No - nevim... Namatkou par starych DOS viru, pouzivajicich tehdy pokrocile technologie, na ktere si vzpominam a ktere (alespon u nas) doznaly nemaleho rozsireni :
OneHalf
Tremor
Pojer40??
...
...
Pokud vim - takovy OneHalf zpusobil problemu dost a dost (mozna se jeste najdou PC, kterym prave ted koduje disk)
Mám silný pocit (nepodložený statistickým průzkumem), že ve vývoji DOSových virů se sice objevily různé stealth techniky a další vychytávky, ale to byla jen taková hračka pro pár nadšenců na obou stranách. Ve skutečnosti pokud došlo k nějakým větším epidemiím, případně škodám, měl to většinou na svědomí nějaký triviální boot-virus jako Michaelangelo nebo Stone. Tedy virus, proti kterému stačí nenabootovat z nakažené diskety.
Já přeci nechci skanovat viry samotné. Ty mohou být polymorfní jak chtějí. Já chci skanovat (a nepustit) jen tu sekvenci, kterou červ používá, když se snaží vyvolat přetečení bufferu. Ta sekvence začíná takto:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNN....
Nemyslím si, že by šlo o dočasnou převahu. V případě CodeRed a jeho variací by to naprosto mělo stačit. I v případě budoucích internetovských virů, které těží z dalších objevených bezpečnostních děr by to mělo být dostačující. Domnívám se, že určitá sekvence bajtů, která inicializuje nabourání do systému, musí být vždy stejná.
To vam asi moc nepomuze. Zname to ze sceny klasickych DOS viru - jak bylo zareagovano na scannery ? Nejdriv tim, ze se viry jednoduse a primitivne kodovaly - scannery zareagovaly tim, ze tato primitivni kodovani umely obejit... Viry zareagovaly slozitejsim kodovanim...scannery dokonalejsim scanovanim, viry ............ No a nakonec viry zareagovaly _temer_skutecnym_polymorfismem_ - scannery na to pak sly heuristickou analyzou :-)), viry si zacaly trasovat instrukce - zda tam nekde v retezci presmerovani interruptu neni pro ne nebezpecny kod :-)) a vrcholem snad bylo, kdyz viry byly schopny na nekterych procesorech rozpoznat, zda nahodou neni v jejich kodu provadena heuristicka analyza - tedy vlastne trasovani :-)) - pomoci vyuziti "prednacitani instrukci" v realnem procesoru, ktere pochopitelne v heuristickem analyzatoru ci debuggeru nebylo (vcelku jednoduchy trik) ....
No proste - scannovat pakety - to dlouho nevydrzi - Cervi se stanou polymorfnimi... Jedinou cestou jsou bezpecne OS. Coz nektere, nejmenovane, opravdu nejsou :) - viz. Code Red a jeho hostitele...
...ale nebylo by jednodušší instalovat do hlavních uzlových bodů Internetů na vybrané routing servery filtry, který by prostě nepustily IP balíček s virem dále? Konkrétně v případě CodeRed i CodeRedII je přeci sekvence bajtů, kterými se červ snaží vyvolat přetečení bufferu, vždy stejná a lehce zjistitelná. Tím by se přeci zcela zastavilo šíření a je to mnohem jednodušší i méně intruzivní, než zmíněné "hodné viry".
Odposlouchavací a šmírovací rutiny umístěné u velkých providerů se stávají denní praxi, viz např. systém Carnivore, co brání příslušným autoritám, aby využili stejný princip pro dobrou věc? Leda snad to, že někomu možná šíření viru (a následný strach veřejnosti) vyhovuje.
ČLÁNKY DO MAILU