Un worm polimorfico / metamorfico può usare un mutex?

3

Un verme polimorfico / metamorfico può usare (lo stesso) mutex? Ciò risolverebbe il problema di macinare la rete nel terreno e consumare tutte le risorse con più istanze del worm. Il problema è che qualcosa di questo complesso debba essere scritto in assembly, che non ha il supporto per i mutex?

Per curiosità, tutto il codice polimorfico / metamorfico che ho visto è un virus che infetta i file. Qualcuno ha mai sentito parlare di un verme polimorfico / metamorfico da solo? Sembra che sarebbe più facile programmare di un file infector.

    
posta Celeritas 03.07.2012 - 21:22
fonte

2 risposte

2

Risposta breve: no.

Il punto del malware polimorfico è di non avere uno schema identificabile. Se si utilizza un mutex denominato, è necessario conoscere il nome del mutex su entrambi i processi. Per conoscere il nome del mutex, deve esserci uno schema. Se esiste un modello, l'AV può utilizzare tale modello per rilevare il malware.

    
risposta data 30.07.2012 - 17:32
fonte
2

Certo. Un worm polimorfico può certamente usare un "mutex" se lo desidera, per coordinare la sua attività. Niente gli impedisce di farlo.

A seconda del metodo utilizzato, ciò può fornire una firma che l'A / V basato sulla firma può utilizzare per riconoscere la presenza del worm. Alcuni di questi metodi potrebbero essere più facili da riconoscere per gli A / V basati sulla firma rispetto ad altri. Ci sono metodi subdoli che un worm può usare per coordinare tra le sue istanze che potrebbero non essere banali per l'A / V da rilevare.

Ad esempio, un modo in cui un worm polimorfico potrebbe coordinare le sue azioni su tutte le sue istanze sarebbe quello di comunicare attraverso la rete con un server C & C (c & C). Il server C & C può tenere traccia di tutte le istanze e dirgli cosa fare. Leggi di più su botnet . Il canale C & C è un potenziale modo in cui A / V è in grado di rilevare tali bot, ma ci sono anche modi in cui gli operatori bot possono rendere il canale C & C più rozzo, e in definitiva questo è un gioco di gatto e topo.

Penso che la domanda che hai posto sia di dubbia rilevanza pratica. I vermi su larga scala in questi giorni sono passati. Invece di cercare di infettare milioni di macchine e di entrare nelle notizie, in questi giorni i cattivi cercano di rimanere sotto il radar. Di solito è sufficiente una botnet molto più piccola, e non è così difficile assemblarne una. Né hanno bisogno di sofisticati exploit di livello super-geniale; dato il numero di macchine poco sicure su Internet, non è difficile per loro assemblare una botnet con poche centinaia o poche migliaia di macchine compromesse.

    
risposta data 31.07.2012 - 09:18
fonte

Leggi altre domande sui tag