Хочу поделиться больной фантазией, которую мечтаю воплотить в реальность.

Вирус Имуннодефицита Компьютера, приводящий к синдрому приобретенного имуннодефицита.

Не так давно, шатаясь по инету, наткнулся на инфу про спид и так как меня с детства почему то привлекают всякие вирусы, то я решил узнать побольше инфы про него. Так вот из всего самого радостного, что я узнал, было то, что у ВиЧ нет деструктивных функций в человеческом организме, за исключением функции подавления имунитета. Т.е. сам по себе он не вызывает какую-либо болезнь, какие-нибудь высыпания на коже или еще где, от него не болит голова, не ухудшается зрение и т.д. Он просто подавляет T-лимфоциты, B-клетки и еще чего-то там, которые отвечают прежде всего за имунитет. Т.е. смерть от ВИЧ происходит в результате господства какой-либо инфекции, которую не может уничтожить защитная система организма, будучи ослабленная этим самым ВИЧ. Еще интересная особенность у этого вируса, то что его инкубация происходит в основном бессимптомно, поэтому на земле полно людей, которые не знают, что они ВИЧ+, они просто не идут к врачу провериться. Более того, ВИЧ уникален, потому что я не знаю других таких вирусов, поражавших бы исключительно защитную систему человека.

Все эти темы вызвали у меня в голове интересную ассоциацию с организмом компьютера. Оказывается, что вообще говоря имунная система комьютера очень похожа на человеческую. Против всяких микробов борятся с одной стороны антивирусы(такие как AVP), а с другой разработчики софта и ОС. Перые выпускают обновления с новыми штаммами вирусов и червей, вторые - обновления, которые латают дыры. Антивирусы похожи на имунную систему(ИС) больше, чем заплатки для Windows и т.д. Заплатки скорее похожи на бинты, перекрывающие путь инфекции в кровь, а антивирусы - непосредственно на T-лимфоциты, которые определяют новый вирус, вырабатывают антиген и впоследствии имеют стабильный имунный ответ на этот вирус. Правда современные антивирусы в основном базируются на том, что их создатели вылавливают вирусы, пишут на них лекарство и оно поступает к больному, тогда как в организме человека никто таких лекарств за ИС не пишет, она сама их вырабатывает. Небольшой шаг вперед - эвристика, но она тоже не способна сама определить новый штамм полностью и выработать противоядие самостоятельно.

И я задумался. Ведь почему сейчас всех вирей и червей быстро отлавливают и они быстро дохнут? Ответ очевиден. Они себя быстро показывают, выявляют, имеют чисто деструктивные функции, которые вызывают подозрения(и гнев) у пользователя. И хотя они причиняют значительный вред интернету, по сути они - очень слабые в алгоритмическом отношении программы. Единственное, благодаря чему они имеют эффект - это абсолютное безрассудство пользователей и возможность быстро клонировать новые версии червячков и пускать их по старым каналам во всемирную помойку.Естественно мне жалко видеть, что вирусы, которые почему то меня очень радуют, стали банальными червями, неспособными к настоящей борьбе за господство в интернете.

Меня посетила очень интересная(как мне кажется) мысля. Конечно вряд ли она новая, но я никогда не видел ее в таком обличии, в каком она представляется мне. Основываясь на всем вышесказанном, я пришел к выводу, что необходимо создать вирус, который действовал бы подобно ВИЧ, вызывая в компьютере СПИД. Т.е. надо создать вирус, который действовал бы исключительно на имунные системы компютера, вызывая таким образом его слабость и предоставляя другим различным микробам пожирать этот комп, пользуясь отсутствием противодействия. Никаких других деструкитвных моментов вирус не должен содержать, так как это может привести к его демаскировке. Причем тут вопрос не просто в том, чтобы скажем удалять на диске Apv.exe, а в том, чтобы подавлять активность антивируса да еще так, чтобы user этого понять не смог бы.

Самый используемый антивирус, который существует в России - AVP, самая используемая система - Winodws9x(пока еще). Значит, надо бороться именно против AVP, зная, что сидишь на Windows98(например). Каковы цели такой борьбы? Самое главное - убедить пользователя, что на компьютере все впорядке, что если что и происходит, то это не вирус, а скажем, плохая связь по сети, конфликт железа, софта и т.д. Другой очень важной целью является подавление всех обновлений от AVP, которые могли бы в том числе содержать инструкции по излечению нашего ВИЧа, а скорее ВИКа(Вирус Имуннодефицита Компьютера). Более того, необходимо сделать процесс нейтрализации обновлений совершенно незаметным для пользователя, чтобы он видел как происходит "обновление" баз, что все впорядке и у него самые свежие данные от "лучшего" антивируса в России. Таким образом мы в итоге придем к тому, что AVP не будет реально обновляться, а значит не будет ловить новых червей\вирей, будет находить старые вири\черви, но пользователь не будет об этом знать, а значит не будет производиться лечение и самое главное, user будет сидеть и думать, что у него нет никаких вирусов(ведь он регулярно все обновляет и AVP ничего не находит) и что все проблемы на его компе связаны с чем то другим.Но вирусы и черви все равно будут попадать на его компьютер, и не встречая противодействия, будут проявлять свой деструктивизм.Когда в итоге у него трафик станет непроходимым, и начнут вылезать бесконечные ie-окошки, он не будет склонен винить в этом вирусы, а будет думать, например, что у него ie сломался и что провайдер-сволочь опять сервер отключил. Если же еще подавлять windows update, ссылаясь на какую-нибудь ошибку или даже вследствие большого траффика, то компьютер совершенно лишится средств защиты от новых червей, дырок и т.д. Не стоит говорить, к каким последствиям это преведет. Т.е. исследование и создание нового вируса должно базироваться на двух основных пунктах. Оставим пока размножение и размещение в системе.

1.Борьба против AVP
2.Подавление windows update

Как же бороться с AVP, чтобы user не заметил ничего странного?
К сожалению я не специалист и конечно тут много путей. Путь, который меня заинтересовал, заключается в том, чтобы найти функцию, которая вызывает окошко с надписью о найденом вирусе, и подавить его, сымитировав ложный ответ в программу.
О чем идет речь? Например есть такой злой програм в AVP как AVPM - или монитор, который отслеживает запуск файлов и если видит вирус, то начинает злобно ругаться и предлагает пользователю дальнейшие действия. Очень важная штука, так как она подавляет резидентную активность вируса, поэтому с ней нужно бороться в первую очередь. Там внутри нее есть такие примерно такие вот кусочки:

...
push edx
push edi
push ecx
push ebx
call ds:MessageBoxA
cmp eax,6
jnz 00411782
call sub_0041384BE
...

Там конечно не все так, но структура именно такая.
В данном случае вызывается MessageBoxA с какими-то параметрами, затем ответ от нее сравнивается с шестеркой и на этом основании делается вывод, какой дальше выполнять код. Очевидной проблемой тут является поиск такого места в программе, откуда вызывается этот MessageBoxA, причем нас интересует именно то смещение, в котором происходит вызов функции при возникновении окошка о запросе на лечение вируса. Идея у меня такая: после того, как я найду то место, откуда происходит вызов нужно й MessageBoxA то я просто уберу все push'ы и вместо call ds:MessageBoxA поставлю mov eax, 10(например), т.е. в eax помещу заведомо ложное число, которое приведет к тому, что AVPM как бы поймет, что user ответил на предложенный ему вариант не ОК, а ОТМЕНА. А так как самого вызова MessageBoxA не будет, то user просто не увидит этого окошка, а программа будет думать, что user ответил ОТМЕНА. Вот так они - avpm and user - будут жить в счастливом диалоговом симбиозе =) А меж тем ссылка на смещение, где произодится непосредственное лечение вируса просто не будет выполняться из-за заведомо ложного значения в eax. Тут действует предположение, что если eax=6, то значит user ответил ОК. Конечно данная вещь будет работать только в том случае, если в установках AVPM настроено СПРОСИТЬ ПОЛЬЗОВАТЕЛЯ В СЛУЧАЕ ОБНАРУЖЕНИЯ ВИРУСА. Если же настроено ЛЕЧИТЬ БЕЗ ЗАПРОСА, то это уже другой момент, который также надо исследовать. Другое дело можно напакостить с функциями ReadFile и WriteFile, они достаточно часто вызываются из монитора, и если там тоже запретить вызов и поместить ложное число в регистр, что "мол, вылечено", то юзер ничего не узнает о результатах "лечения" а Каспер будет думать, что он все вылечил, тоже радостный аналогичный симбиоз =) А вирусы и черви будут плясать между этими двумя глупостями и чувствовать себя не как на войне, а как на дорогом курорте с белым песочком. Если честно, то эта процедура напоминает зашивание рта Касперскому(Жене), он вроде бы видит вирус, но не только не может вылечить его, а даже пользователю не может об этом сказать. Тут правда масса проблем. Например отловить вызовы в нужных местах. Такому неопытному юзеру, как мне, это сделать не так то просто. Например IDA пишет о том, что функция CreateWindowExA() в avpm.exe вызывается по трем адресам, а именно:
00410BCE
00411783
004251BE
Тогда как SoftIce при отладке ловит еще и 004106B7 и 00431E93 и это еще не все. Потом когда смотришь, что же по этим двум адресам происходит, видишь такое call sub_004xxxxx и по этому смещению происходят какие то действия. Главная задача - определить за какие моменты в программе отвечают конкретные вызовы функции CreateWindowExA. Когда вот так вот неявно задан вызов функции, то нельзя просто так его взять и отменить, так как это может привести к отключению целого участка кода в программе и приведет к ее краху. Потом функция одна и та же вызывается иногда по нескольку раз, при том что визуальное действие всего одно. Узнать какой из этих раз отвечает непосредственно за вызов окна - тоже проблема интересная. Плюс еще после вызова некоторых функций стоит следующей строчкой debugbreak, что осложняет отладку. Следующий момент - тут достаточно большой объем работы и ее направление. Например я себе выписал около 40 экспортируемых функций, которые мне показались интересными. Среди них: CreateWindowExA, TerminateProcess,ReadFile, WriteFile, MessageBoxA,TrackPopupMenu,GetWindow,GetMessageA,EnableWindow,DestroyM enu,ShowWindow,PeekMessageA,DebugBreak,EndDialog и т.д. Каждая из этих функций имеет несколько вызовов из AVPM и есть смысл анализировать некоторые из них, чтобы в результате скрыто нарушить функциональность антивируса. И это только монитор, а еще существует сканнер, система обновлений, инспектор и они тоже нуждаются в исследовании, иначе какой-нибудь из них, может и подловить наш злостный вирус. Потом все эти программы пишут отчеты, которые user может видеть и в них тоже не должно быть ничего подозрительного. В общем работы здесь целый непочатый край, однако в данном случае игра может стоить свеч.

Дело не в том, что мы пишем сверхперешифрованный с архисложным алгоритмом вирус. В итоге вся его вкусная часть будет состоять из простого редактирования файлов AVP, которая приведет к нарушению их функций. Может быть при первом запуске вируса в системе придется выгрузить эти антивирусные программы из памяти, это конечно палево, но настолько маленькое, что одноразовое странное выгружение AVP юзер вряд ли сочтет за ужас, при том, что после перезагрузки все будет работать как обычно и AVP не будет выгружаться. Огромная ценность такого вируса будет в том, что юзеру его невозможно будет вышвырнуть из системы, пока не поставишь другой антивирус. А так как, редко кто заходит на сайт Жени Касперского, то они не увидят там жирных красных букв: НЕ ВЕРЬТЕ ТОМУ, ЧТО ПЛЕТЕТ ВАМ ВАШ AVP =))) Конечно этот вирь будет отловлен, так как деструктивизм на компе будет проявляться из-за других вирей и это вызовет подозрение у юзера, но вот донести до пользователей лечение от него будет ой как сложно. Это будет невозможно до тех пор, пока человек за компьютером сам не заинтересуется проблемой. А так как у нас в стране на одном компе зачастую сидит по 4-5 червей, 2 трояна и 3 виря одновременно, AVP орет каждые 30 секунд и всем на это наплевать, то не приходится задумываться о том, что эта юзерская часть населения полезет на сайт искать решения проблемы. Интересно, кого они будут обвинять, когда упадут базы данных, которые конечно никто не подумал скопировать на CD? Еще будет интересно, ведь распространение получат и старые вири, которые будут забираться и портить платформы, на которых они не были научены действовать. У меня в голове картина, как будут падать одна за одной локалки от огромного трафика, затем упадет ROL, подохнут модемы и будет прервана связь....кругом черви и вирусы, которые будут заползать в открытые старые и новые дырки и кусать своих хозяев, плодиться и размножаться, пока наконец не отключат всю российскую часть интернета, так как она начнет перегружать мировой траффик. Да, это покажет насколько быстро интернет приближается к природным условиям, в которых в будущем будет борьба вирусов по сети за выживание и господство.Конечно антивирям типа Касперского нужно думать об изменении концепции борьбы. Тупой отлов штаммов устаревает, все идет к тому, что сами писатели антивирусов поймут, что для борьбы с новыми высокоинтеллектуальными вирусами нужны такие же вирусы, которые будут искать своих собратьев по инету и уничтожать, не причиняя вреда компьютеру. Эта технология стала потихоньку пробираться в инет, правда пока не с той стороны. Есть черви, которые при попадании на комп находят своих предков и долбят их.

В заключении скажу, что я буду пытаться исследовать AVP чтобы выявить то, о чем я выше говорил и использовать это в своих сугубо некоммерческих целях. К сожалению мои знания на этом этапе очень скудные, но мне кажется, что если есть интерес, то все можно сделать. Хочу попросить о помощи всех людей, которые могут что-либо подсказать или посоветовать.

1. обесвредить АВП дело не хитрое.
2. вирь очень быстро попадёт а лапы Касперу и компании и после этого естественно размножаться не сможет.
3. рано или поздно те, к кому он успеет попасть переставят винду.
в итоге - облом и ни о каком ВИКе и речи быть не может.
4. имхо БРЕД

ИМХО бред ...
Во всем этом опусе нет ни одной свежей идеи.

А опус про ВИЧ не более чем кусочек беллитристики ...

Для справки почти все файлы AVP в конце имеют электронную подпись !
А посему просто так его не изменить !


Для файла
avpcc.exe

подпись такая

; 0XLSznpdI71fB300e7Uwj1Y4FT+zbnO48j5jsv5fgpsBbP+84oscjhyySNнн

А опус про ВИЧ не более чем кусочек беллитристики ...

Да нет. В принципе, все более или менее правильно. Я, правда, просто забыл, ВИЧ трогает или B-лимфоциты, или T-лимфоциты, или и то, и другое... Давно уже не смотрел литературу...
Но вот переносить сие в мир компьютеров - неа.

to corpse:
----------
1. Обезвредить AVP дело нехитрое, а обезвредить его так, чтобы user не догадался тоже нехитрое?
2. Конечно он попадет к Касперу, только как Каспер сумеет предотвратить его размножение, если его базы не будут обновляться на зараженных машинах?
Так как он сам по себе не будет ничего портить и будет всячески стараться не мешать своей деятельностью user'у, то обнаружить его будет труднее, поэтому его размножение будет эффективным и к Касперу он попадет гораздо позднее, чем успеет заразить большое количество компов.
3. Любой вирус можно убить если загрузиться с CD и дать команду format c:. С этим пока еще ни один вирус не научился бороться. А что про переустановку виндов - так вирь будет заражать необязательно только системные файлы винды. Приложения разные - хорошая цель.
4. Твой Имхо - Бред =)

to asmlamo:
-----------
Наверное придется искать процедуру, которая проверяет электронную подпись и подавлять ее тоже. Вообще в AVP должна быть проверка целостности - это действительно проблема серьезная.

to volodya:
-----------
Как я помню ВИЧ поражает Т-лимфоциты, еще их называют СД-4 лимфоцитами. Еще вроде бы B-клетки являются его мишенью, а также лимфоузлы, нервные клетки и слизистые оболочки. Но основная цель именно лимфоциты, также как и у крутого вируса основная цель должна быть - антивирусы.

С этим пока еще ни один вирус не научился бороться

Отнють есть MBR-Stoned

Fantik

Вот ещё одна мечта идиота:
вирус, паразитирующий на вирусах. ;)

Взять готовый антивирусный движок от антивируса, установленного на машине пользователя и просканировать файлы. Для большей производительности сканировать только наиболее новые файлы, которые появились недавно (например, только что скачаны из интернета), и которые пользователь возможно ещё не просканировал собственноручно. И если там обнаружатся известные вирусы, то не уничтожать их, а прицепиться к ним и запустить. ;) Эти вирусы выполнят акт размножения и вместе с собой перенесут и наш вирус. ;) Оказавшись на новом месте наш вирус проделывает то же самое, возможно, обнаруживает другие вирусы, цепляется к ним и т. д...

Современное программное обеспечение постоянно изменяется, на найденные ошибки выпускаются патчи, и т. д. Поэтому вирусы, использующие ограниченное количество конкретных уязвимостей довольно быстро сходят со сцены. Однако наш крутой вирус, паразитирующий на других вирусах, всегда будет иметь возможность пользоваться самыми последними антивирусными базами, и за счёт этого в его руках всегда будут самые современные техники проникновения в вычислительные системы, реализованные в других вирусах. Он соберёт их все воедино и будет жить вечно... ;)

Вич бьёт по Т-лимфоцитам, в результате чего обыкновенные остаются без командного пункта. Идея кстати не нова, лет пять назад мы с другом достаточно сильно увлеклись данным вопросом и даже кое что родили, но...увы, мы оказались далеко не гениями.

Удалось подавить сообщение о повреждении целостности в APVM. Оказалось слишком просто, что даже не верится.