Технология шифрования

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-036-6

На 1993 год пришлось очень много полиморфных вирусов. При этом программисты, видимо, соревновались между собой и решали, чья зараза окажется круче всех. Появлялись все новые дешифраторы, которые юзались другими вирмейкерами для своих грязных целей. Одним из таких опасных вирусов был Predator, который перехватывал прерывания 13h и 21h и записывал себя в конец всех COM-файлов. Используя int 13h, вирь проверял сектора, считываемые с дисков, и изменял в них один бит в определенное время.

Другое семейство вирусов Daemaen записывает себя в COM, EXE и SYS-файлы. При этом бинарники, начинающиеся на SC, VF и F-, не заражаются. С виду эти вирусы выглядят вполне безопасно, но на самом деле происходит запись в MBR винчестера и в boot-сектора дискет, а тело заразы хранится в последних секторах. Вирь содержит в себе ряд ошибок, которые вполне могут разрушить FAT.

Вирмейкеры обычно оставляют вместе с вирусом какую-либо информацию. Так, например, полиморфик Invisible записывается в конец исполняемых файлов. В зависимости от времени зараза заменяет файл другой программой, при запуске которой юзер слышит музыку и видит перед собой текст песни I'm the invisible man (хит тех времен). Еще один пример - вирус Seat. После заражения вирь перехватывает 21h, записывает себя в исполняемые файлы. Затем наступает самое интересное. Время от времени на экране компьютера появляется голая задница, а при нажатии на клавиши раздаются характерные для изображения звуки ;).

В это же время группа программистов из болгарской школы (там всегда писались грамотные вири) создает полиморфик Todor. Он не использовал высококлассных алгоритмов. Его изящность заключалась в том, что зараза разрабатывалась по новой технологии. Вес вируса составлял ровно 1993 байта, что соответствовало году выпуска.

При запуске Тодора происходит расшифровка его тела. Для этого юзается довольно простой алгоритм, основанный на XOR. С каждым шагом слово вируса XOR’ится с непостоянным ключом. После активации перехватывается адрес 24h и происходит заражение файла command.com. В довершение вирус поражает 5 файлов с расширением COM или EXE.

Особенностью вируса является то, что он проверяет носитель на возможность записи. Перед заражением каждого бинарника создается временный файл (затем удаляется). Когда это невозможно (адрес 24h нужен для возврата именно таких ошибок), зараза прекращает свою деятельность, считая, что носитель защищен от записи. Атрибуты и дата файла после заражения становятся прежними. Лишь значение секунд становится равным 22. Это сделано для того, чтобы не инфицировать бинарник повторно (вирус проверяет дату во время поиска). К тому же, 15 числа каждого месяца, вирь случайным образом шифрует сектор жесткого диска. Это делает полиморфика довольно опасным, так как сектором может являться и Root Directory.