Come gli autori di malware aggirano il tuo antivirus

Allo scopo di assicurarsi che il proprio malware non finisca nelle mani di vendor e ricercatori, i cybercriminali sono impegnati a sperimentare diversi processi di Quality Assurance (QA) il cui obiettivo è quello di incrementare la probabilità che le loro campagne riescano a propagarsi con successo evitando di essere intercettate.

Alcune di queste tecniche comprendono varie interfacce per la scansione antivirus offline attraverso le quali i cybercriminali si accertano che i loro programmi illeciti non vengano rilevati prima del lancio “ufficiale” delle relative campagne.
Disponibile fin dal 2006, il tool Kim’s Multiple Antivirus Scanner viene ancora attivamente utilizzato dai cybercriminali per eseguire una scansione preventiva con le tecniche basate sulle firme offerte da diversi produttori di antivirus.
Analizziamo il funzionamento di Kim’s Multiple Antivirus Scanner per capire la sua importanza nell’arsenale dei cybercriminali che diffondono malware a scopo di profitto.
Di seguito alcune schermate dell’interfaccia di Kim’s Multiple Antivirus Scanner:



Il tool supporta attualmente i seguenti antivirus:
  • Asquared
  • Avast
  • AVG
  • Avira
  • BitDefender
  • ClamWin
  • Dr. Web
  • eTrust
  • FProt
  • Ikarus
  • KAV
  • McAfee
  • NOD32
  • Norman
  • Norton
  • Panda
  • TrendMicro
  • Quick Heal
  • Solo
  • Sophos
  • VBA32
  • VirusBuster
Webroot SecureAnywhere non è presente nell’elenco. Per fortuna l’impiego di tool come Kim’s Multiple Antivirus Scanner non prende in considerazione le strategie di protezione a più layer introdotte all’interno di applicazioni di successo come ad esempio Webroot SecureAnywhere, in particolare le tecniche di blocco basate sul comportamento che sono indipendenti dalle firme.
Quello che vale la pena notare è come i cybercriminali siano riusciti a realizzare questa applicazione usando versioni piratate degli scanner antivirus sopra elencati. Kim’s Multiple Antivirus Scanner può modificare facilmente il livello di sensibilità dei motori euristici dei software antivirus, quando l’obiettivo primario è quello di sottoporre un eseguibile pericoloso a scansione preventiva rispetto ai database più aggiornati di tutti i vendor in modo da assicurarne la capacità di aggirare tutti i controlli basati sulle firme.

(Tratto dal blog di Webroot)