|
Poslao: 07 Jun 2005 01:53
|
offline
- deroko
- Novi MyCity građanin
- Pridružio: 19 Mar 2005
- Poruke: 12
|
DR i Wizard та идеја је одавно присутна у VX свету, већ постоје вормови који се зипују и шаљу уз себе шифру али као сличицу коју генеришу путем виндовс АПИја... Као бројеви за проверу какве срећете приликом регистрацију за гоогле и друге сајтове.
Citat:
Inace hteo sam da kazem zasto ljudi ne "pakuju" viruse u arhive zasticene sifrom i tako omoguce nevidljivost za AV-ove..?
Зашто би се ми мучили низашта кад су АВови иовако ионако глупи?
Доказ TUAREG, MetaPHOR, Zmist и слични вируси који и дан данас бивају не детектовани иако је протекло око 2-3 године од њиховог настанка.
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 07 Jun 2005 07:25
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
@deroko
KAV log sa mog kompa:
Virus.Win32.ZMist
Virus.Win32.ZMist.d.dr
Virus.Win32.ZMist.dr
btw. upotrebljavas izraz VX u pogresnom kontekstu,
VX = Virus eXchange, tj. Virus Trade
|
|
|
|
|
|
|
Poslao: 07 Jun 2005 12:08
|
offline
- deroko
- Novi MyCity građanin
- Pridružio: 19 Mar 2005
- Poruke: 12
|
Нисам мислио да не детектују уопште већ, будући да је реч о полиморфним (ТУАРЕГ) и 2 метаморфна (МетаПХОР и Змист), не могу да детектују све варијанте. Иако имају соурце код и знају како раде, а од тада је прошло (од објављивања соурца истих) око 3 године, и даље не могу ништа да ураде на том плану.
|
|
|
|
|
|
|
|
|
Poslao: 07 Jun 2005 13:50
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
@deroko
Za KAV znam sigurno da raspakuje Morphine pakovanja samo tako, jes da ce da potraje, i da se obavi u jedno 20 koraka, ali ce da ga odradi. Neznam koji tacno morph koriste spomenuti virusi, ali ima i tu leka.
Lek se zove Heuristika, a funkcionise na sledeci nacin:
AV formira virtuelnu masinu, i u njoj pusti virus da se izvrsava, tj. da simulira izvrsavanje, pa ce onda na osnovu toga sta ovaj pokusa da uradi u simulatoru, da zakljuci da li je virus ili ne.
Problem nastaje kod multi-thread virusa, ali to je druga prica.
Sto se tice Zmista, detektuje se zbog:
"The infection marker is Z at offset 0x1C in the MZ header, a field generally not used by Windows applications."
Doduse, inficiran fajl je skoro nemoguce dezinfikovati jer Zmist pri infekciji disasembluje ceo program, promeni redosled blokova u samom programu i ubacuje jmp-ove iza svake jmp-alike instrukcije, a svoj kod ubacuje isto u nasumicno rasporedjenim blokovima na koje navode par tih jmp-ova.
http://www.informit.com/articles/article.asp?p=366890&seqNum=6&rl=1
Metaphor je opisan u istom tekstu, pod nazivom Simile, i ne vidim nacina da se detektuje, jer ne ostavlja nikakav "pecat".
Tuareg vec sadrzi jasan tekst, i izgleda da je napravljen samo kao proof-of-concept virus, tj. namerno predvidjen da se detektuje.
Dopuna: 07 Jun 2005 14:50
Sada sam pogledao naslov teme, odosmo u offtopic...
|
|
|
|
|
|
|
Poslao: 07 Jun 2005 15:33
|
offline
- deroko
- Novi MyCity građanin
- Pridružio: 19 Mar 2005
- Poruke: 12
|
; cmp [esi].byte ptr 1Ch, 'Z' ; good work, Peter
; je __exit
; mov [esi].byte ptr 1Ch, 'Z'
Соурце из Змиста, мислим да је з0мбие то преправио у последњем издању овог вируса, чим је урадио ; и избацио ту линију кода.
Нисам мислио на морфине пакер, већ баш на МетаПХОР, можда због ћирилице изгледа другачије кад се чита.
Туарег је један до сада најкомплексинијих полиморфних енгина (писао га је исти што је написао МетаПХОР) који је веома зезнут за налажење па га ни данас не налазе у свим варијантам. А вирус је објављен 2000 или 2001 нисам сигуран кад је изашао 29а #5. Једном речју лик који га је писао био је болестан.
Да код мултитхреадинг вируса он каже овако нешто ->
1. Видим позив АПИ
2. Не видим бесконачну петљу
3. Аха ево га ExitProcess
4. није вирус
Међутим ја верујем да су већ превазишли мулти-тхреадинг путем скенирања аргумената који се предају функцији и посебним тражењем за CreateThread унутар самог емулатора.
За сада је мултитхреадинг најбоља техника борбе против емулатора, али видећемо шта ће ново да се појави
За сада се ја борим путем сингле степ декрипције коју сам имплементирао у blacky вирус.
О тим техникама ћу да се распишем, као и о самој структури вируса за пх #3, тако да ако неког занима шта и како може тамо прочитати.
И само с вером у Бога.
пс. Јес стварно одсмо у оффтопик, али је тема интересантна =)
|
|
|
|
|
|
|
Poslao: 07 Jun 2005 17:35
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Zao mi je deroko, moje znanje asembera se zasniva na poznavanju jedno 100 instrukcija kod 6502 procesora, ne verujem da mogu da te pratim 
Znam da virusi odlicno prepoznaju kada su u emulatoru, zahtevom za nekim timestampom koji emulator ne isporucuje pravilno (tako nekako, nisam bas skontao).
Sto se tice teme koje smo zapoceli, mislim da se Peca nece bas sloziti, posto generalno vlada akcija protiv hackinga, a i pisanje virusa bi moglo da se strpa na istu stranu zakona, tako da...
Nemas na ovom forumu bas nekih poznavaoca asemblera da bi mogao da razmenjujes iskustva, tako da ne vredi da se mucis.
Ukoliko zelis, mogao bi da nam pomognes za sledeci test antivirus programa, ukoliko imas zelju. Tu vec mozemo da saradjujemo, ukoliko i dalje ostanes "sa ove strane zakona"
Ja licno sam Delphi tip, a prvu multithread aplikaciju sam napisao tek pre dve nedelje, tako da ni o ovome nemam bas puno pojma.
Sada mi je ideja da uradim jedan proces-kiler za sledeci test. Funkcionisao bi na osnovu razlika u procesima pre i posle instalacije AV programa. Ovo treba da pokaze izdrzljivost AV programa na ubijanje procesa. Ocenjivacu ih sa "pao iz prvog pokusaja" itd...
|
|
|
|
|
|
|
Poslao: 07 Jun 2005 20:58
|
offline
- deroko
- Novi MyCity građanin
- Pridružio: 19 Mar 2005
- Poruke: 12
|
Нема фрке, нећемо даље о овоме =)
Иначе оним кодом, з0мбијевим, сам хтео да покажем да је избацио маркирање вируса на 1ц са З словом, и то са коментаром "Гоод ворк Петер" =)
|
|
|
|
|
|
