ماجرای ویروس‌هائی که رنگ عوض می‌کنند

ویروس های نسل جدید از دهها تکنیک پیچیده برای مخفی کردن خود استفاده می کنند که کدنویسی با دگردیسی های متعدد از جمله جدیدترین این شیوه ها برای گمراه کردن نرم افزارهای ضدویروس است. 

ویروس های نسل جدید از دهها تکنیک پیچیده برای مخفی کردن خود استفاده می کنند که کدنویسی با دگردیسی های متعدد از جمله جدیدترین این شیوه ها برای گمراه کردن نرم افزارهای ضدویروس است.

به گزارش بخش خبر شبکه فن آوری اطلاعات ایران،از فارس، یکی از این روش ها، کدنویسی دارای دگردیسی های متعدد یا Polymorphic است. این روش تهدید جدی را متوجه اسکنرهای ویروس کرده و باعث می‌شود شناسایی این بدافزارهای مخرب به شدت دشوار شود.
یک ویروس Polymorphic دقیقا مانند ویروس های عادی رمزگذاری شده فایل ها را با یک کپی رمزگذاری شده از خود آلوده می کند. رمزگشایی این فایل توسط یک بخش رمزگشا که دیروز تشریح شد انجام می شود. اما در مورد ویروس های Polymorphic فرایند گمراه کردن ضدویروس ها کمی پیچیده تر است و بخش رمزگشا در هر بار آلوده کردن دچار تحول یا دگردیسی می شود.
بنابراین یک ویروس Polymorphic که به دقت نگارش شده باشد، در حین آلوده سازی فایل های مختلف حاوی هیچ بخشی که در نسخه های مختلف آن یکسان و ثابت باقی بماند، نخواهد بود. بنابراین شناسایی این ویروس ها با استفاده از امضاهای شناسایی شده توسط ضدویروس ها ممکن نخواهد بود. آنها برای این کار باید با استفاده از یک نمونه ساز یا emulator ویروس را رمزگشایی کرده یا با تحلیل الگوهای آماری یک ویروس رمزگذاری شده آن را شناسایی کنند.
ویروس برای اجرای کدهای polymorphic باید مجهز به یک موتور polymorphic هم باشد. به این موتور، موتور تغییر دهنده یا mutating هم اطلاق می شود. این موتور در بخش رمزگذاری شده ویروس نصب می شود.
برخی ویروس ها از کد polymorphic به گونه ای استفاده می کنند که باعث افزایش شدید نرخ تغییر و دگردیسی ویروس می شود. به عنوان مثال می توان یک ویروس را به گونه ای برنامه ریزی کرد تا در گذر زمان در ساعات مشخصی دچار تغییر و دگردیسی شود یا می توان کاری کرد که تنها بعد از هر بار آلوده کردن یک فایل دچار تغییر کامل ماهیتی شود. در این صورت کپی جدید یک ویروس با کپی قبلی آن تفاوت ماهیتی خواهد داشت.
استفاده از این روش گرفتاری های جدی برای متخصصان امنیتی و کارشناسان رایانه به وجود آورده است و آنها را وادار به بررسی دقیق و موشکافانه نمونه های مختلف ویروس های گوناگون کرده است. استفاده از روش یاد شده همچنین باعث نگرانی عمومی در مورد کارآیی اسکنرهای ضدویروس شده و سازندگان آنها را به متحول سازی و اعمال اصلاحات ساختاری در تولیداتشان وادار نموده است.
برخی ویروس های مختلف برای جلوگیری از شناسایی توسط نمونه ساز یا emulator پس از هر بار کپی کردن خود و آلوده کردن یک فایل، به طور کامل دچار تغییر ماهیت می شوند و بخش های مختلف آنها متحول می شود.
به ویروس هایی که در هر بار فعالیت دچار تغییر ماهیت کامل می شوند ویروس های دگرگون شده یا metamorphic می گویند. ویروس نویسان برای طراحی این ویروس ها به موتور metamorphic نیاز دارند. این ویروس ها معمولا بسیار بزرگ و پیچیده هستند. یکی از نمونه های مشهور و جدید این ویروس ها W32/Simile نام دارد که حاوی بیش از 14 هزار خط کد زبان برنامه نویسی اسمبلی است و 90 درصد این کدها مربوط به کد metamorphic آن است.