image

Frankenstein malware tot leven gewekt

maandag 20 augustus 2012, 15:32 door Redactie, 9 reacties

Onderzoekers hebben de eerste echte "Frankenstein malware" tot leven gewekt die onderdelen van allerlei andere programma's voor kwaadaardige doeleinden gebruikt. 'Frankenstein' is het werk van Vishwath Mohan en Kevin Hamlen van de Universiteit van Texas. Zodra de malware een computer infecteert, zoekt het in andere software, zoals Notepad, Calculator en Verkenner, naar 'gadgets'. Dit zijn korte instructies die een bepaalde opdracht uitvoeren.

Met voldoende gagdets is het mogelijk om elk willekeurig computerprogramma te bouwen. Frankenstein volgt bestaande blauwdrukken voor bepaalde opdrachten, zoals het kopiëren van gegevens, en vervangt die door gadgets die dit kunnen. Dit toevoegen van gadgets herhaalt zich elke keer als Frankenstein een nieuwe computer infecteert, maar gebruikt dan andere gadgets. Daardoor ziet de malware er steeds anders uit, ook al is de werking hetzelfde.

Detectie
Door deze methode zou de malware zeer lastig door virusscanners te detecteren zijn. "We hebben een nieuwe manier gepresenteerd voor het obfusceren van malware die fundamenteel verschilt van bestaande aanpakken voor metamorfische malware", aldus de onderzoekers. Die merken op dat hun experimenten aantonen dat het het gebruik van slechts een paar bestanden voldoende voor een 'hoge mutant diversiteit' is.

"Door nieuwe exemplaren van code uit goedaardige bestanden te gebruiken, denken we dat het behoorlijk veel lastiger voor verdedigers wordt om signatures te maken die op betrouwbare wijze op de systemen van slachtoffers malware en niet-malware kunnen onderscheiden." De onderzoekers zullen hun werk tijdens de USENIX Workshop in Bellevue Washington deze maand presenteren.

Met dank aan Michael voor de tip

Reacties (9)
20-08-2012, 15:51 door Anoniem
Over 30 dagen, de nieuwe Conficker.
20-08-2012, 16:08 door Whacko
het virus zelf heeft toch een vaste signature? of past het zichzelf aan en stuurt de nieuwe versie naar de nieuw geinfecteerde computer?
20-08-2012, 16:44 door AceHighness
wat een wazig artikel, ga maar direct naar de source, hier heb je niets aan.
uit de source bv :

However, the malware’s decryption routine (which
must remain unencrypted) is often suf?ciently unique that
it can be used as a signature to detect an entire family of
polymorphic malware. Semantic analysis techniques can therefore single out and identify the unpacker to detect malware
family members [11]
20-08-2012, 16:57 door [Account Verwijderd]
[Verwijderd]
20-08-2012, 19:39 door Anoniem
Ben ik even blij dat ik een rekenmachine gebruik, daar draait Frankenstein niet op. ;)
20-08-2012, 21:13 door Anoniem
misschien op dit moment nog niet. maar criminelen zijn altijd verder dan de politie. Dus daar verzinnen ze vast ook wel weer wat voor. (zodra het intressant genoeg wordt voor ze. net als bij apple.
20-08-2012, 23:18 door Anoniem
Check Microsoft bluehat nieuwe antirop, dit zal het maken van gadget stoppen!
20-08-2012, 23:51 door Anoniem
Levert OS Qubes de veiligheid maar njet de fjnctionaliteit die een gebruiker wil?.
bv km vuinuit een word document een excel tabel te embedden? dat is dan toch cross applicatie als voorbeeld ?
22-08-2012, 09:39 door Anoniem
IT'S A LIVE, LIVE!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.