США представили новую вирусную технологию обхода сигнатур Антивирусов
Ссылка на детальное описание технологии в формате pdf.
Frankenstein forgoes the concept of a metamorphic engine and instead creates mutants by stitching together instructions from non-malicious programs that have been classified as benign by local defenses. This makes it more difficult for featurebased malware detectors to reliably use those byte sequences as a signature to detect the malware. The instruction sequence harvesting process leverages recent advances in gadget discovery for return-oriented programming. Preliminary tests show that mining just a few local programs is sufficient to provide enough gadgets to implement arbitrary functionality.
Слайды посмотреть можно тут.
Согласно сообщению исследователей информационной безопасности Вишвоса Мохана (Vishwath Mohan) и Кевина Хамлена (Kevin Hamlen) из Университета штата Техас в Далласе, им удалось создать вредоносное приложение способное избегать обнаружения неизвестным ранее способом.
Вирус, получивший название Frankenstein, способен постоянно модифицировать свою структуру за счет <кусков> кода имеющихся на системе приложений, которые распознаются антивирусами как легитимные.
По словам экспертов, это заметно затрудняет работу <функционала по определению вредоносного ПО с помощью сигнатур>.
<Предварительный анализ показывает, что обнаружение всего нескольких программ на системе позволяет вирусу надежно защититься>, - следует из доклада исследователей.
Работа Мохана и Хамлена частично финансировалась управлением научных исследований ВВС США. Кроме того, достижения Frankenstein-а были представлены в двух докладах на семинаре USENIX Workshop on Offensive Technologies.