-
Анализ и лечение классических вирусов
* Обзор вирусных технологий
1. Добавление новой секции
2. Расширение последней секции
3. Заражение методом EPO (Entry Point Obscuring)
4. Оверлейное заражение
5. Модификация секций
6. Заражение динамической библиотекой
7. Метод «украденных байт»
* Анализ Win32.Parite.C
* Лечение Win32.Parite.C
* Список литературы
Будучи актуальной угрозой, вредоносные программы представляют собой популярную тему современных новостей. Часто вместо термина «вредоносная программа», подразумевающего самостоятельный, целенаправленно разработанный исполняемый файл, используется старый термин «вирус». Между тем, техника распространения вредоносного кода путём заражения исполняемых файлов, благодаря которой и возник термин «компьютерный вирус», давно отошла в прошлое — примерно тогда, когда повсеместное распространение интернета вытеснило дискеты как средство для обмена данными между пользователями. На смену вирусам пришли трояны и черви.
Но история циклична: по мере исчерпания тех или иных методов решения насущных задач, разработчики вредоносного кода обращаются к старым техникам, приспосабливая их под новые условия. В рамках этой тенденции, в последние годы техника инфицирования исполняемых модулей вновь стала актуальна — с тем отличием, что заражение исполняемых файлов теперь решает задачу не распространения, а сокрытия и самозащиты вредоносной программы. Современные файловые инфекторы — это «профессиональные» вредоносные программы, реализующие сложные технологии: заражение системных драйверов (TDSS, ZeroAccess) и полиморфное заражение обычных исполняемых файлов (Virut, Sality).
В контексте этой тенденции актуально вновь поднять тему файловых инфекторов. Одна из задач данной статьи — представить обзор известных на сегодняшний день техник заражения исполняемых файлов. Во второй части статьи рассматривается «шаг за шагом» процесс анализа и разработки процедуры лечения для относительно старого, но не потерявшего своей актуальности файлового инфектора Win32.Parite.C.
далее http://www.nobunkum.ru/issue003/file-infectors/
http://club-symantec.ru/forum.php
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ответить с цитированием
