¿Cómo podría un AV detectar un virus que tiene la posibilidad de no descifrarse a sí mismo?

Navega tus respuestas
1

Si entiendo esto correctamente, existe la posibilidad de que el virus no se descifre por sí solo. ¿Cómo podría un AV detectar esto?

  

En algunos casos, el descifrador puede comenzar con un encabezado cuya intención es   No es inmediatamente obvio al leerlo. Un estudio adicional revela que   su propósito es generar código antiemulación sobre la marcha: el virus   construye un pequeño fragmento de código oligomórfico que contiene el   instrucción "ReaD Time Stamp Counter" (RDTSC). Esto recupera el   El valor actual de un procesador interno marca el contador. Luego, en base a   un bit aleatorio de este valor, el descifrador descodifica y   ejecuta el cuerpo del virus o pasa por alto la lógica de descifrado por completo   y simplemente sale. 4

- Redacción de Symantec en símil

    
pregunta Celeritas 10.08.2012 - 22:46
fuente

2 respuestas

4

Lo que dice el artículo es que el virus contiene una gran cantidad de código específico destinado a derrotar al antivirus, tanto el software AV en sí, como las técnicas de análisis utilizadas por los desarrolladores de AV para descubrir qué el virus lo hace En el párrafo específico que cita, es lo último que se discute: el código del virus altera su comportamiento cuando detecta que se está ejecutando en un emulador.

Teóricamente, un virus puede siempre ser derrotado por un ser humano siguiendo el código "a mano". Sin embargo, es agotador y lleva bastante tiempo. En la práctica, las compañías de AV no tienen ni el tiempo ni los recursos para hacer un análisis manual de cada nueva marca de virus, por lo que necesitan confiar en algunas técnicas semiautomáticas, como los emuladores. Esta es una batalla perdida a largo plazo ...

Rant Obligatorio: un virus informático puede existir y esforzarse solo debido a fallas en la estructura o implementación de los sistemas informáticos, en particular, en la ejecución de un código de dudosa procedencia. Un ejemplo de un sistema que está bien diseñado en esa materia es una distribución de Linux: los archivos ejecutables pueden venir solo como paquetes desde repositorios oficiales, y la procedencia se controla con firmas. No es "perfecto", pero la rareza de los virus en el ecosistema de Linux sugiere que hagan algo bien en algún momento. La mejor defensa contra virus es arreglar las fallas. Los AV son como una nueva capa de pintura para ocultar las grietas.

    
respondido por el Thomas Pornin 10.08.2012 - 23:24
fuente
1

Algunos antecedentes:

Solían decir que algunos virus eran de "múltiples partes" o "compuestos" por naturaleza. Esa es ahora la regla general, en lugar de la excepción. Todo código de ataque necesita algún método para adjuntarse o ser recolectado (erróneamente). Esta es la 'etapa de transporte'. Entonces el código necesita la oportunidad de vivir, la 'etapa de ataque'. Una vez que está activo, el código busca "llamar a casa" y (con suerte) descargar más código o actualizaciones. Luego, hay elementos adicionales que pueden eliminar la evidencia de registro, deshabilitar las utilidades de AV o dañar (o eliminar) los datos y aplicaciones en el destino ('el host').

Mi respuesta:

La tarea AV es detectar cualquier código o dato extraño a medida que llega o cuando está en su lugar. Esto requiere una "firma" o una característica única que sugiere un ataque (o simplemente un comportamiento malicioso). Sin embargo, el hecho de que la carga útil (u otros elementos) aún estén encriptados no debería afectar este método de detección.

Es probable que el cifrado impida (u obstaculice) cualquier intento de comprender completamente todas las capacidades de cualquier ataque, sus orígenes verdaderos o la familia única del ataque.

    
respondido por el david6 11.08.2012 - 02:29
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es usar este módulo (p3 Python) para cifrar un archivo? ¿Podría alguien explicar? Inyección remota post-SQL