среда, 22 августа 2012 г.

Virus Frankenstein borrows a code other programs -Frankenstein заимствует код у других программ!


Исследователи по заказу армии США создали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной создании дали наименование Frankenstein, пишет журнал New Scientist. Перед учёными поставили задание сделать код, который будет непросто обнаружить при помощи неизвестного антивируса. Задачу решили за счёт модульной конструкции вируса. После установки на машину жертвы, вирус конструирует рабочее тело из так называемых "гаджетов" - маленьких фрагментов исходного кода, любой из которых выполняет определённую узкую задачу.



Гаджеты заимствуются из программ, уже установленных на компьютере пользователя, таких как Internet Explorer или Notepad. Характерная Windows-программа содержит около 100 000 гаджетов, своеобразных кирпичиков для сборки. К примеру, explorer.exe - 127859 гаджетов, gcc.exe - 97163 гаджетов, calc.exe - 60390, cmd.exe - 25008, notepad.exe - 6974. Предыдущие исследования в данной области показали теоретическую возможность конструирования ПО подобным способом, если доступно достаточное число гаджетов. Сейчас эта теория доказана на практике. Вишват Мохэн (Vishwath Mohan) и Кевин Хэмлен (Kevin Hamlen) из Техасского университета в Далласе создали из гаджетов программу, реализовав 2 простых алгоритма, которые могут применяться в настоящем зловреде. Ключевая особенность "Франкенштейна" в том, что сборка рабочего тела по заданным инструкциям повторяется на каждом заражённом компьютере, однако всегда задействуются новые гаджеты, так что бинарник вируса в каждом случае получается уникальным. За счёт этой особенности вредоносную программу почти нереально обнаружить по базе вирусных сигнатур. Подобный подход создании кода намного эффективнее, чем мутация по заданному алгоритму, так как антивирусные программы достаточно с большой скоростью вычисляют алгоритм и приспосабливаются к нему. Чтоб вычислять вирусы вроде "Франкенштейна", им будет нужно анализировать не программный код, а настоящее поведение программы, вероятно, запуская её в песочнице. В то же время, вредоносная программа может определять наличие песочницы и изменять своё поведение, как это делают отдельные современные вирусы. 


Scientists by request of army of the USA have developed the sample of a virus, which самособирается from fragments ON, the victim established on the computer. To conceptual working out have entitled Frankenstein, writes magazine New Scientist. Before scientists have put the task to create a code which will be difficult for finding out by means of an unknown antivirus. A problem have solved at the expense of a modular design of a virus. After installation on the car of a victim, a virus designs a working body from so-called "gadgets" — small fragments of an initial code, each of which carries out a certain narrow problem. Gadgets are borrowed from the programs already established on the computer of the user, such as Internet Explorer or Notepad. The typical Windows-program contains about 100 000 gadgets, original bricks for assemblage. For example, explorer.exe — 127859 gadgets, gcc.exe — 97163 gadgets, calc.exe — 60390, cmd.exe — 25008, notepad.exe — 6974. The previous researches have in the field shown theoretical possibility of designing ON in such a way, if well enough of gadgets. Now this theory is proved in practice. Vishvat Mohen (Vishwath Mohan) and Kevin Hemlen (Kevin Hamlen) from the Texas university in Dallas have created from gadgets the program, having realised two simple algorithms which can be used in the present зловреде. Key feature of "Frankenshtejna" that assemblage of a working body under the set instructions repeats on each infected computer, but each time new gadgets so бинарник a virus in each case it turns out unique will be involved. At the expense of this feature the harmful program cannot be found out on base of virus signatures. The similar approach of generation of a code is much more effective, than a mutation on the set algorithm because anti-virus programs quickly enough calculate algorithm and adapt to it. To calculate viruses like "Frankenshtejna", they should analyze not a program code, and real behaviour of the program, probably, starting it in a sandbox. On the other hand, the harmful program can define presence of a sandbox and change the behaviour as it is done by some present viruses.

Теги: взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус,антихакер,хакатак,ddos,эксплойт

Комментариев нет:

Отправить комментарий