Was ist ein polymorphes Virus?
Es gibt mehrere Ähnlichkeiten zwischen biologischen Viren und Computerviren. Während biologische Viren Zellen infizieren, um zu überleben und sich zu verbreiten, nutzen Computerviren Dateien im System eines Computers, um zu gedeihen und sich auszubreiten. Beide Virustypen können auch den Code ihres Wirts manipulieren und beschädigen, um Kopien von sich selbst zu erstellen.
Eine Untergruppe von Computerviren, die so genannten polymorphen Viren, trägt ein weiteres Merkmal ihres biologischen Pendants: die Mutation. Denken Sie daran, wie häufig das Grippevirus mutiert oder wie die wachsende Zahl neuer Coronavirus-Varianten - die Veränderungen helfen den Krankheiten manchmal, biologische Abwehrkräfte zu umgehen. Ähnlich mutieren polymorphe Viren, um ihren Code in der Regel zu ändern, während sie ihre Kernfunktion beibehalten. Der Unterschied zwischen einem mutierenden biologischen Virus und einem polymorphen PC-Virus besteht darin, dass erstere auf natürliche Weise mutieren, während letztere jemand mit Polymorphie programmiert.
Was macht ein polymorphes Virus?
Wie ein reguläres Computervirus beschädigt ein polymorphes Virus Daten und verlangsamt Systemressourcen, was manchmal zu Computerfehlern wie Blue Screen Errors führt. Alle Viren, ob polymorph oder regulär, benötigen Wirtprogramme, Benutzerinteraktionen um zwischen Systemen zu wandern, und sie fügen entweder Stücke ihres bösartigen Codes in Wirtdateien ein oder ersetzen sie vollständig durch schädliche Kopien. Wo polymorphe Viren sich abheben, ist, dass sie einen polymorphen Motor verwenden, um ihren Code zu verbergen, meist durch Kryptographie.
Der polymorphe Motor, auch bekannt als Mutationsengine, ändert den Entschlüsselungsprozess der Malware jedes Mal, wenn sie sich repliziert, was es konventioneller Antivirensoftware erschwert, ihren neuen Zustand zu identifizieren. Für ein Filmbeispiel, denken Sie an ein polymorphes Virus als den T-1000 aus Terminator 2, das seine Gestalt verändert, um seine Identität zu verbergen, während es seine Kernfunktion nie verliert.
Polymorpher Virus vs. polymorphe Malware
Wenn Leute über polymorphe Viren sprechen, meinen sie oft polymorphe Malware. Um das besser zu verstehen, müssen Sie den Unterschied zwischen Virus- und Malwareinfektionen in der IT kennen. Kurz gesagt, ein Virus ist nur ein Typ von Malware. Andere Arten von Malware, die Mutationsengines nutzen können, um Antivirustechnologie zu umgehen, sind Würmer, Trojaner, Bots, Keylogger und Ransomware. Ein Beispiel für polymorphe Malware wie Emotet ist ein Banking-Trojaner, der sensible Informationen stiehlt und gleichzeitig Sicherheitswerkzeuge in die Irre führt, um sich zu verstecken.
Ein weiteres Beispiel für polymorphe Malware ist Win32/VirLock-Ransomware. Win32/VirLock sperrt nicht nur Bildschirme und verschlüsselt Daten, sondern ändert seine Struktur für jede infizierte Datei und Ausführung. VirLock ist einer der ersten Ransomware-Varianten, die Polymorphismus nutzen.
Was ist ein polymorpher Wurm?
Ein polymorpher Wurm ist eine Art Computerwurm, der schwer zu erkennen ist, weil er seine Struktur verändert, während er sich verbreitet. Zusätzlich kann ein polymorpher Wurm auch seine schädliche Nutzlast ändern, um Sicherheitssoftware zu verhindern, ihn zu stoppen. Der Storm Worm ist ein Beispiel für eine adaptive Malware, bei der die konventionelle Antivirensoftware Schwierigkeiten hatte, sie zu neutralisieren, weil sie ihre Signatur änderte. Der polymorphe Packer des Wurms hatte viele Variationen, die es ihm ermöglichten, Signaturen so schnell wie alle 10 bis 30 Minuten zu ändern. Die Bedrohungsvermeidungsfähigkeiten von Storm waren für Cybersicherheitsspezialisten frustrierend, da er Hintertüren in Computern öffnete und schnell große Botnets bildete.
Was ist der Unterschied zwischen polymorpher und metamorpher Malware?
Obwohl polymorphe Malware ihren ursprünglichen Code verschlüsselt, um nicht erkannt zu werden, ändert sie nicht ihren Code. Aber metamorphe Malware ist gefährlicher, da sie ihren eigenen Code ändert. Wenn Malware mit metamorphen Fähigkeiten einen Host infiziert, kann die nächste Version völlig anders aussehen.
Kann ein polymorpher Virus erkannt werden?
Ein polymorphes Virus oder jede bösartige Software, die eine Mutationsengine verwendet, macht es herkömmlichen Antiviren-Tools schwer, erkannt zu werden, da es nach der Infektion seinen Zustand ändert. Wie Sie wahrscheinlich wissen, verwendet typische Sicherheitssoftware signaturbasierte Techniken. Wenn polymorphe Malware ihre Signatur ändert, versagt die Antivirensoftware, die Signaturerkennung nutzt.
Allerdings kann fortschrittliche Antivirensoftware, die heuristische Analysen nutzt, um Anti-Malware-Technologie zu unterstützen, aufkommende Bedrohungen wie polymorphe Malware erkennen. Was bedeutet "Heuristik"? Forscher haben den Begriff erfunden, um ein Anti-Malware-Programm zu beschreiben, das die Struktur, Programmierlogik und Daten potenzieller Bedrohungen auf unbrauchbaren Code, ungewöhnliche Anweisungen und Bedrohungsverhalten untersucht.
Wie andere Cyberbedrohungen verbreitet sich polymorphe Malware über Phishing-E-Mails, bösartige Websites und gefährliche Links. Sie könnte auch Schwachstellen in Betriebssystemen und Programmen ausnutzen. Um wandelbare Bedrohungen zu verhindern, ist eine umfassende Abwehrstrategie erforderlich. Nutzen Sie proaktive Antiviren-Tools, halten Sie Ihre Software regelmäßig mit Patches aktuell und vermeiden Sie jede Infektionsquelle, die ein polymorphes Virus verwenden könnte. Führungskräfte, die polymorphe Bedrohungen stoppen wollen, sollten in Endpoint Protection investieren, die maschinelles Lernen und künstliche Intelligenz einsetzt, um feindlichen Code zu erkennen und zu verhindern.