Angreifer bekommen 's mit verschlüsselte Malware

2013-12-28  |  Comebuy News

Malware jetzt noch hinterhältig! Naja, 's, das heißt. Angreifer in Brasilien haben einen Weg, um Antivirenprogramme zu schleichen, Kryptografie mit gefunden.

Comebuy Verwandte Artikel: Antivirus Anbieter stürzen auf Mac Malware erschrecken£ 150 Ransomware mit einem VengeanceMalware-anzeigen gibt London Stock Exchange WebsiteMicrosoft Berichte Spitze in Windows XP AttacksGoogle Reader & Picasa verwendet, um die Verbreitung von Malware betroffen

Vor kurzem suchte Dmitry Bestuzhev, Leiter Global Research und Analyse-Team für Lateinamerika, Kaspersky Lab über einige potenziell gefährliche Verbindungen aus Brasilien entdeckte er einige Dateien mit JPEG-Dateinamenerweiterungen. Auf den ersten Blick dachte Bestuschew, dass sie irgendeine Form von Steganographie--die Kunst und Wissenschaft Nachrichten zu verstecken waren. Aber bei näherer Betrachtung der Forscher entdeckt, dass sie eigentlich mehr wie BMP (Bitmap)-Dateien, als JPEGs waren.

In den Dateien selbst enthaltenen Daten wurde natürlich verschlüsselt und enthalten eine Art von Malware; Bestuschew entdeckt später, dass die Daten in Form von Blockchiffren--eine kryptografische Methode war, die 128-Bit-Blöcke von Plain-Text in 128-Bit-Blöcke von verschlüsseltem Text verschlüsselt. Da Blockchiffren nur 128-Bit-Blöcke zusammengesetzt werden können, müssen sie die Nachricht in mehrere Blöcke brechen und jeweils einzeln zu verschlüsseln. Ein so genanntes Betriebsarten ermöglicht ein Kryptograph Blockchiffren wiederholt zu verwenden, um ein gesamtes Programm--verschlüsseln oder Stück Malware, in diesem Fall.

Betriebsarten können Randomisierung basierend auf ein Zusatz-Eingabewert, wodurch es sehr schwierig für ein Programm oder Decryter verwenden, um den Code zu entschlüsseln zu können. Wenn die Datei, Unencryped Code geöffnet wird--eine Entschlüsselung Skript in diesem Fall würden dann ausgeführt und die entschlüsselte Schadcode ausführen.

Leider für das Web und seine Nutzer, die meisten antivirus-Software stützt sich weitgehend auf die Suche nach Mustern von Daten, die gleich oder ähnlich wie ihre Virendefinitionen sind. Einige anspruchsvollere Programme Heuristik Ermittlung nicht unbedingt Problem Code aber Virus Strukturen basierend auf verschiedene Platzhalterzeichen verwenden (nicht A-Z und 0-9) und extra sinnlos "padding" Code. Jedoch selbst wenn ein Programm Heuristik verwendet, Ihr Virenscanner nur benachrichtigt Sie möglicherweise, dass es eine nicht vertrauenswürdige oder unbekannte Datei ist.

Noch mehr bedauerlich, könnte die Platzhalterzeichen in einer anderen Art von scheinbar nützliche Datei (z.B. JPEG-Dateien) ausgeblendet werden, die tatsächlich ein Bild anzeigt, und daher nicht auslösen könnten den Virenscanner überhaupt. Könnte es noch schlimmer werden? Ja, aber meines Wissens am meisten, wenn nicht sogar alle Virenscanner sind auch nicht in der Lage zu bestimmen, was geschieht, wenn das Entschlüsselung-Skript ausgeführt wird--das heißt, sie nicht tatsächlich führen Sie den Code um herauszufinden, was geschehen wird.

Laut Bestuschew Virenschreiber hinter diesem Angriff veröffentlicht neue Spiegel und neue Varianten der Malware etwa alle 2 Tage, obwohl der Verschlüsselungscode dasselbe bisher geblieben ist. Das ist sicherlich beängstigend für jemanden gibt, der ihre privaten Daten zu schätzen, und ich hoffe nur, dass die antivirus-Software-Unternehmen mithalten können.

[SecureList über ThreatPost]

Folgen Sie James Mulroy, auf und StumbleUpon, die neuesten Mikrobe, Dinosaurier und Tod Ray News erhalten.

« Back