Wat is een polymorfisch virus

By | februari 23, 2012

Polymorfe virussen zijn zeer kwaadaardig en niet tot ‘nauwelijks’ te verwijderen met behoud van een stabiel computersysteem.
Dit soort virussen kunnen namelijk van gedaante wisselen (muteren), bij elke infectie zal het virus dan ook andere kenmerken hebben, hierdoor zijn deze moeilijk te detecteren en te verwijderen voor virusscanners.

Algoritme en codering

De gedaantewisseling (mutatie) van het polymorfe virus gebeurd doormiddel van codering, het polymorfe virus verbind zich namelijk gecodeerd aan een bestand wat het wil infecteren, als dit bestand wordt uitgevoerd zal het polymorfe virus wat een verbinding heeft aangegaan met dit bestand gedecodeerd uitgevoerd worden.
Hierna zal het polymorfe virus weer een ander gedaante aannemen (muteren) en opnieuw verbinding aangaan met een bestand.
Tijdens deze mutatie wordt er ook weer een andere “encryptie” versleutelings algoritme gebruikt.

Geschiedenis van de polymorfe virussen

Chameleon (1990) wat het eerste polymorfische virus, in (1991) kwam Tequila, deze heeft toen der tijd voor veel problemen gezorgd.
In vergelijking met de polymorfische virussen van nu, waren deze makkelijker te detecteren en te bestrijden, dit kwam doordat het gebruikte “encryptie” versleutelings algoritme hetzelfde bleef.

Polymorphisme?

Eigenlijk is dit een verberg techniek zodat het de detectie moeilijker maakt.
Polymorphisme, oligomorphism en metamorphisme zijn allemaal verberg technieken “termen” die gebruikt worden bij dit soort virussen.

Voorbeelden

Virut (info)
Sality (info) Malware Protection Center