Quanto è efficace l'Antivirus basato su firma, nel rilevare malware crittografato ?
Quanto è efficace l'Antivirus basato su firma, nel rilevare malware crittografato ?
I rilevatori di antivirus basati su firme non si adattano bene ai virus cifrati polimorfici o metamorfici. I virus generano una chiave di crittografia casuale per ogni nuova infezione, quindi la maggior parte del virus è sempre diversa. Per la routine di decodifica stessa (una frazione del virus globale), generano un nuovo codice equivalente ogni volta che si propagano. Nel linguaggio macchina, specialmente su un processore complesso, ci sono molte istruzioni che assolveranno compiti identici: ad esempio, MOV AX, 0 e XOR AX, AX otterranno il risultato di posizionare uno zero nel registro AX. La routine può cambiare i registri che userà - questa volta usa AX per un contatore, il successivo usa DX. Può riordinare le istruzioni. E può riempire la routine con un sacco di NOP disposti casualmente e altre istruzioni non essenziali.
Tutti questi possono ostacolare un programma antivirus, basato sulla scansione di una specifica sequenza di byte.
Uno scanner antivirus euristico può cercare altri segni di attività virale, come il codice che sta scrivendo il codice, che normalmente non è una cosa che farebbe un utente di una casa o di un ufficio. E il bit NX può abilitare la Protezione esecuzione programmi (DEP), che è un flag della CPU che impedisce a una macchina di eseguire codice auto-modificante. Ovviamente, un eseguibile auto-compresso rientra in questa descrizione, quindi non è nemmeno una soluzione perfetta.
Leggi altre domande sui tag malware antivirus antimalware