage: RAR <command> -<switch 1> -<switch N> <archive> <files...>
<@listfiles...> <path_to_extract\>
or RAR
<Commands>
a Add files to archive u Update files in archive
f Freshen files in archive m[f] Move to archive [files only]
x Extract files with full path e Extract files to current directory
d Delete files from archive v Verbosely list contents of archive
r Repair archive l List contents of archive
p Print file to stdout s Convert archive to SFX
t Test archive files c Add archive comment
en Enter to archive cf Add files comment
k Lock archive cw Write archive comment to file
rr[N] Add data recovery record
<Switches>
r Recurse subdirectories y Assume Yes on all queries
rr[N] Add data recovery record mm[f] Multimedia compression [force]
o+ Overwrite existing files o- Do not overwrite existing files
Press any key for continue ...
───[rarnfo.txt]────────────────────────────────────────────────────────[end]──
В этом списке комманд (commands) присутствует одна, очень полезная:
"k Lock archive" - по нашему "Закрыть архив"
Эта комманда защищает архив от изменения. Те что бы удалить из архива ка-
кой нибудь файл, нужно будет сначала распаковать архив, затем удалить файл
и запаковать снова. :-) Следовательно любители писать на batch антивирусы
против файлов winstart.bat в архивах - реально обломаются. :-P
Как же изменяются внотренности архива при использовании ключа? Посмотрим
на дампы двух архивов, первый нормальный, второй защищен.
───[appform1.dmp]────────────────────────────────────────────────────[start]──
00000 52 61 72 21 │ 1A 07 00 3B │ D0 73 08 00 │ 0D 00 00 00 Rar!�..;╨s.. ...
00010 00 00 00 00 │ FB 78 74 00 │ 80 2B 00 D7 │ 08 00 00 4C ....√xt.А+.╫...L
───[appform1.dmp]──────────────────────────────────────────────────────[end]──
───[appform2.dmp]────────────────────────────────────────────────────[start]──
00000 52 61 72 21 │ 1A 07 00 41 │ 70 73 0C 00 │ 0D 00 00 00 Rar!�..Aps�. ...
00010 00 00 00 00 │ FB 78 74 00 │ 80 2B 00 D7 │ 08 00 00 4C ....√xt.А+.╫...L
───[appform2.dmp]──────────────────────────────────────────────────────[end]──
Разница всего в 2 байтах. Правда за всю свою жизнь я не встречал архивов
защищенных от изменений, так что поганная жидовская шлюха может использо-
вать эти несколько байт в своем avp в своих интересах. ;\
- - -
Hе забывайте о том, что:
(x) 2001 mongoose, misdirected_youth_all-star
