ПОЛИМОРФНЫЕ ВИРУСЫ

Авторы
Файлы

Долженков А.А. Грачева Е.В. Статья в формате PDF 254 KB

Полиморфизм - высококлассная техника, позволяющая вирусу быть незамеченным по стандартной сигнатуре. Все полиморфные вирусы снабжаются расшифровщиком кода, который по определенному принципу преобразует переданный ему код, вызывая при этом стандартные функции и процедуры операционной системы. Сами методы шифрования могут быть разными, но, как правило, каждая операция имеет свою зеркальную пару. В ассемблере это реализуется очень просто, и таких пар может быть очень много - ADD/SUB, ROL/ROR и т.п. Немаловажной особенностью полиморфного вируса является то, что вирус содержит операнды, функции и процедуры, которые служат лишь для запутывания кода.

Выделяют несколько уровней полиморфизма, используемых в вирусе:

- самые простые олигоморфные вирусы. Они используют постоянные значения для своих расшифровщиков, поэтому легко определяются антивирусами;

- вирусы, имеющие одну или две постоянные инструкции, которые используются в расшифровщиках;

- вирусы, использующие в своем коде комaнды-мусор. Это в своем роде ловушка от детектирования, помогает запутать собственный код. Но такой вирус может быть засечен с помощью предварительного отсеивания мусора антивирусом;

- использование взаимозаменяемых инструкций с перемешиванием в коде без дополнительного изменения алгоритма расшифровки, помогает полностью запутать антивирус;

- неизлечимый уровень. Существуют вирусы, которые состоят из программных единиц - частей. Они постоянно меняются в теле и перемещают свои подпрограммы. Хаpaктерной особенностью такой заразы являются пятна. При этом в различные места файла записываются несколько блоков кода, что обуславливает название метода. Такие пятна в целом образуют полиморфный расшифровщик, который работает с кодом в конце файла. Для реализации метода даже не нужно использовать комaнды-мусор, подобрать сигнатуру будет все равно невозможно.

Полиморфизм стал весьма распространенным лишь благодаря расшифровщику. Удобно то, что один файл может работать со многими вирусами. Этим и пользуются вирусописатели, используя чужой модуль. В полиморфы нередко встраивают код, который выполняется в зависимости от определенной ситуации. Например, при детектировании вируса он может вызвать процедуру самоуничтожения. Как самого себя (частичная или полная безвозвратная модификация кода), так и системы (массовое заражение системных файлов без возможности восстановления). Это очень осложняет поиск антивируса от полиморфного вируса, до антивирусной лаборатории вирус доходит уже в нерабочем состоянии.

Первый полиморфный вирус появился в 1990 году и назывался Chameleon. Он вписывал свой код в конец COM-файлов, а также использовал два алгоритма шифрования. Первый шифрует тело по таймеру в зависимости от значения заданного ключа. Второй использует динамическое шифрование и при этом активно мешает трассировки вируса. Он не был опасен, хотя содержал в коде ряд ошибок, из-за которых генератор не мог расшифровать тело вируса. При этом исполняемый файл переставал функционировать. После длительного простоя системы Phantom выводил на экран видеоизображение с надписью. Она гласила, что компьютер находится под наблюдением опасного вируса.

Параллельно вирусам появлялись и полиморфик-генераторы, одним из которых был MtE, открывший целые вирусные семейства. Он уже использовал зеркальные функции, чем затруднял своё детектирование. Теперь вирусологу не нужно было писать свой дешифратор, а лишь воспользоваться MtE. MtE-вирус был перехвачен антивирусной лабораторией, поэтому быстрый выход защиты от первого серьёзного полиморфного вируса защитил множество рабочих станций от заразы.

Другое семейство вирусов Daemaen записывает себя в COM, EXE и SYS файлы. С виду эти вирусы выглядят вполне безопасно, но на самом деле происходит запись в MBR винчестера и в boot-сектора дискет, а тело заразы хранится в последних секторах.

МЕТОДОЛОГИЧЕСКИЕ ПРОБЛЕМЫ ИЗУЧЕНИЯ СОВРЕМЕННОГО РАЗВИТИЯ ЭКОЛОГИЧЕСКОЙ КУЛЬТУРЫ НАРОДОВ СЕВЕРНОГО КАВКАЗА

Статья в формате PDF 98 KB...

22 05 2026 2:32:39

ИЗЛУЧЕНИЕ КРАСНОГО ДИАПАЗОНА – ИСТОЧНИК МУТАЦИОННОЙ ИЗМЕНЧИВОСТИ

Статья в формате PDF 133 KB...

21 05 2026 23:29:21

АНАЛИЗ ПРОЦЕССОВ ГАЗОПЕРЕНОСА В ОБЛУЧЕННОМ ПОЛИЭТИЛЕНЕ: ФРАКТАЛЬНАЯ МОДЕЛЬ

Статья в формате PDF 157 KB...

20 05 2026 13:43:10

ВЛИЯНИЕ СОЧЕТАНИЯ ФИТОГОРМОНОВ И ВИТАМИНОВ НА РОСТ И ПРОДУКТИВНОСТЬ ХЛОПЧАТНИКА В УСЛОВИЯХ ВОЛГО-АХТУБИНСКОЙ ПОЙМЫ АСТРАХАНСКОЙ ОБЛАСТИ

Установлено, что предпосевное замачивание семян и опрыскивание вегетирующих растений хлопчатника (Gossipium hirsutum L.) растворами сочетаний фитогормонов кинетина (КН) и гибберелловой кислоты (ГК) и совместно с витаминами никотиновой кислотой (НК) и пантотеновой кислотой (ПК) эффективно стимулирует полевую всхожесть семян, рост стeбля и образование побегов, среднюю площадь листа и общую фотосинтетическую листовую поверхность, улучшение водного режима. Также отмечено увеличение числа коробочек, длины волокна и выхода волокна с растения от 34,6 до 60,4 %. Наиболее эффективно предпосевное замачивание семян сочетанием фитогормонов совместно с витаминами. ...

19 05 2026 15:41:29

ВЛИЯНИЕ ГИДРОЭЛЕКТРОСТАНЦИЙ НА ОКРУЖАЮЩУЮ СРЕДУ

Статья в формате PDF 267 KB...

18 05 2026 3:35:12

ЗНАЧЕНИЕ МЕДИКО-ЭКОЛОГИЧЕСКОГО КАРТИРОВАНИЯ ТЕРРИТОРИЙ ДЛЯ РАЗРАБОТКИ РЕГИОНАЛЬНЫХ ПРОФИЛАКТИЧЕСКИХ ПРОГРАММ

Статья в формате PDF 104 KB...

17 05 2026 14:13:16

НЕСПЕЦИФИЧЕСКИЕ АДАПТАЦИОННЫЕ РЕАКЦИИ КЛЕТОК ЭРИТРОЦИТАРНОЙ ПОПУЛЯЦИИ У ПТИЦ

Статья в формате PDF 88 KB...

16 05 2026 11:32:13

ДИНАМИКА ЖИЛИЩНО-КОММУНАЛЬНОГО ХОЗЯЙСТВА САРАТОВСКОЙ ОБЛАСТИ В ЦИФРАХ

В статье дается хаpaктеристика современного состояния жилищно-коммунального хозяйства Саратовской области. Отмечаются изменения в структуре собственности на жилищный фонд, оцениваются тенденции развития основных фондов жилищно-коммунального хозяйства, состояние кадров и платежно-расчетной дисциплины в отрасли, освещается политика администрации области в части организационных преобразований системы управления жилищно-коммунальным хозяйством и обеспечения социальных гарантий для населения. ...