| dbo:abstract
|
- En el contexto del malware, un código polimórfico es aquel que usa la técnica del polimorfismo, que consiste en usar un motor polimórfico embebido para cambiar su propio código mientras mantiene su algoritmo original intacto. Cambia solo parte del código, en contraste con el metamorfismo que cambia todo el código, manteniendo otra parte del código igual. Por ejemplo, es habitual que un virus polimórfico tenga un cuerpo de programa de virus cifrado (EVB, del inglés Encrypted Virus Body) y una rutina de descifrado de virus (VDR, del inglés Virus Decryption Routine) que hace de descifrador/cargador. Cuando se inicia una aplicación infectada, el VDR se encarga de cargar en memoria el texto cifrado, descifrarlo en memoria y finalmente ejecutarlo. Una vez ejecutado, el virus se vuelve a cifrar y se agrega a otra aplicación vulnerable. El cuerpo del virus, que está cifrado no se altera. En el descifrador/cargador, que quedaría invariante, aplicamos polimorfismo para generar diferentes versiones del mismo. A veces, la clave de cifrado de cada copia es distinta y es generada aleatoriamente para cambiar la apariencia del cuerpo del virus cifrado. Al malware que tiene código polimórfico se le llama malware polimórfico. El polimorfismo previene la detección e identificación del malware mediante mecanismos de ajuste de patrones. Consigue que el malware no tenga una manifestación constante, ya sea en almacenamiento o en memoria, y que una vez que una instancia sea conocida los sistemas de detección no puedan encontrarla siempre. El polimorfismo varía la apariencia de las instancias de malware. La detección de malware usando ajuste de patrones de códigos es una técnica que usan antivirus y sistemas de detección de intrusiones para intentar localizar programas maliciosos analizando ficheros, paquetes de red, memoria,... Si ese tipo de software encuentra patrones de código que coinciden con el de una amenaza conocida, toman los pasos apropiados para neutralizar dicha amenaza. Para conseguir código polimórfico el malware dispone de un motor polimórfico embebido que automáticamente puede generar distintas transformaciones del código, del orden de millones. Para realizar estas transformaciones el motor polimórfico usa técnicas de ofuscación y, a veces, cifrado De esta forma el motor polimórfico cambia las características identificables del malware (nombres de ficheros, tipos, cadenas, flujo de control, claves de cifrado,...) mientras mantiene su funcionalidad. Para facilitar la creación del motor polimórfico se han creado toolkits polimórficos. Es habitual que muchos tipos de malware sean polimórficos incluyendo virus, gusanos, troyanos, keyloggers o bots (es)
- En el contexto del malware, un código polimórfico es aquel que usa la técnica del polimorfismo, que consiste en usar un motor polimórfico embebido para cambiar su propio código mientras mantiene su algoritmo original intacto. Cambia solo parte del código, en contraste con el metamorfismo que cambia todo el código, manteniendo otra parte del código igual. Por ejemplo, es habitual que un virus polimórfico tenga un cuerpo de programa de virus cifrado (EVB, del inglés Encrypted Virus Body) y una rutina de descifrado de virus (VDR, del inglés Virus Decryption Routine) que hace de descifrador/cargador. Cuando se inicia una aplicación infectada, el VDR se encarga de cargar en memoria el texto cifrado, descifrarlo en memoria y finalmente ejecutarlo. Una vez ejecutado, el virus se vuelve a cifrar y se agrega a otra aplicación vulnerable. El cuerpo del virus, que está cifrado no se altera. En el descifrador/cargador, que quedaría invariante, aplicamos polimorfismo para generar diferentes versiones del mismo. A veces, la clave de cifrado de cada copia es distinta y es generada aleatoriamente para cambiar la apariencia del cuerpo del virus cifrado. Al malware que tiene código polimórfico se le llama malware polimórfico. El polimorfismo previene la detección e identificación del malware mediante mecanismos de ajuste de patrones. Consigue que el malware no tenga una manifestación constante, ya sea en almacenamiento o en memoria, y que una vez que una instancia sea conocida los sistemas de detección no puedan encontrarla siempre. El polimorfismo varía la apariencia de las instancias de malware. La detección de malware usando ajuste de patrones de códigos es una técnica que usan antivirus y sistemas de detección de intrusiones para intentar localizar programas maliciosos analizando ficheros, paquetes de red, memoria,... Si ese tipo de software encuentra patrones de código que coinciden con el de una amenaza conocida, toman los pasos apropiados para neutralizar dicha amenaza. Para conseguir código polimórfico el malware dispone de un motor polimórfico embebido que automáticamente puede generar distintas transformaciones del código, del orden de millones. Para realizar estas transformaciones el motor polimórfico usa técnicas de ofuscación y, a veces, cifrado De esta forma el motor polimórfico cambia las características identificables del malware (nombres de ficheros, tipos, cadenas, flujo de control, claves de cifrado,...) mientras mantiene su funcionalidad. Para facilitar la creación del motor polimórfico se han creado toolkits polimórficos. Es habitual que muchos tipos de malware sean polimórficos incluyendo virus, gusanos, troyanos, keyloggers o bots (es)
|
| rdfs:comment
|
- En el contexto del malware, un código polimórfico es aquel que usa la técnica del polimorfismo, que consiste en usar un motor polimórfico embebido para cambiar su propio código mientras mantiene su algoritmo original intacto. Cambia solo parte del código, en contraste con el metamorfismo que cambia todo el código, manteniendo otra parte del código igual. Al malware que tiene código polimórfico se le llama malware polimórfico. Es habitual que muchos tipos de malware sean polimórficos incluyendo virus, gusanos, troyanos, keyloggers o bots (es)
- En el contexto del malware, un código polimórfico es aquel que usa la técnica del polimorfismo, que consiste en usar un motor polimórfico embebido para cambiar su propio código mientras mantiene su algoritmo original intacto. Cambia solo parte del código, en contraste con el metamorfismo que cambia todo el código, manteniendo otra parte del código igual. Al malware que tiene código polimórfico se le llama malware polimórfico. Es habitual que muchos tipos de malware sean polimórficos incluyendo virus, gusanos, troyanos, keyloggers o bots (es)
|
