Onderzoekers hebben de eerste echte "Frankenstein malware" tot leven gewekt die onderdelen van allerlei andere programma's voor kwaadaardige doeleinden gebruikt. 'Frankenstein' is het werk van Vishwath Mohan en Kevin Hamlen van de Universiteit van Texas. Zodra de malware een computer infecteert, zoekt het in andere software, zoals Notepad, Calculator en Verkenner, naar 'gadgets'. Dit zijn korte instructies die een bepaalde opdracht uitvoeren.
Met voldoende gagdets is het mogelijk om elk willekeurig computerprogramma te bouwen. Frankenstein volgt bestaande blauwdrukken voor bepaalde opdrachten, zoals het kopiëren van gegevens, en vervangt die door gadgets die dit kunnen. Dit toevoegen van gadgets herhaalt zich elke keer als Frankenstein een nieuwe computer infecteert, maar gebruikt dan andere gadgets. Daardoor ziet de malware er steeds anders uit, ook al is de werking hetzelfde.
Detectie
Door deze methode zou de malware zeer lastig door virusscanners te detecteren zijn. "We hebben een nieuwe manier gepresenteerd voor het obfusceren van malware die fundamenteel verschilt van bestaande aanpakken voor metamorfische malware", aldus de onderzoekers. Die merken op dat hun experimenten aantonen dat het het gebruik van slechts een paar bestanden voldoende voor een 'hoge mutant diversiteit' is.
"Door nieuwe exemplaren van code uit goedaardige bestanden te gebruiken, denken we dat het behoorlijk veel lastiger voor verdedigers wordt om signatures te maken die op betrouwbare wijze op de systemen van slachtoffers malware en niet-malware kunnen onderscheiden." De onderzoekers zullen hun werk tijdens de USENIX Workshop in Bellevue Washington deze maand presenteren.
Met dank aan Michael voor de tip
Deze posting is gelocked. Reageren is niet meer mogelijk.