Malware ukrywa się w procesach myszy
Twórcy złośliwego oprogramowania stosują coraz bardziej wyrafinowane sztuczki celem uniknięcia wykrycia malware przez automatyczne systemy analizy zagrożeń. Firma Symantec informuje, że znalazła trojana, który przywiązuje swój złośliwy kod do procedury obsługi zdarzeń myszy. Ponieważ systemy analizy zagrożeń najczęściej pomijają tę sferę, kod programu pozostanie nieaktywny, a malware niewykryte.
Według danych Symantec, codziennie powstaje ok. milion nowych wariantów malware. Wobec tak ogromnej liczby danych do analizy, początkowe prace przy tworzeniu sygnatur wirusów pełnią zautomatyzowane systemy wykrywania zagrożeń. Tylko szczególnie podejrzane przypadki są badane przez ludzi.
Najprostszym sposobem unikania detekcji jest opóźnienie działania, ponieważ zwykle takie analizy są przerywane po określonym czasie. Jak zauważył Symantec, często podejrzane programy rozpakowują swój złośliwy kod po 5 minutach, a następnie czekają kolejne 20 minut na uruchomienie zadania, po czym dopiero po upływie kolejnych 20 minut zaczynają swoją działalność w sieci. Dzięki temu program ma szansę pozostawania niezauważonym.
Najsprytniejsze realizacje malware używają funkcji API systemu Windows SetWindowsHookExA aby wstrzyknąć się do funkcji obsługi wiadomości, która odpowiada za zdarzenia procesu myszy. Prędzej czy później, użytkownik kliknie "nie tam, gdzie trzeba", po czym nieświadomie włączy malware. Niestety, na poziomie systemowej analizy zagrożeń, trojan ma szansę pozostania niezauważonym.
