مطالعه ای روی تحول انواع بد افزارهای متداول درسال2012

چکیده:

باتوجه به رشد چشمگیر بدافزارها طی 5سال گذشته تعداد وانواع مختلف انها نیز افزایش یافته اند هدف این مقاله توضیح تحول 4گروه بزرگ بدافزار درطول یک سال اخیر است.(fakealert,sirefef,zbot,vundo)این تحقیقات روی مکانیزم شکل های مختلف این بدافزارها که شامل تغییر در وضعیت فایلها وگوناگونی انواع اظلاعات ومتدهای مختلف تغییر ایکن یک فایل که برای اجتناب از ردیابی شدن توسط انتی ویروس ها استفاده میشود.فایل های انواع بدافزارها درطول یک سال گذشته جمع اوری شده اند برای هرگروه بدافزارما انواع ورزن های جدید انها وبروزرسانی شده مدل های قدیمی انها را نیز ثبت ونگه داری کرده ایم (ورزن های جدید وبروز رسانی شده وزن های قدیمی برای غیرقابل ردیابی شدن استفاده میشوند)ما بیش از 1000ورزن جدید از هرفایل را مورد بررسی قرارداده ایم واخیرا روی متدهایی که گروه بدافزارfakealertبرای تغییر ایکن ها استفاده میکنند تمرکز کرده ایم.

مقدمه:

درطول 5سال گذشته تعداد بدافزارها به طور قابل توجهی افزایش یافته است اخرین گزارشات نشان میدهد که بیش از از 30میلیون بدافزار جدید درطول سال2012پدیدار شده اند(افزایش40درصدی نسبت به سال گذشته )بیشتر این بدافزارها بطور اتوماتیک بوجود می ایند ما دراین تحقیق تحول 4گروه بزرگ از بد افزارها را درطول سال 2012دنبال میکنیم به این دلیل که مشخص کردن زمان دقیق انتشار یک بدافزار مشکل است به طور هفتگی این گروه هارا دنبال میکنیم برای هرگروه بدافزار متدهایی که برای غیرقابل ردیابی شدن استفاده میکنند را بررسی میکنیم رایج ترین این متدها تغییر دادن پکرها وهمچنین تغییر وضعیت وجای فایل و اضافه کردن  یا تغییردادن منابع فایل هاو...است.

درطول یک سال بیش از 1000 نمونه جدید از این گروه بدافزارها پدیدار شده اند(بطور متوسط 3ورزن جدید درهرروز )

این تحقیق شامل موارد زیر است:

Chapter3 روش های جمع اوری این بدافزارها را توضیح میدهد و بطور خلاصه این 4گروه بزرگ بدافزار را معرفی میکند

Chapter4متدهای ما برای تشخیص ورزن های جدید بدافزارها وفیلتر فایل های کروه های مختلف را توضیح میدهد  در نهایت با

Chapter5 نشان میدهیم که هرگروه چگونه با تغییر فایل هایشان از چنگ ردیاب های انتی ویروس ها میگریزند ودر اخر این قسمت چند روش تغییر ایکن که توسط گروه fakealert استفاده میشود را نشان میدهیم

2مواردمربوطه:

تاریخچه بدافزارها از اولین ویروس تا متداولترین برنامه های تخریب گر مورد توجه پزوهشگران بوده است هدف این مطالعات وتحقیق ها بدست اوردن اطلاعات های مهم و کاربردی برای بهتر کردن ردیاب ها و روشهای محافظتی است

 مطالعه روی نرم افزارهای تخریب گر به دلیل تعداد زیاد و پیچیدگی این نوع برنامه هابدافی کامپیوتری مشکل است بنابراین در بعضی موارد این تحقیقات فقط در مقیاس های میکروسکوپی انجام میشود. اما  تحقیقات تجربی هم در این خصوص انجام شده است یکی از انها تحقیقاتی روی چگونگی تحولات بدافزارها توسط  GUPTAانجاام شده استکه شامل اطلاعاتی از چندنمونه بدافزار با هدف جلوگیری از روند پیشرفت انها و پیداکردن رابطه بین انواع مختلف بدافزارها و گروه های انهاا(Sirefefوvundoو...)است . این روند براساس استخراج اطلاعات از شرح فنی انواع بدافزارها است .مطالعه دیگری روی چگونگی کار بد افزارهایی انجام شده است که انتی ویروس ها توانایی ردیای انها را ندارند.

برای بعضی گروه های خاص از بدافزارها امارگیری هایی انجام میشود که میزان تحولات انها را در یک دوره زمانی خاص نشان میدهد این امارگیری ها معمولا براساس تعداد گسترشفایل هایی بجای برخی فایل های دیگر وبراساس تاثیراتی که روی کاربران میگذارند انجام میشود.علاوه براین مطالعاتی انجام شده که تاریخجه بدافزارها واهداف اصلی و ویزگی های انهارا نشان میدهد و برخی مطالعات هم درمورد توزیع و انتشار برخی از بدافزارها در اینترنت مثل وبسایت های مشهور ورایج و شبکه های اجتماعی تمرکز کرده است همچنین سازمانهای امنیت اطلاعات هشدارهای جدی درمورد فعالیت های بدافزارها وگرایش و تمایلات انهاو...را ازسرگرفته است.کارما در این تحقیق مشابه مطالعاتی است که روی محتوای اینترنتی بدافزارها کار میکند ودرپایان نتایجی ارائه میشود که براساس اطلاعات بدست امده از نمونه بد افزارها و ومتدهای انها برای غیر قابل ردیابی شدن است.

نزدیکترین ایده درمورد  تحول بدافزارها بوسیله IIiopoulos ارائه شده است که اقتباسی بود از نظریه تکامل داروین البته درموردنرم افزارهای تخریب گردید.

ترجمه: واحد خواهران  بسیج مهندسین استان فارس

/224224