Генератор Зла

Спецвыпуск Хакер, номер #006, стр. 006-040-1

The Hound Of Winter (thow@ireland.com)

После того, как рубрика перешагнула полугодовой рубеж и вступила во взрослую жизнь, редактор решил взяться за нее по-крупному. «Давай, — говорит, — порадуем читателя нужным материалом о виргенах». Ну, а что бы и не порадовать? :-) Тем более, когда редактор уже тянет свои дрожащие короткие ручки к моей чистой шее и исходит злобным ехидным смехом... :-E Брр... Надо меньше пить. :-) Для тех, кто не понял, — это мне такой кошмар приснился. Вот до чего работа в журнале доводит, ведь “работа наша и опасна, и трудна, хоть на первый взгляд она и не видна”. :-))) А идея и правда хорошая — так что ее и реализовываю.

ДОСЬЕ

ИМЯ: Генератор вирусов. Также известен как конструктор вирусов.

АВТОР: Почти всегда чукотские вирмейкеры...

ВОЗРАСТ: Первые появились около 7 лет назад. С тех пор некоторые деградировали до младенческого возраста, а некоторые пытались эволюционировать. Удачно.

НАЗНАЧЕНИЕ: Быстрая сборка каркаса или вируса целиком из отдельных независимых частей в единое целое. Целое и неделимое — это не то, что так боятся потерять некоторые девушки. Гы-гы-гы. :-) Это либо бинарник, либо исходник вирия.

ЦЕЛЬ: 1) Скрыть вирус от программы антивируса. Для этого комбинируемые части могут перемешиваться, кодироваться и т.д. 2) Ускорить процесс написания вируса, поскольку в большинстве вирусов, по сути, используются один и тот же код для различных процедур. Поиска файлов, к примеру. Так вот, чтобы не копаться вручную с кусками кода, можно пользовать вирген, который загенерит не вирий сразу в бинарнике, а исходный его код. Потом ручками то, что надо, вписывается, и все OK.

ПОСЛУЖНОЙ СПИСОК: Отметились целыми семействами вирусов во всех крутых антивирусах, так что виргены — это сила. Особенно для начинающего.

ХАРАКТЕР: Нордический, конечно. То есть большинством виргенов можно управлять задавая им ЦУ (ценные указания) через командную строку. Но есть и более умеренного темперамента, которые имеют приятный дружественный интерфейс.

СЕМЕЙНОЕ ПОЛОЖЕНИЕ: Иногда исходники производятся на языках высокого уровня (ЯВУ), но много чаще на ассемблере. Хотя есть даже для BATCH-файлов под тетю ДОСю.

ИМЯ: Virus Creation Laboratory (VCL)

АВТОР: Nowhere Man//NuKE

ВОЗРАСТ: Вышел в свет в конце лета 1992

года.

НАЗНАЧЕНИЕ: VCL известен как самый первый в мире вирусный генератор-конструктор.

ФИШКИ: Помимо того, что этот конструктор был первым, он имел несколько замечательных черт, таких как:

Все идет одним архивом-package. В архиве даже есть инсталлятор и документация с описанием кусков кода и т.п. стаффом (stuff — всякой всячиной в смысле).

Генерирует вирусы практически всех возможных типов:

Overwriting вирусы

Appending вирусы

Companion (spawning) вирусы

Каркасы для троянцев и логических бомб

Возможность задания свойств генерируемого кода. Код оптимизируется (!). При желании можно добавить в него антиотладочные и антидизассемблерные вставки.

ПОСЛУЖНОЙ СПИСОК: Однако, несмотря на все свои положительные качества, VCL не вызвал очень большой волны свежих вирусов и не снискал широкой популярности. Причин этому было много, но, скорее всего, главной была высокая уязвимость сгенерированных вирусов для антивирусных продуктов. Большинство антивирусов стали обнаруживать вирусы, сделанные с помощью VCL, еще до выхода его в свет (вероятно, по восьми тестовым вирусам, отправленным на свободу задолго до самого VCL).