Разработан вирус конструирующийся из установленных на компьютере программ

[AM_Bot 48]

Учёные по заказу армии США разработали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной разработке дали название Frankenstein, пишет журнал New Scientist. Перед учёными поставили задание создать код, который будет трудно обнаружить с помощью неизвестного антивируса. Задачу решили за счёт модульной конструкции вируса.

подробнее

[_Stout 131]

Учёные по заказу армии США разработали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной разработке дали название Frankenstein, пишет журнал New Scientist. Перед учёными поставили задание создать код, который будет трудно обнаружить с помощью неизвестного антивируса. Задачу решили за счёт модульной конструкции вируса.

"трудно обнаружить с помощью неизвестного антивируса" -- с помощью неизвестного может быть будет и трудно, а вот известные будут ловить на ура :-)

[Valery Ledovskoy 1082]

После установки на машину жертвы, вирус конструирует рабочее тело из так называемых «гаджетов»

И после завершения конструирования будет пойман

Ключевая особенность «Франкенштейна» в том, что сборка рабочего тела по заданным инструкциям повторяется на каждом заражённом компьютере, но каждый раз задействуются новые гаджеты, так что бинарник вируса в каждом случае получается уникальным. За счёт этой особенности вредоносную программу практически невозможно обнаружить по базе вирусных сигнатур.

Да-да, а в сигнатурах сидят у всех бинарники целиком до сих пор. И эвристиков нет

Вот если бы оно собиралось из недетектируемых кирпичиков, но не в виде файла, а сразу в виде процесса в памяти. Но для этого есть ряд сложнопреодолимых моментов.

Т.е. новость какбэ намекает - вытащите себя за волосы, и обманете антивирус

Только вот смущает:

Учёные по заказу армии США

Хотя и то, что об этом растрындели, намекает на степень секретности работы таких горе-учёных. Да-да, боимси

[Васька 45]

Американские лошары неуклюже пытаются вбросить дезу, чтобы обмануть общественное мнение и отвести подозрения от своего главного вируса - Майкрософт. У них один выход: держать Майкрософт за жабры, как главное средство скрытно шарить в чужих компьютерах, а для народа кидают вот такие статейки типа армия США не пользуется услугами Майкрософт, а типа выдумывает "чудо вирусы".

[Umnik 997]

По-моему что-то подобное уже было раньше. Пусть не с системными файлами, но общий подход был похожим.

И не понятно, почему разные бинарники заявляются как некая защита от детекта, я не о поведенческом? Не по хешам же его детектировать будут.

[Зайцев Олег 402]

Ерунда какая-то, так как:

1. чтобы собирать зловреда из гаджетов, нужно сначала на ПК внедрить код сборщика А для этого придется применить эксплоиты, а сам сборщик придется защищать от детекта классическими методами типа полиморфизма. Следовательно, весь плюс метода сведется к нулю

2. Современный антивирус использует массу технологий несигнатурного детектирования (эмулятор, анализ реального поведения и т.п.). Следовательно, не важно, как именно попал EXE на ПК и каковы его бинарные "внутренности" - важно то, что именно он будет делать в системе

3. Если антивирус будет работать совместно с Application Control + WL, то он просто не опознает такую "поделку из гаджетов" как нечто безопасное и блокирует ее запуск. Или разрешит, но проинформирует админов и безопасников

4. Если ПК сети периодически проверяются на предмет наличия шпионских закладок и постороннего ПО, то появление нового непонятно откуда взявшегося исполняемого файла сразу вызовет аларм

5. Если у пользователя нет прав администратора, то "чудо вирус" или не сможет выполнить сборку, или не сможет после сборки работать ...

Так что ничего чудесного там нет... нового тоже, напрмиер в тестировании эмуляторов на AM в 2007 году сделанный мной для тестирования "семпл 503" как раз и использовал возможность "поиска гаджетов" в системных файлах