Что такое полиморфный вирус?
Существует много сходств между биологическими вирусами и компьютерными вирусами. В то время как биологические вирусы проникают в клетки для выживания и распространения, компьютерные вирусы цепляются к файлам в системе компьютера, чтобы развиваться и распространяться. Оба типа вирусов также могут изменять и повреждать код своего носителя, создавая свои копии.
Подмножество компьютерных вирусов, называемых полиморфными вирусами, переносит другую характеристику из арсенала их биологических собратьев: мутацию. Вспомните, как часто мутации возникают у вируса гриппа или многочисленные новые варианты коронавируса — изменения иногда помогают болезням избежать иммунной защиты. Аналогично, полиморфные вирусы мутируют, изменяя свой код, сохраняя при этом основную функцию. Разница между мутацией биологического вируса и полиморфного ПК-вируса в том, что первый мутирует естественным образом, а второй запрограммирован с использованием полиморфизма.
Что делает полиморфный вирус?
Как и обычный компьютерный вирус, полиморфный вирус повреждает данные и замедляет работу системы, иногда вызывая сбои компьютера, такие как синие экраны ошибок. Все вирусы, полиморфные или обычные, требуют хост-программ и действий пользователя, чтобы перемещаться между системами, и либо прикрепляют части своего вредоносного кода к файлам хоста, либо полностью заменяют их на вредоносные копии. Полиморфные вирусы выводят это на новый уровень, используя полиморфный механизм для сокрытия своего кода, обычно через криптографию.
Полиморфный механизм, также известный как механизм мутации, изменяет процедуру дешифрования вредоносного ПО при каждом его воспроизведении, что делает новое состояние трудным для опознания традиционным антивирусным программным обеспечением. Для примера из кино представьте полиморфный вирус как T-1000 из Терминатор 2, меняющий форму, чтобы скрыть свою личность, не утрачивая основной функции.
Полиморфный вирус против полиморфного вредоносного ПО
Когда говорят о полиморфных вирусах, часто имеют в виду полиморфное вредоносное ПО. Чтобы лучше это понять, нужно разобраться в разнице между вирусной и вредоносной инфекцией в компьютерах. Короче говоря, вирус — это только один из видов вредоносного ПО. Другие виды вредоносного ПО, которые могут использовать механизмы мутации для обхода антивирусной технологии, включают черви, трояны, боты, кейлоггеры и вымогательное ПО. Например, полиморфное вредоносное ПО, как Emotet, это банковский троян, крадущий конфиденциальную информацию при этом скрываясь от кибербезопасных инструментов.
Другой пример полиморфного вредоносного ПО — вымогатель Win32/VirLock. Win32/VirLock не только блокирует экраны компьютеров и шифрует данные, но и изменяет свою структуру для каждого зараженного файла и выполнения. Virlock — один из первых вымогателей, использующих полиморфизм.
Что такое полиморфный червь?
Полиморфный червь — это вид компьютерного червя, который трудно обнаружить, потому что он изменяет свою структуру во время распространения. Кроме того, полиморфный червь может изменить вредоносную нагрузку, чтобы предотвратить его остановку средствами безопасности. Червь Storm — пример адаптивного вредоносного ПО, с которым традиционные антивирусные технологии трудно справлялись, поскольку он изменял свою сигнатуру. Полиморфный уплотнитель червя имел множество вариаций, позволяющих ему изменять сигнатуру каждые 10–30 минут. Способности Storm к уклонению от угрозы были настоящей головной болью для специалистов по кибербезопасности, потому что он открывал бэкдоры в компьютерах и формировал большие ботнеты.
В чем разница между полиморфным и метаморфным вредоносным ПО?
Хотя полиморфное вредоносное ПО шифрует свой оригинальный код, чтобы не быть обнаруженным, оно не изменяет свой код. Однако метаморфное вредоносное ПО более опасно, потому что оно модифицирует собственный код. Когда вредоносное ПО с метаморфными возможностями заражает хозяина, следующая итерация может выглядеть совершенно по-другому.
Может ли полиморфный вирус быть обнаружен?
Полиморфный вирус или любое вредоносное программное обеспечение, использующее механизм мутации, сложно обнаружить с помощью традиционных антивирусных инструментов, так как оно изменяет своё состояние после заражения. Как вы, вероятно, знаете, типичное программное обеспечение безопасности использует методы на основе сигнатур. Когда полиморфное вредоносное ПО меняет свою сигнатуру, антивирусный софт, использующий сигнатурное обнаружение, оказывается бессильным.
Тем не менее, продвинутое антивирусное ПО, использующее эвристический анализ для обеспечения работы анти-вредоносной технологии, может обнаружить новые угрозы, такие как полиморфное вредоносное ПО. Так что же такое «эвристический» анализ? Исследователи придумали этот термин для описания анти-вредоносной программы, исследующей структуру, логику программирования и данные потенциальной угрозы для обнаружения несвойственного кода, необычных инструкций и признаков угрозы.
Как и другие киберугрозы, полиморфное вредоносное ПО распространяется через фишинговые электронные письма, заражённые веб-сайты и опасные ссылки. Оно также может использовать уязвимости операционных систем и программ. Для предотвращения трансформирующихся угроз необходимо полное защитное решение. Используйте проактивные антивирусные инструменты, регулярно обновляйте свое программное обеспечение и избегайте всех векторов заражения, которые может использовать полиморфный вирус. Руководители организаций, стремящиеся защититься от полиморфных угроз, должны рассмотреть возможность инвестирования в Endpoint Protection, который применяет машинное обучение и искусственный интеллект для распознавания и предотвращения враждебного кода.