Geekly Articles each Day

ウイルスエンジニアリングの伝説:ダークアベンジャー

画像
1988年4月、コンピューターウイルスとその作成方法に関する記事がブルガリアのコンピューターマガジンに掲載され、その後まもなく、「ゲストパフォーマー」がこの国のコンピューター空間に登場しました: ウィーン、ピンポン、カスケード

「ゲストアーティスト」の行動に関連して、雑誌で取り上げられたトピックによって生み出された関心は愛好家の間で大きなものとなり、すぐにブルガリアのプログラマーは独自のマルウェアを作成するというアイデアに捕らわれました。

ブルガリアの最初のWirmmasterの1人はDark Avengerでした。 1989年の初めにすでに、彼の最初のウイルスが登場しました。そのウイルスは、その作成者であるダークアベンジャー(ダークアベンジャー)と同じ名前が付けられています。 彼はコードに含まれる行に自分の名前を負っています

«This program was written in the city of Sofia © 1988-89 Dark Avenger»

Dark Avengerの不明瞭さに負けないように、彼はいわば革新性を持ち、当時、その作成者によってウイルスの本体に組み込まれた多くのメカニズムが世界に類推されていませんでした。

DAはソ連の領土で検出された最初のウイルスであり、その複製戦略は、実行中だけでなく、対応するファイル(COM、EXE)へのアクセスの他の操作中にもプログラムの感染を提供します。 彼は同時代の人よりもずっと速く育った。 プログラムの起動時の感染に加えて、ファイルは作成、名前変更、開く、閉じるときに感染します。

このような繁殖戦略により、このウイルスは非常に危険になりました。感染したシステムで、すべてのサブディレクトリ内のファイルを体系的に調べるプログラム(たとえば、データベースに対応する署名のないウイルス対策:)を実行すると、ほとんどのCOMおよびEXEファイルが結果として感染するためです。 さらに、ウイルスは、プログラムの16回目の起動ごとに、次の行を含むファイルでディスクのランダムセクターを上書きすることにより、データを破壊しました。

«Eddie lives… somewhere in time»

モスクワでは、メッセージが

«Eddie lives… somewhere in time»

に置き換えられました

«BORODA »

さらに、Dark Avengerはアンチウイルス対策に抵抗できる最初のウイルスでした。 当時、ヒューリスティックの話がなかったと言う必要はないと思います。アンチウイルスは通常の署名検索を使用し、プログラムがディスクをチェックしている間に、Avengerはすべての新しいファイルに感染しました。 このウイルスは、RAM内での存在を隠すためにいくつかの対策を講じました。

プログラムの開始時に、ウイルスはプログラムセグメントを最後としてマークし、このプログラムから見えなくなりました;プログラムの最後に、ウイルスはプログラムセグメントを最後としてマークしました。 プログラムの終了時に、プログラムによって変更された場合、ウイルスは割り込み21hの初期値を復元しました。 ウイルスは、21hの割り込みによって制御を受け取るプログラムチェーンの最初に自身を挿入し、その後、指定されたリストでプログラムがそれより先に進むことを許可しませんでした。

この「上昇」方法により、最も単純な常駐監視員をバイパスできます。 ウイルスは、13h割り込みを監視するプログラムの制御をバイパスし、インストール中にこのベクトルの値を決定し、その後、対応するアドレスに直接連絡しました。

Dark Avengerはその「高い毒性」のために世界中に広まり、コンピューター界でしばしば話題になり、New York TimesやWashington Postなどの出版物で言及されました。 このウイルスに感染するという特別なリスクのため、多くの組織は受信ソフトウェアの継続的な受信制御に切り替えました。

長年にわたり、この獣の新しい品種が登場し、それらはすべてRCE-1800ファミリー、Dark Avenger(作成者の名前による)またはEddie(書き換えられたファイルに含まれるフレーズによる)として広く知られています。 新しいイテレーションのたびに、ウイルスは近代化され、多くの場合、以前のバージョンよりもはるかに危険になりました。 このグループのウイルスコードは、MS DOSの深い知識と、詳細に対する病理学的中毒を証明しています。

PS


そのような獣は、以前はコンピューターのオープンスペースにいました。 もちろん現時点では、このウイルスはMS DOSのバージョン3.xおよび4.xでのみ機能するため、恐れることはありません。 ウイルス本体のバージョン番号の検証は実行されませんでした。 80386プロセッサを搭載したコンピューターではウイルスは完全に動作不能です。 そのため、ダークアベンジャーはアンチウイルス研究所のレーダーからかなりの時間消えましたが、かつては恐怖をもたらしました。

トピック内

securelist.comの技術的な詳細
→ウィキペディアの記事 [英語]

Source: https://habr.com/ru/post/J74132/

More articles:


All Articles