روشهای متداول
گریز از ردیابی
تمام نمنه
هایی کخ در قسمت قبل جمع اوری شده اند یک نمونه معین از یک بدافزار را نشان میدهند
ما میخواهیم به این نکته پی ببریم که سازندگان بد افزارها برای گذشتن از ردیابی
انتی ویروس ها چه تغییراتی را انجام میدهند این مورد برای بهتر کردن ردیاب ها
بسیار کارامد است دانستن متدهای مربوط به هرگروه نیز به سازندگان انتی ویروس
ها کمک میکند ردیاب هایی بسازند که به
ویزگی های فایل وابسته نباشد
یکی از تکنیک
های سازندگان بد افزارها برای گذشتن از انتی ویروس ها گذاشتن کدهای مبهم است این
کدها باعث سخت شدن شناسایی بدافزارها میشوند(یا مدت زمان شناسایی انها خیلی طول
میکشد)همچنین تشخیص اینکه چه فایلی کدگزاری شده است و چه فایلی نه بسیار مشکل است
.این روش تقریبا توسط همه گروه های بدافزارها استفاده میشود همچنین انها از
کدگزاری دیگری برای محافظت از کد مبهم استفاده میکنند با وجود راه های متفاوت
امتحان شده برای شکستن کدهای بسته بندی دربیشتر موارد ضد بدافزارها شکست خورده اند
Table2
اولین مرحله از مراحل یک نمونه کدگزاری را نشان میدهد وهمانطور که دیده میشود در
اینجا دو پرش وجود دارد (طبق این ادرس0041960E که CharNextExaنامیده میشود)
روش متداول
دیگر تغیییر وضعیت فایل ها است که شامل محدوده بسیار وسیعی از تغییرات میشود مثل
تغییر درشماره و سایز قسمت ها شماره فهرست راهنما شماره ونوع منابع قسمت های فهرست
راهنما کد اینتروپی قسمت هاو...
یکی دیگر از
روش هایی که بیشتر توسط گروه vundoوzbot استفاده میشود استفاده از string
تصادفی برای نام گزاری قسمت ها نامگزاری منابع و نامگزاری تجاری و برای مواردی که
قسمتی از نام ورزن فایل هستند در بیشتر مواقع این string ها ازالگوهایی پیروی
میکنند که بطور مرتب بروز رسانی میشوند
در table3 4نوع منبع کع متعلق به 4نمونه از zbot ها هستند نشان داده شده اند ..نام کمپانی شامل نام یک کمپانی
مشهور است در این مورد نام فایل اصلی تنها نامی است که
میتواند بیش از 6کاراکتر داشته باشد و نباید دارای فاصله باشد و در اخر به exeختم شود
نام داخلی و
نام محصول و حق چاپ قانونی نیزنباید بیش از 6 حرف داشته باشد وهمه انها با حروف
بزرگ شروع میشوند حق چاپ قانونی با دو
شماره که نشان دهنده دو سال هستند و به وسیله یک خط کوتاه جدا میشوند نشان داده میشود
تکنیکی که
بارها توسط سازندگان fakealertوzbot استفاده شده است شامل منابع متفاوت غیر قابل استفاده برای دوتایی ها و استفاده از زبان های متفاوت
مثل زبان های شمالی و اسپانیایی المانی وفرانسوی است .یک ویزگی خاص گروه sirefefاین است که انها خلاصه
منابع قانونی فایل های سیستم که متعلق به Microsoft
است را میدزدند وتلاش میکنند که تا جایی که ممکن است انها را با فایل های ویندوز
مطابقت بدهند.
یک گزارش بروز
رسانی جالب درمورد سازندگان sirefefوzbot در
طول سال 2012این بودکه این فایل ها شامل اضافه شدن امضای دیجیتالی به این مدل ها
بود حتی اگر بیشتر اوقات نامعتبر بوده باشد
و یک مدل
مخصوص به گروهfakealer
وجود دارد که تعداد ان نیز بسیار زیاد است و مشخصه ان تغییر نمونه های ایکن استfig5و6و7و8...که تفاوت انها
با نمونه های واقعی فقط چند پیکسل است.
نتیجه گیری
برای ساخت یک
ردیاب بسیار قوی در مقابل انواع مختلف وبسیار زیاد بدافزارها یک بررسی دقیق روی
تحولات انها بسیار مفید است.پیداکردن تغییراتی که سازندگان بدافزارها برای ردشدن
از انتی ویروس ها ایجاد میکنند به بهتر کردن مکانیزم ردیاب ها بسار کمک میکند این
تحقیق نتیجه بررسی و مطالعه به مدت یک سال روی 4گروه بزرگ از بدافزارها است علاوه
بر این تحقیق پزوهش های دیگری نیز انجام شده اند که جزئیات بیشتری را بررسی کرده
اند
ما برای جمع اوری نمونه از یک مکانیزم اتوماتیک استفاده کردیم که بر اساس تفاوت بین گروه های مختلف بدافزارها بود و احتمالا برای یک برای بقیه موضوع ها مثل انالیز کردن نمونه ها بر اساس شباهت های انها نیز کارامد است در این روش میتوان یک گروه فایل را یک بار انالیز کرد بجای انالیز کردن یک فایل تنها.
ترجمه: واحد خواهران بسیج مهندسین استان فارس
/224224