Polymorf virus

Polymorfe virussen muteren om hun code te veranderen met behoud van hun kernfunctie.

.st0{fill:#0D3ECC;} MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

Wat is een polymorf virus?

Er zijn verschillende overeenkomsten tussen biologische virussen en computervirussen. Terwijl biologische virussen cellen binnendringen om te overleven en zich te verspreiden, maken computervirussen gebruik van bestanden in een computersysteem om te gedijen en zich te verspreiden. Beide typen virussen kunnen ook de code van hun gastheer manipuleren en corrumperen om kopieën van zichzelf te maken.

Een subset van computervirussen die polymorfe virussen worden genoemd, heeft nog een kenmerk uit het arsenaal van hun biologische tegenhanger: mutatie. Denk maar aan hoe vaak het influenzavirus muteert of het groeiende aantal nieuwe varianten van het coronavirus - de wijzigingen helpen de ziekten soms om biologische afweer te omzeilen. Op dezelfde manier muteren polymorfe virussen om hun code te veranderen terwijl ze meestal hun kernfunctie behouden. Het verschil tussen een muterend biologisch virus en een polymorf PC-virus is dat het eerste op natuurlijke wijze muteert, terwijl iemand het laatste programmeert met polymorfisme.  

Wat doet een polymorf virus?

Net als een regulier computervirus beschadigt een polymorf virus gegevens en vertraagt het systeembronnen, wat soms leidt tot computerstoringen zoals blauwe schermfouten. Alle virussen, polymorf of regulier, hebben gastprogramma's en gebruikersacties nodig om van het ene naar het andere systeem te gaan, en hechten stukjes van hun kwaadaardige code aan gastbestanden of vervangen deze volledig door kwaadaardige kopieën. Waar polymorfe virussen hun spel opvoeren, is dat ze een polymorfe engine gebruiken om hun code te verbergen, meestal via cryptografie.

De polymorfe motor, ook wel mutatiemotor genoemd, wijzigt de decoderingsprocedure van de malware elke keer dat deze wordt gerepliceerd, waardoor de nieuwe staat moeilijk te identificeren is voor conventionele antivirussoftware. Voor een filmvoorbeeld: zie een polymorf virus als de T-1000 uit Terminator 2, die van gedaante verandert om zijn identiteit te verbergen maar nooit zijn kernfunctie verliest.

Polymorf virus vs. polymorfe malware

Als mensen het hebben over polymorfe virussen, bedoelen ze vaak polymorfe malware. Om dit beter te begrijpen, moet u het verschil kennen tussen virus- en malware-infecties in computers. Kort gezegd is een virus slechts één type malware. Andere soorten malware die mutatie-engines kunnen gebruiken om antivirustechnologie te omzeilen, zijn wormen, Trojaanse paarden, bots, keyloggers en ransomware. Een polymorfe malware zoals Emotet is bijvoorbeeld een banking Trojan die gevoelige informatie steelt terwijl hij cyberbeveiligingstools misleidt om zich te verbergen.  

Een ander voorbeeld van polymorfe malware is Win32/VirLock ransomware. Win32/VirLock vergrendelt niet alleen computerschermen en versleutelt gegevens, maar wijzigt ook de structuur voor elk geïnfecteerd bestand en elke uitvoering. Virlock is een van de eerste ransomware die polymorfisme gebruikt.  

Wat is een polymorfe worm?

Een polymorfe worm is een soort computerworm die moeilijk te detecteren is omdat hij van structuur verandert terwijl hij zich verspreidt. Bovendien kan een polymorfe worm ook zijn schadelijke payload wijzigen om te voorkomen dat beveiligingssoftware hem stopt. De Storm Worm is een voorbeeld van adaptieve malware die door conventionele antivirustechnologie met moeite kon worden verholpen omdat de handtekening veranderde. De polymorfe packer van de worm had veel variaties, waardoor de handtekening elke 10 tot 30 minuten kon veranderen. Het ontwijkingsvermogen van Storm was frustrerend voor cyberbeveiligingsspecialisten omdat het achterdeurtjes in computers opende en gemakkelijk grote botnets vormde.

Wat is het verschil tussen polymorfe en metamorfe malware?

Hoewel polymorfe malware zijn oorspronkelijke code versleutelt om detectie te voorkomen, verandert het zijn code niet. Maar metamorfe malware is gevaarlijker omdat het zijn eigen code wijzigt. Wanneer malware met metamorfische mogelijkheden een host infecteert, kan de volgende iteratie er compleet anders uitzien.  

Kan een polymorf virus worden opgespoord?

Een polymorf virus of kwaadaardige software die gebruik maakt van een mutatiemotor is moeilijk te detecteren door traditionele antivirusprogramma's omdat het na infectie van status verandert. Zoals u waarschijnlijk weet, maakt typische beveiligingssoftware gebruik van technieken die op handtekeningen zijn gebaseerd. Wanneer polymorfe malware zijn handtekening verandert, schiet antivirussoftware die handtekeningdetectie gebruikt tekort.  

Geavanceerde antivirussoftware die heuristische analyse gebruikt om de anti-malwaretechnologie te voeden, kan echter opkomende bedreigingen zoals polymorfe malware detecteren. Dus, wat betekent "heuristiek"? Onderzoekers hebben deze term bedacht om een anti-malwareprogramma te beschrijven dat de structuur, programmeringslogica en gegevens van een potentiële bedreiging onderzoekt op ongewenste code, ongebruikelijke instructies en bedreigingsgedrag.

Net als andere cyberbedreigingen verspreidt polymorfe malware zich via phishing-e-mails, schadelijke websites en gevaarlijke koppelingen. Het kan ook gebruikmaken van zwakke plekken in besturingssystemen en programma's. Het voorkomen van polymorfe bedreigingen vereist een volledige verdedigingsstrategie. Gebruik proactieve antivirustools, patch uw software regelmatig en vermijd elke infectievector die een polymorf virus kan gebruiken. Organisatieleiders die polymorfe bedreigingen willen tegenhouden, zouden moeten overwegen om te investeren in Endpoint Protection, dat machine learning en kunstmatige intelligentie gebruikt om vijandige code te herkennen en te voorkomen.