Malware Self Preservation Techniken


  Share  
|

Wir haben eine Vielzahl von defensiven Techniken zur Abwehr von Viren diskutiert. Allerdings sind die Virenschreiber kennen unsere Abwehrkräfte, und arbeiten aktiv an sie zu unterminieren. Ein Malware-Muster können verschiedene Techniken in einem Versuch, Erkennung und Beseitigung, einschließlich Stealthing, Polymorphismus, Metamorphose und Antiviren-Deaktivierung zu vermeiden beschäftigen. Werfen wir einen kurzen Blick auf diese Selbsterhaltung Techniken ein zu einer Zeit.

Stealthing

Stealthing bezieht sich auf den Prozess der Verheimlichung der Präsenz von Malware auf dem infizierten System. Eine primitive Methode Stealthing, die oft von Viren verwendet Begleiter geht einfach die Einstellung des "versteckt"-Attribut des Virus Datei, damit es weniger wahrscheinlich, dass das Opfer wird die Datei in ein Verzeichnis zu entdecken. Stream Companion-Viren haben eine stärkere Stealthing komponentenbasierte, wenn sie an einen Host beimessen, sind keine neuen Dateien erstellt werden, und die meisten Werkzeuge wird berichten, dass die Größe der Originaldatei nicht verändert. Auf einem Windows-Rechner, die das NTFS-Dateisystem verwendet, werden diese Viren in einem alternativen Datenstrom mit einigen normalen Datei auf dem System verbunden enthalten.

Ein anderer Weg, in dem ein Virus kann sich tarnen ist durch das Abfangen der Antiviren-Programm den Versuch, eine Datei zu lesen, und präsentiert eine saubere Version der Datei mit dem Scanner. Wenn der Scanner auf die infizierte Datei aussieht, stellt die infizierte Datei ein gesundes Bild mit dem Scanner. In noch einem anderen Stealthing Szenario könnte ein Virus verlangsamen die Geschwindigkeit, mit der sie infiziert oder Schäden Dateien, so dass es dem Benutzer eine lange Zeit zu erkennen, was los ist erfolgt.

Polymorphismus und Metamorphose

Polymorphismus ist der Prozess, durch die schädlicher Code ändert sein Aussehen eine Erkennung ohne Änderung seiner eigentlich zugrunde liegende Funktionalität zu vereiteln. Der Begriff polymorph bedeutet, dass der Code kann viele Formen annehmen, die alle mit der gleichen Funktion. Mit dieser Technik der Virus-Code dynamisch ändert sich jedes Mal ausgeführt wird. Das Virus hat immer noch den gleichen Zweck, aber eine ganz andere Codebasis. Jede Unterschriften konzentrierte sich auf die frühere Form des Codes nicht mehr erkennt die neue, verwandelte Versionen. Vielleicht eine der einfachsten Möglichkeiten, um diese Technik in Skript-basierten Viren zu implementieren ist, dass die Probe ändern die Namen der internen Variablen und Subroutinen vor Infizieren einer neuen Host. Diese Namen sind in der Regel nach dem Zufallsprinzip ausgewählt, um die Aufgabe der Erstellung einer Signatur für die Probe zu erschweren.

Ein weiterer Weg zur Erreichung Polymorphismus umfasst das Ändern der Reihenfolge, in der Anweisungen in den Körper des Virus enthalten sind. Das könnte schwierig zu implementieren, da die Probe darauf zu achten, daß die neue Ordnung ändert nichts an der Funktionalität des Codes. Viren können auch ändern, indem Sie ihre Unterschrift Anweisungen in ihren Code, der nichts tun, wie Subtrahieren und dann die Zugabe von 1 auf einen Wert. Diese funktionell inerte Anweisungen erlauben den Code in seine ursprüngliche Funktion beibehalten, aber ausweichen einige Signatur-basierte Erkennung.

In noch einer anderen polymorphen Technik, verschlüsselt ein Virus die meisten seiner Code, so dass im Klartext nur den Anweisungen erforderlich, automatisch entschlüsselt sich in den Speicher während der Laufzeit. Das Virus würde in der Regel eine andere zufällig generierten Schlüssel zu seinem Körper zu verschlüsseln, den Schlüssel irgendwo einbetten in seinem Code, und variieren das Aussehen der Entschlüsselung Algorithmus zur Signatur-basierten Scannern zu verwechseln. Der MTE Mutation Engine, um das Jahr 1992 veröffentlicht wurde, war das erste Tool für die einfache Zugabe von polymorphen Funktionen auf beliebigen Schadcode während der Morphing decryptor.

Metamorphose dauert der Prozess der Mutation der Probe noch einen Schritt weiter durch geringfügige Änderung der Funktionalität des Virus, wie es breitet sich aus. Dies ist oft auf subtile Weise zu gewährleisten, dass die Virenerkennung ausweicht, ohne seine Potenz getan. Metamorphen Viren häufig ändern die Struktur ihrer Dateien durch Variation der Lage der Mutation und Verschlüsseln von Routinen. Darüber hinaus haben metamorphen Proben wie dem Gleichnis die Fähigkeit, dynamisch zu zerlegen selbst, ändern ihren Code, und dann wieder zusammenbauen, sich in ausführbarer Form.

Antivirus Deaktivierung

Einer der Wege, auf denen Schadcode versucht seinen Rasen zu schützen, ist durch das Deaktivieren des Virenschutzes Mechanismen auf dem Zielrechner. Die prominentesten Kandidaten für die Deaktivierung sind die Prozesse, die Antivirus-Software, die auf dem infizierten System beziehen. Die erfolgreichsten Viren Verwendung dieser Technik könnte auf dem System nicht erkannt, und dann eilig zu deaktivieren Antivirus-Software vor der Malware wird erkannt oder bevor der Benutzer die Datenbank aktualisiert von Virensignaturen.

Die ProcKill Trojan ist ein Beispiel für eine Malware-Exemplar, das eine Liste von mehr als 200 Namen von Prozessen, die normalerweise gehören zu Antivirus-und Firewall-Programme enthält. Einmal auf dem System installiert ist, sucht ProcKill die Liste der laufenden Prozesse und beendet jene, die es erkennt. Ohne entsprechende Antiviren-und Firewall-Prozesse auf dem Rechner ausgeführt wird, hat das Virus freien Lauf zu infizieren und verändern das System.

Eine interessante Erweiterung dieser Technik wurde von der MTX-Virus / Wurm implementiert, die Ausbreitung im Jahr 2000. Nach der Infektion des Systems überwacht MTX des Opfers versucht, den Internetzugang und blockiert den Zugriff auf Domains, die wahrscheinlich zu Antivirus-Hersteller beziehen waren. Ein Ansatz, wie dies hindert den Benutzer leicht installieren Antivirensoftware oder Aktualisierung der Signaturen, ein kluger noch böse Ansatz für die bösen Jungs. Wenn Sie nicht surfen, die Virensignatur-Datenbank-Update-Funktion, werden Sie nicht in der Lage, neue Malware auf Ihrem System zu erkennen.

Einige Viren auch versuchen, Sicherheit Beschränkungen von Microsoft Office verhängt, die wir untersucht früher umgehen. Sie erinnern sich vielleicht, dass Microsoft Office uns den Zugang zu den VBProject Objekt, das Befehle häufig von Makro-Viren verwendet werden, um neue Dokumente zu infizieren enthält blockieren. Diese Einschränkung wird durch eine Registrierungseinstellung, dass ein Virus könnte manipulieren gesteuert. Wenn der Benutzer erlaubt Makros in das infizierte Dokument ausführen, könnte das Virus dann ändern Sie diese Registrierungseinstellung zu Beschränkungen des Zugangs zu den VBProject Objekt zu entfernen. Diese Technik wurde von den Listi umgesetzt (auch als Kallisti bekannt)-Virus.

Listi beginnt dieses Codesegment indem Sie den Wert des Registrierungsschlüssels AccessVBOM. Wenn es auf 1 gesetzt ist, dann Zugang zu VBProject wird nicht eingeschränkt, und das Virus kann mit der Infektion fort. Wenn der Zugriff auf VBProject blockiert ist (dh der Wert größer oder kleiner als 1 ist), dann Listi setzt den Registrierungsschlüssel auf 1, und beendet Microsoft Word über die WordBasic.FileExit nennen. Word muss bei Änderungen der AccessVBOM Schlüssel wirksam neu gestartet werden. Das nächste Mal der Benutzer die infizierte Dokument öffnet, wird der Zugang zu VBProject nicht mehr eingeschränkt und kann das Virus weiterhin zu verbreiten.

Vereitelung Malware Selbsterhaltung Techniken

Wie Sie sehen können, gibt es einige Maßnahmen, die bösartigen Code in einem Versuch nehmen können, um unsere Sicherheitsmechanismen zu umgehen. Für jede Maßnahme gibt es eine Gegenmaßnahme, die ihre eigenen Gegen-Gegenmaßnahme hat, und so weiter. Um wirksam bleiben in einer solchen Umgebung, machen Sie sich mit den Bedrohungen und wie sie sich auf Ihre Umgebung, und nicht auf einer einzigen Schicht Defensive verlassen, um sich vor Malware-Infektionen zu schützen. Jede dieser Selbsterhaltung Techniken können durch die sorgfältige Anwendung von Antivirus-Software, Konfiguration Härten, und Benutzer Bildung konterkariert werden. Antivirus-Software-Lösungen gewachsen immer intelligenter auf ihre Fähigkeiten zu heimlichen polymorphen Code erkennen und überleben einfachen Deaktivierung versucht. Indem Sie Ihr Antivirus-Signaturen und Scan-Engine auf dem neuesten Stand, werden Sie von diesen Fortschritten profitieren. Zusätzlich mit Ton Benutzer Bildung, sogar sehr subtil Schadcode weniger geneigt sein, den Weg in Ihre Systeme finden in den ersten Platz.

Verfasst von Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions