«Учиться, учиться и ещё раз учиться»
В.И.Ленин

 

В данном тексте мы попытаемся проанализировать возможности вирусного оружия и
некоторые аспекты защиты от него. Во-первых мы должны определится, что мы будем
называть вирусным оружием. Я предлагаю следующее определение:

ВИРУСНОЕ ОРУЖИЕ — программные средства разработанные специально для вредоносной
акции (вирусной атаки).

Таким образом, всё множество вирусов, о которых вы слышите каждый день, в большинстве своём к вирусному оружию имеют такое же отношение, как стартовый пистолет к магнуму 45 калибра.
Чаще всего вирусное оружие разрабатывается и применятся, как уже было сказано,
с какой-то конкретной целью. Вирусное оружие теряет свою актуальность после того, как антивирусы начинают
его детектировать. И для продолжения его использования его необходимо
модифицировать.

Сейчас мы наблюдаем полное бессилие антивирусных средств защиты даже перед
обыкновенными вирусами. Если же говорить о профессиональном вирусном оружие, то
скорее всего данные экземпляры крайне редко попадают к
антивирусным компаниям. Следовательно, у обычного пользователя (и даже у опытного системного
админа) практически нет никаких средств защиты против данных представителей вирусного
семейства.

Единственной возможностью защиты от данного вида вредоносных программ является
строгий контроль поступающей на компьютер информации. В случае с одним или
двумя компьютерами это ещё возможно, но если их больше и к ним имеют доступ
различный персонал, то этот вариант защиты является не эффективным.

Я предлагаю следующую классификацию вирусного оружия:

1) Локальное вирусное оружие
а) Статичное
б) Динамичное

2) Удалённое вирусное оружие
а) Статичное
б) Динамичное

Локальное вирусное оружие, это то оружие, которое не распространяется по LAN и
через Internet. К статичному вирусному оружию относятся всяческие троянские
кони, логические бомбы, клавиатурные шпионы и т.д. т.п. К динамическому 
вирусному оружию относятся вирусы.

Удалённое вирусное оружие не так сильно распространено, как локальное. К 
статичному относятся троянские кони работающие через локальные или глобальные
вычислительные сети, к динамичному сетевые черви.

По моему мнению вирусное оружие можно разделить ещё по двум категориям:

1) Похищающее информацию
2) Разрушающее информацию

Чтобы показать возможности создания локального вирусного оружия мной были разработаны
две программы:

1) Статическое вирусное оружие, уничтожающее информацию — «LOGICAL BOMB»
2) Динамическое вирусное оружие, уничтожающее информацию — вирус «PIKADOR»

Начнём с «LOGICAL BOMB» и того, что в ней было реализовано:

0) Присоединение к любой «PE» программе
1) Полиморфизм с случайным количеством декрипторов
2) Простая EPO техника с антиэвристическим приёмом
3) Антиотладочные и антидизассемблерные трюки
4) Затирание нулями MBR и FAT

На момент написания статьи данная логическая бомба никакими антивирусами не
идентифицировалась. То есть существует потенциальная возможность применения
злоумышленниками программ данного класса.

Рассмотрим листинг данной программы и подключаемых модулей:

Вначале идёт тело основной программы, в которой выводятся сообщения по её
использованию и инфицируется программа носитель.

l_bomb

Далее следует модуль генератора случайных чисел, который использует
специфическую инструкцию процессора Pentium —
rdtsc.

r_gen32

Далее следует модуль, который генерирует исполнимый, трудноотлаживаемый мусор с
элементами антиэвристических подпрограмм.

t_gen32

Далее следует полиморфный генератор PGS, который генерирует от
1 до 25 декрипторов с тремя различными алгоритмами криптования и естественно случайным выбором
ключа и случайными регистрами.

pgs32.txt

И вот мы подошли к одному из важнейших модулей данной программы — модулю
деструкции. Данный модуль перезаписывает MBR и FAT винчестера, а так же
восстанавливает украденные байты с точки входа.
В нём находится множество антиотладочных и антидизассемблерных механизмов.

death32

Какие последствия применения данной логической бомбы вы наверное уже себе можете
представить.

Данная программа была представлена в этом тексте, в качестве доказательства
бессилия антивирусных средств против направленной атаки.

Что же нужно сделать, чтобы не пострадать от аналогичных продуктов киберподполья? Самое главное
— нужно backup’ить архиважную информацию на CD, дискетах, а так же других носителях информации. Следующий шаг
— проверка всех программ, которые будут запускаться на вашем компьютере не только
антивирусными программами, но и таким устройством как голова. А для такой
проверки необходимо «учиться, учиться и ещё раз учиться».

Оставить мнение

Check Also

Эхо кибервойны. Как NotPetya чуть не потопил крупнейшего морского перевозчика грузов

Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-в…