Что такое полиморфный вирус?
Между биологическими и компьютерными вирусами есть несколько сходств. В то время как биологические вирусы вторгаются в клетки, чтобы выжить и распространиться, компьютерные вирусы проникают в файлы в системе компьютера, чтобы процветать и распространяться. Оба типа вирусов также могут манипулировать кодом своего хозяина и повреждать его, создавая свои копии.
Подмножество компьютерных вирусов, называемых полиморфными, обладает еще одной особенностью из арсенала своих биологических собратьев: мутацией. Вспомните, как часто мутирует вирус гриппа или как растет число новых вариантов коронавируса - изменения иногда помогают заболеваниям уклоняться от биологической защиты. Аналогичным образом мутируют полиморфные вирусы, изменяя свой код, но обычно сохраняя свою основную функцию. Разница между мутирующим биологическим вирусом и полиморфным компьютерным вирусом заключается в том, что первый мутирует естественным образом, а второй программируется с помощью полиморфизма.
Что делает полиморфный вирус?
Как и обычный компьютерный вирус, полиморфный вирус повреждает данные и замедляет работу системных ресурсов, иногда приводя к сбоям в работе компьютера, например к появлению "синего экрана". Все вирусы, как полиморфные, так и обычные, требуют наличия хост-программ, действий пользователя для перемещения между системами и либо прикрепляют части своего вредоносного кода к хост-файлам, либо полностью заменяют их вредоносными копиями. Полиморфные вирусы отличаются тем, что используют полиморфный механизм для скрытия своего кода, обычно с помощью криптографии.
Полиморфный механизм, также известный как механизм мутации, изменяет процедуру дешифровки вредоносной программы при каждой ее репликации, что делает ее новое состояние трудноопределимым для обычного антивирусного ПО. В качестве примера из кино можно привести полиморфный вирус Т-1000 из фильма " Терминатор-2", который меняет форму, чтобы скрыть свою личность, но при этом не теряет своей основной функции.
Полиморфный вирус против полиморфного вредоносного ПО
Когда люди говорят о полиморфных вирусах, они часто имеют в виду полиморфное вредоносное ПО. Чтобы лучше понять это, необходимо знать разницу между вирусными и вредоносными инфекциями в компьютерной технике. Вкратце, вирус - это всего лишь один из видов вредоносного ПО. К другим типам вредоносных программ, которые могут использовать механизмы мутации для обхода антивирусных технологий, относятся черви, трояны, боты, кейлоггеры и программы-вымогатели. Например, полиморфное вредоносное ПО типа Emotet - это банковский троянец, который крадет конфиденциальную информацию, обманывая средства кибербезопасности, чтобы скрыться.
Еще один пример полиморфного вредоносного ПО - Win32/VirLock ransomware. Win32/VirLock не только блокирует экран компьютера и шифрует данные, но и изменяет свою структуру для каждого зараженного файла и выполнения. Virlock - один из первых штаммов ransomware, использующих полиморфизм.
Что такое полиморфный червь?
Полиморфный червь - это разновидность компьютерного червя, которую сложно обнаружить, поскольку она меняет свою структуру по мере распространения. Кроме того, полиморфный червь может изменять свою вредоносную полезную нагрузку, чтобы не дать защитному программному обеспечению остановить его. Червь Storm - пример адаптивной вредоносной программы, которую обычные антивирусные технологии не смогли обнаружить, поскольку она меняла свою сигнатуру. Полиморфный упаковщик червя имел множество вариаций, что позволяло ему изменять сигнатуры с частотой от 10 до 30 минут. Возможности Storm по уклонению от угроз вызывали недовольство специалистов по кибербезопасности, поскольку он открывал бэкдоры в компьютерах и легко формировал крупные ботнеты.
В чем разница между полиморфными и метаморфными вредоносными программами?
Хотя полиморфные вредоносные программы шифруют свой исходный код, чтобы избежать обнаружения, они не изменяют свой код. Но метаморфные вредоносные программы более опасны, поскольку они изменяют свой собственный код. Когда вредоносная программа с метаморфическими возможностями заражает хост, следующая итерация может выглядеть совершенно иначе.
Можно ли обнаружить полиморфный вирус?
Полиморфный вирус или любая вредоносная программа, использующая механизм мутации, сложна для обнаружения традиционными антивирусными средствами, поскольку после заражения она меняет свое состояние. Как вы, вероятно, знаете, типичное программное обеспечение безопасности использует методы, основанные на сигнатурах. Когда полиморфные вредоносные программы меняют свою сигнатуру, антивирусные программы, использующие сигнатурное обнаружение, не справляются с этой задачей.
Однако современные антивирусные программы, использующие эвристический анализ для защиты от вредоносного ПО, могут обнаруживать новые угрозы, например полиморфные вредоносные программы. Что же означает термин "эвристика"? Исследователи придумали этот термин для описания программы защиты от вредоносного ПО, которая тщательно изучает структуру, логику программирования и данные потенциальной угрозы на предмет нежелательного кода, необычных инструкций и поведения угрозы.
Как и другие киберугрозы, полиморфные вредоносные программы распространяются через фишинговые письма, вредоносные веб-сайты и опасные ссылки. Они также могут использовать недостатки операционных систем и программ. Для предотвращения трансформирующихся угроз необходима комплексная стратегия защиты. Используйте проактивные антивирусные инструменты, регулярно обновляйте программное обеспечение и избегайте любого вектора заражения, который может использовать полиморфный вирус. Руководителям организаций, желающим противостоять полиморфным угрозам, стоит обратить внимание на Endpoint Protection, который использует машинное обучение и искусственный интеллект для распознавания и предотвращения враждебного кода.