Código polimórfico

Prévia do material em texto

Código polimórfico 
O código polimórfico foi a primeira técnica que representou uma 
séria ameaça aos scanners de vírus. Assim como os vírus 
criptografados comuns, um vírus polimórfico infecta os arquivos 
com uma cópia criptografada de si mesmo, que é decodificada 
por um módulo de descriptografia. 
No caso de vírus polimórficos, entretanto, esse módulo de 
descriptografia também é modificado a cada infecção. Um vírus 
polimórfico bem escrito, portanto, não tem partes que 
permaneçam idênticas entre as infecções, o que torna muito 
difícil detectá-lo diretamente usando "assinaturas". 
O software antivírus pode detectá-lo descriptografando os vírus 
usando um emulador ou por análise estatística de padrões do 
corpo do vírus criptografado. 
Para habilitar o código polimórfico, o vírus precisa ter um 
mecanismo polimórfico em algum lugar de seu corpo 
criptografado. Consulte o código polimórfico para obter detalhes 
técnicos sobre como esses motores operam. 
Alguns vírus empregam código polimórfico de uma forma que 
restringe significativamente a taxa de mutação do vírus. Por 
exemplo, um vírus pode ser programado para sofrer uma 
pequena mutação com o tempo ou pode ser programado para 
evitar sofrer mutação ao infectar um arquivo em um computador 
que já contém cópias do vírus. 
A vantagem de usar esse código polimórfico lento é que torna 
mais difícil para os profissionais de antivírus e investigadores 
obter amostras representativas do vírus, porque os arquivos 
"isca" que são infectados em uma execução normalmente 
contêm amostras idênticas ou semelhantes do vírus. Isso tornará 
mais provável que a detecção pelo scanner de vírus não seja 
confiável e que algumas instâncias do vírus possam evitar a 
detecção.