Assinaturas de vírus - Parte II

Continuando nossas matérias técnicas à respeito das assinaturas de vírus. Esses textos servem para informar os usuários o funcionamento interno dos softwares antivírus bem como ajudar no entendimento do assunto em si. Essa matéria é uma continuação da primeira parte, se você ainda não leu, clique aqui para ler.

Assinaturas e variantes
Voltando ao exemplo das assinaturas do Kode4 podemos notar a semelhança no bloco onde as assinaturas foram escolhidas pelos antivírus:

Veja que o Kaspersky AVP usou 19 bytes como assinatura para detectar o vírus, o GeCad RAV usou 16 bytes e o Mcafee Viruscan usou 14 bytes. Se apenas em 1 destes bytes usados como assinatura for modificado, o vírus não será detectado e isto é um risco ao usuário, mas é algo praticamente impossível de ser evitado. Por isso é necessário que seja mantida a atualização constante das bases dos antivírus, pois somente conseguirão detectar novas variantes após o cadastro de novas assinaturas. Acompanhe a modificação de uma assinatura e a ameaça que isto poderá gerar:

Esta é a parte do vírus Kode4 usada como assinaturas (de 0 a 24 bytes) que foi disassemblada. É um código bastante simples onde poderemos modificar alguns bytes sem comprometer o funcionamento do vírus. Neste caso, vamos modificar a linha marcada de azul:

Repare onde está definida esta seqüência de bytes dentro do vírus:


Dentro do arquivo, os bytes são gravados invertidos, portanto a seqüência BF "0201" será convertida para BF "0102" em memória. Iremos então modificar a seqüência "0201" para "0101", ou seja, apenas 1 byte (repare o byte modificado, marcado de azul):


Concluindo esta pequena série de matérias sobre assinaturas de vírus, vamos aos resultados e algumas conclusões, como por exemplo por que alguns antivírus encontram alguns vírus outros não. O problema, como você já deve ter percebido, está no reconhecimento da assunatura e suas variantes.

Resultados
Vamos executar os antivírus e verificar os resultados após a modificação da assinatura:

Porque somente o antivírus GeCad RAV encontrou o vírus após a modificação do vírus?

Porque a modificação realizada no offset 7 foi feita somente na posição de checagem do Kaspersky AVP e do Mcafee Viruscan, o que não faz diferença para o antivírus RAV:

Mas se a alteração tivesse sido feita nas posições de 9 a 13, simplesmente nenhum dos antivírus teriam encontrado o vírus e ele seria identificado somente após ter gerado algumas infecções e mesmo assim somente depois que algum exemplar conseguisse chegar a alguma empresa de antivírus. Ele seria classificado como uma nova variante, pois seria necessário gerar uma nova assinatura para identifica-lo.

Links relacionados:

• Site de Marcos Velasco, autor da matéria