بذافسار:اسائ دذ

جواد سیدحمزه

2012

به نام خدا

swabresearch@ihu.ac.ir

2012 Malware 2

فهرست مطالة

مذ-1

ااع تذافضاسا -2

ىایض ای اتـاس تذافضاسا -3

سؽ ای آد ػاصی فای ا-4

تىیه ای تذا دس تـخیق تذافضاسا -5

تذافضاساػیش تىای -6

2012 Malware 3

مقذمه

ثذافسار چیست؟

ی دػتساتی اػت و تـى اص جػ( ش افضاس تذخا)یه تذافضاس

ای اجشا ؿذ ظایف خشتی سا و تذافضاس یغ تش سی ػیؼت سایا

.دس آ تؼثی وشد اػت، اجا ی دذ

2012 Malware 4

)...(مقذمه

:ااع ػولیبت هخرة

o ػشلت اعالػات

o دػتىاسی حتیات ػیؼت

o (ؿىؼت ػیؼت، وشد )واؾ پایذاسی ػیؼت...

o ذس داد اتغ ػیؼت

o تغییش خشب دس ػىشد احذای ػیاتی

2012 Malware 5

مقذمه

:یالدی اص آتی یشع وؼپشػىی 2012آاس دلیك آدی ای تذافضاسی دس ا ج

2012 Malware 6

مقذمه

:یالدی اص آتی یشع وؼپشػىی 2012آاس دلیك آدی ای تذافضاسی دس ا ج

2012 Malware 7

مقذمه

:یالدی اص آتی یشع وؼپشػىی 2012آاس دلیك آدی ای تذافضاسی دس ا ج

2012 Malware 8

انواع بذافسارها

انواع تذافسارها-2

:ااع ثذافسارب

یشع

وش

تشجا

جاػع افضاس

تذافضاس دسب پـتی

تذافضاس صسیش

RootKit

تثیغ افضاس

تات ت

2012 Malware 10

(ویروس)انواع تذافسارها -2

Win32.Sality.bh: یرس

وذدیش سا آد ی ػا تشا ای ؼتذ و ای تذخای تشا.

ت ساحتی اص خدؿا وپی ایجاد ی وذ.

چؼثاذاغة یشع ا خدؿا سا ت فای ای اجشایی ی.

ؼتذتشای اجشا ؼال یاصذ ذاخ اؼا

اذف یشع ا یشا وشد فای ا فر ت دس فای

.تشا ا اػت

2012 Malware 11

(ویروس)انواع تذافسارها -2

حیظ ای ختف فؼایت تذافضاسا

2012 Malware 12

(ویروس)انواع تذافسارها -2

Program Virus { "Signature"; Procedure infect { loop: exec:=select random writable executable file; if (first line of exec = "Signature") then goto loop; else prepend Virus to exec; } Procedure damage { Code to do the actual damage } Boolean Procedure trigger { Code to check trigger condition } Main program { infect; if (trigger) then damage; goto continue; } continue: } 2012 Malware 13

(کرم)انواع تذافسارها -2

Win32.StuxNet ،Win32.Morris: کرم

ای تحت ؿثى ؼتذ، اػاع واس آ ا تیذ وپی اص خد پخؾ یشع

.اص عشیك ؿثى اػت

اص عشیك حفش ای ایتی جد دس ػیؼت ػا دیاس آتـی، ؼال

.وذتشای اتما اص سایا ای ت سایا ی دیش اػتفاد ی

وش ا ت كست خدواس دس ػیؼت یضتا اجشا ی ؿذ تشای ایجاد وپی

یؼتذاص خدؿا یض یاصذ ذاخ اؼا

فر ت ػیؼت ایی تا : اػتاوغ ت یه وش پیـشفتIP خافای 2012 Malware 14

(تروجان)انواع تذافسارها -2

Win32.AutoRun.gen: ترجبى

تشا ای خشتی ؼتذ و دس ظاش یه تشا ی لای، اػا خشتی سا

.دذتش سی ػیؼت ای سایا ای اجا ی

تىاسیشی تشخی لاتیت ای فیذ، واستشا سا ػالل ذ ت اجشای تشا ی تا

.وذ

2012 Malware 15

(تروجان)انواع تذافسارها -2

:ترجبى

تاؿذت د ع ی:

o تشا ای و كذدسكذ تذ ی وذ آ، وذ تذخا شتط ت تشجا اػت.

o تشا ای و تا افضد چذ ػىشد اضافی تذخاا ت تشا ی لای، ایجاد

(.تاص-ػیؼت ای وذ)ؿذ اػت

وذخدؿا سا تىثیش ی.

تىیه تذافضاسای دسب پـتی، تشای سد ت ػیؼت یضتا وتش آ اص

.ی وذاػتفاد

2012 Malware 16

(جاسوس افسار)انواع تذافسارها -2

Win32.KeySpy: جبسس افسار

تش سی سایا ی یضتا لة ؿذ تذ اعالع واستش، ت شدآسی اعالػات

.پشداصدآ ی

وذاعالػات سا ت عس خفیا ای ت ػاصذ ی تذافضاس اسػا ی.

keyLogger

2012 Malware 17

(تذافسار درب پشتی)انواع تذافسارها -2

Win32.StuxNet: ثذافسار درة پشتی

اتضاسی اػت و تذافضاسیؼا تشای ایجاد دػتشػی سا دس ت ػیؼت

.وذیضتا، اص آ اػتفاد ی

تاص وشد دسا ای ؿثى تا اذاف غیش لای

ایجاد استثاط غیش لای تشای ىش، اص عشیك دسا ای ایجاد ؿذ

2012 Malware 18

(تذافسار زورگیر)انواع تذافسارها -2

:ثذافسار زرگیر

اغة ت كست یشع یاب ای لالتی ظاش ؿذ تػظ واستشا تش سی

.ؿذػیؼت یضتا لة ی

یه ظاشػاصی، فای ای واستشا سا تشسػی وشد پیغای سا ثی تش تا

.دذآد تد سایا ت ااع تذافضاسا، ایؾ ی

ایجاد تشع دس واستشا اخاری اص آ ا

داسای ساتظ واستشی تؼیاس جزاب حشف ای

خؼاست صد ت ػیؼت یضتا ا حزف

2012 Malware 19

(RootKit)انواع تذافسارها -2

RootKit:

داسای لاتیت پا ػاصی اعالػات ـخلی دستاس ی تذافضاس:

o پا ػاصی فای

oپا ػاصی فشآیذ

o پا ػاصی ویذی خاف دس سجیؼتشی...

دس ػغح ختف ػیؼت ػا پیاد ػاصی ی شدد.

o تا تضسیك وذ ت فشاخای ایAPI ای ختف ػیؼت دس ػغح واستش

o لشاس داد یه اػظ تی ػاختاسای ػیؼت ػا واستش

دس لاة اط ؼت •

دس لاة سا اذاص ػخت افضاس •

2012 Malware 20

(تثلیغ افسار)تذافسارها انواع -2

:تجلیغ افسار

جغ آسی اعالػاتی خاف دس سد ػالیك واستشا دس ب شدی اسػا

اعالػات ت یه ؿشوت خاف، دس جت وؼة دسآذ

ت خدی خد تذخا یؼتذ، دس تیج تػظ حلالت ضذ تذافضاسی ت

.ػختی ؿاػایی ی ؿذ

ت كست یه تشا ی واستشی و حج دس لاة یه پجش یpop-up تش

.سی ػیؼت یضتا لة ی ؿذ

تذ اجاص ی واستش لة ی ؿذ

تیذ آ ا غیش لای اػت

2012 Malware 21

(تات نت)تذافسارها انواع -2

oثبت :Win32.ZeusBot

خفف و ستات ی تاؿذ

ؿذ آ سد تلشف لة پیـشفت اػت، و دس یضتا تذافضاس یه

.تثذی ی وذتات یا صاثی یضتا سا ت

واستش ػیؼت صاثی اص جد تات تی خثش اػت.

oثبت ت:

ا اػت و عثك تپطی سدظش ذیش تات یه ش ا اص تات

تل ؿذ ای ت . اص تات ا سا تـىی ی دذؿثى

ای فشا وتش ذایت ی ؿذ . اص عشیك واا

ذیش تات فشدی اػت و تات ت سا اص عشیك فشای خد وتش ی وذ.

2012 Malware 22

(تات نت)تذافسارها انواع -2

چرخه حیات تات نت ها

بازسازی حمله فرمان و کنترل آلودگی

2012 Malware 23

(تات نت)تذافسارها انواع -2

oشح آدی ؿا ػ تخؾ اتـاس، احاق ػاخت تپطی اػت.

o اج، تشا تات سا ت ػی تىیه ای اتـاس، پشاوذ ی وذ تا اػتفاد اص

ػیاػت ای احاق ػاخت تپطی، تات ت سا عسی ؿى ی دذ تا یاص ای

.خد سا تشآسد ػاصد

انتشار

الحاق

ساخت توپولوژی

2012 Malware 24

(تات نت)تذافسارها انواع -2

oاتـاس:

تات خد سا تـش وذ .تىیه ا ػیاػت ایی اػت و تػظ آ اج تشا

2012 Malware 25

(تات نت)تذافسارها انواع -2

o فرهبى کترل(C&C:)

تشی یظی تات ت ا ؼثت ت ػایش تذافضاسا اػت.

ذیش تات سا لادس ی ػاصد تا تات ت سا تا فشای خد وتش ایذ.

یه دسب پـتی دس ػیؼت صاثی سا اذاصی ی وذ.

o تقسین ثذی ثبت ت ثر اسبس سبختبر فرهبى کترل(C&C:)

IRC Botnet, HTTP Botnet: تشوض •

P2P Botnet: غیشتشوض •

HTTP2P Botnet: تشویثی •

2012 Malware 26

(تات نت)تذافسارها انواع -2

oZEUS 2007یک ثبت زذ از سبل:

2012 Malware 27

مکانیسم های انتشار بذافسارها

مکانیسم های انتشار تذافسارها-3

سػا ای رخیش ػاصی ؼ

2012 Malware 29

مکانیسم های انتشار تذافسارها-3

پؿ ای اؿتشاوی

2012 Malware 30

مکانیسم های انتشار تذافسارها-3

خظ-ػیؼت ای فتی تش

YAHOO Messenger

MSN Messenger

AOL

OOVOO

. . .

2012 Malware 31

مکانیسم های انتشار تذافسارها-3

پخؾ ایی ای خشب

2012 Malware 32

مکانیسم های انتشار تذافسارها-3

حلالت ضذتذافضاسی جؼی

2012 Malware 33

مکانیسم های انتشار تذافسارها-3

اس اتضاسای خشب

2012 Malware 34

مکانیسم های انتشار تذافسارها-3

Adware

2012 Malware 35

مکانیسم های انتشار تذافسارها-3

ویه ستایی دس كفحات شسش

2012 Malware 36

مکانیسم های انتشار تذافسارها-3

ؿثى ای اجتاػی جاصی

Facebook

Twitter

Linkedin

MySpace

. . .

2012 Malware 37

مکانیسم های انتشار تذافسارها-3

كفحات جؼی

2012 Malware 38

مکانیسم های انتشار تذافسارها-3

ػیؼت ای ت اؿتشان زاسی فای

2012 Malware 39

روش های آلوده سازی فایل ها

روش های آلوده سازی فایل ها-4

تغییر کلی ثبیری سبلن ث ثبیری ثذخا

2012 Malware 41

روش های آلوده سازی فایل ها-4

افسدى کذ ثذخا ث قط ی رد اجرای ثبیری ثربه ی سبلن

2012 Malware 42

روش های آلوده سازی فایل ها-4

الحبق کذ ثذخا ث ثبیری ثربه ی سبلن تغییر آدرس فراخای ثبزگشت تبثغ اصلی

2012 Malware 43

روش های آلوده سازی فایل ها-4

افسدى کذ ثذخا ث الث الی کذ ثبیری ثربه ی سبلن

2012 Malware 44

تکنیک های متذاول در تشخیص

بذافسارها

تکنیک های متذاول در تشخیص تذافسارها-5

:ث د دست ی اصلی تقسین ثذی هی شذ( 1)

ثتی تش اعالػات ایؼتای تایشی تذافضاسا

o سؽ تـخیق تغثیك اضاء

o سؽ تحی اوتـافی ثتی تش آاس وذ

ثتی تش اعالػات پیای سفتاس تذافضاسا

o سؽ تحی اوتـافی ثتی تش سفتاس

o سؽ تحی سفتاسی ثتی تش اجشا دس حیظ ظشف ؿ

2012 Malware 46

(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5

تیذ ثثت وارب فی وارب ) ی دلت تاال دسج( 1: )یظی ای یه حل ضذ تذافضاسی

تـخیق دس وتاتشی صا( 2( )پایی

(:تریي تکیک تشخیص اصلی)تشخیص هجتی ثر تطجیق اهضبء ( 1)

اضای ثتی تش تاتغ دس ػاص(MD5 , SHA-1)

"I am a malware" MD5= "25C207665124B61C7649BD227564F946" SHA-1="43FAD2E22816A45F2451F8E5476A377A0F14FEBE"

"I am a Malware" MD5= "89A10736C2936F93633B08596FF0F2BB" SHA-1="FC7087D21A66A4A9A8FD757E7CBD630246843641"

2012 Malware 47

(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5

اضای یشع (: پشواستشد تشی)اضای تایتStoned:

2012 Malware 48

(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5

oهسایب:

(یا شتض 2.4دلیم تا پشداسذ 20فای دس 500000تشسػی )ػشػت تاال

(ثثت وارب فی وارب پایی) دلت تـخیق تاال

oهؼبیت:

ػذ تـخیق ای جذیذ

حج تاالی اضاء ا

یاص ت تشصسػای ىشس

2012 Malware 49

(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5

o 1391/03/31هیساى اهضببی افسد شذ ث پبیگب داد ی اهضبء ضذ ثذافسار کسپرسکی در تبریخ:

2012 Malware 50

(تحلیل اکتشافی)تذافسارها تکنیک های متذاول در تشخیص -5

:تشخیص هجتی ثر تحلیل اکتشبفی( 2)

ؿاػایی ای جذیذ: ذف

ت د كست ایؼتا پیا اجا ی یشد

تش پای ی یضا تـات خلكیات سفتاسی آاسی واس ی وذ.

oهسایب:

ؿاػایی ای جذیذ

ػذ یاص ت پایا داد حجی اص اضاء ا

ػذ یاص ت تشص سػای ىشس

oهؼبیت:

ـى دس تؼشیف حات ای جاس اجاس یه ػیؼت

سؿی ؼثتا وذ

شخ ثثت وارب فی وارب تاال

2012 Malware 51

(مثتنی تر تغییرات)تذافسارها تکنیک های متذاول در تشخیص -5

:تشخیص هجتی ثر تغییرات( 3)

ؿاػایی ای لثی جذیذ: ذف

خظ ػیؼت-ظاست تش

ی ػیؼت واس ی وذ ی اتغ تغییش یافت تش پای.

ظاست ت كست دس ای اجا ی یشد.

oهسایب:

ؿاػایی ای جذیذ

ػذ یاص ت پایا داد حجی اص اضاء ا

ػذ یاص ت تشصسػای ىشس

oهؼبیت:

ـى دس تفىیه ػیات تغییش لای اص غیش لای

ػشتاس صیاد تش سی ػیؼت

شخ ثثت وارب فی وارب تاال

2012 Malware 52

سیر تکاملی بذافسارها

(تذافسارهای رمسنگاری شذه)تذافسارها سیر تکاملی -6

ثذافساربی رهسگبری شذ( 1)

سضـایی وذ اػثی تا ویذای تفات دس تیذ ش ؼ جذیذ دستیج تیذ /سضاسی

ای ختف تا اضای تفات

oهسایب:

لاتیت تغییش اضای تخؾ تذخا وذ

جد ویذای اتای

oهؼبیت:

سضـا تـخیق تا اػتفاد اص اضای ای تخؾ/ی وذ ستی سضاس ثاتت اذ تذ

لات تـخیق تػظ تىیه تحی اوتـافی دس حلالت ضذ تذافضاسی

ـاییلات تـخیق ا سض

o و ثذافساربی رهسگبری شذ هشر :CasCade , Memorial

2012 Malware 54

(تذافسارهای رمسنگاری شذه)تذافسارها سیر تکاملی -6

:CasCadeرتیي رهسگشبی یرس : شذرهسگبری ثذافساربی ( 1)

lea si, Start ; position to decrypt (dynamically set) mov sp, 0682 ; length of encrypted body (1666 bytes) Decrypt: xor [si],si ; decryption key/counter 1 xor [si],sp ; decryption key/counter 2 inc si ; increment one counter dec sp ; decrement the other jnz Decrypt ; loop until all bytes are decrypted Start: ; Encrypted/Decrypted Virus Body

Virus program and host

file (plaintext)

Decrypt

routine

Header

Header #$%&^!#%@SF{

2012 Malware 55

(تذافسارهای چنذ ریخت)تذافسارها سیر تکاملی -6

ثذافساربی چذ ریخت( 2)

دس جت جثشا ضؼف تذافضاسای سضاسی ؿذ غشح ؿذذ

سضـا/اػتفاد اص د تىیه ث ػاصی ػاد دس ستی سضاس

اػتفاد اص ویذای تشویثی

oهسایب:

تـخیق ـى تا تغثیك اضاء

ضایای تذافضاسای سضاسی ؿذ

oهؼبیت:

لات تـخیق تػظ تىیه تحی اوتـافی دس حلالت ضذ تذافضاسی

اىا تـخیق اضاء ا سضـایی وذ تذخا

رمزگشا/روتین رمزنگا بخش کذ بذخواه

2012 Malware 56

(تذافسارهای چنذ ریخت)تذافسارها سیر تکاملی -6

چذ ریخت ثذافساربی( 2)

o 1260یشع : هشر چذریخت و ثذافساربی ،VIENNA ،WHALE ،CHAMELEON

o هشر چذریختی و هتربی :MtE ،TpE ،NeD

o هشر اثساربی چذریختی و :VCL ،DS-MPC ،C2^2

2012 Malware 57

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

ثذافساربی دگردیس( 3)

دس جت جثشا ضؼف تذافضاسای سضاسی ؿذ چذ سیخت غشح ؿذ اذ

تذافضاسی وذ اػتفاد اص تىیه ث ػاصی ایجاد جؾ دس و تذ

پای تذافضاسؼ ای جؾ یافت اص ایجاد تذافضاسػىشد دس ث ػاصی تذ تغییش

بخش کذ بذخواه موتور دگردیسی

o هشر دگردیس و ثذافساربی :Z0mbie ،BADBOY ،Evol ،ZMIST ،METAPHOR

o هشر هتربی دگردیسی و :TMC ،ZCME ،RPME

o هشر اثساربی دگردیسی و :NGVCK ،VCL32 ،G2 ،MPCGN

2012 Malware 58

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

ثذافساربی دگردیس( 3)

ح ػولکرد هتر دگردیسی از جج تئری

oىای یاتی تخـی اص وذ و اػتؼذاد ث ػاصی داسد.

oسضـایی لای ساىاسای ث ػاصی

oتحی چی اجا ساىاسای ث ػاصی

oایجاد جؾ تش عثك لای ث ػاصی تحی اجا ؿذ

oاتما ؼ جؾ یافت ت ػیؼت ذف

2012 Malware 59

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

ثذافساربی دگردیس( 3)

ح ػولکرد هتر دگردیسی ثر طجق ظر ثذافسار یسبى

2012 Malware 60

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

افسدى کذبی ثی اثر( 1)

تضسیك وذای تی اثش ت تذ ی وذ تذافضاس پای

ای تفات تشای شتا جایـتی تلادفی تا احتا

.ؿذی وذ تذافضاس پای افضد یتذ ت دػتس،

سیىشدی واال تلادفی داسد.

ی ؿذدشدیؼی تؼثی تسای دس ػ ع دس:

o اآتشتیة اجشای دػتسات دػتسات تی اثشی و

(تا جایـت ای تلادفی افضد ی ؿذ)تاؿذ ی

o ا تشتیة اجشای دػتسات آدػتسات تی اثشی و

.ی تاؿذ

oدػتسات یض ؿاس

mov eax,[esi]

cmp eax, ecx

jnz L0123

mov eax,[esi]

push edx

rol edx, 16

jmp L1234

mov [ebx], 12h

L1234: ror eax, 16

pop edx

cmp eax, ecx

jnz L0123

xchg ax.bx

pusha

sbb eax,0

xchg bx,ax

popa

. . .

2012 Malware 61

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

تؼیض بم ثجبت ب( 2)

تاثیش اچیض دس تغییش اضاء تایشی

تاثیش ثش دس ضذ تحی وشد وذ

Win95/RegSwap

5A pop edx

BF04000000 mov edi , 0004h

8BF5 mov esi , ebp

B80C000000 mov eax , 000Ch

81C288000000 add edx , 0088h

8B1A mov ebx , [ edx ]

899C8618110000 mov [ esi + eax * 4 + 00001116] , ebx

58 pop eax

BB04000000 mov ebx , 0004h

8BD5 mov edx , ebp

BF0C000000 mov edi , 000Ch

81C088000000 add eax , 0088h

8B30 mov esi , [ eax ]

89B4BA18110000 mov [ edx + edi * 4 + 00001116] , esi

2012 Malware 62

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

جبیگشت کذ( 3)

تشای ایجاد تغییش دس جشیا وتشی وذ تذافضاس

چی تغییش دس اضای آ، ی تا تشتیة لشاس یشی

.دػتسات سا دس تذ ی وذ تذافضاس تغییش داد

سیىشدی واال تلادفی داسد.

2012 Malware 63

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

ایجبد زیررال از کذ فراخای آى( 4)

اص یه تن دػتسات اػثی دس وذ تذافضاس، یه صیشسا ایجاد ؿذ ت جای آ،

.دػتس فشاخای صیشسا لشاس ی یشد

واال تلادفی ػاصی ؿذ اػت.

ث ػاصی شاف فشاخای تاتغ

…

push eax

push offset fsearch

pop eax

test ebx,80000000h

inc edx

…

…

push eax

call L0123

inc edx

. . .

L0123:

push offset fsearch

pop eax

test ebx,80000000h

ret

…

2012 Malware 64

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

جبیگسیی دستر فراخای زیر رال ثب کذ ثذ زیر رال( 5)

وذكست تلادفی تؼذادی اص دػتسات صیشا ا سا تا تذ ی وذ شتع ؿا جایضی ی ت.

ث ػاصی شاف فشاخای تاتغ

…

Call S1

Call S2

…

S1: mov eax, ebx

add eax, 12h

push eax

ret

S2: mul ecx

mov edx, eax

ret

…

mov eax, ebx

add eax, 12h

push eax

mul ecx

mov edx, eax

…

2012 Malware 65

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

جبیگسیی دسترات ن ارز( 6)

اػتاسای تىیه اص سؽ ای ث ػاصی تش ای اك

.اػت و یه ػ ی تاذ ت عشق ختفی اجا تیشد

جایضییجایضیی یه دػتس تا چذ دػتس اسص یا

چذ دػتس تا یه دػتس اسص

اسصدس ت واس تشد دػتسات دلت

دػتسات اسص ثتی تش ػیات غمی( 1)

دػتسات اسص ثتی تش جشیا داد( 2)

دػتسات اسص ثتی تش ػیات پـت ای( 3)

دػتاست اسص ثتی تش ػیات پشؽ( 4)

) (

push RR(Random Register)

mov RR, R2

mov R2, R1

mov R1, RR

pop RR

xchg R1,R2

jae new_target

jmp target

new_target:

jc target

2012 Malware 66

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

ارز جبیگسیی دسترات ن ( 6)

PUSH OP1

-------------------------

OP1: Operand (1)

RR1: Random Register (1)

RR2: Random Register (2)

---------------------------

PUSH RR1

FILD DWORD PTR DS: [ESP]

POP RR1

PUSH RR2

FILD DOWRD PTR DS: [ESP]

POP RR2

MOV RR1, 03

NOT ESP

NOT RR1

MOV RR2, ESP

NOT RR2

LEA RR1, DWORD PTR DS: [RR2+RR1]

MOV ESP, RR1

MOV DWORD PTR DS: [ESP]

SUB ESP, 4

FISTP DWORD PTR DS: [ESP]

POP RR2

SUB ESP, 4

FISTP DWORD PTR DS: [ESP]

POP RR1

2012 Malware 67

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

ارز جبیگسیی دسترات ن ( 6)

XOR OP1,OP2

------------------------

OP1: Operand (1)

OP2: Operand (2)

RR1: Random Register (1)

RR2: Random Register (2)

----------------------------------

PUSH RR1

PUSH RR2

MOV RR1, OP1

MOV RR2, OP2

NOT RR1

OR RR1, OP1

PUSH RR1

NOT RR2

MOV RR1, OP1

NOT RR1

OR RR1, RR2

POP RR2

AND RR2, RR1

PUSH RR2

MOV RR1, OP1

MOV RR2, OP2

OR RR1, RR2

PUSH RR1

NOT RR2

MOV RR1, OP2

OR RR1, RR2

POP RR2

AND RR2, RR1

POP RR1

AND RR1, RR2

MOV OP1, RR1

POP RR2

POP RR1

2012 Malware 68

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

گسار بی هجن سبز( 7)

دػتساؼ ای ؿشعیاص توی ، تا تىاسیشی ث ػاصیای ساىاس

ا اص لث ـخق اػت، اجا ی ؿد .و تیج ی آ

ای تفات اص وذ تا ؿشط ای تفات اجا ت ی یشدكست تلادفی دس ىا

پیاد ػاصی دسختی آ ت كست ؿشط ای ت دس ت، جة افضایؾ ایی پیچیذی

.جشیا وتشی وذ ی ؿد

ػاصیث تىاسیشی تشویثی ساىاس ضاس ای ث ػاص ساىاس دػتسات اسص جة

.وذ ی شددؼیش اجشای ایؼتا پیای

2012 Malware 69

(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6

:راکبربی هجن سبزی کذ◄

گسار بی هجن سبز( 7)

if ( x*x>= 0 )

{

ب میش ر م ش }

else

{

ب یچ گ ه ر م ش }

add eax,04d

mov byte ptr [eax],00

push offset VirusFile

push offset OriginFile

call lstrcpyA

and edx,ecx

add eax,04d

mov byte ptr [eax],00

push eax

pushf

mul eax, eax

cmp eax, 0

jge L0123

L0123:

popf

pop eax

push offset VirusFile

push offset OriginFile

call lstrcpyA

and edx,ecx

خ ر ی ب ت ق

fstp ST(0)

fld ST(0)

fucomip ST,ST(2)

fstp ST(0)

mov eax,[ebp-04h]

fxch ST(2)

2012 Malware 70

(تذافسارهای حساس ته محرک)سیر تکاملی تذافسارها -6

ثذافساربی حسبس ث هحرک( 4)

حؼاع ت حشن ای صای

oفؼا ؿذ دس یه صا خاف

oفؼا تد دس یه تاص صای خاف

حؼاع ت ؿشایظ حیغی

oجد یه فای خاف تش سی ػیؼت ذف

oاتؼتی ت ع ػیؼت ػا دس ػیؼت ذف

o جد تشا ای خاف دس ػیؼت ذف

o . . .

حؼاع ت فشا ای ؿثى

o دسیافت یه داد ی خاف اص یه پست خاف

Win32.Blaster:

1: GetDateFormat(LOCALE_409,0,NULL, "d", day, sizeof(day));

2: GetDateFormat(LOCALE_409,0,NULL, "M", day, sizeof(month));

3: If (atoi(day) > 15 && atoi(month) >= 8)

4: run_ddos_attack();

Win32.rxBot: 0: //receive line from network --> store in array a[] 1: // a[0] = command, a[1] = arg1, a[2] = arg2, ... 2: 3: if (strcmp("crash", a[0]) == 0) { 4: strcmp(a[5],"crash"); //yes, this will crash. 5: return 1; 6: } 7: else if (strcmp("getcdkeys", a[0]) == 0) { 8: getcdkeys(sock, a[2], notice); 9: return 1; 10: } 11: else if (strcmp("driveinfo", a[0]) == 0){ 12: DriveInfo(sock, a[2], notice, a[1]); 13: return 1; 14: }

2012 Malware 71

(تذافسارهای حساس ته تحلیل)تذافسارها سیر تکاملی -6

تحلیلثذافساربی حسبس ث ( 5)

تحی پیا اغة تا اػتفاد اص اؿی ای جاصی یا ؿثی ػاصای ػخت افضاس

.اجا ی یشد

لاتیت ؿاػایی حیظ اؿی جاصی تػظ تذافضاسای حؼاع ت تحی

o (ؿفافیت پایی اؿی جاصی)تـخیق حیظ اؿی جاصی تا تىی تش تاي ای آ ا

o (ت دی پیچیذی تاالی ػخت افضاس)ؿثی ػاصی الق ػخت افضاس الؼی

خفی وشد سفتاس خشب تذافضاس ا اجشا تش سی حیظ اؿی جاصی

دس لاة لشف ای لشض پیاد ػاصی ؿذ دس تذافضاس تؼثی ی ؿذ.

2012 Malware 72

مراجع

o [1] Beaucamps, P., “Advanced Metamorphic Techniques in Computer Viruses”, International Conference on Computer, Electrical, and

Systems Science, and Engineering -CESSE'07, 2007.

o [2] Borello, J., Filiol, E., Mé, L., “From the design of a generic metamorphic engine to a black-box classification of antivirus detection

techniques”, Journal in Computer Virology, p278-287, 2010.

o [3] Desai, P., “A highly metamorphic virus generator, Int. J. Multimedia Intelligence and Security”, Vol.1, No.4, p402-427, 2010.

o [4] Desai, P., “Towards an Undetectable computer Virus”, Master’s thesis, Jose State University, 2008.

o [5] Govindaraju, S., “Practical Detection of Metamorphic Computer Viruses ”, Master’s thesis, Jose State University, 2008.

o [6] Govindaraju A., “Exhaustive Statistical Analysis for Detection of Metamorphic Malware”, Master’s thesis, Jose State University, 2010.

o [7] Lin, D., Stamp, M., “Hunting for undetectable metamorphic viruses”, Journal in Computer Virology , 2011.

o [8] Lin, D., “Hunting for Undetectable Metamorphic Viruses”, Master’s thesis, Jose State University, 2010.

o [9] Mishra, P., “A Taxonomy of Software Uniqueness Transformations”, Master’s thesis, Jose State University, 2003.

o [10 Patel, M., “Similarity Tests for Metamorphic Virus Detection”, Master’s thesis, Jose State University, 2011.

o [11] Venkatesan, A., “Code obfuscation and metamorphic virus detection”, Masters Thesis, San Jose State University, 2008.

o [12] Walenstein, B., Mathur, R., Chouchane, M., Chouchane, R., Lakhotia, A., “The design space of metamorphic malware”, In Proceedings

of the 2nd International Conference on Information Warfare, 2007.

o WANG, H., “Optimal Design of Self-Adaptive Anti-Virus Engine”, Optimal Design of Self-Adaptive Anti-Virus Engine 7:4, p 1294-1301,

2011.

o [13] Wong, W., Stamp, M., “Hunting for Metamorphic Engines”, Journal in Computer Virology, vol. 2, no. 3, pp. 211-229, 2006.

2012 Malware 73

Thank you for your attention

? "Security is a journey, not a destination"