Techniques De Conservation D'Art de l'auto-portrait De Malware


  Share  
|

Nous avons discuté une variété de techniques défensives pour combattre des virus. Cependant, les auteurs de virus se rendent compte de nos défenses, et travaillent activement à les miner. Un spécimen de malware peut utiliser plusieurs techniques afin d'essayer d'éviter la détection et l'élimination, y compris stealthing, polymorphisme, métamorphisme, et désactivation d'antivirus. Jetons un bref coup d'oeil à ces techniques de art de l'auto-portrait-preservation une par une.

Stealthing

Stealthing se rapporte au processus de cacher la présence du malware sur le système infecté. Une méthode stealthing primitive qui est souvent employée par des virus de compagnon implique de placer simplement l'attribut "caché" du dossier de virus pour le faire moins probablement que la victime découvrira le dossier dans une liste d'annuaire. Les virus de compagnon de jet ont un composant stealthing plus puissant—quand ils attachent à un centre serveur, aucuns nouveaux dossiers sont créés, et la plupart des outils signaleront que la taille du dossier original n'a pas changé. Sur une machine de Windows qui emploie le système de fichiers de NTFS, ces virus sont inclus dans un flux de données alternatif lié à un certain dossier normal sur le système.

Une autre manière dont un virus peut se camoufler est en arrêtant la tentative du programme d'antivirus de lire un dossier, et en présentant une version propre du dossier au module de balayage. Quand le module de balayage regarde le dossier infecté, le dossier infecté présente une image saine au module de balayage. Dans encore un autre scénario stealthing, un virus pourrait ralentir le taux auquel il infecte ou endommage des dossiers, de sorte que cela prenne à l'utilisateur un bon moment de réaliser ce qui continue.

Polymorphisme et métamorphisme

Le polymorphisme est le processus par lequel le code malveillant modifie son aspect pour contrecarrer la détection sans changer réellement sa fonctionnalité fondamentale. La limite polymorphe indique que le code peut assumer beaucoup de formes, tous avec la même fonction. En utilisant cette technique, le code de virus se change dynamiquement chaque fois que il fonctionne. Le virus a toujours le même but, mais une base très différente de code. Toutes les signatures se sont concentrées sur la forme plus tôt du code ne détecteront plus le nouveau, morphed des versions. Peut-être un des manières les plus simples de mettre en application cette technique dans les virus manuscrit-basés doit faire modifier au spécimen les noms de ses variables et sous-programmes internes avant d'infecter un nouveau hôte. Ces noms sont typiquement choisis au hasard pour compliquer le charger de créer une signature pour le spécimen.

Une autre manière de réaliser le polymorphisme implique de changer l'ordre dans lequel des instructions sont incluses dans le corps du virus. Ceci pourrait être rusé pour mettre en application, parce que le spécimen doit s'assurer que le nouvel ordre ne change pas la fonctionnalité du code. Les virus peuvent également modifier leur signature en insérant les instructions dans leur code qui ne font rien, tel que soustraire et puis additionner 1 à une valeur. Ces instructions fonctionellement inertes permettent au code de maintenir son fonction originale, mais éludent une certaine détection signature-basée.

Dans encore une autre technique polymorphe, un virus chiffre la majeure partie de son code, laissant en texte clair seulement les instructions nécessaires pour se déchiffrer automatiquement dans la mémoire pendant le temps d'exécution. Le virus avait l'habitude typiquement une clef aléatoirement produite différente pour chiffrer son corps, inclure la clef quelque part en son code, et changer le regard de l'algorithme de déchiffrage pour confondre signature-a basé des modules de balayage. Le moteur de mutation de MtE, libéré autour 1992, était le premier outil pour ajouter facilement des possibilités polymorphes au code malveillant arbitraire tout en morphing le decryptor.

Le métamorphisme prend le processus de subir une mutation le spécimen une étape plus loin en changeant légèrement la fonctionnalité du virus pendant qu'il écarte. Ceci est souvent fait des manières subtiles de s'assurer que le virus élude la détection sans perdre son pouvoir. Les virus métamorphiques changent souvent la structure de leurs dossiers en changeant l'endroit des routines subissant une mutationes et de chiffrage. En plus, les spécimens métamorphiques tels que la Comparaison ont la capacité de se démonter dynamiquement, changent leur code, et puis se rassemblent dans la forme exécutable.

Désactivation D'Antivirus

Une des manières desquelles le code malveillant essaye de protéger son gazon est en neutralisant les mécanismes de protection de virus sur la machine cible. Les candidats les plus en avant pour la désactivation sont les processus qui appartiennent au logiciel d'antivirus fonctionnant sur le système infecté. Les virus les plus réussis utilisant cette technique pourraient obtenir sur le système non reconnu, et puis se dépêchent pour neutraliser le logiciel d'antivirus avant que le malware obtienne détecté ou avant les mises à jour d'utilisateur la base de données des signatures de virus.

Le ProcKill Trojan est un exemple d'un spécimen de malware qui contient une liste de plus de 200 noms de processus qui appartiennent habituellement à l'antivirus et aux programmes personnels de mur à l'épreuve du feu. Une fois installé sur le système, ProcKill recherche la liste de processus courants et termine ceux qu'elle identifie. Sans antivirus approprié et processus personnels de mur à l'épreuve du feu fonctionnant sur la machine, le virus a le règne libre pour infecter et changer le système.

Une prolongation intéressante de cette technique a été mise en application par le MTX virus/worm qui s'est étendu en 2000. Après l'infection du système, MTX a surveillé les tentatives de la victime d'accéder à l'Internet, et a bloqué l'accès aux domaines qui étaient susceptibles d'appartenir aux fournisseurs d'antivirus. Une approche comme ceci empêche l'utilisateur d'installer facilement le logiciel d'antivirus ou de mettre à jour ses signatures, une approche intelligente pourtant méchante pour les mauvais types. Si vous ne pouvez pas surfer au dispositif de mise à jour de base de données de signature de virus, vous ne pourrez pas détecter le nouveau malware sur votre boîte.

Quelques virus essayent également de dévier des restrictions de sécurité imposées par Microsoft Office que nous avons examiné plus tôt. Vous pourriez vous rappeler que Microsoft Office nous permet de bloquer l'accès à l'objet de VBProject qui contient des commandes fréquemment employées par de macro virus pour infecter de nouveaux documents. Cette restriction est commandée par un arrangement d'enregistrement qu'un virus pourrait manoeuvrer. Si l'utilisateur permettait à des macros dans le document infecté de s'exécuter, le virus pourrait alors changer cet arrangement d'enregistrement pour enlever des restrictions à l'accès à l'objet de VBProject. Cette technique a été mise en application par le virus de Listi (également connu sous le nom de Kallisti).

Listi commence ce segment de code en vérifiant la valeur de la clef AccessVBOM d'enregistrement. S'il est placé à 1, alors l'accès à VBProject n'est pas restreint, et le virus peut continuer l'infection. Si l'accès à VBProject est bloqué (c.-à-d., sa valeur est plus grande qu'ou moins de 1), alors Listi place la clef d'enregistrement à 1, et sort Microsoft Word par l'intermédiaire de l'appel de WordBasic.FileExit. Le mot doit être remis en marche pour des changements à la clef d'AccessVBOM à l'effet de prise. La prochaine fois que l'utilisateur ouvre le document infecté, l'accès à VBProject ne sera plus restreint et le virus peut continuer à propager.

Techniques De Contrecarrer Malware art de l'auto-portrait-preservation

Comme vous pouvez voir, il y a quelques mesures que le code malveillant peut prendre afin d'essayer de dévier nos mécanismes de sécurité. Pour chaque mesure il y a des contre-mesures, qui a sa propre contre-contre-mesure, et ainsi de suite. Pour rester efficace dans un tel environnement, veillez vous comprendre les menaces et comment elles s'appliquent à votre environnement, et ne comptez pas sur une seule couche défensive pour se protéger contre des infections de malware. Chacune de ces techniques de art de l'auto-portrait-preservation peut être contrecarrée par l'application diligente du logiciel d'antivirus, du durcissement de configuration, et de l'éducation d'utilisateur. Les solutions de logiciel d'Antivirus se sont développées de plus en plus intelligentes dans leurs capacités de repèrer le code polymorphe furtif et survivre désactivation simple essaye. De garder vos signatures d'antivirus et de balayer le moteur à jour, vous tirerez bénéfice de ces avances. En plus, avec l'éducation saine d'utilisateur, même le code malveillant très subtile sera moins pour réussir à pénétrer son vos systèmes en premier lieu.

c'est un article supplémentaire par Levi D. Johnson


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions