Генераторы вирусов
MtE (Mutation Engine) — первый известный полиморфный генератор для вирусов в среде MS-DOS. Его автором является болгарский вирусописатель Dark Avenger.
Впервые выпущен в 1991 г. в виде объектного модуля с подробной инструкцией по применению. Довольно сложен: в полиморфном расшифровщике встречаются команды SUB, ADD, XOR, ROR, ROL в любом количестве и порядке. В командах изменения параметров шифровки могут встречаться более половины инструкций процессора 8086. Могут также использоваться любые возможные методы адресации данных. Всё это приводит к тому, что копии одного и того же вируса, зашифрованные с применением MtE, не совпадают ни в одном байте и имеют разную длину.
На основе MtE был создан ряд вирусов, например, MtE.Dedicated, MtE.Pogue и др.
Вскоре появился ряд других полиморфных генераторов.
Virus Creation Laboratory (VCL) — программа для генерирования компьютерных вирусов (конструктор вирусов).
Конструктор вирусов VCL является первой известной программой, которая предназначена для создания компьютерных вирусов. Создана для платформы MS-DOS и снабжена стандартным оконным интерфейсом. К пакету прилагается даже .pif-файл для запуска программы в среде Windows 3.1. Программа разработана вирусописателем Nowhere Man из хакерской группы NuKE.
VCL создаёт исходные листинги вирусов на языке Assembler, объектные модули и непосредственно заражённые файлы.
При создании вируса с помощью системы меню можно выбрать:
тип заражаемых файлов (.com, .exe либо оба типа)
возможность самошифровки тела вируса
наличие/отсутствие антиотладочного кода
внутренние текстовые строки
до 10 эффектов, проявляющихся при работе вируса
способ распространения (метод добавления кода, метод замещения с уничтожением первоначального содержимого, компаньон-вирусы)
Характерной особенностью вирусов, сгенерированных программой VCL, является то, что они достаточно примитивны, нерезидентны, сканируют каталоги только текущего логического диска, корректно заражают только .com-файлы. Характерно также стандартное расположение логических блоков программы для всех вариантов сгенерированных вирусов, что позволяет их легко обнаруживать по сигнатурам.
Антивирусные программы определяют вирусы, сгенерированные VCL, как VCL-based.
Автором планировалось написать новую версию программы с возможностью создания резидентных вирусов, но это так и не было реализовано.
Полиморфные генераторы — исполнимые модули в составе компьютерных вирусов, главной функцией которых является шифрование тела вируса случайным ключом и генерация соответствующего случайного (но работающего!) расшифровщика. В итоге копии вирусов, зашифрованные полиморфными генераторами, могут не совпадать ни в одном байте и иметь разную длину.
Сам полиморфный генератор не является вирусом, поскольку не имеет алгоритма заражения файлов или иного способа размножения.
Полиморфные генераторы как правило распространяются в виде объектного модуля, содержащего этот генератор и линкующегося к вирусному коду при трансляции. Вызов функции полиморфного шифрования и генерации расшифровщика осуществляется из тела вируса вызовом соответствующей external-процедуры перед командами записи в файл.
Известные полиморфные генераторы для вирусов в среде MS-DOS:
MtE (Mutation Engine)
TPE (Trident Polymorphic Engine)
NED (NuKE Encryption Device)
SMEG
TCE
VICE (Virogen's irregular Code Engine)
DAME (Dark Avenger's Mutation Engine)
Всего было создано несколько десятков полиморфных генераторов для вирусов в среде MS-DOS.
MtE (Mutation Engine) — первый известный полиморфный генератор для вирусов в среде MS-DOS. Его автором является болгарский вирусописатель Dark Avenger.
Впервые выпущен в 1991 г. в виде объектного модуля с подробной инструкцией по применению. Довольно сложен: в полиморфном расшифровщике встречаются команды SUB, ADD, XOR, ROR, ROL в любом количестве и порядке. В командах изменения параметров шифровки могут встречаться более половины инструкций процессора 8086. Могут также использоваться любые возможные методы адресации данных. Всё это приводит к тому, что копии одного и того же вируса, зашифрованные с применением MtE, не совпадают ни в одном байте и имеют разную длину.
На основе MtE был создан ряд вирусов, например, MtE.Dedicated, MtE.Pogue и др.
Вскоре появился ряд других полиморфных генераторов.
Virus Creation Laboratory (VCL) — программа для генерирования компьютерных вирусов (конструктор вирусов).
Конструктор вирусов VCL является первой известной программой, которая предназначена для создания компьютерных вирусов. Создана для платформы MS-DOS и снабжена стандартным оконным интерфейсом. К пакету прилагается даже .pif-файл для запуска программы в среде Windows 3.1. Программа разработана вирусописателем Nowhere Man из хакерской группы NuKE.
VCL создаёт исходные листинги вирусов на языке Assembler, объектные модули и непосредственно заражённые файлы.
При создании вируса с помощью системы меню можно выбрать:
тип заражаемых файлов (.com, .exe либо оба типа)
возможность самошифровки тела вируса
наличие/отсутствие антиотладочного кода
внутренние текстовые строки
до 10 эффектов, проявляющихся при работе вируса
способ распространения (метод добавления кода, метод замещения с уничтожением первоначального содержимого, компаньон-вирусы)
Характерной особенностью вирусов, сгенерированных программой VCL, является то, что они достаточно примитивны, нерезидентны, сканируют каталоги только текущего логического диска, корректно заражают только .com-файлы. Характерно также стандартное расположение логических блоков программы для всех вариантов сгенерированных вирусов, что позволяет их легко обнаруживать по сигнатурам.
Антивирусные программы определяют вирусы, сгенерированные VCL, как VCL-based.
Автором планировалось написать новую версию программы с возможностью создания резидентных вирусов, но это так и не было реализовано.
Полиморфные генераторы — исполнимые модули в составе компьютерных вирусов, главной функцией которых является шифрование тела вируса случайным ключом и генерация соответствующего случайного (но работающего!) расшифровщика. В итоге копии вирусов, зашифрованные полиморфными генераторами, могут не совпадать ни в одном байте и иметь разную длину.
Сам полиморфный генератор не является вирусом, поскольку не имеет алгоритма заражения файлов или иного способа размножения.
Полиморфные генераторы как правило распространяются в виде объектного модуля, содержащего этот генератор и линкующегося к вирусному коду при трансляции. Вызов функции полиморфного шифрования и генерации расшифровщика осуществляется из тела вируса вызовом соответствующей external-процедуры перед командами записи в файл.
Известные полиморфные генераторы для вирусов в среде MS-DOS:
MtE (Mutation Engine)
TPE (Trident Polymorphic Engine)
NED (NuKE Encryption Device)
SMEG
TCE
VICE (Virogen's irregular Code Engine)
DAME (Dark Avenger's Mutation Engine)
Всего было создано несколько десятков полиморфных генераторов для вирусов в среде MS-DOS.
0 коммент.:
Отправить комментарий