Что такое полиморфный вирус?
Между биологическими и компьютерными вирусами есть несколько сходств. В то время как биологические вирусы вторгаются в клетки, чтобы выжить и распространиться, компьютерные вирусы проникают в файлы в системе компьютера, чтобы процветать и распространяться. Оба типа вирусов также могут манипулировать кодом своего хозяина и повреждать его, создавая свои копии.
Подмножество компьютерных вирусов, называемых полиморфными вирусами, переносит другую характеристику из арсенала их биологических собратьев: мутацию. Вспомните, как часто мутации возникают у вируса гриппа или многочисленные новые варианты коронавируса — изменения иногда помогают болезням избежать иммунной защиты. Аналогично, полиморфные вирусы мутируют, изменяя свой код, сохраняя при этом основную функцию. Разница между мутацией биологического вируса и полиморфного ПК-вируса в том, что первый мутирует естественным образом, а второй запрограммирован с использованием полиморфизма.
Что делает полиморфный вирус?
Как и обычный компьютерный вирус, полиморфный вирус повреждает данные и замедляет работу системы, иногда вызывая сбои компьютера, такие как синие экраны ошибок. Все вирусы, полиморфные или обычные, требуют хост-программ и действий пользователя, чтобы перемещаться между системами, и либо прикрепляют части своего вредоносного кода к файлам хоста, либо полностью заменяют их на вредоносные копии. Полиморфные вирусы выводят это на новый уровень, используя полиморфный механизм для сокрытия своего кода, обычно через криптографию.
Полиморфный механизм, также известный как механизм мутации, изменяет процедуру дешифровки вредоносной программы при каждой ее репликации, что делает ее новое состояние трудноопределимым для обычного антивирусного ПО. В качестве примера из кино можно привести полиморфный вирус Т-1000 из фильма "Терминатор-2", который меняет форму, чтобы скрыть свою личность, но при этом не теряет своей основной функции.
Полиморфный вирус против полиморфного вредоносного ПО
Когда люди говорят о полиморфных вирусах, они часто имеют в виду полиморфное вредоносное ПО. Чтобы лучше понять это, необходимо знать разницу между вирусными и вредоносными инфекциями в компьютерной технике. Вкратце, вирус - это всего лишь один из видов вредоносного ПО. К другим типам вредоносных программ, которые могут использовать механизмы мутации для обхода антивирусных технологий, относятся черви, трояны, боты, кейлоггеры и программы-вымогатели. Например, полиморфное вредоносное ПО типа Emotet - это банковский троянец, который крадет конфиденциальную информацию, обманывая средства кибербезопасности, чтобы скрыться.
Другой пример полиморфного вредоносного ПО — вымогатель Win32/VirLock. Win32/VirLock не только блокирует экраны компьютеров и шифрует данные, но и изменяет свою структуру для каждого зараженного файла и выполнения. Virlock — один из первых вымогателей, использующих полиморфизм.
Что такое полиморфный червь?
Полиморфный червь - это разновидность компьютерного червя, которую сложно обнаружить, поскольку она меняет свою структуру по мере распространения. Кроме того, полиморфный червь может изменять свою вредоносную полезную нагрузку, чтобы не дать защитному программному обеспечению остановить его. Червь Storm - пример адаптивной вредоносной программы, которую обычные антивирусные технологии не смогли обнаружить, поскольку она меняла свою сигнатуру. Полиморфный упаковщик червя имел множество вариаций, что позволяло ему изменять сигнатуры с частотой от 10 до 30 минут. Возможности Storm по уклонению от угроз вызывали недовольство специалистов по кибербезопасности, поскольку он открывал бэкдоры в компьютерах и легко формировал крупные ботнеты.
В чем разница между полиморфным и метаморфным вредоносным ПО?
Хотя полиморфное вредоносное ПО шифрует свой оригинальный код, чтобы не быть обнаруженным, оно не изменяет свой код. Однако метаморфное вредоносное ПО более опасно, потому что оно модифицирует собственный код. Когда вредоносное ПО с метаморфными возможностями заражает хозяина, следующая итерация может выглядеть совершенно по-другому.
Может ли полиморфный вирус быть обнаружен?
Полиморфный вирус или любое вредоносное программное обеспечение, использующее механизм мутации, сложно обнаружить с помощью традиционных антивирусных инструментов, так как оно изменяет своё состояние после заражения. Как вы, вероятно, знаете, типичное программное обеспечение безопасности использует методы на основе сигнатур. Когда полиморфное вредоносное ПО меняет свою сигнатуру, антивирусный софт, использующий сигнатурное обнаружение, оказывается бессильным.
Тем не менее, продвинутое антивирусное ПО, использующее эвристический анализ для обеспечения работы анти-вредоносной технологии, может обнаружить новые угрозы, такие как полиморфное вредоносное ПО. Так что же такое «эвристический» анализ? Исследователи придумали этот термин для описания анти-вредоносной программы, исследующей структуру, логику программирования и данные потенциальной угрозы для обнаружения несвойственного кода, необычных инструкций и признаков угрозы.
Как и другие киберугрозы, полиморфные вредоносные программы распространяются через фишинговые письма, вредоносные веб-сайты и опасные ссылки. Они также могут использовать недостатки операционных систем и программ. Для предотвращения трансформирующихся угроз необходима комплексная стратегия защиты. Используйте проактивные антивирусные инструменты, регулярно обновляйте программное обеспечение и избегайте любого вектора заражения, который может использовать полиморфный вирус. Руководителям организаций, желающим противостоять полиморфным угрозам, стоит подумать о приобретении системы Endpoint Protection, которая использует машинное обучение и искусственный интеллект для распознавания и предотвращения враждебного кода.