Нет приятней и полезней венерических болезней!

Dr.Klouniz

Спецвыпуск Xakep, номер #035, стр. 035-066-1

Вирусы на языках высокого уровня

Я думаю, ты знаешь, зачем нужны миру вирусы, написанные на языках высокого уровня. Конечно же – чтобы занимать твой мыльник, рассылать почту от твоего имени и портить хорошие файлы своим присутствием. Разумеется, пишут их не знающие ассемблера школьники и студенты, проводящие жизнь в лености и праздности. Известно также, что с момента появления в России Turbo Pascal 5 количество их стало увеличиваться бешеными темпами. Но это все эмоции :). Сегодня я постараюсь быть объективным и немного расскажу тебе об этих монстрах «изнутри».

В чем смысл жизни?

Я имею в виду, конечно, смысл жизни вируса, а не вирмейкера, поскольку смысл жизни последнего интересует только товарищей из НИИ Судебной Психиатрии им. Сербского для разработки курсов лечения :). Я не могу рассказать обо всех вирусах на 4 полосах, поэтому возьму понемногу от каждого и назову его «средним вирусом». Итак, средний вирус посвящает свою жизнь следующему:

1. Распространение.

2. Поиск жертвы и заражение.

3. Противодействие антивирусам.

4. Какие-то еще заложенные автором действия – звуковые эффекты, похабные надписи, деструкция и многое другое.

С распространением все ясно – тут амбиции вирей простираются от текущего каталога (да, были и такие шедевры) до массовой рассылки себе подобных по мылу или с помощью багов ПО. Большинство современных ЯВУ вирусов используют комбинацию всех этих способов, уделяя особое внимание email-рассылке. Темы вирусных писем (которые я регулярно тоннами выношу из своего мыльника) просто потрясают воображение – от “Re: BIG MONEY TODAY” до “4 Gb Big tits for free now in this message!!!” :). Что поделаешь, ведь задача его – чтобы ты только ПОСМОТРЕЛ это письмо, поскольку, благодаря использованию, например, бага IFrame, приаттаченное тело вируса запустится само. Текст же письма обычно полубредовый (комбинация из нескольких фраз) и никакого интереса не вызывает. Зато дальнейшие действия виря интересны, но о них я расскажу чуть позже. Есть, правда, и такие экземпляры, которые не используют багов ПО, зато присылают письмо с занятным заголовком и осмысленным контентом, аргументировано объясняющим тебе, почему надо запустить аттач. Тут тоже фантазия распространяется от «for details see attach» до пространных объяснений. И ведь запускают – социальную инженерию никто не отменял. Попавший же на комп вирус обычно переносит свое тело в укромное место (c:\win, например) со случайным именем и записывает этот файл в автозагрузку (обычно через RUN реестра, хотя способов таких - куча). Более продвинутые товарищи так не делают, а заражают уже имеющиеся в автозагрузке проги. Эффект, как ты понимаешь, такой же. Запускаясь при каждой загрузке, вирус инсталлируется в оперативку и занимается, обычно, тремя вещами – заражением файлов, освоением трафика пользователя и его адресбука. Заражение файлов происходит двумя путями – либо банальным поиском всех исполнимых файлов на всех возможных дисках, либо с помощью перехвата обращений к файлам при открытии. Конечно, существует еще несколько способов поиска жертвы, но эти два – самые основные.