Компьютерный вирус — супервизор защищенного режима?
Персональные компьютеры год от года становятся все сложнее и сложнее, используя все более высокие аппаратные и программные технологии. Компьютерные вирусы также пытаются приспособиться к новым условиям обитания.
Так, вирусы научились заражать загрузочные секторы дисков, файлы для операционных систем DOS, Windows, Windows 95, OS/2, Linux и даже документы для Word, Excel и MS-Office 97.
Для сокрытия своего присутствия в системе они стали невидимками, или стелс-вирусами. Научились быть полиморфными, чтобы их детектирование стало еще более трудной задачей для разработчиков антивирусных средств. С появлением процессоров i386 вирусы начали использовать 32-разрядные инструкции.
Одним словом, вирусы хотят выжить и победить. Для этого они используют все предоставляющиеся им возможности, как программные, так и аппаратные. Но с появлением i286, а затем и 32-разрядного i386 стал возможен защищенный (виртуальный) режим работы процессора, который до настоящего момента вирусам никак не удавалось "приручить" и привлечь его к себе на помощь. Вернее, они пытались его освоить, но все эти попытки были как "проба пера" и реальной выгоды им не принесли.
Загрузочный вирус PMBS, первым пытавшийся освоить защищенный режим (1994 г.), не смог ужиться ни с одной программой или драйвером, которые также работали в защищенном режиме. Вирусы Evolution.2761 и Evolution.2770 (тоже 1994 г.) использовали только часть мощного защищенного режима и то только тогда, когда процессор находился в реальном режиме работы. Данные вирусы подменяли истинную таблицу векторов прерываний на собственную.
Но как вирусы Evolution могли этим воспользоваться в повседневной жизни? Покажите мне хоть одного пользователя PC, который сегодня работает в реальном режиме на процессорах i386 - Pentium, то есть в чистом режиме DOS и без расширенной памяти...
Так много лет уже прошло с момента появления процессора i386 (не будем даже вспоминать, что до него был i286), а вирусы до настоящего момента не смогли покорить его самый мощный защищенный режим. Я думаю, вирусописатели только и мечтали об этом. Но, видимо, основной их массе такая задача явно не по плечу из-за отсутствия знаний и квалификации.
И вот все-таки такой автор-вирусописатель нашелся. В России в "диком" виде обнаружен файловый вирус PM.Wanderer, использующий защищенный режим. Причем он более или менее корректно и стабильно взаимодействует с другими программами и драйверами, также использующими защищенный режим.
PM.Wanderer является резидентным полиморфным вирусом, использующим защищенный (виртуальный) режим процессоров i386 - Pentium. Для установки своей резидентной копии в память и переключения в защищенный режим процессора (Protected Mode) используется документированный интерфейс VCPI (Virtual Control Program Interface) драйвера расширенной памяти EMS (EMM386).
При старте инфицированной программы вирусный полиморфный декриптор расшифровывает основное тело вируса и передает ему управление. Далее основной вирусный код выделяет участок памяти в верхних адресах, копирует в него собственный код и передает ему управление.
Затем он восстанавливает код инфицированного файла в программном сегменте (для EXE-файлов также производит настройку адресов перемещаемых элементов) и приступает к непосредственному внедрению в память своей резидентной копии.
Первым делом вирус пытается выяснить, установлен ли в системе драйвер EMS. Если драйвер EMS не установлен или вирусная резидентная копия уже находится в памяти, а также при отсутствии интерфейса VCPI вирус освобождает ранее выделенную память и отдает управление программе-вирусоносителю, заканчивая тем самым свою "жизнедеятельность" в системе.
Если же условия "среды обитания" благоприятствуют, то вирус выполняет ряд подготовительных операций для выделения памяти под свое тело и производит переключение процессора в защищенный режим работы с наивысшим уровнем привилегий - супервизора.
В защищенном режиме вирус устанавливает две аппаратные контрольные точки на адреса входа в обработчик прерывания Int 21h (функции DOS) и перехода на процедуру перезагрузки компьютера. Кроме того, он корректирует дескрипторную таблицу прерываний таким образом, чтобы на Int 1 (особый случай отладки) и Int 9 (клавиатура) установить собственные дескрипторы обработчиков данных прерываний.
После этих приготовлений вирус копирует свой код в страницу памяти, полученную им еще до входа в защищенный режим, и производит переключение процессора обратно в виртуальный режим работы на процедуру освобождения ранее выделенной памяти DOS в верхних адресах и возвращения управления инфицированной программе.
С этого момента инфицированная программа начинает свою "полезную" работу и в защищенном режиме оказываются установленными вирусные обработчики: ловушки на прерывания Int 1 и на Int 9 (от клавиатуры). С их помощью вирус контролирует, во-первых, все вызовы функций DOS, а во-вторых, все нажатия клавиш на клавиатуре и, в-третьих, попытки мягкой перезагрузки компьютера.
В свою очередь, такой контроль обеспечивает ему возможность как надежно реагировать на ряд интересующих его событий при работе программы, так и постоянно проверять состояние своих двух контрольных точек и при необходимости восстанавливать их.
В частности, если вирус обнаруживает, что вызов исходит от его "собрата", он просто возвращает некоторое условное значение, играющее роль отзыва "я - свой". Таким образом вирус, пытавшийся выяснить наличие своей копии в памяти, будет информирован о том, что память уже инфицирована.
Если вирус обнаруживает попытку получения адреса прерывания Int 6 (обычно такой вызов присутствует во всех программах, написанных на языках высокого уровня, например C, Pascal), то пытается найти в адресном пространстве некоторую последовательность байт, очевидно, принадлежащих программе ADinf, но какой-то старой версии (по информации от разработчика ADinf Дмитрия Мостового, в версиях ADinf за последний год такая последовательность не содержится). Если данная последовательность будет вирусом найдена, он модифицирует найденный код так, чтобы управление не попадало на вызов межсегментной процедуры, которая демонстрирует пользователю изменения, найденные на диске или в файлах.
Когда же вирус обнаруживает запрос на запуск программы или открытие файла (только на чтение), то считает, что наступило "время большой охоты". Он копирует свой код в старшие адреса виртуального процесса DOS-машины, переключает процессор в виртуальный режим и отдает управление своему коду (процедуре заражения).
В виртуальном режиме вирус проверяет последние две буквы расширения имени файла (OM или XE) и создает свою полиморфную копию, заражая файлы размером более 4,095 байт. Он не заражает файлы, содержащие в поле времени создания значение 34 секунды, считая, что такие файлы уже инфицированы. Коррекцию атрибутов файлов вирус не производит, поэтому все файлы, помеченные как ReadOnly, заражены не будут.
Также не заражает программу, имя которой состоит из 7 букв. Мне не удалось выяснить имя данной программы, так как вирус не явно определяет ее имя, а подсчитывает CRC. Он не берет на себя обработку критических ошибок, поэтому при попытке записи в процессе заражения на защищенный диск появится стандартный вопрос DOS (... Retry, Ignore, Fail, Abort).
При заражении файлов вирус использует прямой вызов ядра обработчика DOS Int 21h. Адрес этого ядра он выяснил при трассировке Int 21h во время своей установки в память. Вирус внедряет свой код в начало COM- или в середину EXE-файлов (сразу же за заголовком), запоминая оригинальный программный код в конце файлов.
"Реальный рабочий код" вируса составляет 3,684 байта, но на практике инфицированные файлы получают приращение длины более 3,940 байт. Вирус в своем теле содержит текст "WANDERER, (c) P.Demenuk".
Обнаружить резидентную копию данного вируса, находящегося в нулевом кольце защищенного режима процессора, обычными способами невозможно. Для обнаружения его в памяти необходимо переключаться в защищенный режим с наивысшими привилегиями и производить поиск. Но попытаться обнаружить признаки вируса в системе можно и обычными способами.
После обнаружения вируса рекомендуется, как и всегда в таких случаях, перезагрузиться с системной дискеты и выполнять лечение в заведомо стерильных условиях. Правда, он не является стелс-вирусом, и лечение допустимо даже при активном вирусе.
Теперь немного о результатах тестирования. При заражении нескольких тысяч файлов вирус проявил себя как "жилец" - все зараженные файлы оказались работоспособными.
Здесь надо только сделать поправку - файлы могут оказаться неработоспособными в том случае, если их стек после заражения окажется в области вирусного кода. PM.Wanderer при заражении файлов не корректирует значения стартовых регистров SS:SP в EXE-заголовке.
Как уже отмечалось выше, вирус сохраняет способность к воспроизводству только в том случае, если в системе установлен драйвер EMS (EMM386). При установленном драйвере EMM386 с ключом NOEMS он перезагружает компьютер. Компьютер также может перезагрузиться, если в системе используется драйвер QEMM386.
Самое интересное в том, что если в системе находился резидентный вирус, а потом произошла загрузка Windows 3.1x или Windows 95, то он не сможет размножаться в данных операционных средах, но при выходе в DOS опять получает управление и может "трудиться не покладая рук".
Если же вирус будет запущен в DOS-сессии операционной системы Windows, то из-за отсутствия интерфейса VCPI не сможет переключиться в защищенный режим. Под OS/2 он нежизнеспособен также из-за отсутствия VCPI.
В заключение стоит отметить, что это первый известный вирус (причем российского происхождения), использующий защищенный (виртуальный) режим работы процессора и не конфликтующий с операционными системами "от Microsoft", работающими также в защищенном режиме.
Возможно, что в недалеком будущем компьютерный вирус сможет полностью заменить своим кодом программу-супервизор и сам будет поддерживать интерфейсы DPMI, EMS/VCPI, XMS, Int 15h. Кто знает?
Игорь Данилов, АО "ДиалогНаука", автор Doctor Web
Так, вирусы научились заражать загрузочные секторы дисков, файлы для операционных систем DOS, Windows, Windows 95, OS/2, Linux и даже документы для Word, Excel и MS-Office 97.
Для сокрытия своего присутствия в системе они стали невидимками, или стелс-вирусами. Научились быть полиморфными, чтобы их детектирование стало еще более трудной задачей для разработчиков антивирусных средств. С появлением процессоров i386 вирусы начали использовать 32-разрядные инструкции.
Одним словом, вирусы хотят выжить и победить. Для этого они используют все предоставляющиеся им возможности, как программные, так и аппаратные. Но с появлением i286, а затем и 32-разрядного i386 стал возможен защищенный (виртуальный) режим работы процессора, который до настоящего момента вирусам никак не удавалось "приручить" и привлечь его к себе на помощь. Вернее, они пытались его освоить, но все эти попытки были как "проба пера" и реальной выгоды им не принесли.
Загрузочный вирус PMBS, первым пытавшийся освоить защищенный режим (1994 г.), не смог ужиться ни с одной программой или драйвером, которые также работали в защищенном режиме. Вирусы Evolution.2761 и Evolution.2770 (тоже 1994 г.) использовали только часть мощного защищенного режима и то только тогда, когда процессор находился в реальном режиме работы. Данные вирусы подменяли истинную таблицу векторов прерываний на собственную.
Но как вирусы Evolution могли этим воспользоваться в повседневной жизни? Покажите мне хоть одного пользователя PC, который сегодня работает в реальном режиме на процессорах i386 - Pentium, то есть в чистом режиме DOS и без расширенной памяти...
Так много лет уже прошло с момента появления процессора i386 (не будем даже вспоминать, что до него был i286), а вирусы до настоящего момента не смогли покорить его самый мощный защищенный режим. Я думаю, вирусописатели только и мечтали об этом. Но, видимо, основной их массе такая задача явно не по плечу из-за отсутствия знаний и квалификации.
И вот все-таки такой автор-вирусописатель нашелся. В России в "диком" виде обнаружен файловый вирус PM.Wanderer, использующий защищенный режим. Причем он более или менее корректно и стабильно взаимодействует с другими программами и драйверами, также использующими защищенный режим.
PM.Wanderer является резидентным полиморфным вирусом, использующим защищенный (виртуальный) режим процессоров i386 - Pentium. Для установки своей резидентной копии в память и переключения в защищенный режим процессора (Protected Mode) используется документированный интерфейс VCPI (Virtual Control Program Interface) драйвера расширенной памяти EMS (EMM386).
При старте инфицированной программы вирусный полиморфный декриптор расшифровывает основное тело вируса и передает ему управление. Далее основной вирусный код выделяет участок памяти в верхних адресах, копирует в него собственный код и передает ему управление.
Затем он восстанавливает код инфицированного файла в программном сегменте (для EXE-файлов также производит настройку адресов перемещаемых элементов) и приступает к непосредственному внедрению в память своей резидентной копии.
Первым делом вирус пытается выяснить, установлен ли в системе драйвер EMS. Если драйвер EMS не установлен или вирусная резидентная копия уже находится в памяти, а также при отсутствии интерфейса VCPI вирус освобождает ранее выделенную память и отдает управление программе-вирусоносителю, заканчивая тем самым свою "жизнедеятельность" в системе.
Если же условия "среды обитания" благоприятствуют, то вирус выполняет ряд подготовительных операций для выделения памяти под свое тело и производит переключение процессора в защищенный режим работы с наивысшим уровнем привилегий - супервизора.
В защищенном режиме вирус устанавливает две аппаратные контрольные точки на адреса входа в обработчик прерывания Int 21h (функции DOS) и перехода на процедуру перезагрузки компьютера. Кроме того, он корректирует дескрипторную таблицу прерываний таким образом, чтобы на Int 1 (особый случай отладки) и Int 9 (клавиатура) установить собственные дескрипторы обработчиков данных прерываний.
После этих приготовлений вирус копирует свой код в страницу памяти, полученную им еще до входа в защищенный режим, и производит переключение процессора обратно в виртуальный режим работы на процедуру освобождения ранее выделенной памяти DOS в верхних адресах и возвращения управления инфицированной программе.
С этого момента инфицированная программа начинает свою "полезную" работу и в защищенном режиме оказываются установленными вирусные обработчики: ловушки на прерывания Int 1 и на Int 9 (от клавиатуры). С их помощью вирус контролирует, во-первых, все вызовы функций DOS, а во-вторых, все нажатия клавиш на клавиатуре и, в-третьих, попытки мягкой перезагрузки компьютера.
В свою очередь, такой контроль обеспечивает ему возможность как надежно реагировать на ряд интересующих его событий при работе программы, так и постоянно проверять состояние своих двух контрольных точек и при необходимости восстанавливать их.
В частности, если вирус обнаруживает, что вызов исходит от его "собрата", он просто возвращает некоторое условное значение, играющее роль отзыва "я - свой". Таким образом вирус, пытавшийся выяснить наличие своей копии в памяти, будет информирован о том, что память уже инфицирована.
Если вирус обнаруживает попытку получения адреса прерывания Int 6 (обычно такой вызов присутствует во всех программах, написанных на языках высокого уровня, например C, Pascal), то пытается найти в адресном пространстве некоторую последовательность байт, очевидно, принадлежащих программе ADinf, но какой-то старой версии (по информации от разработчика ADinf Дмитрия Мостового, в версиях ADinf за последний год такая последовательность не содержится). Если данная последовательность будет вирусом найдена, он модифицирует найденный код так, чтобы управление не попадало на вызов межсегментной процедуры, которая демонстрирует пользователю изменения, найденные на диске или в файлах.
Когда же вирус обнаруживает запрос на запуск программы или открытие файла (только на чтение), то считает, что наступило "время большой охоты". Он копирует свой код в старшие адреса виртуального процесса DOS-машины, переключает процессор в виртуальный режим и отдает управление своему коду (процедуре заражения).
В виртуальном режиме вирус проверяет последние две буквы расширения имени файла (OM или XE) и создает свою полиморфную копию, заражая файлы размером более 4,095 байт. Он не заражает файлы, содержащие в поле времени создания значение 34 секунды, считая, что такие файлы уже инфицированы. Коррекцию атрибутов файлов вирус не производит, поэтому все файлы, помеченные как ReadOnly, заражены не будут.
Также не заражает программу, имя которой состоит из 7 букв. Мне не удалось выяснить имя данной программы, так как вирус не явно определяет ее имя, а подсчитывает CRC. Он не берет на себя обработку критических ошибок, поэтому при попытке записи в процессе заражения на защищенный диск появится стандартный вопрос DOS (... Retry, Ignore, Fail, Abort).
При заражении файлов вирус использует прямой вызов ядра обработчика DOS Int 21h. Адрес этого ядра он выяснил при трассировке Int 21h во время своей установки в память. Вирус внедряет свой код в начало COM- или в середину EXE-файлов (сразу же за заголовком), запоминая оригинальный программный код в конце файлов.
"Реальный рабочий код" вируса составляет 3,684 байта, но на практике инфицированные файлы получают приращение длины более 3,940 байт. Вирус в своем теле содержит текст "WANDERER, (c) P.Demenuk".
Обнаружить резидентную копию данного вируса, находящегося в нулевом кольце защищенного режима процессора, обычными способами невозможно. Для обнаружения его в памяти необходимо переключаться в защищенный режим с наивысшими привилегиями и производить поиск. Но попытаться обнаружить признаки вируса в системе можно и обычными способами.
После обнаружения вируса рекомендуется, как и всегда в таких случаях, перезагрузиться с системной дискеты и выполнять лечение в заведомо стерильных условиях. Правда, он не является стелс-вирусом, и лечение допустимо даже при активном вирусе.
Теперь немного о результатах тестирования. При заражении нескольких тысяч файлов вирус проявил себя как "жилец" - все зараженные файлы оказались работоспособными.
Здесь надо только сделать поправку - файлы могут оказаться неработоспособными в том случае, если их стек после заражения окажется в области вирусного кода. PM.Wanderer при заражении файлов не корректирует значения стартовых регистров SS:SP в EXE-заголовке.
Как уже отмечалось выше, вирус сохраняет способность к воспроизводству только в том случае, если в системе установлен драйвер EMS (EMM386). При установленном драйвере EMM386 с ключом NOEMS он перезагружает компьютер. Компьютер также может перезагрузиться, если в системе используется драйвер QEMM386.
Самое интересное в том, что если в системе находился резидентный вирус, а потом произошла загрузка Windows 3.1x или Windows 95, то он не сможет размножаться в данных операционных средах, но при выходе в DOS опять получает управление и может "трудиться не покладая рук".
Если же вирус будет запущен в DOS-сессии операционной системы Windows, то из-за отсутствия интерфейса VCPI не сможет переключиться в защищенный режим. Под OS/2 он нежизнеспособен также из-за отсутствия VCPI.
В заключение стоит отметить, что это первый известный вирус (причем российского происхождения), использующий защищенный (виртуальный) режим работы процессора и не конфликтующий с операционными системами "от Microsoft", работающими также в защищенном режиме.
Возможно, что в недалеком будущем компьютерный вирус сможет полностью заменить своим кодом программу-супервизор и сам будет поддерживать интерфейсы DPMI, EMS/VCPI, XMS, Int 15h. Кто знает?
Игорь Данилов, АО "ДиалогНаука", автор Doctor Web
Компьютерная газета. Статья была опубликована в номере 30 за 1997 год в рубрике безопасность :: вирусология
