E'una costante corsa contro il tempo:l'obbiettivo delle aziende di sicurezza è riconoscere prima possibile i nuovi malware,mettendo a disposizione le signature per le versioni note.Gli autori del malware controbattono con cicli sempre più rapidi di pubblicazione.E adesso hanno a disposizione anche una nuova ed efficace arma:i tool che modificano i malware già noti con una semplice pressione di un pulsante,impedendo agli antivirus di poterli individuare immediatamente.Prima,se un autore di malware voleva essere assolutamente sicuro che la sua creatura non venisse riconosciuta,doveva caricarla su pagine web come jotti o VirusTotal.Qui diversi antivirus tentano di scoprire il malware.Se il virus veniva riconosciuto,solitamente veniva utilizzato un tool che compattava il tutto in un eseguibile il quale,non solo riduceva le dimensioni del software dannoso,ma ne cambiava anche immediatamente la signature.Grazie all'opzione"Non trasmettere il sample",l'autore del virus poteva essere sicuro che il nuovo malware non sarebbe stato trasmesso ai produttori degli antivirus,ancora prima che avesse avuto la possibilità di utilizzarlo...cose da pazzi!?!Dal 3 gennaio 2008 il sito VirusTotal non offre più questa opzione,dietro richiesta delle aziende produttrici di software di sicurezza.La conseguente lacuna però è stata immediatamente colmata da nuovi tool, programmi contro gli antivirus,chiamati kims e AV-Fixer,controllano non solo tutti i motori antivirus comuni,ma applicano anche con estrema rapidità le modifiche necessarie per impedire il riconoscimento della definizione del virus.

Contromisure:euristica,analisi del comportamento e Sandbox

Fortunatamente per le potenziali vittime dei virus,gli antivirus possono essere ancora utilizzati,tuttavia formano ormai solo una parte del campo della sicurezza.Già da tempo,gli scanner con metodi euristici sono in grado di riconoscere i virus,anche in presenza di minimi cambiamenti.Relativamete nuovo è invece l'uso del sistema di analisi basato sul comportamento:i malware non vengono più giudicati in base al loro aspetto esterno,ma alle loro azioni.Tuttavia,questa tecnologia è ancora agli inizi.Attualmente,le Sandbox vengono utilizzate solo dagli esperti,ma in futuro anche le suite di sicurezza saranno in grado di eseguire un codice sconosciuto non sul sistema bensì in un ambiente virtuale,corrospondente all'immagine speculare di quello reale.Se gli utenti o gli antivirus si accorgeranno che si tratta di un malware,sarà possibile annullare in pochi secondi tutte le modifiche.

INFO: http://pandalabs.pandasecurity.com

Cya