Pisci malwara vedno bolj domiselni, skrivališče tudi miška
Matej Huš
30. okt 2012 ob 01:51:55
Pisci virusov so našli še eno mesto, kam lahko skrijejo svojo kodo v upanju, da jih protivirusni programi ne bodo odkrili. Symantec poroča o zanimivi zamisli, ki je bila mimogrede že tudi udejanjena, skrivanja zlobne kode v API-funkcije za računalniško miško. Ker se med avtomatično analizo in iskanjem zlobne kode miška običajno ne premika, ostane kode skrita in neaktivna.
Kot piše Symantec, je količina zlobne kode neverjetna. V svojem poročilu poročajo, da so lani odkrili 400 milijonov novih variant škodljive programske opreme (malware) oziroma več kot milijon dnevno. Te množice se ne da pregledati na roke, zato se zanašajo na računalniško obdelavo (automated threat analysis). Vso kodo, ki pride na pregled, poženejo v navideznih strojih (virtual machine) in preverijo njeno delovanje. Če računalniški sistem zazna nenavadno ali sumljivo vedenje, šele v enačbo vstopi človek. In tu se skriva priložnost za skrivanje.
Malware je dandanes že tako pameten (oziroma so pametni njegovi pisci), da preverja, ali teče v navideznih okoljih in se v teh primerih ne zažene. Načinov, kako lahko koda zazna navidezno okolje, je več in nekateri se uporabljajo že dlje časa. Prav tako malware dostikrat preverja, ali v sistemu teče program za nadzor in se tudi v tem primeru potuhne. Še bolj enostavna je metoda čakanja. Ker analiza ne more teči neskončno dolgo, se je včasih dovolj prihuliti za kakšno uro in se šele nato zagnati. Na tak način lahko prelisičijo sisteme za avtomatično lovljenje malwara, ki imajo za posamezno datoteko zelo malo časa.
Postajajo pa pisci vedno bolj domiselni. Symantec je pokazal primer malwara, ki izkorišča miško. Virus kliče svojo glavno rutine šele, ko se miška premakne ali kliknemo kateri gumb. Ker pri običajnem delu to redno počnemo, avtomatizirani sistemi za detekcijo virusov pa miške ne uporabljajo, je metoda zelo elegantna za skrivanje in dosego končnega cilja.