Vaatamata kõigile viirusetõrjeprogrammidele maailmas ei paista pahatahtlike rünnakute aeglustumine internetis ja sealt teie arvutisse. Mis teeb mõne viiruse tuvastamatuks isegi parima pahavara-tarkvara abil? Kaks asjad, mida ma näen, on: polümorfse viiruse pidev muutumine ja viirusetõrjeettevõtete suutmatus leida teadmata viirusega tegelemiseks kindel tehnoloogia.
Mis on polümorfne viirus
Polümorfne viirus on koodi tükk, mida iseloomustab järgmine käitumine - ühe või enama komponendi enda krüptimine, enesedendamine ja muutmine, nii et see jääb järelevaatamatuks. Selle eesmärk on vältida avastamist, kuna see suudab luua modifitseeritud koopiaid ise.
Seega on polümorfne viirus ise krüpteeritud pahatahtlik tarkvara, millel on kalduvus muuta ennast rohkem kui ühel viisil, enne kui korrutatakse sama arvutisse või arvutivõrkudesse. Kuna see muudab oma komponente korralikult ja krüpteeritakse, võib polümorfset viirust pidada üheks intelligentseks pahavaraks, mida on raske avastada. Kuna teie viirusetõrje tuvastamisel on see viirus juba pärast ühe või mitme selle komponendi (morfing midagi muud) muutmist juba korrutanud.
Tavalise viiruse ja polümorfse viiruse vahele jääv asi on see, et viimane muudab oma komponente enne paljunemist välja nagu teist tarkvara. Seda morfitseerivat toimet on raske tuvastada.
Loe: Milline oli esimene Windowsi viirus?
Polümorfne viiruse kaitse
Meil on vaja järgmise põlvkonna antimalware … midagi, mis võib ise mõtlema hakata. Võib-olla pakun välja tehisintellektile tugineva antimalware lahenduse. Vähesed tehisintellektid ja palju uuringuid aitavad sellist antimalware'it polümorfsete viiruste tuvastamiseks ja eemaldamiseks.
Praegused viirusetõrjeviisid töötavad kas musta nimekirja koostamisel või valge nimekirja koostamisel. Oleme juba rääkinud sellest, kuidas see viiruse vorm võib ennast enne mitmekordistumist muuta. Selles stsenaariumi korral ei ole musta nimekirjaga viirusetõrje eriti palju kasulik, sest nad saavad tuvastada ainult need variandid, mis on musta nimekirja kantud, samas kui viiruse muudetud kujul endiselt faile ja teisi arvuteid nakatatakse.
Whitelistingu põhinev antimalware on parem, kuid tüütu. Kuna valge nimekirjaga peate valimisse lisama kõik programmid, mida soovite oma arvutis käitada, polümorfne viirus ei saa midagi teha, kuna te ei luba seda enne segadust. Valimisloendi aluseks olev antimalware ei ole mõeldud algaja taseme kasutajatele, kuna nad võivad kõik lubada, häirides hädavajalike operatsioonisüsteemide teenuste blokeerimist. Kuid kui valget nimekirja kasutatakse korralikult, ei saa seda viiruse erinevaid viise käivitada, sest te pole seda kunagi volitanud - isegi pärast seda, kui see ise morfiseerib.
Minu arvates ei ole ükski ülaltoodud kahest meetodist piisavalt hea. Seal peaks olema midagi, mis uurib programme arvutis ja näeb, kuidas nad käituvad. Kahtlaste tegevuste korral blokeerib see programm automaatselt või vähemalt teatab, et midagi on kahtlane. Seejärel saate selle põhjal põhjalikumalt uurida, kas see on osa teie installitud programmist või soovimatu pahavara.
Mõnel käitumispõhisel ründetarkvaral on tarkvara, kuid nad uurivad ka eelnevalt määratletud käitumist ja otsivad eelnevalt programmeeritud tegevusi. Võite neid kasutada lisaks valge nimekirjaga, et vältida polümorfset viirust.
Nüüd loe Malware evolutsioon - kuidas see kõik algas!