Antivirus ne protejează de tot mai mult amenințări . Sute de noi amenințări apar în fiecare zi, iar companiile care dezvoltă aceste antivirusuri sunt dedicate colectării lor și creării de soluții care să ne protejeze. Cu toate acestea, există viruși care sunt mai greu de detectat decât altele, iar în unele cazuri unii pot trece luni de zile fără a fi detectați.
Viruși metamorfici
Atunci când o virusul este detectat pentru prima dată , devine imediat parte a bazei de date a producătorilor de antivirus. Adăugând-o în baza de date și codul său fiind descoperit, oricine îl are pe computer va fi avertizat despre prezența lui.
Totuși, ce se întâmplă dacă antivirusul este conceput pentru a-și schimba în mod constant codul? Acești viruși, numiti metamorfic , își pot traduce, edita și rescrie propriul cod automat cu fiecare infecție, astfel încât antivirusul să nu-l detecteze. De fapt, nu numai că codul de infecție în sine se schimbă, ci și motorul de mutație.
Pentru a detecta acest tip de malware este necesar să faceți un pas dincolo de semnăturile folosite de antivirusul actual și să folosiți tehnici euristice și de analiză bazate pe comportamente. Astfel, este posibil să se încerce identificarea tiparelor pentru a putea detecta mutațiile viitoare și trecute.
Viruși polimorfi
Deși cu un nume și un scop similar, virusuri polimorfe sunt diferite de virusurile metamorfice. În timp ce aceștia din urmă își schimbă complet codul, polimorfii își schimbă doar o parte din cod, păstrând o parte din cod aceeași. Pentru a efectua aceste transformări, malware-ul utilizează de obicei tehnici de ofuscare și chiar criptare. Datorită acestui lucru, puteți păstra motorul de generație identică, dar schimbându-i amprenta.
Vulnerabilități zero-day
Există și alte tipuri de infecții dincolo de malware-ul clasic detectabil de antivirus, cum ar fi vulnerabilități de zero zile . Aceste vulnerabilități constau în găsirea unui defect în software-ul sau hardware-ul unui dispozitiv care nu a fost corectat. Deoarece nu este corecţionat, este posibil să se efectueze atacuri fără ca sistemul să-l poată detecta.
Există câteva vulnerabilități zero-day care sunt detectabile de către antivirus dacă cineva încearcă să le folosească, dar în multe cazuri nu este cazul. Aceste tipuri de defecțiuni sunt de obicei găsite prin efectuarea de teste precum depășirea buffer-ului, saturarea programelor până când se blochează și devine posibilă injectarea de cod rău intenționat.
Printre codurile rău intenționate care pot fi injectate se numără un ransomware care criptează tot conținutul computerului. Acesta a fost cazul, de exemplu, al lui WannaCry, care, printr-o vulnerabilitate nepatchată în ferestre din 10, a permis ca ransomware-ul să fie instalat pe un computer și să infecteze toate celelalte dispozitive conectate în aceeași rețea locală.
Rootkiturile
Vulnerabilitățile de zi zero pot duce la rootkit infectii. Un rootkit este cel mai rău lucru pe care îl putem suferi pe un computer. Antivirusul este capabil detectarea codului rău intenționat rulează pe sistemul de operare. Dar dacă codul ar fi mai aproape de nivelul hardware decât de sistemul de operare? Ei bine, în acest caz, antivirusul nu îl poate detecta.
Acesta este un rootkit: un tip de malware care are acces perpetuu la un computer , dar rămâne ascuns utilizatorului și nu are cum să o detecteze. Obiectivul său poate fi acela de a modifica firmware-ul unui dispozitiv sau de a spiona tot ceea ce trece prin memoria computerului utilizatorului.
Aceste rootkit-uri pot intra în nucleul sistemului de operare pentru a ocoli detectarea, dar pot ajunge și la straturile inferioare ale computerului, cum ar fi BIOS-ul. În aceste cazuri, nici măcar formatarea nu ne poate ajuta să eliminăm amenințarea.
Din fericire, există din ce în ce mai multe mecanisme de detectare a rootkit-urilor în antivirus. La aceasta se adaugă că există mecanisme precum Secure Boot care ne permit să protejăm întregul segment de boot al computerului pentru a evita executarea de cod rău intenționat.
