Технология шифрования

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-036-7

Не обошлось и без ошибок. Todor некорректно проверяет длину файла. Точнее, если она будет более 64 Кб, заразить файл не удастся, а компьютер зависнет. Вторая ошибка заключается в том, что в теле расшифровщика содержится лишняя команда POP. Файл, в который она попадет, неминуемо повиснет после запуска. И напоследок, заражая бинарник, вирус сначала изменяет заголовок файла, а затем записывает себя в его конец. При ошибке записи либо переполнении носителя исполняемый файл будет испорчен, и восстановить его уже не удастся.

После выхода Тодора мир узнал о новом полиморфик-генераторе TPE (Trident Polymorphic Engine), который распространялся в архивах BBS с подробным кодом и документацией по использованию. Благодаря этому, стали появляться вирусы (семейство TPE), юзающие этот модуль.

К концу 1993 года генераторов стало выпускаться очень много. Антивирусы не справлялись с таким потоком, это также обуславливалось улучшением технологии полиморфизма.

Рассмотрим примеры. Дешифратор SPE позволял записывать код вируса в исполняемые файлы и организовывал специальный счетчик. При его определенных значениях, вирь стирал содержимое MBR винчестера и перезагружал компьютер. Некоторые генераторы реагировали на команды, введенные пользователем. Например, VICE заражал файлы в каталоге лишь тогда, когда пользователь в него входил. Также дешифратор умел удалять базы антивируса.

Генератор SMEG был очень опасен. Этот расшифровщик умел вписывать свой код в исполняемые файлы, а также стирать CMOS и сектора дисков. Процесс происходил каждый понедельник. После экзекуции вирус показывал надпись, сообщающую, что жесткий диск был поврежден.

А что теперь?

В наше время многие вирусы используют полиморфизм высоких уровней в своих алгоритмах. Но развития технологии практически не наблюдается, можно сказать, что она уже изжила себя. Помимо полиморфизма существуют и другие методы маскировки, например, стелс-технологии. Возможно, скоро вирусописатели придумают мощный алгоритм защиты своих творений, который не сможет разгадать ни один продвинутый антивирус...

Что почитать?

Этот материал поможет тебе разобраться в азах полиморфизма. За дополнительными сведениями обращайся к следующим источникам:

www.viruslist.com/viruslistbooks.html?id=12 - что такое полиморфизм и с чем его едят.

http://z0mbie.host.sk/poly.html - статья про уровни полиморфиков, а также про способы детектирования.

http://vx.netlux.org/lib/vgl01.html - хорошая статья про полиморфизм (на английском).

http://vx.netlux.org/texts/html/i31t.html - пособие по написанию своего полиморфика (на английском).

http://iomas.vsau.ru/uch-proz/el_izdan/internet/leture_virus.htm - история развития вирусов (в том числе и полиморфных).

Помимо полиморфизма существуют и другие технологии шифрования. Вот некоторые из них:

Резидентность - вирус записывает часть себя в оперативную память, а затем перехватывает все вызовы системы, направленные к объектам заражения. Такая зараза остается активной все время, до выключения компьютера.