"Учиться, учиться и ещё раз учиться"
В.И.Ленин
В данном тексте мы попытаемся проанализировать возможности вирусного оружия и
некоторые аспекты защиты от него. Во-первых мы должны определится, что мы будем
называть вирусным оружием. Я предлагаю следующее определение:
ВИРУСНОЕ ОРУЖИЕ - программные средства разработанные специально для вредоносной
акции (вирусной атаки).
Таким образом, всё множество вирусов, о которых вы слышите каждый день, в большинстве своём к вирусному оружию имеют такое же отношение, как стартовый пистолет к магнуму 45 калибра.
Чаще всего вирусное оружие разрабатывается и применятся, как уже было сказано,
с какой-то конкретной целью. Вирусное оружие теряет свою актуальность после того, как антивирусы начинают
его детектировать. И для продолжения его использования его необходимо
модифицировать.
Сейчас мы наблюдаем полное бессилие антивирусных средств защиты даже перед
обыкновенными вирусами. Если же говорить о профессиональном вирусном оружие, то
скорее всего данные экземпляры крайне редко попадают к
антивирусным компаниям. Следовательно, у обычного пользователя (и даже у опытного системного
админа) практически нет никаких средств защиты против данных представителей вирусного
семейства.
Единственной возможностью защиты от данного вида вредоносных программ является
строгий контроль поступающей на компьютер информации. В случае с одним или
двумя компьютерами это ещё возможно, но если их больше и к ним имеют доступ
различный персонал, то этот вариант защиты является не эффективным.
Я предлагаю следующую классификацию вирусного оружия:
1) Локальное вирусное оружие
а) Статичное
б) Динамичное
2) Удалённое вирусное оружие
а) Статичное
б) Динамичное
Локальное вирусное оружие, это то оружие, которое не распространяется по LAN и
через Internet. К статичному вирусному оружию относятся всяческие троянские
кони, логические бомбы, клавиатурные шпионы и т.д. т.п. К динамическому
вирусному оружию относятся вирусы.
Удалённое вирусное оружие не так сильно распространено, как локальное. К
статичному относятся троянские кони работающие через локальные или глобальные
вычислительные сети, к динамичному сетевые черви.
По моему мнению вирусное оружие можно разделить ещё по двум категориям:
1) Похищающее информацию
2) Разрушающее информацию
Чтобы показать возможности создания локального вирусного оружия мной были разработаны
две программы:
1) Статическое вирусное оружие, уничтожающее информацию - "LOGICAL BOMB"
2) Динамическое вирусное оружие, уничтожающее информацию - вирус "PIKADOR"
Начнём с "LOGICAL BOMB" и того, что в ней было реализовано:
0) Присоединение к любой "PE" программе
1) Полиморфизм с случайным количеством декрипторов
2) Простая EPO техника с антиэвристическим приёмом
3) Антиотладочные и антидизассемблерные трюки
4) Затирание нулями MBR и FAT
На момент написания статьи данная логическая бомба никакими антивирусами не
идентифицировалась. То есть существует потенциальная возможность применения
злоумышленниками программ данного класса.
Рассмотрим листинг данной программы и подключаемых модулей:
Вначале идёт тело основной программы, в которой выводятся сообщения по её
использованию и инфицируется программа носитель.
Далее следует модуль генератора случайных чисел, который использует
специфическую инструкцию процессора Pentium -
rdtsc.
Далее следует модуль, который генерирует исполнимый, трудноотлаживаемый мусор с
элементами антиэвристических подпрограмм.
Далее следует полиморфный генератор PGS, который генерирует от
1 до 25 декрипторов с тремя различными алгоритмами криптования и естественно случайным выбором
ключа и случайными регистрами.
И вот мы подошли к одному из важнейших модулей данной программы - модулю
деструкции. Данный модуль перезаписывает MBR и FAT винчестера, а так же
восстанавливает украденные байты с точки входа.
В нём находится множество антиотладочных и антидизассемблерных механизмов.
Какие последствия применения данной логической бомбы вы наверное уже себе можете
представить.
Данная программа была представлена в этом тексте, в качестве доказательства
бессилия антивирусных средств против направленной атаки.
Что же нужно сделать, чтобы не пострадать от аналогичных продуктов киберподполья? Самое главное
- нужно backup'ить архиважную информацию на CD, дискетах, а так же других носителях информации. Следующий шаг
- проверка всех программ, которые будут запускаться на вашем компьютере не только
антивирусными программами, но и таким устройством как голова. А для такой
проверки необходимо "учиться, учиться и ещё раз учиться".
