A rosszindulatú programok fejlesztői előtt álló egyik legnagyobb kihívás olyan fájlok fejlesztése, amelyeket a népszerű víruskereső motorok nem észlelnek.

A víruskereső termékek adatbázisokkal rendelkeznek a korábban felfedezett rosszindulatú programok aláírásairól. Valahányszor egy fájl egyezik, törlődik, mielőtt bármiféle kárt okozna.

A probléma egyik népszerű megoldása a polimorfizmus, amely magában foglalja a rosszindulatú programok kis módosításait az észlelés elkerülése érdekében.

Tehát mi is pontosan a polimorf kártevő, és hogyan védheti meg számítógépét ettől? Nézzük meg.

Mi a polimorfizmus?

A „polimorfizmus” kifejezést eredetileg a biológiában hozták létre. Úgy definiálják, mint a több különböző formában történő előfordulás állapotát.

Ma már fontos fogalom a számítástechnikában. Amikor programozásban használják, ez egyetlen interfész biztosítását jelenti több különböző típushoz.

Mi az a polimorf kártevő?

A polimorf kártevők a polimorfizmus fogalmát nem a hatékonyság, hanem az észlelés elkerülése érdekében használják.

A polimorf rosszindulatú programok mögött az az elképzelés áll, hogy ha egy bizonyos rosszindulatú programtörzs bizonyos tulajdonságokkal rendelkezik, akkor a rosszindulatú program új verziói elkerülhetik az észlelést, ha kisebb változtatásokat hajtanak végre.

Ez lehetővé teszi, hogy a végtelen számú kártevő fájl, amelyek mindegyike ugyanazt a funkciót látja el, kellően egyedinek tűnjön ahhoz, hogy ne ismerje fel őket rosszindulatú programként.

A polimorf malware nem új keletű fogalom. Úgy gondolják, hogy az 1980-as években találták fel. Ennek ellenére manapság erősen használják – és a rosszindulatú programok legtöbb törzse polimorf viselkedést mutat.

Folyamatos népszerűségének oka egyszerű – továbbra is hatékony, még akkor is, ha a rosszindulatú programok elleni védekezés javult. Mindaddig, amíg a víruskereső szoftverek továbbra is szignatúrák alapján észlelik a rosszindulatú programokat, a polimorfizmust álcázásként használják.

Ezenkívül nem korlátozódik egy bizonyos típusú rosszindulatú programra. Polimorf kódot találtak trójai programokban, rootkitekben, ransomware-ekben és keyloggerekben.

Hogyan működik a polimorf kártevő?

A polimorf kódot általában olyan rosszindulatú programok előállítására használják, amelyek sokkal gyorsabban mutálódnak, mint ahogy a víruskereső motorok azonosítani tudják. A leggyorsabb példák némelyike ​​15-20 másodpercenként változik.

Ez azt jelenti, hogy nem számít, hány víruskereső motor rögzít egy adott fájlt. Mire elkezdik blokkolni, ugyanannak a fájlnak az új példái nem lesznek megjelölve.

Míg a szokásos rosszindulatú programokat töröljük vagy karanténba helyezzük, a polimorf kártevők futhatnak.

Ha a fertőzött számítógépet használó személy nem ismeri fel a kártevő fertőzés jeleit, a kártevő korlátlan ideig futni fog.

A polimorf és metamorf kártevő kifejezéseket gyakran felcserélhetően használják. Ennek az az oka, hogy mindkettő mutációt használ az aláírás-alapú víruskereső általi észlelés elkerülésére.

Van azonban egy lényeges különbség a kettő között. Míg a polymorphic minden másoláskor megváltoztatja a kódja egy részét, a metamorf rosszindulatú programok az egész kódot megváltoztatják. Ez jelentősen hatékonyabbá teszi a metaforikus kártevőket.

A bökkenő az, hogy sokkal nehezebb létrehozni, mivel olyan sokféle átalakítási technikára támaszkodik.

Kit céloznak a polimorf kártevők?

A legkifinomultabb hackelési kísérletek általában a vállalkozások és más nagy értékű célpontok számára vannak fenntartva.

A polimorf rosszindulatú programokat nehezebb kifejleszteni, mint a hagyományos kártevőket, de még mindig olcsó a méretben. Ez azt jelenti, hogy bár a vállalkozásoknak különösen aggódniuk kell, a polimorf kártevők minden számítógép-felhasználót megcéloznak.

Mit csinál a polimorf kártevő?

Polimorf kódot találtak minden típusú rosszindulatú programban. Ez azt jelenti, hogy használható:

  • Ransomware, amely titkosítja a fájlokat, és váltságdíjat kér a visszaküldésükért cserébe.
  • Keyloggerek, amelyek rögzítik a billentyűleütéseket a jelszavak ellopása céljából.
  • Rootkitek, amelyek távoli hozzáférést biztosítanak a számítógéphez.
  • Böngésző manipuláció, amely rosszindulatú webhelyekre irányítja át a böngészőt.
  • Reklámprogram, amely lelassítja a számítógépet, és megkérdőjelezhető termékeket hirdet.

Hogyan védekezzünk a polimorf rosszindulatú programok ellen

A polimorf kártevők lényegesen jobban elkerülik a víruskereső észlelését. Ennek ellenére, sok víruskereső termék még mindig észlelik – és még ha nem is, vannak más módszerek is az ellene való védekezésre. Az alábbiakban néhány példa látható.

Használjon heurisztikus víruskeresőt

A heurisztikus víruskereső szignatúrákat használ a rosszindulatú programok észlelésére, de ahelyett, hogy olyan fájlokat keresne, amelyek megfelelnek az ismert kártevő-mintáknak, olyan fájlokat keres, amelyek az ismert rosszindulatú programokhoz hasonló összetevőket tartalmaznak. Ez lehetővé teszi a rosszindulatú programok felismerését még azután is, hogy jelentős változtatásokat hajtottak végre a szerkezetükön.

Használja a Behavioral Antivirus programot

Egyes víruskereső termékek, de nem mindegyik, figyeli a számítógépet, és a programok viselkedésének megfigyelésével azonosítja a rosszindulatú programokat. Például, ha egy program elkezdi rögzíteni a billentyűleütéseket, akkor valószínűleg egy billentyűnaplózóról van szó, függetlenül attól, hogy rendelkezik-e ismert rosszindulatú aláírással vagy sem. Az ilyen típusú víruskereső általában azonosítja a polimorf kártevőket.

Tartsa frissítve szoftverét

A rosszindulatú programok sok típusát úgy tervezték, hogy kihasználják a népszerű szoftvertermékek ismert sebezhetőségeit. Ezeket a sérülékenységeket rendszeres szoftverfrissítéssel eltávolíthatja a számítógépén lévő programokból. Ez azt jelenti, hogy ha polimorf rosszindulatú program található a számítógépén, nem lesz képes akkora kárt okozni.

Ismerje fel Ön is a rosszindulatú programokat

Függetlenül attól, hogy a rosszindulatú programokat hogyan fejlesztették ki, ha elkezd futni, az gyakran bizonyos viselkedési módokat okoz a számítógépében. Például észreveheti, hogy:

  • Számítógépe észrevehetően lassabb.
  • Hirtelen megnövekszik a reklámozás.
  • Böngészője olyan oldalakra indít, amelyeket nem kért.
  • A számítógép szokatlan üzeneteket kezd megjeleníteni.

Ha ezek közül bármelyiket észleli a számítógépén, akkor gyanakodnia kell a rosszindulatú programokra és tegyen lépéseket annak eltávolítására.

Felelősségteljesen használja az internetet

Minden rosszindulatú program, beleértve a polimorf kártevőket is, csak akkor fertőzi meg a számítógépet, ha a számítógépet használó személy valamit rosszul csinál. Ha aggódik a polimorf rosszindulatú programok miatt, a legegyszerűbb módja annak, hogy megelőzze, ha vigyázzon, milyen webhelyeket keres fel, milyen e-mail-mellékleteket nyit meg, és milyen fájlokat tölt le.

Problémát jelent a polimorf kártevő?

A polimorf kártevők folyamatos kiberbiztonsági fenyegetést jelentenek. Annak ellenére, hogy nincs benne semmi újdonság, továbbra is népszerű észlelési technika. Ez szintén nem valószínű, hogy megváltozik, feltéve, hogy az AV-szoftver továbbra is aláírás alapú észlelést használ.

A polimorf kártevők elleni védekezés legegyszerűbb módja a viselkedésalapú víruskereső szoftverek használata, valamint a felelősségteljes internethasználat, hogy megelőzzük azok letöltését.

Mi az a rosszindulatú program, és hogyan működik?

A rosszindulatú programok rohamosan futnak. Ismerje meg, hogyan működik, és hogyan előzheti meg a fertőzést.

Olvassa el a következőt

RészvényCsipogEmail
Kapcsolódó témák
  • Biztonság
  • Rosszindulatú
  • Biztonság
  • Online biztonság
A szerzőről
Elliot Nesbo (50 publikált cikk)

Elliot szabadúszó műszaki író. Elsősorban a fintechről és a kiberbiztonságról ír.

Továbbiak Elliot Nesbótól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!

Kattintson ide az előfizetéshez