antivirus beskytter oss mot mer og mer trusler . Hundrevis av nye trusler dukker opp hver dag, og selskapene som utvikler disse antivirusene er dedikert til å samle dem og lage løsninger for å beskytte oss. Det finnes imidlertid virus som er vanskeligere å oppdage enn andre, og i noen tilfeller kan noen gå måneder uten å bli oppdaget.
Metamorfe virus
Når en virus oppdages for første gang , blir den umiddelbart en del av antivirusprodusentenes database. Ved å legge den til i databasen og koden kan oppdages, vil alle som har den på datamaskinen sin bli varslet om dens tilstedeværelse.
Men hva om antiviruset er designet for å stadig endre koden? Disse virusene, kalt metamorfe , kan oversette, redigere og omskrive sin egen kode automatisk ved hver infeksjon, slik at antiviruset ikke kan oppdage den. Faktisk endres ikke bare selve infeksjonskoden, men mutasjonsmotoren endres også.
For å oppdage denne typen skadelig programvare er det nødvendig å gå et skritt utover signaturene som brukes av gjeldende antivirus, og bruke heuristikk og analyseteknikker basert på atferd. Dermed er det mulig å prøve å identifisere mønstre for å kunne oppdage fremtidige og tidligere mutasjoner.
Polymorfe virus
Selv om det har et lignende navn og formål, polymorfe virus er forskjellige fra metamorfe virus. Mens sistnevnte endrer koden fullstendig, endrer polymorfer bare en del av koden, og beholder en del av koden den samme. For å utføre disse transformasjonene bruker skadelig programvare vanligvis sløringsteknikker og til og med kryptering. Takket være dette kan du beholde den identiske generasjonsmotoren, men endre fotavtrykket.
Null-dagers sårbarheter
Det finnes andre typer infeksjoner utover den klassiske malware som kan oppdages av antivirus, som f.eks nulldagers sårbarheter . Disse sårbarhetene består i å finne en feil i programvaren eller maskinvaren til en enhet som ikke er korrigert. Siden den ikke er lappet, er det mulig å utføre angrep uten at systemet kan oppdage det.
Det er noen nulldagssårbarheter som kan oppdages av antivirus hvis noen prøver å bruke dem, men i mange tilfeller er dette ikke tilfelle. Denne typen feil blir vanligvis funnet ved å utføre tester som bufferoverløp, mette programmer til de krasjer, og det blir mulig å injisere ondsinnet kode.
Blant den ondsinnede koden som kan injiseres er en løsepengevare som krypterer alt innholdet på datamaskinen. Dette var for eksempel tilfellet med WannaCry, som gjennom en uoppdatert sårbarhet i Windows 10, tillot løsepengevare å bli installert på en datamaskin og infisere alle andre enheter koblet til i samme lokale nettverk.
Rootkits
Zero-day sårbarheter kan føre til rootkit infeksjoner. Et rootkit er det verste vi kan lide på en datamaskin. Antiviruset er i stand til oppdager skadelig kode kjører på operativsystemet. Men hva om koden var nærmere maskinvarenivået enn operativsystemet? Vel, i så fall kan ikke antiviruset oppdage det.
Det er et rootkit: en type skadelig programvare som har evigvarende tilgang til en datamaskin , men forblir skjult for brukeren og har ingen mulighet til å oppdage det. Målet kan være å modifisere fastvaren til en enhet, eller å spionere på alt som går gjennom minnet til brukerens datamaskin.
Disse rootkittene kan komme inn i operativsystemkjernen for å omgå deteksjon, men de kan også nå de nedre lagene av datamaskinen, for eksempel BIOS. I slike tilfeller kan selv formatering ikke hjelpe oss med å eliminere trusselen.
Heldigvis er det flere og flere rootkit-deteksjonsmekanismer i antivirus. Til dette kommer at det er mekanismer som Secure Boot som gjør at vi kan beskytte hele oppstartssegmentet på datamaskinen for å unngå kjøring av ondsinnet kode.
