Мутация, скрытие и фрагментация

Хакеры, действующие в преступных целях, используют все более изощренные методы для того, чтобы их вредоносные программы было труднее обнаружить и удалить из зараженных систем. Об этом предупреждают специалисты по компьютерной безопасности, собравшиеся на ежегодной конференции Computer Security Institute в Орландо.

Для маскировки чаще всего используются мутация или трансформация кода, призванная обойти средства блокирования вредоносных программ, основанные на анализе сигнатур, а также фрагментация кода, затрудняющая удаление и скрытие кода посредством механизма rootkit.

«В отличие от программ-червей, использующих массовые рассылки электронной почты, наподобие MS Blaster и SQL Slammer, большая часть современных вредоносных программ разработана с целью как можно дольше оставаться незамеченными на зараженных системах», — сообщил главный исследователь компании Sana Security Мэттью Вильямсон. По его словам, вирусописатели стараются не просто заразить как можно больше систем, но и похитить с них конкретную информацию о том, как используется компьютер, и другие полезные сведения.

Все более распространенным инструментом хакеров становится использование полиморфного кода, который постоянно изменяется. Многие злоумышленники для обхода систем обнаружения кода шифруют его с помощью различных «упаковщиков». По словам Вильямсона, впоследствии некоторые из них используют отличающиеся способы расшифровки кода, что позволяет создать практически неограниченное число вариаций.

Примером такой программы является обнаруженный в начале текущего года троянский загрузчик Swizzor. Раз в минуту он перекомпилирует себя, избегая таким образом обнаружения с помощью средств, основанных на анализе сигнатур. Подобные средства срабатывают только тогда, когда точно знают, что именно блокировать.

«Перекомпиляция кода — еще один действенный прием, с помощью которого хакеры могут изменить программный код и обойти блокирующие системы», — считает Вильямсон.

Другие шпионские программы избегают обнаружения с помощью общедоступных средств шифрования или упаковки. По словам технического директора американской компании Webroot Software Герхарда Эсхельбека, в случае, если используются собственные алгоритмы шифрования, они обычно оказываются модификациями алгоритма, находящегося в открытом доступе, или алгоритма с открытым кодом. Для того чтобы активно препятствовать работе антишпионских программ, злоумышленники используют также драйверы, работающие в режиме ядра, и методы блокировки процессов.

Еще один способ маскировки, используемый современными вредоносными программами, — разделение себя на несколько взаимодействующих компонентов. Как рассказал менеджер по работе с вредоносным программным кодом отдела iDefense компании VeriSign Ральф Томас, после такого разделения каждый фрагмент отслеживает состояние других фрагментов, и если сделана попытка удаления одного из компонентов, другие немедленно запускают или инсталлируют его снова: «Удаление становится исключительно трудной задачей».

Одним из первых образцов подобной вредоносной программы стала WinTools, появившаяся еще в 2004 году. На зараженных системах она устанавливала панель инструментов и еще три компонента. Попытка удаления любой из частей программы приводила к тому, что другие части просто заменяли удаленный фрагмент и запускали его снова.

Еще больше проблем доставляет вирусологам механизм rootkit, с помощью которых осуществляется скрытие вредоносного кода на зараженных системах. По словам Вильямсона, rootkit инсталлируется на уровне операционной системы или как модуль, работающий в режиме ядра, после чего оказывается способен скрывать вредоносный код и процессы от средств обнаружения вредоносных программ.

Ярким примером подобной вредоносной программы является Haxdoor. С помощью одного из ее вариантов в октябре было осуществлено похищение информации с 8,5 тыс. компьютеров в 60 странах мира. С зараженных компьютеров были похищены и отосланы на удаленный сервер пароли, информация о нажатиях клавиш и снимки экрана. Haxdoor использовалась для отключения на зараженных системах сетевых экранов и скрывала себя с помощью rootkit.