Polimorficzne wirusy coraz sprytniejsze

Wirus W32.Bounds jest przejawem tendencji doskonalenia technik ukrywania się złośliwego oprogramowania poprzez wykorzystanie specyfiki architektury do utrudniania pracy debuggerów.

Wirus stosuje klasyczne środki utrudniających jego wykrycie czyli polimorfizm. Technika ta polega na tym ze każda kopia wirusa jest - dzięki szyfrowaniu ze zmiennym kluczem innym ciągiem binarnym.

Programy antywirusowe radzą sobie z tym problemem przy pomocy analizy heurystycznej, czyli symulacji uruchomienia procedury deszyfrującej, co pozwala na dojście do "schowanego" w środku prawdziwego kodu wirusa.

Abu to utrudnić autorzy wirusów stosują techniki antydebuggingowe. Wirus W32.Bounds korzysta tutaj z techniki wykorzystującej optymalizację systemu Windows pod architekturę AMD64, w praktyce uniemożliwiając wykonanie swojego kodu przez inny proces. Technika nie jest ograniczona tylko do procesorów AMD, ponieważ architektura AMD64 została także wprowadzona do procesorów Intela (EM64T).

Źródło: Computerworld.pl