مطالعه ای روی تحول انواع بد افزارهای متداول درسال2012

روشهای متداول گریز از ردیابی

تمام نمنه هایی کخ در قسمت قبل جمع اوری شده اند یک نمونه معین از یک بدافزار را نشان میدهند ما میخواهیم به این نکته پی ببریم که سازندگان بد افزارها برای گذشتن از ردیابی انتی ویروس ها چه تغییراتی را انجام میدهند این مورد برای بهتر کردن ردیاب ها بسیار کارامد است دانستن متدهای مربوط به هرگروه نیز به سازندگان انتی ویروس ها  کمک میکند ردیاب هایی بسازند که به ویزگی های فایل وابسته نباشد

یکی از تکنیک های سازندگان بد افزارها برای گذشتن از انتی ویروس ها گذاشتن کدهای مبهم است این کدها باعث سخت شدن شناسایی بدافزارها میشوند(یا مدت زمان شناسایی انها خیلی طول میکشد)همچنین تشخیص اینکه چه فایلی کدگزاری شده است و چه فایلی نه بسیار مشکل است .این روش تقریبا توسط همه گروه های بدافزارها استفاده میشود همچنین انها از کدگزاری دیگری برای محافظت از کد مبهم استفاده میکنند با وجود راه های متفاوت امتحان شده برای شکستن کدهای بسته بندی دربیشتر موارد ضد بدافزارها شکست خورده اند

Table2 اولین مرحله از مراحل یک نمونه کدگزاری را نشان میدهد وهمانطور که دیده میشود در اینجا دو پرش وجود دارد (طبق این ادرس0041960E که CharNextExaنامیده میشود)

روش متداول دیگر تغیییر وضعیت فایل ها است که شامل محدوده بسیار وسیعی از تغییرات میشود مثل تغییر درشماره و سایز قسمت ها شماره فهرست راهنما شماره ونوع منابع قسمت های فهرست راهنما   کد اینتروپی قسمت هاو...

یکی دیگر از روش هایی که بیشتر توسط گروه vundoوzbot استفاده میشود استفاده از string تصادفی برای نام گزاری قسمت ها نامگزاری منابع و نامگزاری تجاری و برای مواردی که قسمتی از نام ورزن فایل هستند در بیشتر مواقع این string ها ازالگوهایی پیروی میکنند که بطور مرتب بروز رسانی میشوند

در table3 4نوع منبع کع متعلق به 4نمونه از zbot ها هستند نشان داده شده اند ..نام کمپانی شامل نام یک کمپانی مشهور است  در  این مورد نام فایل اصلی تنها نامی است که میتواند بیش از 6کاراکتر داشته باشد و نباید دارای فاصله باشد و در اخر به exeختم شود

نام داخلی و نام محصول و حق چاپ قانونی نیزنباید بیش از 6 حرف داشته باشد وهمه انها با حروف بزرگ شروع میشوند حق چاپ قانونی با دو

شماره که نشان دهنده دو سال هستند و به وسیله یک خط کوتاه جدا میشوند نشان داده میشود

تکنیکی که بارها توسط  سازندگان fakealertوzbot استفاده شده است شامل منابع متفاوت غیر قابل استفاده  برای دوتایی ها و استفاده از زبان های متفاوت مثل زبان های شمالی و اسپانیایی المانی وفرانسوی است .یک ویزگی خاص گروه sirefefاین است که انها خلاصه منابع قانونی فایل های سیستم که متعلق به Microsoft است را میدزدند وتلاش میکنند که تا جایی که ممکن است انها را با فایل های ویندوز مطابقت بدهند.

یک گزارش بروز رسانی جالب درمورد سازندگان sirefefوzbot در طول سال 2012این بودکه این فایل ها شامل اضافه شدن امضای دیجیتالی به این مدل ها بود حتی اگر بیشتر اوقات نامعتبر بوده باشد

و یک مدل مخصوص به گروهfakealer وجود دارد که تعداد ان نیز بسیار زیاد است و مشخصه ان تغییر نمونه های ایکن استfig5و6و7و8...که تفاوت انها با نمونه های واقعی فقط چند پیکسل است.

نتیجه گیری

برای ساخت یک ردیاب بسیار قوی در مقابل انواع مختلف وبسیار زیاد بدافزارها یک بررسی دقیق روی تحولات انها بسیار مفید است.پیداکردن تغییراتی که سازندگان بدافزارها برای ردشدن از انتی ویروس ها ایجاد میکنند به بهتر کردن مکانیزم ردیاب ها بسار کمک میکند این تحقیق نتیجه بررسی و مطالعه به مدت یک سال روی 4گروه بزرگ از بدافزارها است علاوه بر این تحقیق پزوهش های دیگری نیز انجام شده اند که جزئیات بیشتری را بررسی کرده اند

ما برای جمع اوری نمونه از یک مکانیزم اتوماتیک استفاده کردیم که بر اساس تفاوت بین گروه های مختلف بدافزارها بود و احتمالا برای یک برای بقیه موضوع ها مثل انالیز کردن نمونه ها بر اساس شباهت های انها نیز کارامد است  در این روش میتوان یک گروه فایل را یک بار انالیز کرد بجای انالیز کردن یک فایل تنها.

ترجمه: واحد خواهران  بسیج مهندسین استان فارس

/224224