¿Alguna vez los virus han utilizado este método para comprobar si el sistema ya se ha infectado?

2

Sé que la era del gusano que se propaga solo ha terminado, pero ¿tiene este mecanismo para determinar si una máquina ya se ha infectado o no se ha utilizado alguna vez? Cuando se ejecuta un virus, comprueba si la máquina ya está infectada al buscar una cadena, por ejemplo, una clave llamada xyz en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft . Si se encuentra, significa que el sistema ya ha sido infectado. Si no se encuentra, el virus creará una nueva generación de sí mismo, que busca abc en lugar de xyz , crea la entrada de registro abc , inicia la nueva generación y se elimina.

En pseudocódigo

//initialize string matchMe to an arbitrary value
if(findThread(matchMe))
//machine already infected
else
 matchMe = getRandomString()
 addtoRegistery(matchMe)
 spawnNewGeneration(matchMe)
 deleteSelf();

De esta manera, no deja ninguna señal de fácil acceso que un antivirus pueda buscar.

    
pregunta Celeritas 20.01.2015 - 12:55
fuente

1 respuesta

3

Así que tengo "Practical Malware Analysis" de Sikorski y Honig delante de mí. Describen el uso de hilos, pero creo que la forma más popular de lo que estás describiendo es un mutex. El malware puede crear exclusión mutua en el nivel del kernel con nombres específicos utilizando la llamada al sistema KeInitializeMutex , y use ese mutex para marcar ese sistema. Si otra pieza del mismo malware cae en el sistema, puede ver si ese mutex nombrado está a) presente, o b) es propiedad de otro proceso. Si es así, entonces es razonable suponer que ya has infectado la computadora. Por supuesto, se convierte en una gran firma para antivirus y otras piezas de malware de la competencia.

También describen el uso del registro. El malware puede buscar valores específicos en el registro y lograr persistencia al integrarse a sí mismo como un servicio.

Así que sí, se utiliza esta técnica. Creo que algunos de los "malware" de muestra que se entregan con el libro utilizan estas técnicas.

    
respondido por el Ohnana 21.01.2015 - 15:10
fuente

Lea otras preguntas en las etiquetas