Вредоносные программы часто сжимаются различными способами упаковки, совмещенными с шифрованием содержимого файла для того, чтобы исключить обратную разработку программы и усложнить анализ поведения проактивными и эвристическими методами. Антивирусом детектируются результаты работы подозрительных упаковщиков — упакованные объекты. Существуют приемы борьбы с распаковкой: например, упаковщик может расшифровывать код не полностью, а лишь по мере исполнения, или, расшифровывать и запускать вредоносный объект целиком только в определенный день недели. Основными признаками, по которым дифференцируют поведения объектов подкласса «Подозрительные упаковщики», являются вид и количество упаковщиков, использованных при сжатии файла. К данному подклассу вредоносных программ относятся следующие поведения:
Многократно упакованные различными программами упаковки файловые объекты. Антивирусный продукт выдает рассматриваемый вердикт при обнаружении исполняемых файлов, упакованных одновременно тремя и более упаковщиками. =======================
SuspiciousPacker
Файловые объекты, сжатые упаковщиками, созданными специально для защиты вредоносного кода от детектирования антивирусными продуктами. =======================
RarePacker
Файловые объекты, сжатые различными редко встречающимися упаковщиками, например, реализовывающими какую-либо концептуальную идею. ======================= Вернуться к началу Источник