A világ minden vírusellenes programjának ellenére a rosszindulatú programok támadása nem tűnik lelassul az interneten, és onnan, a számítógépekre. Mi okozza a vírus észlelését még a legjobb kártevők elleni szoftverekkel szemben is? A két dolog, amit látok, a következők: folyamatosan változó polimorf vírus és a víruskereső gyártók képtelensége, hogy szilárd technológiával jöjjenek létre az ismeretlen vírus kezelésére.
Mi az a polimorf vírus?
A polimorf vírus egy kóddarab, amelyet a következő viselkedés jellemez: titkosítás, önszaporítás és egy vagy több összetevő megváltoztatása önmagában, hogy elhanyagolható legyen. Úgy tervezték, hogy elkerülje az észlelést, mivel képes átalakítani saját magának módosított másolatait.
Így egy polimorf vírus egy önkódolt rosszindulatú szoftver, amely hajlamos arra, hogy több módon megváltoztassa magát, mielőtt ugyanarra a számítógépre vagy számítógépes hálózatokra szaporodna. Mivel megfelelően átalakítja és titkosítja az összetevőket, a polimorf vírus az egyik olyan intelligens rosszindulatú program, amely nehezen észlelhető. Mert korábban az anti-vírus észleli, a vírus már megszorozódott, miután megváltoztatta egy vagy több összetevőjét (valami másba morfizálva).
A normál vírus és a polimorf vírus között megmutatkozó dolog az, hogy az utóbbi az elemek megváltoztatásával más szoftvert lát, mielőtt megszaporodna. Ez a morfizáló tevékenység megnehezíti az észlelést.
Olvas: Melyik volt az első Windows vírus?
Polimorf vírusvédelem
Szükségünk lesz a következő generációs antimalware-re … valami, ami önmagában gondolhat. Talán egy mesterséges intelligencia alapú antimalware megoldást javasolok. Kevés a mesterséges intelligencia és a sok tanulmány segít az ilyen antimalware azonosítani és eltávolítani polimorf vírusokat.
A víruskereső jelenlegi formái akár a feketelistára, akár a listák engedélyezésére szolgálnak. Már beszéltünk arról, hogy a vírus ezen formája megváltoztathatja magát, mielőtt megszaporodna. Ebben a forgatókönyvben a feketelistákon alapuló víruskereső nem sok hasznos, mert képesek lesznek felismerni csak a feketelistán szereplő változatokat, miközben a vírus morphed formája továbbra is megfertőzheti a fájlokat és más számítógépeket.
A listákon alapuló antimalware jobb, de fárasztó. Mivel a listák engedélyezésével engedélyezni kell minden olyan programot, amelyre a számítógépen szeretnél futni, a polimorf vírus nem tehet semmit, mivel nem fogja engedélyezni, amíg összetévesztik. A whitelist alapú antimalware nem a kezdő szintű felhasználók számára készült, mivel mindent engedélyezhetnek, az alapvető operációs rendszer szolgáltatásainak blokkolásától való félelem miatt. De ha a listák engedélyezését megfelelően használják, akkor ez a fajta vírus nem fog futni, mert soha nem engedélyezte azt - még akkor sem, ha ez megváltozik.
Személyes véleményem szerint a fent felsorolt két módszer egyike sem elégséges. Van valami, ami tanulmányozza a programokat a fedélzeti számítógépen, és látja, hogyan viselkednek. Gyanús tevékenységek esetén a program automatikusan blokkolja vagy legalább tájékoztatja, hogy valami gyanús. Ezután alaposabban megvizsgálhatja, hogy ez része-e valamelyik telepített programnak vagy nem kívánt rosszindulatú programnak.
Vannak viselkedési alapú rosszindulatú szoftverek, de túl vizsgálják az előre definiált viselkedést, és előre megtervezett tevékenységeket keresnek. A polimorf vírus megakadályozásához használhatja őket a megengedő listaelemzés mellett.
Most olvass A rosszindulatú programok fejlődése - Hogy kezdődött ez minden!
