В последнее время вирусы используют полиморфное шифрование (точнее обфускацию) JS или PHP-кода при внедрении на страницу с целью сокрытия логики, исполняемой скриптом. Такой код сложно вовремя обнаружить сигнатурным методом, потому что он меняется от копии к копии (хотя некоторые фрагменты его можно описать регулярными выражениями в сигнатурной базе). Вот фрагменты некоторых инжекций подобного рода:
{{здесь фрагмент}}
Анализ подобного кода позволил выдвинуть гипотезу о его высокой энтропии и, соответственно, низкой избыточности, т.е. по сравнению с обычным JS или PHP-кодом обфусцированный код хаотичен.
Далее, используя алгоритм Лемпеля — Зива — Велча, был разработан эвристический анализатор (сравнение размера текста, сжатого с помощью указанного выше алгоритма, и исходного). Опытным путём установлено пороговое значение энтропии, превышение которого, позволяет считать код обфусцированным, то есть, потенциально вредоносным.
Этот эвристический анализатор включен в программу SiteProtect FULL.
Всего-навсего 14 страниц и полторы тысячи слов, в cms VE было 23 страницы, но там больше примитива, а тут - новшества!
