Jak wirusy ukrywają się przed antywirusem?

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

Na wykresie punktowym zostały przedstawione różne rodzaje mechanizmów autoochrony szkodliwych programów. Wykres ten stanowi prosty przykład, który można wykorzystać do kategoryzowania różnych sposobów autoochrony szkodliwego oprogramowania. Model ten opiera się na dokładnej analizie zachowań szkodliwego oprogramowania, z konieczności jest jednak subiektywny.

Mechanizmy autoochrony szkodliwych programów mogą spełniać jedno lub więcej zadań. Obejmują one:

1. utrudnianie wykrywania wirusa przy użyciu metod opartych na sygnaturach;
2. utrudnianie analitykom wirusów analizowania kodu;
3. utrudnianie wykrywania szkodliwego programu w systemie;
4. utrudnianie działania oprogramowania bezpieczeństwa, takiego jak program antywirusowy czy zapora sieciowa.

Ze względu na nieczęste występowanie i stosunkowo niewielką liczbę szkodliwych programów dla innych platform, w artykule tym będą analizowane tylko szkodliwe programy stworzone dla systemu operacyjnego Windows (oraz jego poprzednika DOS). Wszystkie zbadane w tym artykule trendy odnoszą się do plików wykonywalnych szkodliwego oprogramowania (EXE, DLL oraz SYS) oraz w pewnym stopniu również do makrowirusów i wirusów skryptowych, dlatego też ta ostatnia kategoria nie będzie rozpatrywana oddzielnie.

Źródła: polimorfizm, zaciemnianie oraz szyfrowanie

Polimorfizm - technologia pozwalająca samodzielnie rozmnażającemu się programowi na całkowite lub częściowe zmodyfikowanie swojego wyglądu zewnętrznego i/lub struktury kodu podczas procesu replikacji.

Zaciemnianie - połączenie różnych podejść stosowanych w celu maskowania kodu źródłowego programu, tak aby jak najbardziej utrudnić czytanie go i analizowanie przy jednoczesnym zachowaniu jego pełnej funkcjonalności.

Ponieważ polimorfizm, zaciemnianie oraz szyfrowanie spełniają tę samą funkcję, chociaż w różnym stopniu, najlepiej rozpatrywać je wszystkie razem. Początkowo, modyfikowanie szkodliwego kodu służyło dwóm celom: utrudnianiu wykrycia plików oraz utrudnianiu analitykom wirusów badania kodu.

Mimo że początki szkodliwego oprogramowania sięgają lat 70. ubiegłego stulecia, programy te zaczęły stosować autoochronę dopiero pod koniec lat 80. Pierwszym wirusem, który próbował bronić się przed narzędziami antywirusowymi, był wirus dla systemu DOS - Virus.DOS.Cascade. Szkodnik ten bronił się poprzez częściowe szyfrowanie swojego kodu. Metoda ta nie była jednak całkiem skuteczna, ponieważ każda nowa kopia tego wirusa - mimo że różniła się od poprzednich - nadal zawierała niezmieniony fragment kodu, który za każdym razem zdradzał wirusa. W rezultacie, wirus ten nadal był wykrywany przez programy antywirusowe. Mimo to, twórcy wirusów zaczęli iść w nowym kierunku i dwa lata później pojawił się pierwszy wirus polimorficzny - Chameleon (Virus.DOS.Chameleon). Chameleon, znany również jako 1260, oraz Whale, który pojawił się w tym samym czasie, w celu ochrony swojego kodu wykorzystywały złożone metody szyfrowania i zaciemniania. Dwa lata później wyłoniły się tzw. generatory polimorficzne, które można było wykorzystać jako nowy mechanizm obrony szkodliwych programów.

Wyjaśnienia wymagają dwie kwestie: dlaczego modyfikowanie kodu może zostać wykorzystane w celu utrudnienia wykrywania plików oraz w jaki sposób działa wykrywanie plików.

Do niedawna działanie programów antywirusowych polegało wyłącznie na analizowaniu kodu plików. Najwcześniejsze metody wykrywania, oparte na sygnaturach, koncentrowały się na szukaniu dokładnych sekwencji bajtów, często w określonej pozycji od początku pliku, w kodzie binarnym szkodliwego programu. Późniejsze heurystyczne metody wykrywania również wykorzystywały kod pliku, stosowały jednak bardziej elastyczne, oparte na prawdopodobieństwie podejście do szukania wspólnych sekwencji bajtów szkodliwego oprogramowania. Szkodliwe programy łatwo mogą obejść ten rodzaj ochrony, jeżeli każda kopia programu będzie zawierała nową sekwencję bajtów.