Virové techniky (63) -

Rootkit (5)

Uživatelský režim

User-mode rootkitů spustit v Ring 3 , spolu s dalšími aplikacemi, jako uživatele, spíše než procesy systému na nízké úrovni.Mají řadu možných instalačních vektorů zachytit a změnit standardní chování rozhraní pro programování aplikací (API). Některé aplikovat dynamicky propojené knihovnu (jako např. DLL. souboru v systému Windows nebo souboru na Mac dylib. OS X ) i do dalších procesů, a jsou tak schopni realizovat v každém cílovém procesu to strašidlo; jiní s dostatečnými oprávněními jednoduše přepsat paměť cílové aplikace

Režim jádra

Kernel-mode rootkitů spustit s nejvyššími operačního systému privilegií ( Ring 0 ) přidáním kódu nebo výměnou části jádra operačního systému, včetně jak jádro a přidružených ovladačů zařízení . Většina operačních systémů podporuje ovladače režimu jádra zařízení, které vykonávají se stejnými oprávněními jako samotný operační systém. Jako takový, mnoho kernel-mode rootkitů jsou vyvíjeny jako ovladače zařízení nebo modulech, jako je loadable moduly jádra v Linuxu nebo ovladače zařízení v systému Microsoft Windows . Tato třída rootkit má neomezený přístup k bezpečnosti, ale je obtížnější psát. Složitost dělá chyby běžné, a případné chyby v kódu pracující na úrovni jádra může vážně ovlivnit stabilitu systému, což vede k objevu rootkit. Jedním z prvních široce známých rootkitů jádra vyvinul pro systém Windows NT 4.0 a povolený v Phrack časopisu v roce 1999 Greg Hoglund .

Bootkits

Kernel-mode rootkit varianta tzv. bootkit může nakazit spouštěcí kód jako Master Boot Record (MBR), Volume Boot Record (VBR), nebo boot sektoru , a tímto způsobem, mohou být použity k útoku na plné šifrování disku systému. Příkladem je "Evil Maid útok", ve kterém útočník nainstaluje bootkit na bezobslužné počítače, nahrazovat legitimní zavaděč s jednou pod svou kontrolou. Typicky malware loader přetrvává po přechodu do chráněného režimu , kdy jádro je načten, a je tak schopna rozvrátit jádra.  Například, "Stoned bootkit" rozvrací systém použití ohrožena zavaděč zachytit šifrovacích klíčů a hesel.Více nedávno, Alureon rootkit úspěšně zneužita požadavek na 64-bit kernel-mode ovladač podpisu ve Windows 7 změnou hlavní spouštěcí záznam . I když to není malware v tom smyslu, dělat něco, co uživatel nechce, jistý "Vista Loader" nebo software "Windows Loader" funguje podobným způsobem vstřikování ACPI SLIC (System licenční interní kód) tabulky v paměti RAM mezipaměti verze BIOS při startu, aby se porazit Windows Vista a Windows proces aktivace 7 . Tento vektor útoku byl odstraněn v (non-server), verze Windows 8 , který podporuje pouze metody aktivace založené na serveru.

Úroveň hypervisor

Rootkity byly vytvořeny jako Typ II Hypervisory v akademickém jako důkazy konceptu. Tím, že využívá virtualizaci hardwaru funkce, jako je Intel VT nebo AMD-V , tento typ rootkit běží v kruhu -1 a hostí operační systém cílového jako virtuální stroj , což umožňuje rootkit zachytit hardwarové volání ze strany původního operačního systému.Na rozdíl od běžných hypervisory, že se nemusí načíst do operačního systému, ale můžete načíst do operační systém, než podporovat to do virtuálního stroje. hypervisor rootkit nemusí provádět žádné úpravy jádra cíl, aby ji rozvrátit; Nicméně, to neznamená, že to nemůže být detekován operačním systémem hodnocení. Například, časové rozdíly mohou být zjistitelné v CPU instrukcí."SubVirt" laboratoř rootkit, vyvinutý společně Microsoft a University of Michigan výzkumníků, je akademický příklad virtuálního počítače na bázi rootkit (VMBR),  zatímco modrá pilulka je jiný.

Firmware a hardware

Firmware rootkit používá zařízení nebo platformu firmware vytvořit přetrvávající malware obraz v hardware, například směrovače , síťová karta ,pevný disk , nebo systému BIOS . rootkit schová ve firmwaru, protože firmware není obvykle zkontrolovat integritu kódu. John Heasman prokázal životaschopnost firmwaru rootkitů v obou ACPI rutiny firmware a v PCI rozšiřující karty ROM . V říjnu 2008, zločinci manipulováno s evropskými kreditní karty čtení strojů před tím, než byly instalovány. Přístroje zachyceny a přenášeny údaje o kreditní kartě přes mobilní telefonní sítě.V březnu 2009, výzkumníci Alfredo Ortega a Anibal Sacco zveřejněny údaje o BIOS-úrovni Windows rootkit, která byla schopna přežít výměnu disku a operační systém re-instalaci. O několik měsíců později se dozvěděli, že některé notebooky jsou prodávány s oprávněným rootkit, známý jako Absolute Computrace nebo [Absolute] LoJack pro notebooky, předinstalován v systému BIOS. Toto je anti- krádež technologie systém, který výzkumníci ukázali, lze otočit škodlivým účelům.

Balení kódu a jeho šifrování

Většina nynějších virů a červu je šifrována. Hackeři vytvářejí speciální nástroje, které se používají pro balení a šifrování. Např., každý soubory v Internetu jsou zpracovány pomocí CryptExe, Exeref, PolyCrypt a dalšími. Tito nástroje se ukázaly jako škodlivé.
Aby je bylo možné odhalit musí mít antivirový program přidány nové rozbalovací a dekódovací metody, nebo podpis pro každý vzorek viru. Což vede k poklesu detekce virů.

Mutace kódu

je míchání trojského kódu "spam" instrukce, což má za následek změnu vzhledu, při zachování funkčnosti. Někdy se mutace děje v reálném čase, tj. pokaždé, když je virus stažen z infikované webové stránky. To má za následek, že všechny nebo téměř všechny, viry, které jsou staženi jsou různé.

Stealth techniky

Takzvané rootkit technologie obecně používané trojským koněm slouží k zachycení a náhradní systémové funkce, které dělají infikovaný soubor neviditelný pro operační systém a antivirové programy. Někdy dokonce i větví registry, kde je vir registrovaný, spolu s ostatními systémovými soubory, jsou skryté. Tyto techniky jsou aktivně používány HacDef backdoor, například.

Blokování antivirových programů a aktualizací systémů a antiviru

Mnoho trojských koní a sítových červů přijímá zvláštní opatření proti antivirovým programům. Vyhledávají v seznamu aktivních procesů a snaží se zablokovat, poškodit nebo rovnou zablokovat aktualizaci. Antivirové programu musejí kontrolovat integritu svých databází a ochránit je proti poškození od virů.

Maskování kódu na webových stránkách

Webové stránky, adresy, které obsahují trojské soubory. Antivirový analytici studovali tito odkazy a tím přidávali nové záznamy do databází. Za účelem maskování může být webová stránka upravena tak, že při skenování antivirovým produktem se stáhne nezavirovaný soubor místo zavirovaného.

Množstevní útok

Je výroba a distribuce velkého množství nových verzí virů přes Internet v krátkém časovém období. Jako výsledek je obrovské množství nových vzorků, a to vše vyžaduje čas na jejich analýzu. Což umožňuje velkou šanci viru k proniknutí do počítače uživatele.

Retro viry - odvetné viry

Hlavním heslem těchto virů je: nejlepší obrana je útok. A to taky dodržují. Snaží se obejít a ještě lépe znemožnit práci antivirovým programům. Proto je mažou, vypínají rezidentní ochrany apod. Pozornost si zaslouží virus Tequila, který odstraňuje kontrolní součty přidané pomocí Viruscanu přímo ze souborů.

Neviditelné viry - Stealth viruses (Sub-Stealth viruses)

Stealth virus je rezidentní virus, který se pokouší vyhnout detekci skrytím projevů své přítomnosti v infikovaných souborech. Aby toto dosáhl, virus zachycuje systémová volání, která prověřují obsah nebo atributy infikovaných souborů. Výsledky těchto volání musí být změněny tak, aby odpovídaly původnímu stavu souboru. Toho je schopen pouze tehdy, je-li rezidentní v paměti. Název těchto virů je odvozen od anglického slova stealth, což znamená lstivou činnost, vykonávanou potajmu, kradmo apod. Lze tedy již z tohoto názvu leccos soudit o povaze těchto virů. Tímto slovem lze totiž odznačit ony speciální techniky, které těmto virům zaručují velmi obtížnou detekci jak uživatelem, tak i antivirovými programy.

Kódované viry - Crypted viruses

Prvotním účelem kódování bylo znepřehlednit vlastní kód viru a ztížit tak jeho analýzu (která je nutná k vytvoření antivirového programu). Navíc je tímto postupem zkomplikováno uzdravení napadeného programu, protože obsah začátku programu je také zakódován. Takové kódování bývá často realizováno tak, že vlastní kód viru je v programu uložen - zakódován nějakým jednoduchým algoritmem (oblíbené je provedení operace XOR s každým bajtem kódu viru) a před vlastním virem se nachází krátká dekódovací smyčka, která zajistí jeho transformaci do původní podoby.

Polymorfní (mutační) viry - Polymorphic viruses

Polymorfní viry jsou v jistém pohledu podobné stealth virům. Totiž v tom, že je velmi obtížné je detekovat antivirovými prostředky. Této stejné skutečnosti však polymorfní viry dosahují jinými prostředky než viry typu stealth. Polymorfní virus vytváří během replikace kopie, které jsou funkčně ekvivalentní, ale jednotlivé replikace se od sebe téměř úplně liši - mají podstatně odlišné řetezce byte. Aby toho virus dosáhl, musí náhodně vkládat přebytečné instrukce, zaměňovat pořadí nezávislých instrukcí a nebo volit z mnoha různých kódovacích schémat. Tato proměnlivost (polymorfnost) viru jej činí obtížně detekovatelným, identifikovatelným a odstranitelným, především skenovacími metodami.

Metamorfní viry

Velmi zajímavá skupina... V napadnutém souboru se totiž nenachází virus v klasickém smyslu. Napadený soubor totiž obsahuje jen kompilátor, společně se zdrojovým pseudokódem viru. Při spuštění infikovaného souboru vytvoří kompilátor v paměti novou, pokaždé odlišnou kopii viru. Kompilátor neobsahuje žádné podezřelé instrukce a virus je proto nedetekovatelný heuristickou analýzou. Statický zdrojový pseudokód viru je v infikovaném souboru zakódován a odkódovává se průběžně během kompilace. Po kompilaci se opět zakóduje, ale s jiným klíčem.

Tunelující viry

Nejznámější technikou, kterou se virus brání je známá pod pojmem tunelování. To spočívá ve schopnosti vyhledávat původní adresy systémových, nejčastěji diskových služeb a ty pak používat při práci s disky ve snaze obejít případný antivirový software. Ten totiž může, obdobně jako viry, obsahovat rezidentní část, která je nainstalována v paměti, má převzaty adresy systémových služeb a monitoruje dění v systému a snaží se zabránit neoprávněným nebo podezřelým akcím. Jiný způsob aktivního boje proti antivirovým programům spočívá přímo v manipulaci s jeho rezidentní částí. Některé antiviry totiž komunikují se svými rezidentními hlídači pomocí několika snadno přístupných služeb (které jsou nadto v mnoha pramenech dokumentovány) a obsahují i funkci "dočasné deaktivace" hlídače. Pro vir tedy není nic snažšího, než se dotázat (jak jinak, než pomocí zmíněných služeb) na přítomnost takovýchto rezidentních hlídačů v paměti, a pakliže tyto úslužně odpoví "ano, jsem tady", pomocí známé služby je deaktivovat.

Ransomware

Ransomware je druh malware, která zabraňuje přístupu k počítači, který je infikován. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. Některé formy ransomware šifrují soubory na pevném disku (cryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení.

RAT Malware

Vzdálený přístup Trojan (RAT) je malware program, který poskytuje administrativní kontrolu vetřelce nad cílovým počítačem. Krysy jsou obvykle staženy neviditelně s programem uživatelem požadováno - jako je například hra - nebo zaslat jako přílohu e-mailu. Jakmile je hostitelský systém ohrožen, vetřelec může použít ji distribuovat více krysy pro botnet.

Akustická infekce

Acoustic infekce je druh malware , který používá ohrožena počítače zvukovou kartu a reproduktory pro odesílání dat pomocí skryté ultrazvukový akustický mesh sítě.

Binary malware

Tato událost představuje detekci jednoho nebo více binárních souborů přenášených přes drát a detekovaných FireEye zařízením, protože škodlivý. Škodolibost je určena dívá na podezřelé změny OS. Je to tento typ automatizovaného systémové změny, která dělá vykonávající programu podezřelý. Pokud se tato událost je viděn současně s jinými událostmi, jako je "VM-ověřených infekcí", je to silný důkaz, že základní provoz je nebezpečný, zahrnující infekci malware.

Cross-platform malware

Většina kmenů malware cílit na konkrétní systém, zařízení nebo provozu. Zatímco složitost infekcí cross-platformní historicky omezilo jejich existenci, tam jsou rostoucí případy cross-platform malwaru, nebo vzorky se schopností útoku ruznych OS. Bezpečnostní výzkumníci nedávno objevil nový cross-platformní Java bot, které proniká zařízení tímto způsobem, přezdívaná HEUR: Backdoor.Java.Agent.a.

fileless malware

Fileless infekce (fileless malware) je škodlivý kódování, které existuje pouze v paměti spíše než nainstalován na pevný disk cílového počítač

Windows PE Backdoor

 

Backoff POS Trojan

Backoff je point-of-prodeje malware , který využívá paměť škrábání ukrást údaje o kreditní kartě z systémem Windows prodejny stroje, na kterém je nainstalován.

POS Malware

Point-of-prodeje (POS) systémy jsou důležité součásti v jakémkoliv maloobchodním prostředí. Poté, co se vyvinul za jednoduchých registračních pokladen, moderní POS systém je vázána na zpracování plateb, zásob a řízení business jeho vztahů se zákazníky (CRM) funkcí. Inovace ve vývoji POS software také dělal to jednodušší pro malé a středně velké podniky nasadit rys-bohatý POS nástroje ve svých maloobchodních prostředí.

Crypto-Ransomware

CryptoLocker byl ransomware trojan , který cílené počítače se systémem Microsoft Windows , věřil, že jako první byly zveřejněny na internetu dne 5. září 2013. CryptoLocker šířeny prostřednictvím infikovaných e-mailových příloh, a prostřednictvím stávajícího botnetu ; při aktivaci, malware zašifruje určité typy souborů uložených na místní a připojených síťových disků s použitím RSA veřejného klíče kryptografie , pomocí soukromého klíče uloženého pouze na kontrolních serverech malware je.

Boot sektor

Viry ve spouštěcím sektoru útoku boot sektor pevného disku, aby se ujistil, že spuštění pokaždé, když je počítač spuštěn. Je to poměrně starší skupina virů. 

Boot Sector Virus

Viry ve spouštěcím sektoru útoku boot sektor diskety nebo boot sektoru pevného disku, aby zajistily, že jejich kód je spuštěn pokaždé, když je počítač spuštěn. Infekce Boot sektor je starší vektor pro šíření virů, ale to se v poslední době stále více populární jako prostředek k instalaci bootkits 

Companion Virus

Doprovodné viry replikují tím, že využívá přednost hierarchie, která podle operačního systému spustí programové soubory na základě jejich přípony. Například, pod MS-DOS soubory s příponou. BAT (dávkové soubory) jsou provedeny před těmi, s rozšířením. Com, který, podle pořadí, jsou provedeny před těmi, o prodloužení. EXE. 

Dialer

Dialer je program navržen tak, aby přesměrovat telefonní spojení na uživatele (dial-up) k Internetu pomocí čísla pojistné sazby. 

HLL viry

Před spuštěním systému Microsoft Windows 95, většina počítačových virů byly kompaktní programy napsané v assembleru. Počítačové viry napsané v Adě, BASIC, C, C + +. Delphi, tam, Visual Basic a další programovací jazyky 

Podfuk

Existuje mnoho falešné zprávy odeslány jako řetězové dopisy prostřednictvím e-mailu a sociálních médií, šíření, protože lidé se napálil do jejich předání, spíše než prostřednictvím škodlivého kódu. 

Přepsání viry

Přepsání viry jsou nejjednodušší formy infekce. Původní kód je vymazán a nahrazen novým, škodlivého kódu. Když se provádí nahradit soubor virus může pokusit znovu zopakovat. 

Retroviry

Retroviry jsou škodlivé aplikace se snaží zakázat, odstranit nebo deaktivovat antivirové systémy. 

Riskware

Termín riskware obsahuje všechny aplikace, které představují určité bezpečnostní riziko při spuštění. Jejich instalace mohou být schváleny nebo potvrzena uživatelem v přijetí licenční smlouvy při instalaci programu. 

Steganography

Utajování informací v jiných dat. Například, zakódována do zvukových nebo obrazových souborů, přečtěte si více ...

Adware

Adware (reklama-podporovaný software), je nějaký software, aplikace, která automaticky hraje, displeje nebo stahování reklamní materiál k počítači uživatele, aniž by uživatelé jej s vědomím nebo s jejich částečnou pomoc. 

Backdoor, Remote Access Tool / Remote Access Trojan (RAT)

Backdoor je typu klient-server aplikace umožňující vzdálený přístup k počítači. Na rozdíl od běžné legitimní aplikace s podobnou funkcí je to, že instalace je provedena bez vědomí uživatele. 

Bootkit

Typ rootkit, který infikuje Master Boot Record nebo Volume Boot Record (VBR) na pevný disk, aby se zajistilo, že jeho kód se spustí pokaždé, když se počítač spustí. 

Bot

Bot je program, který provádí řadu škodlivých akcí podle pokynů svého provozovatele 

Botnet

Zkratka pro "bot sítě", tento termín se používá k identifikaci skupiny roboty, které se připojují na stejný (nebo několika) Command a Control server (y), provozované stejným zločinci. 

Command a Control serverů

Velení a řízení, nebo C & C, server je počítač používá ke koordinaci činnosti počítačů infikovaných pomocí bot, rootkit, červ nebo jinými formami škodlivého softwaru (malware), které se spoléhají na jiném počítači podle pokynů a aktualizace. čtěte více .. .

Downloader, Trojan-Downloader

Tyto podmínky se obvykle označují škodlivé programy, komponenty nebo funkce, jejichž (obvykle jediným) účelem je ke stažení další (obvykle škodlivý), přečtěte si více ...

Kapátko, Trojan-Kapátko

Trojan kapátko je druh malware, který působí jako nosič, který obsahuje v sobě další škodlivý spustitelný soubor. Po spuštění se "kapky", nebo nainstaluje obsažené soubor a spustí jej. 

Šifrování

Kódování informací takovým způsobem, že je zašifrované a nelze číst bez předchozího dešifrovat. 

Virus souboru, Parazitární virus

Soubor viry - používat jednotlivé soubory jako hostitelé. Obecně platí, že se jedná vždy spustitelné soubory, protože cílem škodlivého kódu je jeho replikace. Nejčastější jsou viry s "COM". ": EXE". "SYS"., ". BAT" nebo rozšíření 

Keylogger

Program, který slouží k zaznamenávat stisky kláves psané na počítači. Keyloggery lze použít pro oba prospěšné účely, jako jsou zaměstnanci monitorování v regulovaném odvětví, nebo ty zhoubné, jako je ukrást pověření účtu. 

Malware

Portmanteau slovo kombinující škodlivý a software, malware se používá jako zastřešující termín, aby zahrnovala všechny formy škodlivého kódu, přečtěte si více ...

Packer, Crypter, Protector

Packers jsou "vnější skořápky" některých trojské koně, jehož cílem je, aby se detekce a analýzy anti-virus software a malware analytiků (v tomto pořadí) složitější tím, že skryje užitečné zatížení, které obsahují, takže je nejprve nutné je rozbalit tak, jak zjistit jejich účel. 

Phishing

Hra na slově "rybářské" podvodný e-mail, texty nebo jiné zprávy zaslané na cíl, aby se krást jejich pověření účtu. 

PUA

Sociální inženýrství

Termín aplikován na širokou škálu technik pro vyvolání požadované změny v chování nebo získat nějakou výhodu psychologické manipulace jedince nebo skupiny. 

Spyware

Obecný termín pro řadu skryté malware, jako jsou keyloggery, trojské koně dálkového přístupu, a backdoor trojských koní, a to zejména ty, které umožňují vzdálený dohled hesel a dalších citlivých údajů. 

Steganography

Utajování informací v jiných dat. Například, zakódována do zvukových nebo obrazových souborů, přečtěte si více ...

Trojan, Trojský kůň

Trojan (nebo trojský kůň) koně (nebo prostě trojan) je široký pojem pro škodlivý software používaný pro různé hanebné účely, často buď destruktivní nebo pro účely krádeže dat. 

Virus

Virus je program schopen sebe-replikaci. Šíří vložením vlastních kopií do jiných spustitelných souborů a zajišťuje jejich provádění. 

Červ

Červ je self-replikace typ škodlivého softwaru, který může šířit do dalších počítačů. Červi mohou šířit prostřednictvím počítačových sítí, e-mailů, instant-messaging služeb, sociálních sítí, vyměnitelných médií a dalších kanálů.

Boot mód

Boot loader, také volal boot manager, je malý program, který umístí operační systém (OS) z počítače do paměti ...

Dropper

Dropper je malware instalační program, který tajně nese viry , zadní dveře a další škodlivý software, takže mohou být provedeny na počítači ohrožena. Injekce nezpůsobí škodu přímo, ale může přinést malware náklad na cílovém počítači bez detekce.

Loader Moduly

U počítačového operačního systému , nakladač je součást, která lokalizuje daného programu (který může být aplikace , nebo, v některých případech součástí operačního systému samotného) v uložení (off-line, jako je například pevný disk ), načte do hlavní skladování (v osobním počítači, je to tzv random access memory ), a poskytuje, že kontrola programu počítače (umožňuje to pro provedení její pokynů).

Main compact

 

USB Driver

 

VFSese (Virtuální souborový systém)

Virtuální souborový systém (VFS), je programování, které tvoří rozhraní mezi jádro operačního systému a konkrétnější souborového systému.