4 самых сложных вируса для обнаружения антивирусом

Антивирус защищает нас от все большего и большего угрозы . Ежедневно появляются сотни новых угроз, и компании, разрабатывающие эти антивирусы, стремятся собирать их и создавать решения для нашей защиты. Однако есть вирусы, которые труднее обнаружить чем другие, а в некоторых случаях некоторые могут месяцами оставаться незамеченными.

4 самых сложных вируса для обнаружения антивирусом

Метаморфные вирусы

Когда вирус обнаружен впервые , он сразу же становится частью базы производителей антивирусов. Добавив его в базу данных и чтобы его код был доступен для обнаружения, любой, у кого он есть на своем компьютере, будет предупрежден о его присутствии.

Однако что, если антивирус разработан, чтобы постоянно изменять свой код? Эти вирусы, называемые метаморфические , могут автоматически переводить, редактировать и переписывать собственный код при каждом заражении, так что антивирус не может его обнаружить. Фактически, изменяется не только сам код заражения, но и механизм мутации.

Чтобы обнаружить этот тип вредоносного ПО, необходимо выйти за рамки сигнатур, используемых текущими антивирусами, и использовать эвристику и методы анализа, основанные на поведении. Таким образом, можно попытаться идентифицировать закономерности, чтобы иметь возможность обнаруживать будущие и прошлые мутации.

Полиморфные вирусы

Хотя с похожим названием и назначением, полиморфные вирусы отличаются от метаморфических вирусов. В то время как последние полностью меняют свой код, полиморфы изменяют только часть своего кода, оставляя часть своего кода неизменной. Для выполнения этих преобразований вредоносные программы обычно используют методы запутывания и даже шифрование. Благодаря этому вы можете сохранить двигатель того же поколения, но изменив его размер.

Уязвимости нулевого дня

Помимо классического вредоносного ПО, обнаруживаемого антивирусом, существуют и другие типы заражений, такие как уязвимости нулевого дня . Эти уязвимости заключаются в обнаружении недостатка в программном или аппаратном обеспечении устройства, которое не было исправлено. Поскольку он не исправлен, можно проводить атаки без возможности обнаружения системой.

Есть некоторые уязвимости нулевого дня, которые обнаруживает антивирус, если кто-то пытается их использовать, но во многих случаях это не так. Эти типы сбоев обычно обнаруживаются путем выполнения таких тестов, как переполнение буфера, насыщение программ до тех пор, пока они не выйдут из строя, и появится возможность внедрить вредоносный код.

Среди вредоносного кода, который может быть внедрен, есть программа-вымогатель, которая шифрует все содержимое компьютера. Так было, например, в случае с WannaCry, который из-за незащищенной уязвимости в Windows 10, позволяла устанавливать программы-вымогатели на компьютер и заражать все другие устройства, подключенные к той же локальной сети.

Руткиты

Уязвимости нулевого дня могут привести к Руткит инфекции. Руткит - это самое страшное, от чего мы можем пострадать на компьютере. Антивирус способен обнаружение вредоносного кода работает в операционной системе. Но что, если бы код был ближе к аппаратному уровню, чем операционная система? Что ж, в таком случае антивирус не может его обнаружить.

Это руткит: тип вредоносного ПО, бессрочный доступ к компьютеру , но остается скрыто от пользователя и не имеет возможности его обнаружить. Его целью может быть изменение прошивки устройства или слежка за всем, что проходит через память компьютера пользователя.

Эти руткиты могут попасть в ядро операционной системы для обхода обнаружения, но они также могут достигать нижних уровней компьютера, таких как BIOS. В таких случаях даже форматирование не может помочь нам устранить угрозу.

К счастью, в антивирусе появляется все больше и больше механизмов обнаружения руткитов. К этому добавляется, что существуют такие механизмы, как Secure Boot, которые позволяют нам защитить весь загрузочный сегмент компьютера, чтобы избежать выполнения вредоносного кода.