Pada tulisan sebelumnya kita telah mengenal tentang polymorphic dan metamorphic malware. Untuk menghindari deteksi anti virus, metamorphic malware dapat melakukan mutasi (merubah dirinya). Ada berbagai macam teknik yang digunakan untuk melakukan mutasi. Diantaranya adalah Dead-Code Insertion.

Teknik Dead-Code Insertion dilakukan dengan menambah beberapa instruksi pada code malware. Code yang ditambahkan ini tidak merubah fungsi yang dijalankan. Sebenarnya kode yang ditambahkan ini secara fungsionalitas tidak efektif, tapi digunakan untuk merubah signature malware. Teknik ini akan menyulitkan antivirus yang menggunakan teknik deteksi signature based.

Teknik ini disebut juga garbage code insertion. Contoh instruksi yang digunakan adalah NOP (No Operation). Contoh beberapa instruksi yang digunakan

Instruksi-instruksi diatas tidak akan merubah nilai register. Contoh lainnya adalah penulis malware memasukkan sebuah instruksi yang kemudian diikuti dengan instruksi yang membatalkan instruksi sebelumnya. Contoh:

push cx    yg diikuti dengan    pop cx

inc ax       yg diikuti dengan    sub ax, 1

Cara lainnya adalah dengan menambahkan instruksi-instruksi yang tidak akan merubah fungsi dari malware. Contohnya dapat dilihat pada malware Win32.evol. Bagian kode asli sebelum mutasi sebagai berikut:

Setelah ditambahkan dead code, terlihat kode menjadi berbeda, signaturenya juga beda. Tapi sesungguhnya fungsi yang dijalankan malware tetap sama. Setelah bermutasi, antivirus dengan teknik deteksi signature based akan mengalami kesulitan mendeteksi malware ini.

Referensi: