Комментарии 15
OneHalf является представителем стелс-вирусов, поскольку использовал полиморфные методы распространения, что не давало возможности большинству антивирусов его обнаружить.
Полиморф — это пассивная (если можно так сказать) модификация кода вируса, сохраняющая его работоспособность. Стелс же — активная, когда он перехватывая системные вызовы (21h в данном случае) подделывает информацию так, как будто в системе его нет. Формально полиморф и стелс, это почти как тёплое и мягкое.
Процесс выбора случайного адреса использует 128 потоков, что может значительно ухудшить производительность зараженной машины.Отличный ГСЧ однако! Вот тут уж никакой анализ излучения процессора точно не поможет. Он явно что-то знал.
Стелс — это по идее то. что сейчас стали называть руткитами. Например троян просто не дает доступа к своему файлу и выдает «синие окна» при поиске руткитов.
Синие окна — это хреновый стелс. Мы не знаем что там, но и слепому очевидно, что там проблема.
Стелс (по крайней мере в старые добрые времена) это либо подмена размера файла так, чтобы визуально размер не изменялся (самый простой вариант), или подмена размера и содержимого файла, чтобы его вообще на диске можно было обнаружить только низкоуровневым чтением, либо подмена дискрипторов оперативной памяти так, что память в которой он сидел как бы отсутствовала (т.е. дыра в цепочке) либо ещё как (не помню уже вариантов). В общем смысл в том, чтобы сделать невидимым не только сам вирус, но и даже просто факт его существования. Даже для антивируса
А сейчас да, как то не заморачиваются…
Стелс (по крайней мере в старые добрые времена) это либо подмена размера файла так, чтобы визуально размер не изменялся (самый простой вариант), или подмена размера и содержимого файла, чтобы его вообще на диске можно было обнаружить только низкоуровневым чтением, либо подмена дискрипторов оперативной памяти так, что память в которой он сидел как бы отсутствовала (т.е. дыра в цепочке) либо ещё как (не помню уже вариантов). В общем смысл в том, чтобы сделать невидимым не только сам вирус, но и даже просто факт его существования. Даже для антивируса
А сейчас да, как то не заморачиваются…
Они бывают разные: забавные и безвредныеУже не бывают. Забавные и относительно безвредные вирусы остались во временах DOS, когда люди ещё способны были кодить не думая о деньгах, только потому, что это обалденно.
Сейчас же, когда даже школьник и в сортир не сходит без предварительно составленного бизнес-плана с расчётом окупаемости, абсолютно все вирусы содержат коммерческую составляющую.
Если раньше каждый вирус был маленьким шедевром, и вирусописатели ещё состязались, кто напишет круче, то теперь вирусы шаблонны и унылы. Они основаны на библиотечном коде и копипасте со Stackoverflow, и даже используемые уязвимости авторы вирусов давно не ищут сами, а закупают в даркнете.
Сейчас же, когда даже школьник и в сортир не сходит без предварительно составленного бизнес-плана с расчётом окупаемости, абсолютно все вирусы содержат коммерческую составляющую.
С ваших слов всё есть коммерция. (Сегодня, да, это так.)
Если раньше каждый вирус был маленьким шедевром, и вирусописатели ещё состязались, кто напишет круче, то теперь вирусы шаблонны и унылы.
Правда жизни.
Согласен.
зараженные файлы не отличались по «весу» от своей здоровой версии, за счет уникального метода инфицирования, который использовал CIH. Он искал пустые, неиспользованные места в файлах, потом разбивал себя на несколько маленьких частей и внедрял код этих частей в пустое пространство.Шикарно. Ещё бы чексум подделывал, то вообще шедевр!
Они основаны на библиотечном коде и копипастеТак развитие технологий… Написать неплохой вирус под DOS мог и школьник получивший в руки справочник прерываний и описание вирусов, идущее в комплекте с досовыми версиями DrWeb наример. Написать грамотный вирь под современные ОС это уже сильно другой уровень нужен. Ну и развитие антивирусов тоже не стоит на месте. Многие вирусы являвшиеся чудом изобретательности современные антивири словят на раз.
Берите выше. Уже вот вот и коммерческим планам придется подвинуться, приближается полномасштабная кибер-война на гос-ом уровне со взломами пасьянса «Косынка» и backdoor'ами под отечественный Линукс.
Такое ощущение, что читаешь перевод с ошибками.
Заражал файлы .com and .exe
используя бесконечную петлю
google translate + экономия на корректоре + реклама в конце = profit.
Зато я понял как для фантастики берутся все эти вычурные термины. Берём обычный текст с терминами для профессионалов и даём почитать его обычным людям. И опа, вместо банального скучного бесконечного цикла получаем бесконечную петлю. Представляете, как красиво будет звучать в тексте?
Зато я понял как для фантастики берутся все эти вычурные термины. Берём обычный текст с терминами для профессионалов и даём почитать его обычным людям. И опа, вместо банального скучного бесконечного цикла получаем бесконечную петлю. Представляете, как красиво будет звучать в тексте?
— О, нет! Антивирусные стражи загнали нас в бесконечную петлю!
— Отлично! Беги к главгаду, пусть его уничтожет его же петля!
Слишком много win-vir'ей (это понятно), а как же Linux? %)))
Долой апологетовнеуязвимого открытого кода, даешь третью часть известного вредоносного ПО, наделавшего шума на Freeware OS!!!
Статья 2007 года требует обновления habrahabr.ru/post/12600
Долой апологетов
Статья 2007 года требует обновления habrahabr.ru/post/12600
Заключение конфетка. Вот я без антивиря сижу. А зачем? Просто не скачивать всякое подозрительное torrent.exe, обновлять браузер и все будет хорошо. Госы сидят на древних осях и браузерах вот их и косят атаки.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вредоносное ПО, вошедшее в историю. Часть II