Портал по безопасности.
Проекты систем безопасности Типовые решения систем безопасности Чертежи и схемы подключений

Присоединяйтесь к нам в соц. сетях:

ГлавнаяНовостиНовости отрасли
Вирусы нового поколения могут конструировать собственный ...
Мобильная версия
Вход в личный кабинет
Регистрация, нас уже 5051
 - События которые нельзя пропустить
  • Вся информация в один клик

Вирусы нового поколения могут конструировать собственный кода на основе установленного ПО (1229)

Опубликовано: 23.08.2012 в 13:32

Вирусы нового поколения могут конструировать собственный кода на основе установленного ПО
Американские учёные по армейскому заказу разработали опытный образец вируса, который самособирается из отдельных фрагментов ПО, которые установлены на атакуемом компьютере. Концепт получил название Frankenstein, пишет журнал NewScientist. Перед учёными поставили задачу создать код, который будет практически невозможно обнаружить с помощью любого антивируса. Решением стала модульная конструкция вируса. После инсталляции на атакуемую машину, вирус конструирует свое рабочее тело из «гаджетов» —фрагментов исходного кода минимальной величины, каждый из которых имеет узкую специализацию и нацелен на выполнение определенной задачи. Сами гаджеты заимствуются из уже установленных на компьютере пользователя программ, таких как Notepad или InternetExplorer. Типичное Windows-приложение содержит более 100000 гаджетов, которые служат своеобразными сборочными кирпичиками. Например, explorer.exe — 127869 гаджетов, gcc.exe — 97173 гаджетов, calc.exe — 60391, cmd.exe — 25007, notepad.exe — 6975.
Предыдущие исследования в данной сфере продемонстрировали теоретическую возможность создания вирусного ПО таким методом, если достаточное количество гаджетов есть в наличии. Сейчас эта теория была подтвреждена на практике. Вишват Морхэн (Vishwath Morhan) и Кевин Хэмлер (Kevin Hamler) из Техасского технологического университета создали из Windows-гаджетов программу, реализовав два простейших алгоритма, которые, не смотря на свою простоту, вполне могут быть использованы в настоящем зловреде.
Главная особенность «Франкенштейна» состоит в том, что конструирование рабочего тела по запрограммированным инструкциям повторяется на всех зараженных компьютерах заново с использованием новых гаджетов, так что bin-file вируса в каждом случае выходит уникальным. Именно за счёт этой особенности его практически невозможно обнаружить по уже имеющимся базам вирусных сигнатур.
Такой подход генерации кода на порядок эффективнее, чем мутация уже имеющегося по заданному алгоритму любой сложности, потому что антивирусные компании довольно быстро просчитывают алгоритм и небольшим обновлением быстро «заделывают дырку». Чтобы бороться с вирусами типа «Франкенштейн», им придётся проводить анализ не программного кода, а реального поведения программы, возможно для этого придется запускать ее в песочнице, при том, что многие современные антивирусы умеют определять наличие песочницы и, соответственно, меняют свое поведение.
Презентация научной работы Кевина Хэмлера и Вишвата Морхэн Frankenstein: StitchingMalwareBenignBinaries прошла на конференции USENIX, прошедшей 6-7 августа в городе Белвью.






Комментарии
- Комментариев нет -

Оставить свой комментарий

Другие новости
За москвичами организована слежка по их мобильным телефонам
За москвичами организована слежка по их мобильным телефонам
Московская мэрия намерена с декабря приступить к массовому сбору информации о передвижении жителей города через сигналы, получаемые с их мобильных аппаратов. Все что для этого надо, сущая формальность в современных... Подробнее
Система безопасности Adobe раскритикована ИТ-специалистами Google
Инженеры корпорации Google в области информационной обвинили Adobe в неспособности оперативного устранения различных уязвимостей в своих программных продуктах даже после того, как соответствующая информация становиться... Подробнее
Bafruz атакует компьютерные антивирусы
Bafruz атакует компьютерные антивирусы
Корпорация Microsoft обнаружила новый, уникальный в своем роде, бэкдор Bafruz/Win32: он устанавливает зашифрованное P2P-соединения с прочими заражёнными компьютерами в сети, управляется через облачные C&R-серверы,... Подробнее

Подписаться на публикацию новых новостей.
Читать последние Новости.

Дополнительно

Скачать последний проект
Система пожаротушения складов сахара на основе модульной ТРВ

Система пожаротушения строится на оборудовании НВП Болид. Входящая в систему пожарная сигнализации...
Скачать проект (5,81 Мб)
Последние статьи
Безопасность детей в сети
Поэтому в этой статье мы поговорим об основных правилах безопасности, которые необходимо знать...
Безопасность онлайн игр
В этой статье мы поговорим о правилах безопасности онлайн...
© 2006—2017   ООО «Гермион»

При использовании материалов с сайта,
активная ссылка на портал обязательна.
Выбрать кнопку для своего сайта.

тел. (960) 510-55-00