Схожее оформление типичных антивирусов

By Главный редактор

145Вы не замечали, как визуальное оформление часто встречающихся окон, что выдают вам фальшивые антивирусы, в ряде случаев идентично? На этот счет есть предположение, что многочисленные авторы таких программ, просто создавая их, используют одинаковый генератор кода. Примечательно, что для нарастающей борьбы с многочисленными антивирусами программы-фальшивки все чаще используют аналогичные механизмы, что широко используются в полиморфных червях или вирусах. То есть,: с помощью шифрования данных всегда основное тело программы скрыто. Поскольку оно содержит определенные строки, а также ссылки в открытом доступном виде. Для работы этой программы, в нужный файл легко помещается динамический уникальный код, что перед переходом к основному указанному функционалу, сам расшифровывает тело. Пример: лжеантивирусы FraudTool.Win32.MSAntivirus.cg и FraudTool.Win32.MSAntispyware2009.a. Отмечается, что это два разных семейства, но, они оба серьезно защищены одинаковыми полиморфными, указанными нами, декрипторами. Оба этих файла обладают абсолютно идентичной структурой. В результате, получается, что использование уже готовых наработок дает шанс для однотипных программ не затрачивая время на их создание. Отмечается, что производство различных псевдоантивирусов сегодня поставлено на поток. И эволюция FraudTool также направлена на скорейшее усложнение тела данной программы, с целью — легко сбивать каждое сигнатурное детектирование многочисленных антивирусов. Заметим, что псевдоантивирусы, также практически нереально задетектировать используюя эвристических сигнатуры, что основаны на уникально поведенческом анализе. Причина: сложно технически быстро отличить часто встречающуюся обычную программу-фальшивку, от серьезной легальной программы. Таким образом, если уникальный исполняемый файл любого ложного антивируса хорошо не упакован зловредным упаковщиком, то вычислить его можно, лишь с помощью серьезного ручного анализа. Что затруднит автоматическое детектирование уже новых версий зловредных антивирусов.