Phenquestions
Navzdory všem antivirovým programům na světě se zdá, že se rozsah útoků malwaru na internetu a odtud na vaše počítače nezpomaluje. Co dělá některý virus nedetekovatelným i nejlepším softwarem proti malwaru? Dvě věci, které vidím, jsou: neustále se měnící polymorfní virus a neschopnost prodejců antivirových programů přijít s pevnou technologií pro řešení neznámého viru.
Co je to polymorfní virus
Je všeobecně známo, že malware má různé varianty, takže jej antimalwarová softwarová řešení nemohou detekovat. Když je zjištěno, softwarové řešení pro antimalwarový software uvede tento malware v černé listině. Je zakázána pouze určitá varianta, protože antimalwarový software nedokáže odhadnout, že se malware vrátí - v jiné variantě. Pokud je nalezen, je na černou listinu společností sledujících malware. Většina antivirových programů spoléhá na tyto černé listiny, aby chránila váš počítač nebo jakékoli jiné zařízení. To je hlavní důvod, proč žádný antimalware nemůže být stoprocentně účinný.
Polymorfní virus je část kódu, která je charakterizována následujícím chováním - šifrováním, rozmnožováním a změnou jedné nebo více jeho složek tak, aby zůstala nepolapitelná. Je navržen tak, aby se vyhnul detekci, protože je schopen vytvářet upravené kopie sebe sama.
Polymorfní virus je tedy nebezpečný software s vlastním šifrováním, který má tendenci se měnit více než jedním způsobem, než se rozšíří na stejný počítač nebo do počítačových sítí. Protože správně mění své součásti a je šifrován, lze polymorfní virus označit za jeden z inteligentních malwarů, které je těžké odhalit. Protože v době, kdy jej váš antivirový program detekuje, se virus již rozmnožil po změně jedné nebo více jeho složek (proměnil se v něco jiného).
Věc, která vyniká mezi normálním virem a polymorfním virem, je to, že tento před rozmnožením změní své součásti tak, aby vypadaly jako jiný software. Tato morfovací aktivita ztěžuje odhalení.
Číst: Což byl první virus Windows?
Polymorfní ochrana proti virům
Budeme potřebovat antimalware příští generace ... něco, co si dokáže myslet samo. Možná navrhuji antimalwarové řešení založené na umělé inteligenci. Trocha umělé inteligence a spousta studií pomohou takovému antimalwaru identifikovat a odstranit polymorfní viry.
Současné formy antiviru fungují buď na černé listině nebo na seznamech povolených. Už jsme hovořili o tom, jak se tato forma viru může sama změnit, než se množí. V tomto scénáři není antivirus založený na černých seznamech příliš užitečný, protože bude schopen detekovat pouze varianty, které jsou na černé listině, zatímco morfovaná forma viru nadále infikuje soubory a další počítače.
Antimalwarové programy založené na seznamu povolených jsou lepší, ale zdlouhavé. Vzhledem k tomu, že se seznamem povolených budete muset přidat každý program, který chcete spustit na svém počítači, na seznam povolených, polymorfní virus nemůže dělat nic, protože jej nebudete autorizovat, dokud nebudete zmateni. Antimalwarový program založený na bílé listině není určen pro uživatele začátečníků, protože mohou autorizovat vše se strachem z blokování základních služeb operačního systému. Pokud je však whitelisting používán správně, nebude se tato odrůda viru moci spustit, protože jste ji nikdy neschválili - ani poté, co se sama promění.
Podle mého osobního názoru není žádná z výše uvedených dvou metod dost dobrá. Mělo by existovat něco, co studuje programy na palubním počítači a vidí, jak se chovají. V případě podezřelých aktivit jej program automaticky zablokuje nebo vás alespoň informuje, že je něco podezřelého. Poté se na to můžete hlouběji podívat - abyste zjistili, zda je součástí nějakého nainstalovaného programu nebo nežádoucího malwaru.
Existuje nějaký software proti malwaru založený na chování, ale také studují předdefinované chování a hledají předprogramované aktivity. Můžete je použít vedle přístupu na seznam povolených, abyste zabránili polymorfnímu viru.
Nyní si přečtěte Vývoj malwaru - jak to všechno začalo!
