Zelfbehoud Malware Technieken


  Share  
|

We hebben gesproken over een verscheidenheid van defensieve technieken om virussen te bestrijden. Echter, het virus schrijvers bewust van onze verdediging, en werken actief aan afbreuk aan doen. Een model malware kan tewerkstellen verschillende technieken in een poging om de detectie en verwijdering, met inbegrip van Stealthing, polymorfisme, metamorfose te voorkomen, en antivirus deactivering. Laten we een korte blik op deze zelfbehoud technieken een voor een.

Stealthing

Stealthing verwijst naar het proces van het verhullen van de aanwezigheid van malware op het besmette systeem. Een primitieve Stealthing methode die vaak wordt gebruikt door virussen begeleider houdt gewoon de vaststelling van de "verborgen" attribuut van het virus bestand om het minder waarschijnlijk dat het slachtoffer het bestand in een directory listing zult ontdekken maken. Stream metgezel virussen hebben een krachtiger Stealthing component-als ze hechten aan een gastheer, geen nieuwe bestanden worden gemaakt, en de meeste instrumenten zal melden dat de grootte van het originele bestand niet veranderen. Op een Windows-machine die het NTFS-bestandssysteem wordt gebruikt, zijn deze virussen opgenomen in een alternatieve datastroom geassocieerd met een aantal normaal bestand op het systeem.

Een andere manier waarop een virus kan camouflage zelf wordt door het onderscheppen van de poging van de antivirus programma's om een bestand te lezen, en met een schone versie van het bestand naar de scanner. Wanneer de scanner kijkt naar het geïnfecteerde bestand, het geïnfecteerde bestand presenteert een gezond beeld om de scanner. In weer een andere Stealthing scenario zou een virus vertragen van het tempo waarin het infecteert of schade bestanden, dus dat het de gebruiker een lange tijd om te beseffen wat er gaande is.

Polymorfisme en Metamorfose

Polymorfisme is het proces waardoor kwaadaardige code wijzigt haar verschijning om detectie te dwarsbomen zonder daadwerkelijk veranderen van de onderliggende functionaliteit. De uitdrukking polymorf geeft aan dat de code in vele vormen, allemaal met dezelfde functie op zich kan nemen. Met behulp van deze techniek, het virus code verandert dynamisch zelf elke keer wordt uitgevoerd. Het virus is nog steeds hetzelfde doel, maar een heel andere code base. Elke handtekeningen gericht op de vroegere vorm van de code zal niet meer ontdekken van de nieuwe, veranderde versies. Wellicht een van de eenvoudigste manieren om deze techniek in te voeren script-based virussen is dat het model de namen van haar interne variabelen en subroutines wijzigen voordat besmetten van een nieuwe gastheer. Deze namen zijn meestal willekeurig gekozen te bemoeilijken de taak van het creëren van een handtekening voor het monster.

Een andere manier om polymorfisme impliceert het veranderen van de volgorde waarin instructies zijn opgenomen in het lichaam van het virus. Dit kan lastig zijn uit te voeren, omdat het model moet ervoor zorgen dat de nieuwe orde niet de functionaliteit van de code te wijzigen. Virussen kunnen ook hun handtekening te wijzigen door het invoegen van de instructies in hun code die niets doet, zoals af te trekken en daarna het toevoegen van 1 tot en met een waarde. Deze functioneel inert instructies kan de code te houden aan haar oorspronkelijke functie, maar ontwijken enkele handtekeningen gebaseerde detectie.

In weer een andere polymorfe techniek, een virus versleutelt de meeste van zijn code, waardoor in duidelijke tekst alleen de instructies die nodig zijn om zichzelf automatisch te ontcijferen in het geheugen tijdens runtime. Het virus zou gebruiken meestal een ander willekeurig gegenereerde sleutel van zijn lichaam te versleutelen, verankeren de sleutel ergens in de code, en variëren het uiterlijk van de decryptie-algoritme om handtekeningen verwarren gebaseerd scanners. De MTE mutatie motor, uitgebracht rond 1992, werd het eerste instrument voor het eenvoudig toevoegen van polymorfe mogelijkheden om willekeurige kwaadaardige code, terwijl de morphing decryptor.

Metamorfose neemt het proces van de muterende het model een stap verder met iets veranderen van de functionaliteit van het virus als het zich verspreidt. Dit gebeurt vaak op subtiele manieren om ervoor te zorgen dat het virus detectie ontwijkt zonder verlies van haar potentie. Metamorfe virussen vaak de structuur van hun bestanden te veranderen door het variëren van de locatie van de muterende en versleutelen van routines. Daarnaast metamorfe specimens zoals simile de mogelijkheid om dynamisch te demonteren zelf hebben, veranderen hun code, en vervolgens weer in elkaar zich in uitvoerbare vorm.

Antivirus Deactivering

Een van de manieren waarop kwaadaardige code probeert haar grasmat te beschermen is door het uitschakelen van het virus bescherming mechanismen op de doel-machine. De meest prominente kandidaten voor deactivering zijn de processen die behoren tot antivirus-software die op het besmette systeem. De meest succesvolle virussen in dienst van deze techniek kunnen krijgen op het systeem herkend en vervolgens haast om antivirussoftware uit te schakelen voordat de malware wordt ontdekt of voordat de gebruiker de database updates van virusdefinities.

De ProcKill Trojan is een voorbeeld van een malware exemplaar dat een lijst van meer dan 200 proces namen die meestal behoren tot antivirus-en persoonlijke firewall-programma's bevat. Eenmaal geïnstalleerd op het systeem, ProcKill zoekt de lijst van lopende processen en eindigt die hij erkent. Zonder de juiste antivirus-en persoonlijke firewall-processen op de machine, het virus heeft vrij spel te infecteren en veranderen van het systeem.

Een interessante uitbreiding van deze techniek werd uitgevoerd door de MTX virus / worm die zich verspreiden in 2000. Na het infecteren van het systeem, MTX bewaakt pogingen van het slachtoffer om de toegang tot internet, en blokkeerde de toegang tot de domeinen die waarschijnlijk werden te behoren tot antivirus-leveranciers. Een aanpak als deze voorkomt dat de gebruiker gemakkelijk te installeren van antivirussoftware of van het actualiseren van haar handtekening, een slimme maar nare aanpak voor de slechteriken. Als je niet kan surfen naar de virus signature database update functie, zult u niet in staat zijn om de nieuwe malware te detecteren op uw vak.

Sommige virussen ook proberen om de beveiliging te omzeilen beperkingen opgelegd door Microsoft Office die we eerder onderzocht. Je zou kunnen herinneren dat Microsoft Office stelt ons in staat om de toegang tot het object dat VBProject bevat commando's die veelvuldig worden gebruikt door macro virussen besmetten om nieuwe documenten te blokkeren. Deze beperking wordt gecontroleerd door een register instelling die een virus zou kunnen manipuleren. Als de gebruiker toegestaan macro's in het geïnfecteerde document uit te voeren, kan het virus dan veranderen deze registerinstelling om beperkingen op de toegang tot de VBProject object. Deze techniek werd uitgevoerd door de Listi (ook bekend als Kallisti) virus.

Listi begint deze code segment door het controleren van de waarde van de registersleutel AccessVBOM. Als deze is ingesteld op 1, dan is de toegang tot VBProject niet beperkt is, en het virus kan worden voortgezet met de infectie. Als de toegang tot VBProject is (dwz de waarde ervan geblokkeerd wordt groter of kleiner dan 1), dan Listi stelt de registersleutel op 1, in-en uitgangen Microsoft Word via de WordBasic.FileExit oproep. Word moet opnieuw worden gestart voor wijziging van het AccessVBOM sleutel tot kracht. De volgende keer dat de gebruiker opent het geïnfecteerde document, toegang tot VBProject zal niet langer worden beperkt en het virus kan blijven voortplanten.

Blokkering Malware Self-Preservation Technieken

Zoals u kunt zien, zijn er heel wat maatregelen die de kwaadaardige code kan nemen in een poging om onze beveiligingsmechanismen omzeilen. Voor elke maatregel is er een contra-maatregel, die zijn eigen anti-tegenmaatregel, enzovoort heeft. Effectief te blijven in een dergelijke omgeving, zorg ervoor dat u inzicht in de bedreigingen en hoe ze van toepassing zijn op uw omgeving, en vertrouw niet op een defensieve laag om jezelf te beschermen tegen malware-infecties. Elk van deze zelfbehoud technieken kunnen worden gedwarsboomd door de zorgvuldige toepassing van antivirus software, configuratie verharding, en de gebruiker onderwijs. Antivirus software oplossingen zijn gegroeid steeds intelligentere in hun capaciteiten om sluipende polymorfe code ter plaatse en eenvoudig deactivering pogingen te overleven. Door het houden van uw antivirus scanning engine handtekeningen en up-to-date, zult u profiteren van deze voorschotten. Bovendien, met geluid de gebruiker onderwijs, zelfs zeer subtiele kwaadaardige code minder waarschijnlijk zijn weg vinden naar uw systemen in de eerste plaats.

een artikel afkomstig van Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions