Метаморфный вирус
Метаморфный вирус – это вирус, который может создавать новые копии, используя свои возможности редактировать и изменять собственный код. Метаморфный вирус считается самым опасным компьютерным вирусом, который может нанести серьезный ущерб системе, если он не был обнаружен быстро.
Антивирусные сканеры с трудом обнаруживают этот тип вируса, поскольку он может изменять свою внутреннюю структуру, переписывать и перепрограммировать себя каждый раз, когда он заражает систему компьютера.
Полиморфный вирус – вирус изменяющий свой код внутри заражаемых програм. Например, он может шифровать свое тело используя каждый раз разные ключи, и расшифровывать его во время активации. Цикл расшифровки мутирует с различными поколениями вирусов и, обычно, не так-то просто понять его алгоритм.
Метаморфные вирусы, также изменяют свой код, но не используют алгоритмы шифрования. Различие проявляется в виде изменений внутри кода вируса. Существует несколько технологий, позволяющих с успехом реализовывать данную методику.
Одна из этих технологий трансформации, используемая метамофными программами основана на вставке и удалении «мусора» внутри кода. Эти инструкции не влияют на работу вируса, но занимают некоторое количество места и усложняют анализ больших участков кода.
Другая технология – изменение базовых инструкций на уровне операционного кода. Это означает переключение между несколькими отличающимися операционными кодами, которые выполняют одну и ту же функцию.
Пожалуй, самой сложной трансформацией метаморфного вируса является замена целых блоков кода на функционально-эквивалентные. Например, умножение числа x на 3. Это можно выразить как «x*3». Однако в качестве альтернативы его можно заменить на сумму трех x: «x+x+x». Оба выражения возвращают одинаковый результат, но выглядят по-разному.
Вирус, скрывающий точку входа – это вирус, который получает управление от программы косвенным путем, не напрямую через главную точку входа. Обычно это осуществляется в изменении адреса переменной в теле программы, адреса входа функции или вызова API, направляя управляющий поток к коду вируса.
Как это работает
Метаморфный вирус приводит к потере данных и снижает защиту компьютерной системы. Он также может заражать несколько хостов. Исследование, проведенное Университетом штата Сан-Хосе, показало, что многие антивирусные программы, которые в настоящее время предлагаются на рынке, основываются на сигнатурном обнаружении и обычно не могут обнаруживать метаморфные вирусы.
К сожалению, антивирусные эксперты не имеют возможности писать отдельные программы для каждого нового вируса. Вместо этого они вынуждены ограничиться структурой своего антивирусного продукта. Эта структура может быть более или менее гибкой и обычно сопровождается некоторым числом ограничений, которые и определяют эффективность ответа на угрозу.
Не обнаруженный своевременно, метаморфный вирус может стать еще более изощренным и нанести еще больший урон. Чем дольше вирус остается на компьютере, тем больше своих мутаций он производит, что чрезвычайно усложняет антивирусным программам задачу по его обнаружению и очистке системы.
Метаморфные вирусы могут распространяться через вложения в электронной почте или при просмотре пользователями зараженных сайтов.
После попадания в систему вирус приступает к выполнению своей основной задачи – краже личной информации и других данных для дальнейшего вымогательства, отмывания денег и других видов мошенничества.
Если вирус обнаружен, его можно отправить разработчикам защитных антивирусных решений для изучения, это поможет уберечь других пользователей и организации от ущерба.
По материалам сайтов kaspersky.ru, securitylab.ru, infosecurity.ru