Qu'est-ce qu'un virus polymorphe ?
Il existe plusieurs similitudes entre les virus biologiques et les virus informatiques. Alors que les virus biologiques envahissent les cellules pour survivre et se propager, les virus informatiques se greffent sur les fichiers d'un système informatique pour se développer et se propager. Les deux types de virus peuvent également manipuler et corrompre le code de leur hôte pour créer des copies d'eux-mêmes.
Un sous-ensemble de virus informatiques appelés virus polymorphes présente une autre caractéristique de l'arsenal de leurs homologues biologiques : la mutation. Il suffit de penser à la fréquence des mutations du virus de la grippe ou au nombre croissant de nouvelles variantes de coronavirus - les altérations permettent parfois aux maladies d'échapper aux défenses biologiques. De même, les virus polymorphes mutent pour modifier leur code tout en conservant leur fonction principale. La différence entre un virus biologique qui mute et un virus informatique polymorphe est que le premier mute naturellement tandis que le second est programmé par quelqu'un qui lui confère un caractère polymorphe.
Que fait un virus polymorphe ?
Comme un virus informatique classique, un virus polymorphe corrompt les données et ralentit les ressources du système, entraînant parfois des dysfonctionnements de l'ordinateur tels que des erreurs d'écran bleu. Tous les virus, qu'ils soient polymorphes ou ordinaires, ont besoin de programmes hôtes et de l'action de l'utilisateur pour se déplacer d'un système à l'autre, et ils attachent des morceaux de leur code malveillant aux fichiers hôtes ou les remplacent entièrement par des copies malveillantes. Les virus polymorphes améliorent leur jeu en utilisant un moteur polymorphe pour dissimuler leur code, généralement par le biais de la cryptographie.
Le moteur polymorphe, également connu sous le nom de moteur de mutation, modifie la procédure de décryptage du logiciel malveillant à chaque fois qu'il se réplique, ce qui rend son nouvel état difficile à identifier pour les logiciels antivirus classiques. Pour prendre un exemple cinématographique, imaginez un virus polymorphe comme le T-1000 de Terminator 2, qui se métamorphose pour cacher son identité sans jamais perdre sa fonction principale.
Virus polymorphe et logiciel malveillant polymorphe
Lorsque l'on parle de virus polymorphes, on parle souvent de malwares polymorphes. Pour mieux comprendre, il faut connaître la différence entre les virus et les malwares en informatique. En bref, un virus n'est qu'un type de logiciel malveillant. Les vers, les chevaux de Troie, les bots, les enregistreurs de frappe et les ransomwares sont d'autres types de malwares qui peuvent utiliser des moteurs de mutation pour contourner la technologie antivirus. Par exemple, un logiciel malveillant polymorphe comme Emotet est un cheval de Troie bancaire qui vole des informations sensibles tout en trompant les outils de cybersécurité pour se cacher.
Le ransomware Win32/VirLock est un autre exemple de logiciel malveillant polymorphe. Non seulement Win32/VirLock verrouille les écrans d'ordinateur et crypte les données, mais il modifie sa structure pour chaque fichier infecté et chaque exécution. Virlock est l'une des premières souches de ransomware à utiliser le polymorphisme.
Qu'est-ce qu'un ver polymorphe ?
Un ver polymorphe est un type de ver informatique difficile à détecter car il modifie sa structure au fur et à mesure de sa propagation. En outre, un ver polymorphe peut également modifier sa charge utile malveillante pour empêcher les logiciels de sécurité de l'arrêter. Le ver Storm est un exemple de logiciel malveillant adaptatif que la technologie antivirus conventionnelle a eu du mal à corriger parce qu'il modifiait sa signature. Le packer polymorphe du ver comportait de nombreuses variantes, ce qui lui permettait de modifier ses signatures toutes les 10 à 30 minutes. Les capacités d'évasion des menaces de Storm ont frustré les spécialistes de la cybersécurité, car il ouvrait des portes dérobées dans les ordinateurs et formait facilement de vastes réseaux de zombies.
Quelle est la différence entre les malwares polymorphes et métamorphes ?
Bien que les malwares polymorphes cryptent leur code d'origine pour éviter d'être détectés, ils ne modifient pas leur code. Les malwares métamorphiques sont plus dangereux car ils modifient leur propre code. Lorsqu'un logiciel malveillant doté de capacités de métamorphose infecte un hôte, l'itération suivante peut être complètement différente.
Peut-on détecter un virus polymorphe ?
Un virus polymorphe ou tout logiciel malveillant utilisant un moteur de mutation est difficile à détecter pour les outils antivirus traditionnels car il change d'état après l'infection. Comme vous le savez probablement, les logiciels de sécurité classiques utilisent des techniques basées sur les signatures. Lorsque les malwares polymorphes modifient leur signature, les logiciels antivirus qui utilisent la détection de signature ne sont pas à la hauteur.
Cependant, les logiciels antivirus avancés qui utilisent l'analyse heuristique pour alimenter la technologie anti-programmes malveillants peuvent détecter les menaces émergentes comme les programmes malveillants polymorphes. Que signifie le terme "heuristique" ? Les chercheurs ont inventé ce terme pour décrire un programme anti-programmes malveillants qui examine minutieusement la structure, la logique de programmation et les données d'une menace potentielle à la recherche de code indésirable, d'instructions inhabituelles et de comportements menaçants.
Comme d'autres cybermenaces, les malwares polymorphes se propagent par le biais de courriels d'hameçonnage, de sites web malveillants et de liens dangereux. Ils peuvent également tirer parti de failles dans les systèmes d'exploitation et les programmes. La prévention des menaces de transmutation nécessite une stratégie de défense complète. Utilisez des outils antivirus proactifs, corrigez régulièrement vos logiciels et évitez tout vecteur d'infection qu'un virus polymorphe pourrait utiliser. Les dirigeants d'organisations qui cherchent à stopper les menaces polymorphes devraient envisager d'investir dans Endpoint Protection qui utilise l'apprentissage automatique et l'intelligence artificielle pour reconnaître et empêcher le code hostile.