Konwencje stosowane przez programy antywirusowe - standard CARO

Konwencje stosowane przez programy antywirusowe - standard CARO

CARO (Computer Antyvirus Research Organization) jest organizacją zrzeszającą autorów programów antywirusowych z całego świata. Jednym z zadań, które stawia sobie organizacja, jest ujednolicenie nazewnictwa oraz opisu istniejących wirusów. Dla własnych potrzeb organizacja stworzyła coś w rodzaju specyfikacji opisu wirusów, zwanej CaroBase.

Plik w formacie CARO jest zwykłym plikiem tekstowym i zawiera następujące pola i etykiety:

CAROBASE_BANNER: na początku pliku; zawiera informacje o autorze opracowania itd.

CAROBASE_LINGUA: określa język, w którym napisany jest dokument; najczęściej jest to angielski (English).

CAROBASE_START: znacznik końca CAROBASE BANNER, zaraz po tym polu rozpoczyna się pierwszy rekord opisu (każdy rekord opisuje jednego wirusa).

CAROBASE_END: kończy ostatni rekord opisu.

Możliwe rekordy zawierające opis to:

NAME: nazwa w standardzie CARO.

ALIASES: lista oddzielonych kropką, innych nazw wirusa; w przypadku braku - puste pole; nazwa może zawierać znaki przestankowe; cudzysłów () oznacza propozycję nazwy.

NAME.HISTORY: oddzielone przecinkami poprzednie nazwy w konwencji CARO (jeżeli istniały).

LAST_NAME_CHANGE: data ostatniej zmiany nazwy wirusa.

TARGETS: określa obiekty atakowane przez wirusa; możliwe obiekty to:

COM - pliki COM, rozpoznawane po pierwszych 2 bajtach programu.

EXE - pliki EXE, rozpoznawane po pierwszych 2 bajtach programu (równe MZ lub ZM).

.COM - pliki COM, rozpoznawane po rozszerzeniu pliku. .EXE - pliki EXE, rozpoznawane po rozszerzeniu pliku. ZM - w przypadku, gdy wirus sprawdza pierwsze 2 bajty programu (znacznik MZ lub ZM). SYS - zaraża sterowniki w plikach SYS. OVR - zaraża pliki nakładkowe.

NE_W - potrafi infekować pliki new executable dla Windows. NE_OS2 - potrafi infekować pliki new executable dla OS/2. NewEXE - potrafi infekować pliki new executable, ale bez sprawdzania systemu, dla którego plik Jest przeznaczony. DIR - zaraża przy użyciu JAP.

MBR - infekuje Główny Rekord Ładujący twardego dysku. FBR - zaraża BOOT-sektory dyskietek. HER - zaraża BOOT-sektory twardych dysków. BAT - zaraża pliki wsadowe BAT. OBJ - zaraża pliki OBJ. LIB - zaraża pliki LIB.

COMP - wirus jest typu towarzyszącego (w nawiasie może być określone rozszerzenie plików wykorzystywanych przez wirusa, np. EXE/COM).

OTHER - wirus infekuje inny obiekt, nie opisany powyżej.

RESIDENT: określa, czy wirus zostawia po uruchomieniu jakiś ślad w pamięci;

możliwe wartości to:

NONE - to nie jest wirus rezydentny.

PAYLOAD - wirus nie jest rezydentny, ale instaluje rezydentny kod, np. bombę.

IVT - wirus rezyduje w tablicy przerwań.

FIRSTMCB - wirus rezyduje w MCB należącym do DOS-a.

BUFFER - wirus rezyduje w obszarze buforów DOS.

LOW - wirus rezyduje jak zwykły TSR.

TWIXT (przestarzałe) - wirus rezyduje za ostatnim blokiem pamięci.

TwixtAny - wirus zmniejsza rozmiar aktualnego MCB.

TwixtZ - wirus zmniejsza rozmiar aktualnego MCB, jeżeli jest to ostatni blok w łańcuchu (tzn. MCB ma znacznik Z).

NewMCB - wirus zmniejsza rozmiar aktualnego MCB i tworzy w tak powstałym bloku nowy MCB z przepisaniem znacznika z aktualnego bloku.

NewEndMCB - zmniejsza aktualny blok MCB i tworzy w tak powstałym miejscu nowy MCB ze znacznikiem Z; w aktualnym MCB zmienia znacznik bloku na M.

UPPER - wirus próbuje zaalokować pamięć powyżej 640kB (UMB).

HIGH - wirus próbuje zaalokować pamięć w obszarze od IMb do (l Mb + 64 Kb - 16).

TOP - wirus rezyduje w bloku pamięci powstałym na skutek zmniejszenia pamięci widzianej przez BIOS (zmienna 0040:0013).

UNMARKED - wirus rezyduje na końcu dostępnej pamięci, jednak miejsca tego w żaden sposób nie chroni.

VIDEO - wirus rezyduje w pamięci ekranu.

EXT - wirus rezyduje w pamięci XMS.

EXP - wirus rezyduje w pamięci EMS.

AT addr - wirus rezyduje w pamięci pod wyspecyfikowanym adresem [addr] i miejsca tego w żaden sposób nie chroni przed zapisem, np. w obszarze zmiennych DOS. OTHER - wirus instaluje się w pamięci przy pomocy innej, me opisanej powyżej techniki.

Below - wirus manipuluje blokami MCB i lokuje się w pamięci przed aktualnym blokiem MCB.

MEMORY_SIZE: określa ilość pamięci zajmowanej przez wirusa w pamięci w bajtach, kilobajtach (na końcu litera K) lub w paragrafach (litera P na końcu).

STORAGE_SIZE: rozmiar wirusa na dysku w bajtach, kilobajtach (na końcu litera K), jednostkach JAP (na końcu litera C) lub sektorach (litera S na końcu);

w przypadku wyrównywania długości pliku do jakiejś wielokrotności należy to uwzględnić w długości wirusa.

WHERE: opisuje sposób działania wirusa (może być to lista oddzielona kropkami).

Dla plików są możliwe:

OVERWRITES - wirus nadpisuje i w efekcie niszczy plik.

PREPENDING - wirus umieszcza swój kod w pliku przed oryginalnym kodem programu (przesuwa oryginalny kod do przodu).

MOVE - wirus zachowuje nadpisywany przez siebie początek pliku na jego końcu.

APPENDING (przestarzałe) - wirus dopisuje się na końcu pliku.

EOIMAGE - dopisuje się za obrazem pliku EXE (długość obrazu obliczana jest na podstawie nagłówka).

EOFILE - wirus dopisuje się na końcu pliku.

HEADER - wirus instaluje się w nagłówku pliku EXE.

SPLIT - wirus umieszcza siew pliku pomiędzy nagłówkiem pliku EXE a resztą pliku.

DATA - wirus nadpisuje obszar pliku zawierający stałe wartości (np. ciąg zer).

RANDOM - plik doczepia się w przypadkowym miejscu pliku.

SLACK - wirus korzysta z luki powstałej na końcu pliku nie wykorzystującego całej JAP. COMPANION - wirus jest typu towarzyszącego.

OTHER - wirus używa innej techniki, nie opisanej powyżej.

Dla sektorów możliwe są:

AT ttt/hh/ss - na ścieżce ttt, głowicy hh, w sektorze ss.

AT_LSN nn - w logicznym sektorze nn.

AT_CN nn - w JAP numer nn.

TRACK nn - na dodatkowej ścieżce nn.

BAD - w jednostce JAP oznaczonej jako zła.

STEALTH: określa listę przerwań i funkcji wykorzystywanych przez wirusa;

możliwe są dwa kluczowe słowa:

NONE - wirus nie używa techniki stealth.

DRIVER - wirus instaluje się jako sterownik.

POLYMORPHIC: określa, Jak polimorficzny jest wirus, przecinek oddziela słowa kluczowe, możliwe są:

NONE - wirus nie używa procedur szyfrujących.

CONST - wirus używa stałego sposobu szyfrowania, ze stałą procedurą dekodera.

VAR - wirus używa zmiennej procedury szyfrującej, ale stałego dekodera.

WILDCARD - wirus używa zmiennej procedury szyfrującej oraz zmiennego dekodera, możliwego do wykrycia przy użyciu sygnatur ze znakami globalnymi.

POLY-nn - wirus używa zmiennej procedury szyfrującej oraz zmiennego dekodera; liczba nn określa ilość stałych bajtów (w dowolnym miejscu w dekoderze); 00 - oznacza najbardziej zaawansowany polimorfizm.

ENTRY - wirus ukrywa miejsce wejścia do kodu.

SWAP - wirus przemieszcza (na zasadzie anagramu) część swojego kodu.

OTHER - wirus używa innego polimorfizmu, nie opisanego powyżej.

ARMOURING: sposoby obrony stosowane przez wirusa; możliwe to:

NONE - wirus nie stosuje żadnych metod.

CODE - wirus stosuje sztuczki antydeasemblerowe.

CRYPT - wirus stosuje kilkustopniowe szyfrowanie.

TRACE - wirus wyłącza przerwania INT l i INT 3.

KBD - wirus wyłącza klawiaturę podczas uruchamiania.

SELFTRACE - wirus używa INT 1 i INT 3 w dekoderze.

INT1 - wirus używa INT 1, INT3 - wirus używa INT 3.

PREFETCH - wirus używa sztuczek antydebuggerowych, wykorzystujących kolejkę rozkazowa do wykrycia, czy jego kod nie jest śledzony przy użyciu debuggera.

OTHER - wirus używa innej techniki, nie opisanej powyżej.

TUNNELLING: określa, czy wirus używa tunelingu.

NONE - wirus nie używa tunelingu. NEXT - wirus potrafi ominąć ostatnio zainstalowany program TSR.

HAND21 - wirus potrafi odnaleźć i wykorzystać oryginalny adres wejścia do przerwania 21h.

DRIVER - wirus używa procedur obsługi sterowników.

SECTOR - wirus używa INT 13h przy dostępie do dysku.

HAND13 - wirus potrafi odnaleźć i wykorzystać oryginalny adres wejścia do przerwania INT 13h.

BIOS - wirus używa bezpośrednich wywołań procedur ROM' BIOS do obsługi dysków.

HARDWARE - wirus używa dostępu do dysku poprzez porty.

OTHER -wirus używa innej techniki tunelingu, nie opisanej powyżej.

W przypadku HAND21, HAND13 i BIOS można wyliczyć (w nawiasach) metody wyszukiwania oryginalnego adresu; możliwe słowa kluczowe to:

TRACE - wirus używa trybu krokowego do odnalezienia oryginalnego wejścia do przerwania.

2F - wirus używa funkcji (13/2F).

TABLE - wirus używa tablicy z adresami do odnalezienia oryginalnego wejścia do przerwania.

SCAN - wirus skanuje pamięć w poszukiwaniu łańcucha bajtów charakterystycznych dla danego przerwania.

OTHER - inna metoda.

INFECTIVITY:

O - to nie jest wirus.

1 - wirus, który dość wolno się rozpowszechnia.

2 - odpowiada szybkości rozmnażania się nierezydentnego wirusa nadpisującego.

3 - odpowiada szybkości rozmnażania się wirusa nierezydentnego zarażającego jeden plik po uruchomieniu.

4 - odpowiada szybkości rozmnażania się wirusa rezydentnego zarażającego pliki tylko przy uruchomieniu ofiary.

5 - szybki infektor.

6 - odpowada szybkości romnażania się wirusów zarażających MBR.

7 - bardzo szybki infektor.

OBVIOUSNESS:

określa, jak łatwo wirus jest zauważalny przez użytkownika.

EXTREMELY - wirus zawiera groźny ładunek, łatwy do zauważenia.

QUITE - wirus zawiera ładunek dość łatwy do zauważenia.

SLIGHTLY - wirus zawiera ładunek powodujący efekt trudny do zauważenia.

NONE - wirus nie jest możliwy do zauważenia bez użycia specjalnego programu (najczęściej antywirusowego).

COMMONNESS:

rozpowszechnienie w świecie (pod względem ilości zgłoszeń infekcji).

0 - nieznany: najczęściej trywialny, nadpisujący, łatwy do wykrycia.

1 - bardzo słabo znany.

2 - słabo znany (kilka zgłoszeń).

3 - znany (przynajmniej jedno zgłoszenie od znawcy wirusów).

4 - znany na całym świecie.

5 - bardzo znany.

6 - bardzo znany w przeszłości.

COMMONNESS_DATE:

określa, kiedy powyższe pole było modyfikowane; data zapisywana jest w formacie rrrr-mm-dd.

TRANSIENT_DAMAGE: efekt działania wirusa nie jest niszczący.

T_DAMAGE TRIGGER: określa, kiedy powyższy efekt zostanie uaktywniony.

PERMANENT_DAMAGE: określa, jakie zniszczenia może spowodować wirus. P_DAMAGE_TRIGGER: określa, kiedy powyższy efekt zostanie uaktywniony. SIDE_EFFECTS: znane efekty uboczne powodowane przez wirusa. INFECTION_TRIGGER: określa, kiedy wirus infekuje (np. COM, gdy długość pliku ofiary > 100 bajtów).

MSG_DISPLAYED: określa łańcuch (podany w cudzysłowie) wyświetlany przez wirusa;

jeżeli zaszyfrowany, należy dodać na końcu słowo 'Encrypted'.

MSG_NOT_DISPLAYED: określa łańcuch (podany w cudzysłowie) zawarty w wirusie; jeżeli zaszyfrowany, należy dodać na końcu słowo 'Encrypted'.

INTERRUPTS_HOOKED: przedzielona przecinkami lista przerwań i funkcji przejętych przez wirusa; liczby podane jako HEX.

SELFREC_IN_MEMORY: określa, w jaki sposób wirus sprawdza, czy jest już zainstalowany w pamięci.

SELFREC_ON_DISK: określa, w jaki sposób wirus sprawdza, czy obiekt jest zainfekowany.

LIMITATIONS: określa ograniczenia wirusa (hardware, software).

COMMENTS: komentarz na temat wirusa.

ANALYSIS_BY: określa, kto analizował wirusa.

DOCUMENTATION_BY: opisuje, kto sporządził dokumentację.

ENTRY_DATE: określa datę, kiedy baza danych o wirusie została stworzona; data ma format: rrrr-mm-dd.

LAST_MODIFIED: określa datę, kiedy baza danych o wirusie była ostatnio modyfikowana; data ma format: rrrr-mm-dd.

SEE_ALSO: określa, do jakich wirusów opisywany wirus jest podobny.

END: oznacza koniec opisu wirusa.