The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Detecting Method of Polymorphic Virus Using Advanced Virtual Emulator

개선된 가상 에뮬레이터를 이용한 다형성 바이러스 탐지 방법

  • 김두현 (조선대학교 전자계산학과 대학원) ;
  • 백동현 ((주)하우리 기술연구소) ;
  • 김판구 (조선대학교 컴퓨터공학부)
  • Published : 2002.04.01
Download PDF
⟨ Previous Next ⟩

Abstract

Current vaccine program which scans virus code patterns has a difficult to detect the encrypted viruses or polymorphic viruses. The decryption part of polymorphic virus appears to be different every time it replicates. We must monitor the behavior of the decryption code which decrypts the body of the virus in order to detect these kinds of viruses. Specialty, it is not easy for the existing methods to detect the virus if the virus writer has modified the loop count of execution intentionally. In this paper, we propose an advanced emulator using a new algorithm so as to detect various kinds of polymorphic viruses. As a result of experiment using advanced emulator, we found that our proposed method has improved the virus detecting rate about 2%. In addition, our proposed system has a merit that it runs on not only MS-Windows but also Linux, and Unix-like Platform.

프로그램 내 바이러스 코드 패턴을 탐색하는 현재의 백신 프로그램은 암호화 바이러스나, 다형성 바이러스를 탐지하는 데 어려움이 있다. 다형성 바이러스는 암호를 해제하는 코드 부분이 감염된 때마다 변형된다. 그래서, 이 바이러스를 탐지하기 위해서는 바이러스 본체를 해제하는 암호해제 코드의 행동을 추적해보아야 하며, 코드 분석시 많은 시간이 소요되는 것이 일반적이다. 특히, 바이러스 제작자가 바이러스 암호 해제 코드의 반복 실행 수를 늘려 놓았다면 기존의 방식으로는 이를 발견하기 어렵다. 본 논문에서는 이러한 다형성 바이러스를 탐지하기 위해서 개선된 알고리즘을 이용한 에뮬레이터를 제안한다. 이론 이용하여 다형성 바이러스를 탐지해본 결과, 기존의 에뮬레이터에 비해 다형성 바이러스 진단율이 약 2%정도 향상되었다. 또한, 제안된 다형성 바이러스 진단 시스템은 MS-Windows 뿐만 아니라 Linux 등 Unix 계열 플랫폼에서도 동작할 수 있다는 장점이 있다.

Keywords

References

  1. Alan Solomon, 'Mechanisms of Stealth,' Proc. 5th Int. Comp. Virus and Sec. Conf. New York, pp. 232-238, March, 1992
  2. Andy Nikishin, Mike Pavluschick, ' pOLEmorphism,' Virus Bulletin, pp. 14-15, June, 1993
  3. Eugene Kaspersky, Vadim Bogdanov, 'Strange-A New Way to Hide,' Virus Bulletin, pp. 12-13, April, 1993
  4. Jan Hruska, Computer Viruses and Anti-virus Warefare, Ellis Horwood, 1990
  5. Koray Oner, Luiz A. Barroso, Sasan Iman, Jaeheon Jeong, Krishnan Ramamurthy and Michel Dubois, 'The design of RPM an FPGA-based multiprocessor emulator,' Proc. of the third International ACM symposium on Field-program-mable gate arrays, pp. 60-66, 1995
  6. Marko Helenius, 'Automatic and Controlled Virus Code Execution System,' Proc. of eicar Conference 95, EICAR, 1995
  7. Peter Szor, 'Attacks on Win32 - Part II,' Proc. of VB2000, pp.111, 2000
  8. Vesselin Bontchev, 'Future Trends in Virus Writing, Anti-Virus Papers Online,' Virus Bulletin, 2001
  9. 권석철, 주영흠, 김판구, '컴퓨터 바이러스 완전소탕', 크라운 출판사, 1997
  10. 안철수, '바이러스 분석과 백신 제작', 정보시대, 1995