Самораспространяющиеся файлы под Linux

saparmurat

Xakep, номер #052, стр. 052-078-1

Определений вирусу дано много, в одном случае это "живой самораспространяющийся механизм", в другом - чуть ли не искусственный интеллект, а в третьем вообще стихийное бедствие. В общем, кому что нравится. Но как его ни назови, это просто ПРОГРАММА, обладающая теми или иными возможностями, и основной ее задачей является внедрение собственного кода в тело другой программы-жертвы с целью "выживания" (реже - деструкции).

Прежде чем продолжить, хочу предупредить, что все нижесказанное публикуется лишь в образовательных целях и ни в коем случае не является агитацией или пособием по написанию вирусов. Помни, создание и распространение вирусов уголовно наказуемо! Читай УК РФ!

Цели

Для чего вообще пишутся вирусы? Цель у каждого своя, но вот четыре самых распространенных:

1. Показать окружающим наличие классных знаний.

2. Для собственного самообразования. Вирусные технологии - очень интересная область в плане теории/реализации.

3. Нанести какой-то ущерб, создать эпидемию (более актуально для стареньких вирусов, ныне эпидемии создают черви).

4. Проверить, насколько живуч вирус - обычный интерес.

К сожалению, создавая вирусы, большинство людей преследуют дурные цели. Ведь разрушать - не строить... Читать же о том, как создать небольшой вирус под Win/Dos мало кому интересно, ибо различных документов навалом, а вот про Unix (в частности Linux) практически ничего не сказано.

Теория

В этом материале будет представлен пример "живого самораспространяющего механизма" под Linux, и за основной язык программирования взят C. Знаний С потребуется совсем немного, а вдобавок будет показан пример работы с ELF-заголовком. Для этого используется elf.h хедер. В нем определены различные структуры для работы с ELF-файлами, но реально будет использована только одна - Elf32_Ehdr. Ее объявление происходит так: Elf32_Ehdr ehdr;

Вот несколько элементов этой структуры:

ehdr.e_version - версия ELF-файла (чаще всего 1 - current)

ehdr.e_entry - точка входа

ehdr.e_type - тип ELF-файла: исполняемый, объектный файл, корка или другой

Рассматривать все элементы нет необходимости, поэтому будет приведена лишь пара примеров. Если интересно узнать об этом побольше, читай документацию по ELF и изучай /usr/include/elf.h.

Существует довольно много методов заражения (техник), например UEP (Unknow Entry Point - неизвестная точка входа). Тело инфектора случайным образом помещается в программу. При определенных доработках этой техники излечение файла становится практически невозможным. Существуют, конечно, и другие методы, но почти все они очень сложны в реализации.

Итак, пример "живого самораспространяющего механизма" использует следующую технику:

1. Нахождение жертвы.

2. Ее заражение. Оно происходит путем добавления кода в начало тела жертвы.

3. Отделение тела инфектора от тела программы-носителя, создание промежуточного файла, вписывание в него тела программы и запуск. Техника крайне проста, но действенна и наиболее понятна для непосвященных.

Такой программе необходимо знать, является ли найденная жертва зараженной. Для этого выбран один из элементов ELF-заголовка, а именно e_version. При заражении файла его значение изменяется на 2. На работоспособность программы такие вещи никак не повлияют, а для инфектора это будет вполне определенным знаком.