Introduzione Virus Worm Anti-virus Bibliografia. Malware. Roberto Paleari

Transcript

1 Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali CFP Vigorelli 1-6 febbraio 2006

2 Sommario

3 Sommario

4 Sommario

5 Sommario

6 Sommario

7 Classificazione Sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all insaputa dell utente

8 Tipologie di malware (1) Classificazione replicazione autonoma necessitano di un ospite in cui inserirsi propagazione attraverso la diffusione dell ospite non necessitano di un ospite propagazione autonoma attraverso la rete capacità di propagarsi in sistemi altrui sfruttando delle vulnerabilità

9 Tipologie di malware (1) Classificazione replicazione autonoma necessitano di un ospite in cui inserirsi propagazione attraverso la diffusione dell ospite non necessitano di un ospite propagazione autonoma attraverso la rete capacità di propagarsi in sistemi altrui sfruttando delle vulnerabilità

10 Tipologie di malware (2) Classificazione Trojan horse camuffamento di funzionalità maligne all interno di altre benigne propagazione manuale: diffusione di applicazioni con funzionalità secondarie oppure inserimento di nuove funzionalità nelle applicazioni esistenti rientrano in questa categoria adware e spyware Backdoor codice in grado di garantire l accesso ad un sistema evitando le normali procedure di autenticazione rientrano in questa categoria tutti i RAT (Remote Access Trojan)

11 Tipologie di malware (2) Classificazione Trojan horse camuffamento di funzionalità maligne all interno di altre benigne propagazione manuale: diffusione di applicazioni con funzionalità secondarie oppure inserimento di nuove funzionalità nelle applicazioni esistenti rientrano in questa categoria adware e spyware Backdoor codice in grado di garantire l accesso ad un sistema evitando le normali procedure di autenticazione rientrano in questa categoria tutti i RAT (Remote Access Trojan)

12 Tipologie di malware (3) Classificazione Rootkit strumenti utilizzati per mantenere l accesso ad un sistema compromesso senza fare nascere sospetti utilizzati per nascondere file, processi, connessioni di rete,... possono lavorare sia a livello kernel che a livello utente

13 Tipologie di payload Classificazione non distruttivo accidentalmente distruttivo distruttivo DoS (Denial of Service) sottrazione di informazioni

14 Classificazione Convenzioni per la scelta dei nomi CARO naming convention: [malware_type://][platform/]family_name[.group_name] [.infective_lenght][.variant[devolution]][modifiers] Alcuni esempi: Trojan-Downloader.Win32.Banload Backdoor.Win32.Breplibot.o.Multi.Etapux Net-.Win32.Slammer SymbOS.Doomboot.P

15 Classificazione Convenzioni per la scelta dei nomi CARO naming convention: [malware_type://][platform/]family_name[.group_name] [.infective_lenght][.variant[devolution]][modifiers] Alcuni esempi: Trojan-Downloader.Win32.Banload Backdoor.Win32.Breplibot.o.Multi.Etapux Net-.Win32.Slammer SymbOS.Doomboot.P

16 Definizione Tecniche di infezione Infezione di file Macro Porzione di codice in grado di infettare altri programmi, modificandoli includendo una versione (eventualmente evoluta) di se stesso[1].

17 Tecniche di infezione (1) Tecniche di infezione Infezione di file Macro Boot sector o MBR File il virus viene inserito nel boot sector (hard-disk o floppy) o nel MBR (hard-disk) il virus viene eseguito durante la sequenza di avvio il virus può rimanere in memoria anche dopo la fase di boot il virus è inserito in un ospite quando l ospite viene eseguito viene eseguito anche il virus durante l esecuzione il virus individua nuovi programmi in cui inserirsi e li infetta (evitando di infettare due volte lo stesso file)

18 Tecniche di infezione (1) Tecniche di infezione Infezione di file Macro Boot sector o MBR File il virus viene inserito nel boot sector (hard-disk o floppy) o nel MBR (hard-disk) il virus viene eseguito durante la sequenza di avvio il virus può rimanere in memoria anche dopo la fase di boot il virus è inserito in un ospite quando l ospite viene eseguito viene eseguito anche il virus durante l esecuzione il virus individua nuovi programmi in cui inserirsi e li infetta (evitando di infettare due volte lo stesso file)

19 Tecniche di infezione (2) Tecniche di infezione Infezione di file Macro Memoria il virus viene inserito all interno dello spazio di indirizzamento di un processo il virus può rimanere attivo solo fino a quando il processo non termina il virus può essere inserito all interno della memoria del kernel del sistema operativo

20 Tecniche per l infezione dei file Tecniche di infezione Infezione di file Macro Companion il nome del file che contiene il virus è scelto in modo tale che il SO esegua il virus quando l utente richiede il programma originale; ad esempio su Windows è possibile: 1 sfruttare la precedenza dei.com sui.exe 2 sfruttare l ordine con cui un eseguibile viene cercato nel path 3 rinominare il file originale e sostituirlo con il virus (es. notepad.exe notepad.ex ) 4 utilizzare gli stream NTFS (es. Win2k.Stream) Sovrascrittura parte del codice dell ospite viene rimpiazzato con quello del virus. L ospite non funzionerà più correttamente e la rimozione del virus non sarà possibile.

21 Tecniche per l infezione dei file Tecniche di infezione Infezione di file Macro Companion il nome del file che contiene il virus è scelto in modo tale che il SO esegua il virus quando l utente richiede il programma originale; ad esempio su Windows è possibile: 1 sfruttare la precedenza dei.com sui.exe 2 sfruttare l ordine con cui un eseguibile viene cercato nel path 3 rinominare il file originale e sostituirlo con il virus (es. notepad.exe notepad.ex ) 4 utilizzare gli stream NTFS (es. Win2k.Stream) Sovrascrittura parte del codice dell ospite viene rimpiazzato con quello del virus. L ospite non funzionerà più correttamente e la rimozione del virus non sarà possibile.

22 Tecniche per l infezione dei file Tecniche di infezione Infezione di file Macro Le tecniche seguenti preservano il file originale (facilitando anche la rimozione del virus): Inserimento in testa il codice dell ospite viene spostato ed il virus viene inserito all inizio del programma; il virus si preoccuperà di eseguire il codice originale dell ospite più semplice in eseguibili plain (es..com), ma possibile anche in quelli attuali (es. Nimda per i.exe)

23 Tecniche per l infezione dei file Tecniche di infezione Infezione di file Macro Inserimento in coda il codice del virus viene inserito alla fine di quello dell ospite; nel codice dell ospite vengono inserite delle istruzioni per attivare il virus modificano l inizio dell host per saltare al corpo del virus, che a sua volta trasferirà poi il controllo all host anche qui con eseguibili complessi (PE, ELF,... ) è necessario modificare opportunamente i metadati

24 Tecniche per l infezione dei file Tecniche di infezione Infezione di file Macro Inserimento nelle cavità il codice del virus viene inserito nei buchi trovati all interno dell ospite; nel codice dell ospite vengono inserite le istruzioni per l attivazione del virus (es. Lehigh, W2K/Installer) alcuni virus (es. W95/CIH) sono anche in grado di ripartire il proprio codice tra piu cavità (fractionated cavity virus)

25 Tecniche per l infezione dei file Tecniche di infezione Infezione di file Macro Entry Point Obscuring (EPO) adattamento dell ospite per mascherare l attivazione del virus, senza modifiche dirette all entry point o al codice dell ospite nelle immediate vicinanze dell entry point: inserimento di salti all interno dell ospite manipolazione dei salti o delle chiamate a funzione dell ospite (es. ExitProcess()) manipolazione delle sezioni dinamiche dispersione del codice del virus in quello dell ospite

26 Macro Tecniche di infezione Infezione di file Macro molte applicazioni sono programmabili con un proprio linguaggio di scripting a volte tali linguaggi sono tanto potenti da consentire anche la scrittura di virus multi-piattaforma macro per Microsoft c Office, script Visual Basic, script mirc,... il virus richiede la presenza di una applicazione che contenga l interprete adeguato

27 Macro nei prodotti Microsoft c Office Tecniche di infezione Infezione di file Macro il virus è incluso nei documenti (o template) gestiti dalle applicazioni virus multi-piattaforma (a meno di language dependency o altri problemi di platform dependency) spesso per gli antivirus è difficile rimuovere completamente il virus senza toccare le macro degli utenti: macro corruption macro conversion evoluzioni e devoluzioni del codice... esistono migliaia di esemplari: Melissa (1999), Laroux (Excel ),...

28 Caratteristiche fondamentali Struttura Esempi Differenze tra e il principale mezzo di propagazione di uno worm è la rete (infezione network-oriented) non necessitano di un host da infettare, ma si propagano come programmi standalone distinguiamo[2]: active worms non richiedono l intervento dell utente per la propagazione (exploit) worms richiedono una qualche azione dell utente (propagazione più lenta)

29 Caratteristiche fondamentali Struttura Esempi Differenze tra e il principale mezzo di propagazione di uno worm è la rete (infezione network-oriented) non necessitano di un host da infettare, ma si propagano come programmi standalone distinguiamo[2]: active worms non richiedono l intervento dell utente per la propagazione (exploit) worms richiedono una qualche azione dell utente (propagazione più lenta)

30 Caratteristiche fondamentali Struttura Esempi Differenze tra e il principale mezzo di propagazione di uno worm è la rete (infezione network-oriented) non necessitano di un host da infettare, ma si propagano come programmi standalone distinguiamo[2]: active worms non richiedono l intervento dell utente per la propagazione (exploit) worms richiedono una qualche azione dell utente (propagazione più lenta)

31 Struttura Struttura Esempi Componenti essenziali[3] target locator individuazione di nuovi bersagli. Esempio: recupero indirizzi , IP vulnerabili,... infection propagator trasferimento del worm e infezione di un nuovo nodo. Esempio: moduli di exploiting;

32 Struttura (cont.) Struttura Esempi Componenti opzionali[3] remote control and update interface controllo della macchina infetta (backdoor, IRC,... ) e aggiornamento del worm (download moduli da web, newsgroup,... ); payload molte tipologie che vanno dal DoS fino a sistemi distribuiti molto complessi. Spesso il payload installa patch per la protezione da altri worm; self-tracking tracciamento degli host infetti.

33 Target locator Struttura Esempi Indirizzi Possibili fonti di indirizzi: rubrica file su disco newsgroup messaggi in uscita Network share Windows offre utili servizi per trovare altre macchine facilitato da: trust relationship fra sistemi diversi password deboli (o assenti!) molti host collegati con i servizi di condivisione accessibili da chiunque (... quando il firewall è un problema... )

34 Target locator Struttura Esempi Indirizzi Possibili fonti di indirizzi: rubrica file su disco newsgroup messaggi in uscita Network share Windows offre utili servizi per trovare altre macchine facilitato da: trust relationship fra sistemi diversi password deboli (o assenti!) molti host collegati con i servizi di condivisione accessibili da chiunque (... quando il firewall è un problema... )

35 Target locator (cont.) Struttura Esempi Network scanning e fingerprinting[2] random scanning: indirizzo del target scelto casualmente. Problema: un target può essere provato più volte hit-list scanning: worm distribuito con una lista di n target potenzialmente vulnerabili; ad ogni infezione, passa metà lista al nuovo worm; permutation scanning: permutazione pseudo casuale dell IP address space; ogni esemplare parte da un punto casuale e se trova una macchina infetta, sceglie un nuovo punto di partenza; warhol worm = hit-list + permutation

36 Infection propagator (cont.) Struttura Esempi Tecniche di propagazione: 1 (social engineering, sender spoofing,... ) 2 sfruttamento di backdoor preesistenti (es. W32/Nimda CodeRed ii, W32/Borm Back Orifice) (no intervento utente!) 3 propagazione tramite reti P2P (aggiunta ai file in sharing o infezione di file condivisi) 4 diffusione tramite instant messaging (es. mirc /DCC, MSN,... ) 5 bluetooth 6 file server 7 vulnerabilità in applicazioni (no intervento utente!)

37 Payload Struttura Esempi Diverse tipologie di payload: backdoor DDoS zombie raccolta informazioni sensibili zombie generico

38 Alcuni dei più famosi - Blaster Struttura Esempi Blaster (Agosto 2003) SO: Microsoft c Windows 2000, XP Metodo di propagazione: vulnerabilità nel servizio RPC (buffer overflow; riavvio di Windows XP dopo la chiusura della shell) Payload: DoS contro windowsupdate.com, apertura shell remota nascosta Target locator: 60% IP casuale, 40% stessa rete di classe B dell host infetto

39 Alcuni dei più famosi - Slammer Struttura Esempi Slammer (Gennaio 2003) 376 bytes ( mini worm ) SO: Microsoft c Windows Metodo di propagazione: vulnerabilità Microsoft c SQL Server 2000 (stack-based overflow; attacco verso porta UDP 1434, con source IP probabilmente spoofato) Payload: nessuno Target locator: 100% random in loop infinito CPU al 100% e paralisi della rete Host infettati: almeno

40 Alcuni dei più famosi - CodeRed Struttura Esempi CodeRed - (Luglio 2001) SO: Microsoft c Windows 2000 Metodo di propagazione: vulnerabilità in IIS (buffer overflow) anti worm CodeGreen Host infettati: nelle prime 24 ore

41 Alcuni dei più famosi - Sobig Struttura Esempi Sobig SO: Microsoft Windows Metodo di propagazione: (allegato.pif o.scr) Payload: infezione altri sistemi della stessa lan, aggiornamento automatico e possibilità di esecuzione di codice da remoto Conseguenze: congestione server SMTP

42 Componenti fondamentali Metodologie di ricerca Contromisure motore per la scansione (anche di tipi di differenti) signature: definizione dei pattern da utilizzare per l identificazione dei virus

43 Tipologie Metodologie di ricerca Contromisure a livello di host Possibili diverse tipologie di scansione: ricerca su richiesta (on-demand) ricerca in tempo reale: all apertura di un file, alla ricezione di un ,... (on-access) a livello di rete analisi del traffico in uscita ed in ingresso il traffico deve passare attraverso un gateway in grado di analizzare la particolare tipologia di traffico

44 Tipologie Metodologie di ricerca Contromisure a livello di host Possibili diverse tipologie di scansione: ricerca su richiesta (on-demand) ricerca in tempo reale: all apertura di un file, alla ricezione di un ,... (on-access) a livello di rete analisi del traffico in uscita ed in ingresso il traffico deve passare attraverso un gateway in grado di analizzare la particolare tipologia di traffico

45 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure String scanning Viene definita una stringa di byte (signature) che identifica un particolare malware. Se un file (o la memoria) contiene una signature, allora è infetto dal malware corrispondente. quanto dev essere lunga la signature? (e.g. problema dei falsi positivi) dove cercare la signature? (performance) una signature potrebbe identificare varianti diverse dello stesso malware o addirittura malware diversi (svantaggio: quale metodo di rimozione applicare?)

46 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure String scanning Viene definita una stringa di byte (signature) che identifica un particolare malware. Se un file (o la memoria) contiene una signature, allora è infetto dal malware corrispondente. quanto dev essere lunga la signature? (e.g. problema dei falsi positivi) dove cercare la signature? (performance) una signature potrebbe identificare varianti diverse dello stesso malware o addirittura malware diversi (svantaggio: quale metodo di rimozione applicare?)

47 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure Wildcards Variante dello string scanning, impiegando wildcard o espressioni regolari. Problema: performance. Bookmarks Memorizzare la distanza dall inizio del body del virus alla posizione dove si dovrebbe trovare la signature. Velocizzare la scansione top-and-tail scanning entry-point scanning

48 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure Wildcards Variante dello string scanning, impiegando wildcard o espressioni regolari. Problema: performance. Bookmarks Memorizzare la distanza dall inizio del body del virus alla posizione dove si dovrebbe trovare la signature. Velocizzare la scansione top-and-tail scanning entry-point scanning

49 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure Wildcards Variante dello string scanning, impiegando wildcard o espressioni regolari. Problema: performance. Bookmarks Memorizzare la distanza dall inizio del body del virus alla posizione dove si dovrebbe trovare la signature. Velocizzare la scansione top-and-tail scanning entry-point scanning

50 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure Smart pattern matching Evitare caratteri inutili (e.g. NOP nei binari, spazi nei sorgenti,... ) durante scansione e creazione della signature. Skeleton detection Utile per macro virus: parsing del sorgente, scartando spazi e istruzioni non essenziali per un macro virus. Rimane lo scheletro del virus.

51 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure Smart pattern matching Evitare caratteri inutili (e.g. NOP nei binari, spazi nei sorgenti,... ) durante scansione e creazione della signature. Skeleton detection Utile per macro virus: parsing del sorgente, scartando spazi e istruzioni non essenziali per un macro virus. Rimane lo scheletro del virus.

52 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure Nearly Exact Identification combinazione di più criteri di matching (e.g. signature multiple, checksum di parti del codice,... ) se solo alcuni sono soddifatti, si potrebbe aver identificato una variante evitare rimozione Exact Identification Consente di distinguere varianti di uno stesso malware. 1 eliminazione della parti variabili del codice del malware 2 definizione degli intervalli relativi alle parti costanti 3 calcolo del checksum di tutta la parte costante

53 Metodologie di ricerca: pattern matching Metodologie di ricerca Contromisure Nearly Exact Identification combinazione di più criteri di matching (e.g. signature multiple, checksum di parti del codice,... ) se solo alcuni sono soddifatti, si potrebbe aver identificato una variante evitare rimozione Exact Identification Consente di distinguere varianti di uno stesso malware. 1 eliminazione della parti variabili del codice del malware 2 definizione degli intervalli relativi alle parti costanti 3 calcolo del checksum di tutta la parte costante

54 Metodologie di ricerca: algorithmic scanning Metodologie di ricerca Contromisure Cos è? algoritmi per il rilevamento di particolari malware, non gestibili con l algoritmo standard implementabile in modi diversi: moduli compilati, linkati dinamicamente: efficiente ma poco portabile; moduli compilati in qualche forma di bytecode: lento ma portabile (e.g. Norton Antivirus);

55 Metodologie di ricerca: algorithmic scanning Metodologie di ricerca Contromisure Cos è? algoritmi per il rilevamento di particolari malware, non gestibili con l algoritmo standard implementabile in modi diversi: moduli compilati, linkati dinamicamente: efficiente ma poco portabile; moduli compilati in qualche forma di bytecode: lento ma portabile (e.g. Norton Antivirus);

56 Metodologie di ricerca: algorithmic scanning Metodologie di ricerca Contromisure Filtering Queste routine specifiche sono spesso pesanti. Vengono definiti filtri sugli oggetti esaminati, in modo da applicarle solo ad oggetti sospetti. Esempi di filtri: tipo dell oggetto presenza di una stringa nell header nomi di sezioni sospette...

57 Metodologie di ricerca: algorithmic scanning Metodologie di ricerca Contromisure Disassembling per ricercare una instruzione sospetta, spesso non basta cercare la stringa che la rappresenta esempio: cmp ax,0x5a4d 66 3D 4D 5A BF 66 3D 4D 5A nop; nop; mov edi,0x5a4d3d66 soluzione: disassembling (da dove partire? che tecnica utilizzare? come gestire anti-disassembing?)

58 Metodologie di ricerca: code emulation Metodologie di ricerca Contromisure Cos è? Il malware è eseguito in una virtual machine, che simula una macchina reale. Componente essenziale in antivirus moderni. Considerazioni utile emulare routine di decifratura, in modo da ottenere il body del virus in chiaro; quando terminare l emulazione? (e.g. alla prima chiamata API,... ); tecniche di antiemulation o junk code nella routine di decifratura possono aumentare in modo inaccettabile l overhead.

59 Metodologie di ricerca: code emulation Metodologie di ricerca Contromisure Cos è? Il malware è eseguito in una virtual machine, che simula una macchina reale. Componente essenziale in antivirus moderni. Considerazioni utile emulare routine di decifratura, in modo da ottenere il body del virus in chiaro; quando terminare l emulazione? (e.g. alla prima chiamata API,... ); tecniche di antiemulation o junk code nella routine di decifratura possono aumentare in modo inaccettabile l overhead.

60 Metodologie di ricerca: analisi euristica Metodologie di ricerca Contromisure Cos è? ricerca di anomalie nella struttura dei file, sequenze di istruzioni sospette,... analisi dinamica di un applicazione alla ricerca di fenomeni riconducibili a comportamenti maligni noti

61 Metodologie di ricerca: analisi euristica Metodologie di ricerca Contromisure Esempi 1 entry point fuori dalla code section (spesso nell ultima sezione appending virus) 2 sezioni con attributi sospetti (e.g..text RWX) 3 jmp in prossimità dell entry point, con target esterno alla code section (EPO virus) 4 esecuzione di codice in sezioni con nome atipico (e.g..reloc,.debug,... ) 5...

62 Disinfezione Metodologie di ricerca Contromisure In molti casi è possibile identificare esattamente le parti di codice appartenenti al virus e rimuoverle dall ospite, lasciando intatte le funzionalità originali dell ospite Questo non è possibile quando: il virus ha alterato parte dell ospite non è possibile identificare tutti le parti del virus all interno dell ospite

63 Disinfezione Metodologie di ricerca Contromisure Tecniche possibili standard disinfection generic disinfection: il file infetto viene emulato finchè il virus stesso non lo ha ripristinato. Problemi: 1 il file è davvero infetto? 2 qual è la parte infetta da rimuovere? Vantaggi: 1 rimozione di virus sconosciuti 2 riduzione delle dimensioni del DB

64 Disinfezione Metodologie di ricerca Contromisure Tecniche possibili standard disinfection generic disinfection: il file infetto viene emulato finchè il virus stesso non lo ha ripristinato. Problemi: 1 il file è davvero infetto? 2 qual è la parte infetta da rimuovere? Vantaggi: 1 rimozione di virus sconosciuti 2 riduzione delle dimensioni del DB

65 Disinfezione Metodologie di ricerca Contromisure Tecniche possibili standard disinfection generic disinfection: il file infetto viene emulato finchè il virus stesso non lo ha ripristinato. Problemi: 1 il file è davvero infetto? 2 qual è la parte infetta da rimuovere? Vantaggi: 1 rimozione di virus sconosciuti 2 riduzione delle dimensioni del DB

66 Disinfezione Metodologie di ricerca Contromisure Tecniche possibili standard disinfection generic disinfection: il file infetto viene emulato finchè il virus stesso non lo ha ripristinato. Problemi: 1 il file è davvero infetto? 2 qual è la parte infetta da rimuovere? Vantaggi: 1 rimozione di virus sconosciuti 2 riduzione delle dimensioni del DB

67 Vaccinazione Metodologie di ricerca Contromisure In alcuni casi è possibile prevenire le infezioni vaccinando i potenziali ospiti, ovvero facendo in modo che un virus non li identifichi come programmi in cui è possibile inserirsi. Problemi: impossibile vaccinare un ospite nei confronti di tutti i possibili virus (e.g. marker incompatibili) possibili interazioni indesiderate tra vaccinazione e moduli di detection/disinfection

68 Vaccinazione Metodologie di ricerca Contromisure In alcuni casi è possibile prevenire le infezioni vaccinando i potenziali ospiti, ovvero facendo in modo che un virus non li identifichi come programmi in cui è possibile inserirsi. Problemi: impossibile vaccinare un ospite nei confronti di tutti i possibili virus (e.g. marker incompatibili) possibili interazioni indesiderate tra vaccinazione e moduli di detection/disinfection

69 Metodologie di ricerca Contromisure Altri metodi per rilevamento e contenimento delle infezioni: 1 integrity checking 2 behavior blocking 3 sand-boxing

70 Strategie di difesa Metodologie di ricerca Contromisure Esempi cifratura payload con chiavi casuali (e.g. RDA Random Decryption Algorithm) EPO: Entry Point Obscuring offuscamento dell entry point anti-emulazione anti-disassembling anti-goat

71 Strategie di difesa Polimorfismo Metodologie di ricerca Contromisure Cos è? capacità del virus di mutare la propria routine di cifratura in molti forme differenti il software anti-virus non è in grado di individuare un insieme limitato di pattern che identifica tutte le istanze del virus

72 Strategie di difesa Polimorfismo Metodologie di ricerca Contromisure Come? Esempi: junk-code riordinamento delle istruzioni sostituzione delle istruzioni sostituzione dei registri...

73 Strategie di difesa Metamorfismo Metodologie di ricerca Contromisure Cos è? metamorphics are body-polymorphics (Igor Muttik) il nuovo corpo del virus è modificato in modo automatico a partire da quello precedente nel caso del polimorfismo, dopo la decifratura il body del virus appare in memoria, decifrato e costante; questo non accade col metamorfismo

74 Strategie di difesa Metamorfismo Metodologie di ricerca Contromisure Come? Esempi: il virus trasporta anche il proprio sorgente, lo modifica e lo ricompila (W32/Apparition) sostituzione dei registri (W95/Regswap); rilevabile con wildcard string riordinamento procedure (W32/Ghost) junk-code...

75 I F. Cohen. Computer es, Theory and Experiments. Computers & Security, 6:22 35, S. Staniford, V. Paxson, and N. Weaver. How to 0wn the Internet in Your Spare Time. May P. Szor. The Art of Computer Research and Defense. Addison-Wesley Professional, 2005.