Wirus polimorficzny

Wirusy polimorficzne mutują, aby zmienić swój kod, zachowując jednocześnie swoją podstawową funkcję.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Również dla Windows, iOS, Android, Chromebook i Dla biznesu

Co to jest wirus polimorficzny?

Istnieje kilka podobieństw między wirusami biologicznymi i komputerowymi. Podczas gdy wirusy biologiczne atakują komórki, aby przetrwać i rozprzestrzeniać się, wirusy komputerowe atakują pliki w systemie komputerowym, aby się rozwijać i rozprzestrzeniać. Oba typy wirusów mogą również manipulować i uszkadzać kod gospodarza, aby tworzyć swoje kopie.

Podzbiór wirusów komputerowych zwany wirusami polimorficznymi posiada jeszcze jedną cechę z arsenału ich biologicznych odpowiedników: mutację. Pomyśl o tym, jak często mutuje wirus grypy lub o rosnącej liczbie nowych wariantów koronawirusa - zmiany czasami pomagają chorobom uniknąć biologicznej obrony. Podobnie, wirusy polimorficzne mutują, aby zmienić swój kod, zwykle zachowując swoją podstawową funkcję. Różnica między mutującym wirusem biologicznym a polimorficznym wirusem komputerowym polega na tym, że ten pierwszy mutuje naturalnie, podczas gdy ktoś programuje ten drugi za pomocą polimorfizmu.  

Co robi wirus polimorficzny?

Podobnie jak zwykły wirus komputerowy, wirus polimorficzny uszkadza dane i spowalnia zasoby systemowe, czasami prowadząc do awarii komputera, takich jak błędy niebieskiego ekranu. Wszystkie wirusy, zarówno polimorficzne, jak i zwykłe, wymagają programów hosta, działań użytkownika w celu przemieszczania się między systemami i albo dołączają fragmenty swojego złośliwego kodu do plików hosta, albo całkowicie zastępują je złośliwymi kopiami. Wirusy polimorficzne wykorzystują silnik polimorficzny do ukrywania swojego kodu, zwykle za pomocą kryptografii.

Silnik polimorficzny, znany również jako silnik mutacyjny, modyfikuje procedurę deszyfrowania złośliwego oprogramowania za każdym razem, gdy się replikuje, sprawiając, że jego nowy stan jest trudny do zidentyfikowania przez konwencjonalne oprogramowanie antywirusowe. Dla przykładu filmowego, pomyśl o wirusie polimorficznym jak o T-1000 z Terminatora 2, zmieniającym kształt, aby ukryć swoją tożsamość, ale nigdy nie tracącym swojej podstawowej funkcji.

Wirus polimorficzny a polimorficzne złośliwe oprogramowanie

Kiedy ludzie mówią o wirusach polimorficznych, często mają na myśli polimorficzne złośliwe oprogramowanie. Aby lepiej to zrozumieć, należy poznać różnicę między infekcjami wirusami i złośliwym oprogramowaniem w informatyce. Krótko mówiąc, wirus to tylko jeden z rodzajów złośliwego oprogramowania. Inne rodzaje złośliwego oprogramowania, które mogą wykorzystywać silniki mutacji w celu obejścia technologii antywirusowej, obejmują robaki, trojany, boty, keyloggery i oprogramowanie ransomware. Na przykład polimorficzne złośliwe oprogramowanie, takie jak Emotet, to trojan bankowy, który kradnie poufne informacje, jednocześnie wprowadzając w błąd narzędzia cyberbezpieczeństwa, aby się ukryć.  

Innym przykładem polimorficznego złośliwego oprogramowania jest ransomware Win32/VirLock. Win32/VirLock nie tylko blokuje ekrany komputerów i szyfruje dane, ale także zmienia swoją strukturę dla każdego zainfekowanego pliku i jego wykonania. Virlock jest jednym z pierwszych szczepów ransomware wykorzystujących polimorfizm.  

Czym jest robak polimorficzny?

Robak polimorficzny to rodzaj robaka komputerowego, który jest trudny do wykrycia, ponieważ zmienia swoją strukturę podczas rozprzestrzeniania się. Ponadto robak polimorficzny może również modyfikować swój złośliwy ładunek, aby uniemożliwić oprogramowaniu zabezpieczającemu jego zatrzymanie. Storm Worm jest przykładem adaptacyjnego złośliwego oprogramowania, które konwencjonalna technologia antywirusowa miała trudności z usunięciem, ponieważ zmieniała swoją sygnaturę. Polimorficzny paker robaka miał wiele odmian, co pozwalało mu zmieniać sygnatury tak szybko, jak co 10-30 minut. Zdolność Storma do omijania zagrożeń była frustrująca dla specjalistów ds. cyberbezpieczeństwa, ponieważ otwierał on tylne drzwi w komputerach i łatwo tworzył duże botnety.

Jaka jest różnica między złośliwym oprogramowaniem polimorficznym i metamorficznym?

Chociaż polimorficzne złośliwe oprogramowanie szyfruje swój oryginalny kod, aby zapobiec wykryciu, nie zmienia swojego kodu. Jednak złośliwe oprogramowanie metamorficzne jest bardziej niebezpieczne, ponieważ modyfikuje swój własny kod. Gdy złośliwe oprogramowanie z funkcjami metamorficznymi infekuje hosta, następna iteracja może wyglądać zupełnie inaczej.  

Czy można wykryć wirusa polimorficznego?

Wirus polimorficzny lub jakiekolwiek złośliwe oprogramowanie wykorzystujące silnik mutacji jest trudne do wykrycia przez tradycyjne narzędzia antywirusowe, ponieważ zmienia swój stan po infekcji. Jak zapewne wiesz, typowe oprogramowanie zabezpieczające wykorzystuje techniki oparte na sygnaturach. Gdy polimorficzne złośliwe oprogramowanie zmienia swoją sygnaturę, oprogramowanie antywirusowe wykorzystujące wykrywanie sygnatur zawodzi.  

Jednak zaawansowane oprogramowanie antywirusowe, które wykorzystuje analizę heurystyczną do zasilania technologii anty-malware, może wykrywać pojawiające się zagrożenia, takie jak polimorficzne złośliwe oprogramowanie. Co więc oznacza termin "heurystyka"? Cóż, naukowcy wymyślili ten termin, aby opisać program antywirusowy, który analizuje strukturę potencjalnego zagrożenia, logikę programowania i dane pod kątem śmieciowego kodu, nietypowych instrukcji i zachowań zagrożenia.

Podobnie jak inne cyberzagrożenia, polimorficzne złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem wiadomości phishingowych, złośliwych stron internetowych i niebezpiecznych linków. Może również wykorzystywać luki w systemach operacyjnych i programach. Zapobieganie transmutacji zagrożeń wymaga pełnej strategii obronnej. Należy korzystać z proaktywnych narzędzi antywirusowych, regularnie aktualizować oprogramowanie i unikać wszelkich wektorów infekcji, które mogą być wykorzystywane przez wirusy polimorficzne. Liderzy organizacji, którzy chcą powstrzymać zagrożenia polimorficzne, powinni rozważyć zainwestowanie w Endpoint Protection, który wykorzystuje uczenie maszynowe i sztuczną inteligencję do rozpoznawania i zapobiegania wrogiemu kodowi.