Técnicas Da Preservação Do Self De Malware

Share

|

Nós discutimos uma variedade de técnicas defensivas para lutar vírus. Entretanto, os escritores do vírus estão cientes de nossas defesas, e estão trabalhando ativamente em undermining as. Um espécime do malware pode empregar diversas técnicas em uma tentativa de evitar a deteção e o elimination, including stealthing, polymorphism, metamorphism, e deactivation do antivirus. Deixe-nos fazer exame de um olhar breve nestas técnicas do self-preservation uma de cada vez.

Stealthing

Stealthing consulta ao processo de esconder a presença do malware no sistema infected. Um método stealthing primitivo que seja usado frequentemente por vírus do companheiro envolve simplesmente ajustar o atributo "escondido" da lima do vírus para fazê-la mais menos provavelmente que a vítima descobrirá a lima em uma lista do diretório. Os vírus do companheiro do córrego têm um componente stealthing mais poderoso—quando unem a um anfitrião, nenhumas limas novas são criados, e a maioria de ferramentas relatarão que o tamanho da lima original não mudou. Em uma máquina de Windows que use o sistema de lima de NTFS, estes vírus são incluídos em um córrego de dados alterno associado com alguma lima normal no sistema.

Uma outra maneira em que um vírus pode camouflage é interceptando a tentativa do programa do antivirus de ler uma lima, e apresentando uma versão limpa da lima ao varredor. Quando o varredor olha a lima infected, a lima infected apresenta uma imagem wholesome ao varredor. Em contudo um outro scenario stealthing, um vírus pôde retardar abaixo a taxa em que infects ou danifica limas, de modo que faça exame o usuário de um tempo longo realizar o que está indo sobre.

Polymorphism e metamorphism

O polymorphism é o processo com que o código malicioso modifica sua aparência para thwart a deteção sem realmente mudar sua funcionalidade subjacente. O termo polymorphic indica que o código pode supor muitos formulários, tudo com a mesma função. Usando esta técnica, o código do vírus muda-se dinâmicamente cada vez que funciona. O vírus tem ainda a mesma finalidade, mas uma base muito diferente do código. Todas as assinaturas focalizadas no formulário mais adiantado do código querem detectam não mais por muito tempo o novo, morphed versões. Talvez uma das maneiras as mais simples executar esta técnica em vírus certificado-baseados deve mandar o espécime modificar os nomes de suas variáveis e sub-rotinas internas antes de infecting um anfitrião novo. Estes nomes são escolhidos tipicamente em aleatório complicar a tarefa de criar uma assinatura para o espécime.

Uma outra maneira de conseguir o polymorphism envolve mudar a ordem em que as instruções são incluídas no corpo do vírus. Isto poderia ser complicado executar, porque o espécime necessita se certificar de que a ordem nova não muda a funcionalidade do código. Os vírus podem também modificar sua assinatura introduzindo as instruções em seu código que não fazem qualquer coisa, tal como subtrair e então adicionar 1 a um valor. Estas instruções funcionalmente inertes permitem que o código mantenha sua função original, mas evade alguma deteção assinatura-baseada.

Em contudo uma outra técnica polymorphic, um vírus cifra a maioria de seu código, deixando no texto desobstruído somente as instruções necessárias descifrar-se automaticamente na memória durante o runtime. O vírus usaria tipicamente uma chave aleatòria gerada diferente cifrar seu corpo, para encaixar em algum lugar a chave em seu código, e variar o olhar do algoritmo do decryption para confundir assinatura-baseou varredores. O motor do mutation de MtE, liberado ao redor 1992, era a primeira ferramenta para fàcilmente adicionar potencialidades polymorphic ao código malicioso arbitrário ao morphing o decryptor.

O metamorphism faz exame do processo de mutating o espécime uma etapa mais mais ligeiramente mudando a funcionalidade do vírus enquanto espalha. Isto é feito frequentemente em maneiras subtle assegurar-se de que o vírus evades a deteção sem perder seu potency. Os vírus metamorphic mudam frequentemente a estrutura de suas limas variando a posição das rotinas mutating e de criptografia. Adicionalmente, os espécimes metamorphic tais como Simile têm a abilidade de desmontar-se dinâmicamente, mudam seu código, e remontam-se então no formulário executável.

Deactivation De Antivirus

Uma das maneiras em que o código malicioso tenta proteger seu turf é incapacitando os mecanismos da proteção do vírus na máquina de alvo. Os candidatos os mais proeminentes para o deactivation são os processos que pertencem ao software do antivirus que funciona no sistema infected. Os vírus os mais bem sucedidos que empregam esta técnica puderam começar no sistema unrecognized, e apressam-se então para incapacitar o software do antivirus antes que o malware comece detectado ou antes dos updates do usuário a base de dados de assinaturas do vírus.

O ProcKill Trojan é um exemplo de um espécime do malware que contenha uma lista de mais de 200 nomes process que pertencem geralmente ao antivirus e aos programas pessoais do guarda-fogo. Instalado uma vez no sistema, ProcKill procurara a lista de processos running e termina aqueles que reconhece. Sem o antivirus apropriado e os processos pessoais do guarda-fogo que funcionam na máquina, o vírus tem o reino livre para infect e alterar o sistema.

Uma extensão interessante desta técnica foi executada pelo MTX virus/worm que espalhou em 2000. Após infecting o sistema, MTX monitorou as tentativas da vítima de alcançar o Internet, e obstruiu o acesso aos domínios que eram prováveis pertencer aos vendedores do antivirus. Uma aproximação como esta impede que o usuário fàcilmente de instalar o software do antivirus ou atualize suas assinaturas, uma aproximação inteligente contudo nasty para os guys maus. Se você não puder surf à característica do update da base de dados da assinatura do vírus, você não poderá detectar o malware novo em sua caixa.

Alguns vírus tentam também contornear as limitações da segurança impostas por Microsoft Escritório que nós examinamos mais cedo. Você pôde recordar que o escritório de Microsoft permite que nós obstruam o acesso ao objeto de VBProject que contem os comandos usados freqüentemente por vírus macro infect originais novos. Esta limitação é controlada por um ajuste do registro que um vírus poderia manipular. Se o usuário permitisse que os macros no original infected executassem, o vírus poderia então mudar este ajuste do registro para remover as limitações no acesso ao objeto de VBProject. Esta técnica foi executada pelo vírus de Listi (sabido também como Kallisti).

Listi começa este segmento de código verificando o valor da chave AccessVBOM do registro. Se for ajustado a 1, a seguir o acesso a VBProject não é restrito, e o vírus pode continuar com a infecção. Se o acesso a VBProject for obstruído (isto é, seu valor é mais grande do que ou menos de 1), a seguir Listi ajusta a chave do registro a 1, e retira a palavra de Microsoft através da chamada de WordBasic.FileExit. A palavra necessita ser reiniciada para mudanças à chave de AccessVBOM ao efeito da tomada. A próxima vez que o usuário abre o original infected, o acesso a VBProject quer seja não mais por muito tempo restrito e o vírus pode continuar a propagar.

Técnicas Da Self-Preservação Thwarting Malware

Como você pode ver, há algumas medidas de que o código malicioso pode fazer exame em uma tentativa de contornear nossos mecanismos da segurança. Para cada medida há contramedidas, que tem seu próprio counter-countermeasure, e assim por diante. Para remanescer eficaz em tal ambiente, certifica-se você para compreender as ameaças e como se aplicam a seu ambiente, e não se confia em uma única camada defensiva para proteger-se de encontro às infecções do malware. Cada uma destas técnicas do self-preservation pode thwarted pela aplicação diligent do software do antivirus, de endurecer-se da configuração, e da instrução do usuário. As soluções do software de Antivirus cresceram cada vez mais inteligentes em suas abilidades de manchar o código polymorphic stealthy e sobreviver deactivation simples tenta. Mantendo suas assinaturas do antivirus e fazendo a varredura do motor moderno, você beneficiar-se-á destes avanços. Adicionalmente, com instrução sadia do usuário, mesmo o código malicioso muito subtle será mais menos provável encontrar sua maneira em seus sistemas no primeiro lugar.