什么是多态病毒?
计算机病毒是在计算机之间传播并对系统执行破坏性活动的程序或恶意代码。它通过将自身的副本附加到程序文件来传播。病毒只是复制、显示消息,其他病毒可能会将部分恶意代码传递给具有破坏程序、删除文件、格式化硬盘驱动器和破坏有价值信息的能力的程序。
多态病毒:
“Poly”是指许多,“morphic”是指形式。因此,顾名思义,多态病毒是一种复杂的计算机病毒,它在传播时会改变其形式,以避免被杀毒软件检测到。它是一种自加密病毒,将变异引擎与自传播程序代码配对。
多态病毒包括:
- 一个解密例程。
- 加密的病毒体。
- 生成随机解密例程的变异引擎。
- 在多态病毒中,变异引擎和病毒体都是加密的。
- 当执行受感染的程序时,病毒解密例程获得计算机的控制权,解密病毒体和变异引擎。然后将控制权转移给病毒,该病毒定位要感染的新程序。
- 由于病毒体是加密的,并且解密程序也因感染而异,病毒扫描程序无法扫描固定签名或固定解密程序,因此难以检测。
多态病毒的工作:
多态性病毒的感染过程
每当防病毒软件检测到病毒时,它就会被列入黑名单,并且任何其他具有类似特征的病毒都会被自动阻止。在多态病毒的情况下,随着每个突变,病毒执行的基本函数保持不变,即使签名或解密程序发生变化。使用传统的基于签名的检测的杀毒软件在签名和解密程序更改后无法发现和阻止恶意代码。所以病毒会复制自己和变异引擎。然后调用突变引擎并生成与先前解密例程不相似的新解密例程。接下来,病毒对其主体和变异引擎进行加密,并将新的解密例程、加密病毒和变异引擎附加到新程序上。
多态代码是如何生成的?
多态代码与多态代码一起使用突变引擎。变异引擎生成一个随机解密例程,并将多态代码的文件名从感染更改为感染。该病毒会定位要感染的新程序,并将其主体和变异引擎的副本附加到新程序上。这有助于多态病毒传播并导致系统破坏,而不会被任何基于传统签名检测方法的防病毒软件检测和阻止。
多态病毒检测
多态病毒可以很容易地欺骗使用基于签名的检测的传统防病毒软件。然而,这些病毒可以被新的安全技术检测到,这些技术使用机器学习和行为检测来识别系统中的任何异常行为。
- 基于行为的检测:该技术不仅分析代码,还分析病毒的行为。这有助于检测具有类似行为的病毒。
- 启发式扫描:此技术寻找不同威胁共享的组件,而不是寻找与威胁完全匹配的组件。这有助于检测新的变异病毒。
多态病毒的例子
- URSNIF
- 加密墙
- 病毒锁
- VOBFUS
- 蜂骨
- 风暴蠕虫
预防多态性病毒:
- 不打开来自可疑来源的任何链接或附件。
- 不从未经授权的来源下载任何软件。
- 使您的系统和软件保持最新。
- 定期更新密码。
- 使用启发式扫描
- 保持数据备份。
- 使用先进的基于行为的检测技术。