Title: ATUAÇÃO DOS VIRÚS
Post by: Anonymous on 09 de February , 2006, 01:11:37 AM
Post by: Anonymous on 09 de February , 2006, 01:11:37 AM
Na tentativa de alcançar seu objetivo, um vírus pode lançar mão de uma série de atitudes. Para entender melhor como os vírus agem, se faz Necessário esclarecer melhor onde eles podem se alojar.
Um vírus tem de ficar em regiões que possam ser facilmente acessadas pelo sistema operacional, mas sem despertar a atenção do usuário. Outro ponto importante é que, assumindo que um vírus deseje contaminar o maior número de equipamentos, ele necessita se alojar em lugares encontrados em todos os sistemas.
Todos os computadores que trabalham com o sistema operacional MS-DOS, apresentam os seguintes arquivos para inicialização do sistema:
IBMBIO.COM; IBMDOS.COM; COMMAND.COM
OU
IO.SYS; MSDOS.SYS; COMMAND.COM
Além disso, disquetes e discos rígidos apresentam uma área (reservada) denominada área de boot.
Baseados nisso, alguns vírus foram projetados para contaminar esses arquivos ou setores. por exemplo:
AIRCOP- Infecta setor de boot de discos rígidos e disquetes.
BRAIN- Infecta setor de boot de disquetes.
CHAOS- Infecta setor de boot de discos rígidos e disquetes.
LEHIGH- Contaminam apenas o COMMAND.COM.
PING-PONG- Infecta setor de boot de discos rígidos e disquetes.
STONED- Ataca o master boot de discos rígidos.
TRACKSWAP-Infecta setor de boot de discos rígidos
VÍRUS QUE SE ALOJA NA PARTIÇÃO
Outros vírus preferem se esconder na tabela de partição de discos rígidos, sendo muito comum vírus que atuem em áreas diferenciadas quando se trata de disquetes ou discos rígidos. Por exemplo, os vírus abaixo citados contaminam a tabela de discos rígidos e o setor de boot em disquetes: AZUZA, BEIJING, BLOODY, BOOTV-1, EVIL EMPIRE, FLIP, JOSHI, TEQUILA.
Ou seja, durante o processo de "transporte"em disquetes, eles se laojam no setor de boot, mas ao encontrar um disco rígido eles passam a contaminar a tabela de partição. Obviamente, tanto em diaquetes quanto em discos rígidos esses vírus são perigosos. o fato de contaminarem a tabela de partição. Obviamente, tanto em disquetes quanto em disco rígidos esses vírus são perigosos. O fato de contaminarem a tabela de partição, provavelmente se deve a uma tentativa de passarem despercebidos por mais tempo, além de provacarem danos.
Outros tipos de vírus preferem se concentrar em programas. Dessa forma alguns vírus preferem atacar programas com terminação *.COM, enquanto outros atacam programas com terminação *.EXE. Um terceiro grupo atacam programas *.COM quanto *.EXE . Essas diferenças se devem ao fato de, estruturalmente ao nível lógico, os programas *.COM serem mais simples. Eles são programas pequenos, por imposição do MS-DOS, não podem superar os 64Kbytes de tamanho. Programas *.EXE podem ter qualquer tamanho. Programas *.EXE podem ter qualquer tamanho, sendo que estes possuem uma estrutura mais complexa, pois necessitam informar ao MS-DOS quanntos blocos de 64 Kbytes eles irão ocupar durante seu carregamento na memória. Portanto a diferença não é apenas de nome, mas da estrutura do próprio executável.
Conseqüentemente, programas *.COM são mais facilmente contamináveis do que *.EXE. Um outro grupo de vírus atacam arquivos de overlay ( segmentar o programa em vários em vários arquivos, sendo que um "gerenciador" fica permanentemente carregado na memória, enquanto o programa estiver carregado na memória). Exemplos
ATACAM PROGRAMAS TIPO *.COM
512
ARAB
ARGENTINA
BIG JOKE
CARIOCA
CASCADE
JUSTICE
HITCHOCK
ATACAM PROGRAMAS DO TIPO *.EXE
HERO
KAMIKAZE
MOSQUITO
NV71
STARDOT
TOKYO
WITCODE
ATACAM PROGRAMAS TIPO *.COM e *.EXE
VIRBAS
V2100
JERUSALÉM
FLIP2
928
1193
ATACAM ARQUIVOS DE OVERLAY
SQUAWK
SPYER
SIS
RNA
PAYDAY
PATIENTE
PARIS
VÍRUS RESIDENTES NA MÉMORIA
Alguns vírus, também ficam residentes na memória. Dessa forma, quando um programa contaminado é carregado na memória ele leva o vírus com ele. Quando de término da execuçãodo programa, ao invés de toda a memória ocupada ser liberada, resta uma pequena (por vez minúscula) porção ainda ocupada. Essa pequena porção de memória ocupada permace até que o computador seja reiniciado. Na verdade essa ocupação se da por um vírus, que passa a monitorar acessos a discos e outros programas, procuarando contaminá-los. Por vez esses acessos quem faz é o próprio vírus.
E os vírus que não ficam residentes na memória, espera que o usuario faça o acesso ao disco rígido para contaminar vários arquivos. Isso também pode ser feito pelo vírus residente, mas o grande perigo é que, após se instalar na nmemória, ele assme o controle a situação. vejam alguns exemplos:
ANTHRAX MICHAELANGELO
MURPHY PING-PONG
JERUSALÉM TAIWAN
VACINA USSR
HAIFA VICTOR
ETC STONE
VÍRUS QUE ALTERAM SEU CÓDIGO
Outros vírus mais sofisticados, alteram seu código ao realizarem novas contaminações. Isso pode dificultar bastante a ação de alguns softwares antivírus. A maioria dos antivírus procuram caractéristicas de cada vírus, constituindo-se na maioria num grande grupo de caracteres em base hexadecimal, sendo utilizado pelos caçadores de vírus (antivírus). Com a alteração desta assinatura (código), o trabalho fica muito maias dificultado. São chamados vírus multantes.
Para melhor entender esse problema, vamos analizar um dos mais conhecidos vírus mutantes, a AMEBA MALTESA (Apesar de amebas serem biologicamente, protozoários, em termos computacionais a AMEBA MALTESA é considera um vírus mutante) A AMEBA MALTESA surgiu pela primeira vez em I de novembro de 1991. Análises efetuadas verificaram que diversas contaminações a assinatura do vírus era diferente. Verificou-se também que a AMEBA MALTESA apresentava um total de 65.536 possibilidades de mutação! EXEMPLOS:
JULY 13TH ENIGMA
1008 FEAR
1260 FISH
1280 FLIP
1559 HAIFA
3445 INVADER
AMEBA MALTESA KLAREAN
ANTI-TEL LEECH
BLOODY POQUE
CAZ SLOW
VÍRUS DE STEALTH
Finalmente , outros vírus utilizam técnicas denominadas STEALTH (vírus furtivos). Esse nome vem do avião americano STEALTH. Imune aos radares, e utilizado na guerra do Golfo. O vírus furtivos utilizam algumas técnicas de dissimulação na tentativa de passarem desapercebidos pelo o usuário e por sistemas dectores (antivírus). Por exemplo: ao entrar na memória, um vírus furtivo lança uma armadilha, para verificar a exitência de alguns antivírus na memória na memória. Caso ele suspeite da presença de algum sistema de prevenção, ele não fica ativo (fica suspenso). Outra técnica de dissimulação é a seguinte: ao contaminar um programa,um vírus usualmente amplia o tamanho em bytes do mesmo. Porém os vírus furtivos, quando na memória notarem que um comando tipo DIR (mostra os arquivos presentes em um diretório, no MS-DOS ) está sendo processado, faz com que o programa contaminado mostreseu tamnho original, o mesmo aconntecendo com o espaço disponível. na verdade o disco está com menos espaço do que o indicado, porém tudo trancorre normalmente! veja algums exeplos de vírus furtivos abaixo:
1913
3445
4096
512
ALF
ANTI-TEL
BROTHERS
DEDICATED
DIR (ALGUMAS VERSÕES)
EVD
FILLER
FISH
GREEMLIN
HAIFA
HOLOCAUST
JOSHI
LEECH
LUCIFER
MUTATION ENGINE
TWIN
ZERO HUNT
Um vírus tem de ficar em regiões que possam ser facilmente acessadas pelo sistema operacional, mas sem despertar a atenção do usuário. Outro ponto importante é que, assumindo que um vírus deseje contaminar o maior número de equipamentos, ele necessita se alojar em lugares encontrados em todos os sistemas.
Todos os computadores que trabalham com o sistema operacional MS-DOS, apresentam os seguintes arquivos para inicialização do sistema:
IBMBIO.COM; IBMDOS.COM; COMMAND.COM
OU
IO.SYS; MSDOS.SYS; COMMAND.COM
Além disso, disquetes e discos rígidos apresentam uma área (reservada) denominada área de boot.
Baseados nisso, alguns vírus foram projetados para contaminar esses arquivos ou setores. por exemplo:
AIRCOP- Infecta setor de boot de discos rígidos e disquetes.
BRAIN- Infecta setor de boot de disquetes.
CHAOS- Infecta setor de boot de discos rígidos e disquetes.
LEHIGH- Contaminam apenas o COMMAND.COM.
PING-PONG- Infecta setor de boot de discos rígidos e disquetes.
STONED- Ataca o master boot de discos rígidos.
TRACKSWAP-Infecta setor de boot de discos rígidos
VÍRUS QUE SE ALOJA NA PARTIÇÃO
Outros vírus preferem se esconder na tabela de partição de discos rígidos, sendo muito comum vírus que atuem em áreas diferenciadas quando se trata de disquetes ou discos rígidos. Por exemplo, os vírus abaixo citados contaminam a tabela de discos rígidos e o setor de boot em disquetes: AZUZA, BEIJING, BLOODY, BOOTV-1, EVIL EMPIRE, FLIP, JOSHI, TEQUILA.
Ou seja, durante o processo de "transporte"em disquetes, eles se laojam no setor de boot, mas ao encontrar um disco rígido eles passam a contaminar a tabela de partição. Obviamente, tanto em diaquetes quanto em discos rígidos esses vírus são perigosos. o fato de contaminarem a tabela de partição. Obviamente, tanto em disquetes quanto em disco rígidos esses vírus são perigosos. O fato de contaminarem a tabela de partição, provavelmente se deve a uma tentativa de passarem despercebidos por mais tempo, além de provacarem danos.
Outros tipos de vírus preferem se concentrar em programas. Dessa forma alguns vírus preferem atacar programas com terminação *.COM, enquanto outros atacam programas com terminação *.EXE. Um terceiro grupo atacam programas *.COM quanto *.EXE . Essas diferenças se devem ao fato de, estruturalmente ao nível lógico, os programas *.COM serem mais simples. Eles são programas pequenos, por imposição do MS-DOS, não podem superar os 64Kbytes de tamanho. Programas *.EXE podem ter qualquer tamanho. Programas *.EXE podem ter qualquer tamanho, sendo que estes possuem uma estrutura mais complexa, pois necessitam informar ao MS-DOS quanntos blocos de 64 Kbytes eles irão ocupar durante seu carregamento na memória. Portanto a diferença não é apenas de nome, mas da estrutura do próprio executável.
Conseqüentemente, programas *.COM são mais facilmente contamináveis do que *.EXE. Um outro grupo de vírus atacam arquivos de overlay ( segmentar o programa em vários em vários arquivos, sendo que um "gerenciador" fica permanentemente carregado na memória, enquanto o programa estiver carregado na memória). Exemplos
ATACAM PROGRAMAS TIPO *.COM
512
ARAB
ARGENTINA
BIG JOKE
CARIOCA
CASCADE
JUSTICE
HITCHOCK
ATACAM PROGRAMAS DO TIPO *.EXE
HERO
KAMIKAZE
MOSQUITO
NV71
STARDOT
TOKYO
WITCODE
ATACAM PROGRAMAS TIPO *.COM e *.EXE
VIRBAS
V2100
JERUSALÉM
FLIP2
928
1193
ATACAM ARQUIVOS DE OVERLAY
SQUAWK
SPYER
SIS
RNA
PAYDAY
PATIENTE
PARIS
VÍRUS RESIDENTES NA MÉMORIA
Alguns vírus, também ficam residentes na memória. Dessa forma, quando um programa contaminado é carregado na memória ele leva o vírus com ele. Quando de término da execuçãodo programa, ao invés de toda a memória ocupada ser liberada, resta uma pequena (por vez minúscula) porção ainda ocupada. Essa pequena porção de memória ocupada permace até que o computador seja reiniciado. Na verdade essa ocupação se da por um vírus, que passa a monitorar acessos a discos e outros programas, procuarando contaminá-los. Por vez esses acessos quem faz é o próprio vírus.
E os vírus que não ficam residentes na memória, espera que o usuario faça o acesso ao disco rígido para contaminar vários arquivos. Isso também pode ser feito pelo vírus residente, mas o grande perigo é que, após se instalar na nmemória, ele assme o controle a situação. vejam alguns exemplos:
ANTHRAX MICHAELANGELO
MURPHY PING-PONG
JERUSALÉM TAIWAN
VACINA USSR
HAIFA VICTOR
ETC STONE
VÍRUS QUE ALTERAM SEU CÓDIGO
Outros vírus mais sofisticados, alteram seu código ao realizarem novas contaminações. Isso pode dificultar bastante a ação de alguns softwares antivírus. A maioria dos antivírus procuram caractéristicas de cada vírus, constituindo-se na maioria num grande grupo de caracteres em base hexadecimal, sendo utilizado pelos caçadores de vírus (antivírus). Com a alteração desta assinatura (código), o trabalho fica muito maias dificultado. São chamados vírus multantes.
Para melhor entender esse problema, vamos analizar um dos mais conhecidos vírus mutantes, a AMEBA MALTESA (Apesar de amebas serem biologicamente, protozoários, em termos computacionais a AMEBA MALTESA é considera um vírus mutante) A AMEBA MALTESA surgiu pela primeira vez em I de novembro de 1991. Análises efetuadas verificaram que diversas contaminações a assinatura do vírus era diferente. Verificou-se também que a AMEBA MALTESA apresentava um total de 65.536 possibilidades de mutação! EXEMPLOS:
JULY 13TH ENIGMA
1008 FEAR
1260 FISH
1280 FLIP
1559 HAIFA
3445 INVADER
AMEBA MALTESA KLAREAN
ANTI-TEL LEECH
BLOODY POQUE
CAZ SLOW
VÍRUS DE STEALTH
Finalmente , outros vírus utilizam técnicas denominadas STEALTH (vírus furtivos). Esse nome vem do avião americano STEALTH. Imune aos radares, e utilizado na guerra do Golfo. O vírus furtivos utilizam algumas técnicas de dissimulação na tentativa de passarem desapercebidos pelo o usuário e por sistemas dectores (antivírus). Por exemplo: ao entrar na memória, um vírus furtivo lança uma armadilha, para verificar a exitência de alguns antivírus na memória na memória. Caso ele suspeite da presença de algum sistema de prevenção, ele não fica ativo (fica suspenso). Outra técnica de dissimulação é a seguinte: ao contaminar um programa,um vírus usualmente amplia o tamanho em bytes do mesmo. Porém os vírus furtivos, quando na memória notarem que um comando tipo DIR (mostra os arquivos presentes em um diretório, no MS-DOS ) está sendo processado, faz com que o programa contaminado mostreseu tamnho original, o mesmo aconntecendo com o espaço disponível. na verdade o disco está com menos espaço do que o indicado, porém tudo trancorre normalmente! veja algums exeplos de vírus furtivos abaixo:
1913
3445
4096
512
ALF
ANTI-TEL
BROTHERS
DEDICATED
DIR (ALGUMAS VERSÕES)
EVD
FILLER
FISH
GREEMLIN
HAIFA
HOLOCAUST
JOSHI
LEECH
LUCIFER
MUTATION ENGINE
TWIN
ZERO HUNT
Title: Re: ATUAÇÃO DOS VIRÚS
Post by: Anonymous on 09 de February , 2006, 12:07:06 PM
Post by: Anonymous on 09 de February , 2006, 12:07:06 PM
Bom Como meu assunto favorito é Virus Vou Completar seu Texto com minha Experiencia:
Faltou Diversos Virus Atuais ai como
Polimorfismo encriptado XOR - Seria como se a Instrução XOR ( Or Exclusivo de Bit a Bit ) Encriptase cada parte constante do viril assim o mesmo poderia infectar um diretorio sem a intrusao das api de TOKEN que barra seu progresso
Polimorfismo Reverso - Seria como se o Polimorfismo Viral ou seja ( Trocar o Codigo ou Inserir comentarios aleatorios para dificultar o codigo seja reversa ou seja os codigos ficam de tras pra frente e o codigo RUNTIME ( Execução ) Fica Dificultado a Remoção por parte das Bestas Anti - Virus
RootKit ( Geração 1 ) - RootKit seria algo como um Espião que barra a API ( Interface de Programação ) de Ser utilizada com a MSG de Sistema do Modulo Viral SIM ROOT KITS São feitos com DLL então fica ai a Possivel Indetecção
RootKit ( Geração 2 ) - Rootkit igualmente o acima mais com a peculiaridade de ser Executavel
RootKit ( Geraçã 3 ) - Este é o Tipo Atual ; Ele é Impossivel de Ser Retirado pois ele ao carregar Funde uma DLL as api do sistema trocando as do sistema pela dele so q a dele espiona msgs Eventos Chamadas etc Bom há mais o que falar sobre RKit mais acho q ja complementei bastande
PS: Texto desenvolvido By Ricardo Silva .
Faltou Diversos Virus Atuais ai como
Polimorfismo encriptado XOR - Seria como se a Instrução XOR ( Or Exclusivo de Bit a Bit ) Encriptase cada parte constante do viril assim o mesmo poderia infectar um diretorio sem a intrusao das api de TOKEN que barra seu progresso
Polimorfismo Reverso - Seria como se o Polimorfismo Viral ou seja ( Trocar o Codigo ou Inserir comentarios aleatorios para dificultar o codigo seja reversa ou seja os codigos ficam de tras pra frente e o codigo RUNTIME ( Execução ) Fica Dificultado a Remoção por parte das Bestas Anti - Virus
RootKit ( Geração 1 ) - RootKit seria algo como um Espião que barra a API ( Interface de Programação ) de Ser utilizada com a MSG de Sistema do Modulo Viral SIM ROOT KITS São feitos com DLL então fica ai a Possivel Indetecção
RootKit ( Geração 2 ) - Rootkit igualmente o acima mais com a peculiaridade de ser Executavel
RootKit ( Geraçã 3 ) - Este é o Tipo Atual ; Ele é Impossivel de Ser Retirado pois ele ao carregar Funde uma DLL as api do sistema trocando as do sistema pela dele so q a dele espiona msgs Eventos Chamadas etc Bom há mais o que falar sobre RKit mais acho q ja complementei bastande
PS: Texto desenvolvido By Ricardo Silva .
Title: Re: ATUAÇÃO DOS VIRÚS
Post by: Anonymous on 09 de February , 2006, 06:52:59 PM
Post by: Anonymous on 09 de February , 2006, 06:52:59 PM
r1c4rdo1988
Este POLIFORMISMO eu não conheci. dahoraa XD
--
O Topico ta bem intereçantem
Este POLIFORMISMO eu não conheci. dahoraa XD
--
O Topico ta bem intereçantem