Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
Приветствую.
Решил поднять старую, но интересную тему - компьютерные вирусы.
Нет, я не предлагаю писать в этой теме что Вы умеете.
Интересуют ответы пользователей, людей столкнувшихся с данным явлением в компе или своих носителях данных.
Названия вирусов не очень нужны, интереснее какие виры попадали чаще - там скажем рекламщики малвари, руткиты, шифровальщики данных, черви, файловые итд.
А в чём смысл данного обсуждения, можно поинтересоваться?
Юзвери постоянно таскают мне ноуты с порнобаннерами, троянами и прочей мелкой шелухой, на которую даже внимания обращать нет смысла. Шифровальщики - дело другое. Встречаются реже, но если уж подцепили - прощайте фотки.
Статистика для себя. Остановился на изучении в 1999 году, увлекался дизассемблированием и ходом людской мысли в данной тематике.
Постараюсь описать примерно что знаю, пусть не в одном сообщении. А если есть на форуме люди, увлекающиеся реинжинирингом программ подобного типа - прошу в тему.
Различий в самокопирующихся, назовем их вирусы - программах можно насчитать множество. Итак начнем.
Вирусы можно разделить на Файловые, Дисковые, для переносных устройств, сетевые, заражающие системный bios. Во многих из данных категорий, можно найти так-же стелс, полиморфные, шифрующиеся. Каждую из таких програм относят к выполняющим некую работу. Работа вируса может заключаться в самокопировании, вандализме, шифровании, вымогательстве, похищению данных, обеспечении незаметного и неавторизированного доступа или выполнении определенных действий или запуска програм на системе-жертве. Системы подверженные заражению - это могут быть пользовательские компьютеры с любыми архитектурами, серверы и микросерверы, роутеры работающие на специфическом процессоре, телефоны и операционки на них, хабы разных "умных устройств" с дырами в прошивке и сами умные устройства.
Пожалуй начну с вирусов заражающих диски и носители информации.
Вирусы способны заражать носители информации, в основном твердые диски, хотя раньше заражали и дискеты. Скорее всего существуют вирусы заражающие загрузочные флешки и компакт-диски.
Заражение происходит путем перезаписи содержимого первых, загрузочных секторов (mbr или boot), с сохранением оригинальных данных, иногда в шифрованном виде в хвосте вируса. Вирус предусматривает в своем теле место для таблиц данных носителя, тип, размер итд, обеспечивающие корректную работу носителя на незараженной системе. При получении управления во время загрузки с носителя, вирус вычисляет адрес CS:IP с которого был запущен и после перехвата управления и своего размещения в памяти, копирует оригинальные сектора в нужное место памяти с которого был загружен, передавая управление загрузочным программам как на незараженной системе.
Фишкой данных вирусов является стелс технология, которая включается при попытке доступа с помощью bios и прерываний, в открытии оригинального содержимого зараженных секторов.
Мутацией таких вирусов стала способность заражать файлы (ранее были еще дискетки), которые стали переносчиками вирусного кода между системами. Таким образом данный тип вируса состоит как-бы из двух типов вирусов - Дискового и Файлового (возможны появления штаммов так-же работающих с сетью)
Данный тип вируса внедряется в исполняемые файлы, изменяя их заголовок, в результате чего получает управление перед самой программой. Могут помещаться в начале запускаемого файла, в конце, подменяя начальные инструкции (сохраняя оригиналы в теле вируса) или размещаться в теле программы, часто разделяясь на сегменты и записываясь по несколько частей или занимая пустые (программы имеют свойство округления сегментов до 512 байт) блоки. Бывают так-же вирусы, которые внедряются в тело или заголовки программ, и не работоспособны, пока данный файл не будет запущен на нужной операционке.
Например HOBBIT 406 - заражал файлы EXE, внедряясь в пустые заголовки программ, которые при выполнении в DOS (некоторые уже не знают что это) - не получали управления, но при выполнении в Windows, первичный сегмент указывал на начало вируса.
Был еще интересный VIR - работоспособный правда только в DOS 3.3-5.0, который размещал свое тело в 2 последних секторах дисков, хотя сам вирус был типично файловый. Заражение файлов осуществлялось с помощью таблицы FAT, то-есть таблицы с информацией типа названий файлов и начала их данных. Вирус просто менял для каждого имени файла адрес начала расположения данных на адрес тех самых последних секторов. В результате на зараженной системе отследить наличие вируса было очень сложно, так как вирус подставлял значение с правильным началом данных на диске. На незараженной системе в начале всегда выполнялся код вируса.
Данную технологию позже начали называть стелс - когда вирус в системе, содержимое файлов и размер соответствуют оригиналу.
Кстати в то-же время появился Янки Дудл, простой вирус, проигрывавший известную мелодию в 17 часов. Записываясь в конец файлов, с модифицированием первых 4 байт, он после получения управления при открытии файла просто лечил себя, выполняя данную процедуру во время просмотра, редактирования или выполнения файлов, а после снова заражал, отнимая свой размер чтобы остаться незаметным при проверке длинны файла.
С развитием антивирусов и продвинутых пользователей, вирописателям пришлось ввести в свои программы защиту.
Изначально антивирусы проверяли наличие определенных сигнатур (байтовых строк) в памяти и исполняемых файлах, и при обнаружении таковых - обнаруживался вирус. Например строка "Eddie lives, somewhare in time" в конце программы, указывало на заражение вирусом DarkAvenger.1800.
Первые вирусы, даже использующие технологии стелс в незараженных системах были легко обнаруживаемы. Достаточно было использовать другие способы доступа к чтению файлов или дисков. Защитой от простейшего обнаружения стало шифрование. Например вирус в начале содержал маленький расшифровщик, который после запуска раскодировал основное тело вируса и передавал ему управление. Кодирование в основном заключалось в использовании взаимоисключающего шифрования (если на байт со значением 1010 использовать команду XOR со значением 1100 то получим 0110), само значение для шифрования выбералось случайно, в результате тело вируса в каждом из зараженных файлов всегда отличалось от предыдущих копий. Но начальная сигнатура всегда оставалась одинаковой или незначительно отличались команды. Опять светилась сигнатура, которую искали антивирусы.
Сообщение обновлено:
Тогда вирусы начали использовать полиморфизм - построение тела с помощью таблиц заданных действий, используя случайные команды или регистры но выполняющие подобные функции. Некоторые даже пошли далее, раскидывая расшифровщик, разделенный на небольшие (10-16 байт) части по всему коду жертвы. При чем команда находящаяся в средине тела могла вызвать следующую процедуру находящуюся в начале, а та в свою очередь указывала на конец файла чтобы после выполнения запустить очередную, и так несколько случайных комбинаций переходов. Это уже были настоящие полиморфы, так как из 100000 копий ни одна не была похожа на предыдущую и не содержала повторяемых сигнатур для определения.
Решением антивирусов стал эвристический анализ или поочередное выполнение каждой команды в программах и проверка последовавших реакций. Но програмисты так-же не сидели сложа руки и разрабатывали противодействие подобным исследованиям.
Например вирус ХРЕН.4096 кроме того что был комбинированым - заражая диски и файлы, использовал стелс-технологию и имел сильнейший алгоритм полиморфизма, еще умел защищаться от эвристики.
Для этого он перехватывал прерывания отвечающие за отладку в процессоре (команды INT01, INT03, INT06) и при изменения адресов прерываний, самоизлечивался в исследуемых файлах, ну а после окончания отладки опять заражал их. Кстати команда INT03 имеет шестнадцатиричное значение "CC" и занимает только один байт.
Дополнительно для запутывания использовалось прерывание INT06, говорящее системе что выполнилась ошибочная команда. Вирус будучи в памяти первый обрабатывал данное прерывание и мог используя намеренные ошибки вставленные в программу эвристическими анализаторами, получать управление.
Что то я фишку не рублю,в чём профит,в познании,типа вооружен знаниями значит в безопасности или опасен?Что то так сложно всё в последнее время,кругом вирусы и везде о них только и говорят,скучно,мрачно,тоска.
Ну почему сложно... Просто одни любят играть в шахматы, другие мля формулы всякие, третьи ... Ну разве не интересно как все работает? История вот тоже клевая если ее в своих руках держишь. Хобби понимаш
Андроид по сути это то-же ядро линукса. В линуксе доступ иерархизирован, то-есть сначала ядро, потом операционка а уж потом программы. Нужно как-то добраться до ядра, знать дыры в нем, в которые можно разместить код, чтоб операционка не материлась что устанавливает программу.
Теоретически это возможно если пользователь устанавливая какую нибудь известную игру или программу, сам установит себе Ваше приложение которое идет в дополнение к установочному файлу. Типа троян.
Андроид по сути это то-же ядро линукса. В линуксе доступ иерархизирован, то-есть сначала ядро, потом операционка а уж потом программы. Нужно как-то добраться до ядра, знать дыры в нем, в которые можно разместить код, чтоб операционка не материлась что устанавливает программу.
Теоретически это возможно если пользователь устанавливая какую нибудь известную игру или программу, сам установит себе Ваше приложение которое идет в дополнение к установочному файлу. Типа троян.
Да, но не все качают лицензионные файлы с плеймаркета, платя за регистрацию того-же minecraft
права запросятся полюбому, но обычно на это не обращается внимание... доступ к сети, доступ к флеш памяти итд.
Первый вирус данного типа, с громким названием Anarchy.6093 умел заражать выполняемые COM, EXE файлы, а также инфицировал DOC-файлы для WinWord версий 6.0-7.0.
При открытии DOC-файлов вирус анализировал внутренний формат OLE2 документа, создавая новую таблицу макросов и дописывался в конец данного документа как зашифрованный макрос AUTOOPEN, который содержал вирусный код дроппера. При открытии инфицированного документа с помощью Word, вирусный макрос создавал на диске EXE-файл в формате Win (NE), записывая в него код вируса, запускал его, и по окончании своей установки в систему - удалял.
Что интересно, если вирус находится в памяти,то при открытии любого документа средствами Word for Windows, данный документ окажется инфицированным. При заражении DOC-файлов вирус использует некоторые "дыры" в формате OLE2, в результате чего при активном вирусном макросе AUTOOPEN просмотреть его *наличие* в системе средствами WinWord [TOOLS/MACRO] не предоставлялось возможным.
с другим апк это да, затея была в другом, маскировать с картинкой, но так даже если юзер откроет якобы картинку или музончик ему вылезет на экран процесс распаковк апк, мысль была избавится от этого.
Для отключения данной функции надо быть разработчиком андроид. Ну и иметь доступ не на уровне программы а работать напрямую с операционкой. Из программ типа APK (по сути та-же JAVA) обойти установленные опции системы не получится.
Вирус-червь ArjDrop.2821. Производил поиск ARJ и RAR-архивов и заражал их, дописывая к данным архивам собственную копию в этих архивных файлов. В ARJ-архивы вирус записывал файлы типа RUNME.COM а в RAR-архивы - RUN_ME_.COM которые содержали вирусный код,
Полиморфный вирус Batalia.2011, заражающий *.BAT-файлы в текущем каталоге. При заражении файлов вирус использует архиватор ARJ, доступный через переменную среды PATH. Инфицированный BAT-файл состоит из двух частей.
Первая часть состоит из пяти команд DOS, а вторая часть является
заархивированным с помощью RAR BAT-файла, имеющего случайное имя. Этот
заархивированный BAT-файл также содержит команды DOS и еще один RAR -
архив. Команды DOS являются основным телом вируса, они производят поиск
файла-жертвы, заражение файлов и создание полиморфного кода.Первые пять
команд вируса вибираются случайным образом и имеют различную длину.
Вторая часть - RAR-архив зашифрован со случайным паролем и не может
быть детектирован по определенной маске. При запуске инфицированного
BAT-файла, первые пять команд запускают архиватор RAR для распаковки
второго BAT-файла и передают ему управление. Этот BAT-файл создает
временный подкаталог S_G_W_W, разархивирует в этот подкаталог файлы из
второго архива, выполняет поиск и заражение BAT-файлов, выполняет
BAT-файл-носитель, удаляет временный подкаталог и файлы и заканчивает
свою работу.
Ну почему сложно... Просто одни любят играть в шахматы, другие мля формулы всякие, третьи ... Ну разве не интересно как все работает? История вот тоже клевая если ее в своих руках держишь. Хобби понимаш
Нет не интересно,по причине того что это всё есть в google и есть масса телеграм каналов по этой же теме с многочисленными повторами,где всё это перетёрто и не раз,текст разный суть одна.
Если кто то приходит сюда только лишь по той причине что он не знает как пользоваться google или телеграм и кричит лайк продолжай,пиздец как интересно,то это обычная деградация не только личности а и определённого круга user в даркнете.
Вообщем как то так и - понимаешь,уровень не тот.
Я ещё помню что я в даркнете,а вообще я рад что есть закрытые площадки куда не попадает вся эта деградация и опускалово головного мозга.
Чет вспомнилась сценка с фильма 'За двумя зайцами' ... Челловекк!
Каждому свое камрад.
Сообщение обновлено:
Вирус-спутник AIDS.8064. Создавал для EXE-файлов вирусный файл-компаньон с расширением COM (по системной иерархии запускавшегося перед EXE).
Вирус BatVir, заражавший BAT-файлы. Инфицированный BAT-файл создает файл BATVIR.94, в который записывает собственный дамп. Далее с помощью программы системы DEBUG данный дамп запускался как COM-файл. Программой DEBUG этому коду передавалось управление. Программа производила поиск и заражение *.BAT-файлов в текущем каталоге, с последующим закрытием режима DEBUG и удаления запущенного файла BATVIR.94
Вирусы Winstart.296, 297, создающие файлы WINSTART.BAT. При старте такого файла вирусы копируют содержимое стартовавшего BAT-файла, содержащего вирусный код в файл C:\Q.COM и запускают его: @Echo OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q.COM
Интересно что в файле C:\Q.COM команды управления, которые выполнялись в инфицированном BAT-файле, в COM-файле интерпретировались как инструкции выполняемые напрямую процессором, работая с командами управления, следующими за строкой C:\Q. Вирусы устанавливают свою копию резидентно в память (в область HMA) и "перехватывают" INT 2Fh (DOS,WIN) после этого переименовывают файл C:\Q.COM в C:\WINSTART.BAT. Резидентно вирус контролирует запуск командного процессора и создает файлы WINSTART.BAT в текущих директориях.
(примечание - WINSTART.BAT это файл с которым запускались первые WIN, и система вместо поиска файла запускала из текущей директории)
Дальнейшее развитие - сетевые черви. Про развитие и червь Морисона есть в сети...
но в наших просторах, такие вирусы появились немножко позже и работали в другой среде.
Интересный вирус, написанный и рабочий в Вин3.1 и Вин95, обьединяющий в себе и новые технологии заражения - создание своего драйвера! в системе и возможность удаленного управления.
многобукофф.
BAT.Highjaq
Очень опасный нерезидентный вирус-червь. Записывает свой код в
WINSTART.BAT, ARJ-архивы и создаваемый вирусом системный драйвер. При
старте инфицированного WINSTART.BAT-файла вирус создает файл C:\Q.COM,
записывает в него свой код и запускает его следующей строкой BAT-файла:
dir \*.arj/s/b|c:\q.com/i. Команда DIR производит поиск всех
*.ARJ-файлов и передает их имена вирусному файлу C:\Q.COM.Данные архивы
заражаются путем приписывания к ним еще одного поля в формате
ARJ-архива, содержащего неупакованный (store) инфицированный файл
/WINSTART.BAT (данный файл, расположенный в корневом директории диска,
где находится система MS-Windows будет автоматически запускаться при
старте MS-Windows).После чего вирус (C:\Q.COM) проверяет установлена ли
его резидентная копия в памяти.Если нет, то вирус (С:\Q.COM) возвращает
соответствующий код возврата (errorlevel) и заканчивает свою работу.
По данному коду возврата (если память не инфицирована) вирус в BAT-
файле переименовывает файл C:\Q.COM в C:\ABCDEFGH.IJK (вирус генерирует
случайное имя) и дописывает в конец файла C:\CONFIG.SYS строку
"INSTALLHIGH=C:\ABCDEFGH.IJK". Данный вирусный системный драйвер будет
устанавливать резидентную копию вируса в память при загрузке DOS.
Резидентная копия "перехватывает" INT 8, 21h и не занимается заражением
файлов, а предназначена для идентификации наличия вируса в системе, а
также перехват вирусом прерывания INT 21h которая блокирует функцию GetFileAttribute
для файлов, имена которых начинаются на "/W". Вирусный обработчик INT 8
через некоторое время перезагружает систему, если компьютер работает не
под управлением MS-Windows.
Вирус контролирует COM-порты и в определенное время
посылает в порт модема строки (? - номер порта):
HIGHJAQ on COM?:38400,N,8,1
Система перезагружается если вирус определит, что бит Carrier Detect в
течение 3-ех минут трижды устанавливался в единицу в соответствующем
COM-порте. После перезагрузки системы вирус "перехватывает" INT 8,
блокирует клавиатуру и запускает файл C:\COMMAND.COM (cmd) с командной
строкой "C:\ COM? /E:1024/P/F". Т.е., вирус определяет 3 звонка в
течение 3-ех минут (1 звонок в минуту) от некоторой особы и считает
это "сигналом к взлому". После этого система перегружается,
запускается COMMAND.COM и в порт модема посылается команда ATL0M0A.
Особа, позвонившая модемом в это время на данный номер, увидит
после соединения системное приглашение "C:>" и сможет сделать с этим
компьютером все, что хочет.
В наши дни всеобщей компьютеризации вирусы стали банальностью наподобие кусачих насекомых. Неприятная и назойливая штука, некоторые могут быть опасными всерьёз — как комар может переносить малярию. В целом же — привычная и обыденная напасть, которой можно с некоторой вероятностью избежать при...
