 | ||||||
|
 |
 |
 |
|
NEU: Der Umzug zu ScareWare.de, zum Beispiel die Links zu Antiviren-Tools (Frei €) und die Online-Virenscanner im Web. |
|
|
 |
 · infektionen · virus-aufbau · tarnung · viren-links · viren-lexika            |
|
Tarnung(Outtake)Einige Viren verändern ihre Gestalt, nehmen also ständig eine andere Form an. Deswegen heißen sie "polymorphe" Viren (von poly=viel, und morph=form). Sie bedienen sich hierzu verschiedener Methoden, die im Buch genauer erläutert sind... z.B.: Scripte, die sich unkenntlich machenDie webnahe Programmiersprache Perl eignet sich prima, um die Stealth-Technik Polymorphie bei Quelltextviren zu veranschaulichen. Wie bei der Programmiersprache C gibt es nämlich auch bei Perl Wettbewerbe in sogenanntem "Obfuscated Code". Dabei sind die Coder bemüht, Programme so umzuschreiben, dass sie überhaupt nicht mehr als solche zu erkennen sind, aber dennoch einwandfrei funktionieren. Das folgende Programm (ja, wirklich, es ist ein Programm!) hat mir der grossartige Perl-Entwickler Jörn Reder sub i($){print$_[0]}*j=*ENV;sub w($){sleep$_[0]}sub _($){i"$p$c > ",w1,$_=$_[0],tr;i-za-h,;a-hi-z;,i$_,w,i"\n"}$|=1;$f='HO';($c=$j{ PWD}) =~ s/$j {$f." ME"} /~/;$p"$j{USER}\@$j{HOSTNAME}:";_"kl",$c ='~',_"zu,"."-zn,*",_"#,epg,lw,gwc,mfmkcbm, cvsvwev,uiqt,kwvbmvb?",i"$p$c > ";w 99 Eine perfekte Tarnung. Dieses (harmlose!) Programm simuliert die Eingabe einiger fataler Shell-Befehle, die allerdings nicht durchgeführt werden, und gibt den folgenden Hinweis aus: why do you execute unknown mail content?
Bei Makroviren und Scriptviren findet derzeit das gleiche Spiel statt...
|
|
Anzeige Alles über Tricks, mit denen Viren sich tarnen und verstecken finden Sie in diesem (von mir geschriebenen :-) Buch:
|
Text/Design viren-wuermer-trojaner.de + scareware.de |
||||||
Wie man sich leicht vorstellen kann, müssen Antivirenscanner, die in obigem Perl-Programm den potentiell destruktiven Code finden wollen, sich ziemlich anstrengen!
