image

Polymorfische virussen; geinfecteerd door een mutant

vrijdag 3 februari 2006, 15:11 door Redactie, 9 reacties

Virussen zijn er in allerlei soorten en maten en varieren van eenvoudige "programmeersels" tot technische hoogstandjes. Polymorfie is een van de technieken die virusschrijvers gebruiken voor het verspreiden van hun code. Elke keer dat een nieuw bestand of computer geinfecteerd wordt, verandert dan de code. Dit kan via encryptie, het gebruik van modules die verplaatst kunnen worden tot informatie die op de geinfecteerde machine aanwezig is.

Doordat het virus steeds veranderd is het lastig voor virusscanners om te herkennen, die vaak naar bepaalde regels code kijken om malware te identificeren. Tequila was een van de eerste polymorfische virussen die zich succesvol wist te verspreiden, en gebruikte verschillende virustechnieken om zich voor anti-virus software te verbergen. Ondanks de potentie vormen polymorfische virussen geen grote dreiging, en zijn ze te herkennen via "change-detection" en "activity-monitoring" software. Dit artikel beschrijft de werking en geschiedenis van polymorfische virussen.

Reacties (9)
03-02-2006, 15:40 door SirDice
Tequila was een van de eerste polymorfische virussen
die zich succesvol wist te verspreiden, en gebruikte
verschillende virustechnieken om zich voor anti-virus
software te verbergen
De techniek om zichzelf te verbergen heet "Stealth" en één
van de eerste polymorfische virussen die ik ken is de "Lamer
Exterminator" uit 1989 (Tequila is uit 1991).
03-02-2006, 17:51 door Anoniem
Er is een verschil tussen stealth en polymorfische virussen.
"Brain" een van de eerste virussen was ook al 'stealth'.
Een van de stealth technieken die brain gebruikte was dat
wanneer je een geinfecteerde sector probeerde te openen,
deze vervangde door een nieuwe.

Het eerste polymorfische virus was "Chameleon" uit 1990.
Het eerste groote polymorfische virus die voor veel
problemen zorgte was "Tequila" uit 1991.
Bijde virussen gebruikte een encryptie om zich zelf te
veranderen.
Ondanks de encryptie werden deze virussen toch snel gevonden
door antivirus programmas omdat de encryptie algorithmes het
zelfde bleven.
04-02-2006, 12:49 door Anoniem
Stealth is inderdaad niet hetzelfde als polymorphe virussen. Stealth is
gebaseerd op verschillende methoden om zich te "verplaatsen" Het
verdwijnt tijdelijk uit het geheugen, verwijderd de virus code tijdelijk uit
bestanden (bijvoorbeeld als er een virus-scanner actief is) om deze even
later weer te infecteren etc. Polymorphe virussen veranderen een groot
deel van de viruscode zelf een een nieuwe code.
04-02-2006, 14:37 door Anoniem
Een voorbeeld van (simpele) stealth-technieken is bijvoorbeeld de
oorspronkelijke bestandsgrootte te laten zien bij een dir commando. In
tegenstelling tot wat SirDice zegt is niet iedere poging van een virus om
zich voor av software te verbergen een stealth-techniek.

Nog even on-topic: dit artikel is vandaag de dag niet echt interessant meer,
polymorphisme is een vrij achterhaalde techniek. Voor mensen die niet
bekend zijn met de werking van antivirus software klinkt het enorm handig
en krachtig, maar de emulatie van de av pakketten is ondertussen zo ver
dat polymorphisme zonder verdere technieken zonde van je werk is.
Bovendien bestaat het grootste deel van de hedendaagse malware uit HLL
worms e.d., die amper polymorphisme gebruiken.
06-02-2006, 14:16 door SirDice
Het eerste polymorfische virus was "Chameleon" uit
1990.
Lamer Exterminator is dan ouder..
In tegenstelling tot wat SirDice zegt is niet iedere
poging van een virus om zich voor av software te verbergen
een stealth-techniek.
En hoe wilde je het verbergen dan noemen?
06-02-2006, 15:41 door Anoniem
Door SirDice
Het eerste polymorfische virus was "Chameleon" uit
1990.
Lamer Exterminator is dan ouder..
In tegenstelling tot wat SirDice zegt is niet iedere
poging van een virus om zich voor av software te verbergen
een stealth-techniek.
En hoe wilde je het verbergen dan noemen?

Je kan je natuurlijk ook verbergen door de AV software "blind" te maken
Beetje vergezocht en is een beetje een commaneuk discussie ook.

Best aardig dat de redactie uitleg geeft over polymorfische virussen. Zou
nog beter zijn als de constatering dat dit type virussen niet de grootste
bedreiging is.

Mijn grootste angst is nog steeds een dag virus dat langzaam maar zeker
data muteert en waardeloos maakt en uiteindelijk alles wist. Het grootste
risico hierbij is dat je vele dagen werk kwijt kunt raken.
06-02-2006, 22:27 door Anoniem
Door SirDice
En hoe wilde je het verbergen dan noemen?

jajaja, ik weet de vertaling van stealth enzo, maar dat is niet de
gebruikelijke
term voor polymorphisme. stealth is de gebruikelijke term
voor het verbergen van infectie symptomen voor zowel de av als de
gevorderde gebruiker, oligomorphism, polymorphisme en
metamorphisme zijn "gewone" verberg-technieken. maar niet stealth.
althans, niet in de gebruikelijke betekenis van stealth. dus.
07-02-2006, 10:12 door SirDice
Nu zijn er natuurlijk 2 manieren om een virus te "verbergen". Stealth is de techniek om dit te doen terwijl het virus actief is. Zo worden bijvoorbeeld bepaalde API's "omgeleid" zodat de applicatie, die gebruik maakt van deze API's, het virus niet "ziet". Polymorphisme wordt gebruikt om detectie van een inactief virus moeilijker te maken doordat het er iedere keer anders uitziet.

Ik weet na 20 jaar worstelen met virussen echt het verschil wel ;-)
08-02-2006, 15:17 door Anoniem
Door Anoniem
Er is een verschil tussen stealth en polymorfische virussen.
"Brain" een van de eerste virussen was ook al 'stealth'.
Een van de stealth technieken die brain gebruikte was dat
wanneer je een geinfecteerde sector probeerde te openen,
deze vervangde door een nieuwe.

Het eerste polymorfische virus was "Chameleon" uit 1990.
Het eerste groote polymorfische virus die voor veel
problemen zorgte was "Tequila" uit 1991.
Bijde virussen gebruikte een encryptie om zich zelf te
veranderen.
Ondanks de encryptie werden deze virussen toch snel gevonden
door antivirus programmas omdat de encryptie algorithmes het
zelfde bleven.
wat betekend stealth technieken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.