- •Введення
- •1. Феномен комп'ютерних вірусів
- •2. Що таке комп'ютерний вірус
- •2.1. Пояснення для домогосподарки
- •2.2. Спроба дати "нормальне" визначення
- •3. Хто і чому пише віруси?
- •4. Історія комп'ютерних вірусів - від давнини до наших днів
- •4.1. Трохи археології
- •4.2. Початок шляху
- •4.3. Поліморфізм - мутація вірусів
- •4.4. Автоматизація виробництва та конструктори вірусів
- •4.6. Епідемія макро-вірусу
- •4.7. Хронологія подій
- •5. Класифікація комп'ютерних вірусів
- •6. Перспективи: що буде завтра і післязавтра
- •6.1. Що буде завтра?
- •6.2. Що буде післязавтра?
4.3. Поліморфізм - мутація вірусів
Перший поліморфік-вірус з'явився на початку 90-х кодів - "Chameleon", але по-справжньому серйозною проблема поліморфік-вірусів стала лише рік по тому - у квітні 1991-го, коли практично весь світ був охоплений епідемією поліморфік-вірусу "Tequila" ( наскільки мені відомо, ця епідемія практично не торкнулася Росію, а перша Російська епідемія, викликана поліморфік-вірусом, сталася аж три роки по тому - рік 1994, це був вірус "Phantom1").
Популярність ідеї самошіфрующіхся поліморфік-вірусів вилилася в появу генераторів поліморфік-коду - на початку 1992 з'являється знаменитий вірус "Dedicated", що базується на першому відомому поліморфік-генераторі MtE і відкрив серію MtE-вірусів, а через досить короткий час з'являється і сам поліморфік-генератор . Представляє він з себе об'єктний модуль (OBJ-файл), і тепер для того щоб з самого звичайного нешифрованому вірусу отримати поліморфік-мутанта достатньо лише злінкувати їх об'єктні модулі - OBJ-файл поліморфік-генератора і OBJ-файлом вірусу. Тепер автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не доведеться сидіти над кодами власного за / розшифровувача. При бажанні він може підключити до свого вірусу поліморфік-генератор і викликати його з кодів вірусу.
На щастя, перший MtE-вірус не потрапив в "живу природу" і не викликав епідемії, а розробники антивірусних програм, відповідно, мали деякий запас часу для підготовки до відбиття нової напасті.
Вже через рік виробництво поліморфік-вірусів стає вже "ремеслом", і в 1993 році відбувся їх "обвал". У надходять до колекції віруси питома вага самошіфрующіхся поліморфік-вірусів стає все більше і більше. Створюється враження, що одним з основних напрямків у важкій справі створення вірусів стає розробка та налагодження поліморфік-механізму, а конкуренція серед авторів вірусів зводиться не до того, хто з них напише найкрутіший вірус, а чий поліморфік-механізм виявиться крутішим за всіх.
Ось далеко не повний список тих з них, які можна назвати стовідсотково поліморфічнимі (кінець 1993):
Bootache, CivilWar (чотири версії), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (дві версії), MVF, Necros, Nukehard, PcFly (три версії), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (вісім версій).
Для виявлення цих вірусів доводиться використовувати спеціальні методи, до яких можна віднести емуляцію виконання коду вірусу, математичні алгоритми відновлення ділянок коду і даних у вірусі і т.д. До не-стовідсотковим поліморфіків (тобто які шифрують себе, але в розшифровувача вірусу завжди існують постійні байти) можна віднести ще десяток нових вірусів:
Basilisk, Daemaen, Invisible (дві версії), Mirea (кілька версій), Rasek (три версії), Sarov, Scoundrel, Seat, Silly, Simulation.
Однак і вони вимагають розшифровки коду для їх детектування і відновлення уражених об'єктів, оскільки довжина постійного коду в рассшіфровщіке цих вірусів занадто мала.
Паралельно з поліморфік-врусамі розвиваються поліморфік-генератори. З'являється кілька нових, що використовують більш складні методи генерації поліморфік-коду, вони поширюються по станціях BBS у вигляді архівів, що містять об'єктні модулі, документацію та приклади використання. В кінці 1993 року було відомо вже сім генераторів поліморфік-коду. Це:
MTE 0.90 (Mutation Engine), чотири різні версії TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Multiple Encryptor)
З тих пір нові поліморфні генератори з'являлися по кілька штук на рік, і приводити їх повний список навряд чи має сенс.