Igra mačke i miša
Igra mačke i miša
Poslednje ažurirano (ponedeljak, 02 avgust 2010 12:07) ponedeljak, 02 avgust 2010 10:56
Da opišemo Hilot slučaj. Ova malware-porodica je algoritmički otkrivena kod naših motora i otkrivanje se može nazvati generičkom detekcijom. Kada autori budu obavešteni o tome da je velika procena otkrivanja njihovih kodova, oni odmah promene generator. Ono što me je iznenadilo tanka granica naših detekcija.
Proveravali smo neke karakteristične blokove unutar samog koda, kao deo našeg otkrivnog procesa i ovaj blok je deo naše igre mačke i miša. Kao odgovor dobili smo da je sam autor Hilot-a promenio ovaj blok. To nije bilo iznenađenje čak smo i očekivali, ali oni su samo premestili taj blok koji proveravamo tačno tamo gde naše provere ne ulaze. Pa, prvi put sam mimslio da bi moglo biti slučajnost i ja takođe dodao da se proveri kako se preselio blok. Ali posle nekoliko dana, u novom Hilot varijanti, ovaj značajan blok ponovo i ponovo je pomeren samo dovoljno količinu bajtova kako bi se izbeglo naše otkrivanje. Ovaj scenario je ponovljen, jer je osam puta ponovio (i mislim da nikad neće prestati) i da ne može biti slučajnost IMO. Ponekad, čak mislim da su autori Hilot stalno koče naše otkrivanje. To je precizan pristup, ali ako neko čita naše detekcije, koja je mačka i ko je miš u ovoj igri?
Logičan zaključak je da uvek imajte najsvežija osvežavanja AV programa i baza. Bez obzira koliko su efikasne heurističke i generičke detekcije, autori zlonamernih programa izgleda da su dosta marljivi kada je u pitanju smišljanje novih načina za trikovanje čak i najproaktivnijih detekcija - dodao je Michal Krejdl.
avast! Online Scanner pruža mogućnost da proverite fajlove brzo i besplatno.