Msg : Prev 1696 / 4681 Next
1996-12-11 06:08:00

To  : All

Subj:

web. ну вы в курсе ;))


* Crossposted in SU.VIRUS 
* Crossposted in PVT.VIRII 
* Crossposted in DONBASS.VIRUS 

Привет All! 

Hа сей раз я вас порадую не каким-то конкретным кодом, 
а комбинацией кодов: 

push cx 
xor cx,cx 
a1: 
cmp cx,0ff00h 
jz a2 
loop a1 
a2: 
pop cx 

ну казалось бы, что тут такого ? где мы, к примеру, как раньше, меняем 
ключ шифровщика ? где изменяем хоть один регистр ? нигде. 
но идея в том, что если без этой серии кодов web на вирус ругается, то 
ежели мы вставим ее в середину раскриптовщика то он заткнется, что 
собственно правильно и чего собственно ожидалось :) 
была идея, что якобы там в web'e ограниченное время тестирования каждого 
файла, что из этого вышло: поизменял я на 999 секунд это время и те же 
пироги ;) причем файл с вирусом web проскакивает почти мгновенно, особо 
на нем и не задерживаясь. но. небольшое но, несущественное в общем то, 
но имеется: только что откомпаленный вирь обнаруживается. Следующие его 
копии (с пошифрованным основным телом) не обнаруживаются. 
ежели у вас не так, то попробуйте уменьшать значение на сравнение cx. 
оно в прямой зависимости от длинны расшифровываемого кода. для меня 
было достаточно и того, что вы видели. 

У меня очень серьезное предположение, что глюк вызван ошибкой в коде 
эмуляции команды loop. Кстати об ошибках в коде эмуляции: на такой 
древней тачке как "Правец" (nec20/30) у web'a имеются интереснейшие 
глюки в попытке эмуляции команды idiv sp. Причем если грамотно комбинировать 
вызовы этой команды, то вы пронаблюдаете что и файл оказывается уменьшился на 
4 мегабайта ;)) и видать это резидентный вирус. И у одного несчастного 
файла оказывается аж 5 странных времен и выйти из web'a уже нельзя, потому 
как он вешается при выходе и это все в одном флаконе вызывается 25 байтами :) 
А ежели просто забабахать эту команду в левую ветвь антиэвристики, то 
произойдет просто простой зависон с предварительным выводом на экран 
то части dos'a, то куска себя, а бывает и так что управление передается на 
команду int 13 ;))) Вот и представьте себе, каково будет юзверю, когда он 
файло потестировать возьмет и винта лишится ;))) Вот потом и заходят разговоры 
о злобных вирусах активизирующихся при чтении каталога. А еще на nec20/30 
работает замечательнейшая команда push al (0feh,0f0h), которую web тоже 
не в состоянии правильно и безглючно эмулить. Можно построить на этом 
еще один антиэвристический прием. А еще ... Впрочем на сегодня достаточно 
имхо, так как времени 5:30, а мне еще и интереснейший кусок AMBER'a 
(моего полиморфного генератора) дописать надо (вот уж где, Данилову 
протрахаться прийдется ;)) и также почту почитать и на 40 писем мыла 
ответить и так далее и тому подобное. Короче, счастья вам и здоровья. 

p.S. Тестированию подвергались мои вирусы: [Never-Never] и [Headache]. 
Приблизительная длинна каждого - по килобайту. 

С бестовыми регардами , Kostya Volkov aka Reminder 

.' [SGWW] [DVC] [Crematorium fans Team] [MK Team] `. 

--- 
* Origin: Kostya Volkov aka Reminder (2:4631/17) 
VX Heavens - коллекция вирусов,исходников и статей.
Нажми Alt + End, чтобы перейти к последнему сообщению
Пользовательского поиска