Pametni virusi v navideznih računalnikih ne tečejo
Matej Huš
25. sep 2016 ob 10:43:47
Raziskovalci pri preiskavah zlonamerne programske opreme čedalje pogosteje odkrivajo, da se ta v kontroliranih okoljih (navideznih računalnikih) sploh ne zažene, ker otežuje njeno analizo. Nekaj v ta namen uporabljenih tehnik smo že poznali, nekaj pa je povsem novih.
Eden izmed zlonamernih Wordovih dokumentov (Ursnif), ki vsebuje makro za sprožitev okužbe, preveri štiri dejavnike. Če vsebuje ime datoteke zgolj heksadecimalne znake (0-9, a-f, A-F) pred predpono, makro ne stori nič zlega. Raziskovalci namreč pogosto pred analizo preimenujejo viruse glede na njihovo zgoščeno vrednost SHA256 ali MD5, da imajo točen pregled nad tem, kaj teče. Hkrati makro preveri, koliko procesov z grafičnim vmesnikom teče, in se ne aktivira, če jih ni vsaj 50. Izkazalo se je namreč, da jih ima tipičen računalnik več, medtem ko so navidezni računalniki čisti. Poleg tega makro preveri, ali so na računalniku datoteke, ki so značilne za virtualne računalnike, in preveri IP-naslov, saj pozna naslove glavnih protivirusnih podjetij. Tudi SentinelOne ugotavlja podobne trike. Nekaterih makroji preverijo, ali smo v računalniku že odprli kakšen Wordov dokument, sicer se ne zažene.
To vpliva tudi na priporočene varnostne prakse pri uporabi doma in v podjetjih. Zaganjanje sumljivih datotek v navideznih računalnikih je še vedno zelo priporočljivo, če moramo nujno odpreti kaj čudnega, saj s tem preprečimo morebitno škodo. Ne gre pa iz odsotnosti sumljivega vedenja v navideznem računalniku sklepati, da je priponka resnično varna. Morda se aktivira le na pravem računalniku.