Virus polimorfo

I virus polimorfi mutano per cambiare il loro codice pur mantenendo la loro funzione principale.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per gli affari

Che cos'è un virus polimorfico?

Esistono diverse analogie tra i virus biologici e i virus informatici. Mentre i virus biologici invadono le cellule per sopravvivere e propagarsi, i virus informatici si appoggiano ai file del sistema di un computer per prosperare e diffondersi. Entrambi i tipi di virus possono anche manipolare e corrompere il codice dell'ospite per creare copie di se stessi.

Un sottoinsieme di virus informatici, chiamati virus polimorfi, presenta un'altra caratteristica dell'arsenale della loro controparte biologica: la mutazione. Basti pensare alla frequenza con cui muta il virus dell'influenza o al numero crescente di nuove varianti di coronavirus: le alterazioni a volte aiutano le malattie a eludere le difese biologiche. Allo stesso modo, i virus polimorfi mutano per cambiare il loro codice, pur mantenendo di solito la loro funzione principale. La differenza tra un virus biologico mutante e un virus polimorfico per PC è che il primo muta naturalmente, mentre il secondo viene programmato con il polimorfismo.  

Cosa fa un virus polimorfico?

Come un normale virus informatico, un virus polimorfico corrompe i dati e rallenta le risorse del sistema, causando talvolta malfunzionamenti del computer come errori di schermata blu. Tutti i virus, polimorfi o regolari, richiedono programmi host, l'azione dell'utente per spostarsi da un sistema all'altro e attaccano pezzi del loro codice dannoso ai file host o li sostituiscono interamente con copie dannose. I virus polimorfi sono in grado di utilizzare un motore polimorfico per nascondere il loro codice, di solito attraverso la crittografia.

Il motore polimorfico, noto anche come motore di mutazione, modifica la procedura di decodifica del malware ogni volta che si replica, rendendo il suo nuovo stato difficile da identificare per i software antivirus convenzionali. Per fare un esempio cinematografico, pensate a un virus polimorfico come il T-1000 di Terminator 2, che cambia forma per nascondere la sua identità senza mai perdere la sua funzione principale.

Virus polimorfi vs. malware polimorfi

Quando si parla di virus polimorfi, spesso si intende malware polimorfo. Per capirlo meglio, è necessario conoscere la differenza tra infezioni da virus e malware in informatica. In breve, un virus è solo un tipo di malware. Altri tipi di malware che possono utilizzare motori di mutazione per aggirare la tecnologia antivirus sono worm, trojan, bot, keylogger e ransomware. Ad esempio, un malware polimorfico come Emotet è un trojan bancario che ruba informazioni sensibili ingannando gli strumenti di cybersicurezza per nascondersi.  

Un altro esempio di malware polimorfico è il ransomware Win32/VirLock. Non solo Win32/VirLock blocca gli schermi dei computer e cripta i dati, ma altera la sua struttura per ogni file infetto e per ogni esecuzione. Virlock è uno dei primi ceppi di ransomware a utilizzare il polimorfismo.  

Che cos'è un worm polimorfico?

Un worm polimorfico è un tipo di worm informatico difficile da rilevare perché modifica la sua struttura durante la propagazione. Inoltre, un worm polimorfico può anche modificare il suo payload dannoso per impedire ai software di sicurezza di fermarlo. Il worm Storm è un esempio di malware adattivo che la tecnologia antivirus convenzionale ha faticato a correggere perché cambiava la sua firma. Il packer polimorfico del worm aveva molte varianti, che gli consentivano di modificare le firme a una velocità compresa tra 10 e 30 minuti. Le capacità di evasione delle minacce di Storm sono state frustranti per gli specialisti di cybersicurezza, perché ha aperto backdoor nei computer e ha formato facilmente botnet di grandi dimensioni.

Qual è la differenza tra malware polimorfo e metamorfico?

Anche se il malware polimorfico cripta il suo codice originale per impedirne il rilevamento, non cambia il suo codice. Il malware metamorfico è invece più pericoloso perché modifica il proprio codice. Quando un malware con capacità metamorfiche infetta un host, la successiva iterazione può apparire completamente diversa.  

È possibile individuare un virus polimorfico?

Un virus polimorfico o qualsiasi software dannoso che utilizza un motore di mutazione è difficile da rilevare per gli strumenti antivirus tradizionali, perché cambia il suo stato dopo l'infezione. Come probabilmente sapete, i tipici software di sicurezza utilizzano tecniche basate sulla firma. Quando il malware polimorfico cambia la sua firma, il software antivirus che utilizza il rilevamento delle firme non riesce a rilevare il virus.  

Tuttavia, i software antivirus avanzati che utilizzano l'analisi euristica per alimentare la tecnologia antimalware sono in grado di rilevare minacce emergenti come il malware polimorfico. Che cosa significa "euristica"? I ricercatori hanno inventato questo termine per descrivere un programma anti-malware che esamina la struttura, la logica di programmazione e i dati di una potenziale minaccia alla ricerca di codice spazzatura, istruzioni insolite e comportamenti pericolosi.

Come altre minacce informatiche, il malware polimorfico si diffonde attraverso e-mail di phishing, siti web dannosi e link pericolosi. Può anche sfruttare le falle dei sistemi operativi e dei programmi. La prevenzione delle minacce trasmissive richiede una strategia di difesa completa. Utilizzate strumenti antivirus proattivi, applicate regolarmente le patch al vostro software e tenetevi alla larga da qualsiasi vettore di infezione che un virus polimorfico possa utilizzare. I responsabili delle organizzazioni che desiderano bloccare le minacce polimorfiche dovrebbero considerare di investire in Endpoint Protection che utilizza l'apprendimento automatico e l'intelligenza artificiale per riconoscere e prevenire il codice ostile.