Вредоносное самоуправления сохранения методов

Share

|

Мы обсудили различные оборонительные методы борьбы с вирусами. Однако вирус писателей знают наших возражений, и активно работают на подрыв их. А вредоносная программа образца может использовать несколько методов в попытке избежать обнаружения и уничтожения, в том числе stealthing, полиморфизм, metamorphism, антивирус и деактивации. Возьмем краткий обзор этих самоуправления сохранения методов по одному.

Stealthing

Stealthing понимается процесс сокрытия присутствия вредоносного ПО на инфицированные системы. А примитивное stealthing метод, который часто используется сопутствующего вирусов предполагает просто настройки "скрытых" атрибутов файлов вируса сделать это менее вероятно, что жертва будет открыть файл в список каталогов. Стрим сопутствующего вирусы более мощный stealthing компонент, когда они придают множество, не новые файлы создаются, и большинство инструментов представит доклад о том, что размер исходного файла не изменился. На машине Windows, который использует файловую систему NTFS, эти вирусы включены в альтернативный поток данных, связанных с некоторыми нормальный файл в системе.

Другой способ, в котором вирус может скрыть сам посредством антивирусной программы пытаться прочитать файл, и представить чистой файл для сканера. Когда сканера посмотреть на зараженный файл, зараженный файл представляет собой хорошее изображение в сканер. В еще одной stealthing сценарий, вирус может замедлить скорость, с которой он заболевает или повреждает файлы, так что он принимает пользователь длительное время понять, что происходит.

Полиморфизм и Metamorphism

Полиморфизм - это процесс, посредством которого вредоносные код изменяет его внешний вид воспрепятствовать обнаружению фактически без изменения его основных функций. Термин polymorphic свидетельствует о том, что код может взять на себя многие формы, все с той же функцией. Использование этого метода в том, что код вируса динамично изменения себя каждый раз, когда оно проходит. Вирус все еще имеет ту же цель, но совершенно другой код базы. Любое подписей сосредоточена на ранее формы код уже не будет обнаружить новые, morphed версий. Возможно, одним из простейших путей реализации этого метода в сценарий на основе вирусов состоит в том, чтобы образцы изменять имена своих внутренних переменных и subroutines до заразить новый хост. Эти имена обычно выбираются произвольно усложнять задачу создания подписи для образца.

Другой способ достижения полиморфизма предполагает изменение порядка, в котором инструкции включены в теле вируса. Это можно было бы сложно осуществить, поскольку образца необходимо убедиться в том, что новый порядок не влияет на функциональность кода. Вирусы могут также изменять их подписания, вставив инструкции в том, что их код не делать ничего, как вычитания, а затем добавить 1 к значению. Эти функционально инертной инструкции позволяют код сохранять свою первоначальную функцию, но обойти некоторые подписи на основе обнаружения.

В еще одной polymorphic метод, вирус шифрует большинство ее код, оставляя четкий текст, только инструкции, необходимые для автоматической расшифровки себя в памяти во время выполнения. Вирус, как правило, используют различные случайно получить основные зашифровать его тела, вставить ключ где-то в его код, и различаются по виду из расшифровки алгоритм смешивать подписи на базе сканеров. В MtE мутации двигателя, освобождены около 1992, стал первым инструментом легко добавить polymorphic возможности для произвольного вредоносного кода при морфинг в decryptor.

Metamorphism принимает процесс преображаются образца еще один шаг вперед на несколько меняется функциональность вируса, как он распространяется. Это часто делается в тонкие способы чтобы уклоняется от обнаружения вируса, не теряя своей потенции. Метаморфических вирусов часто меняет структуру своих файлов, различные места проведения преображаются и методы шифрования. Кроме того, метаморфические образцов таких, как Симиле иметь возможность динамически разбирать себя, изменить их код, а затем сами соберется в исполнимую форму.

Антивирусы Списание

Один из способов, в которых злоумышленного кода попытки защитить свои сферы влияния - это отключить антивирусную защиту механизмов на целевой машине. Наиболее кандидатов на отключение являются процессы, которые принадлежат антивирусное программное обеспечение работает на зараженные системы. Наиболее успешные вирусы используя этот метод может получить на системы непризнанных, а затем спешат отключить антивирусное программное обеспечение перед запускается вредоносная программа обнаружена, или до того, пользователь обновляет базы данных вирусов подписей.

В ProcKill Троян является пример одного образца вредоносного ПО, который содержит перечень более чем 200 процесс имена, которые обычно принадлежат антивирус и персональный брандмауэр программ. После установки в системе, ProcKill поиск список запущенных процессах и завершается тем, что оно признает. Без соответствующего антивирус и персональный брандмауэр процессов, работающих на компьютере, вирус бесплатно царствования инфицировать и изменять системы.

Интересным продолжением этого метода была осуществлена на MTX вирус / червь, что распространение в 2000. После заражения системы, MTX за жертвой попытки доступа к Интернету, и блокировали доступ к доменам, которые, вероятно, принадлежат к антивирус продавцов. Подход, как это позволяет пользователю легко устанавливать антивирусное программное обеспечение или обновления своих подписей, разумное еще nasty подход для плохих парней. Если вы не можете сидеть на вирус подписания обновления базы данных функцию, Вы не сможете обнаружить новый вредоносной программы на вашем компьютере.

Некоторые вирусы также попытки обойти ограничения безопасности, введенные Microsoft Управления что мы рассмотрели ранее. Можно напомнить, что Microsoft Управления позволяет блокировать доступ к VBProject объекта, который содержит команды часто используется макро вирусов инфицируют новые документы. Это ограничение контролируемых реестр настройки, что вирус может манипулировать. Если пользователю разрешено макросов в зараженный документ исполнить, вирус может изменить эту настройку в реестре снять ограничения на доступ к VBProject объекта. Этот метод был реализован в Листи (также известный как Каллисти) вируса.

Листи начинается этот сегмент кода, проверяя значение реестра AccessVBOM. Если он установлен в 1, то доступ к VBProject не ограничивается, и вирус может по-прежнему с инфекцией. Если для доступа к VBProject блокируется (т.е. его значение больше или меньше 1), а затем Листи создает ключ реестра на 1, и выходов Microsoft Word через WordBasic.FileExit слово. Word Необходим перезапуск о внесении изменений в AccessVBOM ключевых вступят в силу. В следующий раз, когда пользователь открывает зараженный документ, доступ к VBProject больше не будет ограничен, и вирус может продолжать пропагандировать.

Вредоносной программы сорвать самоуправления сохранения методов

Как вы можете видеть, существует целый ряд мер, которые вредоносного кода может принимать в попытке обойти наши механизмы безопасности. Для каждой меры имеется встречное мера, которая имеет свою собственную борьбе с контрмеры, и так далее. Для того чтобы оставаться эффективной в таких условиях, убедитесь, что вы понимаете, угрозы и как они относятся к вашей среды, и не полагаться на одного оборонительного слой защитить себя от вредоносного инфекций. Каждая из этих самоуправления сохранения методов может быть сорвано неукоснительное применение на антивирусное программное обеспечение, конфигурацию закалки, и пользователь образования. Антивирусные программные решения становятся все более разумным в их способности и месте stealthy polymorphic код и выжить простое отключение попытки. Внимательно Ваш антивирус подписей и сканирование двигателя до даты, вам извлечь выгоду из этих достижений. Кроме того, со звуком пользователь образования, даже очень тонкие злоумышленного кода будет меньше шансов найти свой путь в Вашу систему в первую очередь.