Simple Polymorphic Worm

Assalamualaikum..

Beberapa hari lepas saya ada menerima satu sample worm yang bernama “J3MbataN_K4HaYan”. Seperti biasa, selepas terima sample, saya terus membuat statik signature (MD5) dan mengujinya.

Bila diuji, saya dapati ada duplikasi worm ini tidak dapat dikesan(detect) oleh GVR. Saya terus membuka hexeditor dan membezakan kedua-dua sample, yang dapat dikesan dan yang tak dapat dikesan. Gambar dibawah menunjukkan result perbezaan:

Daripada gambar tersebut, kita boleh lihat hanya satu bit sahaja yang berubah. Tapi ia membuatkan enjin pengesan yang menggunakan statik signature seperti Md5, CRC32, SHA-1, tidak dapat mengesan worm ini. Seperti mana yang anda tahu, satu bit sahaja yang berubah boleh merubah nilai Hash.

Oleh kerana itu, saya membuat signature untuk enjin kedua GVR dan worm jenis ini tidak akan terlepas lagi.

Saya sudah beberapa kali mendapat sample malware yang mengunakan teknik polymorphic, tapi sample yang ini adalah contoh teknik polymorphic yang cukup senang untuk melepasi (bypass) enjin detection jenis statik.

Walaupun teknik polymorphic jenis ini mudah untuk diaturcarakan, tapi masih banyak malware yang masih tidak menggunakan teknik ini. Jadi, Enjin pengesan statik masih relevan. Salah satu sebab lainnya adalah enjin ini laju.

p/s: Jika ada kesilapan teori  atau apa sahaja mengenai artikel ini, sila laporkan pada saya. Kerana artikel ini ditulis tanpa rujukan.