Jak wirusy ukrywają się przed antywirusem?

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

W tym celu można zastosować techniki polimorficzne oraz metamorficzne, które zasadniczo - bez zagłębiania się w szczegóły technologiczne - umożliwiają szkodliwemu programowi mutację na poziomie bajta podczas tworzenia swojej kopii. Jednocześnie funkcjonalność programu pozostaje niezmieniona. Szyfrowanie i Zaciemnianie wykorzystywane są przede wszystkim w celu utrudnienia analizy kodu, jeśli jednak zostaną zaimplementowane w określony sposób, rezultatem może być odmiana polimorfizmu, czego przykładem jest wirus Cascade, którego każda kopia została zaszyfrowana przy pomocy unikatowego klucza. Zaciemnianie może tylko utrudnić analizę, gdy jednak zostanie zastosowane do każdej kopii szkodliwego programu w inny sposób, utrudnia skuteczne wykorzystanie metod wykrywania opartych na sygnaturach. Według analityków z Kaspersky Lab, nie można jednoznacznie stwierdzić, że którakolwiek z wyżej wymienionych taktyk jest skuteczniejsza niż jakakolwiek inna, jeśli chodzi o autoochronę szkodliwego oprogramowania. Należałoby raczej powiedzieć, że skuteczność tych technik zależy od konkretnych warunków oraz sposobu ich zaimplementowania.
Wykorzystanie polimorfizmu jest stosunkowo rozpowszechnione jedynie w odniesieniu do wirusów plikowych dla systemu DOS. Nie bez przyczyny. Tworzenie kodu polimorficznego to bardzo czasochłonne zadanie, które jest uzasadnione jedynie w przypadkach, gdy szkodliwy program rozmnaża się samodzielnie: każda nowa kopia zawiera bardziej lub mniej unikatową sekwencję bajtów. Większość współczesnych trojanów nie jest zdolnych do samodzielnego rozmnażania się, stąd polimorfizm nie ma tu zastosowania. Z tego powodu od zmierzchu ery wirusów plikowych dla systemu DOS polimorfizm stosowany jest rzadziej. Metoda ta wykorzystywana była gównie przez twórców wirusów, którzy chcieli popisać się swoimi umiejętnościami, a nie stworzyć jakąś szczególnie użyteczną funkcję.

W przeciwieństwie do polimorfizmu, zaciemnianie wykorzystuje się nadal, podobnie jak inne metody modyfikowania kodu, które w dużym stopniu utrudniają analizę kodu. Od czasu, gdy pojawiły się metody wykrywania oparte analizie zachowania i zaczęły wypierać metody oparte na sygnaturach, techniki modyfikacji kodu stały się mniej użyteczne jeśli chodzi o utrudnianie wykrywania szkodliwego oprogramowania. To wyjaśnia, dlaczego polimorfizm oraz podobne technologie nie są obecnie powszechnie stosowane i tak naprawdę są sposobem na utrudnienie analizy szkodliwego kodu.