O que é um vírus polimórfico?
Há várias semelhanças entre os vírus biológicos e os vírus de computador. Enquanto os vírus biológicos invadem as células para sobreviver e se propagar, os vírus de computador pegam carona nos arquivos do sistema de um computador para prosperar e se propagar. Ambos os tipos de vírus também podem manipular e corromper o código de seu hospedeiro para fazer cópias de si mesmos.
Um subconjunto de vírus de computador chamado de vírus polimórficos carrega outra característica do arsenal de sua contraparte biológica: a mutação. Pense na frequência com que o vírus da gripe sofre mutações ou no número crescente de novas variantes do coronavírus - as alterações às vezes ajudam as doenças a escapar das defesas biológicas. Da mesma forma, os vírus polimórficos sofrem mutação para alterar seu código, embora geralmente mantenham sua função principal. A diferença entre um vírus biológico mutante e um vírus de PC polimórfico é que o primeiro sofre mutação natural, enquanto o segundo é programado por alguém com polimorfismo.
O que um vírus polimórfico faz?
Assim como um vírus de computador comum, um vírus polimórfico corrompe os dados e reduz a velocidade dos recursos do sistema, às vezes causando mau funcionamento do computador, como erros de tela azul. Todos os vírus, polimórficos ou comuns, requerem programas host, ação do usuário para se mover entre sistemas e anexar partes de seu código malicioso em arquivos host ou substituí-los inteiramente por cópias maliciosas. Os vírus polimórficos são mais avançados porque empregam um mecanismo polimórfico para ocultar seu código, geralmente por meio de criptografia.
O mecanismo polimórfico, também conhecido como mecanismo de mutação, modifica o procedimento de descriptografia do malware toda vez que ele se replica, tornando seu novo estado difícil de ser identificado pelo software antivírus convencional. Para um exemplo cinematográfico, pense em um vírus polimórfico como o T-1000 do filme O Exterminador do Futuro 2, que se transforma para ocultar sua identidade sem nunca perder sua função principal.
Vírus polimórfico vs. malware polimórfico
Quando as pessoas falam sobre vírus polimórficos, geralmente se referem a malware polimórfico. Para entender isso melhor, você precisa saber a diferença entre infecções por vírus e malware na computação. Em resumo, um vírus é apenas um tipo de malware. Outros tipos de malware que podem usar mecanismos de mutação para contornar a tecnologia antivírus incluem worms, cavalos de Troia, bots, keyloggers e ransomware. Por exemplo, um malware polimórfico como o Emotet é um cavalo de Troia bancário que rouba informações confidenciais enquanto engana as ferramentas de segurança cibernética para se esconder.
Outro exemplo de malware polimórfico é o ransomware Win32/VirLock. O Win32/VirLock não apenas bloqueia as telas do computador e criptografa dados, mas também altera sua estrutura para cada arquivo infectado e execução. O Virlock é uma das primeiras linhagens de ransomware a usar o polimorfismo.
O que é um worm polimórfico?
Um worm polimórfico é um tipo de worm de computador difícil de ser detectado porque modifica sua estrutura à medida que se propaga. Além disso, um worm polimórfico também pode modificar sua carga maliciosa para impedir que o software de segurança o bloqueie. O Storm Worm é um exemplo de malware adaptável que a tecnologia antivírus convencional teve dificuldades para corrigir porque estava mudando sua assinatura. O empacotador polimórfico do worm tinha muitas variações, o que lhe permitia alterar as assinaturas a cada 10 a 30 minutos. Os recursos de evasão de ameaças do Storm eram frustrantes para os especialistas em segurança cibernética porque ele abria backdoors em computadores e formava grandes botnets rapidamente.
Qual é a diferença entre malware polimórfico e metamórfico?
Embora o malware polimórfico criptografe seu código original para impedir a detecção, ele não altera seu código. Mas o malware metamórfico é mais perigoso porque modifica seu próprio código. Quando um malware com recursos metamórficos infecta um host, a próxima iteração pode parecer completamente diferente.
Um vírus polimórfico pode ser detectado?
Um vírus polimórfico ou qualquer software mal-intencionado que use um mecanismo de mutação é um desafio para as ferramentas antivírus tradicionais detectarem, pois ele muda seu estado após a infecção. Como você provavelmente sabe, os softwares de segurança típicos usam técnicas baseadas em assinaturas. Quando o malware polimórfico altera sua assinatura, o software antivírus que usa detecção de assinatura não consegue detectar.
No entanto, o software antivírus avançado que usa análise heurística para alimentar a tecnologia antimalware pode detectar ameaças emergentes, como o malware polimórfico. Então, o que significa "heurística"? Bem, os pesquisadores criaram o termo para descrever um programa antimalware que examina a estrutura, a lógica de programação e os dados de uma possível ameaça em busca de códigos indesejados, instruções incomuns e comportamentos de ameaças.
Como outras ameaças cibernéticas, o malware polimórfico se espalha por meio de e-mails de phishing, sites maliciosos e links perigosos. Ele também pode tirar proveito de falhas em sistemas operacionais e programas. A prevenção de ameaças de transmutação requer uma estratégia de defesa completa. Use ferramentas antivírus proativas, corrija seu software regularmente e fique longe de qualquer vetor de infecção que um vírus polimórfico possa empregar. Os líderes de organizações que buscam impedir ameaças polimórficas devem considerar investir no Endpoint Protection, que usa aprendizado de máquina e inteligência artificial para reconhecer e impedir códigos hostis.