Nova prijetnja

Zatvori

Računalni virus proizveden samo za vas

Autori malwarea otežavaju automatsku analizu antivirusnim tvrtkama.

Flashback virus koji je početkom ove godine zarazio 600.000 Mac OSX računala, platformu za koju se često misli kako nije podložna malware programima, stručnjacima za sigurnost je ukazao na jednu potpuno novu stvar.

Naime, autori ovog virusa koristili su tehniku sličnu onoj koju filmska industrija koristi kao zaštitu od kopiranja filmova. Njegov kod se veže uz pojedinačna računala, što antivirusnim tvrtkama znatno otežava testiranje u svojim laboratorijima, s ciljem razvoja automatskog sustava koji bi ga mogao detektirati i počistiti.

Stručnjaci upozoravaju kako bi dodatno "fino ugađanje" tog koda moglo dovesti do toga da automatska analiza malwarea postane skoro nemoguća.

Paul Royal, računalni znanstvenik informatičkog sigurnosnog centra na Institutu tehnologije Georgia, ovo će demonstrirati na Black Hat konferenciji u Las Vegasu tijekom ovog tjedna.

On i njegovi kolege otkrili su kako forma zaštite od kopiranja koja se naziva "host identity-based encryption", može enkriptirati kritične dijelove malwarea "ključevima" baziranim na informacijama prikupljenim s računala žrtve, što znatno otežava analizu na drugom računalu.

Pronalaženje malwarea koje rade antivirusi zapravo je skupljanje dijelova koda i njihova automatska analiza identifikacijskih karakteristika, koje se nazivaju potpisi (signature).

"Obzirom da antivirusni softver ovisi o korištenju takvih potpisa kako bi mogao hvatati viruse, ako malware dečki to uspiju spriječiti enkriptiranjem kritičnih dijelova pomoću ključeva baziranih na vašem hardveru, čak i u slučaju da posjedujete datoteku, virus će biti vezan uz određeni stroj, što će vam u konačnici znatno zakomplicirati život", kaže Royal.

Antivirusna tvrtka Kaspersky Lab kaže kako je Royal izložio teoriju koje se njihovi stručnjaci godinama pribojavaju, te se nadaju kako će demonstraciju na Black Hat konferenciji održati na "visokoj razini", kako napadači ne bi dobili precizne savjete o tome kako trebaju izrađivati takve viruse.

"Flashback je bio opak virus. Ako će Royal govoriti o tome na koji se način može nadograditi da bi bio u stanju zaključati povezanost između malwarea i zaraženog računala", onda je to stvar koju ne bih volio slušati na konferenciji", izjavio je Roel Schouwenberg, stručnjak za sigurnost tvrtke Kaspersky Lab.

"Ova prezentacija nije razlog da odbacite svoje alate za analizu malwarea, već upozorenje. Svi trebamo biti spremni na dolazak takvih virusa.", kaže Royal.