Великолепный Гоша
АрхивКомментарий дняОчередная поделка вирусописателей оказалась на удивление оригинальной. Simile.D не представляет особой угрозы, но интересен сам по себе.
Компьютерные вирусы почти всегда представляют собой штуку крайне занимательную. Здесь, на стыке компьютерных вирусологии и вирусописательства - передний край технологического фронта, здесь самые оригинальные находки и решения, часто ещё не имеющие аналогов среди "мирного" программного обеспечения. И чтение книжки по компьютерным вирусам (увы, сейчас такие уже не выпускаются, но ведь были - "Компьютерные вирусы в MS-DOS" Е.Касперского) занятие равноценное по увлекательности чтению хорошего детектива. Сегодня, когда балом правят глобальные эпидемии, вовлекающие в себя сотни тысяч и миллионы машин, эффект новизны несколько притупился, но появление каждого нового вируса всё же цепляет - а вдруг да придумают что-нибудь новенькое… И тем приятней, что последние дни принесли как раз пример такого во многом бесподобного создания. Simile.D, обнаруженный и изученный экспертами из Symantec - оригинальное кроссплатформенное приложение с изощрёнными средствами маскировки.
Строго говоря, Simile - это целое семейство компьютерных тварей, известное также под названием Etap, и включающее в себя целых четыре штамма. Интерес представляет лишь последний из них, {Win32,Linux}/Simile.D По качеству кода этому созданию отыщется мало равных - и, пожалуй, лучшая характеристика дана специалистами самой Symantec, назвавших его "вирусом очень сложным". К счастью, никакой опасности для данных, хранимых на машине, новичок не представляет: заражая большинство обнаруженных и доступных для записи исполняемых файлов, он не выполняет никаких необратимых действий. А вся "деструктивная" функция сводится к выводу на экран (или в консоль - в зависимости от платформы, на которой он работает) небольшого текста. Происходит это 17 марта и 17 сентября для MS Windows, и 17 марта и 17 мая для Linux. Изюминка - в механизме работы, в технических деталях.
Одна из них уже намечена выше: Simile.D способен работать как под Windows (а точнее Win32, т.е. с Windows 95 и выше, вплоть до WinXP), так и под Linux (тестирован на дистрибутиве Red Hat, но никаких специфических функций API не использует, так что вполне заработает и под другими модификациями этой ОС). В случае с Windows заражаются файлы формата PE (большинство из EXE-файлов), в случае с Linux заражению подвергаются файлы формата ELF. Процедуры для работы с API, а также перемещения по каталогам файловой системы - единственные различающиеся участки кода. Весь остальной код в Simile.D - общий.
Вторым уникальным свойством нового вируса является способность к маскировке. Simile.D - полиморфный метаморфный вирус, умеющий менять точку входа в файл. Говоря проще, при заражении исполняемого файла, вирус не просто добавляет себя к нему, но вставляет в некое, каждый раз выбираемое сызнова, место. Длина файла при этом изменяется на величину, примерно равную 110 Кбайт, но эта добавка тоже каждый раз разная и зависит от того, как отработает метаморфный алгоритм: последний отвечает за изменение кода вируса до неузнаваемости при сохранении работоспособности - одни ассемблерные команды заменяются на равноценные им другие команды или последовательности, в результате чего полностью меняется облик вируса и его длина. В свою очередь полиморфный алгоритм отвечает за шифрование тела вируса - так, чтобы его было сложно обнаружить семантическим анализом кода. В результате Simile.D оказывается невозможно найти ни простым просеиванием данных на предмет обнаружения определённой кодовой сигнатуры, ни анализом точки входа в программу.
Все достоинства Simile.D компенсируются одним недостатком - отсутствием механизма заражения машины через "дыры" в программном обеспечении. Вирус работает честно, заражая доступные ему файлы напрямую - так что новой эпидемии можно не опасаться. Но и важность произошедшего недооценивать не следует: Simile.D демонстрирует один из способов, применяя который, вирусописатели могут вырвать победу в войне с авторами антивирусов. Дело в том, что чем изощрённей защита вируса, тем большее время требуется на его обнаружение. И есть серьёзные опасения, что однажды затраты времени станут слишком большими - слишком большими для того, чтобы строить на них антивирусные программы. И что тогда останется нам, рядовым пользователям - можно лишь предполагать.
Обсудите материал в форуме