On-Line Библиотека www.XServer.ru - учебники, книги, статьи, документация, нормативная литература.
       Главная         В избранное         Контакты        Карта сайта   
    Навигация XServer.ru


давно играете, перепробовали все популярные казино Производители софта в Columbus casino

Загрузка...




 

Конструкторы вирусов

  • Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно зараженные файлы. Некоторые конструктороы (VLC, NRLG) снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т.п. Прочие конструкторы (PS-MPC, G2) не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла.

    Полиморфные генераторы

  • Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются их авторами без ограничений в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся генераторах этот модуль содержит внешнюю (external) функцию - вызов программы генератора.
    Таким образом автору вируса, если он желает создать настоящий полиморфик-вирус, не приходится корпеть над кодами собственного за/расшифровщика. При желании он может подключить к своему вирусу любой известный полиморфик-генератор и вызывать его из кодов вируса. Физически это достигается следующим образом: объектный файл вируса линкуется с объектным файлом генератора, а в исходный текст вируса перед командами его записи в файл вставляется вызов полиморфик-генератора, который создает коды расшифровщика и шифрует тело вируса.

    Virus Creation Laboratory

    Автор : [NuKE] USA
    VCL известен как первый в мире вирусный конструктор. Вышел в свет в конце лета 1992 года. Его появлению мы обязаны товарищу Nowhere Man, члену одной из самых громких и амбициозных вирусных групп - NuKE, большая часть которой располагалась в USA.

    Помимо того, что этот конструктор был первым, он имел несколько замечательных черт, таких как :

    • Дистрибутив поставляется с неплохим инсталлятором и подробной документацией и примерами использования. Также устанавливается .pif и .ico файлы для MS Windows.
    • Дружественный пользовательский интерфейс, по типу TurboVision сред (a la Borland). Наличие контестной подсказки и поддержка мышки. Автор даже утверждает, что его среда является CUA-совместимой. :-)
    • Разнообразие типов генерируемого кода :
    1. Overwriting вирусы
    2. Appending вирусы
    3. Companion (spawning) вирусы
    4. Код для создания троянцев и логических бомб
    • Возможность задания свойств генерируемого кода. Код даже слегка оптимизируется. При желании можно добавить в него анти-отладочные и анти-дизассемблерные вставки.
    • Настраиваемость среды. Настраиваемые цвета, пополняемая библиотека процедур (эффектов/условий срабатывания).
    Однако, несмотря на все свои положительные качества, VCL не вызвал очень большой волны свежих вирусов и не снискал широкой популярности в кругах авторов вирусов. Причин этому было много, но скорее всего, главной была высокая уязвимость сгенерированных вирусов для антивирусных продуктов. Большинство антивирусов стали обнаруживать VCL-made вирусы еще до выхода его в свет (вероятно, по восьми тестовым вирусам).

    Другим его недостатком было довольно невысокое качество ассемблерного кода. Зачастую антиотладочные вставки просто не работали и завешивали систему, а иногда ассемблерный код вообще не компилировался. Тем не менее автор Nowhere Man анонсировал выход VCL for Windows и VCL II. Насколько мне известно, VCL for Windows никогда не был выпущен, хотя и существует оболочка от VCL for Windows, получившего название Scare Project. VCL II был практически написан, но в связи с распадом NuKE в целом так и не был отлажен и выпущен.

    Прикол из документации: Nowhere Man объявил код сгенерированный VCL своей собственностью и запретил антивирусным производителям использовать участки этого кода в своих продуктах. Мдаа... Как обычно Copyright не сработал. :-)

    В апреле 1994 года Firecracker (затем вступивший в NuKE) выпустил VCL Mutator, заменяющий характерные участки кода VCL-вирусов на аналогичные, не обнаруживаемые (тогда) антивирусами.

    Известные мне на данный момент версии:

    VCL 1.0 : Июль 1992 года
    (Если еще существует человек, знающий ASM, но не знающий пароля к инсталятору VCL, то вот он: Chiba City)

    Phalcon-Skism Mass Produced Code Generator

    Автор : [Phalcon/SKISM] USA/Canada
    Американская вирусная группа Phalcon/SKISM, постоянно в во всем конкурирующая с NuKE, сразу же отреагировала на брошенный им вызов в виде VCL и выпустила свою версию вирусного конструктора известного как PS-MPS. Автором является Dark Angel (один их активистов P/S).

    PS-MPS является намного более мощным и качественным продуктом, нежели VLC. Одной из его отличительных черт является полное отсутствие красивого интерфейса. Иделогия P/S 'Настоящий профессионал работает с командной строкой'. Конфигурация создаваемого вирусного кода задается посредством текстового конфигурационного файла.

    С помощью PS-MPC можно создавать полноценные вирусы со следующими свойствами:

    • поражение COM и EXE файлов
    • резидентый и нерезидентный код
    • два разных алгоритма обхода для нерезидентных вирусов
    • три способа размещения в памяти резидентного кода
    • исключение COMMAND.COM из поражаемых файов
    • генерируемый обработчик критических ошибок
    • случайно генерируемый алгоритм шифрования кода вируса
    • компактный, чуть лучше (чем в VCL) оптимизированный код
    • исходники замечательно откомментированы
    Сам по себе PS-MPS не генерирует каких-либо деструктивных функций, но предоставляет очень понятный и отлично откомментированный код, так что понимание и изменение вирусного кода не представляет никакого труда. PS-MPS оказался гораздо более продуктивным инструментом нежели VCL, С его помощью было создано несколько сотен вирусов и многие из них имели широкое хождение. После того, как Aristotle (NuKE) выпустил Metric Buttload of Code Generator, генерировавший десятки слегка модифицированных PS-MPC вирусов, количество таких вирусов выросло еще больше.

    Примечательной особенностью этого конструктора было то, что он распространялся в исходных кодах (Turbo C), что было побуждением для многих авторов выпустить свои, измененные версии компилятора. Это привело к еще большему увеличению числа вирусов, произведенных с помощью этого компилятора.

    Известные мне на данный момент версии:

    PS-MPC 0.90beta : Июль 1992 
    PS-MPC 0.91beta : Август 1992

    G2

    Автор : [Phalcon/SKISM] USA/Canada
    Судя по всему, Dark Angel остался недоволен своим детищем PS-MPC, посему он вскоре выпустил другой компилятор - G2 или G в квадрате, что является "аббревиатурой" от Second Generation in virus creation.

    G2 в работе очень напоминает PS-MPC, но на самом деле он более мощный инструмент в создании вирусного кода. Dark Angel вынес логику генерации кода во внешний файл G2.DAT и декларировал, что будет выпускать новые версии G2 путем замены этого файла на новый. К сожалению, мне неизвестны усовершенствованные варианты G2.DAT. Отличительная черта G2 - это встроенный модификатор кода, позволяющий при каждом запуске компилятора создавать слегка отличающийся код. G2 совместим снизу вверх с PS-MPC по формату конфигурационных файлов. С помощью G2 создано несколько десятков реальных вирусов.

    Известные мне на данный момент версии:

    G2 0.70B : Январь 1993

    Biological Warfare

    Автор : MnemoniX (USA)
    Другим хорошим вирусным конструктором являлся Biological Warfare, также известного как BW. BW как и все вирус-компиляторы генерирует исходный код (разумеется, ассемблер) вируса в соответствии со спецификациями, заданными пользователем. Задание опций генерации происходит интерактивно - в виде вопросов/ответов.

    Генерируемые вирусы имеют следующие характеристики:

    • Резидентные / не резидентные
    • Поражение EXE/COM файлов
    • Шифрование - как простое так и с помощью BWME (см.ниже)
    • Анти-трассировочные приемы
    • Поражение COMMAND.COM - опционально
    • Обработчик Int24 (критической ошибки DOS)
    • Два уровня Stealth
    • Прочие : способ обхода каталогов, проверка оверлеев, итд.
    С компилятором поставляется Biological Warfare Mutation Engine небольшой (609 байт) полиморфный генератор, что несколько затрудняет обнаружение вирусов.

    Опять же если кто-то не знает пароля - ' frea '.

    Известные мне на данный момент версии:

    BW 0.90beta : Апрель 1994 
    BW 1.00     : Июль 1994

    NuKE Randomic Life Generator

    Автор : Azrael/NuKE (Argentina)
    Очередное произведение неутомимых тружеников группы NuKE - новый генератор вирусов NRGL. Выполненный в лучших традициях инструментов NuKE - с красочной IDE с разнообразными видеоэффектами, этот компилятор тем не менее не пользовался большой популярностью среди вирусного сообщества, хотя и известны несколько десятков NRGL-вирусов.

    Компилятор позволяет задать набор свойств вируса, среди которых противодействие резидентным антивирусов, уничтожение файлов контрольных сумм, процедуру шифровки/дешифровки. Помимо этого NRGL предлагает набор деструктивных функций, которые можно внедрить в код создаваемого вируса, таких как уничтожение MBR, файлов и случайных секторов. Код, генерируемый NRGL не отличается читабельностью, хотя человек неплохо знающий ассемблер, может в нем разобраться.

    Известные мне на данный момент версии:

    NRLG 0.66beta : Июнь 1994

    Virus Construction Set

    Автор : Verband Deutscher Virenliebhaber (Germany)
    Если Virus Construction Lab группы NuKE был первой успешной попыткой создать вирусный компилятор, то программа VCS является самой первой попыткой программу для создания вирусного кода.

    Выпущенная в конце 1990 года группой, название которой переводится как 'Ассоциация Любителей Вирусов', VCS не отличается особой изощренностью. VCS запрашивает текст, появляющийся в теле вируса и количество поколений вируса, после которого наступает активация. Затем VCS создает файл Virus.Com, содержащий вирусный код. Вирусы, созданные этим компилятором, имеют одинаковые характеристики :

    • Поражение только COM-файлов
    • Количество поражаемых файлов фиксировано
    • Алгоритм активации : уничтожение Autoexec.bat и Config.sys и вывод заданного при генерации текста
    Единственной "изюминкой" конструктора является наличие в создаваемых вирусах средств маскировки под антивирусом FluShot. Тем не менее, известно несколько VCS-вирусов.

    Известные мне на данный момент версии:

    VCS English : 1990/91 
    VCS German  : 1990/91

    Virus Creation 2000

    Автор : Havoc The Chaos (USA)
    The Virus Creation 2000 System, сокращенно называемая VC2000 довольно неплохая система генерации вирусного кода. Распространяется в виде одного файла размером около 25K. Перед созданием вируса необходимо специфицировать его свойства, такие как:
    • Резидентность / нерезидентность
    • Дописывание или записывание поверх кода жертвы
    • Проверка внутренней структуры поражаемых файлов
    • Проверка размеров COM-файлов
    • Буферизация DTA-области на время поиска
    • Метод поиска жертв
    • Обработка Int24
    Содержит атни-антивирусный код:
    1. Блокирует клавиатуру при попытке трассировки кода
    2. Обходит ThunderBYTE TBClean
    3. Завешивает Turbo Debugger
    4. Противодействие ThunderBYTE TBSCANX
    5. Код для борьбы с F-Prot
    Примечательно, что вместе с вирусом может быть сгенерирован код определения наличия генерируемого вируса в памяти. Для удобства работы при генерации ассемблерного кода также генерируется и пакетный файл MAKEVIR.BAT, продуцирующий двоичный код вируса.

    Известные мне на данный момент версии:

    VC2000 0.95 : не распростанялась 
    VC2000 0.96 : Декабрь 1993 
    VC2000 0.97 : Январь 1994

    VICE ('Virogen's Irregular Code Engine')

    VICE (Virogen's Irregular Code Engine) -это очереднойполиморфик-генератор, см. MtE и TPE.Существуют несколько версийгенератора, они содержат строки:
    [VICE v0.1с, by _irogen]
    {VICE v0.2с, by _irogen [NuKE]}
    {ViCE v0.3с, by _irogen [NuKE]}
    [_iCE v0.5, by _iro
    Несколько вирусов на базе VICEраспространяются вместе с самимгенератором. Это неопасныерезидентные вирусы. Ониперехватывает INT 21h и записываются вконец запускаемых COM- и EXE-файлов.

    Amber

    Конструктор Amber.Создан в 1996 году.Автор:неизвестен,возможно Reminder[DVC].Полиморфный генератор шифровщикови расшифровщиков.
    Amber - генератор полиморфных вирусов.Содержит текст: Amber1.07@beta

    IVP ('Instant Virus Production Kit')

    IVP ('INSTANT VIRUS PRODUCTION KIT') являетсяутилитой для создания вирусов IVPгенерирует исходные ассемблерныетексты вирусов различных типов,характеристики которыхописываются в конфигурационномфайле. К таким характеристикамотносятся: заражение COM, EXE или обоихтипов; самошифрующийся вирус илинет; перехват INT 24h или нет;заражение COMMAND.COM; встроенныеэффекты и т.д.

    Генератор IVP в значительнойстепени повторяет генератор PS-MPS и ,скорее всего, является егоуменьшенной версией.
    Автор : Youngsters Against McAffe (USA)


    MME

    MME (MiMe) является очереднымполиморфик-генератором.
    "MME.WhoNoName" - опасныйнерезидентный вирус. При запускеищет .COM-файлы и записывается в ихконец. Часто зараженные файлы виснут при исполнении.
    Вируссодержит строки:
    [This is WhoNoName V2.1 Virus By Dark Tommy]
    The WhoNoName V2.1 Virus Make With MiMe v1.0

    Конструктор TPE

    Автор: Masud Khafir. Trident Polimorphic EngineTPE - это генераторполиморфик-вирусов, как и генераторMtE. Существуют несколько версийгенератора TPE.
    Они содержат строки:
    "[ MK / TridenT ]", "[TPE 1.1]" или"[TPE 1.2]" или "[TPE 1.3]" или"
    [TPE 1.4]".
    См. также MtE, NED, "TPE-Bosnia","TPE-Girafe".

    Mte

    Создан в 1991 г. Автор: MadManiac (Bulgaria).
    MtE (MuTation Engine) является первымизвестным полиморфик-генератором.Выпущен в 1991 году и по тем временамявлялся наиболее сложнымполиморфик-вирусом. В результатеработы полиморфик-алгоритма врасшифровщике вируса могутвстретиться операции SUB, ADD, XOR, ROR, ROL в произвольном количестве ипорядке. Загрузка и изменениеключей и других параметровшифровки производится такжепроизвольным набором операций, вкотором могут встретиться болееполовины инструкций процессора 8086(ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH,POP ...) со всеми возможными режимамиадресации.
    Содержат текст: "MtE0.90".


    Bizatch

    Создан в 1996 г.Автор:Quantum /VLAD.
    Первый конструктор дляWin'95-вирусов.Использует язык C++.Приего помощи создан вирус Bizatch.Win95.Boza


    Описания нет.

    CPE-APE

    Создан в 1994 г.
    Автор: Петр Деменюк (Москва). Он же создатель нового вируса PM.Wanderer.
    Генераторзашифрованных-полиморфиквирусов. Генерирует 50 файлов.
    Описания нет.

    RTFM

    Создан в 1994 г.
    Автор: Rajaat.
    Rajaat's Tiny Flexible Mutator.Объектный модульлинкуется с исходником вашеговируса, в результате получаетсязашифрованныйполиморфик-вирус.Содержит строку[RTFM].
    Описания нет.

    Конструктор UCF (TCHK)

    Создан в 1992 г.
    Автор: Stinger/VIPER.
    Trojan Horse Construction Kit.Конструктортроянских вирусов.При его помощи собраны вируса: UCF.a,UCF.Syktyvkar.
    Содержит три файла:
    thck-fp.exe - обрезает файлы доопределенного размера.
    thck-tbc.exe - создает троянский вирус UCF.a
    thck-tc.exe - создает троянский вирусUCF.Syktyvkar
    Описания нет.

    Конструктор TSR-TB

    Автор: HellFire.
    Конструктор троянских вирусов иTSR-бомб, с большим количествомопций.
    Описания нет.

    Конструктор VLC

    Создан 03-03-1995 г.
    Авторы: Trixter & White Cracker.
    Virus Lab Creations.Конструктор вирусов на языке C++.Большое количество опций.
    Описания нет.



Литература по компьютерной безопасности