In che modo vengono scoperti esattamente i nuovi virus?

Naviga le tue risposte
3

Quando Evil McJones sviluppa Virus X e inizia la sua propagazione, quali eventi devono accadere per le aziende AV (e le società di testing / validazione AV) per riconoscere Virus X?

Questa risposta a questa domanda fornisce un breve elenco di modi ad alto livello per individuare il virus:

  • Samples are sent in by customers
  • Malware detected by heuristic scanners (i.e. stuff that behaves like a virus) is further analysed
  • Mail blocked as spam can be analysed for malware attachments.
  • "honeypots", which are public servers or email addresses designed to collect malware
  • going undercover in malware writers communities

Ma quali sono le specifiche? I metodi di raccolta dei virus non effettuati dai clienti sono completamente automatizzati? Oppure, ci sono N persone in un laboratorio che cercano di contrarre qualcosa?

Quali euristiche / comportamenti portano a un'analisi più approfondita? E in cosa consiste l'analisi più approfondita? Qual è il "marker finale" di un virus?

... E chi la chiama dannatamente?

    
posta svidgen 02.09.2014 - 23:12
fonte

1 risposta

3

La maggior parte delle aziende AV ha un team di analisti che monitora i campioni in arrivo raccolti da una varietà di fonti.

Queste fonti includono ma non sono limitate a:

  • acquisizione di campioni da macchine sandbox funzionanti in un honeypot
  • campioni inviati tramite i clienti automaticamente o manualmente
  • campioni acquisiti da terze parti compresi i fornitori concorrenti

I primi e gli ultimi sono generalmente le principali fonti di dati.

La maggior parte dei malware raccolti da queste fonti principali viene riprodotta e le azioni eseguite dal malware vengono quindi registrate. Una volta eseguita questa operazione, qualcuno del rivenditore AV potrebbe finire per esaminarlo, ma in alcuni altri casi è completamente automatico - tutto dipende dalla complessità del malware stesso, ma molto spesso richiede che qualcuno lo guardi il file stesso.

nominarli è una storia diversa. Alcuni malware finiscono per ottenere lo stesso nome o almeno un nome simile in tutti i fornitori, ma il modo in cui si avvicinano allo schema di denominazione di solito finisce per essere il fornitore stesso.

Addendum da quando è stata apportata una modifica

Da quando hai aggiunto un articolo sull'euristica, dovrebbe tenere presente che l'euristica non funziona realmente per gli utenti finali, ma consente ai produttori di AV di diventare sospettosi riguardo a un file stesso. Determinati comportamenti come un file in una directory del sistema operativo in corso di modifica o un'impostazione di sicurezza modificata possono far scattare il rilevamento durante l'esecuzione nella sandbox.

A volte non si tratta di ciò che fa sul file system, ma piuttosto di ciò che le chiamate API del sistema operativo fa o persino delle istruzioni che esso genera anche alla CPU. Esistono molti esempi di malware che fanno semplicemente istruzioni inutili o eseguono chiamate API che non hanno senso - come un file camuffato da un'applicazione della calcolatrice che effettua chiamate allo spool della stampante anche se l'app della calcolatrice non viene stampata.

Per complicare le cose, anche gli autori di malware codificano spesso il file utilizzando un programma di compressione, il che significa che il file dannoso viene codificato in un modo che richiede di "decomprimerlo" per sapere cosa sta succedendo - pensa di compressione dei file qui. I produttori di AV possono fare i conti con questo perché alcuni packer possono provenire da fonti legittime, il che significa che non è possibile utilizzare la parte di imballaggio dell'applicazione come dannosa perché in questo caso si potrebbero utilizzare altre applicazioni legittime che utilizzano tale pacchetto. Questo può rendere le firme un po 'dolorose.

    
risposta data 02.09.2014 - 23:47
fonte

Leggi altre domande sui tag

C ++ memset () overflow della memoria Gestione dei dati HTTP non crittografati per un sistema conforme allo standard PCI - nell'ambito di PCI DSS v3 ma non v2?