Hoy leo en este blog, un interesante artículo sobre una nueva técnica de ofuscación para evitar los detectores de malware.
La técnica, que utiliza JavaScript, funciona de la siguiente forma:
1. Consultar la URL donde se almacena el script malicioso.
2. Recuperar su propia función y agregar el string de la URL.
3. Computar el CRC de la función con la URL agregada.
4. Desencriptar el código encriptado en el cuerpo del script usando el CRC computado como clave.
5. Ejecutar el código desencriptado usando la función eval().
De esta forma, el malware no podrá desencriptarse si la función está alterada o la URL es incorrecta. Por esto, si el analizador de malware sólo tiene un ejemplo del script, sin saber desde dónde fué descargado, éste no podrá reconocer las rutinas del malware, dado que necesita de la URL para poder desencriptarlo. Incluso, si el script se coloca en otro lugar distinto al "correcto", éste no podrá ser desencriptado.
Etiquetas:
JavaScript,
malware,
news,
seguridad
Suscribirse a:
Enviar comentarios (Atom)
0 comentarios:
Publicar un comentario