image

Luie virusschrijvers te herkennen aan malware DNA

vrijdag 13 maart 2009, 15:27 door Redactie, 21 reacties

Luie virusschrijvers gebruiken op grote schaal elkaars kwaadaardige code en zijn aan de hand daarvan te identificeren, aldus de Noorse virusbestrijder Norman. Het bedrijf ontwikkelde een techniek die naar het "DNA" van wormen, virussen, Trojaanse paarden en andere malware kijkt. Net als DNA reeksen de bouwstenen van mensen zijn, bestaat een programma uit computercode, instructies en (sub)routines. De DNA Matching techniek herkent als malware bepaalde kwaadaardige code hergebruikt. "Zodra een .A variant is toegevoegd, dan kan .B gevonden worden als er één of meerdere kwaadaardige (sub)routines worden hergebruikt", zegt Chief Research Officer Righard Zwienenberg tegenover Security.nl.

Doe-het-zelf
De hoeveelheid malware groeit explosief, mede door de beschikbaarheid van malware toolkits. Daarmee kan iedereen nieuwe Trojaanse paarden, backdoors en keyloggers via een paar muisklikken in elkaar zetten. "Ook virusschrijvers maken het zichzelf graag gemakkelijk door dat soort reeds bestaande malware code te hergebruiken, waarmee zij nu sneller onderschept kunnen worden", zo laat de virusbestrijder weten.

De screenshots, in dit geval van de Conficker worm, laten verschillende routines zien. De analisten van Norman analyseren de routines en bestempelen ze als kwaadaardig, goedaardig of runtime. In dit geval te herkennen aan de rood, groen en blauw. Is de kleur grijs, dan is de werking van de code nog onbekend. In dit geval heeft de Conficker worm ook "groene", generieke code. Hoewel die code in de worm wordt gebruikt, wil dat nog niet zeggen dat de routine of procedure in kwestie kwaadaardig is. Daarnaast is er ook worm-specifieke code. Door die in kaart te brengen kan de virusscanner geheel nieuwe varianten herkennen, ook al is daar geen signature voor.

Typefout
Zwienenberg verwacht dat de concurrentie over niet al te lange tijd met een eigen variant van de technologie zal komen. "Een technologie die interessant of succesvol is wordt een keer gekopieerd." Ook virusschrijvers noemt hij niet inventief. "Er is er eentje met een geniaal idee en dat wordt dan duizend keer gekopieerd." Als voorbeeld noemt hij een exemplaar van de Sdbot die de update functie van de virusscanner blokkeerde. Door een typefout in de code (NUI.EXE in plaats van NIU.EXE) werkte de blokkade niet en kon de virusscanner zichzelf gewoon updaten. De fout was echter in nieuwe varianten nog gewoon aanwezig, mede omdat de broncode van de Sdbot op internet beschikbaar was. Niemand had echter de moeite genomen om te controleren of alles wel klopte.

Zwienenberg denkt dat de nieuwe technologie, die vooral als een aanvulling moet worden gezien, voor een hogere detectie en meer pro-activiteit zorgt. "Malware schrijvers zullen er blijven, helemaal met de financiële motieven. Maar aangezien ze liever lui dan moe zijn, zullen ze ook een hoop code hergebruiken of van anderen kopiëren en dat is dan op deze manier weer makkelijk te detecteren."

Reacties (21)
13-03-2009, 15:50 door Anoniem
Ook virusschrijvers noemt hij niet inventief.

Termen als 'lui' en 'niet inventief' zijn misschien aardig in een artikel voor een publiek dat zich irriteert aan malware, maar het helpt niet echt in het profileren van de malware schrijvers.
13-03-2009, 16:02 door Anoniem
Door Anoniem
Ook virusschrijvers noemt hij niet inventief.

Termen als 'lui' en 'niet inventief' zijn misschien aardig in een artikel voor een publiek dat zich irriteert aan malware, maar het helpt niet echt in het profileren van de malware schrijvers.

En waarom niet? Dit geeft juist aan dat het wel mogelijk is malwareschrijvers te profileren. Veel programmeurs hebben een eigen herkenbare stijl. Zoals je onderzoek kan doen naar handschrift of schrijfstijl, kan ik me voorstellen dat dat ook mogelijk is met het "werk" van malwareschrijvers.
13-03-2009, 16:02 door Anoniem
Het is frappant om te zien dat het hergebruik van code wat bij andere programmeerprojecten als een goed iets wordt gezien bij virusschrijvers als 'lui' en 'niet inventief' af word gedaan.
13-03-2009, 16:25 door Night
Herbruikbaarheid van Code is een terugkerend thema in software ontwikkeling. Het heeft positieve effecten op kwaliteit, time to market etc. Goed om te horen dat mall-ware auteurs dat nu ook snappen en dat ze daarmee bestrijding gelijk wat simpeler maken.
Gaat het toch nog goed komen met de wereld?

Of zou het gewoon komen dat er grote legers luie, domme relatief ongevaarlijke script kiddies maar wat kopiëren en genereren en zo de aandacht opeisen, terwijl de echt linke broeders in het aller diepste geheim hun kwaadaardige botnets bouwen, verborgen voor onze spiedende blikken.

* krabt achter oor *
13-03-2009, 21:58 door [Account Verwijderd]
[Verwijderd]
13-03-2009, 23:24 door Anoniem
Door SpiritJammer dat er met 'lui' en 'niet inventief' wordt gesproken. Buiten dit, gebruiken echt malwaremakers geen gebruike code.

Toch grappig die mensen die menen meer te weten dan echte experts.
13-03-2009, 23:31 door Anoniem
Door Anoniem
Door Anoniem
Ook virusschrijvers noemt hij niet inventief.

Termen als 'lui' en 'niet inventief' zijn misschien aardig in een artikel voor een publiek dat zich irriteert aan malware, maar het helpt niet echt in het profileren van de malware schrijvers.

En waarom niet? Dit geeft juist aan dat het wel mogelijk is malwareschrijvers te profileren. Veel programmeurs hebben een eigen herkenbare stijl. Zoals je onderzoek kan doen naar handschrift of schrijfstijl, kan ik me voorstellen dat dat ook mogelijk is met het "werk" van malwareschrijvers.

Profileren van personen, of hier criminelen, gaat wel wat dieper dan classificaties als 'lui' en 'niet inventief'. Het profileren van criminelen zoals soms getoond wordt in films of series op TV is leuk voor drama, maar heeft niets te maken met werkelijkheid.

Natuurlijk leest het lekker weg als een crimineel 'dom' en 'lui' bestempeld wordt, maar het is geen relevante informatie.
14-03-2009, 08:31 door Willem 2
Zullen wel allemaal Windowsgebruikers zijn die les hebben gehad bij Microsoft. Zo is het toch, Eerde?
14-03-2009, 11:11 door Anoniem
Door Anoniem
Natuurlijk leest het lekker weg als een crimineel 'dom' en 'lui' bestempeld wordt, maar het is geen relevante informatie.

Onzin. Ten eerste gaat het hier niet om profilering, dat maak jij ervan. Ten tweede zijn lui en dom wel kwalificaties die de aard van de programmeurs beschrijft. Ze zijn doorgaans lui en dom. Dat zie je aan hun "werk".

In de pers wordt al jaren met onterecht ontzag gesproken over de prestaties van een virusschrijver, dat heeft kennelijk bij jou zijn effect gehad. De meeste malwareschrijvers zijn prutsers.
14-03-2009, 11:58 door [Account Verwijderd]
[Verwijderd]
14-03-2009, 15:30 door H.King
Ten tweede zijn lui en dom wel kwalificaties die de aard van de programmeurs beschrijft. Ze zijn doorgaans lui en dom. Dat zie je aan hun "werk".

Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.
14-03-2009, 19:27 door Anoniem
Door H.KingTen tweede zijn lui en dom wel kwalificaties die de aard van de programmeurs beschrijft. Ze zijn doorgaans lui en dom. Dat zie je aan hun "werk".

Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.

Het gaat hier over malwareschrijvers. Doe een cursus begrijpend lezen.
15-03-2009, 10:47 door Bitwiper
Fijn dat Kasperski nu malware van luie virusschrijvers kan herkennen.

Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).
15-03-2009, 11:57 door Anoniem
Door BitwiperFijn dat Kasperski nu malware van luie virusschrijvers kan herkennen.

Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).

Deze analyse tool is van Norman. Virustotal maakt voor zover ik weet geen gebruik van deze Norman tool. Dus je weet nog niet of het werkt of niet.

Misschien dat Righard dit leest en het resultaat voor dit bestand kan publiceren?
15-03-2009, 16:14 door H.King
Door Anoniem
Door H.KingTen tweede zijn lui en dom wel kwalificaties die de aard van de programmeurs beschrijft. Ze zijn doorgaans lui en dom. Dat zie je aan hun "werk".

Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.

Het gaat hier over malwareschrijvers. Doe een cursus begrijpend lezen.


malware schrijvers programmeren ook. En ik reageerde op iemand die toch echt programmeurs zegt. Iemand die programmeert noem ik een programmeur, malware wordt ook geprogrammeerd alleen maakt dat hun volgens jou geen programmeurs maar malware schrijvers wat op hetzelfde neerkomt.Alsof een timmerman dat een hok in elkaar timmert ineens een hokmaker is ipv timmerman. Zou zeggen doe een cursus maar betwijfel of domheid af te leren is.
15-03-2009, 16:23 door H.King
Door BitwiperFijn dat Kasperski nu malware van luie virusschrijvers kan herkennen.

Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).
Was leuk geweest als ze erbij melden dat sinds dat het moment dat steeds meer open source malware verscheen, virus schrijvers ook vele manieren hebben bedacht om dingen weer undetected te krijgen.En zijn die manieren ook voor luie
virus schrijvers toegankelijk omdat technieken voor het undetected maken van sources explosief groeit sinds dat er veel source code's het internet vonden. Bezoek een paar 'hack' forums en je zie het met je eigen ogen. antivirus loopt weer achter de feiten aan.
15-03-2009, 16:55 door Bitwiper
Door Anoniem
Door BitwiperFijn dat Kasperski nu malware van luie virusschrijvers kan herkennen.

Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).

Deze analyse tool is van Norman.
Oops, mijn excuses! Ik heb twee bergen door elkaar gehaald: Roel Schouwenberg en Righard Zwienenberg... Sorry! Ik zal beter lezen volgende keer...

Virustotal maakt voor zover ik weet geen gebruik van deze Norman tool.
Op dit moment is www.virustotal.com niet bereikbaar, maar als je naar een recente cached pagina kijkt zoals [url=http://74.125.77.132/search?q=cache:QKH9h8KrDlEJ:www.virustotal.com/analisis/734465e30a6ee6d6c493471d77940f4c+norman+2009+site:virustotal.com&cd=4&hl=en&ct=clnk]deze[/url] (van 10 maart) dan zie je Norman er gewoon bij staan.
15-03-2009, 17:06 door Anoniem
Door Bitwiper[quoteq=cache:QKH9h8KrDlEJ:www.virustotal.com/analisis/734465e30a6ee6d6c493471d77940f4c+norman+2009+site:virustotal.com&cd=4&hl=en&ct=clnk]deze[/url] (van 10 maart) dan zie je Norman er gewoon bij staan.

Norman Virus Control != Norman Sandbox Analyzer
15-03-2009, 17:11 door Anoniem
Door H.King
Door Anoniem
Door H.KingTen tweede zijn lui en dom wel kwalificaties die de aard van de programmeurs beschrijft. Ze zijn doorgaans lui en dom. Dat zie je aan hun "werk".

Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.

Het gaat hier over malwareschrijvers. Doe een cursus begrijpend lezen.


malware schrijvers programmeren ook. En ik reageerde op iemand die toch echt programmeurs zegt. Iemand die programmeert noem ik een programmeur, malware wordt ook geprogrammeerd alleen maakt dat hun volgens jou geen programmeurs maar malware schrijvers wat op hetzelfde neerkomt.Alsof een timmerman dat een hok in elkaar timmert ineens een hokmaker is ipv timmerman. Zou zeggen doe een cursus maar betwijfel of domheid af te leren is.

Je moet het in de context lezen. Er worden malware programmeurs (=schrijver) bedoeld, echt geen gewone programmeurs. Het helpt echt niet anderen uit te maken voor dom.
15-03-2009, 21:27 door Bitwiper
Door Anoniem
Door BitwiperOp dit moment is www.virustotal.com niet bereikbaar, maar als je naar een recente cached pagina kijkt zoals [url=http://74.125.77.132/search?q=cache:QKH9h8KrDlEJ:www.virustotal.com/analisis/734465e30a6ee6d6c493471d77940f4c+norman+2009+site:virustotal.com&cd=4&hl=en&ct=clnk]deze[/url] (van 10 maart) dan zie je Norman er gewoon bij staan.

Norman Virus Control != Norman Sandbox Analyzer
Uhhh? [url=http://www.norman.com/Product/Home_Home_office/Antivirus/nl]Hier[/url] lees ik:

Norman Antivirus & Antispyware
...
The Norman SandBox technology is included - a proactive technology used to find and stop unwanted actions from new and unknown malware.

En als ik bijv. op [url=http://www.virustotal.com/analisis/1cc920d4966b5c95b6875ef37293f040]deze[/url] virustotal pagina kijk (de site is ondertussen weer in de lucht) dan zie ik dat daadwerkelijk gebruik is gemaakt van die Norman Sandbox. Onder welke omstandigheden dat gebeurt, en of Norman AV dan wel Virustotal die Sandbox oproept, weet ik niet. Maar een kale sandbox die niet in een on-access virusscanner is ingebouwd lijkt me zinloos om malware tegen te houden zoals beschreven op de eerder door mij genoemde pagina met het [url=http://isc.sans.org/diary.html?storyid=6010]bijbehorende verhaal[/url].
15-03-2009, 23:04 door Anoniem
Bitwiper, afgaand op de plaatjes bij dit artikel, zie ik dat dat een andere tool is dan die in NVC.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.