Qual è la logica alla base della scrittura di un virus che si auto decodifica? Con questo intendo un virus che ha il suo payload crittografato, decodifica in fase di esecuzione e lo esegue.
In che modo protegge il virus dal software antivirus?
È ancora una tecnica valida da sola al giorno d'oggi o il moderno anti-virus può contrastare questo tipo di malware?
È una delle tecniche di offuscamento utilizzate da alcuni virus per mascherare la loro presenza ed evitare il rilevamento e facilitare una più facile diffusione (che colpisce altri sistemi).
Tali virus potrebbero crittografare (crittografare automaticamente in caso di metamorfico o polimorfici virus che possono mutare con la diffusione) del loro carico utile e come tali impediscono l'esame diretto, che può risultare in una riduzione capacità del software antivirus di rilevare e / o pulirli. Sono difficili da rilevare con metodi di rilevamento antivirus rapidi come il controllo della firma dei file nelle tabelle delle definizioni dei virus, se il carico utile sposta la posizione all'interno di esso, cambiando effettivamente la firma del file ( metamorfismo ). Tuttavia, i virus metamorfici non usano necessariamente la crittografia.
Al di fuori del mazzo di nasties che si auto-decodifica, il più difficile da rilevare è polimorfico virus, che possono modificare sia lo schema di crittografia (e / o utilizzare una chiave di crittografia casuale) per il payload, sia il codice di decodifica mutato (la parte del file che non è crittografata e decrittografa il carico utile). L'unico modo affidabile per rilevare tali virus con un software antivirus è la euristica , che controlla le firme di blocchi più piccoli dei loro struttura e / o eseguendoli in una sandbox e ispezionando ciò che effettivamente fanno. Tali tecniche di scansione sono ovviamente molto costose, disabilitate di default per problemi di velocità (e possibilmente per evitare falsi positivi) su software di tipo consumer, e non molti utenti lo abilitano mai su distribuzioni che sono effettivamente in grado di tali metodi di rilevamento avanzati.
Quindi, per rispondere alla tua domanda, è ancora una tecnica valida in quanto rende questi virus più difficili da rilevare sulla maggior parte dei sistemi che potrebbero usare per diffondersi ad altri, e aumenta il loro tasso di sopravvivenza . Se sei interessato, questa pagina elenca le tecniche di offuscamento dei virus più comuni .
Un virus crittografato consiste in una routine di decodifica e un payload virus crittografato. Se un utente lancia un virus di questo tipo:
Viene eseguita la routine di decrittografia dei virus che decrittografa il payload del virus.
Quindi la routine di decrittografia esegue il payload del virus crittografato.
Ogni volta che un nuovo file viene infetto, crea una copia della routine di decodifica e decodifica del virus sia decrittografata. Dopo l'infezione, crittografa il virus con il carico utile con la nuova chiave di crittografia e si collega con la routine di decrittazione al file di destinazione.
Poiché la chiave di crittografia cambia da infezione a infezione, a causa della quale il corpo del payload del virus cambia, rendendo il carico utile del virus diverso da infezione a infezione. Ciò rende estremamente difficile per il software anti-virus cercare una firma virale estratta da un corpo virus coerente.
Le routine di decrittografia rimangono costanti dall'infezione a un'infezione un debole che il software anti-virus può sfruttare.
Ma questa è una tecnica molto basilare e le tecniche sempre più sofisticate sono usate dagli autori di malware per bypassare il rilevamento AV.
Oltre al virus standard di crittografia automatica / decrittografia, esiste una nuova tecnica di crittografia dei virus in uso. L'anno scorso è stato scoperto un virus di livello professionale ad alta tecnologia di nome Gauss con un carico utile crittografato. La parte intelligente di questo schema è che il carico utile crittografato utilizza i dati del computer della vittima designata come chiave di decodifica. Finché il virus non viene installato su una macchina della vittima molto specifica, nessun analista può decifrare ciò che farà il carico utile.
Nel caso di Gauss, la chiave è composta da una combinazione di due valori. Il virus crea voci di elenco nella variabile di ambiente PATH e un elenco di nomi di cartelle nella directory Programmi. Ogni coppia delle due liste viene combinata, viene aggiunto un valore salt, viene eseguito attraverso 10.000 iterazioni di MD5 (abbastanza simile all'operazione di PBKDF2) e quindi viene tentata una decrittografia utilizzando l'hash come chiave. Se fallisce, il nome della cartella successiva viene associato e il ciclo viene ripetuto. Se ha successo, il carico utile verrà decrittografato ed eseguito. Ad oggi, nessuno ha ancora annunciato la scoperta della coppia di termini che sbloccherà il payload.
Gauss ha già un malware non crittografato. Può monitorare sequenze di tasti e rubare denaro da conti in una certa banca libanese. La natura del carico utile crittografato dovrebbe essere molto più drammatica, qualcosa sulla falsariga di Stuxnet, famosa per aver distrutto le centrifughe iraniane.
Leggi altre domande sui tag encryption malware