- III Международная студенческая научная конференция Студенческий научный форум — 2011
- Полиморфные вирусы
- Полиморфный вирус
- Содержание
- История
- Пример алгоритма
- Пример кода на ассемблере
- См. также
- Ссылки
- Полезное
- Смотреть что такое «Полиморфный вирус» в других словарях:
- Современные полиморфные вирусы не по зубам многим антивирусам
- Что значит полиморфный вирус
III Международная студенческая научная конференция Студенческий научный форум — 2011
Полиморфные вирусы
Полиморфизм — высококлассная техника, позволяющая вирусу быть незамеченным по стандартной сигнатуре. Все полиморфные вирусы снабжаются расшифровщиком кода, который по определенному принципу преобразует переданный ему код, вызывая при этом стандартные функции и процедуры операционной системы. Сами методы шифрования могут быть разными, но, как правило, каждая операция имеет свою зеркальную пару. В ассемблере это реализуется очень просто, и таких пар может быть очень много — ADD/SUB, ROL/ROR и т.п. Немаловажной особенностью полиморфного вируса является то, что вирус содержит операнды, функции и процедуры, которые служат лишь для запутывания кода.
Выделяют несколько уровней полиморфизма, используемых в вирусе:
— самые простые олигоморфные вирусы. Они используют постоянные значения для своих расшифровщиков, поэтому легко определяются антивирусами;
— вирусы, имеющие одну или две постоянные инструкции, которые используются в расшифровщиках;
— вирусы, использующие в своем коде команды-мусор. Это в своем роде ловушка от детектирования, помогает запутать собственный код. Но такой вирус может быть засечен с помощью предварительного отсеивания мусора антивирусом;
— использование взаимозаменяемых инструкций с перемешиванием в коде без дополнительного изменения алгоритма расшифровки, помогает полностью запутать антивирус;
— неизлечимый уровень. Существуют вирусы, которые состоят из программных единиц — частей. Они постоянно меняются в теле и перемещают свои подпрограммы. Характерной особенностью такой заразы являются пятна. При этом в различные места файла записываются несколько блоков кода, что обуславливает название метода. Такие пятна в целом образуют полиморфный расшифровщик, который работает с кодом в конце файла. Для реализации метода даже не нужно использовать команды-мусор, подобрать сигнатуру будет все равно невозможно.
Полиморфизм стал весьма распространенным лишь благодаря расшифровщику. Удобно то, что один файл может работать со многими вирусами. Этим и пользуются вирусописатели, используя чужой модуль. В полиморфы нередко встраивают код, который выполняется в зависимости от определенной ситуации. Например, при детектировании вируса он может вызвать процедуру самоуничтожения. Как самого себя (частичная или полная безвозвратная модификация кода), так и системы (массовое заражение системных файлов без возможности восстановления). Это очень осложняет поиск антивируса от полиморфного вируса, до антивирусной лаборатории вирус доходит уже в нерабочем состоянии.
Первый полиморфный вирус появился в 1990 году и назывался Chameleon. Он вписывал свой код в конец COM-файлов, а также использовал два алгоритма шифрования. Первый шифрует тело по таймеру в зависимости от значения заданного ключа. Второй использует динамическое шифрование и при этом активно мешает трассировки вируса. Он не был опасен, хотя содержал в коде ряд ошибок, из-за которых генератор не мог расшифровать тело вируса. При этом исполняемый файл переставал функционировать. После длительного простоя системы Phantom выводил на экран видеоизображение с надписью. Она гласила, что компьютер находится под наблюдением опасного вируса.
Параллельно вирусам появлялись и полиморфик-генераторы, одним из которых был MtE, открывший целые вирусные семейства. Он уже использовал зеркальные функции, чем затруднял своё детектирование. Теперь вирусологу не нужно было писать свой дешифратор, а лишь воспользоваться MtE. MtE-вирус был перехвачен антивирусной лабораторией, поэтому быстрый выход защиты от первого серьёзного полиморфного вируса защитил множество рабочих станций от заразы.
Другое семейство вирусов Daemaen записывает себя в COM, EXE и SYS файлы. С виду эти вирусы выглядят вполне безопасно, но на самом деле происходит запись в MBR винчестера и в boot-сектора дискет, а тело заразы хранится в последних секторах.
Источник
Полиморфный вирус
Полиморфизм компьютерного вируса (греч. πολυ- — много + греч. μορφή — форма, внешний вид) — техника, позволяющая затруднить обнаружение компьютерного вируса с помощью скан-строк и, возможно, эвристики. Вирус, использующий такую технику, называется полиморфным.
Полиморфизм заключается в формировании кода вируса «на лету» — уже во время исполнения, при этом сама процедура, формирующая код также не должна быть постоянной и видоизменяется при каждом новом заражении. Большинство антивирусных программ пытаются обнаружить вредоносный код, соответствующий компьютерному вирусу, или часть кода такого вируса, посредством проверки файлов и данных, находящихся на компьютере или пересылаемых через компьютерную сеть или Интернет. Если изменить код вируса, отвечающий за поиск и заражение новых файлов или какую-либо другую важную его часть, то антивирус не сможет обнаружить такой «измененный» вирус. Часто код вируса «меняют», добавляя операторы эвристика и эмуляторы кода.
Содержание
История
Первый известный полиморфный вирус был написан Марком Вашбёрном (Mark Washburn). Вирус, который назывался 1260, был создан в 1990 году. Более известный полиморфный вирус был внедрён в 1992 году болгарским взломщиком Dark Avenger (псевдоним), создавшим MtE (Mutation Engine).
Пример алгоритма
Алгоритм, который использует переменные A и B, но не использует переменную C, может оставаться работоспособным даже если добавить множество различных команд, которые будут изменять содержимое переменной C.
Тот же самый алгоритм, но с добавлением операций, изменяющих переменную C:
Код внутри секции «Encrypted» может затем обрабатывать код между секциями «Decryption_Code» и «CryptoKey» и удалять «ненужные» операции, меняющие переменную C. Перед тем, как криптографическое устройство будет вновь использовано, он может добавить новые «ненужные» операции, меняющие переменную C, или даже полностью изменить алгоритм, но так, что он будет выполнять те же функции.
Пример кода на ассемблере
Один из самых простых способов реализации полиморфизма — побайтное шифрование основной части вируса операцией xor
Новая процедура расшифровки может формироваться с помощью следующих простых действий:
- какая-либо инструкция заменяется на другую(-ие), но делающую то же самое.
может быть заменена на
- перестановка, обмен местами инструкций, порядок следования которых неважен
- добавление «мусорных команд»
См. также
- Ассемблер
- Компьютерный вирус
- Хронология компьютерных вирусов и червей
- Метаморфный код
- Самомодифицирующийся код
- Алфавитно-цифровой код
- Шеллкод
- Взлом ПО
- Взлом защиты
Ссылки
Wikimedia Foundation . 2010 .
Полезное
Смотреть что такое «Полиморфный вирус» в других словарях:
Полиморфный вирус — файловый вирус, изменяющий свой код при заражении очередного файла. По английски: Polymorphic virus См. также: Файловые вирусы Финансовый словарь Финам … Финансовый словарь
Вирус (компьютерный) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия
Деструктивный вирус — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия
Хронология компьютерных вирусов и червей — Здесь приведён хронологический список появления некоторых известных компьютерных вирусов и червей, а также событий, оказавших серьёзное влияние на их развитие. Содержание 1 2012 2 2011 3 2010 4 2009 … Википедия
История компьютерных вирусов — Содержание 1 Первые самовоспроизводящиеся программы 2 Первые вирусы 2.1 ELK CLONER … Википедия
Полиморфизм компьютерных вирусов — У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия
Вирусы (компьютерные) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия
Компьютерные вирусы — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия
OneHalf — OneHalf полиморфный файлово загрузочный компьютерный вирус, работающий в среде MS DOS. При заражении компьютера, вирус устанавливал себя в Master boot record загрузочного диска и передавал управление программе вирусоносителю. Он… … Википедия
Ветряная оспа — У этого термина существуют и другие значения, см. Оспа. Ветряная оспа … Википедия
Источник
Современные полиморфные вирусы не по зубам многим антивирусам
Полиморфные вирусы получили свое название благодаря способности полностью менять свой код при каждом новом заражении, образуя многообразие форм одного и того же вируса. Это сильно затрудняет их обнаружение антивирусными программами.
Обнаружить полиморфный вирус с помощью сигнатур чаще всего невозможно. Для борьбы с ним используется эмулятор или специальные алгоритмы, уникальные для каждого полиморфного вируса. Проверка эффективности их работы и являлась целью данного теста.
Поскольку полиморфные вирусы являются одними из самых сложных для обнаружения, эффективность защиты от них может косвенно свидетельствовать о профессионализме антивирусных специалистов той или иной компании. Ведь необходимо не только тщательно проанализировать вирусный образец, но и создать алгоритм обнаружения всех модификаций данного полиморфного вируса.
Тест проводился на машине под управлением операционной системы Windows XP SP2 в период в период с 15 января по 20 февраля 2007 года. Тестовая коллекция включала только те вирусы, которые распространялись в сети в 2007 году. Количество образцов в коллекции составляло около 30 тысяч и они были сгруппированы в 11 семейств, каждое из которых имеет свои функциональные особенности.
Лучшими по обнаружению полиморфных вирусов оказались антивирусы Avira Antivir Personal Edition, F-Secure Anti-Virus и Антивирус Касперского, обнаружив 99.9% всех самплов, и набрав в сумме 31 из 33 баллов. Эти три продукта получили высшую награду Gold Anti-Polymorphic Protection Award.
Антивирусы Avast Professional Edition, AVG Anti-Virus Professional Edition, DrWeb и Eset Nod32 также показали неплохие результаты, набрав от 25 до 20 баллов. По результатам теста эти продукты получили награду Silver Anti-Polymorphic Protection Award.
Удовлетворительные результаты показали антивирусные продукты Microsoft Windows Live OneCare, Trend Micro Antivirus plus Antispyware, Symantec Anti-Virus, BitDefender Anti-Virus, Agnitum Outpost Seciruty Suite, Sophos Anti-Virus, VBA32 Workstation и Panda Antivirus. Все эти антивирусы получили награду Bronze Anti-Polymorphic Protection Award.
Сергей Ильин, управляющий партнер Anti-Malware.ru, так прокомментировал результаты теста: «Результаты теста наглядно показали сложности обнаружения полиморфных вирусов. Многим вендорам, как оказалось, не по зубам разработка качественных алгоритмов детектирования — только Avira, F-Secure, Лаборатория Касперского обеспечили своих клиентов надежной защитой от полиморфных вирусов, распространяемых в сети в 2007 году».
«Мы очень рады, что высокое качество антивирусных продуктов F-Secure находит подтверждение в тестах портала Anti-Malware.ru. Подобные независимые тесты антивирусных продуктов очень важны для специалистов, работающих как в области информационной безопасности, так и отвечающих за защиту корпоративной сетей, и способствуют выбору надежных, отвечающих необходимым параметрам решений. Результаты данного теста показывают, что далеко не все антивирусные компании могут похвастаться хорошими результатами по обнаружению полиморфных вирусов», — прокомментировал Антон Даниленко, Генеральный директор компании «Сфера Бизнес Системы», эксклюзивного дистрибьютора F-Secure в России и СНГ.
«»Лаборатория Касперского» всегда уделяла много внимания борьбе с полиморфными вирусами, разрабатывая для них уникальные алгоритмы детектирования. Подобные алгоритмы нами досконально продумываются и тщательно тестируются. То, что специалисты портала Anti-Malware.ru выявили в этих алгоритмах несколько незначительных ошибок, которые уже исправлены, на мой взгляд, лишь помогает нам еще больше повысить эффективность наших продуктов. В целом, наши высокие результаты в проведенном тестировании кажутся мне закономерными, учитывая, сколько сил мы вкладываем в качественное детектирование угроз», — отметил Денис Назаров, Руководитель группы эвристического детектирования «Лаборатории Касперского».
Anti-Malware.ru – независимый российский информационно-аналитический портал, посвященный программному обеспечению для защиты от различного типа вредоносных программ. На сайте в равной степени освещаются, анализируются и сравниваются продукты ведущих мировых производителей и методы защиты от всех видов современных угроз, которые попадают под определение malware.
Релиз опубликован: 2008-02-29
Источник
Что значит полиморфный вирус
Полиморфизм — высококлассная техника, позволяющая вирусу быть незамеченным по стандартной сигнатуре. Все полиморфные вирусы снабжаются расшифровщиком кода, который по определенному принципу преобразует переданный ему код, вызывая при этом стандартные функции и процедуры операционной системы. Сами методы шифрования могут быть разными, но, как правило, каждая операция имеет свою зеркальную пару. В ассемблере это реализуется очень просто, и таких пар может быть очень много — ADD/SUB, ROL/ROR и т.п. Немаловажной особенностью полиморфного вируса является то, что вирус содержит операнды, функции и процедуры, которые служат лишь для запутывания кода.
Выделяют несколько уровней полиморфизма, используемых в вирусе:
— самые простые олигоморфные вирусы. Они используют постоянные значения для своих расшифровщиков, поэтому легко определяются антивирусами;
— вирусы, имеющие одну или две постоянные инструкции, которые используются в расшифровщиках;
— вирусы, использующие в своем коде команды-мусор. Это в своем роде ловушка от детектирования, помогает запутать собственный код. Но такой вирус может быть засечен с помощью предварительного отсеивания мусора антивирусом;
— использование взаимозаменяемых инструкций с перемешиванием в коде без дополнительного изменения алгоритма расшифровки, помогает полностью запутать антивирус;
— неизлечимый уровень. Существуют вирусы, которые состоят из программных единиц — частей. Они постоянно меняются в теле и перемещают свои подпрограммы. Характерной особенностью такой заразы являются пятна. При этом в различные места файла записываются несколько блоков кода, что обуславливает название метода. Такие пятна в целом образуют полиморфный расшифровщик, который работает с кодом в конце файла. Для реализации метода даже не нужно использовать команды-мусор, подобрать сигнатуру будет все равно невозможно.
Полиморфизм стал весьма распространенным лишь благодаря расшифровщику. Удобно то, что один файл может работать со многими вирусами. Этим и пользуются вирусописатели, используя чужой модуль. В полиморфы нередко встраивают код, который выполняется в зависимости от определенной ситуации. Например, при детектировании вируса он может вызвать процедуру самоуничтожения. Как самого себя (частичная или полная безвозвратная модификация кода), так и системы (массовое заражение системных файлов без возможности восстановления). Это очень осложняет поиск антивируса от полиморфного вируса, до антивирусной лаборатории вирус доходит уже в нерабочем состоянии.
Первый полиморфный вирус появился в 1990 году и назывался Chameleon. Он вписывал свой код в конец COM-файлов, а также использовал два алгоритма шифрования. Первый шифрует тело по таймеру в зависимости от значения заданного ключа. Второй использует динамическое шифрование и при этом активно мешает трассировки вируса. Он не был опасен, хотя содержал в коде ряд ошибок, из-за которых генератор не мог расшифровать тело вируса. При этом исполняемый файл переставал функционировать. После длительного простоя системы Phantom выводил на экран видеоизображение с надписью. Она гласила, что компьютер находится под наблюдением опасного вируса.
Параллельно вирусам появлялись и полиморфик-генераторы, одним из которых был MtE, открывший целые вирусные семейства. Он уже использовал зеркальные функции, чем затруднял своё детектирование. Теперь вирусологу не нужно было писать свой дешифратор, а лишь воспользоваться MtE. MtE-вирус был перехвачен антивирусной лабораторией, поэтому быстрый выход защиты от первого серьёзного полиморфного вируса защитил множество рабочих станций от заразы.
Другое семейство вирусов Daemaen записывает себя в COM, EXE и SYS файлы. С виду эти вирусы выглядят вполне безопасно, но на самом деле происходит запись в MBR винчестера и в boot-сектора дискет, а тело заразы хранится в последних секторах.
Источник
