Помогите в написании "Червя"

[JTG]

НУ НЕТ, НЕТ ПРОГРАММ, КОТОРЫЕ ПОЗВОЛЯЮТ ПРИКЛЕИТЬ К ИЗОБРАЖЕНИЮ ПРОГРАММУ ТАК, ЧТОБ КАРТИНКА ОСТАЛАСЬ КАРТИНКОЙ, НО ПРИ ОТКРЫТИИ ЗАПУСТИЛАСЬ ПРОГРАММА
Есть эксплойты, позволяющие внедрить в неисполняемые файлы определенный код, который выполнится при открытии их программой для просмотра этих файлов, будь то стандартный просмоторщик виндовс или даже винамп, благодаря присутствующим в них уязвимостях. Самый известный пример - WMF-эксплойт выполнялся просто при наведении курсора на файл когда проводник пытался считать метаданные из файла и вывести их во всплывающей подсказке. Естевственно майкрософт обозвала это критической уязвимостью и через день выпустила хотфикс. Найти такую радость можно на metasploit или milw0rm.
Можно сделать программе значёк jpg-файла, а при запуске копироваться куда-то, оставляя вместо себя настоящий рисунок. Невнимательный пользователь не заметит.

Шедевры типа Slammer'а (<400 байт, живёт только в оперативе, размножается тупо отсылая себя по случайному адресу в бесконечном цикле) пишутся редко, зато благодаря 'вирусной' простоте за считанные часы расползаются по миллионам машин. Настоящие черви, как правило, даже не требуют от пользователя никаких действий, сами запускаются и размножаются

[Air]

Цитата:

Сообщение от JTG

Настоящие черви, как правило, даже не требуют от пользователя никаких действий, сами запускаются и размножаются

Это уже интересно, но всё же мне кажется такой "настоящий" червь с лёгкостью засветится даже в NOD32.

[Rembo]

Извините, если я не по теме спрашиваю, и что припозднился Что такое этот WinFile? вы его еще в начале темы обсуждали... Просто однажды на старом компе появился этот файл, я его удалял, а он снова появлялся... это вирус что-ли? а потом даже на дискетах начал появляться, которые я вставлял в комп.

[Makarov]

WinFile - это вирус, распространившийся в начале прошлого года. Написан был на VB6. Копировал себя и называл именами существующих папок. А по поводу червя - разве рассылка файла по локалке не зависит от прав пользователя?

[Air]

Makarov .... если в св-ах папки, стоит "Использовать простой и общий доступ" - то скорее всего не зависимо от прав, т.к. их нет, а если по таблице прав доступа запрещено чтение этого файла, то и запуститься вирус не сможет, вирусу проще будет на комп напрямую попасть, через дискеты или лучше - флэш.
В Учёхе был такой вирус "TOY" звал себя на флэшке и копировал себя в sys32 под именем "shell32" (точно не помню, но найти не трудно в процессах светится как "кварцевая лампа") и вторую копию в "авторун" папка автозапуска и в добавок делал её скрытой-системной, - это та ещё зараза, пока не с копируется на флэш, ошибки сыплются и имя его в заголовке светится.

[JTG]

Цитата:

Сообщение от Air

Это уже интересно, но всё же мне кажется такой "настоящий" червь с лёгкостью засветится даже в NOD32.

Как раз наоборот. Пока антивирусу неизвестна сигнатура такого червя он его не обнаружит, эвристика и проактивная защита в этом случае не особо помогает, т.к. вредоносный код часто выполняется в контексте доверенного приложения (эксплойты ведь создаются под наиболее популярные программы) и даже может не сохранятся на диск, в лучшем случае будет засечена попытка внедрения, как повезёт. Пока он спалиццо - может пройти достаточно много времени.

Но чаще всего всё-таки попадаются зверьки, распостраняемые через шары, разные автораннеры.. Примитивно, но эффективно. И мыло, само-собой. Есть крутые P2P-черви, но для написания такого нужно хорошо знать протокол работы самой файлообменной системы.

--

Пища для размышлений - знаменитая комманда 29A-labs (создалети первого вируса под симбиан (caribe кажись), PocketPC (тот, который честно спрашивал "Можно мне размножаться Да/Нет" =) и все-все-все)
WARNING! Если что-то оттуда скачаете - не компильте, если не уверены в правильности своих действий. В исходниках местами попадается забавная "защита от дурака"

[zetrix]

В дополнении к JTG по поводу джоинеров. К картинке приаттачить что то не получится. Результатом джоинера будет ехе файл, с иконкой картинки, который при выполнении распаковывает реальную картинку и с помощью того же shellExecute запускает её просмотр. Конечно по мимо картинки распаковывается может ещё много чего. Причём если при упаковке было шифрование, то антивирь не опознает даже самые знакомые вирусы. Обнаружит он их только при запуске данного ехе-файла.

P.S: Закрытая группа нашего клуба прогаммистов, кстати, разработала джоинер.

[JTG]

Цитата:

P.S: Закрытая группа нашего клуба прогаммистов, кстати, разработала джоинер.

Агааа, так вот чем, на самом деле, в этой ветке занимаются )))

//ничего подобного, zetrix =)

[B_N]

По поводу "исполняемых" картинок. Была несколько лет назад крайне серьёзная дыра в GDI+, позволявшая выполнять "часть" картинки. Но это было уже давно...
http://www.microsoft.com/technet/sec.../MS04-028.mspx

[KORN]

я ловил трояна каторый был зашит в видео... т.е. качаешь ролик и пока ты его смотришь к те заливается троян. мало пользователей заподозрят что то неладное в видео ролике. распространять можно через спам или асю под предлогом: сматреть всем! собчак нажралась и избила участников дома-2.
думаю не один десяток человек захочет на это глянуть.