вируси прикриване, никакви тайнства
Достатъчно е за някои характерни последователности на вируса, известни като подписи.
Например, за вирус BAT.Batman характеристика е следната последователност (за подробно описание на вирус BAT.Batman виж по-горе):
За вирус WinWord.Concept характерна последователност може да бъде една от следните линии:
Въпреки това, не всички вируси се държат така грубо. Много от тях се прикрие присъствието им, като се използват различни техники. Благодарение на естествения подбор на антивирусен софтуер има шанс да оцелее само с вируси, които използват различни техники за маскиране.
Криптирани и полиморфни вируси
За да се усложнят откриване, някои вируси криптират им код. Всеки път, когато вирусът заразява нова програма, той криптира със собствен код, като използвате новия ключ. В резултат на две копия на вируса могат да се различават значително един от друг дори да бъде с различна дължина.
Естествено, вирусът може да работи само ако изпълнимия код е дешифриран. Когато инфектираната програма се управлява (или започне да се зарежда от заразено MBR) и вирусът получава контрол, той трябва да дешифрира кода си.
Процедура за разшифроване не може сам да бъдат криптирани, в противен случай тя няма да работи. Това се използва от антивирусните програми, като се използва като подпис декриптиране рутинни код.
За съжаление, създаващи полиморфни вируси могат не само програмисти са високо квалифицирани. Има няколко готови инструменти за разработка на такива вируси. Те ви позволяват да се развие полиморфни вируси, без разбиране за това как миналото се уреди.
Структурата мутация на двигателя влиза модул обект, за да бъде свързан към новосъздадената вируса, подробна документация и пример за използването му. Поради мутация двигател има много полиморфни вируси. Сред тях MtE.CoffeeShop, MtE.Darkstar, MtE.Dedicated.
След мутация на двигателя се появи на няколко инструменти за разработка на полиморфни вируси, които имат различно ниво на изтънченост и сервиз:
· DSCE (Тъмно Slayer Объркване Engine)
· GCAE (Golden Цикада Ненормално Engine)
· SMEG (Симулиран метаморфен криптиране генератор)
· VICE (Virogen на Нередовна Двигател Код)
Чудя се какво е AWME националното развитие и е създадена в Казан. Според нашата информация, AWME за цел да противодейства Doctor Web антивирусна програма. Повече за това може да се намери в «Doctor Web раздел." AWME се разпространява като изходния код на асемблер.
Съвременни инструменти за борба с вируса, като Doctor Web, в състояние не само да идентифицират успешно полиморфни вируси, но и ги премахнете от заразената програма.
Encryption код на вируса значително усложнява процеса на разследване. Конвенционалните програми няма да се разединят този вирус. Всеки, който се осмелява да се разбере криптиран вирус ще трябва да се справят с него, носещ вируса на код е екипът зад стъпка по стъпка екип дебъгер.