mboost-dp1

Flickr - Marc Bernet

Malware kan bygge sig selv ud fra andre programmer

- Via New Scientist - , redigeret af Pernicious

Det er tidligere blevet vist teoretisk, at det skulle være muligt at konstruere malware ved at bruge forskellige stykker kode fra forskellige programmer installeret på computeren.

Vishwath Mohan og Kevin Hamlen fra University of Texas har nu omsat teori til praksis og skabt programmet Frankenstein. Det følger et grundlæggende design og bruger forskellige stykker kode fundet i andre programmer hver gang den inficerer en ny computer.

Dette arbejde har de publiceret på konferencen 6th USENIX Workshop on Offensive Technologies. Forskerne beviser med Frankenstein, at det er muligt at udvikle malware, som er meget svært at opdage for antivirusprogrammer. I testen har Frankenstein ikke fuld malware-funktionalitet, men omfatter kun to simple funktioner, hvilket forskerne dog mener er nok til at vise, at metoden er brugbar.

Kevin Hamlen, University of Texas skrev:
The two test algorithms we chose are simpler than full malware, but they are representative of the sort of core logic that real malware uses to unpack itself. We consider this a strong indication that this could be scaled up to full malware.

Allerede i dag forsøger malware at mutere sig til ukendelighed, men antivirusprogrammerne kan alligevel ofte finde malwaren. Med udgangspunkt i blot tre stykker software, har Frankenstein oftest adgang til over 100.000 forskellige stykker kode, som kan bruges til at sammensætte en ny udgave sig selv, der ikke er kendt af antivirusprogrammerne.

Marco Cova fra University of Birmingham mener, at det derfor kan blive et problem for antivirusprogrammer i fremtiden at bekæmpe malware som Frankenstein. Dog mener han, at antivirusprogrammer i stedet for at kigge efter specifikke programstumper kan kigge efter mønstre, som er lig med de brugte stykker kode eller funktionen af et program.

Marco Cova, University of Birmingham skrev:
If the definition of maliciousness is ‘a program reads my keystrokes and sends them to a remote website’ then you don’t care about the specific byte sequences that implement this behavior.





Gå til bund
Gravatar #1 - Virtual-Aidz
26. aug. 2012 14:28
Jeg troede alle store antivirus programmer med respekt for dem selv var begyndt at søge efter adfærd istedet for kun at hænge sig på signature?
Gravatar #2 - Remmerboy
26. aug. 2012 14:50
Var jeg den eneste der læste "6th unisex workshop..."?

Gravatar #3 - thimon
26. aug. 2012 16:03
nyheden har muligvis relevans til en anden nyhed her på newz om ’return oriented programming, ROP.
http://newz.dk/rop-sikkerhedsloesning-fra-bluehat-...

Men jeg tør ikke lægge hovedet på blokken. Jeg tror at kasperD, muligvis kan fortælle mere om det.
Gravatar #4 - LordMike
26. aug. 2012 22:04
Men hvordan ved man som malware koder hvad malwaren så vil gøre?

Der er vel ingen garanti for at den fillæsnings funktion man får fra Office 2010, har identisk behaviour med den i Medieval 2 Total War.. ?

Point being - man ville vel ikke kunne garantere noget, overhovedet...
Gravatar #5 - ufomekaniker2
28. aug. 2012 02:00
Så må man da håbe at virusprogrammøren selv får sin virus inkl alle dens afarter.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login