//Ponieważ dostałem trochę weny, postanowiłem napisać jakiś temat.
----------
Jak wszyscy wiemy (prawie wszyscy), w Internecie można znaleźć złośliwe oprogramowanie, typu : wirusy, trojany, keyloggery, spyware, rootkity, itd.
----------
Małe przypomnienie :
Co to jest koń trojański?
Koń trojański, trojan to określenie oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementują niepożądaną, ukrytą przed użytkownikiem funkcjonalność (spyware, bomby logiczne, itp). Nazwa pochodzi od mitologicznego konia trojańskiego.
----------
Co to jest keylogger?
Keylogger - typ programów komputerowych służących do wykradania haseł.
Programy te działają na zasadzie przejęcia kontroli nad procedurami systemu operacyjnego (głównie Microsoft Windows) służącymi do obsługi klawiatury. Każde wciśnięcie klawisza jest zapisywane w specjalnym pliku. Opcjonalnie informacje o wciśniętych klawiszach poszerzone są o dodatkowe informacje, jak nazwa aktywnego programu lub okna.
----------
Co to jest spyware?
Spyware to programy komputerowe, których celem jest szpiegowanie działań użytkownika.
Programy te gromadzą informacje o użytkowniku i wysyłają je często bez jego wiedzy i zgody autorowi programu.
----------
Co to jest rootkit?
Rootkit - narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa on niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem.
----------
Co to jest wirus komputerowy?
Wirus komputerowy - najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody użytkownika. Wirus komputerowy w przeciwieństwie do robaka komputerowego do swojej działalności wymaga nosiciela w postaci programu komputerowego, poczty elektronicznej itp. Wirusy wykorzystują słabość zabezpieczeń systemów komputerowych lub właściwości systemów oraz niedoświadczenie i beztroskę użytkowników. Często wirusami komputerowymi mylnie nazywane są wszystkie złośliwe programy.
----------
Programy typu : wirus, keylogger, rootkit, itd. można zwalczać za pomocą programów takich jak :
- antywirus (np. NOD32, a do rootkitów : Rootkit Revealer)
- antyspyware (np. Ad-Aware SE Professional)
- antykeylogger (nie ma doskonałego antykeyloggera, ale jak ktoś chce to : Advanced Anti
Keylogger)
----------
Teraz ciekawsza strona tego tematu (mam nadzieje), objaśnienie działania wirusów, oraz objaśnienie funkcji kilku koni trojańskich.
Wpierw jednak zacznę, od analizy koni trojańskich.
----------
Trojan od którego zacznę, którego antywirusy wykrywają jako :
-Trojan.Win32.KillFiles.ac, który posiada dość szkodliwą/wredną funkcję.
Postać pliku : PE EXE
Rozmiar : 35328b (bajtów).
Trojan działa w następujący sposób : uruchamia swoje polecenia w folderze roboczym.
----------
Kolejny trojan, którego omówię, nosi nazwę :
- Trojan.BAT.DelSys.d
Postać pliku : .BAT
Rozmiar : 4644b
Po uruchomieniu, trojan wyświetla dość nietypowy komunikat :
1 opcja - usunięcie wszystkich plików .dll z folderu C:Windows:System
2 opcja - zrobi bałagan na dysku C, tworząc takie foldery :
----------
Kolejny trojan, jest wykrywany przez antywirusy jako :
- Trojan-Spy.Win32.VB.oq
Postać pliku : PE EXE
Rozmiar : 28 672b
Napisany w języku : Visual Basic (dodatkowa informacja)
Po uruchomieniu pliku, szkodnik dodaje się jako :
Szkodnik zapewnia sobie automatyczne uruchamianie wraz ze startem systemu, dzięki kluczowi :
Funkcje szkodnika :
Trojan śledzi zawartość schowka.
----------
Kolejny szkodnik i już przedostatni, jest wykrywany przez antywirusy jako :
- Trojan.Win32.StartPage.adi
Postać pliku : PE EXE
Rozmiar : 4 265b
Napisany w języku : C++
Trojan, zapewnia sobie automatyczne uruchamianie wraz ze startem systemu, dzięki kluczowi :
Funkcje szkodnika : szuka plików z nazwami :
Po znalezieniu kopiuje plik secure32.html, na dysk C (C:secure32.html).
Następnie modyfikuje rejestr systemowy i podmienia domyślną stronę przeglądarki :
----------
Ostatni szkodnik, jaki tu opiszę, jest wykrywalny przez antywirusy jako :
- Trojan.Win32.Small.dl
Postać pliku : PE EXE
Rozmiar : 24 576b
Napisany w języku : C++
Po uruchomieniu, szkodnik kopiuje swój plik wykonywalny do folderu systemowego z oryginalną nazwą pliku.
Trojan zapewnia sobie autostart, dzięki kluczowi :
Funkcje szkodnika : co 55 minut, szkodnik otwiera następujące adresy :
----------
Działanie wirusów :
Technika którą wykorzystują niektóre wirusy (tzw. EPO) :
- EPO: Entry-Point Obscuring
- Fighting EPO Viruses
Wirusy mają zdolność samopowielania. Wirusy przenoszone są przeważnie w zainfekowanych wcześniej plikach lub w pierwszych sektorach fizycznych dysków logicznych. Tylko i wyłącznie od programisty, zależy co jego szkodnik ma wykonywać, może uniemożliwić pracę komputera, wyłączyć go, wysłać spam, zaśmiecić, zniszczyć ważne dane, itd. Pierwszy wirus na świecie powstał w 1986 roku, posiadał on nazwę Brain. Wirusy komputerowe, mogą być pisane w różnych językach programowania, typu C, C++, Turbo Pascal, jednakże najczęściej są one pisane w assemblerze.
Istnieje wiele programów umożliwiających stworzenie własnego wirusa, nawet bez znajomości systemu czy mechanizmów wykorzystywanych przez wirusy. Tego typu generatory, można bez problemowo znaleźć w Internecie (starczy troszkę poszukać).
Znane generatory wirusów :
- IVP – Instant Virus Production Kit
- VCL – Virus Construction Laboratory
- PS-MPC – Phalcon-Skism Mass Produced Code Generator
- G2 – G Squared
----------
Rodzaje wirusów komputerowych :
Wirusy można podzielić według wielu kryteriów. Przykładowy podział ze względu na infekowany obiekt :
- wirusy dyskowe, infekujące sektory startowe dyskietek i dysków twardych
- wirusy plikowe, które infekują pliki wykonywalne danego systemu operacyjnego
- wirusy skryptowe
- makrowirusy, których kod składa się z instrukcji w języku wysokiego poziomu, wykonywane przez interpreter.
----------
Kilka książek na temat wirusów :
- Andrzej Dudek : "Jak pisać wirusy"
- Adam Błaszczyk : "Wirusy"
----------
To narazie jest koniec, możecie się spodziewać drugiej części artykułu, gdzie napisze o budowie plików PE, infekcji plików PE i o wirusach w Linuxie.
----------
Umieszczam teraz 1 książkę na temat wirusów :
- http://rapidshare.com/files/68979180/Adam_...Wirusy.rar.html
----------
// Niektóre z tych informacji były czerpane z :
http://www.wikipedia.pl
----------
// Jeśli to możliwe, proszę o przyklejenie tematu
----------
Jak wszyscy wiemy (prawie wszyscy), w Internecie można znaleźć złośliwe oprogramowanie, typu : wirusy, trojany, keyloggery, spyware, rootkity, itd.
----------
Małe przypomnienie :
Co to jest koń trojański?
Koń trojański, trojan to określenie oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementują niepożądaną, ukrytą przed użytkownikiem funkcjonalność (spyware, bomby logiczne, itp). Nazwa pochodzi od mitologicznego konia trojańskiego.
----------
Co to jest keylogger?
Keylogger - typ programów komputerowych służących do wykradania haseł.
Programy te działają na zasadzie przejęcia kontroli nad procedurami systemu operacyjnego (głównie Microsoft Windows) służącymi do obsługi klawiatury. Każde wciśnięcie klawisza jest zapisywane w specjalnym pliku. Opcjonalnie informacje o wciśniętych klawiszach poszerzone są o dodatkowe informacje, jak nazwa aktywnego programu lub okna.
----------
Co to jest spyware?
Spyware to programy komputerowe, których celem jest szpiegowanie działań użytkownika.
Programy te gromadzą informacje o użytkowniku i wysyłają je często bez jego wiedzy i zgody autorowi programu.
----------
Co to jest rootkit?
Rootkit - narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa on niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem.
----------
Co to jest wirus komputerowy?
Wirus komputerowy - najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody użytkownika. Wirus komputerowy w przeciwieństwie do robaka komputerowego do swojej działalności wymaga nosiciela w postaci programu komputerowego, poczty elektronicznej itp. Wirusy wykorzystują słabość zabezpieczeń systemów komputerowych lub właściwości systemów oraz niedoświadczenie i beztroskę użytkowników. Często wirusami komputerowymi mylnie nazywane są wszystkie złośliwe programy.
----------
Programy typu : wirus, keylogger, rootkit, itd. można zwalczać za pomocą programów takich jak :
- antywirus (np. NOD32, a do rootkitów : Rootkit Revealer)
- antyspyware (np. Ad-Aware SE Professional)
- antykeylogger (nie ma doskonałego antykeyloggera, ale jak ktoś chce to : Advanced Anti
Keylogger)
----------
Teraz ciekawsza strona tego tematu (mam nadzieje), objaśnienie działania wirusów, oraz objaśnienie funkcji kilku koni trojańskich.
Wpierw jednak zacznę, od analizy koni trojańskich.
----------
Trojan od którego zacznę, którego antywirusy wykrywają jako :
-Trojan.Win32.KillFiles.ac, który posiada dość szkodliwą/wredną funkcję.
Postać pliku : PE EXE
Rozmiar : 35328b (bajtów).
Trojan działa w następujący sposób : uruchamia swoje polecenia w folderze roboczym.
Kod:
echo del *.txt
echo del *.doc
echo del *.xls
echo del *.com
echo del *.dll
echo del *.dot
echo del *.bin
echo del *.htm
echo del *.ppt
echo del *.avi
echo del *.mp3
echo del *.src
echo del *.bmp
echo del *.cfg
echo del *.mpg
echo del *.drv
echo del *.vxd
echo del *.mdb
Kolejny trojan, którego omówię, nosi nazwę :
- Trojan.BAT.DelSys.d
Postać pliku : .BAT
Rozmiar : 4644b
Po uruchomieniu, trojan wyświetla dość nietypowy komunikat :
Kod:
D I L E M M A ============= You now have the DILEMMA Virus on your computer. Any attempt
to shut down your system or bypass the virus at this point will cause BOTH options to
activate. Choose your fate below..... 1. Randomly Delete Some Files 2. Make A Mess Of
Your C: Directory
2 opcja - zrobi bałagan na dysku C, tworząc takie foldery :
Kod:
C:JAHAJKH C:JHDGYD C:EWWER C:WEWER C:WRWERWER C:STORMMAKER C:AASDAS
C:BFBB C:QQWERD C:SDFSV C:SFSDFS C:WWEWE C:FGDFSADA C:SDSSTY C:ASWDD
C:QQWERF C:VVBGTD C:OOIKM C:FGTYH C:FRCDFR C:SWDEXD C:VFGRT C:RBNHH
C:QWSXXZ C:SDSDTY C:UIYUHH C:FDGFGDF C:DFGDFVFG C:JJUIK C:MMNHBG C:XCDSEW
C:ERRFDC C:QASWX C:BVGHYT C:TNMJKIU C:BGHYTG C:BVGTFR C:ZZXSW C:LLOU
C:DSSFS C:WEWEE C:WWEW C:SDFSXCX C:VBGTFC C:NHJUYHG C:AASWD C:AXDCD
C:BGVFR C:CFGTR C:DESXC C:EEFDR C:FFGTRE C:GHJUY C:HUJYG C:IJKUG C:JKNHBG
C:KIJBGT C:LKIJN C:MNJHVV C:NBHGY C:OPLK C:PKIJU C:QQWSD
Kolejny trojan, jest wykrywany przez antywirusy jako :
- Trojan-Spy.Win32.VB.oq
Postać pliku : PE EXE
Rozmiar : 28 672b
Napisany w języku : Visual Basic (dodatkowa informacja)
Po uruchomieniu pliku, szkodnik dodaje się jako :
Kod:
%WinDir%scsrss.exe
Kod:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]"scsrss.exe" = "%WinDir%scsrss.exe"
Trojan śledzi zawartość schowka.
----------
Kolejny szkodnik i już przedostatni, jest wykrywany przez antywirusy jako :
- Trojan.Win32.StartPage.adi
Postać pliku : PE EXE
Rozmiar : 4 265b
Napisany w języku : C++
Trojan, zapewnia sobie automatyczne uruchamianie wraz ze startem systemu, dzięki kluczowi :
Kod:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]"SysTray" = "(ścieżka do pliku wykonywalnego trojana)"
Kod:
%WinDir%secure32.html %ProgramFiles%secure32.html
Następnie modyfikuje rejestr systemowy i podmienia domyślną stronę przeglądarki :
Kod:
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Local Page" = "c:secure32.html"
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = "c:secure32.html"
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL" = "c:secure32.html"
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Local Page" = "c:secure32.html"
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = "c:secure32.html"
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL" = "c:secure32.html"
Ostatni szkodnik, jaki tu opiszę, jest wykrywalny przez antywirusy jako :
- Trojan.Win32.Small.dl
Postać pliku : PE EXE
Rozmiar : 24 576b
Napisany w języku : C++
Po uruchomieniu, szkodnik kopiuje swój plik wykonywalny do folderu systemowego z oryginalną nazwą pliku.
Kod:
%System%(oryginalna nazwa trojana)
Kod:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"wins" = "%System%(oryginalna nazwa pliku trojana)"
Kod:
http://bbsdown.cn/aabb.html [url]http://552779.cn/aabb.html[/url]
Działanie wirusów :
Technika którą wykorzystują niektóre wirusy (tzw. EPO) :
- EPO: Entry-Point Obscuring
- Fighting EPO Viruses
Wirusy mają zdolność samopowielania. Wirusy przenoszone są przeważnie w zainfekowanych wcześniej plikach lub w pierwszych sektorach fizycznych dysków logicznych. Tylko i wyłącznie od programisty, zależy co jego szkodnik ma wykonywać, może uniemożliwić pracę komputera, wyłączyć go, wysłać spam, zaśmiecić, zniszczyć ważne dane, itd. Pierwszy wirus na świecie powstał w 1986 roku, posiadał on nazwę Brain. Wirusy komputerowe, mogą być pisane w różnych językach programowania, typu C, C++, Turbo Pascal, jednakże najczęściej są one pisane w assemblerze.
Istnieje wiele programów umożliwiających stworzenie własnego wirusa, nawet bez znajomości systemu czy mechanizmów wykorzystywanych przez wirusy. Tego typu generatory, można bez problemowo znaleźć w Internecie (starczy troszkę poszukać).
Znane generatory wirusów :
- IVP – Instant Virus Production Kit
- VCL – Virus Construction Laboratory
- PS-MPC – Phalcon-Skism Mass Produced Code Generator
- G2 – G Squared
----------
Rodzaje wirusów komputerowych :
Wirusy można podzielić według wielu kryteriów. Przykładowy podział ze względu na infekowany obiekt :
- wirusy dyskowe, infekujące sektory startowe dyskietek i dysków twardych
- wirusy plikowe, które infekują pliki wykonywalne danego systemu operacyjnego
- wirusy skryptowe
- makrowirusy, których kod składa się z instrukcji w języku wysokiego poziomu, wykonywane przez interpreter.
----------
Kilka książek na temat wirusów :
- Andrzej Dudek : "Jak pisać wirusy"
- Adam Błaszczyk : "Wirusy"
----------
To narazie jest koniec, możecie się spodziewać drugiej części artykułu, gdzie napisze o budowie plików PE, infekcji plików PE i o wirusach w Linuxie.
----------
Umieszczam teraz 1 książkę na temat wirusów :
- http://rapidshare.com/files/68979180/Adam_...Wirusy.rar.html
----------
// Niektóre z tych informacji były czerpane z :
http://www.wikipedia.pl
----------
// Jeśli to możliwe, proszę o przyklejenie tematu