Til tross for alle antivirusprogrammene i verden, synes ikke omfanget av malwareangrep å bremse på Internett og derfra, til datamaskinene dine. Hva gjør noe virus uoppdagelig, selv med den beste anti-malware-programvaren? De to tingene jeg kan se er: stadig forandring av polymorf virus og manglende evne til antivirusleverandører til å komme opp med en solid teknologi for å håndtere det ukjente viruset.
Hva er et polymorf virus
Et polymorf virus er et stykke kode som kjennetegnes av følgende oppførsel - Kryptering, Selvmultiplikasjon og endring av en eller flere komponenter i seg selv, slik at den forblir unnvikende. Den er designet for å unngå detektering, da den er i stand til å skape endrede, kopier av seg selv.
Således er et polymorf virus et selvkryptert skadelig program som har en tendens til å forandre seg på mer enn én måte før det multipliseres på samme datamaskin eller til datanettverk. Siden det endrer komponentene på riktig måte og er kryptert, kan det polymorfe viruset sies til en av de intelligente malware som er vanskelig å oppdage. Fordi da antivirusprogrammet ditt oppdager det, har viruset allerede multiplisert etter å ha endret en eller flere av komponentene (morphing til noe annet).
Saken som skiller seg ut mellom normalt virus og det polymorfe viruset er at sistnevnte endrer komponentene for å se ut som en annen programvare før de multipliseres. Denne morphing-aktiviteten gjør det vanskelig å bli oppdaget.
Lese: Hvilket var det første Windows-viruset?
Polymorf virusbeskyttelse
Vi trenger neste generasjons antimalware … noe som kan tenke alene. Kanskje jeg foreslår en antimalware-løsning basert på kunstig intelligens. Litt av kunstig intelligens og mye studier vil hjelpe slike antimalware til å identifisere og fjerne polymorfe virus.
De nåværende antivirusprogrammene fungerer enten på blacklisting eller whitelisting programmer. Vi har allerede snakket om hvordan denne formen av viruset kan forandre seg før du multipliserer. I dette scenariet er antivirusbasert på svartelister ikke mye nyttig fordi de kun vil oppdage de variasjonene som er svartelistede mens den morfede formen for viruset fortsetter å infisere filer og andre datamaskiner.
Whitelisting-basert antimalware er bedre, men kjedelig. Siden med whitelisting må du hviteliste hvert program du ønsker å kjøre på datamaskinen din, det polymorfe viruset kan ikke gjøre noe som du ikke vil godkjenne det før det er forvirret. Den hvitelistebaserte antimalware er ikke for brukere av nybegynnernivå, da de kan godkjenne alt med frykt for å blokkere viktige operativsystemtjenester. Men hvis whitelisting blir brukt riktig, vil denne typen virus ikke kunne kjøre fordi du aldri autoriserte det - selv etter at det er morphs selv.
I min personlige mening er ingen av de ovennevnte to metodene bra nok. Det bør være noe som studerer programmene ombord på datamaskinen og ser hvordan de oppfører seg. Ved mistenkelige aktiviteter blokkerer programautomatikken den, eller i det minste informerer deg om at noe er mistenkelig. Du kan da se nærmere på det - for å se om det er en del av et program du har installert eller en uønsket skadelig programvare.
Det er noe oppførselbasert anti-malware-programvare, men de studerer også forhåndsdefinert oppførsel og ser etter forhåndsprogrammerte aktiviteter. Du kan bruke dem i tillegg til whitelisting tilnærming for å forhindre det polymorfe viruset.
Les nå Evolusjon av skadelig programvare - Hvordan det hele begynte!
