antivirus nás chrání před čím dál tím víc hrozby . Každý den se objevují stovky nových hrozeb a společnosti, které tyto antiviry vyvíjejí, se věnují jejich shromažďování a vytváření řešení, která nás ochrání. Nicméně existují viry, které jsou obtížněji detekovatelné než ostatní a v některých případech mohou některé trvat měsíce, aniž by byly odhaleny.
Metamorfní viry
Když virus je detekován poprvé , okamžitě se stává součástí databáze výrobců antivirů. Tím, že jej přidáte do databáze a jeho kód bude zjistitelný, bude každý, kdo jej má ve svém počítači, upozorněn na jeho přítomnost.
Co když je však antivirus navržen tak, aby neustále měnil svůj kód? Tyto viry, tzv metamorfický , dokáže s každou infekcí automaticky přeložit, upravit a přepsat svůj vlastní kód, takže jej antivirus nedokáže detekovat. Ve skutečnosti se nemění jen samotný infekční kód, ale mění se i mutační engine.
K detekci tohoto typu malwaru je nutné jít o krok za hranice signatur používaných současnými antiviry a používat heuristiku a analytické techniky založené na chování. Je tedy možné pokusit se identifikovat vzory, aby bylo možné odhalit budoucí a minulé mutace.
Polymorfní viry
Ačkoli s podobným názvem a účelem, polymorfní viry se liší od metamorfních virů. Zatímco posledně jmenovaní mění svůj kód úplně, polymorfy mění pouze část svého kódu, přičemž část kódu zůstává stejná. K provedení těchto transformací malware obvykle používá techniky zmatku a dokonce šifrování. Díky tomu si můžete ponechat identickou generaci motoru, ale měnící jeho stopu.
Zranitelnosti nulového dne
Kromě klasického malwaru detekovatelného antivirem existují i další typy infekcí, jako např zranitelnosti v nulový den . Tyto chyby zabezpečení spočívají v nalezení chyby v softwaru nebo hardwaru zařízení, které nebylo opraveno. Jelikož není záplatovaný, je možné provádět útoky, aniž by to systém dokázal detekovat.
Existují některé zero-day zranitelnosti, které jsou detekovatelné antivirem, pokud se je někdo pokusí použít, ale v mnoha případech tomu tak není. Tyto typy selhání se obvykle zjistí provedením testů, jako je přetečení vyrovnávací paměti, saturace programů, dokud nespadnou, a je možné vložit škodlivý kód.
Mezi škodlivým kódem, který lze vložit, je ransomware, který zašifruje veškerý obsah počítače. To byl případ například WannaCry, které díky neopravené zranitelnosti v Windows 10, umožnil instalaci ransomwaru do počítače a infikování všech ostatních zařízení připojených v rámci stejné místní sítě.
Rootkity
Zranitelnosti nultého dne mohou vést k rootkit infekce. Rootkit je to nejhorší, co můžeme na počítači trpět. Antivir to umí detekce škodlivého kódu běžící na operačním systému. Ale co kdyby byl kód blíže hardwarové úrovni než operační systém? V tom případě to antivirus nedokáže detekovat.
To je rootkit: typ malwaru, který má trvalý přístup k počítači , ale zůstává skryté před uživatelem a nemá to jak zjistit. Jeho cílem může být úprava firmwaru zařízení nebo špehování všeho, co prochází pamětí počítače uživatele.
Tyto rootkity se mohou dostat do jádro operačního systému obejít detekci, ale mohou se dostat i do nižších vrstev počítače, jako je BIOS. V těchto případech nám ani formátování nemůže pomoci odstranit hrozbu.
Naštěstí v antiviru existuje stále více mechanismů detekce rootkitů. K tomu se přidává, že existují mechanismy jako Secure Boot, které nám umožňují chránit celý bootovací segment počítače, abychom se vyhnuli spuštění škodlivého kódu.
