Un software sniffa il DNA dei virus

Grazie ad una nuova tecnologia di analisi, un software promette di scovare ogni variante di un virus informatico esistente sbirciando nel suo DNA

Chantilly (USA) - Quella fra virus e antivirus è una battaglia che, in informatica, va avanti ormai da almeno due decenni e che, con tutta probabilità, non avrà mai fine. La ricerca nel campo degli antivirus è ormai da lungo tempo impegnata non soltanto a scovare e rimuovere i virus già noti, ma anche nel cercare di individuare e rendere innocui virus del tutto o parzialmente nuovi.

Da anni, ormai, praticamente tutti gli antivirus in commercio utilizzano tecniche di analisi cosiddette "euristiche", in grado cioè di riconoscere, in molti casi, varianti di virus già noti o codici maliziosi che rivelino i "comportamenti" tipici di un virus.

Il produttore di software TASC sostiene però che è il momento di fare un altro passo avanti e di fornire alla lotta ai virus strumenti di analisi e ricerca più avanzati e meno dipendenti dalla tempestività con cui le varie case di antivirus aggiornano i loro prodotti.
TASC ha sviluppato un software, chiamato eDNA, che a suo dire è in grado di riconoscere programmi maliziosi, come i virus, nello stesso modo in cui il DNA umano può essere utilizzato per identificare il nostro patrimonio genetico e, di conseguenza, le nostre origini.

"E' possibile identificare l'identità di una persona dal suo DNA, non importa quali vestiti questa possa indossare o quali interventi chirurgici essa abbia potuto subire", ha detto David Senders, capo scienziato di TASC. "Similmente, eDNA può identificare la versione 3.2 di un virus o di un cavallo di troia basandosi su di un campione della versione 1.0, nello stesso modo in cui un bambino può essere identificato fra molti altri attraverso un campione del DNA di suo padre".

Secondo i suoi sviluppatori, eDNA non si limita, come fanno gli attuali motori euristici, a confrontare pattern di codice appartenente a virus già noti per identificare varianti più o meno esplicite, ma è in grado di analizzare in profondità il codice di un programma malizioso alla ricerca di analogie e "impronte" altrimenti difficilmente verificabili.

eDNA, inizialmente nato come strumento d'indagine nel campo della medicina legale, è stato testato con successo su diversi programmi maligni, fra cui il noto codice troiano Back Orifice, di cui ha correttamente scovato tutte le versioni modificate e riscritte, scovandone addirittura di nuove.

TASC afferma che al momento una prima versione del prodotto è sotto esame da parte di alcune agenzie governative, fra cui CIA ed FBI, che potrebbero presto integrarlo nelle loro protezioni antivirus.
TAG: sw
8 Commenti alla Notizia Un software sniffa il DNA dei virus
Ordina
  • Se è vero tutto questo, voglio fare una calorosa risata ai lamer che si divertono o che si divertivano e che ora è finito tutto. W gli hacker!!!
    non+autenticato
  • i virus veri, innanzitutto sono pochi ed è sempre più difficile scriverli, visto che devono fare l'overlay su di un eseguibile, e patcharlo di conseguenza per non far inchiodare tutta la baracca!
    con il dos era relativamente facile, con windows 16bit un po' meno con win32 è decisamente più complesso, con unix è praticamente impossibile per la struttura intrinseca del sistema (Fatto bene)
    Se poi considerate virus gli script del cazzo tipo i love you o amenità simili che impestano le applicazioni tipiche di microsoft, allora potete continuare a scrivere tranquillamente queste minchiate qua!
    Non sono pericolosi gli scripts (che voi chiamate a torto virus), ma le centinaia di UTONTI coglioni che ne consentono stupidamente la diffusione oltre all'insipienza cronica dei mezzi d'informazione!
    non+autenticato
  • Se un Prg deve solo modificare un file o aggiungere in testa ad un file .inf (Di windows) le sue estenzioni; eDNA lo bolla come virus ?!?
    non+autenticato
  • eppoi, bisogna considerare che e' vero che una persona puo' essere individuata anche si opera, il problema e' che i virus non sono persone, ma semmai virus.eppoi, se questa persona modificasse pesantemente il codice genetico, non riuscireste ad individuarla.ora prendiamo un toro, mettiamoci la intelligenza di un uomo e un paio di braccia per manipolare come gli uomini.ha lo stesso codice genetico di un uomo...anche solo simile? non direi....(almeno non per l'uomo medio ...).
    eppure questo toro antropoide potrebbe fare praticamente le stesso cose di un uomo.e alcune cose anche meglio ....
    per cui e' meglio che si evitino metafore beduine.
    poi faccio notare che chi modifica i virus sono solo lamer.i veri virus writer non modificano il codice altrui.per cui, alla fine, si colpirebbero con questo sistema solo i virus di terza categoria.inoltre, un virus che si conosce gia' bene non viene mai riimpiegato se non da lamer.
    poi, in genere, un virus ben fatto tenta di avere polimorfismo e encription.
    poli canbia la natura del codice eseguendo istruzioni inutili ma sempre diverse per ogni generazione.encription e' tutta la parte di virus che non e' il motore crittopolimorfico.
    anzi, piu' spesso ancora e' in chiaro solo il motore crittografico, mentre il poli e' crittato.
    iil crittomotore e' circa 8 righe di assembler.
    in otto righe assembler posso aggiungere anche 100 righe di istruzioni inutili senza che ci siano problemi di tempi......
    sapete quanti modi esistono di fare un programma con una data semantica?
    infiniti.in 108 righe sono di meno, ma mika di tanto visto che io posso farne di 8 9 10 11 12 13 14 15 16 ......105 106 107 108 righe ...
    voi mi state dicendo che questo motore antivirus riesce a trovare 8 istruzioni in 108 ed essere sicuro di avere trovato qualkosa? ma questo e'mmaggikkooooooO_O.......
    poi in visulakakka contate che queste istruzioni sono mooolte di piu(hello world 1 mega ...fate voi) e sono perse in mooolto piu' codice.
    questo significa che gia di per se' il codice crittomotore e' meno evidente, ed e' perso in una quantita' proporzionale o superiore di codice inutile. questo significa che il codice e' pure piu' simile ai programmi innocui, visto che il linguaggio di prog e' espansivo e commerciale.
    sallluuuuttyyyO__O



    non+autenticato
  • Cio' che dici e' vero per quegli AV che fanno un analisi statica del codice, ma nulla vieta di emulare il codice da analizzare con un simulatore per evidenziarne i comportamenti tipici dei virus, come quello di automodificarsi oppure di settare il PC a zone di memoria non propriamente di testo.
    non+autenticato
  • il solito sensazionalismo per l'akua calda.
    mi ricorda tanto l'articolo del tipo delle reti neurali; ma pensano di essere innovativi a proporre un sistema del genere?si da il caso che a quanto pare ci vuole meno tempo per raggirare una teknika antivirus che a produrla; sucuramente il sistema funzionera' con tutte le evoluzioni di virus esistenti fin'ora.tuttavia, non e' mika una novita' che esistano virus che tentano di produrre codice simile ad applicazioni convenzionali.e non e' poi difficile, visto che vb e vc++ sono glistessi strumenti che usano i programmatori convenzionali.senza contare che con un virus assembler praticamente si puo' operare sul codice come si vuole(poli, meta).lo ZOMBiE ha gia prodotto un motore che disassembla il codice run time e lo riassembla cambiato.per cui, sebbene le istruzioni cambino, si fa si che il risultato finale sia lo stesso.
    lasciando perdere gli assembler che sono poko infettivi(non per inefficienza ma per natura) e troppo evoluti per gli av normali, esiste anche il polimetamorfismo per virus di serie b.anzi, negli ultimi tempi, questo tipo di tekniche si e' tentato di applicare a ogni sorta di malicious code che si riproduca.
    spinto ad un certo livello, con antivirus che hanno come mezzo principale questo genetic recognizing(quelle che io chiamo le bush tekniques, cioe' quelle teknike della sicurezza che riducono piu' la liberta' degli utenti di quella degli vxers e danno piu' fastidio a utenti che a vxers)si arrivera' al limite di programmi malware tanto simili a programmi normali e tanto diversi tra loro che per essere efficaci, le suddette bush dovranno individuare tutti i programmi come malware, o altrimenti nessuno .... gia non e' una novita' che la euristica se viene usata da un incompetente si rischia l'infarto del suddetto, visto che anche una mukka puo' essere vista come malware(si riproduce a spese di altri esseri viventi-virus-, possiede parti che possono offendere-trojan-, le quali possono entrare in azioni in determinate condizioni prefissate-logic bomb-).vi faccio notare invece che il software convenzionale e' simile ad un animale handikappato ....
    inoltre, quelli che adesso sono chiamati virus(ma sono worm o trojan o rabbit o bacteria o altro, ma non virus) possiedono delle teknike ben poco sofisticate, perlopiu'.decisamente il contrairo di come erano i virus dos quando sono morti, e i virus win di adesso.si puo' dire che essi sono nella fase mediana, dove e' passato lo sconcerto delle prime ondate e si sono prodotte soluzioni, e ora si tentano nuove insidie virali.dato che le cose migliori in campo virale si sono viste sempre alla fine, al crepuscolo degli idoli delle varie fasi, fossi in voi sarei molto preoccupato per l'avvenire, invece di premurami di ascoltare la pubblicita'.
    esistono solo due sistemi infallibili per controllare i virus: la non standardizzazione e la diminuzione della potenza dei linguaggi.
    1) se ci sono macchine diverse che comunicano tra loro, prendere virus e' piu' difficile, ma cio' va contro il commercio.
    2)java era nato come un linguaggioa potenza limitata per evitare che ci si creassero malware;
    non lo ha voluto nessuno. un sistema di programmazione poco potente e' inutile, ma e' sicuro; uno potente e' anche inevitabilmente insicuro.esistono infatti soluz<ioni di compromesso, nache se non ottimali, che permettono la diffusione di malware su qualsiasi sistema, a limite anche sicuro, proporzionalmente alla sua programmabiilita'(potenza del   linguaggio).intendo soluzioni che prescindono dagli exploit, ma piuttosto alla architettura del sistema.o si cambia/modifica pesantemente il sistema, e qui cadiamo nel problema della potenza, oppure queste lacune progettuali esistono ed esisteranno finchei computer non saranno giokattoli(del tutto .... dove volete andare oggi? ora potete).....
    buon antivirus a tutti ...
    buon antivirus a lei, pelukkoO__O!!!!
    non+autenticato
  • diciamo pure che beccherano solo i virus fatti da barboni...per quelli si che funzionera...per altri direi proprio di no...


    > il solito sensazionalismo per l'akua calda.
    > mi ricorda tanto l'articolo del tipo delle
    > reti neurali; ma pensano di essere
    > innovativi a proporre un sistema del
    > genere?si da il caso che a quanto pare ci
    > vuole meno tempo per raggirare una teknika
    > antivirus che a produrla; sucuramente il
    > sistema funzionera' con tutte le evoluzioni
    > di virus esistenti fin'ora.tuttavia, non e'
    > mika una novita' che esistano virus che
    > tentano di produrre codice simile ad
    > applicazioni convenzionali.e non e' poi
    > difficile, visto che vb e vc++ sono
    > glistessi strumenti che usano i
    > programmatori convenzionali.senza contare
    > che con un virus assembler praticamente si
    > puo' operare sul codice come si vuole(poli,
    > meta).lo ZOMBiE ha gia prodotto un motore
    > che disassembla il codice run time e lo
    > riassembla cambiato.per cui, sebbene le
    > istruzioni cambino, si fa si che il
    > risultato finale sia lo stesso.
    > lasciando perdere gli assembler che sono
    > poko infettivi(non per inefficienza ma per
    > natura) e troppo evoluti per gli av normali,
    > esiste anche il polimetamorfismo per virus
    > di serie b.anzi, negli ultimi tempi, questo
    > tipo di tekniche si e' tentato di applicare
    > a ogni sorta di malicious code che si
    > riproduca.
    > spinto ad un certo livello, con antivirus
    > che hanno come mezzo principale questo
    > genetic recognizing(quelle che io chiamo le
    > bush tekniques, cioe' quelle teknike della
    > sicurezza che riducono piu' la liberta'
    > degli utenti di quella degli vxers e danno
    > piu' fastidio a utenti che a vxers)si
    > arrivera' al limite di programmi malware
    > tanto simili a programmi normali e tanto
    > diversi tra loro che per essere efficaci, le
    > suddette bush dovranno individuare tutti i
    > programmi come malware, o altrimenti nessuno
    > .... gia non e' una novita' che la euristica
    > se viene usata da un incompetente si rischia
    > l'infarto del suddetto, visto che anche una
    > mukka puo' essere vista come malware(si
    > riproduce a spese di altri esseri
    > viventi-virus-, possiede parti che possono
    > offendere-trojan-, le quali possono entrare
    > in azioni in determinate condizioni
    > prefissate-logic bomb-).vi faccio notare
    > invece che il software convenzionale e'
    > simile ad un animale handikappato ....
    > inoltre, quelli che adesso sono chiamati
    > virus(ma sono worm o trojan o rabbit o
    > bacteria o altro, ma non virus) possiedono
    > delle teknike ben poco sofisticate,
    > perlopiu'.decisamente il contrairo di come
    > erano i virus dos quando sono morti, e i
    > virus win di adesso.si puo' dire che essi
    > sono nella fase mediana, dove e' passato lo
    > sconcerto delle prime ondate e si sono
    > prodotte soluzioni, e ora si tentano nuove
    > insidie virali.dato che le cose migliori in
    > campo virale si sono viste sempre alla fine,
    > al crepuscolo degli idoli delle varie fasi,
    > fossi in voi sarei molto preoccupato per
    > l'avvenire, invece di premurami di ascoltare
    > la pubblicita'.
    > esistono solo due sistemi infallibili per
    > controllare i virus: la non
    > standardizzazione e la diminuzione della
    > potenza dei linguaggi.
    > 1) se ci sono macchine diverse che
    > comunicano tra loro, prendere virus e' piu'
    > difficile, ma cio' va contro il commercio.
    > 2)java era nato come un linguaggioa potenza
    > limitata per evitare che ci si creassero
    > malware;
    > non lo ha voluto nessuno. un sistema di
    > programmazione poco potente e' inutile, ma
    > e' sicuro; uno potente e' anche
    > inevitabilmente insicuro.esistono infatti
    > soluz<ioni di compromesso, nache se non
    > ottimali, che permettono la diffusione di
    > malware su qualsiasi sistema, a limite anche
    > sicuro, proporzionalmente alla sua
    > programmabiilita'(potenza del
    > linguaggio).intendo soluzioni che
    > prescindono dagli exploit, ma piuttosto alla
    > architettura del sistema.o si
    > cambia/modifica pesantemente il sistema, e
    > qui cadiamo nel problema della potenza,
    > oppure queste lacune progettuali esistono ed
    >   esisteranno finchei computer non saranno
    > giokattoli(del tutto .... dove volete andare
    > oggi? ora potete).....
    > buon antivirus a tutti ...
    > buon antivirus a lei, pelukkoO__O!!!!
    non+autenticato
  • Insieme al motore polimorfo è possibile cucire il codice virale nei passi nop del codice compilato.
    per mezzo di un puntatore si va ribeccare il codice sparso per il file, si rialloca in memoria e si manda in esecuzione alla facciaccia (brutta) del nortonSorride))))
    Oppure si possono spaccare le istruzioni operando un shift di un byte sul codice, facendo credere all'antivirus di leggere tutt'alra cosa ...
    bla bla bla
    :=)
    non+autenticato