ไวรัสล่องหน

78% ของมัลแวร์ใหม่ๆ ใช้การแพ็คไฟล์ช่วยในการหลบหลีกจากการตรวจจับ
UPX เป็นโปรแกรมแพ็คไฟล์ ( packer) ยอดฮิตที่ถูกนำมาใช้ประมาณ 15% ตามด้วย PECompact และ PE อย่างละประมาณ 10%
PandaLabs พบการใช้เทคนิคอื่นๆ เพิ่มขึ้น รวมถึง scrambling และ binders

ผลการศึกษาของ PandaLabs พบว่าร้อยละ 78 ของมัลแวร์ใหม่ๆ ใช้การแพ็คไฟล์บางรูปแบบในการหลบหลีกจากการตรวจจับ โปรแกรมแพ็คไฟล์หรือ packer คือโปรแกรมที่ใช้ลดขนาดของไฟล์สั่งการ ( exe ) ซึ่งโดยทั่วไปทำได้โดยใช้การบีบอัด โปรแกรมเหล่านี้สามารถใช้ในการปกป้องสำเนาของมัลแวร์ที่ติดตั้งในคอมพิวเตอร์ หรือทำให้ยากแก่การตรวจจับจากโปรแกรมป้องกันไวรัสได้อีกด้วย

Packer มีหลายรูปแบบ จากการศึกษาของ PandaLabs โดย UPX เป็นหนึ่งในรูปแบบที่พบบ่อยที่สุด คิดเป็นร้อยละ 15 ของมัลแวร์ที่ตรวจพบ ขณะที่ PECompact และ PE มีการใช้กันประมาณร้อยละ 10 อย่างไรก็ตาม จากการศึกษาของ PandaLabs พบว่ามี Packer กว่า 500 รูปแบบที่เหล่าอาชญากรอาจนำไปใช้ได้

“ โดยหัวใจสำคัญแล้ว นี่เป็นเทคนิคในการล่องหน การเพิ่มขึ้นของโปรแกรมประเภทนี้ได้เน้นให้เราเห็นว่าเหล่าอาชญากรในโลกอินเทอร์เน็ตมีความชำนาญเพียงใด การซ่อนผลงานของตน ” นาย Luis Corrons ผู้อำนวยการศูนย์วิจัย PandaLabs กล่าว

บ่อยครั้งที่เครื่องมือเหล่านี้ถูกนำมาใช้ในการรวมมัลแวร์ต่างชนิดเข้าไว้ในชุดเดียว ทำให้เป็นอุปสรรคต่อการตรวจจับ และทำให้มัลแวร์สามารถดาวน์โหลดภัยคุกคามอื่นๆ ได้อย่างมีประสิทธิภาพมากขึ้น

“ ปัญหาก็คือเราจะตรวจจับมัลแวร์เหล่านี้ได้เมื่อใด มัลแวร์ส่วนใหญ่ได้รับการแพ็คด้วยโปรแกรมที่ถูกต้องตามกฎหมาย และเป็นไปไม่ได้ที่จะสามารถแยกมัลแวร์ออกจากซอฟต์แวร์ดีๆ โดยใช้ packer เป็นเกณฑ์ตัดสิน ถ้าเช่นนั้น ทางแก้ปัญหาคืออะไร ? ในกรณีของอีเมล์ เราต้องมีระบบตรวจจับก่อนที่อีเมลจะเข้าสู่เครื่องคอมพิวเตอร์ ผลิตภัณฑ์รักษาความปลอดภัยต้องสามารถตรวจจับมัลแวร์ที่แพ็คไว้ได้ก่อนที่ผู้ใช้จะเปิดมัน ” นาย Corrons ยืนยัน

ตัวอย่างมัลแวร์ดังๆ ที่ใช้ packer เมื่อไม่นานมานี้ได้แก่ โทรจัน Conycspa.AJ ซึ่งสามารถดาวน์โหลดมัลแวร์อื่นๆ อีกมากมาย โทรจัน Clagge.G และเวิร์ม Rinbot.Q ซึ่งแพร่กระจายผ่านช่องโหว่จำนวนมากใน Windows

เทคนิคการล่องหนอื่นๆ

ภัยที่สำคัญและไม่ค่อยเป็นที่รู้จักอีกอย่างหนึ่งได้แก่ binder หรือ joiner ซึ่งเป็นโปรแกรมสำหรับรวมไฟล์ตั้งแต่สองไฟล์ขึ้นไปเข้าด้วยกัน แฮคเกอร์จะใช้เครื่องมือเหล่านี้ในการซ่อนผลงานของตนไว้ในไฟล์ที่ดูเหมือนไม่เป็นภัย เช่น รวมไฟล์สั่งการของโทรจันไว้ในภาพถ่ายนามสกุล .jpg เมื่อผู้ใช้ดูภาพดังกล่าว โทรจันก็จะทำงาน

PandaLabs ตรวจจับตัวอย่างมัลแวร์ที่ใช้เทคนิคนี้ได้เป็นจำนวนมาก หนึ่งในนั้นได้แก่โทรจันในตระกูล Mitglieder ( ซึ่งจะเปิดภาพขึ้นเมื่อทำงาน )

อีกวิธีหนึ่งในการปกป้องไฟล์ที่บรรจุมัลแวร์ได้แก่ scrambling ซึ่งสามารถซ่อนไฟล์สั่งการได้เช่นเดียวกับ packer โดยจะทำการเข้ารหัสชุดคำสั่งของมัลแวร์เอง และเพื่อให้สามารถทำงานได้เมื่อเข้าสู่ระบบ มัลแวร์เหล่านี้จะมีตัวถอดรหัสในตัว มัลแวร์ที่ใช้เทคนิคนี้ก็เช่น เวิร์มในตระกูล Feebs

“ สิ่งที่เป็นภัยที่สุดเกี่ยวกับเทคนิคนี้คือความสามารถในการปรับประยุกต์ แฮคเกอร์ที่ชาญฉลาดสามารถสร้างชุดคำสั่งที่ใช้ในการเข้ารหัสของตัวเองขึ้นมา และมัลแวร์ที่ซ่อนตัวโดยใช้เทคนิคนี้ก็ยากแก่การตรวจพบมากที่สุด ”นาย Corrons อธิบาย

โดย:katatummo
ที่มา:www.thaiantivirus.com