Нет приятней и полезней венерических болезней!

Dr.Klouniz

Спецвыпуск Xakep, номер #035, стр. 035-066-5

Имеем антивирус

Многие вири демонстрируют свое неуважение к антивирусу не только с помощью заложенных автором ругательств, но и реальными действиями. Думаю, тебе известно, что антивирус может определять и лечить только вирусы, известные его автору. Изменить эту ситуацию пытаются давно, но пока безуспешно. Эвристический анализ страшен только вирусам, написанным на ассемблере (да и то не всем, слишком много антиэвристических приемов. Не может же DR.WEB эмулировать весь компьютер ;)). Высокоуровневые же вирусы к нему имеют полный иммунитет, поэтому я на этом не буду останавливаться. Правда, как я уже говорил, проги-ревизоры типа ADinf+Cure Module могут определять и лечить вирусы-паразиты только в том случае, если они ничего не шифруют, стоит же поXORить даже маленький участок проги, как она объявляется неизлечимой, и юзер отправляется ждать обновления полифага.

Существует и еще несколько способов обмана. Например, лет 10 назад выяснилось, что если запаковать известный вирус неизвестным паковщиком, определяться В ФАЙЛЕ он не будет. Это было действительно весело, поскольку юзеры заваливали антивирусников жалобами, типа: «Ваш ……. ежедневно удаляет вирус в памяти, а он все равно там образуется. Что это за …….!» Правда, вскоре ситуация разрулилась – антивирусы научились на лету распаковывать и его. Сейчас, с появлением PE, все паковщики для них известны антивирусам, и этот финт уже не проходит. А создать свой собственный паковщик куда сложнее, чем изменить код уже написанного вируса :).

Заражать антивирусы – грешно. Дело в том, что при запуске они довольно придирчиво исследуют собственную целостность, иногда выдавая такой экран:

Разумеется, тот parasitic-алгоритм, что я описал, не изменяет целостность файла, и им можно заражать даже антивирусы, но практически все вирусы, исходники которых я видел, имеют проверку имени файла, который они нашли (например: IF Sr.Name = ‘drweb.exe’ then …). То есть, файл «drweb.exe» заражаться не будет, а будет либо пропущен, либо – удален или испорчен. Скорее испорчен, поскольку это не вызывает подозрений. В связи с этим многие антивирусы стали разрешать пользователям переименовывать исполнимые файлы. Это не помогло, и вирмейкеры ответили поиском антивируса по сигнатуре. Антивирусники не нашли, чем ответить, и эта возможность существует по сей день. Главное – запуститься раньше антивируса, что при сегодняшней популярности мониторов трудно устроить. Но, как известно, на каждую хитрую… хм… прогу найдется свой болт на 16, и большинство современных вирусов научились просто убивать процессы, принадлежащие антивирусам-мониторам (AVPMonitor, Norton Antivirus и т.п.). Правда, для этого вирус еще должен ПОПАСТЬ на компьютер и не быть убитым раньше. Но уж если попал – то держись, потому что вирусы, перехватывающие трафик, бывает, запрещают пользователю обращаться к сайтам антивирусников, проводить автоматические обновления и качать новые версии, выполняя таким образом функции фаервола :).