Msg : Prev 3992 / 4681 Next
1999-08-21 11:07:00

To  : All

Subj:

В свете последних событий 15


Привет All! 

Первый уровень фуллморфинга == пермутанты. 

=== Cut === 
Ply.based (Ply.3360,3486,3759,3768,4224,4722,5133,5175) 
Опасные нерезидентные пермутирующие (pemutating) вирусы. Данные вирусы 
не являются, ни шифрованными, ни полиморфными вирусами. Hо алгоритм 
создания своих вирусных копий очень близок к полиморфным алгоритмам. 
Каждая ассемблерная команда вируса занимает не более 3 байт, эти 3 
байта в свою очередь составляют некую вирусную компоненту. Если 
ассемблерная инструкция занимает менее 3 байт в компоненте, то вирус 
"разбавляет" ее NOP-командами. Причем в случайный момент времени эти 
NOP'ы могут изменять свое местоположение ("плавать") в компоненте. 
Hапример: 

FB STI -> 90 NOP -> 90 NOP 
90 NOP FB STI 90 NOP 
90 NOP 90 NOP FB STI 

Вирусы состоят из 3 блоков: основной блок, блок данных и блок 
тождественных вызовов. Также в случайный момент времени вирусы могут 
переносить данные трехбайтовые компоненты из основного блока в блок 
тождественных вызовов и заменять их на JUMP или CALL в основном блоке. 
И наоборот из блока тождественных вызовов в основной блок в 
первоначальном виде. Hапример: 

FB STI -> E9 ?? ?? JMP LOC_1 
90 NOP 
90 NOP 

RET_1: RET_1: 

E8 ?? ?? CALL LOC_1 B8 00 01 MOV AX,100 

.................... .................... 

LOC_1: LOC_1: 

B8 00 01 MOV AX,100 90 NOP 
C3 RET FB STI 
?? 90 NOP 
?? E9 ?? ?? JMP RET_1 

Таким образом, одинаковые инфицированные файлы могут не совпадать 
ни в одном байте основного вирусного блока. Различные модификации 
вируса могут не заражать следующие файлы: AVP,AVPLITE,AVPVE,BAIT,EICAR, 
EMM386, F-PROT, FV386, FV86, MSAV, MVTOOL10, SCAN, TBSCAN,TBAV,TBCHECK, 
TBCLEAN, TBDISK, TBDRIVER, TBFILE, TBGENSIG, TBKEY,TBLOG,TBMEM,TBSETUP, 
TBSCANX,TBUTIL,VALIDATE,VIRSTOP,VIRUS,VPIC,VSAFE. Ply.4722, 5133, 5175 
удаляют файл \NCDTREE. 
=== Cut === 

С бестовыми регардами , Kostya Volkov aka Reminder 

--- 
* Origin: 2B OR (NOT 2B) = FF (2:4631/17) 
VX Heavens - коллекция вирусов,исходников и статей.
Страницы можно листать стрелками
Пользовательского поиска