Luie virusschrijvers gebruiken op grote schaal elkaars kwaadaardige code en zijn aan de hand daarvan te identificeren, aldus de Noorse virusbestrijder Norman. Het bedrijf ontwikkelde een techniek die naar het "DNA" van wormen, virussen, Trojaanse paarden en andere malware kijkt. Net als DNA reeksen de bouwstenen van mensen zijn, bestaat een programma uit computercode, instructies en (sub)routines. De DNA Matching techniek herkent als malware bepaalde kwaadaardige code hergebruikt. "Zodra een .A variant is toegevoegd, dan kan .B gevonden worden als er één of meerdere kwaadaardige (sub)routines worden hergebruikt", zegt Chief Research Officer Righard Zwienenberg tegenover Security.nl.
Doe-het-zelf
De hoeveelheid malware groeit explosief, mede door de beschikbaarheid van malware toolkits. Daarmee kan iedereen nieuwe Trojaanse paarden, backdoors en keyloggers via een paar muisklikken in elkaar zetten. "Ook virusschrijvers maken het zichzelf graag gemakkelijk door dat soort reeds bestaande malware code te hergebruiken, waarmee zij nu sneller onderschept kunnen worden", zo laat de virusbestrijder weten.
De screenshots, in dit geval van de Conficker worm, laten verschillende routines zien. De analisten van Norman analyseren de routines en bestempelen ze als kwaadaardig, goedaardig of runtime. In dit geval te herkennen aan de rood, groen en blauw. Is de kleur grijs, dan is de werking van de code nog onbekend. In dit geval heeft de Conficker worm ook "groene", generieke code. Hoewel die code in de worm wordt gebruikt, wil dat nog niet zeggen dat de routine of procedure in kwestie kwaadaardig is. Daarnaast is er ook worm-specifieke code. Door die in kaart te brengen kan de virusscanner geheel nieuwe varianten herkennen, ook al is daar geen signature voor.
Typefout
Zwienenberg verwacht dat de concurrentie over niet al te lange tijd met een eigen variant van de technologie zal komen. "Een technologie die interessant of succesvol is wordt een keer gekopieerd." Ook virusschrijvers noemt hij niet inventief. "Er is er eentje met een geniaal idee en dat wordt dan duizend keer gekopieerd." Als voorbeeld noemt hij een exemplaar van de Sdbot die de update functie van de virusscanner blokkeerde. Door een typefout in de code (NUI.EXE in plaats van NIU.EXE) werkte de blokkade niet en kon de virusscanner zichzelf gewoon updaten. De fout was echter in nieuwe varianten nog gewoon aanwezig, mede omdat de broncode van de Sdbot op internet beschikbaar was. Niemand had echter de moeite genomen om te controleren of alles wel klopte.
Zwienenberg denkt dat de nieuwe technologie, die vooral als een aanvulling moet worden gezien, voor een hogere detectie en meer pro-activiteit zorgt. "Malware schrijvers zullen er blijven, helemaal met de financiële motieven. Maar aangezien ze liever lui dan moe zijn, zullen ze ook een hoop code hergebruiken of van anderen kopiëren en dat is dan op deze manier weer makkelijk te detecteren."
Deze posting is gelocked. Reageren is niet meer mogelijk.