D V L # 2
Субъективизм д-ра Касперского
или История с Lamerman'ом
(c) by Duke/SMF
Надо признать, что он большой оригинал... Но так опростоволоситься!..
Начну историю издалека. Летом 1998 года на просторы нашей родины, а именно
в эху RU.HACKER, был выпущен новый "зверек". Этим "зверьком" был вирус
BootExe.Lamerman. Автор сделал к нему очень привлекательную документацию
и набор сопроводительных файлов. Многие знают этот вирус, как эмулятор 3DFx.
Доблестные "хакеры" назапускали у себя на компах сию чудо-программу, что
привело к эпидемии этого вируса из-за чрезмерного количества "C00l хацкер0в".
Чтобы замаскировать вирус, автор предпринял несколько приемов:
1) к инсталлятору, записывающему код вируса в MBR, он дописал кучу мусора,
увеличив тем самым размер файла до 80k;
2) зашифровал полученный инсталлятор программой "Crypt v1.7 by Dismember",
дабы текстовые строки внутри файла не смущали ламеров.
Когда вирус поселился на сотнях компьютеров, Касперский выпустил
обновление к AVP, которое находило Lamerman'а в MBR и обезвреживало его.
Но этого было недостаточно, т.к. существовал еще недетектируемый инсталлятор,
снова и снова ламеры запускали его.
А вот здесь начинается самое интересное ;)) В Лаборатория Касперского (ЛК)
не стали долго ломать голову в поисках сигнатуры инсталлятора. Они взяли
сигнатуру распаковщика, который дописывается к шифруемым файлам программой
"Crypt v1.7 by Dismember". 24.10.98 ЛК выпускают update антивирусных баз,
который детектирует инсталлятор Lamerman'а под именем Dropper.Boot.Lamerman.
Все было бы отлично, если бы не маленькое НО... При подключении этого
update'а ВСЕ COM-файлы, защищенные программой Crypt определяются AVP как
"похож на вариант вируса Dropper.Boot.Lamerman" !!!
Таким образом, сотни невиновных файлов будут уничтожены пользователями из-за
грубейшей ошибки Касперского.
Антивирус Dr.Web уже давно прекрасно знает, распознает под именем CryptCOM
и распаковывает файлы, защищенные с помощью Crypt. В этом Данилов безусловно
молодец. А в AVP работают одни ламеры, которым даже неизвестен Crypt и
которые не могут в нем разобраться. Как говорится, без комментариев...
Доказательство беспросветной тупости ЛК (а именно этот злополучный update
up981024.zip) читатели могут скачать на этой страничке.
P.S. Дорогой Е.Касперский ! Воспоминания о вашем непрофессионализме
навсегда сохранятся в нашей душе и на наших HDD (в виде файла UP981024.ZIP).
Ниже привожу исходный текст файла-пустышки, использованный мной при проверке
программы AVP на глючность ;)
===== Cut here =====
;Этот файл пустышка является демонстрацией ошибки программы AVP,
;связанной с детектированием вируса Dropper.Boot.Lamerman
;Created (c) by Duke/SMF
;
;Создание демонстрационного файла:
; tasm.exe lm_fake.asm
; tlink.exe lm_fake.obj /t
; crypt.com lm_fake.com
;Полученный файл lm_fake.com протестируйте программой AVP с подключенной
;базой UP981024.AVC ;)))
.model tiny
.code
org 100h
start:
mov ah,9
mov dx,offset tex
int 21h
mov ah,4ch
int 21h
tex db 'Это псевдо-вирус Dropper.Boot.Lamerman',13,10
db 'Created (c) by Duke/SMF$'
end start
===== Cut here =====
 |
Здесь вы можете скачать: |
Update от 24.10.98 для AVP, который является одной из коронных ошибок AVP.
Псевдо-вирус с исходником и утилитой "Crypt v1.7 by Dismember"
Вирус BootExe.Lamerman ищите на страничке http://misha.iscool.net