Malware Técnicas de Conservación de vacaciones


  Share  
|

Hemos discutido una variedad de técnicas de defensa para combatir los virus. Sin embargo, los creadores de virus están al tanto de nuestras defensas, y están trabajando activamente en su debilitamiento. Un ejemplar de malware pueden emplear varias técnicas en un intento de evitar la detección y eliminación, incluyendo stealthing, polimorfismo, metamorfismo, y la desactivación de antivirus. Echemos un breve vistazo a estas técnicas de auto-preservación de uno en uno.

Stealthing

Stealthing se refiere al proceso de ocultar la presencia de malware en el sistema infectado. Un método stealthing primitiva que es a menudo utilizado por los virus de compañía implica simplemente el establecimiento de la "escondida" atributo del archivo de virus para que sea menos probable que la víctima se descubre el archivo en un listado del directorio. virus de la Corriente del compañero tienen un componente más de gran alcance stealthing-cuando se conecte a un host, no hay archivos nuevos se crean, y la mayoría de las herramientas de un informe que el tamaño del archivo original no cambia. En una máquina Windows que utiliza el sistema de archivos NTFS, estos virus están incluidos en una secuencia de datos alternativa asociada a algún archivo normal en el sistema.

Otra forma en la que un virus puede camuflarse es por intento de interceptar el programa antivirus para leer un archivo, y la presentación de una versión limpia del archivo en el escáner. Cuando el lector mira el archivo infectado, el archivo infectado se presenta una imagen sana al escáner. En otro escenario stealthing, un virus podría disminuir la velocidad a la que infecta archivos o daños, por lo que lleva al usuario mucho tiempo para darse cuenta de lo que está pasando.

Polimorfismo y metamorfismo

El polimorfismo es el proceso mediante el cual el código malicioso modifica su apariencia para impedir la detección sin cambiar su funcionalidad subyacente. El polimórficos término indica que el código puede asumir muchas formas, todas con la misma función. Usando esta técnica, el código del virus de forma dinámica se cambia cada vez que se ejecuta. El virus todavía tiene el mismo propósito, pero una base de código muy diferente. Las firmas se centró en la forma anterior del código ya no detectar las nuevas versiones, se transformó. Tal vez una de las formas más sencillas de aplicar esta técnica en los virus basados en secuencias de comandos es que la muestra modificar los nombres de sus variables internas y subrutinas antes de infectar a un nuevo huésped. Estos nombres son generalmente elegidas al azar para complicar la tarea de crear una firma para la muestra.

Otra forma de conseguir el polimorfismo consiste en cambiar el orden en que las instrucciones se incluyen en el cuerpo del virus. Esto podría ser difícil de implementar, porque la muestra tiene que asegurarse de que el nuevo orden no cambia la funcionalidad del código. Los virus también puede modificar su firma mediante la inserción de las instrucciones en su código que no hacen nada, como restando y sumando 1 a un valor. Estas instrucciones funcionalmente inerte permitir que el código de mantener su función original, pero evadir algunas de detección basada en firmas.

En otra técnica polimórfica, un virus encripta la mayor parte de su código, dejando en texto sin cifrar sólo las instrucciones necesarias para que automáticamente se descifrar en la memoria durante el tiempo de ejecución. El virus normalmente se utiliza una clave generada aleatoriamente diferentes para cifrar su cuerpo, insertar la llave en algún lugar de su código, y variar el aspecto del algoritmo de descifrado para confundir a los escáneres basados en firmas. El motor de mutación MtE, publicado alrededor de 1992, fue la primera herramienta para agregar fácilmente capacidades polimórficas arbitraria de código malicioso, mientras que el morphing descifrador.

Metamorfismo toma el proceso de mutación de la muestra un paso más en algo cambiar la funcionalidad del virus que se propaga. Esto se hace a menudo de forma sutil para que el virus evade la detección sin perder su potencia. Los virus metamórficos a menudo cambian la estructura de sus archivos mediante la variación de la ubicación de las rutinas de mutación y el cifrado. Además, las muestras metamórficas como símil tienen la habilidad de dinámicamente se desmonte, modifique su código, a continuación, volver a montar a sí mismos en forma ejecutable.

Antivirus Desactivación

Una de las formas en que los intentos de códigos maliciosos para proteger su césped es mediante la desactivación de los mecanismos de protección contra virus en la máquina objetivo. Los candidatos más destacados para la desactivación son los procesos que pertenecen a un software antivirus que se ejecuta en el sistema infectado. Los virus más exitosos que emplean esta técnica puede ser que consiga en el sistema no reconocido, y luego prisa para deshabilitar el software antivirus antes de que el malware se detecta o antes de que el usuario actualiza la base de datos de firmas de virus.

El troyano ProcKill es un ejemplo de una muestra de software malicioso que contenga una lista de más de 200 nombres de los procesos que normalmente pertenecen a programas antivirus y de firewall personal. Una vez instalado en el sistema, ProcKill busca en la lista de procesos en ejecución y termina los que se reconoce. Sin el antivirus y cortafuegos personal adecuado procesos que se ejecutan en la máquina, el virus tiene rienda suelta para infectar y alterar el sistema.

Una extensión interesante de esta técnica fue aplicada por el virus MTX / gusano que se extendió en el año 2000. Después de infectar el sistema, MTX controlar los intentos de la víctima para acceder a Internet, y bloqueó el acceso a los dominios que era probable que pertenecen a los proveedores de antivirus. Con este sistema evita que el usuario fácil de instalar software antivirus o de actualización de sus firmas, un enfoque inteligente pero desagradable para los chicos malos. Si no puede navegar a la característica de actualización de base de datos de firmas de virus, no será capaz de detectar el malware nuevo en su caja.

Algunos virus también intentan eludir las restricciones de seguridad impuestas por Microsoft Office que hemos examinado anteriormente. Es posible que recordar que Microsoft Office nos permite bloquear el acceso al objeto VBProject que contiene los comandos más utilizados por los virus de macro para infectar a nuevos documentos. Esta restricción es controlado por un valor de registro que un virus pueda manipular. Si el usuario permite macros en el documento infectado a ejecutar, el virus podría cambiar esta configuración del Registro para eliminar las restricciones sobre el acceso al objeto VBProject. Esta técnica fue aplicada por la listi (también conocido como Kallisti) virus.

Listi comienza este segmento de código mediante la comprobación del valor de la clave del Registro AccessVBOM. Si se establece en 1, entonces el acceso a VBProject no está restringido, y el virus puede continuar con la infección. Si el acceso a VBProject está bloqueada (es decir, su valor es mayor o menor que 1), a continuación, listi establece la clave de registro a 1, y sale de Microsoft Word a través de la llamada WordBasic.FileExit. Palabra tiene que ser reiniciado para que los cambios a la clave AccessVBOM surtan efecto. La próxima vez que el usuario abre el documento infectado, el acceso a VBProject ya no será restringido y el virus puede continuar para propagarse.

Frustrar Malware técnicas de auto-preservación

Como puede ver, hay bastantes pocas medidas que el código malicioso puede tener en un intento de eludir nuestros mecanismos de seguridad. Para cada medida hay una contra-medida, que tiene su propia contra-contramedidas, y así sucesivamente. Para seguir siendo eficaz en un ambiente así, asegúrese de entender las amenazas y cómo se aplican a su entorno, y no dependen de una sola capa de defensa para protegerse contra las infecciones de malware. Cada una de estas técnicas de auto-preservación pueden ser frustrados por la aplicación diligente de software antivirus, el endurecimiento de configuración, como para el usuario. Las soluciones antivirus de software han crecido cada vez más inteligentes en su capacidad de detectar código polimórfico sigiloso y sobrevivir a los intentos simple desactivación. Al mantener sus firmas antivirus y motor de exploración hasta la fecha, podrá beneficiarse de estos avances. Además, con la formación de usuarios de sonido, código malicioso, incluso muy sutil, es menos probable para encontrar su camino en sus sistemas, en primer lugar.

presentado por Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions