一群桑尼奥大学的研究人员最近演示了制造一款绕开反恶意软件的恶意软件是多么的简单。

要想“写”一个能够绕开反恶意软件检测和其他防护软件的新恶意软件并不容易，但是“制造”一款很容易。“写”与“制造”的差异很微妙。后者并不需要写任何代码，只需要按下一个键。

意大利研究员开发一款恶意软件清洗机

桑尼奥大学（意大利） Iswatlab实验室的研究人员值制造了一个引擎可以为手机恶意软件提供八种变换形式：虽然代码结构变了，但恶意行为的功能不变。这款工具叫作“Malware WashingMachine”（恶意软件清洗机）。

研究人员为安卓恶意软件开发的这款变形引擎可以提供下面8种变形：

1. 拆卸&重新组装
2. 重新打包
3. 改变包名称
4. 重新命名标识符
5. 数据编码
6. 调用指针
7. 代码重新排序
8. 插入花指令
9. 混合转换

The Iswatlab研究人员使用“恶意软件清洗机”测试了57款知名的商业反恶意软件解决方案。

研究人员在5560款恶意软件上使用了它们制造的引擎，这些恶意软件都曾被上述57种反恶意软件识别并定义为恶意软件。变形之后，绝大多数的恶意软件避开了这些反恶意软件的识别

“ 那些基于签名的监测算法在手机环境下有效吗？我们开发了一个可以对安卓应用的代码做变换的框架。然后，我们对一个真实的恶意软件做了变形，接着我们把它提交到了www.virustotal.com以测试变形前和变形后的恶意行为（每一个样本我们都提交了变形前和变形后过程）” 报道中介绍道。

看看它清洗的效果

测试中，只有极少一部分恶意软件在变形之后依然被一些反恶意软件识别出来。

在下面的表中，第一列代表反恶意软件，第二列是变形前正确识别的恶意软件个数，第三列（红字）是变形后正确识别的个数。

结果很令人吃惊，这些反恶意软件识别不出这些变形后的恶意软件（在变形之前识别得出）。

这次测试引发了大家对限制制造恶意软的能力的讨论。Iswatlab的研究人员一行新代码都没有写，只是改了改一些已知的有名的恶意软件。

总结一下，制造一个不能被识别出的新恶意软件，只需要几分钟——找一个老的，然后放进“恶意软件清洗机”！