Что такое полиморфное вредоносное ПО?

Одна из самых больших проблем, с которыми сталкиваются разработчики вредоносных программ, - это разработка файлов, которые не обнаруживаются популярными антивирусными ядрами.

Антивирусные продукты содержат базы данных ранее обнаруженных сигнатур вредоносных программ. Каждый раз, когда обнаруживается совпадение файла, он удаляется, прежде чем он сможет нанести какой-либо ущерб.

Одним из популярных решений этой проблемы является полиморфизм, который предполагает внесение небольших изменений в файлы вредоносных программ, чтобы избежать обнаружения.

Итак, что такое полиморфное вредоносное ПО и как от него защитить свой компьютер? Давайте посмотрим.

Что такое полиморфизм?

Термин «полиморфизм» изначально утвердился в биологии. Он определяется как состояние, которое проявляется в нескольких различных формах.

Сейчас это важное понятие в информатике. Когда используется в программировании, это означает предоставление единого интерфейса для нескольких различных типов.

Что такое полиморфное вредоносное ПО?

Полиморфные вредоносные программы используют концепцию полиморфизма не для повышения эффективности, а, скорее, для того, чтобы избежать обнаружения.

Идея полиморфного вредоносного ПО заключается в том, что, если известно, что конкретный штамм вредоносного ПО обладает определенными свойствами, новые версии этого вредоносного ПО могут избежать обнаружения при внесении незначительных изменений.

Это позволяет бесконечным файлам вредоносных программ, которые все выполняют одну и ту же функцию, казаться достаточно уникальными, чтобы их нельзя было распознать как вредоносные.

Полиморфное вредоносное ПО - понятие не новое. Считается, что его изобрели в 1980-х годах. Несмотря на это, сегодня он широко используется, и большинство штаммов вредоносных программ имеют полиморфное поведение.

Причина его неизменной популярности проста - он остается эффективным, даже несмотря на то, что защита от вредоносных программ улучшилась. Пока антивирусное ПО продолжает обнаруживать вредоносные программы на основе сигнатур, полиморфизм будет использоваться как маскировка.

Это также не ограничивается конкретным типом вредоносного ПО. Полиморфный код был обнаружен в троянах, руткитах, программах-вымогателях и кейлоггерах.

Как работает полиморфное вредоносное ПО?

Полиморфный код обычно используется для создания вредоносного ПО, которое мутирует намного быстрее, чем антивирусные механизмы могут его идентифицировать. Некоторые из самых быстрых примеров меняются каждые 15-20 секунд.

Это означает, что не имеет значения, сколько антивирусных движков записывает тот или иной файл. К тому времени, как они начнут его блокировать, новые примеры того же файла не будут отмечены.

В то время как обычные вредоносные программы будут удалены или перемещены в карантин, вместо этого разрешается запуск полиморфных вредоносных программ.

Если человек, использующий зараженный компьютер, не распознает признаки заражения вредоносным ПО, вредоносному ПО будет разрешено работать бесконечно.

Термины «полиморфное вредоносное ПО» и «метаморфическое вредоносное ПО» часто используются как синонимы. Это связано с тем, что они оба используют мутации, чтобы избежать обнаружения антивирусом на основе сигнатур.

Однако между ними есть важное различие. В то время как полиморфное вредоносное ПО изменяет часть своего кода при каждом копировании, метаморфическое вредоносное ПО изменяет весь свой код. Это делает метафорическое вредоносное ПО значительно более эффективным.

Загвоздка в том, что его значительно сложнее создавать, поскольку он основан на большом количестве различных техник трансформации.

На кого нацелены полиморфные вредоносные программы?

Самые изощренные попытки взлома обычно предназначены для предприятий и других важных целей.

Полиморфное вредоносное ПО труднее разрабатывать, чем традиционное вредоносное ПО, но его масштабный запуск по-прежнему дешев. Это означает, что, хотя предприятия должны быть особенно обеспокоены, полиморфные вредоносные программы используются для нацеливания на всех пользователей компьютеров.

Что делает полиморфное вредоносное ПО?

Полиморфный код обнаружен во всех типах вредоносных программ. Это означает, что его можно использовать для:

• Программа-вымогатель, которая шифрует ваши файлы и запрашивает выкуп в обмен на их возврат.
• Кейлоггеры, которые записывают нажатия клавиш с целью кражи ваших паролей.
• Руткиты, обеспечивающие удаленный доступ к вашему компьютеру.
• Манипуляции с браузером, которые перенаправляют ваш браузер на вредоносные веб-сайты.
• Рекламное ПО, замедляющее работу компьютера и рекламирующее сомнительные товары.

Как защититься от полиморфного вредоносного ПО

Полиморфные вредоносные программы значительно лучше избегают обнаружения антивирусов. Несмотря на это, многие антивирусные продукты все же обнаруживают его - и даже если они этого не делают, есть другие способы защиты от него. Ниже приведены несколько примеров.

Используйте эвристический антивирус

Эвристический антивирус использует сигнатуры для обнаружения вредоносных программ, но вместо поиска файлов, соответствующих известным образцам вредоносных программ, он ищет файлы, которые содержат компоненты, аналогичные известным вредоносным программам. Это позволяет ему распознавать вредоносные файлы даже после того, как в их структуру были внесены существенные изменения.

Используйте поведенческий антивирус

Некоторые антивирусные продукты, но не все, контролируют ваш компьютер и выявляют вредоносные программы, наблюдая за их поведением. Например, если программа начинает записывать нажатия клавиш, то, вероятно, это кейлоггер, независимо от того, имеет ли она известную сигнатуру вредоносного ПО. Этот тип антивируса обычно идентифицирует полиморфное вредоносное ПО.

Обновляйте свое программное обеспечение

Многие типы вредоносных программ предназначены для использования известных уязвимостей в популярных программных продуктах. Эти уязвимости можно удалить в программах на вашем компьютере, регулярно обновляя программное обеспечение. Это означает, что если на вашем компьютере установлено полиморфное вредоносное ПО, оно не сможет причинить столько вреда.

Распознавайте вредоносное ПО самостоятельно

Независимо от того, как разрабатывается вредоносное ПО, если оно начинает работать, оно часто заставляет ваш компьютер вести себя определенным образом. Например, вы могли заметить, что:

• Ваш компьютер заметно медленнее.
• Вы видите внезапный рост рекламы.
• Ваш браузер начинает отправлять вас на страницы, которые вы не запрашивали.
• Ваш компьютер начинает отображать необычные сообщения.

Если вы заметили что-либо из этого, происходящее на вашем компьютере, вы должны подозревать наличие вредоносного ПО и предпринять шаги, чтобы удалить это.

Используйте Интернет ответственно

Все вредоносные программы, включая полиморфные вредоносные программы, заражают компьютер только в том случае, если человек, использующий этот компьютер, делает что-то неправильно. Если вас беспокоит полиморфное вредоносное ПО, самый простой способ предотвратить его - внимательно следить за тем, какие веб-сайты вы посещаете, какие вложения электронной почты открываете и какие файлы загружаете.

Является ли полиморфное вредоносное ПО проблемой?

Полиморфное вредоносное ПО - постоянная угроза кибербезопасности. Несмотря на то, что в этом нет ничего нового, он остается популярным методом защиты от обнаружения. Это также вряд ли изменится, если программное обеспечение AV продолжит использовать обнаружение на основе сигнатур.

Самый простой способ защиты от полиморфных вредоносных программ - использовать поведенческое антивирусное программное обеспечение и ответственно подходить к использованию Интернета, чтобы предотвратить его загрузку.

Что такое вредоносное ПО и как оно работает?

Вредоносное ПО распространяется безудержно. Узнайте, как это работает и как предотвратить заражение.

Читать далее

Об авторе