MyDoom

 

hcube

старожил
★★
Fomich083 (3:51 PM) :
Независимый исследователь Juari Bosnikovich juaribm-net.arbornet.org
опубликовал в списке рассылки новые подробности разрушающего действия вируса
MyDoom.B, которые не были опубликованы антивирусными компаниями.


Антивирусные компании говорят, что код вируса написан на ассемблере, однако
при дизассемблировании, он выглядит как написанный на c++. Оказалось, что
антивирусные компании скрывают основную информацию о действии вируса,
например как то


Fomich083 (3:51 PM) :
т факт, что в действительности 12 февраля он не остановит свое
распространение. На самом деле после 12 февраля MyDoom перейдет в новую фазу
и будет еще более опасным поскольку появится новая обновленная и
мутировавшая версия. Известно, что MyDoom посредством shimgapi.dll
оставляетоткрытыми порты 3127-3189, но это используется только для скрытия
реальных намерений MyDoom.B.


До сих пор не было известно, что вирус заражает BIOS компьютера. По сло
Fomich083 (3:51 PM) :
вам исследователя, вирус записывает в BIOS код длиной 624 байта, который
будет управляться по TCP протоколу после 12 февраля. Также нет возможности
вылечить вирус записанный в BIOS, кроме как перезаписать в флеш память BIOS
заново.
Убей в себе зомби!  

hcube

старожил
★★
Вот и сподобились Скоро вирусы будут в дыры в защите лазить, себя во флеш писать, и вообще станут умнее среднего КТН, не говоря уж о пользователе компутера .
Убей в себе зомби!  
+
-
edit
 

Balancer

администратор
★★★★★
hcube, 03.02.2004 17:04:58:
До сих пор не было известно, что вирус заражает BIOS По словам исследователя, вирус записывает в BIOS код длиной 624 байта, который
будет управляться по TCP протоколу после 12 февраля.
 

Если кто-то запихнёт TCP/IP-стек, remote-control server, PPP-клиента с драйверами под, пусть даже массовые модемы или сетевухи, DHCP и прочую мишуру в 624 байта, то ему при жизни можно памятник ставить и специально для него Нобелевскую премию по программированию вводить

Даже лично я, пожалуй, две своих зарплаты целиком ему готов подарить и завещать сервер Авиабазы после своей смерти
 

hcube

старожил
★★
Ну, положим не все так драматично. Достаточно сделать утить под ОДИН чип - скажем, реалтек, который на мамках встраивают, так чтобы он обеспечивал прием и загрузку в память по сети исполняемого кода. Скажем - при перезагрузке компа. Скажем - в пакетах фиксированного размера с определенным IP. Тем более.... реально во флеше есть куда больше свободного места чем 630 байт. Я бы поставил килобайт на 50.
Убей в себе зомби!  
+
-
edit
 

Mishka

модератор
★★★
hcube, 03.02.2004 20:29:37:
Ну, положим не все так драматично. Достаточно сделать утить под ОДИН чип - скажем, реалтек, который на мамках встраивают, так чтобы он обеспечивал прием и загрузку в память по сети исполняемого кода. Скажем - при перезагрузке компа. Скажем - в пакетах фиксированного размера с определенным IP. Тем более.... реально во флеше есть куда больше свободного места чем 630 байт. Я бы поставил килобайт на 50.
 

Рома прав - с определенным IP работать не будет. Т.е. от него идти данные будут (если умный провайдер по дороге не обрубит их), а до него доходить не будет. Т.е. сгрузки не получиться. DHCP клиентик нужен - достаточно общего типа. Что делать если в сети адреса постоянные? Значит надо уметь анализировать траффик немного. Надо научиться посылать траффик через gateway наружу, иначе весь траффик будет проигнорирован. Опять случаи динамических и статических адресов сильно разнятся. Про работу с модемом - сначала простенький сериальный протокольчик, а потом, как Рома помянул - PPP c авторизацией - немногие провайдеры разрешают сейчас просто так звонить и соединяться. Драйвера сетевух - тут надо достаточно много - чтобы и стандартному траффику и драйверам не мешать - вовремя отключиться. Плюс полный набор IP стека.

Я бы сказал, что в эти 600-800 байт надо делать типа стандартного загрузчика, а сами проги тихарить где-то на винте. Тогда выглядить разумным.
 
+
-
edit
 

Balancer

администратор
★★★★★
hcube, 03.02.2004 20:29:37:
Достаточно сделать утить под ОДИН чип - скажем, реалтек, который на мамках встраивают, так чтобы он обеспечивал прием и загрузку в память по сети исполняемого кода.
 

Не наберёт "критической массы". Эпидемии не выйдет.

>Я бы сказал, что в эти 600-800 байт надо делать типа стандартного загрузчика, а сами проги тихарить где-то на винте.

Очень и очень сложно. Единственный вариант, который я вижу, это втихаря переразбить винт, чтобы была фиксированная зона, в которую и упрятать нужные блоки данных, в в эти 600+ байт записать загрузку кода с фиксированных адресов. Но, во-первых, под NT/2K/XP никто не пустит на эту переразбивку, во-вторых, винты сейчас тоже бывают шибко разные и с шибко разной архитектурой. Даже если это только ATA В общем, как ни крутись, но 600 байтами BIOS'а не обойтись
 

hcube

старожил
★★
Положим, на винте место есть - вон у меня осталось 8 мегабайт неразбитых. Но... тогда смысла нет во флеш писаться - настройки, дрова и протоколы-то в винде или там унихе. Хотя... мы можем писать уже готовые компо-специфичные настройки и 'драйвер' для сетевухи - прямо в теле вируса, а выцеплять их когда заражение системы происходит....

Блин... вспомнилась прикольная пародия на антивирус - aidrest, кажется. Там он тоже пытался лечить ПЗУ .
Убей в себе зомби!  
+
-
edit
 

Balancer

администратор
★★★★★
hcube, 04.02.2004 11:52:58:
Блин... вспомнилась прикольная пародия на антивирус - aidrest, кажется. Там он тоже пытался лечить ПЗУ .
 

У меня этих породий штуки 4 было разных
Одна - да, aidsrest называлась
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru