Onderzoekers aan de University of Texas hebben malware samengeraapt van verschillende softwarecodes die daardoor niet worden opgemerkt door virusscanners. Dit soort in elkaar gevlochten malware bestaat al langer, maar in het verleden merkten beveiligingsscanners deze knutselpakketten op omdat ze nog steeds herkenbare binaries deelden met malware die wel werd tegengehouden.

Code knippen en plakken

Informaticawetenschappers Vishwath Mohan en Kevin Hamlen noemen hun bouwpakketje Frankenstein en publiceerden hun bevindingen op een Usenix-presentatie eerder deze maand. “Frankenstein gebruikt geen metamorphische engine, maar creëert mutanten door instructies van niet-malafide programma's te gebruiken die als goedaardig worden geclassificeerd", schrijven de wetenschappers in een onderzoeksschrift (PDF).

Door blokken goedaardige code te knippen en plakken creëren de makers een kwaadaardig programma dat onherkenbaar blijft en snel kan muteren. De onderzoekers wijzen erop dat vooral beveiligingssoftware dat programma's whitelist op basis van bepaalde features gefopt zullen worden door Frankenstein.

Nieuwe besmetting, nieuwe code

De malware is bijzonder adaptief, omdat het steeds andere instructiesets gebruikt. Bij elke infectie kijkt Frankenstein naar welke processen draaien en vormt van blokken van deze programma's een stukje malafide software. De malware camoufleert zich zo voor virusscanners en muteert razendsnel bij besmetting tussen computers.

Mohan en Hamlen zetten het onderzoek voort in de hoop een interessante nieuwe cyberaanvalsmethodiek te maken. Ze pleiten voor verdedigende tactieken die meer kijken naar de bedoeling van code in plaats van syntactische overeenkomsten met bekende programma's.