В прятки с мистером Бондом

Андрей Семенюченко

Спецвыпуск: Хакер, номер #070, стр. 070-046-1

semuha@mail.ru

Брутальные способы сокрытия кода в системе

Еще лет десять назад зловредные программы подразделялись на два вида: вирусы и примитивные троянские программы. В наши дни количество видов и подвидов зловредов увеличилось на порядок. Чего только не встретишь в дикой природе: и сетевые черви, и разнообразные шпионские программы класса SpyWare, и нежелательные рекламные системы, и навороченные трояны, и бэкдоры. Все они не только распространяются, но и успешно маскируются от пользователя, системы и антивирусных программ, используя самые изощренные методы. О способах сокрытия программ мы и поговорим в данной статье.

[зарождение вирусной маскировки]

Первые компьютерные зловреды появились еще в середине семидесятых. Большинство вирусов того времени кроме собственного распространения по носителям информации больше ничего не делали. Например, действием легендарного вируса Creeper было лишь обнаружение себя путем выдачи сообщения "I'm the creeper : catch me if you can". Ситуацию изменила все большая популярность персональных компьютеров. Вирусы эволюционировали, набирали все большую функциональность, становились все изощреннее. В 1986 году была зарегистрирована первая вирусная эпидемия. Вирус Brain поразил огромное по тому времени количество IBM-совместимых компьютеров. Распространение вируса было вызвано возможностью распространения вируса на дискетах. Brain заражал загрузочные сектора дискет и тем самым быстро пошел по рукам. Brain не обладал никакими деструктивными действиями, зато он был первой программой, скрывающей себя в системе, то есть первым руткитом! Не верите? Напрасно, поскольку при чтении загрузочного сектора Brain перехватывал системные функции доступа к диску и подставлял на место зараженных данных заранее сохраненный оригинал.

Уже в начале 90-х появились первые представители полиморфных вирусов. А что это, если не попытка спрятаться от антивируса и других системных утилит? Первым полиморфиком считается вирус Chameleon, который содержал в своем теле алгоритм самошифрации. Причем он изменял не только внешний вид самого тела, но и расшифровщика. Антивирусное сообщество, конечно же, не сдавалось, и вскоре были придуманы специальные алгоритмические языки, позволяющие распознать полиморфик в зараженном файле. Тогда же Евгений Касперский изобрел процессорный эмулятор для дешифрации кодов, что явилось еще более эффективной технологией борьбы с полиморфными вирусами. Откровенно говоря, 90-е года ознаменовались большим прогрессом в развитии полиморфных вирусов. Чего стоило появление целых полиморфик-генераторов, поставляемых в виде готовых объектников и документации, чтобы облегчить жизнь коллегам :). Наверняка у многих было на слуху имя Dark Avenger. Эта личность стала кумиром и классиком для многих хакеров после изобретения мощнейшего полиморфного генератора MtE.

Дальше - больше. Со временем появлялось все больше вирусов, пытающихся противостоять антивирусным программам и скрыться от них. Так, вирус Peach, появившийся в 1992 году, перед совершением злодеяний удалял антивирусную базу установленного антивируса. Таким образом, антивирус не мог ничего обнаружить. Помимо вирусов, появляются другие виды зловредов, например утилиты скрытого администрирования backdoors. Именно в 1998 году появился нашумевший BackOrifice (Backdoor.BO), представляющий из себя утилиту скрытого (хакерского) администрирования удаленных компьютеров и сетей. Позднее в 2000 году вышла новая более продвинутая версия BackOrifice BO2k, напугавшая бедных пользователей, поскольку обещала полную маскировку внутри системы.