Jak wirusy ukrywają się przed antywirusem?

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

Wirusy ukrywające się

Ukrywanie szkodliwych programów w systemie stało się drugą metodą autoochrony przed wykryciem, jaką opanowali twórcy wirusów w erze systemu DOS. Technika ta po raz pierwszy została wykorzystana w 1990 r., a konkretnie stanowiła część arsenału wirusa Whale. Ukryty wirus w ten czy inny sposób przechwytywał usługi systemowe DOS i przekazywał fałszywe dane użytkownikowi lub programowi antywirusowemu - na przykład "wyczyść" zawartość sektora startowego zamiast prawdziwej zawartości, która została zainfekowana przez szkodliwy program.

Technologie ukrywania się stworzone dla systemu operacyjnego DOS odrodziły się 10 lat później jako technologie rootkit dla systemu operacyjnego Windows.

Mechanizmy wykorzystywane w celu ukrywania wirusów w systemie zostały szczegółowo omówione w sekcji o rootkitach.

Kompresory

Stopniowo wirusy - szkodliwe programy, które potrafią funkcjonować jedynie w ciele ofiary i nie są zdolne do istnienia jako oddzielne pliki - zastępowane są przez trojany, które stanowią całkowicie niezależne szkodliwe programy. Proces ten rozpoczął się w czasie, gdy Internet był jeszcze wolny i bardziej ograniczony niż obecnie. Dyski twarde i dyskietki były niewielkie, co oznaczało, że rozmiar programu miał istotne znaczenie. W celu zmniejszenia rozmiaru trojana twórcy wirusów zaczęli wykorzystywać tak zwane kompresory - nawet w erze systemu DOS. Kompresory to wyspecjalizowane programy, które kompresują i archiwizują pliki.

Efektem ubocznym stosowania kompresorów jest to, że skompresowane szkodliwe programy są trudniejsze do wykrycia przy użyciu metod plikowych.

Podczas tworzenia nowej modyfikacji istniejącego szkodliwego programu twórca wirusów najczęściej zmienia kilka linijek kodu, pozostawiając trzon programu nietknięty. W skompilowanym pliku bajty określonej sekwencji kodu zostaną również zmienione, a jeśli sygnatura wirusa oprogramowania antywirusowego nie będzie zawierała tej konkretnej sekwencji, szkodliwy program nadal będzie wykrywany tak jak poprzednio. Problem ten można rozwiązać poprzez spakowanie programu za pomocą kompresora, ponieważ zmiana nawet jednego bajta w źródłowym pliku wykonywalnym generuje zupełnie nową sekwencję bajtów w spakowanym pliku. Kompresory nadal są powszechnie wykorzystywane. Różnorodność programów kompresujących i poziom ich zaawansowania zwiększa się. Wiele współczesnych kompresorów, oprócz kompresowania pliku źródłowego, wyposaża go również w dodatkowe funkcje autoochrony, których celem jest utrudnienie rozpakowania i analizy pliku przy użyciu debuggera.