악성 프로그램 자체 보존 기법

Share

|

논의했습니다은 다양한 방어 기술을 싸울 바이러스입니다. 그러나,이 바이러스 문인들이 알고있는 우리의 방어, 그리고이 적극적으로 노력하고있습니다 undermining 그들입니다. a 멀웨어 표본 몇가 지 기법에 채용할 수있습니다위한 시도를 피하 탐지 및 제거를 비롯한 stealthing, 다형성, metamorphism, 그리고 백신이 비활성입니다. 보자에 대한 간략한 살펴보고 이러한 자기 - 보존 기법을 한 번에 하나씩있습니다.

stealthing

stealthing을 참조하는 과정을 은폐이 있으면 악성 프로그램에 감염된 시스템입니다. 을 초기 stealthing 방법이 자주 사용하는 도우미를 바이러스 관련이 단순히 설정의 "숨겨진"특성의 바이러스 파일을되도록 적게는 피해자 러는 파일에있는 디렉토리 목록입니다. 스트림 도우미 바이러스가 더 강력한 stealthing 구성 요소 - 때 첨부하는 호스트, 아니오 새 파일이 만들어집니다, 그리고 대부분의 도구이 보고서는 원래 파일의 크기를 변경하지 않았다. 에서가 기계를 사용하여 ntfs 파일 시스템, 대체 데이터 스트림에 포함된 이러한 바이러스는 정상적인 파일에 따라 시스템과 연관된 일부입니다.

이 바이러스를 수있는 또 다른 방법으로 위장 자체는 감청은 바이러스 백신 프로그램의 시도를 읽고있는 파일을 내놓고 클린 버전의 파일을 검색합니다. 경우에 스캐너 외모에 감염된 파일, 감염된 파일에서는 신선도 이미지를 스캐너를합니다. 의 또 다른 stealthing 시나리오에서는 속도가 느려질 수도있습니다하는 속도가 바이러스에 감염되거나 손해 배상합니다 파일, 그래서는 사용자가 오랜 시간이 걸린다을 실현하기 위해 무엇이 일어나고있습니다.

다형성과 metamorphism

다형성은 악의적인 코드를 수정하는 과정을 통해 그 모양을 저지할 탐지하지 않고 실제로는 기본 기능을 변경합니다. 이 용어 소드 있음을 나타냅니다 코드가 정할 수있습니다 많은 양식, 모두와 동일한 기능을합니다. 이 기술을 사용하여,이 바이러스 코드를 동적으로 변화 자체가 각각의 시간을 동작할 수있습니다. 이 바이러스는 아직이 같은 목적으로하지만, 아주 다른 코드 자료입니다. 어떠한 서명 초점은 이전 양식의 코드는 더 이상 탐지는 새, morphed 버전입니다. 어쩌면 하나의 간단한 방법으로 구현이 기법은 스크립트 - 기반 바이러스가있는 표본의 이름을 수정합니다 내부 변수와 서브루틴 감염되기 전에 새로운 호스트입니다. 이러한 이름은 일반적으로 선정 무작위로 복잡 해에 대한 서명을 만드는 작업은 표본입니다.

또 다른 방법은 달성 다형성 관련되는 순서를 변경 지침은 본문의 바이러스입니다. 이있을 수도 까다로운을 구현을하기 때문에 표본 필요가 있는지 확인합니다 새로운 질서의 기능이 코드가 변경되지 않습니다. 바이러스는 또한 자신의 서명을 수정 지시에 자신의 코드를 삽입하여 아무것도하지 않는 등 뺀 후 다음을 추가 1로하는 값을합니다. 이러한 본질적으로 비활성 지침에 코드를 유지할 수 있도록 원래의 기능을하지만, 회피 일부 서명 - 기반 탐지합니다.

의 또 다른 형태 기법,이 바이러스를 암호화 대부분의 자사 코드를 떠나는를 일반 텍스트 전용의 지침을 필요가 자동으로 해독 자체가 메모리로 런타임 중에있습니다. 이 바이러스는 일반적으로 사용이 다른 임의로 생성된 키를 암호화하고 신체, 임베드의 키 어딘의 코드 및 다를의 모양의 암호 해독 알고리즘을 혼동 서명 - 기반 검색 프로그램입니다. 가되었습니다 돌연변 엔진, 릴리스된 주변 1992 년 이전의 첫 번째 도구를 쉽게 추 소드 기능을 사용하여 임의의 악성 코드가 있지만 morphing가 decryptor.

metamorphism 취합하는 과정을 돌연변가 표본으로 한 단계 더 이상의 기능이 바이러스처럼 약간 변경하고 확산합니다. 이것이 자주 진행 미묘한 방법을 보장하는이 바이러스 피해 탐지하지 않고 잃고 암모니아입니다. 있음 바이러스를 자주 변경하는 구조의 변화에 의해 그들의 파일의 위치를 일정한 및 암호화 루틴입니다. 또한, 있음 표본 같은 똑같은있는 기능을 동적으로 분해 스스로, 자신의 코드를 변경하고 다음을 실행 파일 형태로 재조 립한다.

바이러스 백신이 비활성

하나의 방법으로 악성 코드를 보호하는 시도는 터프가 해제하여 바이러스 방지 메커니즘이 대상 기계. 에서가 장 눈에 띄는 후보가 비활성는 프로세스에 속하는 감염된 시스템에서 실행중인 안티 바이러스 소프트웨어입니다. 가 장 성공적인 바이러스를 고용이 기술을 얻을 수도있습니다 방면 시스템을 알 수없는, 그리고 그 다음 서두르는을 해제하려면 바이러스 백신 소프트웨어를하기 전에 사용자가 업데이 트되기 전에 악성 프로그램을 확보를 발견하거나이 데이터베이스의 바이러스 서명을합니다.

가 prockill 트로이는 하나의 예제 표본되는 악성 프로그램의 목록을 포함 200 개 이상의 프로세스 이름이 대개 바이러스 백신 및 개인 방화벽 프로그램에 속해있습니다. 한번에 설치되어있는 시스템을 prockill 검색 목록이 실행중인 프로세스를 종료하는 것으로 인식합니다. 적절한 백신 및 개인 방화벽 프로세스를 실행하지 않고를 머신,이 바이러스는 무료 통치를 감염 및 변경이 시스템입니다.

흥미로운 연장은이 기술이 구현된는 mtx 바이러스 / 웜이 확산은 2000입니다. 감염 후 시스템을 mtx 모니터링은 피해자의 시도가 인터넷에 액세스하고 도메인에 대한 액세스가 차단 바이러스 백신 공급 업체에 소속되었던 것으로 보인다. 이 같은 an 접근 방식은 사용자가 손쉽게 막아 바이러스 백신 소프트웨어를 설치하거나 주소를 업데이 트하고 서명하는 재치가 아직 싸 접근 방식에 대한 잘못된 었죠. 서핑을 할 수없는 경우 바이러스 서명 데이터베이스 업데이트 기능을하실 수없습니다의 새로운 악성 프로그램에 대한 귀하의 상자를 감지합니다.

일부 바이러스도 시도를 우회 보안 제한을 부과하는 microsoft 사무소는 우리가 검사를 이전합니다. 리콜 발생할 수있는 microsoft 사무실 vbproject 개체에 대한 액세스를 차단할 수 있도록 저희가 들어 명령을 자주 사용하는 매크로 바이러스에 감염 새 문서입니다. 이 제한은 바이러스에 의해 제어하는 레지스트리 설정을 조작할 수있다. 만약 사용자가 허용 매크로에 감염된 문서를 실행,이 바이러스 못했습니다 그런 다음 변경 사항이 레지스트리 설정을 제거하려면 vbproject 개체에 대한 액세스를 제한합니다. 이 기술이 구현에 의해 listi (일명 kallisti) 바이러스입니다.

listi부터 시작이 코드 세그먼트의 값을 확인하여 레지스트리 키를 accessvbom. 경우이 설정하여 1, 그 다음에 대한 액세스를 vbproject되지 않은 제한된, 그리고이 바이러스 감염 수를 계속 진행합니다. 경우에 대한 액세스를 vbproject이 차단 (즉, 그 값이 크거나 미만 1), 그 다음 listi 세트의 레지스트리 키를 1, 접속 종료 microsoft 단어를 통해 wordbasic.fileexit 전화를합니다. 단어를해야하기 재시작에 대한 변경 내용을 accessvbom 핵심을 적용합니다. 그 다음 시간에 사용자가 열립니다 감염된 문서, vbproject은 더 이상 사용할 수에 대한 액세스를 제한하고이 바이러스를 계속 전파합니다.

아세아 악성 프로그램 자기 - 보존 기법

볼 수 있듯이 적지 조치를 취할 수있는 악성 코드의 보안 메커니즘을위한 시도를 무시합니다. 에 대한 모든 조치가 카운터 - 측정하고있는에는 자체 카운터 - 대책 등입니다. 이런 환경에서 효과적으로 유지하려면, 반드시 여러분의 위협을 이해하고 그들에게 적용하는 방법을 사용자 환경, 그리고 단일 수비에 의존하지 않는 계층을 위해 자신을 보호 악성 프로그램 감염을 반대합니다. 이러한 각각의 자기 - 보존 기법에 의해 무산 수있습니다 근면한 응용 프로그램의 바이러스 백신 소프트웨어를 구성을 강화하고 사용자 교육을합니다. 바이러스 백신 소프트웨어 솔루션이 성장을 점점 더 지능의 능력을 현물 은밀 소드 코드와 생존 단순 비활성하려고 시도합니다. 안티 바이러스 서명과 검색 엔진에 의해 유지에 최대 날짜, 이러한 발전 혜택을받을 수있습니다. 또한, 함께 소리를 사용자 교육, 심지어 매우 미묘한 악성 코드는 그 방법을 찾을 확률을 귀하의 시스템에있는 첫 번째 장소입니다.