Полиморфный вирус

Полиморфный вирус – зловредное программное обеспечение, которое меняет свой код. Один из опаснейших типов вирусов, так как его сложно распознать антивирусом.

Принцип действия

Полиморфные вирусы меняют свой код при каждом копировании, чтобы скрываться от сканера антивирусных программ. Замена исходного кода осуществляется разными способами, например, изменением ключа шифрования или криптографического механизма, перемешиванием блоков исходного кода, добавлением пустых строк и т. д.

Внутри вредоносного кода почти всегда содержится так называемый «мусор» – функции, операнды и процедуры, которые только маскируют и запутывают исходный код для антивирусных программ.

Классификация полиморфизма

Вирусы можно разделить по уровню полиморфизма.

  1. На этом уровне вирус использует постоянные значения для разных видов антивирусного программного обеспечения. Они распознаются по определенным участкам кода, которые не меняются.
  2. Такое зловредное ПО имеет 1-3 постоянных значения, которые постоянно меняются. Расшифровка такого вируса занимает немного больше времени по сравнению с первым видом, но он тоже выявляется и блокируется антивирусом.
  3. На этом уровне вредоносная программа использует команды-мусор для маскировки исходного кода. Антивирусом гораздо сложнее засечь такой тип зловреда прямым сканированием, но предварительная чистка проверяемого объекта от лишних строк кода помогает.
  4. Такие полиморфы активируют взаимозаменяемые инструкции с опцией случайного перемешивания, чтобы полностью замаскировать исходный код. Для определения опасности антивирусы используют метод перебора, что существенно увеличивает время сканирования.
  5. Данное зловредное ПО использует все вышеперечисленные методы маскировки и добавляет шифрование каждого блока данных разным алгоритмом. Процесс расшифровки займет очень долгое время без 100% гарантии.
  6. Последний вариант полиморфных вирусов представляет собой конструктор. Тело вируса состоит из разных блоков, которые могут случайным образом меняться. Детектировать и изолировать угрозу почти невозможно из-за постоянной маскировки исходного кода.

Полиморфные вирусы представляют собой серьезную угрозу, так как не могут быть обнаружены антивирусными программами обычными методами.