Antivirus schützt uns vor immer mehr Bedrohungen . Jeden Tag tauchen Hunderte neuer Bedrohungen auf, und die Unternehmen, die diese Antivirenprogramme entwickeln, sind bestrebt, sie zu sammeln und Lösungen zu entwickeln, die uns schützen. Allerdings gibt es Viren, die schwieriger zu erkennen sind als andere, und in einigen Fällen können einige Monate bleiben, ohne entdeckt zu werden.
Metamorphe Viren
Wenn eine Virus wird zum ersten Mal entdeckt , wird es sofort in die Datenbank der Antiviren-Hersteller aufgenommen. Indem es zur Datenbank hinzugefügt wird und sein Code auffindbar ist, wird jeder, der es auf seinem Computer hat, auf seine Anwesenheit aufmerksam gemacht.
Was aber, wenn das Antivirenprogramm darauf ausgelegt ist, seinen Code ständig zu ändern? Diese Viren, genannt metamorph , können bei jeder Infektion ihren eigenen Code automatisch übersetzen, bearbeiten und neu schreiben, sodass das Antivirenprogramm ihn nicht erkennen kann. Tatsächlich ändert sich nicht nur der Infektionscode selbst, sondern auch die Mutationsmaschine.
Um diese Art von Malware zu erkennen, ist es erforderlich, einen Schritt über die von aktuellen Antivirenprogrammen verwendeten Signaturen hinauszugehen und auf Verhaltensweisen basierende Heuristiken und Analysetechniken zu verwenden. Somit ist es möglich, zu versuchen, Muster zu identifizieren, um zukünftige und vergangene Mutationen erkennen zu können.
Polymorphe Viren
Obwohl mit einem ähnlichen Namen und Zweck, polymorphe Viren unterscheiden sich von metamorphen Viren. Während letztere ihren Code vollständig ändern, ändern Polymorphe nur einen Teil ihres Codes und halten einen Teil ihres Codes gleich. Um diese Transformationen durchzuführen, verwendet Malware normalerweise Verschleierungstechniken und sogar Verschlüsselung. Dadurch können Sie den Motor der gleichen Generation beibehalten, aber seinen Footprint ändern.
Zero-Day-Schwachstellen
Es gibt andere Arten von Infektionen, die über die klassische Malware hinausgehen, die von Antivirenprogrammen erkannt werden kann, wie z Zero-Day-Schwachstellen . Diese Schwachstellen bestehen darin, einen Fehler in der Software oder Hardware eines Geräts zu finden, das nicht gepatcht wurde. Da es nicht gepatcht ist, ist es möglich, Angriffe durchzuführen, ohne dass das System dies erkennen kann.
Es gibt einige Zero-Day-Schwachstellen, die von Antivirenprogrammen erkannt werden können, wenn jemand versucht, sie zu verwenden, aber in vielen Fällen ist dies nicht der Fall. Diese Art von Fehlern wird normalerweise durch Tests wie Pufferüberläufe, Sättigung von Programmen bis zum Absturz und das Einschleusen von Schadcode gefunden.
Zu den schädlichen Codes, die eingeschleust werden können, gehört eine Ransomware, die den gesamten Inhalt des Computers verschlüsselt. Dies war beispielsweise bei WannaCry der Fall, das durch eine ungepatchte Schwachstelle in Windows 10, erlaubte es, Ransomware auf einem Computer zu installieren und alle anderen Geräte zu infizieren, die mit demselben lokalen Netzwerk verbunden waren.
Rootkits
Zero-Day-Schwachstellen können zu Rootkit Infektionen. Ein Rootkit ist das Schlimmste, was wir auf einem Computer erleiden können. Das Antivirenprogramm ist in der Lage bösartigen Code erkennen auf dem Betriebssystem läuft. Aber was wäre, wenn der Code näher an der Hardware-Ebene als am Betriebssystem wäre? Nun, in diesem Fall kann das Antivirenprogramm es nicht erkennen.
Das ist ein Rootkit: eine Art von Malware, die ständiger Zugriff auf einen Computer , aber bleibt vor dem Benutzer versteckt und hat keine Möglichkeit, es zu erkennen. Ihr Ziel kann es sein, die Firmware eines Geräts zu ändern oder alles auszuspionieren, was durch den Speicher des Computers des Benutzers geht.
Diese Rootkits können in die Betriebssystemkernel um die Erkennung zu umgehen, aber sie können auch die unteren Schichten des Computers erreichen, beispielsweise das BIOS. In diesen Fällen kann uns selbst die Formatierung nicht helfen, die Bedrohung zu beseitigen.
Glücklicherweise gibt es in Antivirenprogrammen immer mehr Mechanismen zur Erkennung von Rootkits. Hinzu kommt, dass es Mechanismen wie Secure Boot gibt, die es uns ermöglichen, das gesamte Boot-Segment des Computers zu schützen, um die Ausführung von Schadcode zu verhindern.
