Jak wirusy ukrywają się przed antywirusem?

W artykule opisano, w jaki sposób ewoluowały szkodliwe programy w celu zwalczania rozwiązań bezpieczeństwa oraz jakie techniki autoochrony są obecnie wykorzystywane. Omówiono również techniki stosowane przez twórców szkodliwego oprogramowania w przeszłości, które nie są już skuteczne z powodu nieustannej ewolucji rozwiązań bezpieczeństwa. Artykuł zawiera także prognozy odnośnie tego, które technologie mogą być wykorzystywane w bliskiej przyszłości.

Na początku należy zdefiniować znaczenie terminu "autoochrona szkodliwego oprogramowania", który nie jest tak jednoznaczny, jak mogłoby się wydawać na pierwszy rzut oka. Gdy szkodliwe oprogramowanie atakuje programy antywirusowe mamy do czynienia z formą autoochrony. Jeśli zaciera swoje ślady, jest to również pewien rodzaj autoochrony, chociaż nie jest to już tak oczywiste. Jeszcze mniej oczywistą formą autoochrony jest ewolucja szkodliwych programów. Jednak jednym z czynników motywujących twórców wirusów poszukujących nowych platform, które mogą zostać zainfekowane, oraz nowych luk w systemie, jest rozprzestrzenianie nowych wirusów na wolności na obszary, gdzie do tej pory nikt nie zadał sobie trudu, aby szukać szkodliwego kodu, ponieważ jeszcze nigdy go tam nie znaleziono.

Aby uniknąć nieporozumienia odnośnie tego, co jest technologią autoochrony a co nią nie jest, w artykule tym zbadano tylko najpopularniejsze i najbardziej oczywiste metody autoochrony szkodliwego oprogramowania. Obejmują one przede wszystkim różne sposoby modyfikowania i kompresowania kodu w celu ukrycia obecności szkodliwego kodu w systemie oraz przerywania działania rozwiązań antywirusowych.

Klasyfikacja autoochrony szkodliwego oprogramowania

Istnieje wiele różnych rodzajów technik autoochrony szkodliwego oprogramowania, które można sklasyfikować na wiele różnych sposobów. Celem niektórych z tych technologii jest obejście baz danych sygnatur wirusów, podczas gdy inne mają utrudnić analizę szkodliwego kodu. Niektóre szkodliwe programy mogą próbować ukryć się w systemie, podczas gdy inne nie chcą marnować na to cennych zasobów procesora i zamiast tego wolą wyszukiwać i zwalczać określone typy ochrony antywirusowej. Te różne taktyki można klasyfikować na wiele sposobów i zaszeregować do różnych kategorii.

Artykuł uwzględnia dwa najważniejsze, zdaniem specjalistów z Kaspersky Lab kryteria, które posłużą do sporządzenia wykresu punktowego, gdzie dwie osie reprezentują te kryteria.

Rys. 1. Wykres punktowy technologii autoochrony szkodliwego oprogramowania.

Kliknij aby powiększyć

Pierwszym kryterium jest poziom aktywności autoochrony szkodliwego programu. Najbardziej pasywny szkodliwy program w ogóle nie próbuje się bronić, tj. nie zawiera żadnego takiego kodu. Zamiast tego, autor takiego programu tworzy dla niego rodzaj tarczy. Aktywniejsze systemy autoochrony celowo stosują agresywne techniki.

Drugim kryterium jest stopień wyspecjalizowania mechanizmu autoochrony szkodliwego programu. Formy autoochrony o najwęższej specjalizacji stosowane są przez szkodliwe programy, które w określony sposób zakłócają funkcjonowanie danego programu antywirusowego. Bardziej ogólne mechanizmy autoochrony chronią szkodliwe programy przed wszystkim poprzez utrudnianie wykrycia obecności wirusa w systemie na wszelkie możliwe sposoby.