Was ist ein polymorphes Virus und wie gehen Sie damit um?
Trotz aller Antivirenprogramme der Welt scheint sich das Ausmaß von Malware-Angriffen im Internet und von dort auf Ihren Computer nicht zu verlangsamen. Was macht manche Viren selbst von der besten Anti-Malware-Software nicht nachweisbar? Die zwei Dinge, die ich sehen kann, sind: ständig wechselnde polymorphe Viren und Unfähigkeit der Anbieter von Virenschutzprogrammen, eine solide Technologie für den Umgang mit dem unbekannten Virus zu entwickeln.
Was ist ein polymorpher Virus?
Es ist allgemein bekannt, dass Malware Abweichungen aufweist, sodass die Antimalwarelösungen sie nicht erkennen können. Wenn die Anti-Malware-Softwarelösung erkannt wird, listet sie diese Malware auf. Nur eine bestimmte Variante ist verboten, da Antimalwaresoftware nicht in der Lage ist, die Malware zurückzukehren - in einer anderen Variante. Wenn es gefunden wird, wird es von Unternehmen, die Malware überwachen, auf die schwarze Liste gesetzt. Die meisten Antivirenprogramme verwenden diese schwarzen Listen, um Ihren Computer oder ein anderes Gerät zu schützen. Dies ist der Hauptgrund, warum Antimalware nicht zu 100% effektiv sein kann.
Ein polymorphes Virus ist ein Codeteil, das sich durch folgendes Verhalten auszeichnet: Verschlüsselung, Selbstvermehrung und Änderung einer oder mehrerer Komponenten, sodass es schwer fassbar bleibt. Es wurde entwickelt, um eine Erkennung zu vermeiden, da es modifizierte Kopien von sich selbst erstellen kann.
Bei einem polymorphen Virus handelt es sich somit um eine selbstverschlüsselte bösartige Software, die die Tendenz hat, sich auf mehrere Arten zu verändern, bevor sie auf demselben Computer oder in Computernetzwerken multipliziert wird. Da der polymorphe Virus seine Komponenten ordnungsgemäß ändert und verschlüsselt wird, kann man von einer intelligenten Malware sprechen, die schwer zu erkennen ist. Denn wenn Ihr Antivirus es entdeckt, hat sich der Virus bereits vervielfacht, nachdem Sie eine oder mehrere seiner Komponenten geändert haben (in etwas anderes verwandeln)..
Was zwischen normalem Virus und dem polymorphen Virus auffällt, ist, dass dieser seine Komponenten so ändert, dass sie vor dem Multiplizieren wie eine andere Software aussehen. Diese Morphing-Aktivität macht es schwer, erkannt zu werden.
Lesen: Welches war der erste Windows-Virus?Polymorpher Virenschutz
Wir brauchen Antimalware der nächsten Generation… etwas, das von selbst denken kann. Vielleicht schlage ich eine Anti-Malware-Lösung vor, die auf künstlicher Intelligenz basiert. Ein wenig künstliche Intelligenz und eine Menge Studien werden dazu beitragen, dass diese Antimalware polymorphe Viren erkennt und entfernt.
Die aktuellen Antivirenformen arbeiten entweder auf der Blacklist- oder Whitelisting-Software. Wir haben bereits darüber gesprochen, wie sich diese Form des Virus vor der Multiplikation ändern kann. In diesem Szenario sind auf schwarzen Listen basierende Antivirenprogramme nicht sehr nützlich, da sie nur die Varianten erkennen können, die auf der schwarzen Liste stehen, während die veränderte Form des Virus weiterhin Dateien und andere Computer infiziert.
Whitelisting-basierte Antimalware sind besser, aber langwierig. Da Sie beim Whitelisting jedes Programm, das Sie auf Ihrem Computer ausführen möchten, auf die Whitelist setzen müssen, kann der polymorphe Virus nichts tun, da Sie ihn erst autorisieren, wenn er verwirrt ist. Die auf der Whitelist basierende Antimalware ist nicht für Benutzer des Anfänger-Levels gedacht, da sie alles autorisieren können, da sie befürchten, wichtige Betriebssystemdienste zu blockieren. Wenn Whitelisting jedoch ordnungsgemäß verwendet wird, kann diese Virusvariante nicht ausgeführt werden, da Sie sie niemals autorisiert haben - selbst nachdem sie sich verändert hat.
Meiner Meinung nach ist keine der beiden oben genannten Methoden gut genug. Es sollte etwas geben, das die Programme auf dem Computer untersucht und wie sie sich verhalten. Bei verdächtigen Aktivitäten sperrt das Programm diese automatisch oder informiert Sie zumindest darüber, dass etwas verdächtig ist. Sie können dann einen tieferen Blick darauf werfen, um zu sehen, ob es Teil eines von Ihnen installierten Programms oder einer unerwünschten Malware ist.
Es gibt einige verhaltensbasierte Anti-Malware-Software, aber sie untersuchen auch vordefiniertes Verhalten und suchen nach vorprogrammierten Aktivitäten. Sie können sie zusätzlich zum Whitelisting verwenden, um das polymorphe Virus zu verhindern.
Jetzt lesen Evolution von Malware - Wie alles begann!