Nuovo tool per mascherare virus e trojan

Con tecniche di coding polimorfico, la struttura del codice viene modificata a piacere, rendendola di fatto invisibile agli strumenti di protezione. La tecnica è stata presentata nelle scorse ore al CanSecWest di Vancouver

Vancouver (Canada) - Sta alzando un gran polverone la presentazione di un tool che l'hacker noto come "K2" ha sviluppato e che consente di mascherare codici aggressivi, come virus o troiani, all'interno di codici apparentemente innocui.

Secondo K2, che ha parlato in occasione dell'incontro sulla sicurezza CanSecWest di Vancouver, gli attuali software antivirus nonché i sistemi di individuazione dei tentativi di intrusione non sono in grado di fermare un codice "mascherato" con questo tool.

Questo accadrebbe, ha spiegato l'hacker, perché il tool consente di camuffare i piccoli programmi di aggressione all'interno di un codice i cui pattern sono di fatto irriconoscibili e possono cambiare di volta in volta, rendendo la vita "impossibile" ai sistemi di protezione basati sul riconoscimento di certi schemi di codifica.
Secondo K2, il nuovo tool impedisce agli amministratori della sicurezza di un network di aggiornare efficacemente i propri strumenti anti-intrusione. "In questo modo - ha spiegato - si possono rendere unici tutti i codici utilizzati, ogni volta".

Alla conferenza di Vancouver alcuni esperti hanno minimizzato il problema, sostenendo che da sempre la battaglia contro virus e intrusioni si basa sul continuo aggiornamento degli strumenti di difesa e che, quindi, si tratta "solo" di mettere a punto un sistema di schermatura contro questo tool.

Altri, invece, hanno ammesso che se questo tool diventasse di dominio pubblico, i tempi richiesti per mettere in piedi una difesa, sia presso i produttori di software di protezione che presso i loro clienti, potrebbero lasciare ampio spazio di manovra a chi volesse "giocare" con il nuovo sistema.

K2 non ritiene comunque che il suo tool possa diffondersi a macchia d'olio "perché non si tratta di un'applicazione a portata di script kiddie. Richiede molta esperienza, e chiunque abbia buone capacità sarebbe in grado di scoprire le vulnerabilità di questo coding".
TAG: sicurezza
8 Commenti alla Notizia Nuovo tool per mascherare virus e trojan
Ordina
  • ma il nome del tool ?
    Si sa....
    non+autenticato
  • Meno male che c'e' gente che studia (ed è pagata)per arrivare a questo tipo conclusioni.
    A proposito, dopo lunghi studi mi sono accorto che 2+2=4, dove posso pubblicare la mia scoperta ?
    non+autenticato


  • - Scritto da: mcafee
    > Meno male che c'e' gente che studia (ed è
    > pagata)per arrivare a questo tipo
    > conclusioni.
    > A proposito, dopo lunghi studi mi sono
    > accorto che 2+2=4, dove posso pubblicare la
    > mia scoperta ?

    Scusa ma se la notizia ha provocato tutto questo clamore il programmillo in questione non dovrebbe essere un semplice joiner; e poi come fai a trarre conclusioni se non lo hai neanche provato?!?!? e non mi dire che l'hai trovato perchè non c'è neanche nell'area download dell'Homepage dell'autore!!!

    CiaoX e CiauZ

    ------------------------------------------------
                         <EcLiPsE> BauX
                    >>Member of EcLiPsE cLaN<<

    WWW     --> http://digilander.iol.it/ECLIPSECLAN
    Mail    --> pis75@yahoo.com
    ICQ    --> 91411093

            .............. AnD ReMeMbEr .............
            Everyone Can Hear Every Lament On the Net
            ^        ^   ^    ^     ^     ^     ^
    -------------------------------------------------

    non+autenticato
  • Interessante.....se qualcuno riesce a trovarlo me lo faccia sapere!!!!! io farò altrettanto.

    CiaoX e CiauZ

    ------------------------------------------------
                         <EcLiPsE> BauX
                    >>Member of EcLiPsE cLaN<<

    WWW     --> http://digilander.iol.it/ECLIPSECLAN
    Mail    --> pis75@yahoo.com
    ICQ    --> 91411093

            .............. AnD ReMeMbEr .............
            Everyone Can Hear Every Lament On the Net
            ^        ^   ^    ^     ^     ^     ^
    -------------------------------------------------
    non+autenticato
  • che cosa stai dicendo Willie?
    non+autenticato
  • e se e` per Linux,
    questo coso funziona lo stesso
    se NON uso la mia workstation come root
    ma semplicemente come semplice utente?

    Pino Silvestre
    non+autenticato


  • - Scritto da: Pino Silvestre
    > e se e` per Linux,
    > questo coso funziona lo stesso
    > se NON uso la mia workstation come root
    > ma semplicemente come semplice utente?
    >
    > Pino Silvestre

    Non è una tecnica virale. Semplicemente un tool che maschera il sorgente e lo rende diverso di volta in volta.
    Pensa de il codice prevedesse 10 istruzioni.
    Ed io le scrivessi in ordine sparso, con una jmp diretta dopo ogni istruzione in modo che tramite questi salti possa eseguire il codice nella sua sequenza corretta. In più ad ogni infezione, avendo il codig sequenziato, potrei risparpargliarlo e reimpostare i jmp, creando un codice eseguibile sempre diverso, ma sempre uguale nell'effetto dell'esecuzione.
    Tutto qui. Una volta in esecuzione, poimorfico o no, i permessi che vede sono quelli di una qualsiasi applicazione.
    E' semplicemente un "mascheramento" del codice, e non una capacità maggiore del virus.
    non+autenticato


  • - Scritto da: l <MCfc>
    >
    >
    > - Scritto da: Pino Silvestre
    > > e se e` per Linux,
    > > questo coso funziona lo stesso
    > > se NON uso la mia workstation come root
    > > ma semplicemente come semplice utente?
    > >
    > > Pino Silvestre
    >
    > Non è una tecnica virale. Semplicemente un
    > tool che maschera il sorgente e lo rende
    > diverso di volta in volta.
    > Pensa de il codice prevedesse 10 istruzioni.
    > Ed io le scrivessi in ordine sparso, con una
    > jmp diretta dopo ogni istruzione in modo che
    > tramite questi salti possa eseguire il
    > codice nella sua sequenza corretta. In più
    > ad ogni infezione, avendo il codig
    > sequenziato, potrei risparpargliarlo e
    > reimpostare i jmp, creando un codice
    > eseguibile sempre diverso, ma sempre uguale
    > nell'effetto dell'esecuzione.
    > Tutto qui. Una volta in esecuzione,
    > poimorfico o no, i permessi che vede sono
    > quelli di una qualsiasi applicazione.
    > E' semplicemente un "mascheramento" del
    > codice, e non una capacità maggiore del
    > virus.
    Sei esperto é? dì, sarà mica una tua trovata?
    ;)
    non+autenticato