Криптираният вирусен код: стар номер в нов вариант?

Криптираният вирусен код: стар номер в нов вариант?

---

Вирусите, които използват криптиран код, не са нищо ново за хакерите или за разработчиците на системи за сигурност. Секюрити експертите обаче предупреждават за опасността от нови вируси, използващи т. нар. модифицирани изпълними кодове (Executive Code). Специалистите оспорват значимостта на заплахата, но ако тя се осъществи, може да принуди производителите на антивирусен софтуер да променят системите си за разпознаване, като в резултат те могат станат по-бавни и по-трудни за използване.
Някои секюрити компании предупреждават за опасности, които се появяват чрез кибератаки от ново поколение, базирани на смесването на динамични кодове. Според други обаче подобни предупреждения само допринасят за развитието на изпитаната стара тактика на хакерите. Възможността за намеса в динамичния код доведе до засилване на опасенията, че подобни атаки може да направят безполезни вирусните сигнатури. Вирусите, които съдържат криптиран код, се скриват от сканиращия антивирусен софтуер и след като веднъж влязат в заразения компютър, се разкодират.
Това би могло да се случи всеки път, когато компютърът отваря Web сайт със зловредно съдържание. По този начин РС-то става уязвимо към вируси, които разполагат с различни кодирани ключове от тези на предишния посетител на сайта.
„Хакерите използват криптиран код години наред”, казва Дейвид Пери TrendMicro. „Предупрежденията, появяващи се напоследък, свидетелстват за т.нар. „полиморфизъм” или „мутация”, допълва той.

Има нещо различно
Известно е, че някои от вирусите са криптирани, но executive частта на зловредния код прави изключение, коментира Марко Перети, директор на базираната в Хемпшир компания BeyondTrust. Днес хакерите модифицират изпълнимите файлове и засичането им чрез конвенционалния антивирусен софтуер може да се превърне в голямо предизвикателство. ИТ мениджърите могат да намалят риска от кодираните вируси, като ползват компютрите в режим на работа в най-слабо привилегирована среда, отбелязва още той.

“Инжектиране” на кода
Техниката, наречена „инжектиране” или “вмъкване” на код, не е нещо ново, твърди Дейвид Маркъс, мениджър по проучванията на сигурността и комуникациите в McAfee Avert Labs. „Сблъскваме се с този проблем ежедневно. Хакерите вмъкват своя код в приложенията, a ние го изолираме, за да направим анализ на съдържанието”, подчертава той.
Според Перети всеки път, когато даден вирус се разпространява от един компютър на друг, неговата сигнатура се променя. Антивирусните продукти могат само да прихванат части от този код и да ги анализират за наличието на признаци за вируси.
Маркъс и Пери от TrendMicro признават, че антивирусните компании не проявяват особено внимание към съобщенията за “инжектираните” вирусни кодове. Според тях съвременните тенденции при вирусите са две. Едната е, че създателите на вируси предпочитат по-малки по обхват атаки на специфични групи компютърни потребители. Другата е, че хакерите рециклират използвани преди кодове, като ги правят да изглеждат различни.

Web помощ?
За хакерите е лесно да тестват криптираните скрити вирусни компоненти с помоща на различни Web сайтове като www.virustotal.com, които са специализирани в предоставяне на възможност на клиентите да проверяват съмнителни файлове. Тези сайтове предлагат безплатни услуги на потребителите, като сваляне на файлове за сканиране на 28 антивирусни продукти. В същото време обаче те улесняват престъпниците при криптирането на техните вирусни кодове и им помагат да тестват доколко ефективни са скритите части и могат ли да избегнат засичането им.

---