Криптор

by 0-day | Уязвимость 0-го дня
Криптор

Криптор - программа служащая для скрытия различного типа вирусов от антивирусов. Чтобы вирус попал к жертве ему необходимо еще пройти преграду - антивирус, который его заблокирует, в этом помогает криптор.

Принцип работы:

Посредством криптора шифруется оригинальный программный файл и в его начало записывается код, при запуске выполняющий расшифровку и выполнение зашифрованной программы. Самый простой пример — распространение вирусов или троянов в запароленных архивах, где антивирусная программа не может их обнаружить.

Недостатки:

Антивирусы добавляют в базы сигнатур сигнатуры исполняемого для расшифровки кода криптора. Это приводит к тому что, зашифрованные, например для уменьшения размера, распространённым криптором программы определяются как заражённые.

Типы:

semiFUD - расшифровывается как полу-приватный криптор, то есть криптор спрячет ваш файл, но не от всех антивирусов.

FUD - полностью приватный, само слово FUD значит Full Undetected - полностью не находимый, то есть криптор спрячет ваш файл от всех антивирусов потому что у него уникальный код, который еще не попал в базы данных антивирусных компаний.

Виды:

Stub - стабовый криптор состоит из двух программ - криптора и стаба. Стаб является отдельной программой, при крипте вирус связывается с кодом стаба, в результате творения антивирус распознает его как безопасный потому что такая связка ему не знакома, но стоит залить стаб криптора или криптованый таким криптором вирус на virustotal. com или другие не безопасные сервисы, как через несколько часов все файлы криптованные этим стабом будут детектится антивирусами.

Polymorph - полиморфный, уникальный тип крипторов, уникальность заключается в том что каждая последовательность крипта вируса - будет иметь уникальный код для каждого, вызов API и добавление разного кода команд в код делает его срок срок службы долгим, если автор творения перестанет его чистить то вскоре и он будет под детектом антивирусов.

November 13, 2018
by 0-day | Уязвимость 0-го дня