Уход от сигнатурного анализа антивирусных сканнеров, о чем упорно молчат антивирусные компании...

1. Полиморфный вирус - вирус, предпринимающий специальные меры для затруднения своего обнаружения и анализа. Не имеет сигнатур, т. е., не содержит ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-полиморфика не будут иметь ни одного совпадения. Достигается это за счет шифрования основного тела вируса и существенной модификации от копии к копии модуля-расшифровщика.
Каждый экземпляр полиморфного вируса шифруется своим ключом. Для шифрования кода полиморфного вируса могут использоваться случайные ключи и алгоритмы шифрования.
Для обнаружения полиморфных вирусов, как правило, используются специально разрабатываемые для каждого полиморфного вируса алгоритмы обнаружения.
2.В классификации CARO полиморфные вирусы в зависимости от их сложности разделяют на несколько уровней.
Уровень 1. Вирусы первого уровня полиморфизма используют постоянные значения для разных расшифровщиков. Их можно обнаружить по некоторым постоянным участкам кода расшифровщика. Такие вирусы принято называть "не совсем полиморфными", или олигоморфными (oligomorphic).
Уровень 2. Ко второму уровню полиморфизма относят вирусы, расшифровщик которых имеет постоянной одну или несколько инструкций. Например, он может использовать различные регистры, некоторые альтернативные инструкции в расшифровщике. Такие вирусы также можно распознать по определенной сигнатуре - заданным сочетаниям байт в расшифровщике.
Уровень 3. Вирусы, использующие в расшифровщике команды, не участвующие в расшифровании вирусного кода, или "команды-мусора", относят к третьему уровню полиморфизма. Это такие команды ассемблера, как NOP, MOV AX, AX, STI, CLD, CLI и т.д. Данные вирусы также можно определить с помощью некоторой сигнатуры, если произвести отсеивание всех "мусорных" команд.
Уровень 4. Вирусы четвертого уровня используют в расшифровщике взаимозаменяемые инструкции и "перемешанные" инструкции без изменения алгоритма расшифрования. Например, ассемблерная команда MOV AX,BX имеет взаимозаменяемые инструкции: PUSH BX - POP AX; XCHG AX,BX; MOV CX,BX - MOV AX,CX и т. д. Детектирование данных вирусов возможно с помощью некоторой перебираемой сигнатуры.
Уровень 5. Пятый уровень полиморфизма включает свойства всех перечисленных уровней, а кроме того, расшифровщик может использовать различные алгоритмы расшифрования вирусного кода. Для расшифровки возможно использование основного вирусного кода, расшифровки части самого же декриптора или нескольких расшифровщиков, поочередно расшифровывающих друг друга либо непосредственно вирусный код. Как правило, обнаружение вирусов данного уровня полиморфизма с помощью сигнатуры невозможно. Если для обнаружения такого вируса возможен серьезный анализ кода только самого расшифровщика, то для лечения необходимо произвести частичную или полную расшифровку тела вируса, чтобы извлечь информацию о зараженном файле.
Уровень 6. К нему относятся нешифрованные вирусы - т. е. вирусы, состоящие из программных единиц-частей, которые "перемешиваются" внутри тела вируса. Данные вирусы, как "кубики", тасуют свои подпрограммы (инсталляции, заражения, обработчика прерывания, анализа файла и т. д.). Такие вирусы еще называются пермутирующими (permutating).
3.Первым представителем полиморфных вирусов стал "Chameleon" в начале 1990 года, однако проблема стала серьезней чуть позже – в апреле 1991 года была зарегистрирована эпидемия "Tequila". Идея полиморфных вирусов стала столь популярна, что дошло до создания генераторов полиморфных вирусных кодов – первым стал MtE. Кроме того, генератор позволял получать полиморфный вирус из обычного – путем присоединения к OBJ-файлу вируса файла полиморфного кода с идентичным расширением.
Фактически, с появлением генераторов для создания полиморфного вируса не требовалось знать код оригинального вируса – достаточно было просто "скормить" его генератору, и тот делал всю работу за начинающего хакера. Впоследствии полиморфные вирусы стали крайне популярны, так как для их отлова требуются специальные математические алгоритмы восстановления исходного кода вируса, эмуляция исполняемого вирусом действий и другие сложности.
Генераторы полиморфных вирусов также совершенствовались – в середине девяностых это были MTE 0.90 (Mutation Engine), TPE (Trident Polymorphic Engine), четыре версии NED (Nuke Encryption Device) и DAME (Dark Angel's Multiple Encryptor).
Полиморфные вирусы активно развивались примерно до начала XXI века, однако затем произошел общий крен вирусописательства в сторону червей и троянов. Технология постоянной мутации кода для затруднения обнаружения антивирусными программами временно оказалась невостребованной.
Однако начиная примерно с 2003 года полиморфизм снова начинает привлекать внимание вирусного сообщества. Это было вызвано тем, что антивирусные программы все больше и больше совершенствовались, и уже стало нельзя использовать в качестве инструментов скрытия кода различные программы-паковщики, которые были на тот момент излюбленным детищем вирусописателей.

Юмор по теме...:

" Антивирусы на войне...

Касперский

Пехотный батальон. Становится лагерем вокруг компьютера, роет окопы и противотанковые рвы, минирует все к чертовой матери, обматывает колючей проволокой в сорок рядов, распределяет сектора обстрела орудий и пулеметов. Получившуюся оборону можно прорвать лишь при пятикратном (как минимум) численном превосходстве и только после многочасовых бомбардировок.
Преимущества: Враг сможет пройти лишь одним способом - превратив компьютер в выжженую пустыню.
Недостатки: Солдат надо кормить, а минные поля и окопы затрудняют перемещение гражданских, так что от ресурсов системы не остается почти ничего.

AVG

Батальон фольксштурма. Вооружен до зубов, но пользоваться оружием не умеет совершенно, периодически стреляя по своим и накрывая артиллерией совсем не те квадраты, отчего очень часто страдают гражданские. При появлении противника на горизонте начинает судорожно разворачиваться в боевой порядок и пытается рыть окопы прямо под пулями, так как совершенно не позаботился о заблаговременной организации обороны. В итоге ничего сделать не успевает, плюет на все и лупит по наползающим танкам из винтовок - разумеется, без особого толку.
Преимущества: Фольксштурмовцы обходятся подножным кормом, так что ресурсы системы практически не страдают.
Недостатки: Беспорядочная пальба по своим и по гражданским, высокая вероятность сдать позиции за считанные минуты при появлении реального противника. (P.S. - freeware, хорошая штука)

Avast

Артиллерийская батарея. Эффективна против лобовой атаки - врага, наступающего на нее с фронта, способна перемолоть практически в любых количествах, почти без потерь для себя. Однако для ударов c фланга и, тем более, против заброшенных в тыл диверсантов, весьма уязвима. Разумеется, после того, как орудия будут развернуты в нужном направлении, перемалываются и диверсанты, но на это требуется время.
Преимущества: Артиллеристы кормят себя сами. Не спрашивайте, как - не знаю. Но система остается почти незатронутой.
Недостатки: Низкая оперативность.

Panda

Женский батальон, составленный из институток, вооруженных старенькими винтовками. При малейшем шорохе начинают истошно визжать и палить наугад (обычно - в небо). При виде противника падают в обморок или разбегаются.
Преимущества: Практически не заметен.
Недостатки: Полезный эффект тоже не заметен.

NOD32

Кавалерийский эскадрон. Оборону держать не обучен вовсе, при виде врага тут же бросается на него в атаку. Пытается взять нахрапом, обычно - психической атакой с шашками наголо. Если это не удается с первого раза, рассеивается по оврагам, уходит в партизаны и ждет подходящего момента чтобы повторить процедуру.
Преимущества: Лучшая оборона - это нападение, так что подобная тактика срабатывает всегда, пусть и не с первого раза.
Недостатки: Иногда приходится ждать очень долго. У местных красоток уже рождаются первые детки, похожие на солдат неприятеля, а эскадрон все еще партизанит по лесам и пускает под откос вражеские поезда с женскими подвязками. (P.S. хороший AV)

McAfee

Танковая бригада. Рычат моторы, пахнет смазкой, чумазые танкисты хватают пробегающих мимо девушек за округлые места, и где-то за лесом идет пальба. Выглядит внушительно и весомо, в бою работает быстро, эффективно и безжалостно. Враг внутрь проникнуть не может хотя бы просто от страха.
Преимущества: Надежность.
Недостатки: Танковая смазка нынче очень дорога, не говоря уже о снарядах и горючем.Иногда забывают за врагов, если вокруг сильно много девушек.

Norton

Вражеская оккупационная армия. Офицеры на правах победителей бесплатно пьют шнапс в роскошных ресторанах, солдаты бегают по дворам, реквизируют съестное, лапают женщин и занимаются мелким бытовым мародерством. Другой-то враг в страну, конечно, уже не пролезет, это да. Но и жизнь в условиях оккупации, знаете ли, тоже не сахар.
Преимущества: Граница на замке. Намертво.
Недостатки: Враг уже внутри.

Dr. Web

Батальон карателей. Окружает компьютер двойным оцеплением, устанавливает военное положение, круглосуточное патрулирование, комендантский час и расстрел на месте за малейшую провинность. Каратели хватаются за оружие по любому поводу, и даже если повода нет, просто жестоко избивают прикладами и коваными сапогами всех, кто покажется им подозрительным, даже если это сам хозяин. Если ходить с поднятыми руками, медленным шагом и повесить на грудь пропуск, есть шанс, что бить будут не сильно и не очень долго.
Преимущества: Враг не пройдет.
Недостатки: Гости и хозяева тоже.

Trend Micro OfficeScan

Батальон наемников-профессионалов. Работают быстро, четко и стопроцентно эффективно, но только за деньги. Не слушают никого, кроме своего центрального офиса. Готовы сжечь даже детский сад или ясли вместе со всеми обитателями, если из центрального офиса сообщат, что это - вражеский опорный пункт.
Преимущества: Nothing personal, just business.
Недостатки: Денег нет? Контракт закрыт, все вопросы к менеджеру.

ClamAV на UNIX-сервере

База инопланетян, осуществляющая входной контроль. Иммунны к земным болезням, неуязвимы к земному оружию. Не очень хорошо разбираются в лицах и форме землян, в сомнительных случаях пропускают.
Преимущества: ресурсы системы не тратятся, вернее, тратятся на сервере.
Недостатки: иногда пропускают врагов.

AVZ Антивирус Зайцева

Профессионал-одиночка, настоящий комиссар с революционным чутьём. Десантируется с флешки, уничтожает наступающие войска напалмом, вычисляет шпионов пятой колонны в тылу, на ходу проводя фейс-контроль всем солдатам командирам союзников. Быстренько чинит повреждения, нанесённые вредителями, даёт кучу советов по повышению революционной бдительности - и без следа уходит в красный закат.
Преимущества: Готов вступить в бой без всяких подготовок и рытья окопов. Обвешан кучей оружия, которое может пригодиться и для мирных целей. Работает исключительно за идею и очень, очень быстро.
Недостатки: Одиночка, со всеми вытекающими.

© автор мне не известен "

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

анекдот в тему:))

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Яндекс.Метрика