div.main {margin-left: 20pt; margin-right: 20pt}
Конструкторы вирусов
Конструктор вирусов - это
утилита, предназначенная для изготовления новых компьютерных вирусов. Известны
конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют
генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или
непосредственно зараженные файлы. Некоторые конструктороы (VLC, NRLG) снабжены
стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип
вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие
самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать
эффекты, сопровождающие работу вируса и т.п. Прочие конструкторы (PS-MPC, G2)
не имеют интерфейса и считывают информацию о типе вируса из конфигурационного
файла.
Полиморфные
генераторы
Полиморфик-генераторы, как и
конструкторы вирусов, не являются вирусами в прямом смысле этого слова,
поскольку в их алгоритм не закладываются функции размножения, т.е. открытия,
закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией
подобного рода программ является шифрование тела вируса и генерация
соответствующего расшифровщика. Обычно полиморфные генераторы распространяются
их авторами без ограничений в виде файла-архива. Основным файлом в архиве
любого генератора является объектный модуль, содержащий этот генератор. Во
всех встречавшихся генераторах этот модуль содержит внешнюю (external) функцию
- вызов программы генератора. Таким образом автору вируса, если он желает
создать настоящий полиморфик-вирус, не приходится корпеть над кодами
собственного за/расшифровщика. При желании он может подключить к своему вирусу
любой известный полиморфик-генератор и вызывать его из кодов вируса. Физически
это достигается следующим образом: объектный файл вируса линкуется с объектным
файлом генератора, а в исходный текст вируса перед командами его записи в файл
вставляется вызов полиморфик-генератора, который создает коды расшифровщика и
шифрует тело вируса.
Virus Creation
Laboratory
Автор : [NuKE] USAVCL известен как первый в мире вирусный
конструктор. Вышел в свет в конце лета 1992 года. Его появлению мы обязаны
товарищу Nowhere Man, члену одной из самых громких и амбициозных вирусных
групп - NuKE, большая часть которой располагалась в USA.
Помимо того, что этот
конструктор был первым, он имел несколько замечательных черт, таких как :
Дистрибутив поставляется с
неплохим инсталлятором и подробной документацией и примерами использования.
Также устанавливается .pif и .ico файлы для MS Windows.
Дружественный
пользовательский интерфейс, по типу TurboVision сред (a la Borland). Наличие
контестной подсказки и поддержка мышки. Автор даже утверждает, что его среда
является CUA-совместимой. :-)
Разнообразие типов
генерируемого кода :
Overwriting вирусы
Appending вирусы
Companion (spawning)
вирусы
Код для создания троянцев
и логических бомб
Возможность задания свойств
генерируемого кода. Код даже слегка оптимизируется. При желании можно
добавить в него анти-отладочные и анти-дизассемблерные вставки.
Настраиваемость среды.
Настраиваемые цвета, пополняемая библиотека процедур (эффектов/условий
срабатывания). Однако, несмотря на все свои
положительные качества, VCL не вызвал очень большой волны свежих вирусов и не
снискал широкой популярности в кругах авторов вирусов. Причин этому было
много, но скорее всего, главной была высокая уязвимость сгенерированных
вирусов для антивирусных продуктов. Большинство антивирусов стали обнаруживать
VCL-made вирусы еще до выхода его в свет (вероятно, по восьми тестовым
вирусам).
Другим его недостатком было
довольно невысокое качество ассемблерного кода. Зачастую антиотладочные
вставки просто не работали и завешивали систему, а иногда ассемблерный код
вообще не компилировался. Тем не менее автор Nowhere Man анонсировал выход VCL
for Windows и VCL II. Насколько мне известно, VCL for Windows никогда не был
выпущен, хотя и существует оболочка от VCL for Windows, получившего название
Scare Project. VCL II был практически написан, но в связи с распадом NuKE в
целом так и не был отлажен и выпущен.
Прикол из документации:
Nowhere Man объявил код сгенерированный VCL своей собственностью и запретил
антивирусным производителям использовать участки этого кода в своих продуктах.
Мдаа... Как обычно Copyright не сработал. :-)
В апреле 1994 года Firecracker
(затем вступивший в NuKE) выпустил VCL Mutator, заменяющий характерные участки
кода VCL-вирусов на аналогичные, не обнаруживаемые (тогда) антивирусами.
Известные мне на данный момент
версии: VCL 1.0 : Июль 1992 года(Если еще существует человек, знающий
ASM, но не знающий пароля к инсталятору VCL, то вот он: Chiba City)
Phalcon-Skism Mass
Produced Code GeneratorАвтор : [Phalcon/SKISM] USA/CanadaАмериканская вирусная группа
Phalcon/SKISM, постоянно в во всем конкурирующая с NuKE, сразу же
отреагировала на брошенный им вызов в виде VCL и выпустила свою версию
вирусного конструктора известного как PS-MPS. Автором является Dark Angel
(один их активистов P/S).
PS-MPS является намного более
мощным и качественным продуктом, нежели VLC. Одной из его отличительных черт
является полное отсутствие красивого интерфейса. Иделогия P/S 'Настоящий
профессионал работает с командной строкой'. Конфигурация создаваемого
вирусного кода задается посредством текстового конфигурационного файла.
С помощью PS-MPC можно
создавать полноценные вирусы со следующими свойствами:
поражение COM и EXE файлов
резидентый и нерезидентный
код
два разных алгоритма обхода
для нерезидентных вирусов
три способа размещения в
памяти резидентного кода
исключение COMMAND.COM из
поражаемых файов
генерируемый обработчик
критических ошибок
случайно генерируемый
алгоритм шифрования кода вируса
компактный, чуть лучше (чем
в VCL) оптимизированный код
исходники замечательно
откомментированы Сам по себе PS-MPS не генерирует
каких-либо деструктивных функций, но предоставляет очень понятный и отлично
откомментированный код, так что понимание и изменение вирусного кода не
представляет никакого труда. PS-MPS оказался гораздо более продуктивным
инструментом нежели VCL, С его помощью было создано несколько сотен вирусов и
многие из них имели широкое хождение. После того, как Aristotle (NuKE)
выпустил Metric Buttload of Code Generator, генерировавший десятки слегка
модифицированных PS-MPC вирусов, количество таких вирусов выросло еще больше.
Примечательной особенностью
этого конструктора было то, что он распространялся в исходных кодах (Turbo C),
что было побуждением для многих авторов выпустить свои, измененные версии
компилятора. Это привело к еще большему увеличению числа вирусов,
произведенных с помощью этого компилятора.
Известные мне на данный момент
версии: PS-MPC 0.90beta : Июль 1992
PS-MPC 0.91beta : Август 1992
G2Автор : [Phalcon/SKISM] USA/CanadaСудя по всему, Dark Angel остался
недоволен своим детищем PS-MPC, посему он вскоре выпустил другой компилятор -
G2 или G в квадрате, что является "аббревиатурой" от Second Generation in
virus creation.
G2 в работе очень напоминает
PS-MPC, но на самом деле он более мощный инструмент в создании вирусного кода.
Dark Angel вынес логику генерации кода во внешний файл G2.DAT и декларировал,
что будет выпускать новые версии G2 путем замены этого файла на новый. К
сожалению, мне неизвестны усовершенствованные варианты G2.DAT. Отличительная
черта G2 - это встроенный модификатор кода, позволяющий при каждом запуске
компилятора создавать слегка отличающийся код. G2 совместим снизу вверх с
PS-MPC по формату конфигурационных файлов. С помощью G2 создано несколько
десятков реальных вирусов.
Известные мне на данный момент
версии: G2 0.70B : Январь 1993
Biological
WarfareАвтор : MnemoniX (USA)Другим хорошим вирусным конструктором
являлся Biological Warfare, также известного как BW. BW как и все
вирус-компиляторы генерирует исходный код (разумеется, ассемблер) вируса в
соответствии со спецификациями, заданными пользователем. Задание опций
генерации происходит интерактивно - в виде вопросов/ответов.
Генерируемые вирусы имеют
следующие характеристики:
Резидентные / не
резидентные
Поражение EXE/COM файлов
Шифрование - как простое
так и с помощью BWME (см.ниже)
Анти-трассировочные приемы
Поражение COMMAND.COM -
опционально
Обработчик Int24
(критической ошибки DOS)
Два уровня Stealth
Прочие : способ обхода
каталогов, проверка оверлеев, итд. С компилятором поставляется Biological
Warfare Mutation Engine небольшой (609 байт) полиморфный генератор, что
несколько затрудняет обнаружение вирусов.
Опять же если кто-то не знает
пароля - ' frea '.
Известные мне на данный момент
версии: BW 0.90beta : Апрель 1994
BW 1.00 : Июль 1994
NuKE Randomic Life
GeneratorАвтор : Azrael/NuKE (Argentina)Очередное произведение неутомимых
тружеников группы NuKE - новый генератор вирусов NRGL. Выполненный в лучших
традициях инструментов NuKE - с красочной IDE с разнообразными видеоэффектами,
этот компилятор тем не менее не пользовался большой популярностью среди
вирусного сообщества, хотя и известны несколько десятков NRGL-вирусов.
Компилятор позволяет задать
набор свойств вируса, среди которых противодействие резидентным антивирусов,
уничтожение файлов контрольных сумм, процедуру шифровки/дешифровки. Помимо
этого NRGL предлагает набор деструктивных функций, которые можно внедрить в
код создаваемого вируса, таких как уничтожение MBR, файлов и случайных
секторов. Код, генерируемый NRGL не отличается читабельностью, хотя человек
неплохо знающий ассемблер, может в нем разобраться.
Известные мне на данный момент
версии: NRLG 0.66beta : Июнь 1994
Virus Construction
SetАвтор : Verband Deutscher Virenliebhaber (Germany)Если Virus Construction Lab группы NuKE
был первой успешной попыткой создать вирусный компилятор, то программа VCS
является самой первой попыткой программу для создания вирусного кода.
Выпущенная в конце 1990 года
группой, название которой переводится как 'Ассоциация Любителей Вирусов', VCS
не отличается особой изощренностью. VCS запрашивает текст, появляющийся в теле
вируса и количество поколений вируса, после которого наступает активация.
Затем VCS создает файл Virus.Com, содержащий вирусный код. Вирусы, созданные
этим компилятором, имеют одинаковые характеристики :
Поражение только COM-файлов
Количество поражаемых
файлов фиксировано
Алгоритм активации :
уничтожение Autoexec.bat и Config.sys и вывод заданного при генерации текста
Единственной "изюминкой" конструктора является наличие в создаваемых
вирусах средств маскировки под антивирусом FluShot. Тем не менее, известно
несколько VCS-вирусов.
Известные мне на данный момент
версии: VCS English : 1990/91
VCS German : 1990/91
Virus Creation
2000Автор : Havoc The Chaos (USA)The Virus Creation 2000 System,
сокращенно называемая VC2000 довольно неплохая система генерации вирусного
кода. Распространяется в виде одного файла размером около 25K. Перед созданием
вируса необходимо специфицировать его свойства, такие как:
Резидентность /
нерезидентность
Дописывание или записывание
поверх кода жертвы
Проверка внутренней
структуры поражаемых файлов
Проверка размеров
COM-файлов
Буферизация DTA-области на
время поиска
Метод поиска жертв
Обработка Int24
Содержит атни-антивирусный код:
Блокирует клавиатуру при
попытке трассировки кода
Обходит ThunderBYTE TBClean
Завешивает Turbo Debugger
Противодействие ThunderBYTE
TBSCANX
Код для борьбы с F-Prot
Примечательно, что вместе с вирусом может быть сгенерирован код
определения наличия генерируемого вируса в памяти. Для удобства работы при
генерации ассемблерного кода также генерируется и пакетный файл MAKEVIR.BAT,
продуцирующий двоичный код вируса.
Известные мне на данный момент
версии: VC2000 0.95 : не распростанялась
VC2000 0.96 : Декабрь 1993
VC2000 0.97 : Январь 1994
VICE ('Virogen's Irregular
Code Engine')
VICE (Virogen's Irregular Code
Engine) -это очереднойполиморфик-генератор, см. MtE и TPE.Существуют несколько
версийгенератора, они содержат строки: [VICE v0.1с, by _irogen] {VICE
v0.2с, by _irogen [NuKE]} {ViCE v0.3с, by _irogen [NuKE]} [_iCE v0.5, by
_iro Несколько вирусов на базе VICEраспространяются вместе с
самимгенератором. Это неопасныерезидентные вирусы. Ониперехватывает INT 21h и
записываются вконец запускаемых COM- и EXE-файлов.
Amber
Конструктор Amber.Создан в
1996 году.Автор:неизвестен,возможно Reminder[DVC].Полиморфный генератор
шифровщикови расшифровщиков. Amber - генератор полиморфных вирусов.Содержит
текст: Amber1.07@beta
IVP ('Instant Virus
Production Kit')
IVP ('INSTANT VIRUS PRODUCTION
KIT') являетсяутилитой для создания вирусов IVPгенерирует исходные
ассемблерныетексты вирусов различных типов,характеристики которыхописываются в
конфигурационномфайле. К таким характеристикамотносятся: заражение COM, EXE
или обоихтипов; самошифрующийся вирус илинет; перехват INT 24h или
нет;заражение COMMAND.COM; встроенныеэффекты и т.д.
Генератор IVP в
значительнойстепени повторяет генератор PS-MPS и ,скорее всего, является
егоуменьшенной версией. Автор : Youngsters Against McAffe
(USA)
MME
MME (MiMe) является
очереднымполиморфик-генератором. "MME.WhoNoName" - опасныйнерезидентный
вирус. При запускеищет .COM-файлы и записывается в ихконец. Часто зараженные
файлы виснут при исполнении. Вируссодержит строки: [This is WhoNoName
V2.1 Virus By Dark Tommy] The WhoNoName V2.1 Virus Make With MiMe v1.0
Конструктор
TPE
Автор: Masud Khafir. Trident
Polimorphic EngineTPE - это генераторполиморфик-вирусов, как и генераторMtE.
Существуют несколько версийгенератора TPE. Они содержат строки: "[ MK /
TridenT ]", "[TPE 1.1]" или"[TPE 1.2]" или "[TPE 1.3]" или" [TPE 1.4]".
См. также MtE, NED, "TPE-Bosnia","TPE-Girafe".
Mte
Создан в 1991 г. Автор:
MadManiac (Bulgaria). MtE (MuTation Engine) является первымизвестным
полиморфик-генератором.Выпущен в 1991 году и по тем временамявлялся наиболее
сложнымполиморфик-вирусом. В результатеработы полиморфик-алгоритма
врасшифровщике вируса могутвстретиться операции SUB, ADD, XOR, ROR, ROL в
произвольном количестве ипорядке. Загрузка и изменениеключей и других
параметровшифровки производится такжепроизвольным набором операций, вкотором
могут встретиться болееполовины инструкций процессора 8086(ADD, SUB, TEST,
XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH,POP ...) со всеми возможными
режимамиадресации. Содержат текст: "MtE0.90".
Bizatch
Создан в 1996 г.Автор:Quantum
/VLAD. Первый конструктор дляWin'95-вирусов.Использует язык C++.Приего
помощи создан вирус Bizatch.Win95.Boza
Описания нет.
CPE-APE
Создан в 1994 г. Автор:
Петр Деменюк (Москва). Он же создатель нового вируса
PM.Wanderer. Генераторзашифрованных-полиморфиквирусов. Генерирует 50
файлов. Описания нет.
RTFM
Создан в 1994 г. Автор:
Rajaat. Rajaat's Tiny Flexible Mutator.Объектный модульлинкуется с
исходником вашеговируса, в результате
получаетсязашифрованныйполиморфик-вирус.Содержит строку[RTFM]. Описания
нет.
Конструктор UCF
(TCHK)
Создан в 1992 г. Автор:
Stinger/VIPER. Trojan Horse Construction Kit.Конструктортроянских
вирусов.При его помощи собраны вируса: UCF.a,UCF.Syktyvkar. Содержит три
файла: thck-fp.exe - обрезает файлы доопределенного размера.
thck-tbc.exe - создает троянский вирус UCF.a thck-tc.exe - создает
троянский вирусUCF.Syktyvkar Описания нет.
Конструктор
TSR-TBАвтор: HellFire. Конструктор
троянских вирусов иTSR-бомб, с большим количествомопций. Описания нет.
Конструктор
VLC
Создан 03-03-1995
г. Авторы: Trixter & White Cracker. Virus Lab Creations.Конструктор
вирусов на языке C++.Большое количество опций. Описания нет.
|