RDA. Figher

Помнится году в 1997 было семейство вирусов RDA.Fighter, написан он был студентами МГУ и отличался великолепным полиморфным движком. Может у кого исходник есть или зараженный exe? Буду очень благодарен.

А тебя что конкретно интересует - механизм полиморфии или сам трипак?

Если механизм - то могу пару слов рассказать (в общем).

В принципе, существовало два базовых алгоритма (как наиболее распространенные) - безсигнатурные и с дырявой сигнатурой. Суть была вот в чем.
Тело вируса было покриптовано, каждый раз с разным ключем. В начале вируса находился декриптор, который и являлся полиморфной частью. В его задачу входило расшифровать тело вируса, а также обломать отладчики и эвристические анализаторы. Это была эпоха соревнования между производителями антивирусов с эвистическими анализаторами и вирмейкеров, которые искали новые пути уйти от эвристика.

При заражении файла тело вируса шифровалось и куда-нибудь записывалось в файл (это уже механизм заражения). Декодер оставался нешифрованным, но с целью избежать наличия сигнатуры либо разбавлялся командами и конструкциями, которые в принципе ничего не делали, но создавали труднопонимаемый код (дырявая сигнатура), либо помимо разбавления, его аглоритм случайным образом создавался из некой базы декрипторов, то бишь делалась та же самая расшифровка, но с использованием различных последовательностей команд. Это тяжело было детектить, но эвристик на то и эвристик чтобы среди шума выявлять разумное зерно.
По такому принципу работало большинство полиморфных вирусов. Случались, конечно и перлы типа полиморфика на паскале, который себя каждый раз компилял, а полиморфности достигал за счет модификации своего текста.

Так что вот. Но я уже многое позабыл, а много чего и не знал никогда, т.к. в основном не этим занимался.

Да я про вирус этот у меня довольно много инорфмации только вот исходника нет. А ОЧЕНЬ ОХОТА!

Я всем постоянно пишу одно и тоже, что вирусы - это не есть хорошо! Мой опыт подсказывает, что начинается все с благих намерений...
Без лишней скромности заявляю, что у меня третья вирусная коллекция в России
Я вирусы не рассылаю, но если найду исходник, то пожалуйста

Да, кто бы спорил. Однако исследование изящных вирусов очень напрягает мозг и доставляет удовольствие.

Кстати, если у тебя такая большая коллекция, то я тебя наверное должен знать... Ну да ладно.

Цитата murph, 22.02.02, 00:15:34

Да, кто бы спорил. Однако исследование изящных вирусов очень напрягает мозг и доставляет удовольствие.

Кстати, если у тебя такая большая коллекция, то я тебя наверное должен знать... Ну да ладно.

Полностью поддерживаю.
to rivitna: если несложно вышли исходник RDA, пожалуйста.

Цитата rivitna, 21.02.02, 23:09:20

Без лишней скромности заявляю, что у меня третья вирусная коллекция в России

Из чистого интереса: а у кого тогда первая и вторая? У Касперского и Данилова?

Канешна! У Касперского и Данилова!

К слову, а есть у кого нито исходник (или хотя бы дрозофила) виндового вируса (любого), который комбинирует себя с VMM32.VXD ? Знаю что такие есть, очень хочется посмотреть на него (самому лень писать/разбираться)