Trucchi e suggerimenti

I virus polimorfi richiedono nuove difese antimalware

Uno dei metodi più innovativi che gli attacker usano per aggirare gli antivirus è di generare il codice polimorfico. Ecco come i fornitori di antimalware stanno rispondendo a questa minaccia emergente.

Il codice polimorfico è un'idea davvero semplice. Pensate alla parola "polimorfica": "poli" significa  "molti" e "morfico" "forma”. Così, polimorfico si riferisce a due o più parti del medesimo file che hanno esattamente la stessa funzionalità, ma si basano su codice differente.

Due piccole porzioni del codice, per esempio, potrebbero fare esattamente la stessa cosa quando sono eseguite, ma potrebbero avere alla base set di istruzioni interamente differenti. Queste parti sono vicendevolmente "polimorfe".

Gli attacker fanno uso di questo particolare codice per aggirare la rilevazione basata sulla firma, che è una funzione essenziale nella maggior parte dei tool antispyware e antivirus.

Le "rigorose" tecnologie di rilevazione delle signature confrontano le firme del database con una sequenza esatta di bit sul disco fisso o nella memoria. Attraverso l'auto-trasformazione di ogni sistema appena infettato, il codice polimorfico può generare una nuova versione che inganna le più recenti signature. Estremizzando, il codice potrebbe mutare ogni volta che viene attivato, generando in corrispondenza una nuova versione di se stesso che effettua ancora la stessa funzione.

I controlli euristici
Per fortuna, però, la maggior parte dei tool antivirus più noti oggi si avvale dei controlli euristici. Pensate a questi come a signature non perfettamente definite, che, invece di abbinare il contenuto esatto di un file presente nel file system o nella memoria, controllano soltanto determinate parti cruciali del codice. E poiché i malintenzionati utilizzano molto frequentemente le stesse porzioni chiave del loro vecchio codice quando generano le loro nuove diaboliche creature, le tecnologie euristiche riescono a individuare molte minacce. Spesso, ci sono abbastanza pattern nel codice polimorfico da consentire a un tool antivirus di poterlo rilevare.

Perciò, quali sono le misure preventive  che potete approntare? Assicuratevi di avere le signature antispyware e antivirus più aggiornate e di usare un tool che supporti la tecnologia euristica. La maggior parte dei tool antivirus hanno questo tipo di funzionalità, ma lo stesso non si può dire per tutti  gli antispyware. Verificate con il vostro fornitore se volete essere davvero sicuri delle potenzialità del prodotto che state usando.

Come sempre, comunque, le cose sono in continua evoluzione. I malintenzionati stanno cominciando a sperimentare un codice radicalmente polimorfico che evita i controlli euristici rimuovendo più pattern possibile dal codice originale. Dal canto loro, i fornitori stanno lavorando per migliorare l'intelligenza delle loro funzioni euristiche.

Il controllo sul comportamento
Alcuni sviluppatori di antimalware stanno cominciando a muoversi verso la rilevazione basata sul comportamento, una tecnica che controlla il comportamento del malware anziché cercare tutti i pattern nel codice attuale. Se, per esempio, una parte di malware altera alcuni file critici, il software antimalware può rilevare tale comportamento ed eliminare l'infezione.

Il nostro consiglio è di utilizzare una difesa che preveda un mix di tecnologia euristica e di rilevazione basata sul comportamento, ma attenzione che alcuni fornitori sono sbilanciati esclusivamente su uno o sull'altro fronte.

Stampa Invia un commento Invia questo articolo