Stärke von Polymorphismus

Andreas Haak

Ok ... dann mal die bereits versprochenen Informationen zu den polymorphic levels:

Level 1 (Oligomorph):
Der Virus benutzt eine begrenzte Anzahl (mehrere) von konstanten Decryptoren, die ebenfalls mit einer konstanten Anzahl von Sucherkennungen erkannt werden. Beispiele hierfür ist der Whale-Virus der insgesamt 34 Decryptoren verwendet. Weitere bekannte Viren sind: Cheeba, Marauder, Screaming_Fist, Slovakia und V-Sign (Cansu).

Level 2:
Der zweite Level unterscheidet sich vom ersten dadurch, daß es keinen statischen Decryptor mehr gibt sondern der Decryptor jedes mal neu generiert wird. Der Decryptor nutzt aber immer die selben Befehle, die nur jeweils immer eine unterschiedliche Reihenfolge haben. Beispiel hierfür HWF oder WordSwap.

Level 3:
Vom 3. Level spricht man, wenn zw. den einzelnen Befehlen sinnlose Instruktionen eingestreut werden. Beispiele dafür wären Flip und Tequila.

Level 4:
Beim 4. Level werden dann noch zusätzlich die Befehle ausgetauscht, die für die Entschlüsseluig nicht von Relevanz sind.

Level 5:
Das ist jetzt eigentlich der Level der den AV Leuten so extreme Kopfschmerzen bereitet (hat). Der 5. Level ist eine Kombination aus Level 2, 3 und 4. Die Befehle werden durcheinander gewürfelt, Datenschrott wird eingestreut und die austauschbaren Befehle werden durch andere ersetzt.

Level 6 (Permutating):
Der 6. Level arbeitet nach einem der 3 folgendem Prinzipien:

Der Virus zerstückelt sich selbst in kleine Teile und bringt sie an unterschiedlichen Teilen des Wirtscodes unter. Danach wird eine Routine hinzugefügt, die die einzelnen Stücke wieder zusammenfügt sobald der infizierte Wirt gestartet wird.

Der Virus bringt sich irgendwo im Wirt in einer unzerstückelten Form unter und fügt mehrere (polymorphe) Lademodule ein. Diese Lademodule tun nichts anderes als bestimmte Register zu laden und dann jeweils zum nächsten Lademodul zu springen bis man dann irgendwann nach einigen 100 - 1000 Sprüngen zum wirklichen Decryptor kommt.

Der Decryptor wird zerstückelt im Wirt verteilt. Der Virus wird dann über mehrere im Wirt eingefügte (polymorphe) Lademodule, die nichts anderes tun als sinnlose Operationen durchzuführen und jeweils einen anderen Teil des Decryptors anzuspringen, entschlüsselt.

Beispiele für Permutierende Viren: One_Half, Bad_Boy, Fly, Leech oder Commander Bomber.

Es ist mir noch eine Virenfamilie bekannt die eine Art Mix aus Permutation und Level 5 Polymorphism darstellt. Das ist Uruguay.

Die Uruguay Virus Familie hat - sofern ich das beurteilen kann - die beste Mutation Engine die es für DOS Viren gab. Zumindest hab ich noch keine bessere gesehen. Die Mutation Engine an sich ist Level 5 polymorph.

Die Uruguay Familie infiziert nur COM Dateien. EXE Dateien die kleiner sind als 64 kb werden vorher in COM Dateien umgewandelt.

Der eigentliche Decryptor für den polymorph verschlüsselten Viruskörper wird ans Dateiende angehängt. Der Sprung zum Virus am Datei Anfang wird ebenfalls polymorph erstellen (erinnert stark ans Permutating).

Der am Anfang eingefügte polymorphe Sprung besteht dabei nicht nur aus einem "einfachen" Sprung (jmp) sondern kann auch direkt über Register oder auch indirekt über mehrere Zwischenstopps ausgeführt werden.

Das Problem ist die Tatsache, das das AV Programm diesen Sprungcode "auslösen" muss um zum richtigen Decryptor zu kommen.

Den Decryptor am Ende der Datei suchen ist nicht möglich. Wie gesagt ist der Virus Level 5 polymorph, wieshalb der Decryptor eine variable Länge aufweist.

Hoffe snooby und allen anderen Interessierten einen kleinen Einblick in die verschiedenen "Qualitätsstufen" gegeben zu haben. Man kann sich aber grade bei den Poly Leveln viel Streiten. Wie so oft in der AV Branche gibt es unterschiedliche Betrachtungsweisen [img]smile.gif[/img] .