Сегодня я читал технический документ и обнаружил, что некоторые вирусы имеют забавные особенности, они изменчивы (их MD5 может время от времени изменяться автоматически). Этот вирус называют олигоморфными вирусами. Это заставляет меня задуматься о том, может ли антивирус обнаруживать такого рода вредоносные программы и как я могу защитить мою систему от одного из таких видов заражения. У кого-нибудь есть опыт работы с такими вирусами?
2 ответа
Олигоморфное и полиморфное программное обеспечение (Олигоморфия - это тип полиморфий, если я правильно помню мои занятия) может быть обнаружено эвристически с помощью поведенческого анализа. По сути, вы можете определить, является ли часть программного обеспечения вредоносной, взглянув не на то, чем она является, а на то, что она делает. Возможно, вы видели, как ваш брандмауэр подсказывает, разрешать ли программе подключаться к Интернету, это пример простого поведенческого контроля программного обеспечения. Большинство антивирусных программ имеют эвристический механизм, который будет наблюдать за программным обеспечением на вашем компьютере и искать программы, которые делают подозрительные, похожие на вирусы вещи, такие как:
- попытка чтения или записи памяти, выделенной другим программам
- попытка чтения или записи файлов, принадлежащих другим программам
- открытие поддельных сетевых подключений, особенно с использованием протоколов, таких как IRC, которые обычно используются бот-сетями для C & C, или SMTP, обычно используемые бот-сетями для отправки спама
- выполнение действий, чтобы скрыть себя (часто переименовывать процессы и файлы, отключать диспетчер задач, запускать под тем же именем, что и другие известные программы)
Эвристическое обнаружение несовершенно, потому что оно, по сути, предполагает обоснованное предположение (то, что компьютеры плохо умеют). Таким образом, существует постоянный баланс между отсутствующими вирусами и слишком частым беспокойством пользователя (высокий уровень ложных срабатываний). Хорошие антивирусные программы позволят вам настроить чувствительность эвристического движка.
Вы имеете в виду полиморфизм?
Антивирусные программы, которые используют эвристику или «основаны на поведении» - вот что можно сделать против них.