مشخصه های زیادی هستن که میشه با اونا بازدهی یک آنتی ویروس رو اندازه گرفت و البته پشتیبانی که از این آنتی ویروس توسط شرکت ارائه دهنده اون میشه. بعضی از این مشخصه ها میزان زمانی هست که طول میکشه تا شرکت صاحب آنتی ویروس بتونه رفتار جدیدی از ویروسها رو به تواناییهای آنتی ویروس اضافه کنه. ولی آیا این کافیه ؟

در این مقاله ما مشکلات تشخیص ویروسهای ساختار پیچیده رو میبینیم. از جمله : پلی مورفیک – متا مورفیک و ویروسهای نقطه -  ورودی مبهم. چه آنتی ویروسی بتونه این نوع ویروسها رو شناسایی بکنه یا نکنه .. این مشخصه ها میتونه معیار خوبی برای ارزیابی این محصولات باشه.

در این مقاله میبینیم که چطور ویروسهای ساختار پیچیده میتونن یک تهدید کاملا متفاوت برای سازمانها و سیستمها باشن. اول از همه باید بدونیم ویروسهای پلی مورفیک – متا مورفیک و نقطه – ورود مبهم چی هستن .. بفهمیم که کی اینها یک تهدید خطرناک علیه ما هستن .. و سپس چند نمونه که در دنیای واقعی شناسایی شدن رو ببینیم. این مقاله ما رو با محدودیت های تکنولوژی موتور آنتی ویروسهای فعلی آشنا میکنه.

نگاهی یه ویروسهای ساختار پیچیده.

زمانی تعداد ویروسهایی که یک محصول (آنتی ویروس) شناسایی میکرد مشخصه مهم و تعیین کننده ای برای شهرت اون آنتی ویروس بود ... ولی اکنون این قضیه کاملا فرق کرده. امروزه بازه های زمانی که  یک آنتی ویروس باید پاسخگوی تهدیدهای جدید باشه و شناسایی دینامیک ویروسها دو مسئله بسیار مهم برای هر شرکتی میباشد. اما این در معیارها ویروسهای ساختار پیچیده در نظر گرفته نشده اند. شناسایی یک ویروس ساختار پیچیده یعنی شناسایی یک تهدید که ذاتا قابل شناسایی نیست ... و یا افشا کردن محدودیتهای موتورهای ویروسیاب آونا رو غیرقابل شناسایی کرده. ما با چند تعریف شروع میکنیم.

ویروس پلی مورفیک ویروسی هست که ظاهر خودش رو بشکل برنامه های میزبان در میاره.   برای مثال بدنه خودش رو هر دفعه با کلیدهای مختلف رمزنگاری میکنه و بعد از آن خودش هم عملیات دیکد (De Code) رو انجام میده. عملیات دیکد (Decryptor) بصورت تغییرات تصادفی سرتاسری در مشخصه های قابل شناسایی ویروس هست که البته ویروس رو تقریبا غیر قابل دستیابی میکنه.

ویروس متا مورفیک ... ویروسی هست که خودشو بعنوان برنامه میزبان جا میزنه. و البته کدینگ لازم رو هم هر جا لازم باشه انجام میده. تفاوت در ظاهر این نوع ویروس ناشی از تغییراتی هست که ویروس در بدنه خودش ایجاد میکنه. نکته قابل توجه اینکه تکنیکهای مختلفی هم برای اینکار وجود داره.

یکی از این تکنیکها که توسط ویروسهای متا مورفیک بکار گرفته میشه اضافه و حذف کردن دستورات (کدهای) آشغال و بی مصرف (Garbage) هست. این دستورات هیچ تاثیری روی عملکرد ویروس نمیذاره  ولی براحتی فضایی رو اشغال میکنه و تحلیل ویروس رو کاملا سخت میکنه. مثلا اینکه عبارت 3*x با عبارت x+x+x جایگزین میشه که در کارکرد ویروس تاثیری نداره اما از دید آنتی ویروس بسیار متفاوت به نظر میرسه. البته این یه مثال بود ... فکر کنید اگه 500 خط کد اینجوری تغییر بکنه .. عملا آنتی ویروس تبدیل به برگ چغندر میشه !!!!

ویروس نقطه – ورود مبهم (EPO ) ویروسی هست که کنترل برنامه میزبان رو غیر مستقیم بدست میگیره و خیلی سریع خودشو به نقطه – ورود میرسونه. این ویروس موقعیت یه متغیر برنامه میزبان رو اشغال میکنه و با یک تابع API یا پرولوگ کنترل برنامه رو به جایی که کدهای مخرب وجود داره هدایت میکنه.

بدون توجه به نکنیکی که برای کشف ویروسها وجود داره ... ما باید بدونیم این ویوریها چجوری کار میکنن و با چه الگوریتمی خودشونو تکثیر میکنن.

تصمیم به تهدید.

ویروسهای ساختار پیچیده خودشونو نشون نمیدن تا اینکه بیرون از آزمایشگاه کشف بشن. مثلا جایی در حیات وحش !!!!

این ها چند مثال از ویروسهای فوق العاده خطرناک Win32 هستند که با روش مهندسی معکوس تولید شدن. اینها برای یک محقق امنیتی میتونه خیلی آموزنده باشه تا بتونه کدی رو برای شناسایی این ویروسها طراحی کنه : W95/SK (PDF document)   -- W95/Zmist (PDF document) -- W32/Simile (PDF document) -- W32/Efish (PDF document) -- W95/Perenast .

تشخیص شناسایی ویروسهای پیچیده.

ممکنه بپرسید : چه اهمیتی داره که ویروسهای اینچنینی رو شناسایی کنیم... اگه اینهمه مرموز و وحشی هستند ؟؟ خب  اول از همه اونها راهشون رو به حیات وحش پیدا میکنن. برای مثال Win32/Toal که یک کرم پلی مورفیک هست ... همیشه بعنوان یک ویروس خطرناک در Mailing List ها مطرح هست.

همچنین حتی برای ویروسهای خالص متاسفانه برای ایجاد مشکلات در سیستمها ...  واکنش آنتی ویروسها به این نوع ویروسها میتونه محدودیتهای زیادی را درباره تکنولوژی موتور آنها آشکار کنه و البته مهارت تیم مسئول. برخی کمپانیها فورا کد شناسایی رو ظرف چند ساعت یا چند روز  تولید میکنن. برای  برخی دیگر هم ممکنه این فرایند تا چند ماه ممکنه طول بکشه. ویا حتی سالها !!! مثل W95/Zmist

حالا اگه کمپانی آنتی ویروس شما در این رقابت بازنده باشه چی ؟!؟؟؟  اونا قطعا از انعطاف پذیری محصولات و دانش بالای فنی تیم نرم افزاریشون تعریف میکنن. اما اگه در آینده ویروس جهش یافته پلی مورفیکی منتشر شد چی؟؟ آیا بازهم میتونن جوابگو باشن ؟؟

برای اینکه خیالتون راحت بشه به این سوال جواب بدین : اگه قراره عمل جراحی قلب باز کنین میرین پیش دکتری که بیشترین تعداد عمل موفق رو داشته یا پیش دکتری که فقط آپاندیس عمل کرده ؟؟! من فکر کنم حتی برای آپاندیس هم پیش بهترین اونها میرین !!