Egyre fejlettebb kártevő szoftvereket vizsgál a Symantec

A Symantec nemrégiben megjelent blog bejegyzésében két új módszer részleteit vesézi ki, amelyet a készítők az észlelés és elemzés elkerülése céljából építenek be a káros szoftverekbe. A kutatók szerint a bűnözők alacsony költségű és/vagy erőforrás igényű megközelítést és alvó ciklusokat (sleep loop) használnak együttesen az alapvető monitorozással, hogy elkerüljék a lelepleződést. A Symantec legutóbbi Internet Security Threat Report-ban arról számolt be, hogy tavaly 400 millió káros kód részlet készült világszerte. Ez olyan hatalmas szám, amit képtelenség észlelni és kézzel elemezni a védekezés céljából. Ezért a biztonsági kutatók számos olyan eszközt fejlesztettek ki, amivel automatizálni lehet ezt a folyamatot. Ez már évek óta vagy virtuális gépben történik vagy pedig a folyamatok és viselkedések ellenőrzésével. Azonban a káros programok készítői tisztában vannak ezzel, ezért olyan kódot készítenek, amely el tudja kerülni ezeket az ellenőrzéseket (például regisztrációs bejegyzések, VGA meghajtó program ellenőrzése, folyamat nevek, bizonyos típusú assembler kódok, stb). Most a Symantec két új módszert ismert fel, amelyek működnek bizonyos szinten. Az első módszer megfigyeli az egér kommunikációját. Ha egy automatizált kereső rendszeren fut, akkor az egért használó kód sosem fog aktivizálódni, ezért a malware is inaktív marad, így elkerüli a lebukást.

http://www.securityweek.com/symantec-examines-new-malware-evasion-tactics