| |
|
|
|
|
ماجراي ويروسهائي كه رنگ عوض ميكنند
ويروس هاي نسل جديد از دهها تكنيك پيچيده براي مخفي كردن خود استفاده مي كنند كه كدنويسي با دگرديسي هاي متعدد از جمله جديدترين اين شيوه ها براي گمراه كردن نرم افزارهاي ضدويروس است.
ه گزارش بخش خبر شبكه فن آوري اطلاعات ايران،از فارس، يكي از اين روش ها، كدنويسي داراي دگرديسي هاي متعدد يا Polymorphic است. اين روش تهديد جدي را متوجه اسكنرهاي ويروس كرده و باعث ميشود شناسايي اين بدافزارهاي مخرب به شدت دشوار شود.
يك ويروس Polymorphic دقيقا مانند ويروس هاي عادي رمزگذاري شده فايل ها را با يك كپي رمزگذاري شده از خود آلوده مي كند. رمزگشايي اين فايل توسط يك بخش رمزگشا كه ديروز تشريح شد انجام مي شود. اما در مورد ويروس هاي Polymorphic فرايند گمراه كردن ضدويروس ها كمي پيچيده تر است و بخش رمزگشا در هر بار آلوده كردن دچار تحول يا دگرديسي مي شود.
بنابراين يك ويروس Polymorphic كه به دقت نگارش شده باشد، در حين آلوده سازي فايل هاي مختلف حاوي هيچ بخشي كه در نسخه هاي مختلف آن يكسان و ثابت باقي بماند، نخواهد بود. بنابراين شناسايي اين ويروس ها با استفاده از امضاهاي شناسايي شده توسط ضدويروس ها ممكن نخواهد بود. آنها براي اين كار بايد با استفاده از يك نمونه ساز يا emulator ويروس را رمزگشايي كرده يا با تحليل الگوهاي آماري يك ويروس رمزگذاري شده آن را شناسايي كنند.
ويروس براي اجراي كدهاي polymorphic بايد مجهز به يك موتور polymorphic هم باشد. به اين موتور، موتور تغيير دهنده يا mutating هم اطلاق مي شود. اين موتور در بخش رمزگذاري شده ويروس نصب مي شود.
برخي ويروس ها از كد polymorphic به گونه اي استفاده مي كنند كه باعث افزايش شديد نرخ تغيير و دگرديسي ويروس مي شود. به عنوان مثال مي توان يك ويروس را به گونه اي برنامه ريزي كرد تا در گذر زمان در ساعات مشخصي دچار تغيير و دگرديسي شود يا مي توان كاري كرد كه تنها بعد از هر بار آلوده كردن يك فايل دچار تغيير كامل ماهيتي شود. در اين صورت كپي جديد يك ويروس با كپي قبلي آن تفاوت ماهيتي خواهد داشت.
استفاده از اين روش گرفتاري هاي جدي براي متخصصان امنيتي و كارشناسان رايانه به وجود آورده است و آنها را وادار به بررسي دقيق و موشكافانه نمونه هاي مختلف ويروس هاي گوناگون كرده است. استفاده از روش ياد شده همچنين باعث نگراني عمومي در مورد كارآيي اسكنرهاي ضدويروس شده و سازندگان آنها را به متحول سازي و اعمال اصلاحات ساختاري در توليداتشان وادار نموده است.
برخي ويروس هاي مختلف براي جلوگيري از شناسايي توسط نمونه ساز يا emulator پس از هر بار كپي كردن خود و آلوده كردن يك فايل، به طور كامل دچار تغيير ماهيت مي شوند و بخش هاي مختلف آنها متحول مي شود.
به ويروس هايي كه در هر بار فعاليت دچار تغيير ماهيت كامل مي شوند ويروس هاي دگرگون شده يا metamorphic مي گويند. ويروس نويسان براي طراحي اين ويروس ها به موتور metamorphic نياز دارند. اين ويروس ها معمولا بسيار بزرگ و پيچيده هستند. يكي از نمونه هاي مشهور و جديد اين ويروس ها W32/Simile نام دارد كه حاوي بيش از 14 هزار خط كد زبان برنامه نويسي اسمبلي است و 90 درصد اين كدها مربوط به كد metamorphic آن است.
2009/06/09 - 12:58:16
|
|
|
|
|