¿Cuál es la razón detrás de escribir un virus de descifrado? Con esto me refiero a un virus que tiene su carga útil cifrada, se desencripta en tiempo de ejecución y la ejecuta.
¿Cómo protege esto el virus del software antivirus?
¿Es todavía una técnica viable por sí misma hoy en día o puede el antivirus moderno contrarrestar este tipo de malware?
Es una de las técnicas de ofuscación empleadas por algunos virus para enmascarar su presencia y evitar la detección y facilitar la propagación (que afecta a otros sistemas).
Tales virus se cifrarían (se autocifrarían en caso de metamorphic o polymorphic virus que pueden mutar con la propagación) su carga útil y, como tal, impiden el examen directo, lo que puede reducir Capacidad del software antivirus para detectarlos y / o limpiarlos. Son difíciles de detectar mediante métodos rápidos de detección de antivirus, como la comparación de firmas de archivos con tablas de definiciones de virus, si la carga útil se mueve en su posición, cambiando efectivamente la firma del archivo ( metamorphism ). Sin embargo, los virus metamórficos no necesariamente usan cifrado.
Fuera del grupo de autodescodificación de los desagradables, los más difíciles de detectar son polymorphic virus, que pueden cambiar el esquema de cifrado (y / o usar una clave de cifrado aleatoria) para la carga útil, así como el código de descifrado mutado (la parte del archivo que no está cifrada y descifra la carga útil). La única forma confiable de detectar tales virus con software antivirus es mediante heuristics , inspeccionando las firmas de trozos más pequeños de su estructura, y / o ejecutándolos en una caja de arena e inspeccionando lo que realmente hacen. Estas técnicas de escaneo son, por supuesto, costosas, inhabilitadas por defecto por problemas de velocidad (y posiblemente para evitar falsos positivos) en software de nivel de consumidor, y no muchos usuarios lo habilitan en distribuciones que son realmente capaces de tales métodos de detección avanzados. p>
Entonces, para responder a su pregunta, sigue siendo una técnica viable, ya que hace que dichos virus sean más difíciles de detectar en la mayoría de los sistemas que podrían usar para propagarse a otros, y aumenta su tasa de supervivencia . Si está interesado, esta página enumera las técnicas de ofuscación de virus más comunes .
Un virus cifrado consiste en una rutina de descifrado y una carga útil de virus cifrada. Si un usuario lanza dicho virus, entonces:
La rutina de descifrado de virus se ejecuta y descifra la carga útil del virus.
Luego, la rutina de descifrado ejecuta la carga útil del virus cifrado.
Cada vez que se infecta un nuevo archivo, se realiza una copia de la carga útil del virus descifrado y la rutina de descifrado. Después de la infección, encripta el virus con carga útil con la nueva clave de encriptación y se adjunta junto con la rutina de descifrado al archivo de destino.
A medida que la clave de cifrado cambia de una infección a otra, debido a que el cuerpo de la carga útil del virus cambia, la carga útil del virus aparece de una infección a otra. Esto hace que sea extremadamente difícil para el software antivirus buscar una firma de virus extraída de un cuerpo de virus consistente.
Las rutinas de descifrado permanecen constantes de infección a infección, una debilidad que El software antivirus puede explotar.
Pero esta es una técnica muy básica y los escritores de malware utilizan técnicas cada vez más sofisticadas para evitar la detección de AV.
Aparte del virus estándar de autocifrado / descifrado, hay una nueva técnica de cifrado de virus en uso. El año pasado, se descubrió un virus de calidad profesional de alta tecnología llamado Gauss con una carga útil cifrada. La parte inteligente de este esquema es que la carga útil encriptada utiliza datos de la computadora de la víctima como la clave de descifrado. Hasta que el virus no esté instalado en la máquina de una víctima muy específica, ningún analista puede descifrar lo que hará la carga útil.
En el caso de Gauss, la clave se compone de una combinación de dos valores. El virus crea una lista de entradas en la variable de entorno PATH y una lista de nombres de carpetas en el directorio Archivos de programa. Cada par de las dos listas se combina, se agrega una sal, se ejecuta a través de 10,000 iteraciones de MD5 (bastante similar a la operación de PBKDF2) y luego se intenta un descifrado utilizando el hash como la clave. Si falla, el siguiente nombre de carpeta se empareja y el ciclo se repite. Si tiene éxito, la carga útil será descifrada y ejecutada. Hasta la fecha, nadie ha anunciado aún el descubrimiento del par de términos que desbloquearán la carga útil.
Gauss ya tiene malware no cifrado. Puede monitorear las pulsaciones y robar dinero de las cuentas en un banco libanés determinado. Se espera que la naturaleza de la carga útil encriptada sea mucho más dramática, algo similar a Stuxnet, famoso por destruir las centrífugas iraníes.
Lea otras preguntas en las etiquetas encryption malware