Поліморфіки
Було запропоновано об'єднати цю статтю або розділ з Поліморфний код, але, можливо, це варто додатково обговорити. Пропозиція з квітня 2018. |
Ця стаття має кілька недоліків. Будь ласка, допоможіть удосконалити її або обговоріть ці проблеми на сторінці обговорення.
|
[1]Поліморфний вірус — такий шифруючий вірус, що при зараженні нових файлів і системних областей диска шифрує власний код. При цьому для шифрування вірус користується випадковими паролями (ключами), а також різноманітними методами шифрування, що виключає можливість впізнання вірусу за сигнатурами. Таким чином, виявлення цих вірусів неможливо (або вкрай важко) здійснити за допомогою так званих вірусних масок — ділянок постійного коду, специфічних для конкретного вірусу.
Досягається це двома основними способами: шифруванням основного коду вірусу з непостійним ключем і випадковим набором команд розфировщика або зміною самого виконуваного коду вірусу.
Існують також інші, досить екзотичні приклади поліморфізму: DOS вірус Bomber, наприклад, не зашифрований, однак послідовність команд, яка передає управління коду вірусу, є повністю поліморфною.
Поліморфізм різного ступеня складності зустрічається у вірусах усіх типів. Складність коду служить класифікаційною ознакою поліморфних вірусів.
Метою поліморфних вірусних програм поряд з нанесенням максимального збитку є отримання доступу та контроль інформації (крадіжка паролів, створення люків в системі захисту обчислювальних мереж, отримання привілейованого доступу до даних та інше)
Поліморфізм — висококласна техніка та особливостями вірусу є операнди, функції та процедури, які існують лише задля заплутування коду.
5 рівнів поліморфізму:
- олігоморфна вірусня — легко визначається антивірусами;
- віруси, що мають одну або дві постійні інструкції які використовує розшифровщик;
- віруси, що використовують в своєму коді команди-сміття. Ця, у своєму роді, пастка від детектування, допомагає заплутати власний код. Але такий вірус можна засікти за допомогою попереднього відсіювання сміття антивірусом;
- використання взаємозамінних інструкцій з перемішуванням в коді без зміни алгоритму розшифровки,- допомагає повністю заплутати антивірус;
- невиліковний рівень. Існують віруси, які складаються з програмних одиниць (частин), що постійно змінюються в тілі і переміщують свої підпрограми. Характерною особливістю такої зарази є плями. Такі плями в цілому утворюють поліморфний розшифровщик, який працює з кодом в кінці файлу. Для реалізації методу навіть не потрібно використовувати команди-сміття бо підібрати сигнатуру буде неможливо.
Перший поліморфний вірус з'явився в 1990 році і називався Chameleon.
Паралельно вірусам з'являлися і поліморфік — генератори, одним з яких був MtE, який відкрив цілі вірусні сімейства. Він як і вірус використовував дзеркальні функції таким чином утруднюючи своє детектування.
Інша сімейство вірусів Daemaen записувало себе в COM, EXE і SYS файли. На вигляд ці віруси виглядають цілком безпечно, але насправді відбувається запис в MBR, а тіло зарази зберігається в останніх секторах.
У наш час багато вірусів використовують поліморфізм високих рівнів у своїх алгоритмах. Але розвитку технології практично не спостерігається, можна сказати, що вона вже віджила себе. Крім поліморфізму існують і інші методи маскування, наприклад, стелс-технології.
Наразі, поліморфні віруси використовують на початку повноцінної атаки — наприклад, задля подальшого застосування троянських програм і Internet черв'яків
- ↑ Расиховна, Абдуллина, Розалия (2016). Полиморфные вирусы. NovaInfo.Ru (ru-RU) . Архів оригіналу за 20 квітня 2018. Процитовано 20 квітня 2018.