Какво е полиморфен зловреден софтуер?

Едно от най-големите предизвикателства, пред които са изправени разработчиците на зловреден софтуер, е разработването на файлове, които не се откриват от популярните антивирусни двигатели.

Антивирусните продукти имат бази данни с по-рано открити сигнатури на зловреден софтуер. Всеки път, когато се установи, че даден файл съответства, той се изтрива, преди да може да причини щети.

Едно популярно решение на този проблем е полиморфизмът, който включва извършване на малки промени във файловете на зловреден софтуер, за да се избегне откриването.

И така, какво точно представлява полиморфният зловреден софтуер и как можете да защитите компютъра си от него? Нека погледнем.

Какво е полиморфизъм?

Терминът "полиморфизъм" първоначално е установен в биологията. Определя се като състояние да се проявява в няколко различни форми.

Сега това е важна концепция в компютърните науки. Кога използвани в програмирането, това означава предоставяне на един интерфейс за множество различни типове.

Какво е полиморфен зловреден софтуер?

Полиморфният зловреден софтуер използва концепцията за полиморфизъм не за ефективност, а по-скоро с цел избягване на откриване.

Идеята зад полиморфния злонамерен софтуер е, че ако конкретен щам на зловреден софтуер е известен с определени свойства, тогава новите версии на този злонамерен софтуер могат да избегнат откриването, ако бъдат направени леки промени.

Това позволява безкрайните файлове на зловреден софтуер, които всички изпълняват една и съща функция, да изглеждат достатъчно уникални, за да не бъдат разпознати като зловреден софтуер.

Полиморфният зловреден софтуер не е нова концепция. Смята се, че е изобретен през 80-те години на миналия век. Въпреки този факт, днес той е широко използван и повечето щамове зловреден софтуер имат полиморфно поведение.

Причината за продължаващата му популярност е проста - той остава ефективен, въпреки че защитата срещу зловреден софтуер се е подобрила. Докато антивирусният софтуер продължава да открива зловреден софтуер въз основа на подписи, полиморфизмът ще се използва като маскировка.

Освен това не се ограничава до конкретен тип зловреден софтуер. Полиморфен код е открит в троянски коне, руткити, рансъмуер и кейлогъри.

Как работи полиморфният зловреден софтуер?

Полиморфният код обикновено се използва за създаване на зловреден софтуер, който мутира много по-бързо, отколкото антивирусните двигатели могат да го идентифицират. Някои от най-бързите примери се сменят на всеки 15-20 секунди.

Това означава, че няма значение колко антивирусни машини записват конкретен файл. Докато започнат да го блокират, новите примери за същия файл няма да бъдат маркирани.

Докато обикновеният злонамерен софтуер ще бъде изтрит или преместен в карантина, полиморфният зловреден софтуер вместо това се разрешава да работи.

Ако лицето, използващо заразения компютър, не разпознае признаците на заразяване със злонамерен софтуер, зловредният софтуер ще бъде разрешен да работи за неопределено време.

Термините полиморфен и метаморфен зловреден софтуер често се използват взаимозаменяемо. Това е така, защото и двамата използват мутация, за да избегнат откриване от базирана на подпис антивирусна програма.

Има обаче една важна разлика между двете. Докато полиморфният променя част от кода си всеки път, когато е копиран, метаморфният зловреден софтуер променя целия си код. Това прави метафоричния злонамерен софтуер значително по-ефективен.

Уловката е, че също така е значително по-трудно да се създаде, тъй като разчита на толкова много различни техники за трансформация.

Кой е насочен към полиморфен зловреден софтуер?

Най-сложните опити за хакерство обикновено са запазени за фирми и други цели с висока стойност.

Полиморфният зловреден софтуер е по-труден за разработване от традиционния зловреден софтуер, но все пак е евтин за стартиране в мащаб. Това означава, че докато бизнесът трябва да бъде особено притеснен, полиморфният зловреден софтуер се използва за насочване към всички компютърни потребители.

Какво прави полиморфният злонамерен софтуер?

Полиморфен код е открит във всички видове зловреден софтуер. Това означава, че може да се използва за:

• Ransomware, който криптира вашите файлове и иска плащане на откуп в замяна на връщането им.
• Кейлогъри, които записват вашите натискания на клавиши с цел кражба на вашите пароли.
• Руткити, които осигуряват отдалечен достъп до вашия компютър.
• Манипулация на браузъра, която пренасочва браузъра ви към злонамерени уебсайтове.
• Рекламен софтуер, който забавя вашия компютър и рекламира съмнителни продукти.

Как да се предпазим от полиморфен зловреден софтуер

Полиморфният зловреден софтуер е значително по-добър при избягване на антивирусно откриване. Въпреки този факт, много антивирусни продукти все още го откриват - и дори да не го открият, има други начини да се предпазите от него. По-долу са дадени няколко примера.

Използвайте евристична антивирусна програма

Евристичният антивирус използва подписи за откриване на зловреден софтуер, но вместо да търси файлове, които съответстват на известни образци на зловреден софтуер, той търси файлове, които имат подобни компоненти на известния зловреден софтуер. Това му позволява да разпознава файлове със зловреден софтуер дори след като са направени значителни промени в тяхната структура.

Използвайте поведенческа антивирусна програма

Някои антивирусни продукти, но не всички, наблюдават компютъра ви и идентифицират зловреден софтуер, като наблюдават как се държат програмите. Например, ако дадена програма започне да записва вашите натискания на клавиши, тогава това вероятно е кейлогър, независимо дали има известен сигнатур на зловреден софтуер. Този тип антивирус обикновено идентифицира полиморфен зловреден софтуер.

Поддържайте софтуера си актуализиран

Много видове зловреден софтуер са предназначени да се възползват от известните уязвимости в популярни софтуерни продукти. Тези уязвимости могат да бъдат премахнати от програмите на вашия компютър чрез редовни актуализации на софтуера. Това означава, че ако на компютъра ви има полиморфен зловреден софтуер, той няма да може да причини толкова щети.

Разпознайте сами злонамерения софтуер

Независимо от това как е разработен зловреден софтуер, ако започне да работи, това често ще накара компютъра ви да се държи по определени начини. Например, може да забележите, че:

• Компютърът ви е значително по-бавен.
• Виждате внезапно увеличаване на рекламата.
• Вашият браузър започва да ви изпраща към страници, които не сте заявили.
• Вашият компютър започва да показва необичайни съобщения.

Ако забележите, че някое от тези неща се случват на вашия компютър, трябва да подозирате злонамерен софтуер и предприемете стъпки, за да го премахнете.

Използвайте интернет отговорно

Всички зловреден софтуер, включително полиморфен зловреден софтуер, заразяват компютър само ако лицето, използващо този компютър, направи нещо нередно. Ако се притеснявате за полиморфен зловреден софтуер, най-лесният начин да го предотвратите е да внимавате какви уебсайтове посещавате, прикачените имейли, които отваряте, и файловете, които изтегляте.

Проблем ли е полиморфният зловреден софтуер?

Полиморфният зловреден софтуер е постоянна заплаха за киберсигурността. Въпреки че няма нищо ново в него, той остава популярна техника за борба с откриването. Това също е малко вероятно да се промени, при условие че AV софтуерът продължава да използва откриване, базирано на сигнатури.

Най-лесният начин за защита срещу полиморфен зловреден софтуер е да използвате поведенчески антивирусен софтуер и отговорно да използвате интернет, за да предотвратите изтеглянето му.

Какво е злонамерен софтуер и как работи?

Зловредният софтуер се разпространява широко. Научете как работи и как можете да предотвратите заразяване.

Прочетете Следващото

За автора