Осторожно компьютерные вирусы

       

Лаборатория компьютерного оружия


Автоматизированные средства разработки дают хорошее представление о возможностях вирусов. Поэтому мы рассмотрим их более подробно на примере The Virus Creation Laboratory (VCL). VCL представляет собой достаточно старую разработку. Она датирована 1992 годом:

Copyright (c) 1992 Nowhere Man and [NuKE] WaReZ

Version 1.00

Создание вируса при помощи VCL становится просто детской забавой. Программа имеет развитую диалоговую оболочку, содержащую многочисленные меню, окна и диалоговые панели.

Уровень сервиса, предоставляемый пользователю VCL, практически не поддается описанию. Например, для большего удобства в состав дистрибутива VCL входят PIF-файл для запуска из среды Windows и пиктограмма.

Любому, кто создает вирус при помощи VCL, достаточно задать в меню и диалоговых панелях его свойства. На рисунке 1.11 показано, как можно задать основные свойства будущего вируса. Обычные переключатели меню Options позволяют указать, какие типы файлов вирус должен поражать, будет ли он реализовывать алгоритмы самошифровки и защиты от отладки. Вы можете указать способ поиска новых жертв, насколько быстро вирус  должен заражать файлы компьютера и т. д.



Рис. 1.11. Автоматизированные средства разработки вирусов

Большинство вирусов не только создают свои копии, заражая новые файлы и загрузочные секторы дисков, они также могут выполнять всевозможные действия. VCL легко позволяет подключить к вирусу вредоносные функции. Для этого предназначено меню Effects. Список действий, которые VCL позволяет встроить в вирус, представлен в таблице приведенной ниже. Прочитайте эту таблицу внимательно - ведь это список признаков появления вируса на вашем компьютере! Конечно, список неполный, вирусы могут выполнять гораздо более сложные действия.

Эффект

Описание

Beep the PC speaker

Подать звуковой сигнал через встроенный динамик компьютера

Change low RAM

Изменить объем стандартной оперативной памяти

Clear the screen

Очистить экран монитора компьютера

Cold reboot

Выполнить холодную перезагрузку компьютера

Corrupt file(s)

Разрушить файлы с заданными именами

Disable LPT port

Отключить параллельный порт компьютера

Disable Print Screen

Отключить функцию печати содержимого экрана

Disable COM port

Отключить последовательный порт компьютера

Display a string

Вывести на экран заданную строку

Drop a program

Выполнить программу

Erase file(s)

Удалить файлы

Lock up the computer

Зациклить компьютер

Machine gun sound

Подать звук стреляющего пистолета

Out value to port

Вывести определенное значение в задаанный порт компьютера

Out random to ports

Вывести случайное значение в задаанный порт компьютера

Play a tune

Проиграть мелодию

Print a string

Напечатать на принтере текстовую строку

Drop to ROM BASIC

Запустить интерпретатор языка BASIC, записанный в ПЗУ компьютера

Send string to COM

Вывести строку в последовательный порт. Эту возможность можно использовать для программирования модемов

Swap two LPT ports

Поменять имена двух параллельных портов компьютера

Swap two COM ports

Поменять имена двух последовательных портов компьютера

Trash a disk

Испортить информацию в нескольких секторах на заданном диске

Trash some disks

Испортить информацию в нескольких секторах на каком-нибудь диске

Display an ANSI

Вывести на экран строку команд ANSI. Она может содержать такие команды как установка курсора в заданную позицию экрана, выбор цвета текста и цвета фона, отображение символов и т. д.

Warm reboot

Выполнить “теплую” перезагрузку компьютера

<
Создаваемый вирус может создавать несколько эффектов из приведенного списка. Те, кому этого недостаточно, могут подключить к вирусу собственные модули, определенные в ассемблерном файле.



Рис. 1.12. Выбор условия для срабатывания вируса

Для каждого выбранного эффекта VCL позволяет выбрать условие его выполнения (рис. 1.12). Условия могут основываться на некоторых характеристиках компьютера и его программной среды. Следующая таблица содержит список параметров, которые могут проверять вирусы, созданные VCL.

Параметр

Описание

Country code

Код страны

CPU type

Тип центрального процессора компьютера

Day

Текущий день месяца

DOS version

Версия операционной системы

EMS memory

Объем расширенной памяти

Number of game ports

Количество игровых портов, установленных в компьютере

Hour

Текущий час

Number of floppies

Количество дисководов, подключенных к компьютеру

Minute

Текущая минута

Month

Текущий месяц

Number of LPT ports

Количество параллельных портов компьютера

RAM memory

Объем оперативной памяти

Random number

Случайное число

Clock rollover

Переполнение таймера

Second

Текущая секунда

Number of COM ports

Количество последовательных портов компьютера

Weekday

Текущий день недели

Year

Текущий год

All files infected

Инфицирование всех файлов

Under 4DOS

Работа в среде 4DOS

Когда все свойства заданы, для создания вируса достаточно нажать всего одну клавишу. По выбору вы можете получить исходный текст вируса на языке ассемблера или готовый к исполнению файл.

Исходный текст вируса на языке ассемблера, который создает VCL, имеет исчерпывающие комментарии, позволяющие в нем легко разобрааться:

search_files    proc  near

                mov   dx,offset com_mask ; DX points to "*.COM"

                call  find_files         ; Try to infect a file

done_searching: ret                      ; Return to caller

com_mask        db    "*.COM",0          ; Mask for all .COM files

search_files    endp

find_files      proc  near

                push  bp                 ; Save BP

                mov   ah,02Fh            ; DOS get DTA function

                int   021h

К счастью, антивирусные программы могут достаточно хорошо обнаруживать вирусы, созданные при помощи автоматизированных средств разработки. Поэтому такие разработки скорее всего не смогут значительно распространиться и нанести большой вред.


Содержание раздела