Minotauro Magazine Issue 09 03 Marca de infecci¢n por atributos Gusano, Los Alegres Colchoneros

eZine lover (@eZine)

Published in 

Minotauro Magazine

 · 3 years ago

  

MINOTAURO MAGAZINE #9: 

		       Marca de infecci¢n por atributos 
		       Gusano, Los Alegres Colchoneros 

	Seguramente toda su vida trataron de hacer una marca en los 
archivos infectados que sea f cil de verificar, como para hacer stealth 
y anti-heur¡stica, entonces por la primera condici¢n tenemos que descartar 
la posibilidad de que la marca este adentro del file, porque habr¡a que  
andar ley‚ndolo para verificar, y un dir si no hay ning£n cache cargado  
tardar¡a lo mismo que el windoze 95 en cargarse y no queremos que eso 
pase, entonces nos queda la info que guarda el DOS del file en cada entrada 
de directorio: 

Offset    Tama¤o    Descripci¢n 
 00h      8 BYTEs   nombre 
 08h      3 BYTEs   extenci¢n 
 0Bh        BYTE    atributos 
 0Ch     10 BYTEs   reservado 
                    Usado por el DR-DOS para guardar el         
                    password. 
 16h        WORD    Hora  
 18h        WORD    Fecha  
 1Ah        WORD    Primer Cluster del file 
 1Ch        DWORD   Tama¤o del file 

Lo primero que vemos son esos 10 bytes en el offset 0Ch que si miramos un  
HD siempre est n en 00, ah¡ podemos escribir hasta "INFECTADO" y nadie se  
da cuenta a menos que lo mire con el disk edit, pero este valor no aparece  
en la DTA, as¡ que no es r pido como queremos. Si modificamos el siglo o  
los segundo de manera que el usuario no se de cuenta que cambiaron, saltan 
alarmas en todos los antivirus, as¡ que por ah¡ no viene la cosa, ni el  
nombre ni el tama¤o hay bytes al pedo as¡ que ah¡ no podemos tocar nada,  
as¡ que nos quedan los atributos. Los atributos son 1 Byte que el D.O.S  
almacena sobre cada archivo, y cada uno de sus bits, representa un tipo  
de atributo: 

Bit(s)    Descripci¢n  
 7   shareable (Novell NetWare) 
 6   no usado 
 5   archivo 
 4   directorio 
 3   volume label 
     execute-only (Novell NetWare) 
 2   system 
 1   hidden 
 0   read-only 

Seguramente en sus tablas de atributos el bit 7 tambi‚n esta como no usado,  
pero si Ralf dice que lo usa Novell, mejor no lo tocamos, pero nos queda  
el 6, con setearlo ya indicamos que el archivo esta infectado por nosotros.  
Esta manera de indicar es buena porque cuando leemos la DTA tenemos los  
atributos ah¡ sin ning£n esfuerzo. El £nico problema es setear este bit.  

	La primera manera que se nos viene a la mente es con la int 
021h, pero si activamos este bit, nos devuelve que estamos queriendo setear 
un atributo inv lido. Entonces nos quedan dos maneras de setearlo: 

1) La primera y la mas normal seria a mano, ¢sea, buscar la entrada de  
directorio del file a infectar, leerla (hay que leer todo el sector)  
cambiarla y grabar todo el sector de nuevo. Esto seria bastante f cil,  
si no fuera porque para encontrar la entrada de directorio que queremos  
hay que hacer bastantes cosas como leer el registro de arranque, ver cuantos 
sectores por cluster tiene el disco, buscar la entrada '.' para saber donde  
empieza el dir, leer todos los sectores del dir donde esta el file hasta  
encontrarlo y reci‚n ah¡ modificarlo y escribirlo. 

2) Esta es la manera mas f cil y funciona perfecto. V¡a SFT, solo hay que  
hay que hacer un OR OFFSET 04h de la SFT, 01000000b. Y cuando cerramos el  
archivo se guarda el cambio. No les voy a explicar como obtener las SFT 
porque ya esta muy bien explicado en la Minotauro 7 por Trurl.