ほとんどのマルウェア開発者は、子孫をできるだけ長くユーザーと「ライブ」にすることに関心があることは誰にとっても明らかです。 Malwaraがコンピューター上にいる時間が長いほど、獲得できるお金も多くなります。 それらに対する主な脅威はアンチウイルスです。 ほとんどの場合、ウイルス作成者は暗号化機能を使用して、マルウェアをウイルス対策による署名/ヒューリスティック検出から保護します。 暗号市場は非常に広範であり、暗号が需要があるため、多くのオファーがあります。
![画像](https://habrastorage.org/getpro/habr/post_images/2dc/26c/a1c/2dc26ca1cc483ef2885b518c5d5472d2.jpg)
![画像](https://habrastorage.org/getpro/habr/post_images/36d/4f3/97e/36d4f397ef584730bdb4e35793cfb16d.jpg)
ファイルが暗号で「カバー」された後、ウイルス作成者はウイルス対策でファイルをチェックします(そうでない場合は、すでに検出されているものをリリースできます)。 たくさんのAVエンジンを使用してファイルを一度にスキャンできるサービスがあることは誰もが知っています。 たとえば、 VirusTotalやJotti Virscanなど 。
![画像](https://habrastorage.org/getpro/habr/post_images/0f7/475/a67/0f7475a67b9ff1e97c258693e5f5753c.jpg)
VirusTotal
![画像](https://habrastorage.org/getpro/habr/post_images/c41/e07/30d/c41e0730d198a900fd0d75973dea5197.jpg)
ヨッティ・ヴィルスカン
すべてが便利です-多くのエンジン、マイナーな「ブレーキ」など。 しかし、ブロッカーなどの次のバージョンをリリースしようとしている人にとって、これらのサービスには小さなマイナス点があります。これらの企業は、スキャンしたファイルをAVオフィスに送信する場合があります。
![画像](https://habrastorage.org/getpro/habr/post_images/df3/550/054/df3550054219978b49a0a9baa3702ca7.jpg)
Jotti Virscanの場合:「 ここにアップロードされたファイルは、ウイルス対策会社と共有されるため、ウイルス対策製品の検出精度を向上させることができます。詳細については、プライバシーポリシーをご覧ください。ファイルを配布しない場合は、弊社に送信されたファイルは、製品の検出レベルを向上させるためにウイルス対策会社に送信できます。これについては、プライバシーポリシーで詳細を確認してください。ファイルを第三者に転送したくない場合は、すべて送信します”)。
VirusTotal FAQから:「 ウイルス対策エンジンの提供と引き換えに、製品によって検出されず、少なくとも1つの他のウイルス対策によって検出されたVirusTotalに送信されたすべてのファイルと、対応するVirusTotalレポートを受け取ります。 」(「ウイルス対策カーネルを提供する代わりに、VirusTotalに送信され、製品では検出されないが、少なくとも1つの他のベンダーと対応するレポートで検出されるすべてのファイルを受信します))
マルウェア作成者のファイルは分析のためにAV企業に送信されるため、これがマルウェア作成者を喜ばせてはならないと想定するのは論理的です。 そのため、VirusTotalと同様のサービスを提供する企業のサービスを使用しますが、同時に匿名性も確保しています。 (少なくとも、これはスキャナーを備えたサイトで書かれていますが、確実にはわかりません:))。
たとえば、次のようなサービスがあります。
![画像](https://habrastorage.org/getpro/habr/post_images/f90/a36/bcd/f90a36bcdd26c9fa99af864f6b89e458.jpg)
フォーラムの1つで、このオフィスでできることのリストを見つけました。
「利用可能:
-メール\ jabberによる通知によるスケジュールされたチェック
-Webmoneyを介したアカウントの自動登録および自動補充
AVチェッカーには、最新バージョンのウイルス対策ソフトウェアとその最新の更新プログラムが含まれています。
郵便で、またはあるベンダーが別のビルドを検出したという別の場所に通知を受け取るのに十分便利です。
匿名ファイルスキャンサービスを提供する他の2つのオフィス。
![画像](https://habrastorage.org/getpro/habr/post_images/671/1c8/4e2/6711c84e2e1f6c878c25dca48f4a8615.jpg)
![画像](https://habrastorage.org/getpro/habr/post_images/d36/7ad/f76/d367adf7652be3be35364ee087f9d946.jpg)
もちろん、もっとたくさんありますが、これらすべてのサービスが顧客のニーズを非常に迅速に満たすことは注目に値します。 また、サポート、サービスを操作するためのAPI、GUIクライアントなどがあります。これは、市場に競争があり、誰もがクライアントのために戦っていることを示唆しています。
ただし、このようなサービスにはすべてマイナスの意味があります-個別のファイルまたは個別のドメインのみをスキャンします。 これは、最も一般的なコンピューター感染スキームとはまったく対応していません。 最新のアンチウイルスはすべてマルチレベル保護を備えています。 そのため、多くの場合、ファイル自体の検証に到達しないこともあります。 ドライブバイ攻撃スキームの場合、アンチウイルスは、リダイレクト、悪のiframeまたはスクリプト、またはエクスプロイト自体が実行されるドメインの1つをブロックできます。 Malvaraがユーザーのコンピューターに到達して起動した場合、サンドボックスまたはプロアクティブな防御は既にここで機能し、実行段階でプログラムの動作を分析します。 私が見たこれらのサービスでは、プロアクティブな防御による検出テストに関する情報はどこにもありませんでした-それは理解できる-実装が困難です。 クラウドは、評判によってファイルをブロックする可能性があることを忘れないでください。 したがって、攻撃者のすべての努力にもかかわらず、多くの実際の状況は失われず、単一のオブジェクトのチェックが署名/ヒューリスティックスキャナーになります:)