da Demon@ » gio apr 17, 2008 9:02 pm
Come tu saprai, beagle è compresso con Themida, ma esisto molti file legittimi compressi con la stessa tecnologia che si avvale di un sistema proprietario chiamato "SecureEngine".
Ci sono una serie di funzioni all'interno di Themida SecureEngine che descrivono le tecniche utilizzate come “ CodeEncrypt ”, “ DebuggerGuard ”, “ DynamicEncryption ”SmartMetamorph"; l'unica stringa nei file infetti che può essere rilevato è "themida" solo alcuni antivirus usano questa tecnica per combattere beagle (TheHacker-ClamAV).
Themida aumenterà la dimensione del file di almeno 600Kb. Ciò è dovuto al codice di protezione che viene aggiunto al file eseguibile, al fine di scoraggiare ulteriori analisi.
Il file "maligno" deve essere rilevato prima che sia avviato e solo con l'aggiornamento delle definizioni anti virali si risolve per ora il problema, e antivir ci mette con tale worm non poco tempo.
Te ne accorgerai alla fine di questa settimana quando beagle muterà ancora
Ciao
Demon@