"Учиться, учиться и ещё раз учиться"
В.И.Ленин

 

В данном тексте мы попытаемся проанализировать возможности вирусного оружия и
некоторые аспекты защиты от него. Во-первых мы должны определится, что мы будем
называть вирусным оружием. Я предлагаю следующее определение:

ВИРУСНОЕ ОРУЖИЕ - программные средства разработанные специально для вредоносной
акции (вирусной атаки).

Таким образом, всё множество вирусов, о которых вы слышите каждый день, в большинстве своём к вирусному оружию имеют такое же отношение, как стартовый пистолет к магнуму 45 калибра.
Чаще всего вирусное оружие разрабатывается и применятся, как уже было сказано,
с какой-то конкретной целью. Вирусное оружие теряет свою актуальность после того, как антивирусы начинают
его детектировать. И для продолжения его использования его необходимо
модифицировать.

Сейчас мы наблюдаем полное бессилие антивирусных средств защиты даже перед
обыкновенными вирусами. Если же говорить о профессиональном вирусном оружие, то
скорее всего данные экземпляры крайне редко попадают к
антивирусным компаниям. Следовательно, у обычного пользователя (и даже у опытного системного
админа) практически нет никаких средств защиты против данных представителей вирусного
семейства.

Единственной возможностью защиты от данного вида вредоносных программ является
строгий контроль поступающей на компьютер информации. В случае с одним или
двумя компьютерами это ещё возможно, но если их больше и к ним имеют доступ
различный персонал, то этот вариант защиты является не эффективным.

Я предлагаю следующую классификацию вирусного оружия:

1) Локальное вирусное оружие
а) Статичное
б) Динамичное

2) Удалённое вирусное оружие
а) Статичное
б) Динамичное

Локальное вирусное оружие, это то оружие, которое не распространяется по LAN и
через Internet. К статичному вирусному оружию относятся всяческие троянские
кони, логические бомбы, клавиатурные шпионы и т.д. т.п. К динамическому 
вирусному оружию относятся вирусы.

Удалённое вирусное оружие не так сильно распространено, как локальное. К 
статичному относятся троянские кони работающие через локальные или глобальные
вычислительные сети, к динамичному сетевые черви.

По моему мнению вирусное оружие можно разделить ещё по двум категориям:

1) Похищающее информацию
2) Разрушающее информацию

Чтобы показать возможности создания локального вирусного оружия мной были разработаны
две программы:

1) Статическое вирусное оружие, уничтожающее информацию - "LOGICAL BOMB"
2) Динамическое вирусное оружие, уничтожающее информацию - вирус "PIKADOR"

Начнём с "LOGICAL BOMB" и того, что в ней было реализовано:

0) Присоединение к любой "PE" программе
1) Полиморфизм с случайным количеством декрипторов
2) Простая EPO техника с антиэвристическим приёмом
3) Антиотладочные и антидизассемблерные трюки
4) Затирание нулями MBR и FAT

На момент написания статьи данная логическая бомба никакими антивирусами не
идентифицировалась. То есть существует потенциальная возможность применения
злоумышленниками программ данного класса.

Рассмотрим листинг данной программы и подключаемых модулей:

Вначале идёт тело основной программы, в которой выводятся сообщения по её
использованию и инфицируется программа носитель.

l_bomb

Далее следует модуль генератора случайных чисел, который использует
специфическую инструкцию процессора Pentium -
rdtsc.

r_gen32

Далее следует модуль, который генерирует исполнимый, трудноотлаживаемый мусор с
элементами антиэвристических подпрограмм.

t_gen32

Далее следует полиморфный генератор PGS, который генерирует от
1 до 25 декрипторов с тремя различными алгоритмами криптования и естественно случайным выбором
ключа и случайными регистрами.

pgs32.txt

И вот мы подошли к одному из важнейших модулей данной программы - модулю
деструкции. Данный модуль перезаписывает MBR и FAT винчестера, а так же
восстанавливает украденные байты с точки входа.
В нём находится множество антиотладочных и антидизассемблерных механизмов.

death32

Какие последствия применения данной логической бомбы вы наверное уже себе можете
представить.

Данная программа была представлена в этом тексте, в качестве доказательства
бессилия антивирусных средств против направленной атаки.

Что же нужно сделать, чтобы не пострадать от аналогичных продуктов киберподполья? Самое главное
- нужно backup'ить архиважную информацию на CD, дискетах, а так же других носителях информации. Следующий шаг
- проверка всех программ, которые будут запускаться на вашем компьютере не только
антивирусными программами, но и таким устройством как голова. А для такой
проверки необходимо "учиться, учиться и ещё раз учиться".

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии