Win9x CIH продолжение

    image

    Этот топик я хотел написать в продолжение топика День CIH.win9x.

    Здесь вы можете скачать исходник вируса и минимальный набор файлов Turbo Assembler 5.0. Чтобы создать вирус, запустите файл compil.bat. Проверте свой антивирус на герое прошлого века!

    исходник Win9x CIH.

    Как я понял, вирусу для распространения и работы нужно залезть в 0-е кольцо привилегий процессора, в котором работает ядро системы и драйвера. Только из 0-го кольца можно напрямую работать с железом, минуя сервисы ОС. Но тот способ, что реализван в вирусе, сработает только в windows 95/98. В системах NT он «сломает себе зубы» — не сможет залезть в память и начать заражать исполняемые файлы, не говоря уже о вредных дейстивиях.

    Такие вирусы вызывают уважение, не то что сегодняшнее поколение троянов, которые можно убрать через msconfig из безопасного режима.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 60

      –1
      Ну вот опять…
        +15
        Это классика ты не понимаешь
          0
          Я то как-раз понимаю (надо было наверно смайлик дорисовать). На прошлой неделе попробовал убитый винт на 8Гиг включить, так он включился нормально, там как-раз такого добра 3 разновидности нашлось.
        0
        Да, в Win9x.CIH интересный способ проникновения в Ring0.
        • UFO just landed and posted this here
            +4
            Хотел бы я вас увидеть в 98-м году когда 27 числа включаеш комп, а там ничего, даже биоса, только черный экран и кулеры гудят…
              +3
              Самое весёлое начиналось при восстановлении материнской платы.
              Мы со знакомы как делали. Заготавливали дискету-прошивалку. Брали комп с живой матерью, включали, загружались с дискеты в NC. На ходу выдёргивали flash с биосом, вставляли испорченную вирусом флеш. Запуск с дискеты прошивальщик. Выключение компа, возварщение флешек на место. Вуаля — всё работает. И на 98 больше никогда :)
            +41
            xxx: Я тут нюк новый проверяю, дайте IP какого-нибудь лоха!
            yyy: 127.0.0.1
            xxx: Сейчас оно подохнет!
            * xxx вышел из чата.

            Oldschool :)
              0
              Вдогонку: Тайваньский студент?



                +1
                это перевод они сделали
                +3
                Эх не застал я тех времен, вернее был там но мало что знал…

                Под 95/98 виндовсом так можно было прикалываться, там NetBIOS корявый… Можно было на комп любого юзера из интернета зайти, поудалять ему файлы, а pwl скачать себе и потом иметь пароли от всего что он насохранял в броузере
                  0
                  А еще практически не было nat'ов :)
                    –2
                    Не в натах дело. Лет через 5-10 начнется эра ipv6 и наты отомрут сами собой. Дело в том что 99% людей сидело через диалап, из них — 80% не знало что такое фаервол.
                      +6
                      эм… вы действительно считаете, что ipv6 убьет nat? Я вот лично очень-очень сильно в этом сомневаюсь, т.к. мне, к примеру, гораздо удобнее, когда весь пестрый десяток домашних девайсов сидит внутри домашней сети, а в интернет торчит только одна специально обученная железяка :)
                        –4
                        Сомневаться ваше право. Но я лучше настрою фаервол на вход в сеть, но каждая моя машина будет иметь реальный IP. А если вам угодно, используйте защиту через ограничения в технологии и дальше.
                          +3
                          И будет много-много дырок. Как ни крути, а Bobos прав. Особенно, если думать в корпоративном масштабе.
                            0
                            А вы уверенны что понимаете разницу между NAT и Faerwall?
                            В том-же корпоративном масштабе: каждая машина имеет свой IP, который «белый», но на входе в сеть стоит фаервол, правилами на котором уже и манипулируется количество вами названных «дырок». Андерстенд?
                              0
                              А скрыть число компов, машущих своими белыми ip, твой «fAErwall» сможет?
                                0
                                Сможет, почему нет? запрещаем пинг, запрещаем входящие соединения… вуаля! видим, что тут у нас висит диапазон IP адресов, а вот есть там что-то или нет — поди разберись. И еще я убедился что матчасть вы не знаете, для вас нат и фаервол и машрутизатор это длинк класса DIR. Не вижу смысла продолжать диалог.
                                  0
                                  Ололо, парень, в отличие от тебя, я хотя бы знаю, как пишется по-английски межсетевой экран. И да, если будешь вдруг проходить сертификацию ЛВС в ФСБ, то у ребят будет вот такие глаза о_О, когда узнает, что в твоей сетке у всех белый IP.
                                  0
                                  А зачем? Ну мне действительно интересно на кой прятать количество компьютеров в данный момент работающих в интернетах.
                                  Ну а вообще прокси серевра наше все.
                                    0
                                    Смысл в том, что сокрытие внутренней структуры — логичный критерий оценки уровня защищенности. Нормальные люди скрывают за несколькими межсетевыми экранами разного уровня. А если у рабочей станции белый ip, считай, что структура и состав сети известен. С прокси согласен, да, хорошая штука. Но белый ip, пусть даже на за межсетевым экраном — epic fail.
                          +1
                          90% пользователей и сейчас не знаю слово «фаерфол» и что оно обозначает. Тогда процента 3-5% его использовали.
                            –2
                            Согласен, но сейчас система без фаервола — не система, а во времена 9х Билли даже не задумывался о «какой-то там» сетевой безопасности. Поэтому сейчас процент юзеров знающих что такое фаервол может и не увеличилось, зато винда обрела какой-никакой, но фаервол.
                              +2
                              Система без файервола имеет право на существование, если находится за другой системой/железкой, которая ещё защищает.
                            0
                            А чем вам нат мешает? У меня и дома, и у родителей нормальный внешний ip заведен на рутер, а компы только через нат. Хоть бы раз это чему-нибудь помешало. Скорее наоборот- настроить один раз pppoe/vpn на рутере, чем мучить два компа под разными операционками, мобильник, тач, еще и друзья иногда с ноутами приходят. Грамотному VoIP'у нат не мешает, торрентам тоже, ибо uPnP, а если нужна ремота, то всегда можно порты прокинуть. В чем помехи-то? К тому же безопаснее. А в корпоративе тем более- сильно проще ограничить/настроить доступ на одной железке/сервере, чем ковырять каждую пользовательскую машину.
                              0
                              Вот вам пример: нужно пробросить скажем, банальный RDP на десяток машин за натом, ваши действия?
                              0
                              Мешает провайдерский NAT, а не свой.
                              0
                              На DialUP фаер и не нужен, народ соединялся с интернетом только на 5 секунд чтоб открыть нужную страницу, а потом отсоединялся чтоб её прочитать… (эх времена то были, 486-й с модемом зухель под 95-й виндой)
                                +1
                                Я на диалапе ставил фаерволл, чтобы наоборот изнутри левые проги не лезли обновляться и не забивали канал 6)
                                  0
                                  Фигасе у вас терпение… вроде и в большом городе живу, и модем был курьер, но постоянные дозвоны… нееее, я когда на диалапе сидел, коннект держал до последнего.
                                    0
                                    Когда цены стали разумными я тоже, а когда каждая минута стоит столько что вспомнить страшно, то…

                                    (а прог в те времена которые за обновлениями сами лезут тогда не было почти, уж не помню какой год это был)
                          –1
                          Оригинал виря то же не Тайский студент писал 8))
                            –1
                            (снобистски)

                            В нулевом кольце работает гипервизор. Ядро ОС — в первом.
                              +1
                              WinNT работает в Ring0 (kernel mode) и Ring3 (user mode), кольца 1 и 2 x86 не используются в связи с необходимостью поддерживать совместимость.
                                0
                                Ну, не знаю, в каком ядре _У ВАС_ работает windows NT, а у меня она работает в первом. Кто ж её в нулевое кольцо-то пустит?

                                Hint: google://hypervisor
                                  0
                                  Гипервизор при аппаратной виртуализации работает отдельно, и у каждой из запущенных ОС будет своя иерархия колец. Когда хотят назвать его уровень кольцом, то пишут Ring -1 обычно.

                                  Вы, возможно, имели в виду программную виртуализацию с помещением ядра гостевой системы в Ring 1, но тогда хостовая ОС всё равно работает в Ring 0.
                                    0
                                    Хостовая OS работает в паравиртуализированном режиме в ring1.

                                    В ring0 — гипервизор. В ring1 — паравиртуальные и аппаратно (насильно) виртуализированные машины. OS в HVM, конечно, считает, что именно она находится в ring0, но это иллюзия, никто ей не даст прямого доступа к железу, всё уйдёт в qemu-dm, запущенный в ring3 в dom0, ядро которого в ring1, который уже и разберётся, кому куда можно, а кому нет, и передаст информацию об этом гипервизору в ring0.
                                      0
                                      Стоп, стоп. Гипервизор — это уже уровень -1. Он осуществляет аудит ресурсов, но ядро из нулевого кольца не выгоняет.
                                        0
                                        -1 кольца не бывает.
                                          0
                                          Что еще интересного расскажете?
                                0
                                А причем гипервизор то к вин95/98? Там вообще только 2 кольца задействовано было 0 и 3
                                  0
                                  95/98 отлично под гипервизором работает.
                                +7
                                «не то что сегодняшнее поколение троянов»

                                Ну давайте еще ныть, что вирусы уже не те, что в молодости. =)
                                  +1
                                  Собственно да) Вот три дня назад выловил, эксплойт запустил встроенный в вин фтп и начал тянуть троянца, я заметил как он медленно и мучительно подтягивался :) С мобильного в интернет заходил. Оказался такой себе упитанный делфи-руткит весом в 3 МБ :)
                                    +2
                                    Недавно на флешке притащили вирус (интересно действующий, все папки делает скрытыми, а вместо ниж создает исполняемые файлы с иконками папок от WinXP), так размер этого вируса был где-то 1.5 МБ
                                    А верхом безумия был вирус, таскавший за собой msvcr71.dll :)
                                      0
                                      О, этого добра действительно полно… 90% клиентов приносят флешки именно с такой дрянью. Антивирус все это дело честно удаляет, а клиенты потом жалуются что мы удалили у них важные файлы, хотя они на самом деле остались целы в скрытых папках.
                                  –1
                                  спсиоб. очень интересно перед работой исходнички за кофиём почитал.
                                  • UFO just landed and posted this here
                                    0
                                    Да что говорить про Вин95-98
                                    Вспомнить хотя-бы con/con )))) boom))))
                                      0
                                      А еще, кажется, были конструкторы с помощью которого можно было создать свой win.cih с датой активации отличной от 26 апреля.
                                        –1
                                        Для удаления нынешнего поколения вирусов msconfig не достаточно (да и касперского с двебом тоже). Чаще приходиться AVZ качать свежий…

                                        А вирус веселый был. Его масмедия посильнее проблемы Y2K подогрела.
                                          0
                                          Мдя, антивирус молчит
                                            –1
                                            А ведь своим постом вы распространяете вирус, причём делаете это намеренно. Статья 273 УК РФ, за вами уже выехали. Я шучу, конечно, но ведь dura lex.
                                              0
                                              Я об этом думал. Но это не вирус а исходник, если пользователь сам его не сделает ничего не будет.

                                              Не за мной выехали, а сервера сендспейса сейчас будут забирать ))))
                                              0
                                              Эх, не запускается tasm и tlink в 64 битной системе. Беда-беда, огорчение.
                                                0
                                                Ох, меня от картинки чуть удар не хватил.
                                                • UFO just landed and posted this here
                                                  • UFO just landed and posted this here

                                                  Only users with full accounts can post comments. Log in, please.