Maximize
Bookmark

VX Heaven

Library Collection Sources Engines Constructors Simulators Utilities Links Forum

О некоторых методах распространения вирусов

Z0mbie
Top Device Online [3]
Март 2000

[Вернуться к списку] [Комментарии]

В последнее время стали распространены вирусы, рассылающие себя по электронной почте. Такой способ распространения учитывает человеческий фактор, и поэтому обладает рядом существенных недостатков. Во-первых, нет никакой гарантии, что файл будет запущен, а во-вторых, посредством почты вирус очень скоро попадет в жадные лапы вирусоколлекторов и антивирусников, что суть одно и то же. Исходя из этого, было бы неплохо внушать юзерам доверие и вместе с этим проводить среди них некоторый отбор, оставляя только самых тупых. Очевидно, что при помощи одного только почтового адреса такое осуществить невозможно. Поэтому сначала предлагается вступить с возможной жертвой в диалог. Но здесь возникает проблема - единственный вариант "разговора" вируса с пользователем - это подпрограмма навроде всем известного PSYSа. А таскать большое количество данных в вирусе неудобно. Поэтому для разговора с одним пользователем предлагается воспользоваться другим пользователем. Вот как это происходит: вирус притворяется юзером A, и обращается к юзеру B с приветствием. Юзер B отвечает, и с большой вероятностью это тоже будет приветствие, хотя это не важно. Поэтому вирус берет ответ юзера B, притворяется оным и шлет этот ответ в качестве начальной месаги юзеру A. (тут могут быть несколько вариантов, но это не принципиально) Таким образом начинается диалог между пользователями, и посредником между ними является вирус. Далее есть несколько возможностей. Получение доступа к частной информации, причем не только к чтению оной, но и к изменению. Подмена электронных адресов, веб-адресов и прочей информации с целью включить вирус "посредником" в еще большее количество каналов связи. Ну и наконец, возможность распространения вируса. Тут есть несколько путей. Во-первых, можно подождать момент пересылки файлов пользователями и эти файлы, понятно, заразить. Во-вторых, пересылку можно фальсифицировать. По некоторым причинам указанный метод не годится для электронной почты, или же весьма неудобен. Дело в том, что при разговоре пользователи могут использовать имена друг друга в самых разных вариантах, поэтому вирус не может все их заменять на свои имена (имена фальшивых пользователей или их адресов). Из этого следует, что "промежуточные" вирусные электронные адреса или имена пользователей должны быть такими же или весьма похожи на имена пользователей настоящих. Таким образом наилучший вариант - это IRC. Итак, вирус заходит на IRC два раза (причем это могут быть разные сервера), и выбирает двух пользователей. Далее выбирает свои имена в соответствии с именами пользователей - скажем, _vasya_ вместо vasya. Далее начинает два чата с двумя выбранными юзерами. Как же фальсифицировать передачу файла? Мне представляется такой вариант: через некоторое время вирус прерывает чат, говорит что-нибудь типа "sorry, i have to go, here is my foto" и шлет файлик типа vysyasfx.exe. Можно вместо посылки файла давать URL странички. Можно испрошать у юзеров их емылы и слать файло уже туда, представляясь "виделись на IRC". Ну и так далее. Короче говоря, основная мысль здесь - диалог вируса с юзерами посредством других юзеров с несанкционированным доступом к приватной инфе. Опробовать этот метод лично проще простого - хватит всего лишь irc-клиента.

By accessing, viewing, downloading or otherwise using this content you agree to be bound by the Terms of Use! vxer.org aka vx.netlux.org
deenesitfrplruua