Je kan al enigsinds aanvallen voorspellen door de patronen in de voorgaande
jaren te analyseren.

"Muterende Software" zou ik het niet noemen, meer prognose software.

meeste virusses zijn encrypted

dus kan men ze niet "heuristicaly" detecteren

De meeste virussen in het wild zijn niet encrypted, ze zijn hooguit encoded
d.m.v. packers. En ook al zijn ze encrypted, dan hoeft dat nog geen
belemmering te vormen voor simulators, en zelfs zonder die mogelijk
kunnen ze vaak nog heuristisch worden gedetecteerd.

Het artikel doet vermoeden dat men nog steeds bezig is op signature
niveau, dat gerenomeerde anti-virus bedrijven al zo'n jaar of tien geleden
zijn gepasseerd. Een brute force aanpak met gegenereerde varianten is
niet bepaald een slim.

[
dus wel, de encryptie moet onexecution gedecrypt worden aan de hand
daarvan kan 'n scanner de encryptie methode herkennen (de gebruikte
vorm van versleutelen moet bekent zijn bij de anti-virus ontwikkelaars).

TBAV(Thunderbyte) was ooit een van de meest vooruitstrevende heuristic
scanners.
Deze zogenaamde heuristic methode kijkt naar welke procedures een
programma heeft en labelt elke "threat" met een flag,
een teveel flags binnen een te kort moment is [VIRAL ALERT].
er wordt onderandere gekeken naar destructieve code, TSR, write access
e.d.

Nu komt het leuke, op het moment dat je teveel nutteloze code gebruikt
dus niet een dosis aan NOP's maar gewoon veel waarden veranderen in
de registers bv:"add ax,FF | sub cx, AA | sub ax,FF | add cx,AA" de uitkomst
moet 0 zijn, en je doet dat tussen je echte viralcode in dan geeft de
heuristic methode dus geen krimp, alles OK

Om deze flaw uit te buiten heb ik ooit Code_Red.7428 gemaakt (in 1997
om precies te zijn) die dat mooi demonstreerde.
De basis source van Code_Red.7428 was 'n VCL (Virus Creating Lab van
NowhereMan) virus + de kleine 7000b's nutteloze instructies die m'n virus
onzichtbaar maakte zonder encryptie. (minder dan 7k was jengelen)
Waarom? het zijn instructies die het programma uitvoert geen NOP's nee
instructies en omdat je viruscode veel rekenwerk uitvoert tussen de
infectie door is het voor de scanner OK.
Na het uploaden van m'n source naar TBAV, F-PROT, MCAFEE e.d.
werd Code_Red.7428 in de signature database ondergebracht, maar
heuristic gezien werd er niks geweizigd.

De conclusie die je kunt trekken is dat het voor heuristic methodes heel
moeilijk is een "normaal" programma van een Virus te onderscheiden.
Wat zijn de eisen die je stelt b.v. destuctieve code, [ALARM]? tuurlijk niet
denk aan fdisk, format enz
wat als je net windows hebt geinstalleerd en je zet er een virusscanner op
die meteen begint te joellen... de leek durft z'n systeem niet meer aan te
raken, en dat is zo'n beetje (simpel gezegt) de bottle-neck.

MvG,
The Warlock.

http://go.to/BioHazardHQ
biohazardhq [at] yahoo [dot] com