Dr_Web | Дата: Среда, 07.09.2011, 12:21 | Сообщение # 1 |
1
Группа: Пользователи
Сообщений: 105
Статус: Offline
| Часть 3. - Как обмануть AVP Script Checker Описанный метод обхода AVP Script checker довольно сложен, так как требует знаний разных языков программирования, однако можно придумать множество более простых методов.
Практически все программы защиты от вирусов работают по одному и тому же принципу, они сравнивают файлы с имеющимися в базе данных участками вирусов, так называемыми сигнатурами. По аналогичному алгоритму работает и AVP Script checker, который после предварительной компиляции просматривает файл, и ищет "знакомые места". Однако в отличие от компиляторов мощных программных продуктов cscript.exe проводит только предварительную компиляцию, без редактирования исходного кода, и поэтому, немного изменив исходный код ранее написанного вируса можно легко обойти защиту.
За основу возьмем каркас почтового червя на VBScript. Начнем с самого простого метода, изменения порядка выполнения, добавления пробелов и пустых строк.
Заменяем OutMail.to = OutlookObject.GetNameSpace("MAPI").AddressLists(1).AddressEntries(Index) на OutMail.to = "Адресс E-mail", для безопасности, и сохраняем.
AVP "говорит": обнаружена новая модификация вируса I-Worm VBS.Fool. Убираем строку Set File = FileSysObject.GetFile(WScript.ScriptFullName), он замолчал, значит, антивирус реагирует именно на присутствие этой строки. Меняем местами строки и получаем: Dim FileSysObject, File Set FileSysObject = CreateObject ("Scripting.FileSystemObject") Dim OutlookObject, OutMail, Index Set OutlookObject = CreateObject("Outlook.Application") Set File = FileSysObject.GetFile(WScript.ScriptFullName)
AVP Script checker не реагирует.
Можно просто изменить проблемную строку следующим образом:
Set File = FileSysObject. _ GetFile(WScript. _ ScriptFullName)
Эффект тот же, надо только поэкспериментировать. В коде I-Worm VBS.HappyTime в начало файла добавлено 35 пустых строк и этого хватило, чтобы антивирус не распознал его.
Существуют и более сложные методы, например кодирование тела вируса. Ярким примером этого послужил I-Worm VBS.Homepage в котором основной код был закодирован следующим образом:
DeCode("Кодированное тело Homepage") Function DeCode(Coded) For I = 1 To Len(Coded) CurChar= Mid(Coded, I, 1) If Asc(CurChar) = 15 Then CurChar= Chr(10) ElseIf Asc(CurChar) = 16 Then CurChar= Chr(13) ElseIf Asc(CurChar) = 17 Then CurChar= Chr(32) ElseIf Asc(CurChar) = 18 Then CurChar= Chr(9) Else CurChar = Chr(Asc(CurChar) - 2) End If DeCode = DeCode & CurChar Next End Function
В результате чего, довольно простенький скрипт заразил миллионы компьютеров по всему миру.
Следующим шагом будет написание на VBS полиморфика, скрипта способного видоизменять свой код по мере необходимости. К недовольству "настоящих вирусописателей", считающих скриптовые технологии забавой для ламеров, количество вирусов использующих эту технологию неуклонно растет. Это связанно с простотой реализации и интегрированностью в операционную систему, с помощью скриптов можно полностью управлять системой, запускать и останавливать процессы, удаленно создавать и удалять пользователей, править файлы, и много чего еще...
P.S. Согласно статьи 273 УК. создание, использование и распространение вредоносных программ для ЭВМ преследуется по закону.
моя новая почта dr.web597278899@mail.ru и моя новая ася 636311100
|
|
| |