Harrier přichází z temnot

Po pravdě řečeno, není to tak docela pravda. Počítačový virus Harrier totiž nepřichází z temnot ani z jiné planet...


Po pravdě řečeno, není to tak docela pravda. Počítačový virus Harrier totiž
nepřichází z temnot ani z jiné planety, ale jde o docela obyčejný "výtvor"
anonymního autora, který se rozhodl obohatit světovou virovou scénu o další
přírůstek. Zřejmě mu přišlo, že dvě až čtyři stovky nových virů měsíčně je
celkem málo.
Virus s plným názvem Win32/ /Harrier (dále jen Harrier) je polymorfní a
parazitický, přičemž se "zabydluje" v paměti a infikuje PE exe (Portable
Executable)Webové vysílání se zabydluje i v ČR
Pavel Houser
Slova jako streaming media nebo RealPlayer již používáme poměrně dlouho.
Registrujeme zprávy o tom, že pole internetového vysílání je jedním z míst, kde
se technologie Microsoftu střetávají s konkurencí. Nijak nás už neohromí, pokud
na Internetu vidíme nějaký videoklip. Tak nějak předpokládáme, byť jisti si tím
úplně nejsme, že třeba CNN bude asi vysílat v přímém přenosu i na Internetu.
Otázkou však je, nakolik se tyto technologie uplatňují také na českém Int
Samotný polymorfní šifrovací algoritmus lze klasifikovat jako průměrný, nicméně
jeho velkou předností je vytváření od devíti do sedmnácti šifrovacích "smyček".
Jako drtivá většina počítačových virů ale má i Harrier několik chyb, takže v
některých případech spuštěný infikovaný program "spadne".
Harrier má velmi zvláštní stavbu svého těla. Po každé instrukci totiž následuje
JMP příkaz odkazující na jiné místo viru. Jednotlivé výkonné instrukce Harrieru
se tak neprovádějí v logickém pořadí, ale napřeskáčku. Výsledkem je ovšem plně
fungující virus, neboť tato rutina běží pouze pro zmatení antivirových programů
či jakýchkoliv jiných aktivit vedoucích k odhalení viru.
Průběh napadení
Harrier napadá knihovnu Kernel32, přičemž se nezdržuje zkoumáním tabulky Import
a zjišťováním, na které funkce se lze "navěsit". Prostě a jednoduše celou
tabulku nahradí svou vlastní, která je zkonstruovaná tak, že Windows po nahrání
infikovaných souborů přímo spojuje jednotlivé funkce operačního systému s
příslušnými částmi kódu viru. Ten obsahuje celkem 288 instrukcí, které se
využijí v okamžiku, kdy operační systém (v daném případě Windows) volá nějaký
program a předtím, než je vykonán, virus přebírá kontrolu.
Virus napadá celkem 31 funkcí Windows API: dvanáct funkcí knihovny kernel32,
čtyři shell32, dvě comdlg32, osm u5er32 a pět z knihovny gd132. Všechny funkce
kernel23, shell32 a comdlg32 jsou přitom využívané k infikování souborů, které
volají tyto funkce. Zbývající slouží spouštěcí rutině viru.
Při infikování souboru exe virus analyzuje jeho podobu a vytvoří jednu nebo
více sekcí na konci souboru, do nichž vepíše svůj zašifrovaný kód. Vzápětí nato
virus modifikuje v souboru tabulku Export, která je používaná ke spojení kódu
viru s jednotlivými funkcemi Windows API.
Nebezpečnost viru Harrier sice není příliš vysoká, nicméně ukazuje jednu z
mnoha cest, kterou se viry budou ubírat.
9 3187 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.