antivirus skyddar oss från mer och mer hot . Hundratals nya hot dyker upp varje dag, och företagen som utvecklar dessa antivirus är dedikerade till att samla in dem och skapa lösningar för att skydda oss. Det finns dock virus som är svårare att upptäcka än andra, och i vissa fall kan vissa gå månader utan att upptäckas.
Metamorfa virus
När en virus upptäcks för första gången , blir det omedelbart en del av antivirustillverkarnas databas. Genom att lägga till den i databasen och dess kod kan upptäckas, kommer alla som har den på sin dator att uppmärksammas om dess närvaro.
Men vad händer om antiviruset är utformat för att ständigt ändra sin kod? Dessa virus kallas metamorf , kan översätta, redigera och skriva om sin egen kod automatiskt vid varje infektion, så att antiviruset inte kan upptäcka den. Faktum är att inte bara själva infektionskoden förändras, utan mutationsmotorn förändras också.
För att upptäcka denna typ av skadlig programvara är det nödvändigt att gå ett steg längre än de signaturer som används av nuvarande antivirus, och använda heuristik och analystekniker baserade på beteenden. Det är alltså möjligt att försöka identifiera mönster för att kunna upptäcka framtida och tidigare mutationer.
Polymorfa virus
Även om med liknande namn och syfte, polymorfa virus skiljer sig från metamorfa virus. Medan de senare ändrar sin kod helt, ändrar polymorfer bara en del av sin kod och behåller en del av sin kod densamma. För att utföra dessa transformationer använder skadlig programvara vanligtvis obfuskeringstekniker och till och med kryptering. Tack vare detta kan du behålla den identiska generationens motor, men ändra dess fotavtryck.
Nolldagssårbarheter
Det finns andra typer av infektioner utöver den klassiska skadliga programvaran som kan upptäckas av antivirus, som t.ex nolldagars sårbarheter . Dessa sårbarheter består av att hitta ett fel i mjukvaran eller hårdvaran på en enhet som inte har korrigerats. Eftersom den inte är patchad är det möjligt att utföra attacker utan att systemet kan upptäcka det.
Det finns vissa nolldagssårbarheter som kan upptäckas av antivirus om någon försöker använda dem, men i många fall är det inte fallet. Dessa typer av misslyckanden hittas vanligtvis genom att utföra tester som buffertspill, mätta program tills de kraschar och det blir möjligt att injicera skadlig kod.
Bland den skadliga koden som kan injiceras är ett ransomware som krypterar allt innehåll på datorn. Detta var till exempel fallet med WannaCry, som genom en oparpad sårbarhet i Windows 10, tillät ransomware att installeras på en dator och infektera alla andra enheter anslutna inom samma lokala nätverk.
Spökprogram
Zero-day sårbarheter kan leda till rootkit infektioner. Ett rootkit är det värsta vi kan drabbas av på en dator. Antiviruset kan upptäcka skadlig kod körs på operativsystemet. Men vad händer om koden var närmare hårdvarunivån än operativsystemet? Tja, i så fall kan antivirusprogrammet inte upptäcka det.
Det är ett rootkit: en typ av skadlig programvara som har evig tillgång till en dator , men finns kvar dold för användaren och har inget sätt att upptäcka det. Dess syfte kan vara att modifiera den fasta programvaran för en enhet, eller att spionera på allt som går genom minnet på användarens dator.
Dessa rootkits kan komma in i operativsystemets kärna för att kringgå detektering, men de kan också nå de nedre lagren av datorn, såsom BIOS. I dessa fall kan inte ens formatering hjälpa oss att eliminera hotet.
Lyckligtvis finns det fler och fler rootkit-detektionsmekanismer i antivirus. Till detta kommer att det finns mekanismer som Secure Boot som gör att vi kan skydda hela datorns startsegment för att undvika exekvering av skadlig kod.
