Previous Entry Share Next Entry
США представили новую вирусную технологию обхода сигнатур Антивирусов
so sleepy
eas7 wrote in ru_girls_hack

Ссылка на детальное описание технологии в формате pdf.
Frankenstein forgoes the concept of a metamorphic engine and instead creates mutants by stitching together instructions from non-malicious programs that have been classified as benign by local defenses. This makes it more difficult for featurebased malware detectors to reliably use those byte sequences as a signature to detect the malware. The instruction sequence harvesting process leverages recent advances in gadget discovery for return-oriented programming. Preliminary tests show that mining just a few local programs is sufficient to provide enough gadgets to implement arbitrary functionality.
Слайды посмотреть можно тут.

Согласно сообщению исследователей информационной безопасности Вишвоса Мохана (Vishwath Mohan) и Кевина Хамлена (Kevin Hamlen) из Университета штата Техас в Далласе, им удалось создать вредоносное приложение способное избегать обнаружения неизвестным ранее способом.

Вирус, получивший название Frankenstein, способен постоянно модифицировать свою структуру за счет <кусков> кода имеющихся на системе приложений, которые распознаются антивирусами как легитимные.

По словам экспертов, это заметно затрудняет работу <функционала по определению вредоносного ПО с помощью сигнатур>.

<Предварительный анализ показывает, что обнаружение всего нескольких программ на системе позволяет вирусу надежно защититься>, - следует из доклада исследователей.

Работа Мохана и Хамлена частично финансировалась управлением научных исследований ВВС США. Кроме того, достижения Frankenstein-а были представлены в двух докладах на семинаре USENIX Workshop on Offensive Technologies.

  • 1
парни просто змист не видели :)

А по подробней можно? Хотя бы четное название или линк на описание

virus.win32.zmist или virus.win32.zmyst

Хохо, да я ж даже автора знаю))

Нашла исходный код zmist'a http://eas7.ru/z0mbie10d.zip

  • 1
?

Log in