Hur cyberkriminella försöker kringgå antivirusprogram

För att smitta en dator med skadlig programvara måste cyberbrottslingen göra något av följande:

• Locka användaren att öppna en smittad fil
• Försöka komma in i den drabbades dator via en sårbarhet i operativsystemet eller ett program som körs på datorn

Samtidigt försöker mer professionella cyberbrottslingar också att se till att deras skadliga programvara undgår de antivirusprogram som körs på den drabbades dator.

Tekniker som används för att bekämpa antivirusprogrammen

För att höja sannolikheten för att lyckas med sina mål har cyberbrottslingar utvecklat en mängd tekniker för att försöka bekämpa antivirusprogrammens aktiviteter, inklusive:

• Paketering och kryptering av kod
  Majoriteten av maskarna och de trojanska virusen paketeras och krypteras. Hackare utformar även särskilda verktyg för paketering och kryptering. Alla internetfiler som har bearbetats med hjälp av CryptExe, Exeref, PolyCrypt och vissa andra verktyg har visat sig vara skadliga.
  
  För att upptäcka paketerade och krypterade maskar och trojaner måste antivirusprogrammet antingen lägga till nya uppacknings- och avkodningsmetoder, eller lägga till nya signaturer för varje instans av ett skadligt program.
• Kodmutation
  Genom att blanda koden till ett trojanskt virus med "skräppostinstruktioner" – så att koden får ett annat utseende, trots att trojanen har kvar sin ursprungliga funktion – försöker cyberbrottslingar dölja sin skadliga programvara. Ibland sker kodmutation i realtid i alla eller nästan alla fall som trojanen hämtas från en smittad webbplats. E-postmasken Warezov använde den här tekniken och orsakade några allvarliga epidemier.
• Osynlighetstekniker
  Rootkit-teknik, som allmänt används av trojanska virus, kan fånga upp och ersätta systemfunktioner för att göra den smittade filen osynlig för operativsystemet och antivirusprogrammen. Ibland döljs även registergrenar – där trojanen registrerats – och andra systemfiler döljs också. Bakdörrstrojanen HacDef är ett exempel på skadlig kod som använder de här teknikerna.
• Blockering av antivirusprogram och uppdateringar av antivirusdatabaser
  Många trojanska virus och nätverksmaskar söker aktivt efter antivirusprogram i listan över aktiva program på den utsatta datorn. Den skadliga programvaran försöker därefter att:
  • Blockera antivirusprogrammet
  • Skada antivirusdatabasen
  • Hindra antivirusprogrammets uppdateringsprocesser från att fungera korrekt

För att övervinna den skadliga programvaran måste antivirusprogrammet skydda sig självt genom att kontrollera integriteten hos sina databaser och dölja sina processer från trojanerna.

• Dölja koden på en webbplats
  Antivirusföretag lär sig snabbt adresserna på webbplatser som innehåller filer med trojanska virus – och deras virusanalytiker kan sedan granska innehållet på dessa sidor och lägga till ny skadlig programvara i sina databaser. Men i ett försök att bekämpa antivirusskanningen kan en webbplats modifieras, så när en begäran skickas av ett antivirusföretag hämtas en icke-trojansk fil istället för en trojan.

"Kvantitetsattacker"

I en kvantitetsattack distribueras en stor mängd nya versioner av trojaner på internet inom en kort tidsperiod. Som ett resultat av detta får antivirusföretagen ett stort antal nya prov att analysera. Cyberbrottslingen hoppas att den tid det tar att analysera varje prov ska ge deras skadliga kod en chans att komma in i användares datorer.

Andra artiklar och länkar relaterade till skadlig programvara och antiviruslösningar

• Så här kommer skadlig programvara in i systemen
• Social manipulation
• Tekniker för implementering av skadlig programvara
• Välja en antiviruslösning
• Ta bort skadlig kod
• Datorskydd kontra datorprestanda
• Vem skapar skadlig programvara?
• Klassificering av skadlig programvara