Oligomorfismo (malware)

En el contexto del malware, el oligomorfismo es una técnica usada para intentar evadir la detección. Consiste en un paso más avanzado que el cifrado de parte del código. Al malware que usa esta técnica se le llama malware oligomórfico.

Cuando usamos cifrado en el malware tenemos una parte cifrada (contiene la carga maliciosa) y un descifrador/cargador que carga en memoria la parte cifrada, la descifra en memoria y la ejecuta. La clave para descifrar está explícita o implícitamente en el descifrador/cargador.^[1]

El oligomorfismo va más allá, tiene una colección de posibles diferentes descifradores/cargadores que son elegidos al azar por cada nueva víctima. De esta forma el código del descifrador/cargador no es el mismo en todos los casos. Esto dificulta un poco la detección del descifrador/cargador ya que en lugar de comprobar solo un descifrador/cargador, se tiene que comprobar todas las posibles formas que puede tener el descifrador/cargador (como mucho varios centenares^[2]).^[3]

El primer virus conocido oligomórfico era ”Whale”, un virus de DOS que fue presentado en 1990.^[3]

Referencias[editar]

↑ Malware Intrusion Detection. Morton G. Swimmer. página 24. Lulu.com. 5 de julio de 2005
↑ Malware Obfuscation Techniques: A Brief Survey. Ilsun You y Kangbin Yim . 2010 International Conference on Broadband, Wireless Computing, Communication and Applications
↑ ^a ^b Sistema de ofuscacion de malware para la evasion de NIDS. Roberto Carrasco de la Fuente et ali. Universidad Complutense de Madrid. Junio de 2013

Datos: Q7086831

[swimmer-1] Malware Intrusion Detection. Morton G. Swimmer. página 24. Lulu.com. 5 de julio de 2005

[2] Malware Obfuscation Techniques: A Brief Survey. Ilsun You y Kangbin Yim . 2010 International Conference on Broadband, Wireless Computing, Communication and Applications

[ucm-3] Sistema de ofuscacion de malware para la evasion de NIDS. Roberto Carrasco de la Fuente et ali. Universidad Complutense de Madrid. Junio de 2013

[1]

[2]

[3]