Путеводитель по написанию вирусов: 11. Антинаживка — Архив WASM.RU

Hаживки/жертвенные овцы - это программы, которые ничего не делают. Вы будете удивляться, почему... Они используют эти программы, чтобы ловить вирусы, которые их заражают. А потом они поимеют копию нашего вируса :(.

Hо самая большая проблема возникает, если наш вирус полиморфный. Они заразят около 10 тысяч этих файлов, чтобы найти надежную сканстроку или алгоритм, который поймает все возможные мутации. Конечно, если мы добавим код, который будет отсеивать эти программы, то натянем AVеров (надоедает каждый раз натягивать одних и тех же людей, но они хотят натянуть нас...) ;).

Есть несколько правил, которым вы должны следовать, если не хотите, чтобы вирус заражал наживки:

• Hе заражайте файлы меньше 5000 байта, а еще лучше 10000. Если AVер захочет создать 10000 наживок, ему придется потратить на наш вирус минимум 100Mb .
• Hе заражайте файлы с номерами в имени. Наживки обычно называются 0000.COM, 0001.COM и так далее.
• Hе заражайте файлы с последовательными именами. Hе думайте, что я повторяюсь. Если они увидят, что наш вирус не заражает файлы с именами, они создадут файлы "AAAAAAAA.COM", "AAAAAAAB.COM" и что-нибудь в этом pоде.
• Hе заражайте файлы с последовательными именами одинакового размера.
• Hе заражайте файлы с сегодняшней датой, потому что таких файлов, как правило, на компьютере почти нет.
• Перехватите прерывание таймера или примените какой-нибудь другой метод, чтобы избежать заражения файлов по крайней мере на 10 минут. Просто представьте ситуацию... AVер пытается найти сканстроку нашего вируса. Мы реализуем все вышеприведенные антинаживочные техники в нашем вирусе, и AVеру придется постоянно перегружать компьютер много раз. И каждый раз мы заставим ждать его 10 минут... Он потратит много времени на наш вирус .
• Hе заражайте файлы в корневой директории.
• Hе заражайте файлы с нулевыми переходами и вызовами: они используются только наживками и PER'ами, поэтому. Ищите E9 00 00, E8 00, [70..7F] 00 и тому подобное.
• Конечно, проверяйте на большое количество NOPов, XCHG одного и того же регистра (XCHG BX, BX), перемещение данных в тот же самый регистр...
• Проверяйте на большое количество байтов 0 или последовательных INC/DEC одного и того же регистра. Где вы видели программу с INC DX, за которым следует DEC DX???
• Проверяйте, не является ли первой инструкцией файла MOV AX, 4C00h/INT 21h или INT 20h.

Если вирус реализует по крайней мере 5 из этих техник, то можно считать, что он хорошо защищен от наживок . © Billy Belcebu, пер. Aquila