Polymorfische virussen; geinfecteerd door een mutant
Virussen zijn er in allerlei soorten en maten en varieren van eenvoudige "programmeersels" tot technische hoogstandjes. Polymorfie is een van de technieken die virusschrijvers gebruiken voor het verspreiden van hun code. Elke keer dat een nieuw bestand of computer geinfecteerd wordt, verandert dan de code. Dit kan via encryptie, het gebruik van modules die verplaatst kunnen worden tot informatie die op de geinfecteerde machine aanwezig is.
Doordat het virus steeds veranderd is het lastig voor virusscanners om te herkennen, die vaak naar bepaalde regels code kijken om malware te identificeren. Tequila was een van de eerste polymorfische virussen die zich succesvol wist te verspreiden, en gebruikte verschillende virustechnieken om zich voor anti-virus software te verbergen. Ondanks de potentie vormen polymorfische virussen geen grote dreiging, en zijn ze te herkennen via "change-detection" en "activity-monitoring" software. Dit artikel beschrijft de werking en geschiedenis van polymorfische virussen.
die zich succesvol wist te verspreiden, en gebruikte
verschillende virustechnieken om zich voor anti-virus
software te verbergen
van de eerste polymorfische virussen die ik ken is de "Lamer
Exterminator" uit 1989 (Tequila is uit 1991).
"Brain" een van de eerste virussen was ook al 'stealth'.
Een van de stealth technieken die brain gebruikte was dat
wanneer je een geinfecteerde sector probeerde te openen,
deze vervangde door een nieuwe.
Het eerste polymorfische virus was "Chameleon" uit 1990.
Het eerste groote polymorfische virus die voor veel
problemen zorgte was "Tequila" uit 1991.
Bijde virussen gebruikte een encryptie om zich zelf te
veranderen.
Ondanks de encryptie werden deze virussen toch snel gevonden
door antivirus programmas omdat de encryptie algorithmes het
zelfde bleven.
gebaseerd op verschillende methoden om zich te "verplaatsen" Het
verdwijnt tijdelijk uit het geheugen, verwijderd de virus code tijdelijk uit
bestanden (bijvoorbeeld als er een virus-scanner actief is) om deze even
later weer te infecteren etc. Polymorphe virussen veranderen een groot
deel van de viruscode zelf een een nieuwe code.
oorspronkelijke bestandsgrootte te laten zien bij een dir commando. In
tegenstelling tot wat SirDice zegt is niet iedere poging van een virus om
zich voor av software te verbergen een stealth-techniek.
Nog even on-topic: dit artikel is vandaag de dag niet echt interessant meer,
polymorphisme is een vrij achterhaalde techniek. Voor mensen die niet
bekend zijn met de werking van antivirus software klinkt het enorm handig
en krachtig, maar de emulatie van de av pakketten is ondertussen zo ver
dat polymorphisme zonder verdere technieken zonde van je werk is.
Bovendien bestaat het grootste deel van de hedendaagse malware uit HLL
worms e.d., die amper polymorphisme gebruiken.
1990.
poging van een virus om zich voor av software te verbergen
een stealth-techniek.
1990.
poging van een virus om zich voor av software te verbergen
een stealth-techniek.
Je kan je natuurlijk ook verbergen door de AV software "blind" te maken
Beetje vergezocht en is een beetje een commaneuk discussie ook.
Best aardig dat de redactie uitleg geeft over polymorfische virussen. Zou
nog beter zijn als de constatering dat dit type virussen niet de grootste
bedreiging is.
Mijn grootste angst is nog steeds een dag virus dat langzaam maar zeker
data muteert en waardeloos maakt en uiteindelijk alles wist. Het grootste
risico hierbij is dat je vele dagen werk kwijt kunt raken.
En hoe wilde je het verbergen dan noemen?
jajaja, ik weet de vertaling van stealth enzo, maar dat is niet de
gebruikelijke term voor polymorphisme. stealth is de gebruikelijke term
voor het verbergen van infectie symptomen voor zowel de av als de
gevorderde gebruiker, oligomorphism, polymorphisme en
metamorphisme zijn "gewone" verberg-technieken. maar niet stealth.
althans, niet in de gebruikelijke betekenis van stealth. dus.
Ik weet na 20 jaar worstelen met virussen echt het verschil wel ;-)
Er is een verschil tussen stealth en polymorfische virussen.
"Brain" een van de eerste virussen was ook al 'stealth'.
Een van de stealth technieken die brain gebruikte was dat
wanneer je een geinfecteerde sector probeerde te openen,
deze vervangde door een nieuwe.
Het eerste polymorfische virus was "Chameleon" uit 1990.
Het eerste groote polymorfische virus die voor veel
problemen zorgte was "Tequila" uit 1991.
Bijde virussen gebruikte een encryptie om zich zelf te
veranderen.
Ondanks de encryptie werden deze virussen toch snel gevonden
door antivirus programmas omdat de encryptie algorithmes het
zelfde bleven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Forensisch software-engineer
Nederlands Forensisch Instituut
Bij het team Forensische Software-engineering ontwikkel jij diverse complexe applicaties, die binnen en buiten het NFI gebruikt worden voor opsporing en bewijsvoering. Jij werkt mee aan het uitwerken en beschikbaar maken van nieuwe forensische analysetechnieken op het gebied van datarecovery, data-analyse, DNA, chemische analyses, (kogel)krassporen, verkeersongevallen, cryptografie, exploits en statistiek.
Netwerkengineer
Nederlands Forensisch Instituut
Van het kraken van versleuteld telefoonverkeer van criminelen en DNA-onderzoek in een geruchtmakende moordzaak, tot het onderzoeken van wapens en munitie die gevonden zijn op een plaats delict: het werk van het NFI doet ertoe. Als netwerkengineer heb jij hierin een belangrijk aandeel. Met jouw passie voor ICT en een bovengemiddeld bewustzijn van het begrip security, zorg jij voor een optimaal functionerend en veilig netwerk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?